Kaspersky Security Bulletin

Прогнозы в сфере конфиденциальности на 2022 год

Мы давно используем интернет не только для просмотра развлекательного контента и переписки с друзьями. Глобальная сеть обеспечивает и такие базовые потребности общества, как логистика, работа государственных служб и банковских сервисов. Потребители общаются с компаниями в мессенджерах и заказывают доставку еды вместо того, чтобы ходить по магазинам, научные конференции проходят на виртуальных платформах, а число отраслей, в которых удаленная работа стала нормой, продолжает расти.

Все эти процессы сказываются на сфере конфиденциальности. Компании хотят получать больше информации о действиях своих клиентов в интернете, чтобы повышать качество обслуживания, и одновременно с этим усложняют процедуры авторизации, чтобы противостоять мошенникам. Власти многих стран стремятся упростить идентификацию пользователей в целях борьбы с киберпреступниками и «традиционными» группировками, которые координируют свою деятельность онлайн. Граждан, в свою очередь, все больше беспокоят «надзорный капитализм», недостаток приватности и зависимость от онлайн-сервисов.

Если посмотреть на наши предыдущие прогнозы в сфере конфиденциальности, можно отметить, что большинство из них в этом году действительно сбылись и превратились в глобальные тенденции. Технологии сохранения конфиденциальности стали одной из самых обсуждаемых тем в сфере технического прогресса, хотя некоторые из них — например, NeuralHash или федеративное когортное обучение — вызывают неоднозначную реакцию. Однако стоит признать: такие нововведения, как локальная обработка звука для Siri или частное вычислительное ядро Android, — это большой шаг в сторону повышения конфиденциальности пользователей. Кроме того, в этой сфере появилось множество новых сервисов, созданных молодыми компаниями, которые только начинают монетизировать свои услуги. Мы также наблюдаем усиление тенденции к защите конфиденциальности (которое отражается и в маркетинге, и в технологиях) среди разработчиков приложений для iOS и Android. Facebook (сейчас Meta) тоже старается обеспечить больший уровень приватности своих пользователей: компания ввела сквозное шифрование резервных копий в WhatsApp и избавилась от технологии распознавания лиц в Facebook.

Мы надеемся, что 2022 год будет последним годом пандемии, однако тенденции в сфере конфиденциальности вряд ли изменятся. Какими будут последствия этих процессов? Ниже мы расскажем об основных действующих силах, которые, по нашему мнению, будут формировать ландшафт конфиденциальности в 2022 году.

  1. Технологические гиганты предоставят людям больше инструментов для контроля конфиденциальности — в определенных пределах.

    Поскольку компании по всему миру вынуждены соблюдать множество строгих нормативов по защите данных, они будут предоставлять клиентам своих сервисов все больше инструментов для контроля конфиденциальности. Возможно, с помощью новых кнопок и переключателей опытные пользователи и правда смогут установить уровень приватности, соответствующий их потребностям. Однако тем, кто разбирается в компьютерах немного хуже, не стоит думать, что их конфиденциальность будет защищена по умолчанию. Даже если по закону компании обязаны сделать это, они все равно продолжат искать лазейки, чтобы заставить людей выбирать настройки с меньшим уровнем приватности, поскольку их прибыль непосредственно зависит от сбора данных.

  2. Власти обеспокоены растущим влиянием технологических гигантов и объемами данных, которые они собирают. Это приведет к конфликтам — и компромиссам.

    Власти создают собственную цифровую инфраструктуру, чтобы упростить доступ к государственным службам и, хотелось бы верить, сделать их работу более прозрачной. Кроме того, таким образом они рассчитывают получать больше информации о гражданах, чтобы лучше контролировать их. Неудивительно, что их все больше интересуют данные пользователей, циркулирующие в больших коммерческих экосистемах. Это приведет к появлению новых нормативов — законов о защите, локализации данных, а также требований, определяющих, какая информация и в каких случаях должна быть доступна правоохранительным органам. Ситуация с внедрением Apple системы CSAM отлично показала, как сложно найти баланс между шифрованием данных и конфиденциальностью пользователей с одной стороны — и выявлением преступных действий с другой.

  3. Машинное обучение — это, конечно, хорошо, но скоро станет больше разговоров о машинном «разучении».

