(Сентябрь 2017)

Все и повсюду, массово и с пользой накапливают гигантские базы данных. Беда в том, что никто и нигде не знает, как эти горы данных защищать от злоупотреблений.

Проблемы разные – суть одна

В ленту текущих новостей из разных концов планеты недавно попали три сообщения, рассказывающие о существенно разных, казалось бы, проблемах у людей и властей в связи с особенностями новейших инфотехнологий. Единственное, на первый взгляд, что их объединяет – это общая тема рисков и угроз, с которыми сталкивается общество по мере все более масштабного освоения Больших Данных.

Но вот если, однако, с этими неприятностями начать разбираться чуть внимательнее, то довольно быстро становится ясно, что на самом деле речь тут везде идет о разных сторонах одной и той же гранд-проблемы. Такого рода серьезные вещи обычно принято именовать «системными дефектами конструкции». Специалисты-профессионалы об этой беде отлично знают, конечно же. Вот только как это дело эффективно лечить – вопрос более чем дискуссионный… Ибо варианты ответов-решений сильно зависят от того, кому они адресованы.

Иначе говоря, владельцы баз с Большими Данными трактуют безопасность системы по-одному; профессионалы ИТ-сектора, занимающиеся разработкой и анализом защиты подобных систем, видят проблемы очевидно по-другому; ну а те люди, чьи персональные данные накапливаются и обрабатываются в этих системах в гигантских количествах, представляют себе заботу об их личной, чувствительной к разглашениям информации существенно по-третьему.

Проиллюстрировать суть возникающих здесь проблем и коллизий, ясное дело, удобнее всего на живых примерах. А потому самое время процитировать сообщения из ленты текущих новостей.

В Индии члены Верховного суда своим единогласным решением постановили, что персональная приватность или право на тайну личной жизни является фундаментальным правом каждого человека. Теперь вердикт высшей в стране судебной инстанции должен оказать не только существенное влияние на то, каким образом корпорации обращаются с персональными данными граждан, но и уже нанес серьезный удар по намерениям нынешнего правительства во главе с Нарендрой Моди. Ибо правительство пыталось доказать, что право на приватность не является фундаментальным правом человека, защищаемым конституцией, а потому все граждане якобы обязаны предоставлять свои отпечатки пальцев, снимки радужки глаза и прочую биометрию в общенациональную биометрическую базу данных, присваивающую на этой основе каждому индийцу уникальный номер-идентификатор…

В Швеции разгорелся серьезный политический скандал вокруг национального Транспортного агентства. Высшее руководство этого правительственного ведомства решило сэкономить на расходах через столь модный ныне аутсорсинг – перенеся свои базы данных в облачное хранилище IBM, территориально расположенное в другой стране. Вообще говоря, законы Швеции подобные вещи не запрещают, естественно. Вот только именно в этом конкретном случае базы данных Агентства содержат немало такой информации, которая относится к государственной тайне (например, персональные данные всех водителей транспортных средств в вооруженных силах и спецслужбах; данные о всех гражданах, сменивших имена по государственной программе защиты свидетелей; прочие подобные сведения весьма деликатного характера). Однако позаботиться о том, чтобы доступ ко всем этим сведениям, размещенным в зарубежном хранилище, имели исключительно люди с соответствующим образом оформленным допуском к секретам, – такой очевидный шаг руководство Агентства почему-то не сочло необходимым. Попутно наделав и другие ошибки, скомпрометировавшие доверенные им массивы чувствительных к разглашению данных.

Из США пришла новость о серьезном конфликте, назревшем между крупными полицейскими управлениями мегаполисов (Лос-Анджелеса и Нью-Йорка), с одной стороны, и знаменитой датамайнинговой компанией Palantir со стороны другой. Поначалу мощные системы Palantir были разработаны для помощи в аналитической работе разведывательного сообщества и спецслужб типа ФБР – чтобы увязывать, синтезировать и визуализировать большие массивы разнородных данных от множества источников.

