Ivan Begtin
7.98K subscribers
1.85K photos
3 videos
101 files
4.55K links
I write about Open Data, Data Engineering, Government, Privacy, Digital Preservation and other gov related and tech stuff.

Founder of Dateno https://dateno.io

Telegram @ibegtin
Facebook - https://facebook.com/ibegtin
Secure contacts [email protected]
Download Telegram
Наши друзья из Роскомсвободы (@roskomsvoboda) проводят очередной Хакатон DemHack 2 [1] на тему приватности и доступности информации.

Я предложил на хакатон задачку "Мониторинг использования технологий слежки наблюдения за гражданами за гражданам" которая звучит так:
Извлечение из Реестра деклараций о соответствии данных о технических средствах слежки за гражданами, поиск и визуализация сведений о госконтрактах с этими техническими средствами
(данные здесь и здесь, а также есть недокументированное API для поиска по сертификатам и декларациям соответствия.
По закупкам данные на порталах
spending.gov.ru и clearspending.ru).

Честно говоря я давно про эту задачу (и проблему) думаю и даже думал не сделать ли такой общественный проект, но, всё же, Инфокультуре он не профилен напрямую, Инфокультура создавалась про хорошее - развитие открытости, а тут задача для крепкого вотчдога (организации/команды ориентированной на мониторинг злоупотреблений гос-ва).

Поэтому она идеально подходит для DemHack и я надеюсь на то что найдутся команды которые возьмутся за неё.

Тем временем могу сказать что у меня довольно часто за последние годы разговоров с людьми внутри государства, довольно грамотно аргументирующих почему что-то не может быть открыто или почему какие-то госданные должны быть закрыты. И имеющие хорошие доводы почему госслежка необходима (для борьбы с мошенниками, преступникам и там ещё много чего).

Я вот хорошо их понимаю и их аргументы, но, я считаю крайне важным отсутствие безнадзорной государственной слежки. Иначе говоря, даже если внедряются какие-либо системы слежки за гражданами они должны быть прозрачны, аудируемы, подотчётны законодательной и судебной власти, без излишней концентрации в одних руках (одном органе власти), жёстко регламентированы и так далее. Я считаю что если придерживаться того что называется государственной позицией, то возможно только такое. Контроль и надзор не государства за гражданами, а контроль и надзор государства за отдельными его частями.

Впрочем, конечно, лучше жить в мире где этой слежки совсем нет или её минимум. Если такое вообще возможно.

А пока, присоединяйтесь к хакатону и создавайте проекты которые помогали бы гражданам и тем органам власти которые осуществляют контроль и надзор за другими органами власти чтобы те не нарушали права человека.

Ссылки:
[1] https://demhack.ru

#it #surveillance
Мне, честно говоря, порядком надоедает комментировать очередную инициативу регулирования со стороны Роскомнадзора. Вчерашняя новость о том что Роскомнадзор планирует собирать сведения о звонках граждан [1] как раз из таких. Если коротко - то это лечение настоящей проблемы негодными методами.

Методы борьбы с сим-картами предлагаются через то, чтобы ежесуточно операторы сдавали Роскомнадзору ежесуточно такие данные как:
- Ф.И.О. абонентов, их местах жительства, дате рождения, реквизитах документов, удостоверяющих личность. О пользователях корпоративных тарифов будут передаваться аналогичные сведения, а также наименование организации, сотрудниками которой они являются, с юридическими идентификаторами;
- номере телефона, который используют абоненты и пользователи, а также дату заключения, изменения или расторжения договора об оказании услуг связи;
- видах звонков, совершенных абонентом или пользователем корпоративных тарифов, а также номере вызывающего и вызываемого абонента, о дополнительном номере вызывающего абонента, о номере, на который осуществляется переадресация вызова. Также будут переданы данные об идентификаторе базовой станции вызывающего и вызываемого абонентов или пользователей корпоративных тарифов;
- факте передачи голоса, текстовых и мультимедийных сообщений, а также передачи данных, в том числе с использованием промышленных устройств, оборудования, датчиков, сенсоров и т.п.;
- используемом абонентами и пользователями корпоративных тарифов оборудовании, в том числе его идентификационный модуль, а также о замене оборудования и изменения информации в идентификационном модуле и др.

Что я могу тут сказать? Могу сказать сразу с трех точек зрения.
Общественная: это, безусловно, дополнительный инструмент слежки за гражданами поскольку даже сам факт обмена информацией между гражданами - это важные сведения, они дорого стоят для всех частных охранных агентств, очень активно применяются для слежки за конкурентами и со стороны государства для слежки за недовольными, оппозицией и так далее.

