Ваша конфиденциальность продается: АНБ шпионит за американцами, покупая информацию у брокеров данных.

Антиутопия наступила

Сенатор Рон Уайден опубликовал письмо и рассекреченные документы директора АНБ, генерала Пола Накасоне (армия США), и содержание их просто ужасает. АНБ открыто признает, что собирает данные граждан США, покупая их у сомнительных компаний-брокеров. Это означает, что заработанные вашим трудом налоговые доллары тратятся как разведывательными, так и правоохранительными органами, чтобы выкачивать ваши онлайн-данные из источников, которые не должны иметь их в первую очередь. Индустрия брокеров данных состоит из теневых компаний, продающих ваши секреты тому, кто больше заплатит, - это в лучшем случае гнусная деловая практика, но тот факт, что правительство США является глубоко законспирированным клиентом, отвратителен и неприемлем. Уайден зашел так далеко, что назвал эту практику незаконной после недавних судебных дел против крупных компаний-брокеров данных.

Каждое открытое вами приложение, посещенный вами сайт, отправленное сообщение или сделанный звонок регистрируются, собираются и организуются в аккуратный продукт, а затем продаются, как дешевый матрас. Ваша онлайн-идентичность и история стали товаром, который продается рекламным агентствам, а также бдительному взору дяди Сэма. Капитализм наблюдения стал реальностью в Соединенных Штатах, причем не только в частном бизнесе, но и в государственном секторе.

Это ненормально и не нормально.

Капитализм наблюдения

Термин "капитализм наблюдения" был введен в обиход философом и социологом Шошаной Зубофф в ряде статей и публицистических материалов. Ее подход указывает на компании web2.0, такие как Google и Facebook, как на пионеров массового сбора пользовательских данных и превращения их в товар, который можно продать. Эта рыночная слежка за населением, как только она становится доступной для покупки, может быть продана разведывательным и правоохранительным органам в качестве легальной лазейки, которая технически не квалифицируется как внутренняя слежка. Скорее, это просто покупка набора данных, который в противном случае был бы доступен любому, кто может позволить себе его приобрести.

Конечные пользователи таких сервисов, как Google Search, Amazon или Facebook, без своего полного информированного согласия тщательно каталогизируют свое поведение в легко запрашиваемых базах данных. Нажимая на маленькое окошко "Я принимаю условия и положения" при создании новых учетных записей или регистрации на новых платформах социальных сетей, пользователи подписывают свои права. Разумеется, это наилучший сценарий со стороны веб-сайтов. Из-за отсутствия в США сильного законодательства о защите частной жизни, особенно по сравнению с GDPR в ЕС, граждане не имеют никакого контроля над тем, что происходит с их данными. В случае с брокерами данных они не обязаны информировать людей, которые могут быть профилированы их платформами, и не обязаны раскрывать, как они собирают информацию, содержащуюся в этих профилях.

В случае с некоторыми профилями, которые могут включать аккаунты в социальных сетях, они могут быть собраны из украденных или просочившихся данных о нарушениях, которые не являются законно полученной информацией, но обычно обнародуются хакерами. После обнародования брокерские агентства очищают данные и перерабатывают их для продажи. Это просто цифровая версия продажи совершенно нового пакета, который случайно выпал из грузовика, едущего перед вами. Эта "серая" область продаж принесла этой индустрии не самую блестящую репутацию, но спрос на данные позволяет не замечать 50 оттенков слежки, которую они обеспечивают.

Брокеры данных

Компании, которые собирают и продают данные об отдельных людях, компаниях или другую общедоступную информацию, называются Data Brokers или Information Brokers. У этих компаний самые разные модели и направления деятельности. Например, сайты поиска людей, такие как PeekYou, имеют сомнительную репутацию, в то время как агентства кредитных рейтингов, такие как Experian, широко признаны и интегрированы в финансовую систему. Общим для этих компаний является то, что они собирают и архивируют любые данные, которые попадают им в руки. Acxiom, еще одна компания, занимающаяся анализом данных, в настоящее время утверждает, что владеет данными о более чем 2,5 миллиардах человек, что составляет почти треть населения Земли.

