Безопасность персональных данных поможет самым уязвимым
Гуманитарные организации, например базирующийся в Женеве «Международный комитет Красного Креста» (МККК), с недавних пор активно занимаются «цифровизацией» своей деятельности, с тем чтобы охватить ею как можно больше нуждающихся по всему миру. Возможные утечки данных могут привести, однако, к тому, что и без того обездоленные люди могут подвергнуться дополнительным рискам и опасностям.
Перевод с английского Нины Шуляковой.
В декабре 2020 года в Ираке были закрыты несколько лагерей беженцев. По данным МККК, жизнь около 240 000 человек, многие из которых — женщины и дети, внезапно оказалась под угрозой. Бывшие обитатели закрытых лагерей начали расходиться и разъезжаться кто куда, и МККК попытался выяснить, удалось ли им вернуться в свои родные места, были ли они переведены в другие лагеря или снова оказались в числе вынужденных беженцев и насильственно перемещённых лиц.
При этом удостоверить личность многих женщин и детей мог только мужчина, глава семьи, который тоже легко мог уже погибнуть или пропасть без вести. Но даже если у кого-то из них и был официальный документ, удостоверяющий личность, то зачастую такие бумаги не были актуальными и не содержали все необходимые сведения просто потому, что в регионе, где все они жили раньше и откуда им пришлось бежать, никаких современных госуслуг не могло быть в принципе. По данным МККК, регистрация людей для получения гуманитарной помощи в случаях, подобных ситуации в Ираке, часто приводит к возникновению сложностей и проблем. Какие это сложности?
Показать больше
Десять лет войне в Сирии: как мы могли допустить это?
Например, личные данные зачастую дублируются, так что получать гумпомощь часто под чужими именами приходят вовсе не те, кто был под данным именем зарегистрирован. Исправить ситуацию могли бы новые цифровые технологические решения. С другой стороны, возможные утечки данных в результате, в частности, хакерского взлома вполне могут привести к тому, что и без того обездоленные люди окажутся под угрозой дополнительных рисков и опасностей. «МККК более 150 лет занимается оказанием помощи людям, пострадавшим от войн и насилия. И мы активно работаем над тем, чтобы соответствовать их потребностям в мире, который с каждым днём становится всё более цифровым».
Об этом нам рассказывает Нур Хадам-Аль-Джам (Nour Khadam-Al-Jam), руководитель «Инициативы по автоматизации гуманитарной помощиВнешняя ссылка» (Engineering Humanitarian Aid Initiative), проекта в области совершенствования работы гуманитарных организаций в условиях цифровой революции. «Инициативу» с бюджетом в 5 млн франков, запущенную в конце 2020 года, поддерживают, наряду с МККК, еще и ученые из двух Швейцарских федеральных высших технических школ в Цюрихе (ETH) и Лозанне (EPFL).
Оптимизируя оказание помощи
Случаи мошенничества и утечки данных особенно часто могут случаться на этапе доставки гуманитарной помощи. Поэтому рабочая исследовательская группа EPFL специально изучает, как можно было бы безопасно использовать биометрические данные для подвоза и распределения необходимых продуктов, медикаментов и личных вещей только тем, кто в них действительно нуждается.
Показать больше
Опасные связи Международного Комитета Красного Креста
Эксперты пытаются найти реально надежный способ биометрической идентификации лиц, например, при помощи сканирования отпечатков пальцев и лица, с тем чтобы сделать систему распределения помощи более эффективной и действенной, одновременно защищая конфиденциальность персональных данных её получателей. Старший научный сотрудник Кармела Тронкосо (Carmela TroncosoВнешняя ссылка) говорит, что «биометрическая идентификация может быть идеальным решением, особенно для вынужденных беженцев и перемещённых лиц, потому что «в отличие от официальных удостоверений личности, их отпечатки пальцев и черты лица уж точно всегда при них, точно идентифицируя их личность».