Коммерческая: обратите внимание что вся стратегия регулирования государства стремительно меняется вот уже несколько лет. Если ещё какое-то время назад она была по модели регуляторной: "на Вас кто-нибудь пожалуется и мы Вас за это накажем, а ещё будем Вас регулярно и больно проверять", то сейчас модель датацентричная в плохом смысле. Регулятор теперь не приходит регулировать, он говорит: "Данные сдавать сюда, я сам разберусь, сам если что и заблокирую, а Вы вот эту железку себе на $&* поставьте". Это, в принципе, конец цифровой экономике и скоро площадки по диалогу бизнеса-государства по этой теме превратятся из лоббистких в защитные, когда корпоративные лоббисты отслеживают новые лютые изменения в НПА и хоть как-то пытаются их смягчить. На самом деле уже почти все так и живут, ну, почти все, ещё есть попытки лоббировать интересы, а не только защищаться.

Государственная: это, безусловно, безнадзорное расширение полномочий отдельного органа исполнительной власти который постепенно превращается в аналог Росфинмониторинга для связи и Интернета. Кроме уже существующих правоохранительных органов появляется ещё один в лице Роскомнадзора имеющий доступ к данным которые могут использоваться, в том числе, для нарушения приватности государственных служащих других ветвей власти, к примеру. В принципе, непрерывное усиление отдельных ФОИВов и их полная безнадзорность и невыполнение ими самими надзорных функций - это плохой тренд для госуправления. Роскомнадзор, хреново, но умеет отслеживать нарушения у бизнеса и полностью игнорирует нарушения в других органах власти.

Ссылки:
[1] https://www.rbc.ru/technology_and_media/17/03/2021/605206809a794702c7c67af8

#privacy #government #surveillance
В блоге Signal пост о том как их команда попыталась разместить рекламу в Инстаграм с информацией о тех критериях по которым она подбиралась в рекламной сети Facebook [1]. Всё это чтобы показать то сколько информации Facebook собирает о пользователе.

Аккаунт им быстро закрыли, без объяснения причин. Авторы подчёркивают что компании AdTech такие как Facebook собирают много данных, но не хотят чтобы другие знали о том что и в каком объёме они собирают.

Это, кстати, хорошая идея для мини-исследования/расследования которое может провести любой журналист в России. Разместить такие рекламные объявления во Vkontakte (Mail.ru) или в рекламной сети Яндекс. Но, скорее всего, рекламный аккаунт, также, закроют навсегда;)

Ссылки:
[1] https://signal.org/blog/the-instagram-ads-you-will-never-see/

#adtech #signal #ads #privacy #surveillance
По поводу инициативы МВД по созданию приложений по борьбе с телефонными спамерами [1], давайте будем честными, когда государство приходит на рынки где есть лучшего качества частные решения - это почти всего имеет за собой одну из 3-х причин:
1. Неэффективно потратить бюджетные средства.
2. Непонимание потребностей пользователей/граждан и некачественной госполитики в этой области.
3. Расширение полномочий/возможностей органов власти.

А иногда и все эти 3 причины вместе. В случае с созданием мобильного приложений от МВД я хочу обратить ваше внимание что у МВД и других силовых органов есть ограничения накладываемые на оперативно-розыскную деятельность (ОРД), ограничивающие запросы МВД к сотовым операторам и другим организациям. А имея под своим прямым контролем данные которые можно собрать таким сервисом можно многое собирать о гражданине и без ОРД.

Это всё +1 причина не пользоваться сотовой связью для звонков без острой необходимости.

Ссылки:
[1] https://vc.ru/legal/241427-mvd-do-konca-goda-zapustit-mobilnyy-servis-kotoryy-budet-preduprezhdat-o-zvonkah-moshennikov

#privacy #surveillance #mvd #russia
Роботы, роботы... Тысячи индусов у камер наблюдения и отслеживание работы сотрудников магазинов и ограблений. В Vice статья о Live Eye [1], компании которая подключает магазины к системе наблюдения за сотрудниками и сотрудники в конце дня отчитываются о всех действиях на камеру. А также там же про пример того как удалённый наблюдающий из динамиков угрожает вызвать полицию во время ограбления.

Статья скорее осуждающая, и я согласен в том что такая слежка 24/7 некомфортна для работников. Но каким будет её развитие? То же самое будут делать алгоритмы, автоматически определяющие что идёт ограбление магазина или иная экстренная ситуация.

Ссылки:
[1] https://www.vice.com/en/article/4avnnn/a-cctv-company-is-paying-remote-workers-in-india-to-yell-at-armed-robbers

#tech #surveillance
Сегодня в 15:00 я выступаю на Eurasian Data Protection Congress 2021 с докладом Слежка за гражданами через мобильные государственные приложения, а сам конгресс начнётся уже скоро, в 10:00 с трансляцией на сайте https://edpc.network

Будет много интересных спикеров, актуальных вопросов о приватности граждан, так что рекомендую даже тем кто пока ещё далек от тем приватности.