А еще через несколько лет, когда системы анализа БД от Palantir начали охватывать не только особо скрытные федеральные спецслужбы, но и региональные управления полиции, попутно стали появляться и сигналы о существенных проблемах с этим инструментарием. В частности, ныне стало известно, что системы Palantir не обеспечивают эффективное «секционирование» (compartmentation) информации, то есть не способны надлежащим образом контролировать выдачу секретных сведений разным пользователям – будь то внутри одного учреждения или даже при объединении данных от разных ведомств. По этой причине – в конкретных условиях полиции – тайный осведомитель отдела по борьбе с организованной преступностью становится видимым и известным, к примеру, для сотрудников дорожной полиции и для полицейских совсем других подразделений. Последствия таких утечек, как несложно догадаться, могут оказываться весьма трагическими…

Из трех приведенных примеров уже понятно, наверное, что правильная работа с Большими Данными – это дело весьма и весьма непростое. А грубейшие ошибки здесь продолжают регулярно совершать даже те профессионалы, кого принято считать лидерами отрасли. Поэтому для более глубокого понимания проблем каждую из перечисленных новостей имеет смысл разобрать чуть подробнее – ибо за конкретными национальными особенностями во всех этих историях отчетливо проступают нерешенные задачи универсального характера.

Аадхаар, или кошмар с безопасностью

Во всем, что касается озабоченности рядовых граждан своей приватностью как фундаментальным правом на тайну личной жизни, страна Россия гораздо больше похожа на Индию, нежели на страны Западной Европы или США. Это, как говорится, самоочевидный факт. Убедиться в котором обычно проще простого – достаточно лишь заглянуть в национальные СМИ и обратить внимание, насколько НЕ-часто там обсуждаются проблемы настырного вторжения государства и корпораций в область приватной жизни граждан.

В Индии, однако, эта ситуация довольно резко переменилась в феврале нынешнего года – когда об откровенных посягательствах на приватность начали вдруг говорить и писать чуть ли не все. Не то чтобы причиной, а скорее поводом для давно назревшего обсуждения проблемы – сначала в обществе, а затем и в Верховном суде – стала одна примечательная Twitter-публикация в интернете.

Суть данного твита, опубликованного 3 февраля 2017, заключалась в наглядной демонстрации того, насколько легко и быстро можно устанавливать ныне личности случайных людей из толпы. Происходит же это благодаря опоре на систему «Аадхаар», охватившую уже практически все население Индии централизованной базой данных, в которой накоплена биометрическая информация на более чем миллиард граждан страны.

Название Aadhaar переводится как фундамент или основы. А означает это то, что власти Индии в качестве основ своей государственности решили провозгласить создание общенациональной базы данных для биометрической верификации личности. Единой и тотальной базы на все население страны с гигантской численностью 1,2 миллиарда человек – начиная с младенцев и заканчивая глубокими стариками.

Биометрическая основа Aadhaar задумана и реализована так, чтобы на каждого человека в базе имелись отпечатки всех пальцев на руках, снимок радужки глаза, цифровая фотография лица плюс текстовое описание особенностей в наружности резидента. Итогом же занесения людей в базу является выдача им уникального идентификационного номера на специальной Aadhaar-карте.

Формально участие граждан в наполнении базы «Аадхаар» объявлено делом как бы добровольным. Однако в реальности вся эта система выстроена таким образом, что совершить практически любую необходимую по жизни официальную процедуру человек теперь может лишь в том случае, если предъявит свой ИД-номер и часть тела для сканирования-верификации – ирис глаза или отпечаток пальца, как правило. Биометрическая проверка личности увязана, в частности, с любыми услугами: от получения талонов на еду, социальных субсидий и топлива для кухни до водительских прав, расчетного счета в банке, кредитов, страховки, пенсии, операций с недвижимостью и так далее.

Гигантская же проблема с Aadhaar заключается вот в чем. С одной стороны, никто в обществе толком не представляет, как устроено в этой системе обеспечение защиты, целостности и верификации данных. А со стороны другой, регулярно появляющиеся в СМИ публикации свидетельствуют, что средства безопасности работают в базе не просто плохо, а очень плохо. Для примера, в данных «Аадхаар» уже многократно выявлены заведомо неверные и фальшивые записи. Под эту категорию, в частности, подпадают такие случаи, когда собственные ИД-номера и карточки оформлены на собак и коров. В другом нашумевшем случае было обнаружено, что персональная аадхаар-карта заведена на Ханумана, одного из богов индуистского пантеона.

Даже неспециалисты понимают, естественно, что систематическое появление ложных данных в такой системе – это признаки создания новых каналов для отмывания денег и прочих форм мошенничества. Причина же очевидных проколов, судя по всему, заключается в том, что база данных Аадхаар никогда по-настоящему не проходила подобающие процедуры аудита и верификации.

