Разделы

Мобильность

Шпион в кармане — как мобильные устройства следят за пользователями под видом борьбы с COVID-19

Персональная мобильная электроника — смартфоны, планшеты, смарт-часы и другие устройства превратились в неотъемлемый атрибут современного человека. Но использование подобных устройств несет потенциальную угрозу не только частной жизни граждан, но и национальной безопасности стран.

Все началось с пандемии. Точнее, с довольно здравых инициатив по сдерживанию ее распространения в мире. Стремительный и неуправляемый рост числа заболевших требовал действенных механизмов контроля, которые бы позволили своевременно выявлять контакты зараженного человека и в дальнейшем изолировать потенциальных носителей COVID-19 от здоровой части общества. Но как этого добиться? Логичный ответ — с помощью мобильных устройств, которые сегодня есть у подавляющего большинства жителей густонаселенных районов Земли. Теоретически, они могли бы давать всю необходимую информацию о местонахождении, передвижении и контактах людей. И от теории до практики, как оказалось, буквально один шаг.

Контакты под контролем

Неудивительно, что соответствующая инициатива поступила от двух крупнейших ИТ-компаний, которые являются владельцами и разработчиками самых популярных мобильных платформ в мире. Так Apple и Googleрешили внедрить в свои операционные системы особый механизм под названием Contact Tracing API, который, с помощью протокола Bluetooth Low Energy, позволяет отслеживать контакты пользователей мобильных устройств и передавать эти сведения третьим лицам. По задумке, доступ к этой информации получат программные сервисы, помогающие сдерживать распространение COVID-19. Главным адресатом называются медицинские службы, которые должны иметь возможность выявления контактов каждого больного.

Суть в том, что устройства пользователей, находящиеся под управлением ОС Android или iOS, оказавшись рядом, автоматически обмениваются уникальными и, по идее, анонимными ключами-идентификаторами. Поскольку для этого используется Bluetooth LE, в поле действия оказываются только устройства, находящиеся на расстоянии не более ста метров друг от друга (что определено стандартом технологии).

Затем, если тот или иной человек заболевает и сдает положительный тест на COVID-19, он должен внести сведения об этом в приложение, которое отправит соответствующее уведомление на сервер, размещенный в облаке. Это уведомление представляет собой тот же анонимный ключ-идентификатор, но с пометкой о заражении. Устройства, оснащенные Contact Tracing API, периодически обращаются к упомянутому облачному серверу, проверяя, нет ли в их внутренней базе идентификаторов, у которых подтвержден коронавирус. Если таковые находятся, всем контактировавшим с ним высылается соответствующее уведомление (без указания того, кто конкретно это был), а также инструкции относительно того, как действовать дальше. Общее описание технологии не подразумевает деанонимизации пользователей.

Около трех десятков стран, в числе которых и Россия, реализовали у себя те или иные механизмы для широкомасштабного отслеживания контактов пользователей мобильных устройств на основе данных GPS или Bluetooth

Тем не менее, некоторые эксперты высказывают мнение о том, что сбор данных может проводиться по распоряжению властей США. Более того, свою обеспокоенность по этому поводу высказала Еврокомиссия, согласно рекомендациям которой от 16 апреля нынешнего года, программные приложения, помогающие сдерживать распространение COVID-19, не должны собирать данные о местоположении пользователей. Об этом говорится, например, в сообщении Reuters. Тем не менее, по состоянию на середину апреля, около трех десятков стран, в числе которых и Россия, реализовали у себя те или иные механизмы для широкомасштабного отслеживания контактов пользователей мобильных устройств на основе данных GPS или Bluetooth. Еще около десяти государств рассматривали такую возможность.

Главный вопрос здесь заключается в том, как собрать данные о контактах, не нарушая права на неприкосновенность частной жизни. Европейская комиссия предостерегает от злоупотреблений в этой области. Использование подобного ПО должно быть исключительно осознанным и добровольным, а предаваемые сведения не должны включать никаких данных, которые бы позволили точно определять местоположение того или иного человека.

