«Умные города»: среда, опасная для человека

Одной из составляющих концепции «умного города» (Smart City) является массовый сбор разнообразных данных, в том числе коммерческими компаниями: данные эти поступают с датчиков, видеокамер, носимых устройств, из мобильных сетей и пр. «Умный город» по сути представляет собой царство «Интернета вещей» (Internet of Things, IoT), с одной существенной особенностью: это IoT, в который «вживляются» жители города.

В этом смысле «умный город» представляет собой опасность – потенциальную, но серьёзную – для его обитателей.

Как правило, при упоминании проектов, связанных с концепцией Smart City, говорится только о преимуществах, которые несут технологии, и почти ничего о конфиденциальности (privacy) — защите данных, в том числе персональных данных (ПД) граждан. Между тем зависимость благополучия человека от того, насколько надёжно защищены его ПД, в «умном городе» возрастает многократно, поскольку окружающие устройства протоколируют – буквально – каждый его шаг, любое перемещение и, что ещё хуже, очень часто – его коммуникации. Огромные массивы накопленных данных о гражданине допускают извлечение из них нетривиальной информации, которая может не просто скомпрометировать, а позволяют точно смоделировать поведение человека, и вообще многими способами сделать его уязвимым для преступников.

IoT, или персонализиция деперсонализированного

По прогнозам Международного союза электросвязи, в 2015 году в общей сложности будет поставлен один миллиард различных видов беспроводных устройств для «Интернета вещей», что на 60% больше показателей 2014 года. К концу 2015 года на планете ожидается 2,8 миллиарда соединенных устройств между собой устройств – от датчиков свободных мест на парковке до носимых устройств медицинского контроля.

[box]

Что такое «умный город»

По прогнозам ООН, к 2030 году доля городского населения в общем числе жителей планеты составит 80%. Крупные мегаполисы в ряде стран уже испытывают «кризис роста». К их числу относится и Москва.

Рост городского населения радикально усложняет управление самим городом — возникают вопросы безопасности и охраны правопорядка, необходимости внедрять инструменты для ускоренного реагирования на критические повреждения, аварии, угрозы и пр. Все это вызывает потребность в создании высокоинтеллектуальных систем сбора, обработки и анализа данных. Как правило, «умным» называют город, оснащённый такими системами.

Сегодня практически все крупные города мира находятся в той или иной стадии строительства «умной» системы управления городской инфраструктурой.

«Идеальный умный город», к примеру, построила японская фирма Panasonic на одной из заброшенных промышленных площадок, рассказали представители компании на недавнем форуме в Калуге: тысяча домиков-близнецов, тысячи панелей солнечных батарей на всех архитектурных поверхностях (полная энергетическая автономность), тотальная автоматизация быта, отсутствие машин с двигателем внутреннего сгорания – только электрические, автоматизированные системы в образовании, здравоохранении и пр.

Пока на практике применяются отдельные элементы концепции «умного города». Передовыми по части «ума» мегаполисами специалисты считают Вену, Нью-Йорк, Гонконг, Лондон, Париж, Берлин, Барселону, Сидней, Сингапур и др. В них, в частности, уже реализованы системы управления дорожным движением (включая отслеживание движения транспортного средства в реальном времени), повсеместное видеонаблюдение (часто с автоматическим распознаванием лиц и идентификацией прохожих – алгоритмы такой обработки изображений последнее время достигли высокой эффективности), автоматический контроль расхода ресурсов (тепло, водоснабжение, электроэнергия) и пр.

[/box]

«Стоит обратить внимание не только на угрозы потери конфиденциальности данных о конкретных пользователях, но и на новые, специфичные. Например, что может произойти, если будет удаленно взломано носимое устройство, следящее за уровнем сахара в крови человека и автоматически впрыскивающего инсулин? Что произойдет, если будут неправильно работать датчики открывания и закрывания дверей, или датчик, задействованный в системе управления подачей газа для отопления «умного дома»? Можно придумать много сценариев умышленного или случайного вывода из строя «вещей», включённых в обслуживание «умного города», которые могут привести к серьезным последствиям», — говорит руководитель экспертного направления компании Solar Security Андрей Прозоров.