#privacy #events #surveillance
Я в декабре 2019 года писал про проект ASPI по идентификации активности китайских технологических компаний в мире, он не обновлялся почти 2 года и, оказывается, неожиданно был обновлён в июне 2021 г. В виде большого набора данных и на карте собраны сведения о 3948 инициативах китайских технологических компаний в мире: совместных производствах, контрактах, обучении, дочерних предприятиях, тренингах и многом другом. Всего 27 компаний в 186 странах. В России всего 121 такой проект. Можно обратить внимание, например, на проекты Meiya Pico, продавших в 2018 году Следственному комитету РФ технологию MagiCube для вскрытия телефонов iPhone и Android. По видимому, они заменили, израильскую компанию Cellebrite продуктами которой ранее пользовались отечественные правоохранители.

Что тут добавить, если даже российские госорганы закрывают госзакупки, это не значит что информацию о них скроют поставщики. Им же надо привлекать клиентов и показывать успехи.

#privacy #china #surveillance
Вы беременны и используете приложение для отслеживания своего здоровья? Почти 100% за Вами следят

Если бы я писал статью в популярный журнал, я бы начал именно с такого заголовка

У фонда Mozilla интересный проект Privacy not included по анализу приватности в мобильных приложениях. Я писал о нём коротко в мае 2022 г. [1], но тема шире и интереснее.

Исследователи в Mozilla проверяют приложения на предмет того:
- как компания использует данные
- можете ли Вы управлять Вашими данными
- какова история компании в использовании данных
- дружелюбность информации о приватности
- можно ли продукт использовать оффлайн

А также минимальные проверки безопасности:
- используется ли шифрование
- позволяют ли они использовать слабые пароли

А также несколько критериев применения ИИ:
- используется ли ИИ?
- доверенный ли ИИ?
- прозрачны ли решения компании по использованию ИИ?

и ещё много чего другого, почитайте методологию [2]

А теперь пример, в Mozilla проверили 20 наиболее популярных приложений для отслеживания здоровья в период беременности и признали 18 из 20 как не обеспечивающие приватность. [3]

При этом они не анализировали наличие кода передачи данным третьим сторонам (трекерам). Например, приложение Period Tracker [4] помечено как не обеспечивающее приватность, а если ещё и посмотреть на отчет в Exodus Privacy [5] то можно найти внешние 8 трекеров в этом приложении.

Почему Mozilla эту информацию не учитывают не знаю, по своему важны оценки, и их ручной проверки, и автоматической от Exodus Privacy.

А теперь, внимание вопрос, неужели кто-то полагает что аналогичные приложения в России или в других не-англоязычных странах существуют иначе?

Год назад примерно мы публиковали доклад от приватности мобильных приложений публикуемых госорганами [6]․ Всего 44 приложения тогда было и, как Вы догадываетесь, их приватность была далека от совершенства.

В качестве преданонса, и я об этом уже писал, в этом году мы скоро опубликуем исследование на ту же тему.

Оно обязательно выйдет в Телеграм канале Информационная культура, подписывайтесь и не переключайте каналы!

Ссылки:
[1] https://t.iss.one/begtin/3826
[2] https://foundation.mozilla.org/en/privacynotincluded/about/methodology/
[3] https://foundation.mozilla.org/en/privacynotincluded/categories/reproductive-health/
[4] https://foundation.mozilla.org/en/privacynotincluded/period-tracker/
[5] https://reports.exodus-privacy.eu.org/en/reports/com.period.tracker.lite/latest/
[6] https://privacygosmobapps.infoculture.ru/

#privacy #android #mobile #surveillance
Группа исследователей в области инфобеза выяснили что сервис аналитики компании Apple, так и называется Apple Analytics, собирает персонально идентифицирующую информацию о пользователях [1].

В передаваемых данных там есть параметр "dsId" который они проверили и подтвердили что он является "Directory Services Identifier”, уникальный идентификатор аккаунта iCloud, хотя в условиях использования Apple фигурирует что [2] None of the collected information identifies you personally.

Ждём опровержений, исков к Apple, расследований регуляторов в ЕС и США.

Ссылки:
[1] https://twitter.com/mysk_co/status/1594515229915979776
[2] https://www.apple.com/legal/privacy/data/en/device-analytics/

#privacy #security #apple #surveillance
У Privacy International материал о том как британское правительство поменяло способ слежки за мигрантами отпущенными под залог с электронных браслетов на ногах на умные часы [1] для чего привлекли частного подрядчика Buddi Limited [2].

