Bez prawa dostępu: winny czy “Yandex” w wycieku poufnych danych

0
27


Zdjęcia Natalii Селиверстовой / RIA novosti

Wyszukiwarki doskonali, jak i regulujące ich prawa. Problem jednak w tym, że przepisy te częściej ograniczają możliwości angażowania użytkowników, niż zapobiegają naruszenia ich praw lub pojawienie się treści niezgodnych z prawem

W lipcu “Yandex” zmienił algorytm wyszukiwania i w odpowiedzi na prośby użytkowników stał się podawać linki do plików przechowywanych na Google Drive, i to nie tylko z prawami dostępu “dla wszystkich”, ale i na te, które były dostępne tylko na link.

Twórcy “Yandex” skutecznie wykorzystali letni zastój: ich wyszukiwarka otrzymał szereg nowych “fitch” i nauczył się znajdować wiele, że wcześniej szukać nie umiał: niepubliczne Google dokumenty, dane osobowe klientów stron internetowych największych rosyjskich banków (w tym Sbierbank i VTB), oficjalnych stron Moskwy, usług rezerwacji biletów i wiele innych. Ale to wszystko to tylko po raz kolejny udowodniło niedoskonałość systemów bezpieczeństwa.

Właściwie nic dziwnego w lipcu 2018 roku się nie stało. Praktycznie od samego początku w wyszukiwania Google trafiały publiczne dokumentów z Google Docs, dostępne po kliknięciu łącza bez wpisywania loginu i hasła. To, jak mówi, nie bug, a sztuczka.

Tam, w Google, można było łatwo znaleźć własne hasła lub nawet za pomocą narzędzia inurl, otwarte panelu administratora więc różnych systemów zarządzania treścią, IoT urządzeń (np. kamery) i wiele innych. Tak, faktycznie ta informacja była znana specjalistom od dawna. Ale teraz, po tym jak te dane zaczął “pływać” i w “Onecie”, stała się przedmiotem publicznej debaty.

Moja wina, czy robot?

W Google Drive jest wbudowana konfiguracja praw dostępu do plików. Wydawałoby się, przestrzegaj podstawowych zasad “higieny” w internecie, i problemów nie będzie. Więc dlaczego internauci oskarżają “Yandex” nielegalnego “odpływie” danych?

Jedynym sposobem, aby znaleźć potrzebne informacje w internecie — wyszukiwarki. To komercyjne struktury, odpowiedzialne za wydanie i indeksowanie danych. Oni indeks zawartość absolutnie wszystkich stron, jeśli nie jest to zabronione przez właścicieli stron, dlatego wydawanie trafiają adres w tym pirackich treści, znajdującego się w szarą strefę prawnych większości państw, a także treści, które w większości krajów nie jest w ogóle zabronione. Dlatego coraz częściej padają propozycje zmusić wyszukiwarki filtrować zawartość wydania.

Problem tylko w tym, jak rozpoznać, legalnie czy zawartość strony lub nie. W większości przypadków robot nie może to zrobić, nawet jeśli chodzi o formacie tekstowym, co tu mówić o obrazach i tym bardziej audio i klipów wideo. Przy okazji, według anonimowa osoba zgłaszająca gazety New York Times, Google opracowuje obecnie wyszukiwarka dla Chin, uwzględniający цензурные wymagania chińskiego prawa, ale czy dojdzie to do gotowego produktu, na razie nie wiadomo.

Obecna sytuacja to kij o dwóch końcach. Powiedzmy, że stało się ложноотрицательное zadziałanie, gdy “Yandex” pokazał wydania dokumentów, których tam idealnie nie powinno być, a potem odfiltrowane ich na zasadzie nielegalnego dostępu do poufnych informacji. Problemem w tym przypadku była by sama fałszywy alarm: przecież niektórzy użytkownicy umieszczają dokumenty w Google Drive właśnie po to, aby dać do nich otwarty dostęp użytkownikom internetu — udostępniają dokumentację, instrukcje, materiały promocyjne. Google Docs — dość wygodne narzędzie do otwartego dzielenia się dokumentami, i jedynym sposobem na jego regulacji — konfiguracja praw dostępu do plików.

Po tym, jak podniósł się szum, “Yandex” dobrowolnie wyłączył wyszukiwanie dokumentów i tym samym, w zasadzie bezbronny. U szerokiej publiczności natychmiast odnosiło się wrażenie, jakby wyszukiwarka przyznał się do błędu, którego w rzeczywistości nie było.

