Утечка базы данных вызывает опасения по поводу массового сбора информации
У китайской компании, которая разрабатывает системы распознавания лиц, украли данные 2,5 миллионов человек после того, как взломали систему безопасности.
Утечку обнаружил голландский исследователь кибербезопасности Виктор Геверс, который работает в GDI Foundation, некоммерческой организации, занимающейся вопросами информационной безопасности. Он написала в своем Твиттере:
В Китае есть компания SenseNets, которая занимается разработкой систем безопасности на основе искусственного интеллекта. Она делает системы для распознавания лиц и анализа скопления людей и продукты для потребительского рынка. Сейчас биометрические данные миллионов ее пользователей находятся в свободном доступе.
База данных содержала номера паспортов, информацию о местоположении за последние 24 часа, пол, национальность, места жительства, даты рождения и даже места работы пользователей. При этом Геверс предупреждал компанию о проблеме еще в июле прошлого года.
Сейчас SenseNets поместила базу данных под брандмауэр, но уже поздно: информацию просочилась в интернет.
Почему это важно
Эта новость вызывает опасения не только у миллионов китайцев. Китайские системы слежения не похожи ни на что в западном мире: в стране есть система, которая оценивает человека и решает, выдавать ему кредит или нет, а распознавание лиц используют для предсказания преступлений, как в фильме «Особое мнение» с Томом Крузом.
Технологию опробовали полицеские Великобритании — даже после того, как стало известно, что в ней много ошибок. В декабре прошлого года ее применили во время рождественских гуляний в Лондоне — мы рассказывали об этом в 45 выпуске дайджеста.
Распознавание лиц начинают применять и негосударственные компании. Например, команда певицы Тейлор Свифт использовала его на концертах во время тура Reputation, чтобы обнаружить и избавиться от преследователей звезды.
Однако в то же время инвесторы Amazon призывают компанию прекратить продажи оборудования для распознавания лиц государствам, потому что опасаются, что они могут использовать технологию для нарушения прав людей.
Конфиденциальные данные
Проблемы связаны с тем, что биометрические данные — конфиденциальные и должны быть соответствующим образом защищены. В Великобритании и Европе это регулируется обновленным GDPR (General Data Protection Regulation — Общий регламент по защите данных). По нему, компании, которые хранят данные пользователей, должны обеспечить их надежную защиту, иначе им грозят огромные штрафы.
«Существует обязательство заботы о данных для компаний, которые собирают информацию о пользователях», — сказал Патрик Хантер, директор по продажам в One Identity, занимающейся систему безопасности. Он отметил, что из-за GDPR в Европе у компаний не может быть слабой защиты. По его словам, в случае с Китаем самая болезненная утечка — данные о местоположении пользователей.
GDPR не разрешает европейским компаниям хранить такие данные.
Пол Далкин, старший технолог Sophos, отметил, что современные системы слежения порождают огромное количество информации, которая должна быть защищена. «Если ваше правительство настаивает на том, что третьи лица должны собирать идентификационные данные — как это делает Великобритания, когда вы регистрируетесь в отеле или пытаетесь снять квартиру, — тогда недостаточно просто доверять правительству, чтобы не делать не уместных выводов из его требований», — сказал он.
Китайский инцидент подчеркивает риски, связанные с хранением конфиденциальной информации, отмечает Джаввад Малик, адвокат AlienVault. Особенно неприятно, когда утекают данные, которые нельзя поменять, например, лицо.
«Мы регулярно наблюдаем за тем, как базы с паролями взламывают, но их пароль легко поменять, чего нельзя сделать с лицом или отпечатками пальцев», — сказал Малик.
Он считает, что компании, ответственные за хранение таких данных, должны внедрять защиту на каждом этапе: «от разработки ПО до развертывания сети и серверов».
Поскольку правительства и компании продолжают собирать данные, а на улицах и концертах начинают появляться системы наблюдение, пользователи должны быть осторожны. Но ответственность должна лежать на тех, кто реализует программы распознавания лиц, чтобы обеспечить безопасность обработки данных компанией. Если это не случится, последствия могут стать неутешительными.
Источник: Forbes