Руна Сандвик: «Сочетать технологии и знания об обществе — это действительно интересная головоломка»

Руна Сандвик — исследователь в области кибербезопасности, специализирующаяся на защите людей с высоким уровнем риска. Она работает консультантом по программе Ford Foundation’s Building Institutions and Networks (BUILD) и в подразделении киберзащиты Вооруженных сил Норвегии. Ранее Сандвик была старшим директором по информационной безопасности в The New York Times и разработчиком в the Tor Project.

I spoke to @SecureMac about my passion for securing high-risk people, what we've learned about threats over the years, and my work with the @torproject. 👇 https://t.co/RVjdrtAVjJ

— Runa Sandvik (@runasand) September 28, 2021

Говорить правду — опасная работа

По подсчётам ЮНЕСКО, в среднем каждые пять дней «за доведение информации до общественности» убивают одного журналиста. Положение активистов и оппозиционеров ещё хуже. 

В наши дни журналисты, активисты и правозащитники сталкиваются лицом к лицу с новым источником риска — технологиями. Авторитарные государства по всему миру обладают лёгким доступом к мощным мобильным инструментам наблюдения, подобным шпионскому ПО Pegasus. Даже «безвредные» технологии несут в себе риски: соцсети, например, могут определять местоположение человека или собирать его личные контакты.

Для таких людей кибербезопасность может быть в буквальном смысле вопросом жизни и смерти. В течение последних 10 лет Руна Сандвик работает с журналистами и другими людьми с высоким уровнем риска, чтобы помочь им улучшить цифровую защиту и более безопасно выполнять свою работу.

В этот период Сандвик наблюдала за развитием ситуации с угрозами и заметила рост осведомлённости широкой общественности о проблемах безопасности и конфиденциальности:

«Сейчас мы знаем о рисках, угрозах и о том, что происходило «за кулисами» больше, чем 10 лет назад. Появилось много информации, иногда благодаря разоблачителям вроде Эдварда Сноудена или работе таких организаций, как Amnesty International или Citizen Lab. Или через компании, занимающиеся информированием об угрозах». 

При этом Сандвик считает, что забота общества об информационной безопасности и конфиденциальности, возможно, привела к неожиданному и — потенциально вредному — побочному эффекту: технологические компании стали использовать её в качестве маркетингового хода:

«Общество гораздо чаще слышит о приватности, слежке, цифровой идентификации и компромиссах. Мы хотим больше приватности. Мы хотим большей безопасности. Мы хотим больше уединения. Но в результате некоторые поставщики технологий — часто выполняющие действительно хорошую работу — делают очень сильные маркетинговые заявления, рассчитанные на не подкованную технически аудиторию, о том, что могут предоставить их платформы. В некоторых случаях они не могут выполнить свои обещания. И, к сожалению, широкая общественность не всегда может оценить эти заявления».

Сандвик продолжает:

«К примеру, недавно ProtonMail получила запрос от государства на получение информации о пользователе. По закону сервис должен был передать её. Это неудивительно: я думаю, что это был всего лишь вопрос времени. Но проблема в данном случае заключается в том, что ProtonMail в течение очень долгого времени делал убедительные маркетинговые заявления другого рода».

Пользователь ProtonMail, о котором идёт речь, оказался французским экологическим активистом. И хотя он не был человеком с высоким уровнем риска, как журналисты в авторитарной стране, он не соответствовал и понятию «обычного» пользователя. Большинство клиентов зашифрованной электронной почты имеют довольно скромные ожидания: они ищут большей приватности в интернете или отсутствия целевой рекламы. Но они не думают, что могут стать объектом международного расследования правоохранительных органов. Упомянутый активист, вероятно, имел более высокие потребности в приватности и слишком многого ожидал от поставщика услуг.

По мнению Сандвик, именно из-за такого разнообразия пользователей технологическим компаниям необходимо взаимодействовать с людьми, подверженными высокому риску, ещё на стадии разработки. Тогда они могут избежать неверных предположений о том, кто их конечные пользователи и что им нужно для обеспечения безопасности:

«Существует множество вариантов того, как люди используют технологии. В социальных сетях время от времени появляется сообщение «Ваша модель угроз — это не моя модель угроз». Это очень важная идея: то, что работает для вас, не обязательно работает для меня. У меня могут быть другие причины использования технологий. У меня могут быть отличные от ваших желания относительно настроек конфиденциальности на Facebook».

Из вышесказанного Руна делает вывод:

«В действительности всё сводится к следующему: люди живут по-разному. Они устанавливают разные границы и используют разные способы самовыражения. И технологические решения, разработанные инженерами в Калифорнии, вряд ли смогут удовлетворить потребности всех, если только не будут сделаны с учётом мнения широкого круга людей. Технологические компании могут извлечь большую выгоду из работы с людьми с высоким уровнем риска, преследуя цель сделать свои платформы более безопасными».