Так, во всяком случае, настойчиво свидетельствуют многие специалисты по инфобезопасности, а также юристы, правозащитники и политики, пытавшиеся ознакомиться с работой системы поглубже. А многочисленные призывы оппозиции, обращения правозащитников и требования профессионалов инфозащиты к независимому и открытому аудиту Aadhaar остаются в правительстве по сути дела без ответа.

Именно по этой причине общественность Индии сочла чрезвычайно важным нынешнее решение Верховного суда о том, что персональная приватность является фундаментальным гражданским правом каждого человека. А чтобы стало понятнее, отчего признанию этой идеи так активно сопротивляется правительство и почему данный конфликт теснейшим образом связан с разворачиванием системы «Аадхаар», имеет смысл прояснить такие моменты.

Общепринятая в мире юридическая практика такова, что признание фундаментальных прав людей на тайну приватной жизни сопровождается принятием соответствующего государственного закона о приватности и защите персональных данных. Причем в подлинно демократических странах (к которым Индия, безусловно, себя относит) законы подобного рода обычно требуют, чтобы все граждане, на которых собираются их персональные данные, включая и биометрию, не только знали, кто и зачем это делает, но и могли бы со своей стороны проконтролировать аккуратность и актуальность накапливаемой о них в базах данных информации.

Ну а нынешняя ситуация в Индии такова, что в государстве до сих пор нет никакого четкого законодательства, которое могло бы защищать приватность и права миллиарда с лишним человек, предоставивших в базу Aadhaar свои данные. Мало того, что система работает абсолютно непрозрачно, но и у людей при этом нет ни инструментов, ни возможностей каким-то образом контролировать или менять свои данные в базе в тех ситуациях, когда они оказываются скомпрометированы. Ибо жульничеством с биометрией уже никого не удивишь, кражи личности с целью мошенничества – в подобных централизованных базах дело обычное, а изменить свое лицо, радужку глаза или отпечатки пальцев граждане, ясное дело, уже не могут.

И дабы этих неприятностей не показалось мало, еще одним очень существенным фактором в разворачивании Aadhaar стала энергичная коммерциализация системы. Иначе говоря, вокруг своей тотальной базы данных, охватившей все население, власти совершенно официально создали и активно наращивают специальную коммерческую инфраструктуру India Stack. Цель которой – обеспечивать разнообразные формы сотрудничества между правительственными ведомствами и частными бизнес-компаниями, которым предлагается опереться на богатейшие возможности Аадхаар по персональной идентификации всех людей, внесенных в базу.

Демонстрацией именно этих замечательных возможностей и была, собственно, нашумевшая twitter-публикация в феврале, отметившая таким образом плодотворное сотрудничество между India Stack и коммерческой фирмой OnGrid. Таких компаний, подобно OnGrid уже подключившихся к освоению Aadhaar, ныне насчитывается свыше двух сотен. А это означает, что у граждан Индии сегодня нет не только возможностей проконтролировать состояние и защиту записей о своей личности в центральной базе данных, но и никакой информации о том, сколько еще десятков или сотен компаний купили у правительства доступ ко всем их персональным данным ради наращивания собственных прибылей.

Самое же примечательное, что наиболее характерные особенности тут выявляемого – настойчивое желание сохранять непрозрачность системы Больших Данных в сочетании с мощным коммерческим фактором – свойственны далеко не только Индии, но и всем прочим новостям о проблемах в данной области.

Большая шведская утечка

В последних числах июля 2017 серьезнейший ИТ-скандал в Швеции заставил главу правительства Стефана Лёвена отправить в отставку двух министров – министра внутренних дел Андерса Игемана и министра инфраструктуры (транспорта) Анну Йоханссон. Блок оппозиционных партий требовал также отставки министра обороны Петера Хультквиста, замешанного в скандале не меньше уволенных коллег, однако его было решено оставить на посту – «дабы не вызывать общий правительственный кризис» в государстве…

Из весьма скупых и лаконичных комментариев премьер-министра Лёвена на экстренной пресс-конференции по поводу отставок стало известно, что произошедшее – «это очень серьезное дело, подвергшее риску Швецию и жизни шведских граждан». Из-за неправильной работы с национальной информационной системой по сути в бесконтрольном доступе оказались личные данные практически всех граждан Швеции, включая военных, сотрудников спецслужб и полиции.