Problem polega na tym, że gdy chodziło o wydanie określonych “zakazanych na terenie federacji ROSYJSKIEJ” materiałów tekstowych lub obrazów, państwowe organy mogą wymagać od wyszukiwarki zmienić kolejność indeksowania stron. Teraz jednak chodzi o abstrakcyjnym nielegalne treści i luk w zabezpieczeniach dostępu do danych osobowych. Z uwzględnieniem takich dodatkowych warunków algorytmy filtrowania bardzo skomplikowane i wymagać od firmy IT rozpoznawać takich plików jest niemożliwe choćby dlatego, że to nie wchodzi w zakres jej profilu działalności.

Problemy z systemem

Co w tej sytuacji mogą zaoferować wyszukiwarki, aby szkody od podobnych incydentów w przyszłości był minimalny?

Na przykład, mogą one dodać algorytm wyszukiwania bota automatyczne powiadomienie właściciela dokumentu o wykryciu ewentualnych problemów otwartych haseł lub plików, zawierających dane osobowe. Dalej już właściciel będzie mógł sam zdecydować, czy jesteś zadowolony z go to, że jego dane są dostępne. To jak z polityką prywatności: witamy na stronie internetowej lub w sieci społecznej i akceptuje warunki przetwarzania danych osobowych. Silnik wyszukiwania nie może zrozumieć, czy te dane są określone przez pomyłkę lub specjalnie do indeksowania.

Powiadomienie administratorów nie jest bardzo kosztowne wyszukiwarce, ale przy tym w sposób oczywisty musi podnieść jej reputację, pokazując odpowiedzialność społeczną wyszukiwarki. Co więcej, wyszukiwarki jest jeszcze jeden poważny dźwignię nacisku na skrupułów webmasterów: zasób, który odpowiada na listy ostrzegawcze od wyszukiwarki, można aktywnie пессимизировать wydania.

Dzięki temu problem z bezpieczeństwem danych częściowo może być rozwiązany. Ale w każdym razie nie można zakładać, że problem wycieku danych osobowych — i, szerzej, problem dostępności w internecie nieodpowiednich treści — to tylko i wyłącznie wina wyszukiwarek i rozwiązać ją muszą to właśnie oni. Taki punkt widzenia jest niedopuszczalne powierzchowne.

Sumienny obywatelom nie wolno mieć broń osobista, podczas gdy prawdziwi przestępcy zawsze wiedzą, gdzie go zdobyć.

Według norm unii regulacji GDPR, jeśli organizacja bez zgody wyłożyła dane osobowe swoich użytkowników w internecie, odpowiedzialność za to ponosi właśnie ona jako “kontroler” danych. Jeśli w przyszłości informacja ta została podchwycona przez przypadek osoby trzeciej (wyszukiwarki), strona ta nie staje się “procesorem” danych i odpowiedzialności na tę stronę prawo nie nakłada, ponieważ dostęp do nich dostała się automatycznie.

Teoretycznie można wymagać od wyszukiwarek nie przechowywać, na przykład, adresy незапароленных kamer lub innych wrażliwych urządzeń, ponieważ określić, że jest to adres właśnie kamery, dość łatwo dostępne w jego kodzie kolejności słów (np. /admin.php). Przy tym, jeśli oficjalnie zakazać wszystkich поисковикам szukać informacji o urządzeniach lub administracyjnych hasłach, cała ta informacja okaże się w даркнете, i regulować jej poszukiwanie staje się jeszcze trudniejsze. A legalny użytkownik lub administrator będzie pozbawiony darmowych i prostych narzędzi, które pozwalają łatwo wykryć takie problemy u siebie lub swoich klientów w celu zapobiegania i ochrony sieci.

To tylko jeden z wielu przykładów tego, do czego może doprowadzić niestaranne dostęp do internetu-regulacja. Legalne, lojalnych i odpowiedzialnych społecznie firm загоняются w zbyt surowe ramy wraz ze swoimi użytkownikami, podczas gdy na tych, którzy korzystają z zasobów даркнета i naprawdę będzie wykorzystać uzyskane dane do celów niezgodnych z prawem czynności, wymagania te nie obowiązują. Sumienny obywatelom nie wolno mieć broń osobista, podczas gdy prawdziwi przestępcy zawsze wiedzą, gdzie go zdobyć.