" Если 24-летний гражданин США, проживающий в Турции, может проникнуть не в одну, а в две крупнейшие сети связи Америки, пока остальной мир спит, то что-то в мире безопасности данных определенно не так.
Последний взлом AT&T связан с кражей звонков и текстовых сообщений более 100 миллионов клиентов AT&T. Хотя украденные файлы не содержали личных данных или текстового контента, хакер продемонстрировал, как программа обратного поиска может легко связать метаданные звонков и текстовых сообщений с именами членов семьи, коллег и, в некоторых случаях, с общим местоположением пользователя и движения. Не принеся извинений, AT&T просто выразила сожаление по поводу инцидента и небрежно упомянула о том, что раскрытие утечки данных было отложено на два месяца ФБР и Министерством юстиции.
AT&T — одна из многих организаций, рекламирующих «киберустойчивость» — модное слово, которое показывает, насколько хорошо компания или государственное учреждение может предвидеть, противостоять, восстанавливаться и адаптироваться к кибератакам. Поскольку в прошлом году количество кибератак резко возросло, этот термин теперь стал синонимом досадных уязвимостей системы.
Некоторые эксперты смирились с нынешней ситуацией с постоянными утечками данных, предполагая, что кибератаки неизбежны и что следует отказаться от подхода к предотвращению в пользу подхода, ориентированного на киберустойчивость. Такой пассивный подход гарантирует, что организации останутся живыми и прибыльными, но он практически не помогает решить самую важную проблему — защиту ценной личной информации граждан.
Америке необходимо переосмыслить безопасность данных с нуля. Хотя наличие ресурсов и планов действий в чрезвычайных ситуациях для восстановления после взлома или цифрового сбоя важно, также следует реализовать совершенно другой подход — направленный на децентрализацию владения и контроля данных с самого начала. Этот подход, известный как суверенитет данных или, в более широком смысле, цифровой суверенитет, относится к праву человека контролировать, поддерживать и монетизировать свой цифровой след.
Необходимо заботиться о суверенитете данных по двум насущным причинам. Во-первых, возвращение контроля над своими информационными ресурсами может предоставить людям возможность монетизировать свои собственные данные. Восстановление этого экономического самоопределения приведет к смещению власти от небольшого числа «монархов данных», которые контролируют большую часть мировой информации, и изменит «асимметричный рынок», где люди очень мало знают о том, сколько стоят их данные и как они используются, в отличие от компаний, которые извлекают из этих данных прибыль.
Искусственный интеллект (ИИ) усугубил эту асимметрию. Стремление получить как можно больше информации – без разрешения или компенсации для пользователей технологий – еще больше исказило этот непрозрачный рынок в пользу этих немногих монархов данных. Показательный пример: платформа социальных сетей Reddit планирует продать комментарии пользователей Google и другим компаниям на сумму более 200 миллионов долларов для поддержки проектов искусственного интеллекта. Пользователи Reddit не получат ни цента, и у них не будет возможности продавать, посредничать или лицензировать свои данные комментариев.
В январе пользователь Reddit отметил, что Reddit продавал пользовательские данные Google — вскоре после того, как он перестал разрешать пользователям отказываться от обмена данными. Источник: Reddit.
Вторая причина, по которой американцы должны заботиться о суверенитете данных, — это конфиденциальность, которая может оказать огромное влияние на президентские выборы 2024 года. Если скандал с Cambridge Analytica в 2018 году чему-то нас и научил, так это тому, как мощное сочетание данных, аналитики и политического убеждения может повлиять на американскую электоральную политику. В этом инциденте Facebook* микротаргетировал своих пользователей, чтобы повлиять на их предпочтения при голосовании, и хотя пользователи социальных сетей технически дали согласие Facebook*, это согласие было получено посредством своего рода договора присоединения, в котором пользователям не предоставлялась возможность согласовывать условия Использование данных.
Самостоятельный суверенитет над данными может стать дополнительным уровнем защиты, который защитит людей от скрытых политических манипуляций и защитит американское общество от неэтичных практик, влияющих на демократические процессы. С другой стороны, если американские граждане или политики хотят соревноваться за влияние, то это должно происходить буквально на их собственных условиях.
Cуверенитет данных и суверенитет местных данных, определяемый Национальной медицинской библиотекой. Источник: Национальная медицинская библиотека.
Суверенитет данных, который по своей сути децентрализован, также является разумным решением уязвимых стратегий киберустойчивости. Вместо хранения информации в облаке или централизованной базе данных, управление данными может осуществляться на индивидуальном уровне и обеспечиваться с помощью пост-квантового шифрования блокчейна. Еще одним примером, подчеркивающим необходимость перехода к децентрализованному управлению данными, является недавнее обновление программного обеспечения CrowdStrike, которое не только привело к сбою глобальных систем, но и показало, насколько взаимосвязаны и гомогенизированы предложения программного обеспечения для защиты данных.
Американцы тоже могут иметь свои данные и использовать их. Как? Для начала экспертам по кибербезопасности и политикам следует рассмотреть возможность изучения случаев, когда процветает суверенитет данных. Например, самосуверенное мышление получило широкое распространение среди коренных народов, которые решительно выступают за контроль над данными переписи населения, здравоохранения, социальных услуг и окружающей среды. Изучение того, как коренные народы практикуют суверенитет данных и регулируют использование их собственной личной информации, могло бы стать информативным тематическим исследованием и потенциальной новой технологией или возможностью нормативной «песочницы» для цифровых экономических зон.
Кроме того, законодателям следует возобновить усилия, направленные на то, чтобы заставить технологические компании раскрыть ценность данных своих пользователей, и выступить за новое законодательство, которое ограничивает возможности организаций предлагать контракты на использование данных, которые лишают пользователей переговорных полномочий. Закон DASHBOARD, который решал проблему оценки данных, был двухпартийной законодательной инициативой, представленной в 2019 году, но с тех пор застопорившейся. Тем не менее, законы штатов о конфиденциальности набирают обороты: 18 штатов приняли законы о конфиденциальности, ориентированные на пользователя. Эти усилия явно движутся в правильном направлении, поскольку законы некоторых штатов, такие как Закон о конфиденциальности потребителей Калифорнии (CCPA), дают жителям право отказаться от продажи или раскрытия своей личной информации.
Наконец, предпринимателям следует продолжать экспериментировать с разработкой платформ, продуктов и услуг суверенитета данных на базе блокчейна, а также с созданием распределенных международных пространств данных с квантовой безопасностью, предназначенных для частных лиц, а не корпораций.
В конечном счете, нам нужен новый подход к безопасности данных — такой, который благоприятствует децентрализации и самоопределению и не допускает самоуспокоенности и смирения перед властью немногих.
Об авторе:
Агнес Гэмбилл Уэст — старший научный сотрудник Центра Меркатус при Университете Джорджа Мейсона. Она является сопредседателем Инициативы блокчейна Северной Каролины, назначенцем в Инновационный совет Северной Каролины и входит в Консультативный совет по деловым и потребительским платежам Федерального резервного банка Ричмонда. У нее есть опыт работы частным трейдером, и она является соучредителем компании, занимающейся платежами на блокчейне на базе Ethereum. Она получила степень доктора права на юридическом факультете Университета Северной Каролины, степень магистра права на юридическом факультете Университета Дьюка и степень магистра Оксфордского университета.
Эта статья предназначена для общих информационных целей и не должна рассматриваться как юридическая или инвестиционная консультация. Взгляды, мысли и мнения, выраженные здесь, принадлежат только автору.
*Признана экстремистской организацией и запрещена в России.