Существует множество примеров проблем, которые возникают, когда технологические компании не делают этого. Так, Apple недавно столкнулась с одной из них в рамках внедряемой функции по защите детей — предупреждения родителям, когда дети отправляют или получают материалы откровенного сексуального характера в сообщениях. Но в открытом письме Apple, подписанном более чем 80 организациями гражданского общества, критики отмечают, что Apple делает именно ту ошибку о которой предупреждала Сандвик. В письме, в частности, говорится:

«Система, разработанная Apple, предполагает, что задействованные учётные записи «родитель» и «ребенок» принадлежат взрослому, который является родителем ребенка, и что у этих людей здоровые отношения. Это может быть не всегда так. Родитель может оказаться жестоким, и последствия уведомления родителей тогда станут угрожать безопасности и благополучию ребенка. Молодежь ЛГБТК+ особенно сильно подвержена такому риску».

К чести Apple, компания отложила внедрение предлагаемых функций в ответ на критику. Корпорация заявила, что прислушалась к «отзывам клиентов, правозащитников, исследователей и других» и ей требуется дополнительное время «для сбора информации и внесения улучшений», прежде чем она внедрит новую опцию — решение, которое Sandvik называет «хорошим шагом, очень умным шагом ... и то, что Apple должна была сделать изначально».

Технологическим компаниям еще предстоит пройти долгий путь по удовлетворению потребностей людей с высоким уровнем риска. Но Сандвик говорит, что уже видит разницу в подходе к этим вопросам:

«История знает множество примеров, когда инженеры пытались разработать технические решения для проблем нетехнического свойства. Сейчас технологические компании иногда подключают самых разных людей к разработке функций безопасности, прогнозируя варианты, которые точнее подходят для целевых пользователей».

Она приводит пример:

«Глава отдела политики безопасности Facebook Натаниэль Глейхер недавно написал в Twitter инструкцию о том, как люди в Афганистане могут заблокировать свои аккаунты в Facebook и Instagram. Он выбрал подход «наиболее полезного для этих людей прямо сейчас», и это замечательно. Так, соцсеть запустила инструмент, который позволит людям в один клик блокировать свои учётные записи. Когда профиль заблокирован, люди, которые не являются их друзьями, не имеют доступа к фото этого профиля и не могут просматривать публикации на timeline. Это пример того, что действительно полезно. Разговоры о том, как отправлять зашифрованную электронную почту, напротив, не помогли бы людям в Афганистане в тот момент».

Большинство людей, без сомнения, рады видеть, что технологические компании лучше справляются с защитой пользователей с высоким уровнем риска. Но это может оказаться для них более актуальным, чем они думают, поскольку «высокий риск» непрогнозируем. Как отмечает Сандвик, «никто не собирается становиться человеком с высоким уровнем риска». Она продолжает объяснять:

«Часто это то, что просто «случается» в ходе работы. Есть репортёры, которые взялись за истории, которые с самого начала могли показаться «нормальными» и не очень рискованными. Но затем, на полпути, журналисты заглядывают в шкаф, а оттуда выпадают пять скелетов. И вдруг тема делается очень чувствительной, с высокой степенью риска, а люди становятся мишенью».

К примеру, в ситуациях повышенного риска без предварительных намёков на то могут оказаться протестующие студенты. Так, в последние годы по Азии прокатилась волна продемократических движений. В Гонконге, Таиланде и Мьянме тысячи студентов выходили на улицы, требуя свободы слова, институциональных реформ и соблюдения прав человека. В большинстве случаев это были обычные молодые люди, скорее озабоченные курсовыми работами и выпускными экзаменами, чем мобильными шпионскими программами и шифрованием сообщений. Но после участия в публичных акциях многие оказались объектами слежки (или того хуже) для своих правительств.

Заманчиво думать, что эти студенты, будучи «цифровыми аборигенами», хорошо разбираются в кибербезопасности и знают, как защитить себя. Но, по словам Сандвика, это в корне неверное предположение:

«Техническая подкованность не обязательно означает знания в области кибербезопасности. Вы можете быть очень хорошим водителем и при этом не знать о том, как именно работает ваш автомобиль, или что делать, если он сломается».

К счастью, людям, которые обнаруживают, что они внезапно стали «группой с высоким уровнем риска», можно помочь. Сандвик рекомендует им Surveillance Self-Defense guide, подготовленный Фондом электронных рубежей (Electronic Frontier Foundation, EFF) и доступный на нескольких языках, в качестве «очень хорошей отправной точки».

Для таких организаций, как EFF, и отдельных исследователей, как Sandvik, кибербезопасность — это задача с высокими ставками. Их противники — одни из самых репрессивных государств на планете. И люди, которых они защищают, часто оказываются в опасных или даже угрожающих жизни ситуациях. Это работа не для слабонервных. Но, несмотря на трудности, Сандвик говорит, что считает свою деятельность крайне полезной:

«Я чрезвычайно озабочена тем, чтобы делать работу, которая оказывает влияние и имеет значение для людей. Лично я получаю от этого большую пользу. Сочетать технологии и знания об обществе — это действительно интересная головоломка. И это то, над чем мне ещё работать и работать».

Оригинал

Почему важна приватность и зачем нужен Tor, дополнительно читайте в наших карточках здесь и здесь.