    Современное машинное обучение обычно подразумевает тренировки огромных нейросетей с использованием колоссального списка параметров, которые иногда исчисляются миллиардами (некоторые считают их аналогами мозговых нейронов, хотя это не совсем верно). Нейросети можно научить не только поддерживать простые взаимодействия с пользователями, но и запоминать целые фрагменты данных, что в свою очередь может привести к утечкам конфиденциальной информации и материалов, защищенных авторским правом, или закреплению социальных предрассудков. Кроме того, возникает интересный правовой вопрос: если модель машинного обучения тренировали с использованием моих данных, могу ли я, ссылаясь, например, на регламент GDPR, потребовать полностью удалить результаты этих тренировок из системы? И если да, чем это обернется для компаний, работающих на основе данных? Все просто: им придется переобучить модели с нуля, что может стоить недешево. В связи с этим могут появиться новые интересные технологии, которые не только будут препятствовать запоминанию (как, например, обучение с использованием методов дифференциальной приватности), но и позволят исследователям удалять данные из уже обученных систем.

  4. Пользователи и регулирующие органы потребуют сделать алгоритмы более прозрачными

    Сложные алгоритмы, такие как машинное обучение, все чаще используются для принятия решений в самых разных ситуациях — от оценки кредитоспособности заемщиков до распознавания лиц при показе рекламных объявлений. И пока одни люди наслаждаются прелестями персонализации, для других она может стать источником неприятных ситуаций или даже дискриминации. Представьте интернет-магазин, который делит пользователей на более и менее ценных с помощью некоего алгоритма, определяющего показатель LTV (пожизненной ценности клиента). Перспективные покупатели могут общаться с сотрудниками службы поддержки в живом чате, а менее удачливых ждет далекий от совершенства чатбот. Если бы компьютер посчитал вас второсортным клиентом, вы бы хотели узнать почему? А что если бы на этом основании вам отказали в выдаче кредитной карты? В ипотеке? В пересадке почки? Алгоритмы используются во многих сферах, поэтому в будущем нас ждет еще больше дискуссий и новых правил вокруг объяснения, опровержения и корректировки решений, принятых автоматизированными системами. Появятся и новые исследования, призванные сделать методы машинного обучения более понятными.

  5. Благодаря работе из дома люди станут больше внимания уделять защите конфиденциальности — не без помощи своих работодателей.

    Работая из дома в период пандемии, вы наверняка расширили свое знание IT-сленга: такие выражения, как «инфраструктура виртуальных рабочих столов», «одноразовый пароль», «двухфакторные ключи безопасности» и т. д., стали известны даже продавцам и банковским служащим. Пандемия закончится, но культура работы из дома может остаться с нами надолго. Когда сотрудники используют одни и те же устройства для рабочих и личных нужд, периметр корпоративной сети расширяется. Чтобы защитить его, службам безопасности придется позаботиться о повышении информированности персонала. Это значит, что все больше людей будут участвовать в тренингах по кибербезопасности и защите конфиденциальности и применять рабочие навыки, такие как использование двухфакторной авторизации, в обычной жизни.

Подводя итог: конфиденциальность перестала быть темой для гиков и шифропанков и превратилась в один из главных предметов дискуссии о правах личности и человека, безопасности и деловой этике — между обществом, бизнесом и властями. Мы надеемся, что результатом этой дискуссии станет более прозрачное, честное и разумное использование персональных данных, а ответы на самые острые юридические, социальные и технологические вопросы, связанные с защитой конфиденциальности, будут найдены.

Прогнозы в сфере конфиденциальности на 2022 год

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

  1. Странник

    На мой взгляд, слишком много личной информации о людях сейчас находится в частных руках. Тот же Facebook (он же Мята)

Отчеты

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Азиатские APT-группировки: тактики, техники и процедуры

Делимся с сообществом подходами, которые используют азиатские APT-группировки при взломе инфраструктуры, и подробной информацией о тактиках, техниках и процедурах (TTPs) злоумышленников, основанной на методологии MITRE ATT&CK.

Как поймать «Триангуляцию»

Эксперты «Лаборатории Касперского» смогли получить все этапы «Операции Триангуляция»: эксплойты нулевого дня для iOS, валидаторы, имплант TriangleDB и дополнительные модули.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике