Які загрози несуть за собою збирання користувацьких даних?

Щоденно інтернет-користувачі генерують ексабайти даних: пошукові запити та почтові сервіси, мобільні банкінги, відео та фотохостинги, чати в соціальних мережах. В результаті кожен залишає цифровий слід та цифрову тінь. Про те, які наслідки це принесе для бізнесу та для ряду користувачів поговоримо в нашій статті.

Цифровий слід

З двох термінів – «цифровий слід» та «цифрова тінь» частіше за все користувачі чули лише про перший.

Під цифровим слідом розуміють всі дані,  створені користувачем, які так чи інакше залишаються в цифровому просторі. Процес створення, поширення та використання таких даних можна контролювати повністю або частково.

Кожен пристрій залишає слід не залежно від того, під’єднаний він до мережі постійно або лише час від часу. До прикладу, декотрі компанії для збору маркетингової інформації встановлюють в торгових точках або у місцях великого скупчення людей спеціальні датчики, які здатні відстежувати активні Wi-Fi- та Bluetooth-модулі смартфонів пішоходів та записують MAC-адреси пристроїв.

Ще один приклад – оператори мобільного зв’язку. Кожен з них може простежити, де саме знаходиться абонент в певний момент, яка швидкість його переміщення, скільки трафіку він використовує, які вхідні та вихідні виклики їм здійснилися.

Як тільки вмикається телефон, дані з пристрою одразу ж починають надходити на базові станції та сервери оператора. Така інформація зберігається протягом певного часу, так що в компанії існує вся історія взаємодії з пристроєм абоненту за певний період.

Якщо є бажання можна скоротити цифровий слід до мінімуму. Наприклад, розплачуватись готівкою, не використовувати мобільний телефон, додатки та веб-сервіси, включати браузер лише в анонімному режимі (хоча це далеко не вихід).

Багато мобільних додатків збирають дані про своїх користувачів, причому останні далеко не завжди знають про це.

У кінці лютого Федеральна торгова комісія США оштрафувала розробників сервісу обміну короткими відео сервісу TikTok майже на $6 млн. Як виявилось, особиста інформація неповнолітніх користувачів була використана у відкритому доступі.

Цей випадок – далеко не єдиний, в центрі скандалів з неправомірним використанням персональної інформації часто виявляються як великі, так і маленькі компанії-розробники додатків для мобільних пристроїв та веб-сервісів.

Цифрова тінь

Цифрова тінь – менш відомий термін, котрий теж характеризує дані користувача в цифровому середовищі.

Різниця полягає в тому, що тіньові відбитки користувач ніяк не контролює. Часто він навіть не знає, що взагалі десь залишив інформацію про себе.

Приклад — потрапляння в поле зору камери спостереження. Але якщо сервери камер спостережень на вулиці захищені від зовнішнього впливу, то дані, які постачалися з домашніх камер, доступніші для стороннього користувача.

Дані зі всіх цих пристроїв можуть передаватися (та передаються зараз) по відкритих каналах. Оскільки зібрана інформація може зберігатися де завгодно, передбачити, хто отримає до неї доступ, не вийде.


Яскравий приклад цифрової тіні та пов’язані з нею наслідки – попадання жінки з бойфрендом в об’єктив камер автомобіля Google, а після – розміщення фотографій цієї пари на Google Maps. Пізніше виявляється, що жінка заміжня, але на знімок потрапив зовсім не її чоловік (той виявить зображення, прокладаючи маршрут по місту). Історія закінчилась розводом. Позбутися від цифрової тіні практично неможливо. Залишається лише мінімізувати ризики та робити все можливе, аби навіть частина сліду не була використана злочинцями.

Як збирають дані користувачів

Це здійснюється по-різному. Маючи ноутбук, мобільний телефон та розумний годинник, користувач щосекундно залишає як сліди, так і тінь. До прикладу, про господаря мобільного пристрою багато знає оператор мобільного зв’язку, а про склад трафіку, тобто про його інтереси знають провайдери інтернет-послуг.

Під час роботи в мережі інформацію про користувача збирають браузер, пошуковий сервіс та інтернет-провайдери. Обмежений об’єм даних про дії отримують самі сайти, і в деяких випадках їх аналізують спеціальні скрипти на боці серверу, запущені маркетинговими агентствами для вивчення цільової аудиторії різних товарів та послуг.

