Интернет изменил мир не только к лучшему. Цифровизация всего и вся привела к бесконтрольному распространению информации, немалая часть которой ранее осталась бы сугубо частной. Речь не только о «скандалах, интригах и расследованиях», которые с переменным успехом помогают привлекать недобросовестных граждан к ответственности. Беда в том, что большинство людей потеряли контроль над своими персональными данными. Naked Science разбирается, можно ли его вернуть, получится ли спастись от «звонков из службы безопасности банка» и почему философия «мне же нечего скрывать, да и не интересен я никому» в современном мире работает против ее носителя.
О каждом пользователе в Сети известно огромное количество подробностей, какие-то из них хранятся в условно закрытых базах, какие-то — общедоступны. Этими данными постоянно оперируют различные сервисы, приложения и отдельные личности. Далеко не все из них добросовестны и безобидны. Проблема в том, что значительная часть подобных процессов просто не видна невооруженным глазом. Жертва злоумышленников до самого последнего момента, скорее всего, и не будет подозревать, что в ее или его отношении кто-то провел полноценное расследование. Результатом становится прекрасная осведомленность мошенников о самых разных сторонах жизни человека, который в итоге теряет деньги. Иногда — огромные, порой — последние. Вдобавок многие виды сетевой активности стали если не запрещенными, то порицаемыми на государственном уровне, так что «подчищать за собой следы» не помешает даже законопослушным людям.
Но не будем фокусироваться на «страшилках». Рассмотрим вопрос комплексно, просто и доступно. Начнем с терминологии, чтобы далее говорить на одном языке. Ключевые термины, которые часто путают или неправильно используют в контексте кибербезопасности:
Как видно из описания, оба понятия представляют собой пересекающиеся множества. Но между ними есть, как минимум, законодательная разница. Личные данные частично защищены правом на тайну переписки. Персональные — стали «новой нефтью», поэтому как бы ни старались политики под давлением общественности их защитить, интересы современной экономики этому противодействуют.
Практически каждый сайт предупреждает пользователей об использовании «куки» (cokie, «печеньки»). Это — вялое последствие вышеупомянутого давления общественности на политиков. Те сайты, что следуют западным нормам, дают выбрать, от каких «куки» отказаться, и предоставляют подробные сведения о том, какие данные о посетителе собирает ресурс. Порталы, находящиеся в юрисдикциях стран с менее строгим законодательством в области персональных данных, чаще просто следуют «моде на прозрачность».
Простыми словами, файлы «куки» — своеобразные билеты, которые выдаются клиенту сервером. В них записывается идентификатор пользователя, а также ряд связанных с ним параметров. Последние бывают какими угодно и зависят от потребностей конкретного сервиса. Один сайт может использовать не только свои «куки», но и сторонних партнеров. Например, рекламной сети, службы статистики, поискового движка. Посещая один ресурс, пользователь сразу же «отмечается» еще в нескольких. И это лишь вершина айсберга. Каждый из сервисов собирает на пользователя свое «досье», которое не ограничивается «куками».
Такие профайлы дополнительно содержат вполне безобидные данные — разрешение экрана, языковые предпочтения, регион, версии браузера и операционной системы, используемые шрифты. В некоторых случаях — даже модель устройства, с которого пользователь зашел на сайт. Обезличенные сведения из-за своего обилия становятся пригодны для (почти) безошибочной идентификации конкретного человека. Сайт могут посетить тысячи человек через одинаковый браузер или с одинакового смартфона. У какой-то их части эти параметры совпадут. Но не у всех. Еще у меньшего числа — окажется одинаковый регион и версия операционной системы. Добавить к этому пару-тройку (или десяток) атрибутов, и совпадение окажется уже совсем маловероятным — то есть каждый отдельно взятый набор данных превратится фактически в «персональный».
