Про законопроект 6688. Цього разу розгорнуто та без емоцій

Як дуже влучно зазначає чотиризірковий генерал Майкл Гайден, який за свою цікаву кар’єру мав змогу керувати і ЦРУ, і АНБ, приватність — це результат постійних перемовин, наскільки ми можемо поступитися нашим особистим заради нашого суспільного. Іншими словами, персональна свобода та суспільна безпека завжди знаходяться в певному балансі, який наразі актуальний з точки зору безпеки та прийнятний з точки зору свободи. І ці перемовини не припиняються ніколи.

Приватність, свобода слова, свобода доступу до інформації, свобода думки та переконань — це фундаментальні принципи, які складають той самий європейський вибір України, про який ми так часто говоримо або чуємо. Це універсальні цінності так званого Вільного Світу, і якщо ми вважаємо, що належимо до нього, то це і наші цінності теж. А якщо це не наші цінності, то ми до нього не належимо. Тут з причиною та наслідком все дуже просто.

Наша держава останнім часом демонструє нам деякі відхилення від стратегічного вектору інтеграції в той самий Вільний Світ. Спочатку вона запропонувала нам боротися в інтернеті, який взагалі вважається вільним та незалежним середовищем обміну інформацією, з відверто ворожими нам ресурсами. Ідея сама по собі непогана, але реалізація трохи кульгає. Задля реалізації, держава запропонувала розміщувати на провайдерах доступу до інтернету спеціальне обладнання та технічно блокувати доступ користувачів до визначеного переліку ресурсів. Але менше з тим, будемо вважати, що попри всі застереження експертів цей раунд переговорів про баланс свободи та безпеки держава в суспільства виграла.

Наступним кроком, держава пропонує нам надати можливість слідчим органам в досудовому порядку блокувати доступ до ресурсів на час до двох діб. Тобто, по суті, список блокування стає динамічним, і його можуть наповнювати дуже багато різних людей, здебільшого службовців. Кого це врятує та кому додасть безпеки, особисто мені не очевидно, але ж я не експерт зі слідчих дій. Я трохи шарю в кібербезпеці та ніби розуміюся на приватності, тому дозвольте поділитися з вами наступним. В тому, де проходитиме межа, є певні неприємні наслідки, які слід враховувати, коли ми, як вільне суспільство, ведемо з державою відповідні перемовини. Наприклад:

  1. Підсилення заходів безпеки за рахунок послаблення свободи перейде у спадок наступному уряду. Тому, помилковим є міркування з точки зору “а чи довіряю я поточному Президенту, прем’єру або голові СБУ”. Мова йде про системні зрушення, зміну “суспільного договору”, яка в бік підсилення цензури, тоталітаризму та регулювання інтернету відбувається дуже легко, а от вибороти “обмежені” права назад буде набагато складніше.
  2. Завжди думайте про наступний крок, який держава спробує зробити в бік обмеження свободи та підсилення безпеки. Вчора нам заборонили пацакські соцмережі, сьогодні намагаються зробити ці заборони гнучкими та зручними (читати: вразливими для зловживань). Що буде завтра? Блокування VPN, якими масово захопилася молодь, чи одразу заборона криптографії та шифрування пристроїв, дисків та повідомлень?
  3. Аргументи держави завжди будуть логічними. І в ідеальному світі вони були б правильними. Але ніколи не можна виключати з рівняння людину та її егоїзм. Всі запропоновані інструменти регулювання та блокування можуть, а отже будуть, використані не за призначенням. Скоріш за все, з метою підсилення цензури, здійснення нечесної конкуренції та інших проявів корупції. Тому, коли ми говоримо про розширення повноважень держави в інтернеті, ми повинні в першу чергу думати про потенційну шкоду, яку нам за допомогою цих нових можливостей зможуть нанести окремі корумповані можновладці, чиновники та правоохоронці.
  4. Аргументи держави завжди будуть більш-менш прийнятними. Тому що цензура та тоталітаризм водночас не встановлюються. До них йдуть роками, роблячи маленькі кроки. Кожен з яких зрушує status quo на невеличку, суспільно прийнятну дельту. “Та шо, ми ж всього на 48 годин. І якшо шо то слідчому надають по шапці. Та шо ж ви не довіряєте нашим суддям та прокурорам?” І так далі.

На фоні цих невеличких кроків на провайдерах будуть впроваджуватися та удосконалюватися технології, які одного дня дадуть державі не косметичні, як зараз, а вже суттєві важелі впливу на інформаційний простір. І вже не обов’язково з метою забезпечення суспільної безпеки.

GDPR

Я колись обіцяв шо не буду писати нічо про GDPR, але треба, бо деяких діячів вже трохи заносить. Тому мушу, для кращого загального розуміння теми тими з нас, для кого вона важлива, але хто не займається приватністю напряму.