Она занимает должность доцента в EPFL и руководит Лабораторией технических решений в области безопасности и конфиденциальности данных (Security and Privacy Engineering LabВнешняя ссылка), которая, в частности, уже разработала технологию, лежащую в основе SwissCovid, мобильной программы-приложения для отслеживания контактов лиц, заражённых коронавирусом. По ее мнению, «биометрические данные помогут сотрудникам, отвечающим за распределение гуманитарной помощи, определять, каким людям она нужна, а каким нет, кто уже получил продукты, кто нет, какие семьи должны получить, например, продуктовые наборы, содержащие детское молоко, а какие в нём не нуждаются».
Действовать с осторожностью
«Биометрия — это новое направление для МККК, но в целом у нас опыт сбора и обработки больших объемов данных уже есть», — говорит Винсент Граф Нарбель (Vincent Graf NarbelВнешняя ссылка), старший консультант МККК в области стратегических технологий. «Мы всегда собирали информацию о людях, например, регистрируя данные военнопленных во время Второй мировой войны». По его словам, Красный Крест всегда с осторожностью относился к собранным данным, признавая при этом, что более совершенные и надёжные технологии могли бы степень безопасности данных и эффективность деятельности организации в целом.
Первый этап «Инициативы по автоматизации гуманитарной помощи» (Engineering Humanitarian Aid Initiative) охватывает и другие области исследований:
— определение численности уязвимых групп населения с помощью спутниковой съемки и анализа постов в социальных сетях;
— усовершенствование системы распределения медицинского оборудования;
— обеспечение социально устойчивого и экологически ответственного развития гуманитарной инфраструктуры;
— противодействие дезинформации в социальных сетях.
Приём заявок на участие во втором этапе завершится в июле. Все исследовательские проекты рассчитаны на два года.
Кармела Тронкосо считает, что в настоящее время с точки зрения защиты конфиденциальности биометрических данных существует две проблемные области: во-первых, партнёрство со сторонними организациями и, во-вторых, проблема централизованного сбора и хранения данных. «В тот момент, когда наши данные попадают в IT-системы, разработанные третьими сторонами, МККК больше не может гарантировать обещанную защиту этих данных». Поэтому К. Тронкосо пытается сейчас выяснить, как можно было бы удалить эту «третью переменную» из данного уравнения. Поскольку крупные базы данных в целом системно уязвимы и не гарантируют от утечек информации, её команда экспертов надеется найти способ не использовать такие базы данных, например, за счёт локальных устройств и форматов хранения данных.
Она предлагает вспомнить, что отпечаток пальца, необходимый для разблокировки айфона, хранится не в какой-то базе данных, а на самом мобильном устройстве. Точно так же может быть разработана технология, благодаря которой получателям гуманитарной помощи будут выдаваться специальные устройства или жетоны, хранящие записи о помощи, уже полученной отдельным лицом или семьёй, для доступа к которым потребуется отпечаток пальцев данных лиц. При этом К. Тронкосо предупреждает, что идеального способа гарантировать безопасность биометрических данных не существует. Например, в регионах, где женщины закрывают лицо по религиозным соображениям, функция распознавания лиц по понятным причинам не работает.
Поэтому она и её команда экспертов в настоящее время занимается еще и изучением региональной специфики, чтобы понять, где и для кого может быть полезна и применима такая биометрическая система. «Мы можем создать очень надёжную технологию защиты конфиденциальности, только изучив все мельчайшие детали», — говорит она, добавляя, что некоторый риск будет оставаться всегда, ведь персональные устройства или жетоны могут быть потеряны, украдены или использованы в качестве взятки.
Но наличие способов биометрической идентификации позволит значительно затруднить кражу таких устройств или вымогательство, потому что злоумышленникам потребуется тогда присутствие их владельца, например, для использования отпечатка его пальца. «Весьма вероятно, что нам не удастся полностью исключить вероятность мошеннических действий или обеспечить стопроцентную конфиденциальность. Но с нашей точки зрения решить проблему — это значит свести риск какого-либо вреда до минимума».