Підключаючись до інтернету в транспорті, користувач також розкриває дані про своє місцеположення місцевому оператору зв’язку.

Сама по собі ця інформація не представляє значного інтересу, але загалом з предикативної аналітики системи зможуть передбачити місцеперебування людини у певний час, орієнтуючись на його шаблони поведінки та улюблені локації.

В декотрих країнах збір персональних даних громадян поставлений на потік. В Китаї, наприклад, мається декілька різноманітних систем відеонагляду.

В рамках однієї з них, Skynet Project, встановлено понад 20 млн камер. До 2020 року до цієї цифри планується додати ще декілька сотень мільйонів пристроїв. Громадян ідентифікують на вулиці – наприклад, для того, аби покарати за порушення правил дорожнього руху.

У ряді регіонів Китаю і цифровий відбиток, і цифрова тінь громадянина означає набагато більше, ніж в іншій країні.

Хто та як використовує зібранні данні

Існує три сценарії використання зібраної про користувачів інформації:

  • комерційний,
  • державний,
  • кримінальний.

Комерційний

Бізнесу життєво необхідні дані про своїх клієнтів або про потенційну цільову аудиторію, оскільки стає простіше взаємодіяти з покупцями, розуміючи їх вік, стать, соціальну групу, професійну діяльність та хобі.

Все це сприяє максимальній персоналізації – рушійнику прогресу, який пришвидшує розвиток, а саме, ритейлу. Користувацькі дані допомагають збирати звіти про цільову аудиторію і частоті візитів користувачів. Крім того, аналізується час присутності людини в магазині, а потім зіставляються heat maps.

Це допомагає зрозуміти, чи ефективно використовується весь простір магазину, чи вдало розміщені товари, які групи товарів в найближчий час будуть цікаві покупцям, а які – ні.

Торгові точки розуміють, який асортимент викладають на вітрини, компанії – яку рекламу демонструвати, а рекламний банер при врахуванні цих даних збільшить конверсію, ніж при демонстрації відвідувачу сайту випадкової реклами.

Соціальна мережа Facebook протягом декількох років пропонувала користувачам випробувати новий VPN-сервіс Onavo. Але в умовах використання був невеличкий нюанс.

При встановленні Onavo користувачі отримували VPN-канал, а компанія – особисті дані користувачів. Інформацію ретельно аналізували, потім Facebook на основі великої вибірки формував список трендів, актуальних для учасників у експерименті користувачів.

На основі аналізу отриманих даних соціальної мережі вдалося побачити потенційну популярність месенджера WhatsApp (його потім викупив Facebook). Багато функцій продуктів конкуруючих компаній, популярність яких виявлялась при аналізу зібраних даних, соціальна мережа просто скопіювала. Так сталося з Stories та SnapChat.

Наразі Onavo закритий, на Facebook подали до суду та заборонили роботу з VPN. Однак, з впевненістю можна стверджувати, що компанія досягла поточних висот завдяки збору та аналізу користувацьких даних.

Варто зазначити, що бізнес працює з узагальненими даними користувачів вже не одне десятиліття, отримуючи доволі значні прибутки внаслідок вивчення деперсоналізованої інформації різних груп користувачів. Компанії, аналізуючи певні вибірки даних, знижують витрати на маркетинг, покращують логістику та в цілому підвищують ефективність своєї роботи.

Державний

Він передбачає більш ефективну роботу з громадянами (на основі зібраної інформації), включаючи ізоляцію порушників та заохочування тих, хто поважає закон. Будь-яка країна має широкі можливості по збору особистих даних громадян, декотрі держави використовують цю інформацію.

У Китаї проживає більше півтора мільярда людей. Протягом декількох років країна використовує їх дані для ведення спеціалізованого соціального рейтингу (Social Credit System). Поки що цей проект має характер пілотного та працює лише в декотрих регіонах. Завдання – стимулювати громадян дотримуватись законів та правових норм, прийнятних як в окремому регіоні, так і в усій країні в цілому.

Якщо громадянин не бажає дотримуватися правил, йому можуть обмежити доступ до певних соціальних благ. До прикладу, обмежити кредитування, можливість виїзду за кордон, ускладнити працевлаштування – не усі компанії забажають взяти на роботу ненадійного співробітника.

Та навпаки, законослухняний член суспільства може отримати рефінансування кредиту, його випустять за кордон, запропонують знижку на покупку продуктів та авіабілетів. Більш того, держава може понизити вартість комунальних послуг та дати певну перевагу при вступі до престижного вищого навчального закладу.

Як держава збирає інформацію? Передусім, шляхом оцифрування муніципальних комунальних та соціальних служб, поліцейських звітів та записів з камер відеонагляду.

У тій, чи іншій мірі цифровий контроль за громадянами встановлений практично у будь-якій країні світу, тільки десь приміряється лише окремі елементи моніторингу, а в інших містах вибудовується жорстка централізована система.

Кримінальний

Кримінальний світ збирає дані про свої майбутні жертви за допомогою соціальної інженерії. Сучасний кіберзлочинець — це зовсім не технологічний геній. Це людина з добре розвиненими комунікативними здібностями, котра може обдурити співробітника будь-якої організації, переконавши його надати якусь важливу інформацію про клієнтів або доступи до корпоративних сервісів.

Більшість даних про потенційну жертву беруться з відкритих джерел – соціальних мереж, месенджерів, інтерв’ю. Іншими словами, вони використовують загальнодоступний цифровий слід, а потім входять у довіру до жертви заради отримання бажаного результату.

Популярний формат атаки — фішинг. Це посилання заражених повідомлень широкому колу людей від представників великих та шанованих у суспільстві компаній.

За статистикою, близько 85% шкідливих програм розширюється за допомогою фішингу. Неуважний користувач може відкрити збережений в атачменті документ та заразити власний комп’ютер або навіть локальну мережу підприємства.

Деколи злочинцям вдається створити цифрову копію особистості, яку можна використати для зняття грошей з чужих банківських рахунків, здійснення покупок від імені іншої людини.

Що стосується бізнесу, то для комерційних компаній наслідки злому кіберзлочинцями мережі можуть бути особливо важкими. Збитки від їх дій складають десятки й навіть сотні мільйонів доларів.

Аби захистити бізнес від кіберзлочинців, необхідно ознайомити співробітників компанії з потенційними ризиками та дати чітку відповідь в плані того, як правильно діяти в тій чи іншій ситуації.

Образно кажучи, перша лінія інформаційного захисту для компанії – це здоровий глузд кожного співробітника: від прибиральниці до гендиректора. Всі повинні розуміти, що інформація, яка поширюється в соцмережах, ЗМІ чи месенджерах – це джерело даних для злодіїв.

При спілкуванні в тому ж Facebook слід задавати собі питання – а чи не стане цей цифровий слід цінним ресурсом для кіберзлочинців? Будь-яка частка особистої інформації може одного разу скомпрометувати людину та стати кнопкою впливу зі сторони злодіїв.

Аби уникнути шантажу та вимог надання доступу до рахунків організацій, корпоративної інформації та даних про керівництво, під час роботи в інтернеті уявіть, що поруч з вами сидить ваша мама або батько, начальник чи вчитель. Чи вподобають вони те, що ви пишете наразі у своєму Twitter? Якщо ні, то варто утриматись.

Висновок

Резюмуючи, необхідно підкреслити, що збір користувацьких даних сам по собі не несе негативу, якщо це відбувається без порушення прав громадян.

Головне – необхідно розуміти, хто та як планує використовувати отриману інформацію. Чим «розумніше» будуть ставати пристрої, домівки та цілі міста, тим більше даних буде неминуче агрегуватися та збиратися.

Не потрібно боятися цього процесу, головне – це не залишати інформацію, знання яке може стати зброєю проти приватної особи або компанії. Варто використовувати «мережеву гігієну» та аналізувати свої дії, особливо в публічних мережах – це дозволить мінімізувати ризики.

БІЛЬШЕ ЦІКАВОГО:

Читайте также:

Як захистити свої дані? Нотатки параноїка

Битва флагманів: Samsung Galaxy Note 10 Plus vs. iPhone XS Max

Екологічні будикнки-куполи від стартапу Geoship

Криптомайнери, UEFI-руткіти, злошкідливі Word-скрипти: найбільш актуальні загрози в кіберпросторі