1. GDPR про приватність, а не про кібербезпеку. Приватність це секретність даних про людей. Конфіденційність це секретність даних про бізнес. Кібербезпека це скоріше друге. Тому раджу не змішувати одне з одним та пам’ятати, що в GDPR основні суб’єкти це не ваш бізнес та євробюрократи, а ваш бізнес та резиденти ЄС, які найняли бюрократів, які написали закон. Тому коли вам парять DPI, DLP та Next-Gen фаєрволи для “кращого комплаянсу” з GDPR – попросіть пояснити, чому вам пропонують застосовувати це до всієї вашої інфраструктури. Коли в дійсності треба просто токенізувати або пошифрувати вміст ваших БД та написати пару форм та політик. Я утрірую, але настрій ви вловили.

2. GDPR не регулює дані про померлих. GDPR-compliant cemetery це не вдалий жарт, а маячня та невігластво, хоча і то і то може бути кумедне.

3. Фізичні особи які збирають дані для особистого використання, науковці які збирають знеособлені дані для досліджень, работодавці які збирають дані про працівників є виключеннями з GDPR. Причому стосунки роботодавців та працівників є предметом інших нормативів, але коли вам кажуть шо ви subject to GDPR тому шо у вас працює іноземець – женіть продавця в шию.

4. Збір даних спецслужбами, судами, правоохоронними органами, пенітенціарними установами, військовими, прокуратурами тощо – є виключеннями з GDPR. Думаю, це очевидно, але доводиться чути різне.

Про державне регулювання доступу до інформації

Довший час хотів узагальнити свої думки щодо блокування веб-сайтів та інших форм “регулювання інтернету”, ось нарешті дійшли руки.
По-перше, забудьте про те, що є хороше та погане саме по собі, адже у всього є контекст. І догматичні ствердження про те, що щось є добром, а щось злом – причина більшості страждань на планеті. Тому будь-яке твердження або принцип треба завжди розглядати в контексті та оцінювати яке благо та яке зло вони можуть спричинити.

Довший час хотів узагальнити свої думки щодо блокування вебсайтів та інших форм “регулювання інтернету”, ось нарешті дійшли руки.

По-перше, забудьте про те, що є хороше та погане саме по собі, адже у всього є контекст. І догматичні ствердження про те, що щось є добром, а щось злом – причина більшості страждань на планеті. Тому будь-яке твердження або принцип треба завжди розглядати в контексті та оцінювати яке благо та яке зло вони можуть спричинити.

Ось вам класичний приклад: твердження про цінність людського життя. В будь-якої нормальної людини його правильність сумнівів не викликає. Але якщо звести його у догму, то починаються проблеми, адже неможливо чітко визначити коли свідоме життя розпочинається та коли воно закінчується. Звідси – заборона контрацептивів в певних культах та віруваннях, священні війни проти абортів, та кримінальна відповідальність за згоду на евтаназію.

Ще один приклад: вільний доступ до інформації. Тут у нас просто повний безлад, адже й сама інформація, і її використання, можуть бути дуже й дуже різноманітними. Не будемо вдаватися до суперечок щодо приватності або вільного поширення інформації в інтернеті, краще візьмемо екстремальну точку. Уявіть, що одного дня вчені дізнаються, що на Землю летить астероїд, та людству залишилося існувати лічені дні, і немає жодного шансу щось змінити. Чи повинні вони розголосити цю інформацію? З етичної точки зору – ні, адже це лише призведе до неймовірного збільшення страждань, через які людство пройде в фіналі свого існування. Але якщо сприймати “вільну інформацію” як догму…

Думаю, я склав потрібне враження, ідемо далі. Отже, все залежить від контексту. Тому перед тим як засуджувати або схвалювати щось, треба розібратися в деталях: що взагалі відбувається.

Коли в нашого уряду лише почали проявлятися схильності до регулювання поширення інформації в інтернеті, я спостерігав виникнення трьох таборів. Перший вважає, що це добре, адже блокувати планується лише “погані” вебсайти, які поширюють російську пропаганду. Другий вважає, що це погано, адже інформація повинна бути вільною, а вільний доступ до інформації – це одна з основ вільного демократичного суспільства. І треті, найменш чисельні, до яких я відношу себе та багато однодумців, вважають, що “добре” або “погано” тут не канає: просто уряд це не та категорія людей, які повинні це визначати. Уряд не має ані морального, ані юридичного права вирішувати, що і як приховувати в інтернеті від народу. Адже уряд не є компетентним вирішувати, що є добре, що є погано, та яку користь або шкоду знання або незнання може спричинити. Уряд складається з політиків та чиновників, які аж ніяк не є моральним компасом суспільства. Ось чому довіряти уряду вирішувати що блокувати – це погана, дуже погана ідея. Тому що така функція неодмінно буде використана урядом не за призначенням.