Массовый сбор данных действительно может привести к утечкам критически важной конфиденциальной информации. В момент сбора данные могут не быть персональными, но анализ их совокупности способен «персонализировать» информацию. Примером служит упомянутая уже прогрессирующая с каждым днём технология распознавания лиц: в момент, когда вы публиковали свои фото в Facebook, вы ведь не думали, что поисковая машина окажется способна найти вас в Сети по изображению?

Уязвимость IoT демонстрируют недавние примеры специфических кибернападений, число которых множится. Можно вспомнить взлом IT-систем автомобиля и взятие управления им под внешний контроль и историю превращения открытых данных о поездках нью-йоркцев на такси в персональные данные.

Не дать IoT превратиться в Skynet

Не компьютерная сеть Пентагона из кино о терминаторах, Skynet, несёт угрозу людям, а IoT. Пока роботы не пришли к власти, ещё не поздно отрегулировать их «общественное положение» законами.

«Конечно, стоит регулировать сбор, обработку и хранение такой информации на законодательном уровне отдельных стран или союзов стран. В России действует закон 152-ФЗ «О персональных данных», который частично регулирует такого рода действия. Я говорю «частично» потому, что грамотные юристы вполне могут обосновать вывод обработки такого рода и, зачастую, обезличенной информации из-под действия данного закона и соответствующих требований по обработке и защите. А других требований у нас нет», — говорит Прозоров.

Действительно, формулировки закона о персональных данных конкретностью не отличаются – для их применения на практике необходимы профессиональные толкователи. Чего стоит только статья 15, из-за которой везде и всюду мы подписываем нисколько не защищающее нас «согласие на обработку персональных данных». В этой статье говорится, что «Обработка персональных данных в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи, а также в целях политической агитации допускается только при условии предварительного согласия субъекта персональных данных. Указанная обработка персональных данных признается осуществляемой без предварительного согласия субъекта персональных данных, если оператор не докажет, что такое согласие было получено». Кроме того, «оператор обязан немедленно прекратить по требованию субъекта персональных данных обработку его персональных данных, указанную в части 1 настоящей статьи». Грамотный юрист, если захочет, всегда найдет обходные пути доступа к ПД.

Сбор и анализ больших объемов различных данных вызваны развитием технологий и потому неизбежны, считает руководитель аналитического подразделения департамента информационных технологий Москвы (ДИТ) Алексей Чукарин: «Тут можно даже провести множество исторических аналогий – когда-то многие считали автомобили угрозой человечеству и всерьез отказывались пересаживаться с лошадей, а запуск первого конвейера «обещал» оставить большинство людей без работы».

По его мнению, слово «угроза» — не совсем верное определение. Скорее, концепция «умного города» устанавливает новые правила игры, которым должны следовать все, кто имеет дело с данными – и разработчики, и регуляторы, и непосредственно источники информации, говорит Чукарин. По его словам, безопасность в этих правилах идет первым пунктом, это ключевое слово в процессе.

Приём защиты: знать, что знают о тебе

Приватности становится всё меньше, с этим приходится жить. «Источников информации становится больше, средства ее обработки совершенствуются, технологии распознавания лиц на видео делаются надежнее и доступнее», — прокомментировал Экспертному центру электронного государства аналитик по безопасности Алексей «Arkanoid» Смирнов.

«Недавно доступ к некоторым камерам СОБГ (система обеспечения безопасности города) был сделан публичным, и я считаю, что это хорошо. Мне кажется, ключевым моментом здесь является не защита данных, а прозрачность: каждый должен иметь право знать, какие «следы» он оставляет в окружающем пространстве, и каковы обязанности оператора этих данных по их обработке. Скоро нам придется привыкать к тому, что за анонимность и приватность в физическом мире нужно будет платить, не деньгами, так некоторым дискомфортом в повседневной жизни», — говорит он.