Уязвимость системы из-за технических средств
По мере накопления все большего объема данных увеличивается вероятность их утечки — либо из-за ошибки, связанной с человеческим фактором, либо из-за преднамеренных действий групп или государств, стремящихся получить доступ к информации и системам при помощи хакерства. Недаром на недавней встрече в Женеве президентов России и США речь шла прежде всего об информационной безопасности, а недавно группа хакеров-вымогателей REvil внезапно исчезла из «даркнета».
В этом смысле больше всего проблем возникает в сфере обеспечения цифровой безопасности серверного оборудования, технологий «облачной» обработки данных и обмена ими. Адриан Перриг (Adrian PerrigВнешняя ссылка), профессор информатики Цюрихского политеха (ETH Zürich), возглавляет группу ученых, стремящихся разработать инженерно-технические решения основных проблем, речь о которых идет и в рамках всех трёх направлений в рамках «Инициативы по автоматизации гуманитарной помощи». Во-первых, речь идет о потенциальных уязвимостях оборудование, приобретаемого гуманитарными организациями. Им можно манипулировать, создавая так называемые «программные закладки», или «бэкдоры», с помощью которой доступ к данным могут получить неавторизованные третьи пользователи.
«Для некоторых стран самый дешёвый способ это сделать — просто установить на оборудование во время его транспортировки шпионские программы или устройства», — говорит А. Перриг. «Их чрезвычайно сложно обнаружить, даже если вы вскроете компьютер или сервер и заглянете в него. В некоторых случаях злоумышленники просто меняют процессор на тот, на котором уже установлены хакерские программы, но который выглядит точно так же». Гуманитарные организации также обязаны понимать: преступники могут получить доступ к их информации при их хранении или обработке в «облаке», а не на локальных устройствах.
«Если вы используете общедоступные облачные сервисы, то вы должны осознавать, что обычно они находятся под юрисдикцией какой-либо страны, и в некоторых случаях соответствующие спецслужбы могут легко получать доступ к этим данным, если им это вдруг становится зачем-то необходимо», — говорит А. Перриг. Поэтому сейчас гуманитарные организации стараются не использовать облачные серверы Amazon и Google как раз из-за уязвимости хранящихся на них данных. Но, по его словам, часто у них просто нет другого выбора, особенно если возникает необходимость снизить накладные расходы. Вот почему его команда также работает над тем, чтобы создать облачные среды, которые были бы безопасными и рентабельными для организаций, подобных МККК.
Риск прослушки
Исследовательская группа ETH также работает над созданием безопасной технологии, которая исключила бы возможность прослушки. «Даже если вы всё зашифруете, ваши разговоры всё равно можно подслушивать и частично извлекать из них важную информацию», — говорит А. Перриг. Его команда уже добилась определённого прогресса в решении этой проблемы, сделав возможным обмен информацией только между сертифицированными участниками. «У нас есть способ отправлять данные пакетами разными путями. И если кто-то взламывает один из этих каналов, то получить всю информацию он все равно не сможет».
Показать больше
Оптимальное решение проблемы беженцев: швейцарский взгляд
Рассчитанный на два года проект сотрудничества его команды с МККК нацелен на то, чтобы в итоге ученые смогли разработать и предоставить гуманитарным организациям «примерный план-шаблон обеспечения безопасного обмена данными и их цифровую обработку экономически рентабельными методами, с тем чтобы снизить степень их зависимости от какого-либо одного государства, способного получить несанкционированный доступ к их данным. Но конечно, обмен информацией почти никогда не будет абсолютно надёжным и безопасным, потому что хакеры и прочие преступники тоже постоянно наращивают свой технологический потенциал», — резюмирует А. Перриг.
Показать больше
Ученые из CERN предлагают шифроваться!
В соответствии со стандартами JTI
Показать больше: Сертификат по нормам JTI для портала SWI swissinfo.ch
Примите участие в дискуссии