Подобные наборы информации называются цифровыми отпечатками, и они работают даже тогда, когда «куки» на стороне пользователя отключены либо блокируются. Формально это позволяет идентифицировать не самого человека, а устройство. Однако несложно увязать определенный набор цифровых отпечатков с конкретными учетными данными. А они, в свою очередь, с гораздо большей точностью связаны с конкретным человеком. Так и получается цифровая личность.
Единого определения термину пока еще нет — в зависимости от области применения его формулируют по-разному. Для целей этой статьи цифровая личность будет совокупностью личных и персональных данных вместе с цифровым отпечатком. Важно понимать, что у одного реального человека может быть несколько цифровых личностей, сформированных похожими (или не очень) наборами данных, которые о нем собирали разные сервисы. Кроме того, не стоит путать ее с онлайн-идентичностью — образом человека, который он вольно или неосознанно формирует о себе в Сети.
Врага надо знать в лицо, поэтому вкратце расскажем, зачем вообще кому-то нужны наши цифровые личности. Одним из первых сравнений таких данных с нефтью считается публикация в онлайн-журнале The Wired в 2014 году на тему будущего цифровой экономики. Этот краткий материал содержит довольно простую мысль: если мы что-то способны измерить, это можно улучшить, а для измерения чего-либо необходимы данные. Следовательно, те компании, которые смогут выстроить максимально полную и эффективную систему сбора и анализа информации обо всех сферах своей деятельности, получат колоссальное конкурентное преимущество.
Это утверждение относится не только к «телеметрии» внутренних процессов компании — KPI, ROI и прочие аббревиатуры, понимаемые каждым менеджером по-своему. Куда как полезнее «обмерять» пользователей. Чем лучше компания понимает изменения поведения клиента во время и после оказания услуг, тем совершеннее можно сделать продукт.
На словах понять ценность аналитики больших данных непросто. Нагляднее всего ее польза становится, когда знакомишься с ней самостоятельно. Например, ни один курс литературного мастерства не помогает автору так, как пара часов вдумчивого изучения поведенческих факторов в Google Analytics или «Яндекс Метрике». Могут быть два вроде бы похожих текста, но имеющих совершенно разные показатели дочитываемости, отказов и удержания на странице. Глядя на их незначительные структурные и языковые отличия, проще всего осознать, как писать для конкретной аудитории. А чтобы исключить фактор случайности, необходимы сотни текстов и тысячи читателей.
Из этого всего следует вот что: много данных — ценность, данные одного человека — пыль (если, конечно, в них нет какой-то значительной аномалии). Именно поэтому переживать из-за сохранности персональной информации единичных пользователей у сервисов мотивации нет. Задача любой информационной компании — собрать как можно больше данных, за счет их анализа с минимальными затратами усовершенствовать свой продукт, а затем стать незаменимой для клиентов в своей сфере деятельности. Тогда, даже если выяснится, что из фирмы регулярно происходят утечки, от ее услуг уже никто не захочет отказываться.
Однако между нефтью настоящей и цифровой есть фундаментальное отличие. Да, прибыль со своих персональных данных, как и с «черного золота» в недрах родины, мы получить не сможем. Зато хотя бы частично вернуть себе над ними контроль вполне реально. И даже осложнить деятельность тех, кто на наших цифровых личностях бесплатно зарабатывает.
Как с детства мы учимся правильно переходить дорогу и знать сигналы светофора, так же желательно осваивать с младых ногтей основы поведения в Сети. Но задним умом все хороши, большинству-то приходится знакомиться с азами кибербезопасности будучи взрослым, и это тяжело. Не говоря о том, что зачастую сама необходимость таких знаний редко осознается. Масштабы последствий массового пренебрежения кибербезопасностью и общим низким уровнем пресловутой компьютерной грамотности удручают. Среди них:
Проблема в том, что сложившаяся ситуация не осознается в своей серьезности широкими массами и не формулируется в четко определенную область исследования специалистами. В результате нет ни открытых проверяемых источников по теме, ни внятной правовой базы, ни общественного давления, которое могло бы привести к ее формированию и защите органами исполнительной власти. Чтобы описать всю картину хотя бы в общих чертах, никакой статьи не хватит, потребуется целая книга. Поэтому, не вдаваясь в лишние детали, сформулируем основные направления возможных действий по защите своей цифровой личности.
