IT Manager Безпека управління ІБ Юлія Козлова

| 24.04.2018

Виступ Марка Цукерберга (Mark Zuckerberg) в Сенаті США на минулому тижні в зв'язку зі скандальною компанією Cambridge Analytica, що зібрала за допомогою Facebook дані більш ніж 87 млн ​​американців для використання в політичних цілях, знову зробило центральної тему збору особистих даних в мережі.

Хоча засновник і керівник найбільшої в світі соціальної мережі стверджував, відповідаючи сенаторам, що користувачі можуть самостійно вирішувати, яку інформацію соцмережа буде збирати, а яку ні, в інтернеті, за деякими відомостями, процвітають компанії, які здійснюють, тим чи іншим чином, стеження за користувачами Facebook.

Однією з таких компаній, за даними американського Forbes, є ізраїльська Verint, недавно купила невелику розвідувальну компанію Terrogence - дітище колишнього офіцера ізраїльських спецслужб. І Verint, і Terrogence активно укладають контракти з урядом США на забезпечення служби Національної безпеки США (National Security Agency, NSA) і багатьох інших служб новітніми шпигунськими технологіями.

Один із сервісів, описаний на сайті компанії Terrogence, може стурбувати борців за недоторканність особистих даних в Інтернеті. Сервіс Face-Int призначений для розпізнавання осіб і містить в своїй основі базу даних осіб тисяч підозрюваних у протиправній діяльності. Terrogence активно відстежує і збирає онлайн профілі і зображення осіб терористів, злочинців та інших осіб, що представляють загрозу авіаційній, імміграційної та національної безпеки.

Серед джерел даних називаються YouTube, Facebook, а також різні відкриті і закриті форуми. Розробники стверджують, що база осіб була отримана з більш ніж 35 тисяч відео і фотографій тренувальних таборів терористів, мотиваційних роликів екстремістів, а також даних про терористичні атаки.

22 квітня інформація про Face-Int пропала з сайту Terrogenсe, однак архів web-сторінок Wayback Machine зберіг останню копію сторінки з описом цього сервісу. У тому ж архіві можна побачити, що опис Face-Int знаходилося на цьому сайті з 2013 року, що побічно дозволяє припустити значно більшу вибірку аналізованих фотографій і відео, що заявляється.

Хоча основними сферами діяльності Terrogence є співпраця з розвідувальними службами та правоохоронними органами для боротьби з тероризмом, в профілях колишніх співробітників на LinkedIn можна знайти згадку про «роботах з громадською думкою для урядових клієнтів» і використанні «методів роботи з соціальними мережами для вивчення політичних і соціальних груп ».

Це тільки одна з багатьох компаній, як і Cambridge Analytica, які зуміли скористатися відкритістю Facebook.

«Подібні випадки підвищують ризики застосування системи розпізнавання осіб», - каже головний політичний аналітик Американського союзу захисту громадянських свобод (American Civil Liberties Union, ACLU) Джей Стенлі (Jay Stanley). «Якщо розібратися, розпізнавання осіб застосовується повсюдно, і нам необхідно задуматися, що це означає для нас. Якщо приватні компанії збирають фотографії та зіставляють їх з особистими даними для оцінки людей на предмет приналежності до терористичних груп, або схильності до крадіжок, підвищується ризик помилок у встановленні особи або намірів ».

Існуючі проблеми програм розпізнавання осіб - недостатня точність при застосуванні на відео матеріалі і помилки в розпізнаванні всіх рас, крім білошкірих, можуть привести до помилок в ідентифікації та порушити права законослухняних громадян.

Поки незрозуміло, на базі якої саме технології Face-Int отримує зображення осіб, але опис додатка нагадує один з проектів Агентства Національної Безпеки, розкритий Едвардом Сноуденом в 2014 році. Тоді розвідувальна служба за три роки існування проекту з 2011 року зібрала 55000 якісних знімків розпізнаних осіб.

Схоже, що Terrogence порушує політику Facebook, згідно з якою використання для стеження за користувачами даних, отриманих з соцмережі, заборонено. Також не дозволяється використання будь-яких автоматизованих методів збору інформації з соціальної мережі, наприклад, ботів.

Немає свідчень, що уряд США може використовувати сервіс Face-Int, однак відкриті дані свідчать про наявність у компанії Terrogence принаймні двох державних контрактів з Військово-морськими силами США на загальну суму $ 148000. Стільки коштувала підписка в 2014 і 2015 році на два сервісу компанії Terrogence: Mobius і TGAlertS.

Mobius є добіркою доповідей про останні тренди в застосовуваних терористами вибухових пристроях і способах їх застосування, зібраних в різних соціальних мережах і платформах, а TGAlertS є оперативну інформацію про деякі «важливі події», отриману співробітниками Terrogence в мережі.

Всі ці дані збираються співробітниками компанії Terrogence і подібних їй завдяки численним підставним профілів, і ведення ретельно спланованих обговорень і діалогів. Опис цієї служби нагадує іншу компанію - SenseCy, придбану Verint в 2017-му році. Будучи більш зосередженою на кібербезпеки, компанія SenseCy «управляє десятками віртуальних суб'єктів з надійними легендами і відточеними до досконалості методиками web-спілкування і є джерелом розвідданих з усіх web-платформ», - йдеться в офіційному описі.

Ще одним аспектом діяльності агентств, подібних Terrogence, що викликають занепокоєння громадськості, є створення різних «чорних списків». Раніше в цьому місяці Verint запустила ще одну програму розпізнавання осіб - FaceDetect, що дозволяє, згідно з описом, ідентифікувати особи, незважаючи на будь-які перешкоди, старіння об'єкта, маскування і національність, і миттєво поміщати людей у ​​списки розшукуваних.

Основною проблемою подібних списків, створюваних державами, є відсутність чіткого опису алгоритму попадання в ці списки і сфер їх застосування. У разі, якщо приватні розвідувальні компанії почнуть складати подібні списки, ситуація ще погіршиться.

Групи, подібні ACLU, що виступають за захист персональних даних, вимагають, щоб користувачі отримали реальну можливість самостійно управляти конфіденційністю своїх даних, в тому числі фотографій профілю.

Існуючі в Facebook правила, що стосуються фотографій користувачів, викликають побоювання у фахівців з безпеки. Зараз від публічного перегляду можна приховати майже все, крім поточного фото профілю.

Ключові слова: безпеку

Журнал IT Manager [ Підписка на журнал ]