Бизнес больших данных начался с появлением рейтинговых агентств в 1950-х годах, но взорвался с ростом доступности интернета. Вскоре сайты по поиску людей стали предлагать общедоступную информацию, аккуратно собранную за небольшую плату. Сначала это было похоже на запись в телефонном справочнике, но появление социальных сетей и web2.0 радикально изменило количество и тип данных, которые можно было собирать. Внезапно люди по всему миру стали заполнять информацию о своих профилях на растущих платформах социальных сетей, включая дни рождения, отношения, изображения и даже номера мобильных телефонов. Вся эта информация продавалась технологическими компаниями брокерам данных. Вы когда-нибудь задумывались, как эти платформы могли управлять своими легионами серверов, не требуя от вас оплаты за их услуги? Это была магия за занавесом. Многие из нас, будучи в то время подростками или молодыми людьми, отдавали все за бесценок.

Не только компании стремились собирать и продавать информацию, но и разведывательные и правоохранительные органы также хотели получить доступ к этой свободно распространяемой информации. Судебные дела привели к дискуссиям о правовом статусе использования подобной информации для ведения уголовных дел, часто разрешая такой доступ без ордера на обыск. Эти дела долгое время решались в пользу правительственных агентств в соответствии с так называемой доктриной третьей стороны.

Доктрина третьей стороны позволяет вести наблюдение без ордера

Когда юридические аргументы начали доходить до судебных залов по всей Америке, до Верховного суда дошло знаковое дело о том, к чему правоохранительные органы могут и к чему не могут получить доступ без ордера на обыск. В деле "Смит против Мэриленда" суд постановил, что использование полицией перьевого регистратора (устройства, записывающего набранные телефонные номера) для отслеживания звонков подозреваемого не считается обыском и, следовательно, не требует получения ордера на обыск. Согласно этому решению 1979 года, подобное наблюдение за клиентами не являлось нарушением Четвертой поправки, и не только это, но они также определили, что пользователи телефонов не имеют разумного ожидания неприкосновенности частной жизни, поскольку эти данные будут записываться и храниться телефонной компанией.

Так родилась доктрина третьей стороны.

Такие дела, как "Смит против Мэриленда", напрямую цитировались АНБ в качестве юридического обоснования для мониторинга и сбора данных граждан США. В 2012 году Мэриленд однажды решил, что данные о местоположении сотового телефона также не защищены Четвертой поправкой, поскольку использование сотового телефона является добровольным и пользователи не могут рассчитывать на конфиденциальность этой информации. Это предположение получило юридический отпор в деле "Карпентер против США", где было решено, что, вопреки доктрине третьей стороны, правительству требуется ордер на получение данных о сотовом телефоне. Суд отметил симбиотические отношения, которые сегодня существуют между людьми и их устройствами, отметив, что они стали продолжением человеческого тела, и заключил, что "когда правительство отслеживает местоположение мобильного телефона, оно достигает почти идеального наблюдения, как если бы оно прикрепило к пользователю телефона монитор на лодыжке".

Четвертая поправка мертва?

В ответном письме сенатору Уайдену заместитель министра обороны по вопросам разведки и безопасности Рональд Моулти заявляет:

"Мне неизвестно ни одно требование американского законодательства или судебного заключения, включая решение Верховного суда по делу "Карпентер против Соединенных Штатов", согласно которому для получения, доступа или использования информации, такой как CAI, которая в равной степени доступна для приобретения иностранным противникам, американским компаниям и частным лицам, а также правительству США, DoD должно получить судебный ордер".

Здесь и кроется проблема. То, что делают АНБ и ФБР, достойно осуждения, но разрешено законом, и они не обязаны получать ордера на покупку данных у брокеров. Если Конгресс США не возьмет себя в руки и не примет жесткий закон, ограничивающий продажу персональных данных подобным образом, ничего не изменится. Если вы ожидаете, что это произойдет в одночасье, то этого не случится, пока граждане, чья личность стала визитной карточкой компаний, продающих данные, не встанут и не потребуют судебных действий. Это возможно! Америка, ты способна на великие дела! Сделайте так, чтобы вас услышали, и дайте отпор. Не дайте продать свою цифровую душу тому, кто больше заплатит. Можете быть уверены, что если АНБ покупает эти данные, то и другие спецслужбы тоже, и вы можете стать мишенью из-за этого.

Продажу персональных данных брокерской индустрией необходимо остановить.

Заключительное слово председателя Верховного суда Робертса по делу Карпентера может стать лучом надежды для тех, кто хочет сохранить свою частную жизнь перед лицом навязчивых брокеров данных и голодных спецслужб. В своем заключительном слове он подчеркивает различия между ранними этапами развития телекоммуникаций и той ролью, которую технологии играют сегодня: "В отличие от любопытного соседа, который следит за приходами и уходами, они [новые технологии] всегда начеку, а их память почти непогрешима. Существует огромная разница между ограниченными типами личной информации, рассматриваемыми в деле Смита [...], и исчерпывающей хроникой информации о местоположении, которую сегодня в случайном порядке собирают операторы беспроводной связи".