У Guardian в этом году было уже две публикации с расследованиями того как организована слежка за мигрантами [3] уличёнными в преступлениях. Если кратко, то меры включают ношение устройства такого как электронный браслет с передачей информации 24 на 7 и запросом до 5 раз в день присылать фотографии.

Ничего не напоминает? Да, очень похоже на ковидный мониторинг как он был организован в России в Москве. Так вот похоже сама задумка непрерывной слежки для временно или постоянно дискриминируемыми группами населения становятся популярными у полицейский в разных странах.

Когда режим слежки за отпускаемыми под залог или за мигрантами могут внедрить в России? Да сразу после того как появится крупный внутригосударственный лоббист который продавит эту технологию.

Можно обратить внимание что, Buddi Limited, поставщик умных часов Минюста Великобритании, публично позиционировал свои продукты как продукты для пожилых людей.

Ссылки։
[1] https://privacyinternational.org/long-read/4991/buddi-limited-immigration-enforcements-favourite-tracking-buddy
[2] https://www.buddi.co.uk/
[3] https://www.theguardian.com/politics/2022/aug/05/facial-recognition-smartwatches-to-be-used-to-monitor-foreign-offenders-in-uk
[4] https://www.theguardian.com/world/2022/oct/05/ankle-tags-used-to-target-young-black-men-london-mayors-report-finds

#privacy #police #surveillance #crimetech
У CitizenLab, канадской лаборатории при Университете Торонто специализирующейся на приватности вышло большое исследование-лонгрид You Move, They Follow Uncovering Iran’s Mobile Legal Intercept System [1] на основе документов электронной переписки которые им передал источник связанный с Иранским телеком-регулятором Communications Regulatory Authority of Iran (CRA).

Исследование/расследование длинное, с большим числом ссылок и подробностей, с важным акцентом на их канадского вендора PortaOne и с упоминанием ещё и британского Telinsor и российского Protei (догадаться несложно оригинальное название в кириллице).

Применительно к вендорам одна из ключевых тем исследования что "все врут", а то есть нигде не указывают сотрудничество с Иранскими компаниями, хотя, как утверждается, его осуществляют.

Другая интересная часть там - это про то как в Иране регулятор буквально встраивает своё API в системы операторов и знает о всех учётных действиях пользователя, а некоторые даже согласуются только через него, например, смена мобильного оператора.

Российской системе слежки за абонентами есть куда стремиться, хотя, может мы просто о ней недостаточно знаем.

Ссылки։
[1] https://citizenlab.ca/2023/01/uncovering-irans-mobile-legal-intercept-system/

#privacy #security #iran #surveillance
Amnesty International опубликовали в начале мая доклад Automated Aparteid [1] о том как в Восточном Иерусалиме и Хевроне они провели исследование и обнаружили огромное число камер и подтверждение слежки с их помощью. В докладе довольно много всего про масштаб цифрового наблюдения и отдельный акцент на почти полной непрозрачности всей этой деятельности. Доклад довольно резкий в отношении Израиля с другими акцентами чем привычные публикации про злоупотребление мониторингом камерами. Обычно все говорят о праве граждан на ограничение государства и корпораций в слежке за жителями и опрозрачивание работы систем слежки для граждан/налогоплательщиков, а здесь особая ситуация спорных территорий и слежки за гражданами другого государства. В мире таких прецедентов не так много, не так часто границы стран являются не только спорными, но и густо населены.

И, конечно, вот этот изучаемый случай как раз на грани контрастности мнений, что же важнее права человека в любом случае и в любой ситуации или безопасность.

Ссылки:
[1] https://www.amnesty.org.uk/files/2023-05/Automated%20Apartheid.pdf

#surveillance #izrael #privacy
В IPVM статья [1] о том как в Китае компания Dahua, с 2021 года, помимо классических услуг распознавания лиц и объектов, предоставляет ещё и AI платформу Jinn [2] в которой обещают что могут определять неработающих сотрудников, сотрудников на стройке без касок, людей курящих в помещении и ещё много чего. В том числе среди их продуктов обнаружили пример с распознаванием протестующих с баннерами. Неизвестно умеет ли их продукт считывать с лозунга текст, но умеет определять тех кто с ним стоит. После того как журналисты IPVM запросили у компании комментарии, то сразу же эти примеры исчезли. Причем скорее всего Dahua не единственный вендор с таким продуктом,

Ссылки:
[1] https://ipvm.com/reports/dahua-protestor-alarms
[2] https://ai.dahuatech.com/deviceOpenPlatform

#privacy #surveillance #china #ai