Хотя известно о данной гранд-утечке публике стало лишь только летом 2017, на самом деле история эта началась довольно давно, еще весной 2015 года. Более того, если судить формально, то можно говорить, что по большому счету она все еще продолжается. Причину такого казуса удобнее пояснить чуть позже. А пока куда полезнее просто обратить внимание на то, насколько больше власти здесь были озабочены сохранением своих проколов в тайне, нежели исправлением очевидно неблагополучной ситуации с защитой данных.

Когда же о произошедшем все-таки стало известно народу, а за собственные расследования взялись журналисты и инициативные энтузиасты от общественности, то восстановленная ими суть истории стала выглядеть вкратце так. Фактически, компрометация безопасности правительственной инфосистемы произошла в марте 2015 года, когда государственное Транспортное агентство всю работу по поддержанию своих баз данных переложило по коммерческому контракту на корпорацию IBM и на её технические ресурсы, включая людской персонал, базирующиеся в республике Чехия.

Примерно таким же аутсорсингом и размещением своих данных во внешних «облачных» сервисах занимаются ныне чуть ли не все, особенно, если хочется сэкономить. Однако именно в данном конкретном случае критично важным результатом предпринятого шага стало вот что. Огромные массивы чувствительной к разглашению информации, включая полный национальный реестр Швеции по водительским лицензиям и сведения о гражданах с засекреченными по той или иной причине персональными данными, оказались доступны посторонним людям, в основном иностранцам, которые не проходили никакой проверки в службах безопасности Швеции на предмет доступа к гостайне.

Что именно там было скомпрометировано, в каких масштабах и с какими именно базами – практически всё это является по преимуществу предметом домыслов и фантазий, не подтверждаемых какими-либо конкретными документами. Ибо правительство и поныне изо всех сил старается сократить до минимума любые утечки о конкретных фактах произошедшего.

Но вот в тех ситуациях, когда непосредственными свидетелями явно некомпетентного обращения с секретными сведениями оказывались очень многие коммерческие клиенты Транспортного агентства, тогда утаивать очевидное становилось уже совершенно невозможно. Особую известность, в частности, обрел такой недавний случай.

С наступлением весны, в марте Агентство подготовило свежую версию полного реестра транспортных средств Швеции и их владельцев – распространив его среди всех маркетинговых и бизнес-структур, купивших подписку на данную рассылку. Само по себе это вполне нормально, поскольку реестр транспортных средств является публично доступной информацией. Но что там обнаружилось совсем не нормального именно с данной рассылкой, это две вещи.

Во-первых, в открытый реестр, распространяемый для всех желающих по коммерческой рассылке, оказались включены люди, чье настоящее имя было изменено по программе защиты свидетелей и прочим подобным государственным программам.

А во-вторых, когда эта грубейшая ошибка была обнаружена, то Агентство не стало рассылать подчищенную новую версию реестра с инструкцией уничтожить прежний вариант как ошибочный. Вместо этого все уже и без того скомпрометированные имена были собраны в отдельный перечень, и теперь уже данный поименный список разослали еще раз открытым письмом по электронной почте – с требованием, чтобы подписчики сами занялись уничтожением в реестре всех записей на перечисленных в списке людей…

Это, надо подчеркнуть, всего лишь один из достоверно известных ляпов. Сколько же их было всего и насколько серьезными была раскрываемые при этом сведения – такой информации публика не имеет. Но зато хорошо известно, кого и когда назначили главным виновником столь серьезных и систематических нарушений в правилах обращения с данными конфиденциального и секретного характера.

В официальном заявлении от нового руководства Транспортного агентства сообщается, что их бывшая генеральная директриса Мария Агрен одобрила контракт с IBM на аутсорсинг, хотя он нарушал сразу несколько законов страны: Закон о национальной безопасности, Закон о защите личных данных и Закон о публичности и приватности. В качестве наказания за допущенные нарушения госпожа Агрен в начале 2017 года была уволена и оштрафована на 70 000 крон «за беспечность с секретной информацией» (в пересчете на более известную валюту эта сумма составляет около 8,5 тысяч долларов и равна половине ее ежемесячной директорской зарплаты)…

За скупыми словами этой официальной информации, однако, очевидно скрывается куда более мутная и масштабная история. Ибо независимые расследования показали, что шведская контрразведка, военные и прочие информированные люди в правительстве знали обо всех нарушаемых здесь законах страны если и не заранее, то как минимум с начала 2016 года. Однако наказать Марию Агрен решили только в январе 2017, когда случился особо серьезный прокол, о котором стало известно премьер-министру Лёвену.