Пользователь должен знать, какие данные о нём собирают, и какие данные о нём уже накоплены, считает Николай Марин, архитектор решений для разумного городского управления из представительства IBM в Центральной и Восточной Европе. Он рассказал о разработке IBM, которая дает возможность пользователю самостоятельно контролировать использование своих персональных данных: «Реализуется это на основе крипто-алгоритмов. Например, онлайн-фильмотеке может потребоваться подтверждение того, что пользователь не моложе 12 лет. Пользователь самостоятельно авторизует единичный запрос сайта, не моложе ли он определённого возраста, но не предоставляет точную дату своего рождения и иные данные о себе. Подобным же образом пользователь самостоятельно авторизует каждый запрос на атрибуты своих персональных данных. Это исключает возможность их неавторизованного накопления и безнравственного использования».

Россия: чего в «безопасном городе» прежде всего надо опасаться

Очевидно, превращения компаний в «больших братьев», шарящих в наших персональных данных.

В конце прошлого года правительство России утвердило концепцию «Безопасный город», ко всему прочему предполагающую оснащение городов видеокамерами. В концепции говорится, что, помимо федерального бюджета, возможно финансирование за счёт средств организаций, работающих в области медицинского обеспечения, технического обслуживания и ремонта транспортных средств, содержания и ремонта дорог, предоставления услуг фото- и видеофиксации административных правонарушений в области дорожного движения и др. Частные инвестиции будут направлены на построение и развитие коммерческих сервисов, использующих инфраструктуру «Безопасного города».

И Дэвид Манн, глава управления информационных технологий правительства Лондона, туда же. В интервью Intelligent Enterprise он утверждает, что «сценарии городского управления» требуют передачи городских информационных ресурсов компаниям.

Представить, к каким утечкам этот рецепт приведёт в России (где издавна торгуют базами данных о налогах, автомобилях, недвижимости и абонентах сетей сотовой связи), просто не хватит фантазии.

Заграница нам поможет вовремя испугаться

Россия по части «умных городов» не впереди планеты, что, возможно, к лучшему – есть возможность изучить чужой опыт.

Как написал в своей колонке в WSJ глава консалтинговой компании Profusion Майк Вестон (Mike Weston), муниципалитеты и правительства по всему миру тратят миллиарды долларов, чтобы создать «умные города». Однако побочным эффектом является огромный объем взрывоопасных данных о жителях таких городов.

В полностью «умном» городе каждый индивидуум может быть отслежен: место работы, потребительские привычки, круг общения и пр. неумолимо фиксируются и ждут своего часа. Когда появятся новые приёмы обработки столь больших данных, ваше прошлое станет открытой книгой. Такое уже возможно – с помощью различных приложений и соцсетей, а также данных транспортных компаний и данных о ваших онлайн-покупках. Разница «всего лишь» в том, что в смарт-городах эти данные будут централизованы, и к ним легко будет получить доступ.

[box]

Промышленная разработка данных городских систем наблюдения

Возможности извлечения критически важных персональных данных из результатов разнородных наблюдений, в частности, городских видеосистем, демонстрирует Palantir Technologies, одна из крупнейших непубличных компаний Кремниевой долины. Точных сведений о её деятельности нет, и понятно, почему – среди клиентов компании ЦРУ и министерство обороны США. Известно, однако, что успех важных разведывательных операций, выполненных с помощью Palantir, обеспечен анализом персональных данных граждан, зафиксированных системами «умных городов». С целью поиска террористов софт, разработанный Palantir, анализирует поведение всех объектов наблюдения без исключения.

[/box]

Источник опасности ещё и в том, что муниципалитеты, как и частные компании, для того, чтобы окупить свои расходы на создание «умных городов», станут искать способы продать информацию, из которой легко извлекаются ПД.

«Информационные системы, аккумулирующие в том числе и огромные массивы персональных данных, создаются не ради самого факта создания, а с вполне утилитарными целями – сделать жизнь в мегаполисе комфортнее, все бизнес-процессы – понятнее и прозрачнее, обеспечить рациональное потребление ресурсов и так далее. Плюс ко всему каждый человек – носитель тех самых персональных данных – должен не забывать и о «личной гигиене», и не распространять бездумно личные сведения о себе и о других. Мало кто об этом задумывается, гораздо проще всегда представить некую машину, выкапывающую сведения о человеке, тогда как зачастую и выкапывать ничего не надо, пользователь по доброй воле выкладывает всю интересующую информацию в открытый доступ», — говорит глава аналитического центра департамента информационных технологий правительства Москвы Алексей Чукарин.