Первым делом лучше сразу оценить уровень своей «параноидальности» и доступные ресурсы. Если вам хочется полного исчезновения с радаров, включая государственные, потребуется много времени, сил и желания погружаться в информационные технологии. Помочь тут смогут узкоспециализированные авторитетные ресурсы, поиск которых можно считать начальным квестом для желающих идти этим путем. Ничего не делать и оставить все как есть — тоже вариант, и осуждать за его выбор нет смысла. Как-никак приспособляемость всегда была основным эволюционным преимуществом человека. Наш случай — баланс между безопасностью и удобством (сохранением привычного образа жизни). Потому что ни один механизм защиты не будет работать, если для его использования придется ломать себя или хотя бы тратить лишние ресурсы.
Правда, даже при этом рациональном подходе все равно сначала придется поработать — подготовить своеобразную инвентаризацию своих цифровых следов. Для этого можно взять обычный табличный редактор и составить собственный профайл. Внести в него известные аккаунты в соцсетях, учетные записи форумов, сайтов и всех возможных сервисов. Придется поднапрячь память, но оно того стоит — даже не самый активный пользователь интернета удивится, скольким сайтам он и его желания и привычки хорошо знакомы. Всегда имеет смысл забить в Google или «Яндекс» свое имя с фамилией, ники (в разных формах), номера телефонов и электронную почту, чтобы посмотреть, где они «светятся».
Отдельное внимание важно уделить тем данным, которые «ближе всего» к реальному человеку — номера телефонов и адреса электронной почты. Они, как правило, используются в качестве основного идентификатора при регистрации практически везде. Их в списке цифровых следов себя удобно поместить на самый верх иерархии. Надо ли добавлять, что получившийся документ должен быть защищен хотя бы паролем и храниться строго локально, без использования облачных сервисов?
После инвентаризации во всем этом добре нужно навести порядок. Процесс не быстрый и трудоемкий, но обязательный. От каких-то аккаунтов избавиться, другие заполнить мусорными данными, что-то удалить навсегда. Главное — сделать локальную копию контента и убедиться, что она читается (некоторые сервисы позволяют скачать архив данных, но извлечь их можно только подгрузив его обратно). План действий в каждом отдельном случае будет свой, но как пример можно использовать следующий вариант:
Какую информацию удалять, а какую оставлять, каждый решает сам. Важно помнить, что даже по случайной фотографии легко определить место жительства человека (тем, кто сомневается, рекомендуем попробовать поиграть в Geoguessr). И не забывать про «эффект Стрейзанд» — попытки ограничить доступ к информации могут лишь привлечь к ней внимание. Поэтому иногда лучше изменить свою анкету на богом забытом сайте, заполнив ее непримечательными данными (вроде ФИО «Иван Сергеевич Петров»), чем писать его администратору с просьбой удалить учетку.
Важный дисклеймер: любые действия совершаются на свой страх и риск. Перед удалением чего-либо важно оценить, как это повлияет на дальнейшее использование не только конкретного сервиса, но и других, связанных с ним.
Предположим, описанное в предыдущем разделе удалось завершить или хотя бы начать. Получилась та самая цифровая личность (вперемежку с интернет-идентичностью), а точнее — ее примерный слепок. Что с ней можно сделать? Во-первых, как уже говорилось выше, имея данные для анализа, можно что-то улучшать. Значит, с этой информацией проще работать и контролировать. Например, обезопасить себя от сталкеров или сотрудников отдела кадров, которые могут задавать вопросы об ошибках прошлого. Во-вторых, на основе уже существующей цифровой личности можно создать новую, или даже несколько.
Выстраивать их нужно, разделяя наборы личных данных по степени «чувствительности». Одну — для банков и финансовых организаций. Для нее понадобится новый номер телефона (и электронная почта), который нельзя указывать более нигде. Чтобы обезопасить себя от вероятности звонков предыдущему владельцу сим-карты, можно выбрать не загруженный посетителями офис сотового оператора и попросить сотрудника проверить, принадлежал ли номер кому-то за последние пять лет. Такая возможность есть даже у персонала первой линии, а договориться об этом довольно легко — благо такая операция хоть и не является стандартной, никакие протоколы безопасности она не нарушает.
Вторая цифровая личность отводится на общение в Сети «от своего лица» — ей соответствует другой телефон и электронная почта. Здесь соберутся социальные сети и мессенджеры. В идеале, конечно, на каждый сервис лучше заводить отдельные номера и адреса, но это совсем неудобно. Третья и обязательная в современном мире — «мусорная» (по возможности — с ненастоящими именем и ником). На нее «вешаются» все наименее значимые ресурсы, вроде форумов и сайтов, которыми пользуешься изредка. Наконец, для непосредственного пользования сотовой сетью понадобится четвертый телефон, контактный. И его, опять же, в предыдущие личности заносить ни в коем случае нельзя.
Вроде бы сложно, однако такая схема проще в реализации, чем кажется. Она радикально повышает безопасность личных данных. При ее использовании, зная контактный номер телефона, уже не получится вычислить социальные сети, мессенджеры и банковские аккаунты. А если какой-то сайт или служба доставки допустят утечку данных, в нее попадут «мусорные» сведения, не связанные с ценными аккаунтами. Наконец, поддерживать четыре сим-карты активными вряд ли будет проблемой, ведь почти у каждого дома есть старый смартфон или «звонилка». А если следовать нескольким простым принципам, оперировать таким набором цифровых личностей будет порой даже проще, чем одной.
Не будем повторять банальности, вроде [нудным менторским тоном] «пароли не должны быть простыми или одинаковыми на разных ресурсах или и то, и другое». Такие базовые правила нарушают все, буквально. Потому что человек — существо ленивое, обладающее слабой памятью и в целом предсказуемое. Решение — менеджер паролей. Их существует множество, и каждый может выбрать под свои вкусы, рекомендовать конкретные мы вам не будем. Главное, чтобы программа была кросс-платформенной (для компьютера и телефона), поддерживала самые совершенные протоколы шифрования и прошла независимый аудит безопасности. Встроенных в браузер сервисов лучше избегать.
Двухфакторная аутентификация нынче обязательна. Она позволяет на порядок повысить безопасность аккаунтов в социальных сетях, мессенджерах и онлайн-сервисах. Даже если это просто проверочные коды на электронную почту. А гораздо более надежные решения вроде Google Authenticator не только просты в использовании, но и поддерживаются огромным числом ресурсов.
Самое сложное — выбор браузера. Какие бы манипуляции с цифровой личностью мы ни проводили, на одну ее сторону у нас пока никак повлиять не получалось — «куки» и цифровые отпечатки. Для этого на помощь приходят сессионные контейнеры, это расширения для популярных браузеров (есть для Firefox, аналог для Chrome менее функционален и платный), которые изолируют открытые пользователем сайты друг от друга (не позволяют использовать одни и те же «куки», а также прочие идентификаторы). Можно просто использовать разные браузеры для разных целей и не забывать изучить их настройки приватности. Хорошей идеей будет установить блокировщики рекламы и нежелательных скриптов.
Без упоминания VPN и прокси материал был бы неполным. Правда, рекомендовать конкретные сервисы нынче опасно, могут взять на карандаш и включить в следующий раунд блокировок. Равно как и обсуждать необходимость их использования — у ответственных служб могут появиться вопросы уже к самому Naked Science. Напомним только главное правило: бесплатные сервисы — практически бессмысленны. Они лишь перепродают ваши личные данные. Исключением могут быть VPN от некоторых гражданских организаций, ставящих своей целью защиту свободы слова и других гражданских свобод, но они обеспечивают довольно низкую скорость и не везде доступны.
Обилие самой разной информации вокруг нас и ее доступность создают иллюзию белого шума. Кажется, что сколько ни добавляй в этот хаос фотографий, текстов, фраз, видео и любых иных данных, они обязательно затеряются. Конечно, часть информации «размывается» почти безнадежно, однако современные технологии хранения и обмена данными по умолчанию подразумевают их структуризацию. Так что при должном умении найти можно что угодно, лишь сложность процесса возрастает, но невозможным он не становится. Проблем добавляет и эффект растормаживания в Сети — людям проще общаться дистанционно, и они чаще делятся тем, что никогда бы не рассказали вне интернета.
Иными словами, новая реальность неумолимо определила условия, в которых мы живем. Можно этому сопротивляться, а можно существовать с комфортом и пользоваться благами. Главное, не забывать о мерах предосторожности — цифровой гигиене. Рано или поздно она повторит историю обычной и станет ежедневной рутиной. Век с небольшим назад люди сомневались в необходимости мыть руки, себя целиком и делать мокрую уборку дома. Но индустриализация привела к тому, что взаимосвязи в обществе стали теснее, так что болезни распространялись быстрее прежнего. К счастью, наука объяснила, откуда они берутся и как можно элементарно проводить профилактику большей их части. Потребовалось лишь немного скорректировать бытовые привычки.
С интернетом картина во многом похожая. Сначала им пользовались только те, кто имел достаточный для этого уровень квалификации. Затем туда начали приходить широкие массы. Ныне в Сети есть почти все. А вместе с тем — бесчисленная прорва вредителей. Естественный отбор, так сказать, заставит людей принимать меры предосторожности.
Разбирающиеся в IT и кибербезопасности читатели, бесспорно, могут сказать, что материал получился неполным. И ряд нюансов в нем пришлось обойти стороной. Но это лишь очень краткий обзор невероятно важной в современном мире темы. Возможно, нам удастся пробудить интерес к ней среди тех, кто прежде об этом не задумывался. А углубленное изучение вопросов защиты личных данных — процесс долгий, интересный и полезный.
Да, без отсечения себя от всех цифровых технологий анонимным не стать, да и такую жизнь в XXI веке трудно назвать комфортной. Но и при использовании благ цивилизации некоторый уровень осознанности в отношении кибербезопасности и собственных личных данных иметь можно. Когда он войдет в привычку, может побудить заняться вопросом глубже. А там и до всеобщей компьютерной грамотности недалеко.
Комментарии
Статья полезная, хорошая. Но вот есть в ней сторонний повод для размышления:
"Например, ни один курс литературного мастерства не помогает автору так, как пара часов вдумчивого изучения поведенческих факторов в Google Analytics или «Яндекс Метрике»."
Как же задолбали эти маркетологи! Изучают, строят поведенческую кальку и начинают вылезать одинаковые книжки, одинаковые сайты, одинаковые картины, одинаковые штаны. Т.е. появляются близнецы-уродцы во всём. Какой продукт ни возьми - один и тот же продукт под разными названиями. Хоть пылесосы, хоть джинсы, хоть колбасу. Всё вокруг какое-то пресное, однотипное.
Не одинаковые. Разные названия, упаковки, подача, в конце концов разный сервис и цены. Кто-то просто продает книгу за 1000 рублей, а кто-то продает за 1000 рублей с доставкой и возможностью подарочной упаковки. Это нормальная конкуренция. У вас из 10 одинаковых продавцов есть возможность выбрать1. И это заставляет продавцов/производителей давать больше выгод клиенту. К маркетологам много вопросов, но в данном случае плохой пример претензии. Так как большому счету ту или иную рекламу вы все равно будете видеть, везде, в жизни, по телевизору, в интернете (глупо полагать, что интернет будет бесплатно вам генерировать контент). Только в интернете вам хотя бы пытаются продать то, что вам нужно, а не засорять пространство случайными объявлениями. Более того, если какое-то объявление очень бесит, то еще чаще всего можно скрыть, выбрав "не показывать больше это объявление".