Глава же правительства, судя по всему, счел происходящее делом чрезвычайно серьезным и требующим пресечения-наказания. Так что уже в марте 2017 дело бывшего гендиректора Агентства было не только рассмотрено в уголовном суде, но и столь же стремительно был вынесен вердикт о её «виновности». Вот только наказание за это уголовное преступление оказалось в высшей степени странным и непонятным – административный штраф в размере половины месячной зарплаты.

Непонятными эти события, впрочем, выглядят лишь для тех, кто слабо разбирается в тонкостях шведской судебно-правовой кухни. А вот для людей, знакомых с правилами и особенностями юридических процедур, суть произошедшего представляется достаточно ясной. Поскольку наказание административным штрафом уже не может быть пересмотрено в случае признания вины обвиняемой стороной (а именно так и произошло), то теперь публика никак не сможет увидеть никаких документов, собранных и рассматривавшихся судом по этому делу. Иначе говоря, фактически, тут был ловко и профессионально выполнен известный трюк типа «концы в воду»…

Казалось бы, понятно, что директор государственного агентства совершила преступление. Она подписала документ, санкционировавший «исключение из текущего законодательства», – а это нечто такое, чего делать никаких прав у нее не было. Директор правительственного учреждения не может по собственному выбору подчиняться или не подчиняться Закону. Однако от адвокатов Агрен стало известно, что с её точки зрения данная ситуация выглядела существенно иначе.

Линия защиты на слушаниях в суде сводилась к тому, что «отход от текущего законодательства», который она лично санкционировала, считался не только вполне приемлемым в нынешних обстоятельствах, но и отнюдь не был чем-то новым – ибо «раньше такого рода решения уже принимались, поскольку это часть процесса, который позволялось применять при необходимости». Иначе говоря, если бы публика имела возможность копнуть данную историю поглубже, то стало бы понятнее, отчего именно Марию Агрен назначили тут крайней.

Все примерно то же самое было в других ведомствах и раньше, ей же просто сильно не повезло, похоже, с тем, что «облако» IBM именно в данном случае оказалось расположено в Восточной Европе. Кроме того, добавила Агрен в свою защиту, она всегда работала в гражданском учреждении, а при занятии высокого поста с ней никто не проводил никаких специальных инструктажей об аспектах безопасности этой работы. Так что она в подобных условиях просто старалась делать всё так же, как и остальные, только еще лучше…

Почему же спецслужбы Швеции, давно знавшие о том, кто и где работает с базами Транспортного агентства, только в 2017 решили озаботиться подбором соответствующих кадров с допуском к гостайне – и обещают их укомплектовать «где-то к концу осени» – на этот естественный вопрос внятного ответа у властей нет.

Из лагеря шведских правозащитников, активно выступающих за более эффективные инструменты, обеспечивающие право граждан на приватность, по поводу всей данной истории вполне резонно прозвучала следующая идея. Уж если государство оказывается столь неуклюжим и некомпетентным в защите собственных тайн и персональных данных о своих секретных сотрудниках, то что тут вообще можно говорить о защите государством персональной информации обычных граждан?

Вполне возможно, что нечто компетентное и содержательное на данный счет могла бы поведать еще одна важнейшая фигура шведского скандала – американская корпорация IBM. Однако там, по давно уже заведенным известным правилам, полностью дистанцировались от внутренних политических разборок в скандинавском государстве и вообще отказываются от каких-либо комментариев к данной истории…

Парадоксальный бизнес Palantir

Случилось так, что корпорация IBM некоторым существенным, но одновременно незаметным образом оказывается непосредственно замешана и в третью из разбираемых здесь новостей «о рисках Больших Данных». Но здесь (точнее, в США) центральной фигурой конфликта являются, впрочем, не системы IBM, а их главный конкурент в области датамайнинговых услуг для властей – корпорация Palantir Technologies.