Николай Марин из IBM успокаивает нас тем, что угроза ПД не вместе с IoT возникла: «Данные о людях накапливались уже давно в форме медицинских карт, досье и рекомендаций в учебных заведениях, анкет в посольствах и т.п. Но ранее информация была представлена, в основном, в бумажном виде, что затрудняло её массовый анализ и автоматизированное выявление связей и корреляций». Полезность нового инструмента, как всегда, зависит от правильного использования: «Большая часть данных, формирующих сегодня Большие Данные, представляет собой цифровые фото- и видеоизображения, а также данные датчиков. Как правило, значимыми и актуальными являются среди них не более 5-10%. Разумеется, ценность данных повышается при обогащении их контекстом, геокоординатами и взаимными корреляциями. Угрозу представляет безнравственное и неавторизованное использование накопленных данных, содержащих элементы персональных данных».

Google, Facebook, Twitter, «Яндекс» и др. продают наши данные маркетологам для высокоточной рекламы. При этом пользователей прямо не предупреждают, что их данные будут использоваться в коммерческих целях – считается (зачастую справедливо), что они сами не дураки и всё понимают.

И ситуация на глазах приобретает новое качество. Начинается промышленная разработка ПД, и для этого транснациональные IT-компании объединяются. IBM, например, сотрудничает с Apple, чтобы собирать данные о состоянии здоровья граждан, полученные с носимых устройств, и в реальном времени передавать их врачам и страховым компаниям.

Более того – наши прозорливые соотечественники видят высокий бизнес-смысл в концентрации медицинских (!) данных и создают в Лондоне на эту тему стартап.

[box]

Сотовые операторы – опасные охотники за ПД

Вы также можете, не зная того, стать участником эксперимента по улучшению городской среды и сервисов, для этого достаточно носить с собой телефон.

В России происходит то же, в сущности, самое, разве только масштаб помельче. Член правления МТС и по совместительству сопредседатель «Теле-комитета при Американской торговой палате» на Украине Василь Лацанич на Петербургском международном экономическом форуме прямо заявил о намерении его компании торговать ПД абонентов.

МТС давно использует статистику передвижений своих абонентов по городу для планирования и прогнозирования нагрузки на сети, рассказывал ранее РБК представитель компании Дмитрий Солодовников. Оператор также анализирует big data для формирования индивидуальных предложений клиентам: МТС собирает информацию о профиле потребления интернет-трафика, типах используемых устройств, круге общения, покупках и пр.

В руках МТС скоро окажутся данные, собираемые на улицах и дорогах столицы. Совместно с правительством Москвы оператор участвует в проекте развития городской инфраструктуры. Детальную статистику перемещений абонентов МТС — по дорогам, в метро, электричках — городские власти смогут использовать для строительства магистралей, размещения новых станций метрополитена.

«ВымпелКом» также предоставляет обезличенную геостатистическую информацию для государства — в частности, данные использовались при разработке Генплана Москвы. Компания сообщала о сотрудничестве с департаментом транспорта Санкт-Петербурга.

[/box]

Кому-то придётся смириться: гражданам или компаниям

Пока не будет четких правил использования любой частной информации для тех, в чьи руки она попала, методы регулирования будут совершенствоваться только по мере возникновения проблем. Пример: волна возмущений и даже судебных исков по поводу появления в сервисе Google Maps личных данных — номеров машин, лиц, номеров домов и пр. привела к решению правительств – в частности, Германии – об ограничениях на распространение информации, потенциально опасной для граждан, через сервисы Google.

Предстоит адаптироваться и самим гражданам. «Это не хорошо и не плохо, это просто неизбежно, и нам понадобятся новые привычки. Если мы будем запрещать и ограничивать эти технологии, мы получим в лучшем случае непрозрачную схему их использования, которая даст бОльший простор для злоупотреблений», — считает «Арканоид» Смирнов.

При сборе огромных массивов информации может быть много злоупотреблений, причем не обязательно компанией, которая собирает такие сведения. «Очень часто массивы «больших данных» попросту перепродаются, и установить дальнейшую их судьбу становится практически невозможно», — говорит Прозоров.

[box]

Роскомнадзор проблемы не видит

По словам официального представителя ведомства Вадима Ампелонского, сбор, хранение и использование информации о гражданах уже урегулированы Законом «О персональных данных»:

«Нормативной базы в плане защиты прав субъектов персональных данных вполне достаточно. Так, например, идеи с предоставлением общего доступа к базам данных «умного города» будут незаконны с точки зрения 152-ФЗ. На наш взгляд, такие данные можно собирать исключительно в целях безопасности и охраны правопорядка, соответственно, доступ и цель использования таких данных строго регламентирована. Несмотря на то, что обеспечение этого сложного механизма представляет собой «огромную дыру» в бюджете, тем не менее это вполне оправдано.

Сбор и любая обработка персональных данных согласно нашему законодательству должна соответствовать цели, ради которых данные изначально собираются. Более того, недопустима обработка данных без соответствующего согласия субъекта этих данных. Коммерческое использование собираемых данных незаконно, если сам субъект персональных данных не разрешил этого сделать, также недопустимо получить согласие субъекта для одной цели, а в последующем использовать совершено для иных целей, например, провести социологический опрос о каком-нибудь товаре, а потом «слить» данные компаниям для таргетированной рекламы.

Примеров реализации угроз, связанных с работой систем «умного города», привести не могу, поскольку к нам с соответствующими жалобами не обращались».

[/box]

Вынужденная надежда на государство

Проблема в том, что технологические инновации опережают прогресс юриспруденции. Так было всегда, но теперь разница в скорости становится опасно большой. Опасения по этому поводу высказываются так часто, что не сразу выберешь, кого цитировать. Например, в июле на это обратил внимание президент и генеральный директор Альянса автомобильных производителей США Митч Бэйнвол (Mitch Bainwol). В США демократы говорят – с прицелом на избирательную компанию – о неубедительности доводов бизнеса в пользу безудержного сбора данных и сравнивают решение отдать защиту персональных данных самим корпорациям с ситуацией, когда лиса охраняет курятник.

Законы сегодня позволяют компаниям получить лёгкий доступ к персональным данным – достаточно заставить пользователя поставить галочку «согласен» под офертой онлайн-сервиса.

Никакой закон не запрещает проехать на гугломобиле мимо вашего дома и снять панораму улицы – ограничения на использование результатов съёмки вроде придуманного в некоторых европейских странах затемнения номеров машин и домов, а также лиц прохожих никак не касаются содержимого серверов Google. Там ничего не затемнено, и мы не знаем, не получит ли когда-нибудь Palantir доступ к этим и многим другим данным, собираемым онлайн-сервисами и вашим смартфоном.

Не знаем мы и того, что будет, когда до преступников – настоящих гангстеров, а не тех, кто сидит за клавиатурой – дойдёт, какую выгоду сулит обладание персональными данными, и как просто, без всякого риска, можно эти данные получить.

Попытки бороться с системой граждане предпринимают в одиночестве и, разумеется, безрезультатно.

Государству в РФ, точнее, органам государственной власти, объективно выгоден статус-кво: «частно-государственное партнёрство» ведёт, например, к тому, что компаниям никто не препятствует в установке систем слежения (видеонаблюдение у подъездов, контроль автомобильного трафика в городах и др.) – напротив, власть в этом заинтересована экономией IT-бюджета. В результате «лиса охраняет курятник».

Тем не менее на государство как организацию, действующую в интересах всех граждан без исключения, только и можно надеяться. Либо оно эффективно ограничит компании в бесконтрольном доступе к персональным данным, которые для компаний в IT-эпоху ценнее нефти, либо проиграет им (компаниям) конкуренцию.

Понимание важности проблемы у федеральной власти присутствует — на расширенной коллегии Роскомнадзора в апреле помощник президента РФ Игорь Щёголев заявил, что «защита личного сетевого пространства каждого из нас, защита наших персональных данных важна не менее, чем защита информационного пространства страны».