З цим розібралися, ідемо далі. А що ж тоді робити? Тут теж є варіанти. Можна спробувати створити для цього “компетентний орган”, який складатиметься з найкращих представників суспільства, вчених, філософів, філантропів, соціологів та митців, які колегіально будуть вирішувати морально-етичні дилеми. Я не в курсі, щоб десь таке спрацювало. Або – можна дати урядові по руках та просто не дозволити перетворити доступ до інформації на політичний інструмент, тобто надати проблемі можливість саморегулюватися. Власне, другий спосіб і пропонували активні критики блокувань, більшість з яких далекі від ідей безумовного вільного поширення інформації, – просто вони в курсі, в якій країні ми живемо, та хто нею керує.

Хороші ідеї можуть мати погані наслідки та погану реалізацію. Погані ідеї можуть мати короткочасні позитивні наслідки, які спокушатимуть вас погодитися з їхніми авторами. Щоб не помилитися, треба розглядати будь-які ідеї в контексті їхнього використання. А догми та популістські заклики – завжди сприймати критично.

WhatsApp як заміна Skype

у бізнес-середовищі

Часто запитують, яка є заміна Skype у бізнес-середовищі. Здається, тепер я маю відповідь. Якщо колеги мене підтримають, можемо зробити це фірмовою порадою.

TL;RD: WhatsApp group chats.

Тепер докладніше: чому не Skype, та чому саме WhatsApp.

Не Skype з багатьох причин, але назву дві. По-перше, у Microsoft ну дуже високий профіль загроз, адже їхні продукти використовуються чи не усіма компаніями та урядами на планеті. Тому, зважаючи на сучасний геополітичний клімат в кібер-просторі, сподіватися на те, що мережі цього вендора не заражені імплантатами основних учасників кібер-війни — що найменше наївно. По-друге, у Microsoft дуже широка та лояльна програма співпраці з правоохоронними органами тих держав, де у вендора є ключові сегменти ринку. Продовжуйте думку.

Чому ж WhatsApp, а не, скажімо, Telegram, Slack або Signal чи ще щось? Не Telegram, тому ж чому й не Skype. Закритий код, сумнівне походження, тісні зв’язки з геополітичними гравцями. Не Slack, тому що, вибачте, але старші люди до нього звикають дуже болісно. Молода команда користується залюбки, олдфаги — лише страждають. Не Signal, тому що, при всій повазі до рівня захисту, десктопний клієнт у вигляді Chrome-розширення — це жалюгідно. Розумію, що в противному випадку треба йти на компроміси між безпекою та зручністю, але ми хлопці дорослі і до цього готові.

Тому, WhatsApp. Достатній рівень захисту (шифрування з кінця в кінець, двохетапна автентифікація, використання Signal API тощо) + достатній рівень зручності (нормальний десктопний застосунок). З особливостей — ваш смартфон завжди повинен бути поруч, але куди зараз без нього?

Сподіваюся, це допоможе комусь позбавитися залежності від Skype в корпоративному середовищі та почати використовувати більш цивілізовані засоби спілкування. Бережіться.


Originally published at blog.styran.com on September 22, 2017.

Приватність та бізнес-модель

найбільших світових корпорацій

Дуже цікава ілюстрація, яку багато вже хто бачив, але ця тема досить часто виникає в дискусіях, тому ще раз:

Подивіться на цей чарт. Бачите, дві з п’яти найбагатших компаній планети основним своїм прибутком мають рекламу. Це означає, що вони збирають та систематизують дані про нас, про наші дії, наші пересування, наші вподобання тощо, а потім продають отримані знання тим, хто заплатить за це гроші — рекламодавцям.

Саме рекламодавці є їхніми справжніми клієнтами. Ми з вами для них — товар. Тому, власне, аналогічні продукти (скажімо iPhone vs an Android phone) у компаній, які не приторговують рекламою, зазвичай “трохи” дорожчі. Вони не закладають в бізнес-модель слідкування за користувачами, тому не можуть собі дозволити зробити їм знижку. Але повернемося до кібер-безпеки: які тут треба зробити висновки?

По-перше, якщо ви хочете залишати в базах даних цих компаній менше слідів, змушений вас розчарувати: це майже неможливо. Для цього не достатньо менше користуватися або зовсім не користуватися Google або Facebook. Навіть якщо у вас нема аккаунтів в їх системах, вони все одно будуть отримувати дані про вас від веб-сайтів, на яких розміщений їхній код.

І по-друге, кібер-безпека Google, Facebook та інших інтернет-гігантів відбивається на всіх нас, тих, хто користується цим інтернетом. Тому будьте пильні, слідкуйте за новинами, звертайте увагу на атаки, рапортуйте підозрілі веб-сайти та електронні листи, беріть участь в Bug Bounty. Тому що безпека інтернету це задача не лише Google, Facebook, Вови Стирана та його друзів по пубкам — це справа всіх і кожного.

Бережіться.

P.S. Посилання на абсолютно нерелевантну, але дуже цікаву статтю, в якій наведено цей чарт: https://www.businessinsider.com/how-google-apple-facebook-amazon-microsoft-make-money-chart-2017-5