Отметим, что технические детали Contact Tracing API не раскрываются. О технологии известно лишь в общих чертах, притом, что речь идет об аудитории мирового масштаба. Исследуя данный вопрос, ученые Института больших данных Оксфордского университета пришли к выводу о том, что для настоящей эффективности подобного механизма контроля над распространением инфекции в процесс отслеживания контактов должно быть вовлечено около 2/3 населения страны.

Проблема усугубляется тем, что подобная схема отслеживания весьма удобна для правительственных организаций во многих отношениях и будучи введенной под предлогом борьбы с COVID-19, она может стать постоянной мерой для отслеживания контактов населения. «Пандемия закончится, а слежка за населением останется. Временные меры быстро станут постоянными», — отмечает бывший сотрудник ЦРУ Эдвард Сноуден.

Сбор данных и национальная безопасность

Отслеживание передвижения и контактов граждан страны, тем более, когда его могут негласно осуществлять зарубежные организации, может нести также потенциальную угрозу для национальной безопасности государства. Скажем, 1 мая 2020 года на сайте Defence One был опубликован материал, в котором утверждается, что целый ряд российских предприятий ВПК снизили объемы производства из-за пандемии. Выводы основаны на исследовании компании Orbital Insight, которая использует для анализа данные геопространственной аналитики, собираемой с помощью мобильных устройств.

В списке пострадавших предприятий Московское машиностроительное производственное предприятие (ММПП) «Салют», где производятся двигатели для российских истребителей Су-27 и китайских Chengdu J-10. Здесь анализ активности телефонов показал сокращение персонала на 2 тыс. человек по сравнению с нормальным количеством, с момента начала пандемии. Также речь идет о «Уралвагонзаводе» (производит детали для танков Т-90 и Т-14 Армата), персонал которого сократился на 3,5 тыс.человек, и «Гидромаше» (выпускает детали шасси, гидравлику и другие детали для истребителей Су-30МК и Су-34) — сокращение на 2 тыс. человек.

Сбор данных, как отмечается в статье, осуществлялся путем получения анонимных сведений о геолокации мобильных устройств, для обработки применялись алгоритмы машинного обучения. Это позволило исследователям отслеживать масштабные перемещения людей в режиме, близком к реальному времени. О том, какой еще информацией обладают исследователи, остается лишь догадываться. Но то, с какой легкостью были получены важные сведения о работе стратегических предприятий, заставляет как минимум задуматься.

В этом контексте, особую важность приобретает вопрос использования операционных систем, неподконтрольных мировым компаниям и недоступных для зарубежных организаций.

Запретить нельзя разрешить

Как защитить важные данные от контроля извне? Самый радикальный вариант — вообще запретить использование мобильных устройств в офисах и на стратегически важных предприятиях. Но, в таком случае организация лишается многих преимуществ, которые обеспечивают современные технологии. Снижается эффективность работы, усложняются коммуникации между сотрудниками и т.д.

Благо, сейчас есть вариант, позволяющий не отказываться от смартфонов, даже на самых ответственных предприятиях. Речь идет о специальной «доверенной» мобильной платформе, ориентированной на работу в информационных системах с повышенными требованиями к защите информации. В этом случае, у организации есть возможность контроля как над самими устройствами, так и над теми данными, которые на них хранятся.

В качестве примера такой «доверенной» платформы можно привести российскую операционную систему для мобильных устройств «Аврора», которую разрабатывает компания «Открытая мобильная платформа» (ОМП).Решение ориентировано на безопасное использование мобильных устройств в различных бизнес-процессах организации.

Доверенная мобильная инфраструктура на базе ОС «Аврора» позволяет автоматизировать и контролировать работу сотрудников, которые большую часть рабочего времени проводят вне офисов и административных зданий и не могут использовать персональные компьютеры. Архитектура решения, наличие сертифицированных средств защиты канала передачи данных, конфигурируемые политики безопасности на устройстве — все это позволяет встроить использование мобильных устройств в бизнес-процессы компании.

Решение на ОС «Аврора» и платформе управления устройствами «Аврора Центр» — это независимая автономная мобильная инфраструктура, на которой можно разворачивать парк устройств с высокими требованиями к информационной безопасности. И эти устройства не контролируются ни производителем устройств, ни производителем операционной системы, ни производителями прикладного решения. Отметим также, что полный цикл разработки ОС «Аврора» ведется в России.