Нам нужна эта реформа. Мы не можем ожидать, что подходы к технологиям столетней давности будут хоть в какой-то мере соответствовать тому цифровому левиафану, который мы развязали. Эта политика должна быть пересмотрена под руководством экспертов в области технологий и конфиденциальности. Эту идею отстаивает Electronic Frontier Foundation, и если вы хотите помочь защитить частную жизнь, они заслуживают вашей поддержки. В то же время, если вы ищете безопасное и конфиденциальное обращение с вашими данными, вам следует поискать другое место.

Ваши данные не в безопасности на территории США

В условиях ограниченной защиты ваших данных в США взаимосвязанный цифровой мир может сыграть вам на руку, позволив безопасно хранить вашу информацию в ЕС. Благодаря законам GDPR в ЕС гораздо сильнее защищены конфиденциальность и данные. Кроме того, в Европе есть множество отличных компаний, соблюдающих конфиденциальность, чья деятельность направлена на защиту вашей информации от бдительного ока брокеров данных и правительственных агентств.

Если вы ищете надежный якорь для своей цифровой жизни, вам нужно начать с личного почтового ящика. Мы создали руководство по сравнению безопасных и частных поставщиков услуг электронной почты, которое вы можете посмотреть здесь. Используя сквозное шифрование, которое защищает ваши данные от прослушивания еще до того, как они покинут ваше устройство, вы можете быть уверены, что содержимое ваших сообщений находится в безопасности.

Что собирает АНБ

После того как Уайден обнародовал несекретные документы АНБ, мы можем подтвердить по их собственному признанию, что АНБ приобретает следующую доступную потребителю информацию об американцах:

• Информация, связанная с электронными устройствами, используемыми за пределами и иногда внутри Соединенных Штатов.
• Покупает и использует коммерчески доступные данные о потоках данных, связанных с внутренними интернет-коммуникациями и коммуникациями, в которых одна из сторон находится за границей. Сюда входят записи DNS, которые могут присутствовать в продуктах брокеров данных.
• Не покупает данные о местоположении телефонов, которые, как известно, используются в США, по решению суда или без него.
• Не покупает данные о местоположении автомобилей, которые, как известно, находятся в США.

VPN-соединения небезопасны

Собирая данные netflow, спецслужбы и правоохранительные органы могут собрать воедино интернет-трафик, даже если он проходит через VPN. Это означает, что само по себе укрытие за VPN не обеспечит вам полной анонимности при просмотре веб-страниц или подключении к любимым приложениям. Это не означает, что VPN совершенно бесполезна, но ее способность защитить вас более ограничена, чем это хотят показать поставщики VPN. Полностью избежать сбора данных вашим провайдером практически невозможно, если только вы не начнете создавать собственную инфраструктуру. Даже при использовании браузера Tor ваш провайдер все равно узнает, что вы используете Tor, несмотря на то, что содержимое вашего сетевого трафика зашифровано.

ЕС обеспечивает безопасность и спокойствие за ваши данные

Отличным первым шагом будет попытка перенести как можно большую часть вашей цифровой жизни в страны, где действуют более строгие законы о конфиденциальности. Конечно, невозможно начать пользоваться услугами интернет-провайдера из Германии, если вы живете в Айове, но, выбирая поставщиков услуг, которые по умолчанию предлагают сквозное шифрование и придерживаются политики "нулевого журнала", вы можете быть уверены в том, что о вас сохраняется как минимум очень мало данных. В Tuta мы не отслеживаем IP-адреса для входа в систему, которые могут быть связаны с отдельными пользователями, и не регистрируем активность учетных записей. Если вы беспокоитесь о своей конфиденциальности, переходите на компании, расположенные в Европейском союзе. В настоящее время компания Tuta готовит к выпуску новый стандарт шифрования, который сможет защитить ваши данные от угрозы постквантовых компьютеров, способных быстро взломать используемые в настоящее время стандарты шифрования. Благодаря внедрению постквантового шифрования ваши данные будут защищены от практики "сначала собери, потом расшифруй". Это обеспечит более высокую степень защиты вашей электронной почты, календарей, контактной информации, а вскоре и любых данных, которые вы захотите хранить в облаке.

Куда мы двинемся дальше в поисках полной анонимности в Интернете - вопрос пока открытый. Но мы можем быть уверены, что сквозное шифрование никуда не денется.

Будьте в безопасности и удачного шифрования.