Ну а поскольку две уже выявленных ранее проблемы в теме «Государство и Большие Данные» – непрозрачность системы и активная коммерциализация информации – в специфическом бизнесе Palantir проступают особенно ярко и отчетливо, имеет смысл рассмотреть эту историю как своего рода эталон. Или архетипический образец, наглядно демонстрирующий не только корневые причины серьезных проблем, но и то, почему решить их в нынешних условиях по сути невозможно – на принципиальном уровне.

Как многим, вероятно, известно, термин «палантир» появился в нашем лексиконе из толкиеновской эпопеи «Властелин колец», где данным словом именуют магические каменные шары, позволяющие их владельцам знать и видеть всё, что происходит в мире Средиземья. Аналитические компьютерные системы Palantir делают для их владельцев по сути то же самое – накапливая, просеивая и сопоставляя гигантские массивы самых разных данных, и выстраивая на этой основе визуально внятные картины событий со взаимосвязями между их участниками.

Подробности о создателях и лидерах, о занятной истории восхождения Palantir Tech и не менее любопытных идеологических основах этой фирмы можно найти в материале «Бизнес на мифах». Ну а здесь следует рассказать о тех особенностях их продукции, благодаря которым бизнес молодой и «как бы либертарианской» компании стал гипер-успешным благодаря государственным заказам – с одной стороны. А со стороны другой уже успел ярко продемонстрировать, что опора властей на системы Palantir – это очевидно путь «не туда», если для государства важнее интересы общества, а не прибыли корпорации.

В сообщениях из текущей ленты новостей, естественно, никто столь сильных обобщений не делает. Однако неоспоримые факты тут говорят сами за себя. Надо лишь соответствующим образом на эти факты смотреть… Иначе говоря, далее будут рассмотрены не просто свежие новости о Palantir, но и то, что они означают в более общем контексте.

Новость одна – про руководство NYPD, крупнейшего в США регионального Управления полиции Нью-Йоркского мегаполиса, которое сильно повздорило с корпорацией Palantir по поводу их «волшебной» системы анализа. Точнее говоря, причиной конфликта стала не собственно система, уже несколько лет применяемая в NYPD, а трудности перехода полицейских к более дешевому и более удобному для них альтернативному ПО, разработанному корпорацией IBM.

Причина же затруднений здесь такова, что всю ту бездну информации, которая была наработана полицией в их системе за время эксплуатации, Palantir категорически отказывается переносить в систему IBM, ссылаясь на защиту своих ценнейших «коммерческих тайн». Точнее говоря, они с готовностью и сразу выдают все первичные или сырые данные, на основе которых база наполнялась. Но вот самое главное – собственно аналитику – выводить для переноса отказываются наотрез. Ибо это раскроет их методы обработки, то есть главную интеллектуальную собственность корпорации.

Суть обозначившегося здесь конфликта имеет смысл обозначить как можно отчетливее. Формально имеется работающая исключительно на общество правоохранительная структура, а также есть некая бизнес-фирма, технически обслуживающая эту структуру в своих сугубо коммерческих интересах. В реальном же итоге оказывается так, что вся действительно необходимая для работы информация, формально собранная и как бы принадлежащая полиции, на самом деле не только принадлежит бизнес-фирме, но и отдавать её на защиту общества она решительно не желает – по причине своих сугубо шкурных коммерческих интересов…

Новость другая – о проблемах с системой Palantir у полицейских LAPD, другого крупнейшего в США Управления полиции Лос-Анджелеса. Проблемы тут обозначились существенно иного рода, однако и они очень наглядно рисуют, сколь опасным сочетанием оказываются для государства непрозрачность и коммерция при анализе Больших Данных.

Одним из главных факторов для аналитических успехов системы Palantir является как можно более широкий охват разнообразных источников входной информации. В частности, для эффективной работы с полицейскими базами данных оказывается очень полезным просеивать и сопоставлять не только записи разных баз одного региона, но и одновременно выявлять их взаимосвязи с записями в базах других регионов. Поскольку при таком расширении общей «базы» не только повышается эффективность полицейской аналитики, но и заметно растут прибыли корпорации, в Palantir очень энергично работают над расширением клиентов в регионах, предоставляя существенные скидки всем новичкам.

Столь замечательная бизнес-стратегия, однако, находится в сильнейшем противоречии с известным принципом «секционирования» информации, общепринятым в работе структур, имеющих дело с секретными сведениями. Проще всего суть этого принципа пояснить на основе прямоугольной таблицы, где строки соответствуют разным уровням допуска сотрудников к гостайне – типа «для служебного пользования», «секретно», «совершенно секретно», «особой важности». А колонки таблицы – это разные секретные дела или «объекты», с которыми работает именно данное ведомство. Тогда любой из сотрудников этого ведомства имеет доступ лишь к той информации, которая находится в клетках или «секциях» таблицы, соответствующих (а) уровню их общего доступа к гостайне и одновременно (б) разрешению на доступ к сведениям конкретно по данному объекту.

Официально провозглашается, что в аналитических программах Palantir эти ясные принципы реализованы совершенно замечательно. Здесь не только имеется строгая система допусков, гарантирующая, чтобы всякий сотрудник получал доступ к данным исключительно на уровне своих полномочий, но и автоматически создается аудиторский след. В котором фиксируется всё – кто именно видел определенные фрагменты информации и что именно с этими фрагментами делалось.

В реальной работе лос-анджелесской полиции, однако, вся эта картина выглядит существенно иначе (наверняка то же самое происходит и у других пользователей системы, но их недовольство просто не доходит до прессы). Сотрудники спецподразделения LAPD, занимающиеся борьбой с организованной преступностью, на протяжении многих и многих месяцев безуспешно пытались добиться от Palantir всего лишь того, чтобы особо чувствительные файлы о людях и операциях, которые они помечают конфиденциальными, не становились свободно доступными для всех остальных пользователей системы. Однако даже эта тривиальная, казалось бы, техническая проблема, оказывается практически неразрешимой, когда для корпорации-подрядчика гораздо важнее максимально широкий охват анализируемой информации, нежели узкие интересы копов-оперативников…

# # #

Описанные здесь проблемы – это отнюдь не есть что-то новое и неожиданное. Все подобные трудности с большими базами данных известны профессионалам очень давно. Ибо – как они выражаются – «приватность масштабируется очень плохо». И если в работе секретных спецслужб об этой серьезнейшей беде широко вещать обычно не принято (как и обо всех прочих гостайнах), то в работе всеобщей системы здравоохранения – где в обращении с деликатными данными пациентов прослеживается много аналогий – о том же самом специалисты по инфозащите говорят давно и громко.

Медицинские базы данных с цифровыми картами пациентов очень полезны врачам, и все там работает замечательно – когда штат из 20 человек в медицинском учреждении имеет доступ к медкартам десяти тысяч пациентов, зарегистрированных в их картотеке. Но вот когда создается единая централизованная система, позволяющая каждому доктору или медсестре данной страны просматривать медицинские записи любого пациента – вот это всегда получается однозначно плохо, организовано неправильно и тут же ведет к злоупотреблениям разной тяжести (от сливов болезней знаменитостей в таблоиды до отказов людям в работе, кредитах или в страховке на основании данных об их здоровье в цифровых медкартах, считающихся как бы «приватной информацией», а на самом деле доступных кому угодно).

Всем понятно, что решать эту гранд-проблему по-любому необходимо – ибо все базы Больших Данных постоянно только прирастают, а отказываться от их преимуществ совершенно никак невозможно. Но одновременно понятно и то, что простых-эффективных решений c защитой здесь, похоже, не существует. Ярчайшим подтверждением чему являются регулярные и мощные сливы информации из наиболее секретных недр разведслужб – начиная от демарша Эдварда Сноудена и заканчивая массами свежих публикаций о хакерском инструментарии АНБ и ЦРУ США. Причем сами спецслужбы оказываются зачастую не в силах определить ни то, кто именно стоит за компрометацией, ни даже оценить объемы скомпрометированных данных.

Отсюда понятно, наверное, что с защитой приватности для всех обычных граждан государство разберется не раньше, чем решит проблемы с массовыми утечками компромата из спецслужб. Иначе говоря – и здесь речь идет о двух сторонах одной и той же, по сути, проблемы…

# # #

Дополнительное чтение в тему:

Об истории создания, технологиях и идеологии компании Palantir: «Бизнес на мифах»

О переносе принципов секционирования у спецслужб в общее дело защиты данных: «Компьютер с чистого листа»

О разных способах внедрения гигантских биометрических систем в общенациональных масштабах: «Биометрии много не бывает»