Футурология угроз больших персональных данных. Ахиллесова пята россиян не защищена законом

BIS Journal №4(47)2022

19 декабря, 2022

Футурология угроз больших персональных данных. Ахиллесова пята россиян не защищена законом

Защиту обычных персональных данных Роскомнадзор курирует уже свыше полутора десятков лет, а безопасность больших данных россиян, всех вместе каждого, пока вообще целенаправленно не обеспечивается.

Между тем глобальные цифровые корпорации и недружественные страны уже давно используют «большие персональные данные» наших граждан вразрез с их интересами, а не в национальных интересах России. Необходима игра на опережение, а не «креститься, когда гром грянет», как в случае с $5 млрд штрафа Марку Цукербергу по делу Cambridge Analytica.

 

1 + 1 = «БОЛЬШОЙ ОДИН»

Внешний сбор и обработка в режиме 24×7 самого широкого перечня данных о каждом россиянине создают огромные преимущества для заграничных субъектов. Начиная с оперативной детализированной статистики и аналитики по широкому перечню параметров и заканчивая высокоточным деструктивным воздействием на социальные группы.

Государственное регулирование пока касается лишь некоторых видов персональных данных и осуществляется по разрозненным, мало скоординированным направлениям. Обычные персональные данные, в большинстве своём буквенные, цифровые и буквенно-цифровые комбинации (не считая биометрической информации), защищаются под эгидой Роскомнадзора на основании закона ФЗ-152. Наказания за нарушения в этой сфере соразмерны оценке угроз: налагаемые штрафы просто мизерны, особенно для юридических лиц.

Отличие «больших» персональных данных от обычных «документационных» сведений граждан качественное, угрозы им сопутствуют намного более масштабные. В критически важный ресурс превращаются такие «новые» виды персональных данных, как пользовательская активность и «цифровые образы», формируемые без прямого участия граждан. Заслуживают внимания новые, пока недостаточно учитываемые угрозы новых видов персональных данных — пользовательской активности и автоматизированно собираемых о пользователях датчиками сетевых устройств для технологий искусственного интеллекта.

Термина «большие персональные данные» в законодательстве пока нет, но должен появиться, по убеждению автора этой статьи. Выглядит как обычное механическое приплюсовывание хорошо всем известных персональных данных к столь же распространённым big data, большим данным. Однако здесь 1 + 1 в сумме даёт не 2, а «большой один», как при слиянии капель дождя. Потому что этот вид конфиденциальной информации заслуживает выделения для его целенаправленной защиты, возможно, в ещё большей степени, чем обычные персональные данные. Об этом говорит футурология угроз «больших персональных данных» — прогноз и предвидение, предупреждение и профилактика реализации сопутствующих им информационных уязвимостей.

 

ЗАЩИТА КУРАМ НА СМЕХ

Действующая в России система защиты персональных данных (ПДн) характеризуется диспропорцией значительных ресурсов и усилий, которые затрачиваются на её обеспечение, и малозначительными результатами. В данной области существует развитая нормативно-правовая база: Федеральный закон «О персональных данных» от 27 июля 2006 года № 152-ФЗ (ФЗ-152), Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных (принятая ФСТЭК России в 2008 году), Приказ ФСБ РФ № 378 о шести классах СКЗИ для защиты ПДн и другие акты нормативно-правового и технического регулирования.

Защиту персональных данных в России осуществляют государство, компании — разработчики и поставщики решений в области информационной безопасности, операторы персональных данных и, конечно, их субъекты — сами граждане. Однако ответственность за нарушения в этой сфере всего лишь административная, штрафы незначительны. Максимум в 75 000 рублей штрафа выглядит не слишком суровым даже для граждан, не говоря об организациях. В таком контексте, с учётом всё большего развития и применения технологий больших данных и искусственного интеллекта, предпринимаемые защитные меры выглядят одновременно и избыточными, и… недостаточными.

Эффективность противодействия нарушениям в сфере ПДн показывает официальная статистика уполномоченного органа федеральной исполнительной власти — Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор). За 2021 год было зафиксировано 3,7 млн мошеннических телефонных звонков с неправомерным использованием персональных данных. По результатам рассмотрения 38 тыс. жалоб граждан на неправомерную обработку их ПДн составлено более 220 протоколов. В 80% из 3,9 тыс. контрольных мероприятий выявлены нарушения операторов. С сентября до конца года в Центр правовой помощи гражданам в цифровой среде обратились 450 граждан.

Насколько значительны указанные успехи, можно судить по статистике Следственного департамента МВД России. В том же 2021 году за 11 месяцев каждый седьмой россиянин становился мишенью телефонных мошенников, общий ущерб от этого вида правонарушений достиг 45 млрд рублей. Результаты противодействия Роскомнадзора и других государственных органов нарушениям в области персональных данных трудно оценить как достаточно эффективные. Анализ понятийно-терминологического аппарата в данной области показывает, что деятельность по защите рассматривается лишь в отношении достаточно узкого перечня видов ПДн.

ФЗ-152 (ч. 1 ст. 3) определяет персональные данные как «любую информацию, относящуюся к прямо или косвенно определённому или определяемому физическому лицу (субъекту персональных данных)». В настоящее время это определение практически применяется в отношении электронных буквенно-цифровых сведений, воспроизводящих гражданско-правовые статусы и характеристики личности, традиционно фиксируемые в официальных документах. Отдельным видом ПДн обозначены фотография или видеозапись, позволяющие идентифицировать человека, а также его биометрические данные. Некоторые виды информации, связанной с гражданином, относятся к ПДн во взаимосвязи с другими данными (номер мобильного телефона, адрес электронной почты и т. п.).

 

ОБНОВЛЕНИЕ КЛАССИФИКАЦИИ

Выделение защиты персональных данных в отдельное направление обеспечения информационной безопасности, включая государственное регулирование, было во многом обусловлено следованием «мировой практике», в первую очередь европейской. Наряду с положительными результатами, проявились и негативные моменты: обособление одного из видов персональных данных, а в отношении других — недооценка специфики угроз, взаимодействия и координации для обеспечения безопасности.

Несколько подвидов персональных данных защищаются другими федеральными законами, государственными органами, нарушения здесь могут подпадать под более серьёзную правовую ответственность вплоть до уголовной. Персональные данные высокопоставленных государственных служащих, сотрудников спецслужб и ряда других категорий граждан могут относиться к государственной тайне. Отдельно регулируется и осуществляется защита медицинских, финансовых сведений о гражданах, информация об их личной жизни, содержание переписки и непубличного общения посредством дистанционных сервисов и др. Защита перечисленных видов персональных данных, личной информации граждан осуществляется по отдельным самостоятельным направлениям, редко соотносясь с ФЗ-152.

Вместе с тем вне специального целенаправленного государственного регулирования пока остаются новые, всё более значимые виды персональных данных, соответствующие их общей характеристике в ФЗ-152. Это виды личной информации, которые используются в технологиях «больших данных» и «искусственного интеллекта». Речь идёт об активности пользователей в публичных сетях, в первую очередь в интернете, включая социальные сети, и о цифровых профилях граждан, формируемых вне зависимости от их согласия и других действий.

В современном мире практически для всех граждан персональные данные такого типа генерируются и собираются многими устройствами различных типов онлайн, в постоянном режиме «24×7» (24 часа в сутки семь дней в неделю). Данные о пользовательской активности владельцев персональных настольных компьютеров и мобильных устройств (гаджетов), казалось бы, чисто технические. Однако они включают индивидуальные параметры использования этих программно-аппаратных средств и операционных систем и другого программного обеспечения.

 

ПРОГНОЗ УГРОЗ

Персонализированы могут быть cookie, IP-адреса, посещённые веб-ресурсы и использованные мобильные приложения, продолжительность просмотра и данные о других действиях пользователей. Такие персональные пользовательские данные собирают и обрабатывают глобальные информационные платформы, а также другие дистанционные сервисы. Большие персональные данные (big personal data) могут как использоваться их сборщиками для оптимизации сервисов, так и продаваться.

Важный подвид больших персональных данных составляют сведения о пользовательской активности в социальных сетях и на других информационных платформах (торговых, развлекательных и т. п.). Это не только собственно персональные данные (в обычном узком смысле) владельцев аккаунтов, но и сведения об их социальных связях — наличии «френдов» и членстве в группах и сообществах, о просмотрах и времени пребывания на других ресурсах, о совершаемых действиях: постах (авторских публикациях), оценках, комментариях и т. п. Эти большие персональные данные — та самая «новая нефть» для владельцев глобальных информационных платформ, средство совершенствования собственных сервисов и товар для продажи.

Ещё более значительный по разнообразию параметров и всеохватности вид больших персональных данных — следы, которые оставляет в современной цифровой социальной среде почти каждый гражданин. Разнообразные программно-аппаратные устройства и сетевые решения наполняют производство, досуг и быт, автомагистрали и улицы, места отдыха и т. д. Данные о гражданах вне зависимости от их участия и согласия собираются посредством видеокамер на искусственных спутниках Земли и в публичных местах, включая парковки автомобилей, датчиков экологического состояния окружающей среды, терминалов дистанционной оплаты, бытовой умной техники и т. п. История местоположений, привязанная ко времени, определяется данными регистрации в системах сотовой связи SIM-карты мобильного телефона.

Большие персональные данные позволяют моделировать цифровых двойников практически любого человека, автоматизировать аналитику предпочтений и совершенствовать методы влияния на поведение, личность в целом и социальные группы разных масштабов. Международное и национальное государственное правовое сознание отстаёт от стремительных темпов возрастания роли больших персональных данных и сопутствующих угроз, способных приобретать критический характер.

 

ПОКАЯНИЕ ЦУКЕРБЕРГА*

Отсутствие удовлетворительного нормативно-правового регулирования этих персональных данных предоставляет простор произволу и возможным злоупотреблениям со стороны их операторов — транснациональных корпораций, глобальных информационных платформ. Признавая проблему, недостаточно сводить её к «сохранению конфиденциальности» и искать решение исключительно среди технических средств, пусть даже методом глубокого обучения.

Законодательное регулирование защиты «больших персональных данных» не в интересах глобальных информационных платформ, поскольку ограничивает и ставит под контроль государства их возможности. Значительные потенциальные угрозы попадают в публичное поле тогда, когда наносят ущерб тем, кто привык бесконтрольно манипулировать этим видом персональных данных в своих корпоративных интересах. О чём свидетельствует дело о сотрудничестве Facebook с компанией Cambridge Analytica в 2014–2017 годах, из-за которого Марку Цукербергу (*пока ещё не запрещённому в РФ) пришлось давать показания в конгрессе США и Европарламенте, а также выплатить рекордные $ 5 млрд штрафа.

Были вскрыты неожиданные уязвимости традиционной практики прибыльной торговли «большими персональными данными» пользователей, включая допуск партнёров к непосредственному сбору. Работавшая в партнёрстве с Facebook компания Cambridge Analytica на основании изучения политических предпочтений пользователей оказала воздействие на победу Дональда Трампа на выборах Президента США и на результаты Brexit — референдума о выходе Великобритании из Европейского союза. Учитывая негативные последствия, Марк Цукерберг обязался впредь более тщательно относиться к партнёрству Facebook в области больших персональных данных.

Для транснациональных корпораций главное — собственная безопасность и прибыли, а национальное регулирование не является необходимым руководящим фактором, с ним просто приходится считаться. В России проблема защиты больших персональных данных (пользовательской активности и прочих данных о пользователях) пока чётко не сформулирована. Защита российских граждан от злоупотреблений зарубежными субъектами в этой сфере носит фрагментарный и косвенный характер.

 

Результаты выступают побочными следствиями противодействия зарубежным санкциям, обеспечения цифрового суверенитета, локализации информационной инфраструктуры и достижения независимости от импорта высоких технологий. Целенаправленная формулировка задачи, разработка и осуществление мер защиты больших персональных данных российских граждан является практической футурологией близкого будущего.

Стать автором BIS Journal

Смотрите также

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

28.03.2024
Аитов: Ограничения Samsung Pay на использование карт «Мир» можно обойти
28.03.2024
Киберпреступления — 35% всех преступлений в России
28.03.2024
Почему путешествовать «налегке» не всегда хорошо
28.03.2024
«Тинькофф»: Несколько платёжных систем лучше, чем одна
28.03.2024
В РФ готовят базу для «усиленной блокировки» незаконного контента
28.03.2024
Термин «риск ИБ» некорректен по своей сути
27.03.2024
Samsung Pay перестанет дружить с «мировыми» картами
27.03.2024
Канадский университет восстанавливает работу после ИБ-инцидента
27.03.2024
Crypto Summit 2024. Трейдинг, майнинг и перспективы развития рынка ЦФА
27.03.2024
РКН начал работу по контролю за «симками» иностранцев

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных