У мережі розгорілася дискусія про загрозу витоку персональних даних із мережі Zoom. ProIT з’ясував всі обставини цієї теми й дізнався думки фахівців із кібербезпеки.
Разом із поширенням штучного інтелекту зростають і ризики зловживання. Творці інтелектуальної власності остерігаються, що ШІ нехтує авторськими правами. Інші ж користувачі хвилюються, що технології можуть вийти з-під контролю і розпоряджатися даними на свій розсуд.
Напередодні предметом жвавих дискусій стали нові функції платформи Zoom. Розширення AI Companion, засноване на технології штучного інтелекту, вивчає розмову учасників, аналізує її й пропонує «самері» – вичерпний звіт на основі сказаного. Юзерів насторожив рядок в «Угоді обслуговування», у якому компанія вказує, що «може розпоряджатися персональними даними клієнтів на власний розсуд, у тому числі для розвитку технологій машинного навчання».
Компанія Zoom оновила Termes of Service ще 2 березня 2023 року. Протягом певного періоду зміни залишалися непоміченими. Однак у серпні деякі уважні користувачі помітили рядок, за умовами якого платформа отримувала повний доступ до користувацьких даних, у тому числі біометричних даних і записів розмов. Цілі компанія визначає на власний розсуд, але уточнює, що йдеться, серед іншого, про розвиток технології машинного навчання.
Що відомо про AI Companion від Zoom
ШІ-функціонал Zoom доступний лише користувачам платних версій. Згідно з даними тарифних планів, AI Companion дозволяє субтитрувати розмови, аналізувати їх і на основі цих даних формулювати підсумки. У такий спосіб користувачі, що запізнилися на зустріч, зможуть швидко ознайомитися з обговореними темами, не відволікаючи інших учасників. Це також має звільнити адміністраторів від створення супутніх матеріалів: конспектів чи презентацій, адже цю функцію візьме на себе ШІ. Крім того, користувачі можуть індивідуально поспілкуватися з чат-ботом, який нагадає пропущену інформацію.
Зауважимо, що існують два типи даних, які можуть збирати програми і платформи. Перший тип – «дані, створені сервісом». Це інформація про клієнта і спосіб споживання продукту (дані про місцезнаходження, час, проведений у застосункку, вподобані опції тощо). Цими даними платформа може розпоряджатися вільно без дозволу користувача, адже трактує їх як «власні дані».
Другий тип – «користувацькі дані». Це вміст аудіо- та відеоповідомлень, демонстрацій екрану, що проводяться через платформу. Без доступу до користувацьких даних ПЗ не зможе забезпечити названий функціонал, тож питання безпеки радше лежить у площині етики: чи не знехтує платформа довірою користувачів і не передасть дані іншим суб’єктам?
Науковець Брайан Вільям Джонс висловив у соцмережі Х побоювання, що Zoom зможе на власний розсуд розпоряджатися записами приватних розмов. У відповідь платформа опублікувала допис, у якому пообіцяла не розпоряджатися приватними даними користувачів без їхньої згоди.
General Data Protection Regulation, або GDPR (основний закон про конфіденційність персональних даних) вказує, що суб’єкт, який запитує інформацію, повинен отримати згоду власника, а обробка даних необхідна у суспільних інтересах.
Аби опанувати тривожні настрої серед користувачів, операційний директор Zoom Апарна Бава виступив із поясненням:
«Клієнти Zoom окремо вирішують, чи вмикати генеративні функції штучного інтелекту й окремо, чи ділитися контентом із Zoom для удосконалення продукту».
8 серпня платформи знову оновила «Умови обслуговування», додавши рядок:
«Zoom не використовуватиме аудіо-, відео- та чат-вміст Клієнта для навчання нашої моделі штучного інтелекту без вашої згоди».
Платформа запитує дозволу у користувача на обробку його персональної інформації. Однак якщо хост конференції уже схвалив умови, інші учасники зустрічі не мають можливості відмовитися.
Кетрін Трендакоста, фахівчиня міжнародної організації, що спеціалізується на захисті громадянських прав у галузі цифрового права Electronic Frontier Foundation, вказує на ризик втрати персональних даних внаслідок виконання субординації у компанії:
«Адміністратор ухвалює умови, а директор вимагає у працівників користуватися Zoom. То про яку приватність може йтися?»
Досвід Zoom: простота суперечить безпеці?
Застосунок Zoom було запущено у 2012 році, однак справжню популярність він здобув під час пандемії COVID-19, ставши основним інструментом проведення робочих зустрічей і навчальних занять.
Так, за період із січня до березня 2020 року акції Zoom зросли удвічі (від $70 до $143 за акцію). У квітні 2020 року кількість щоденних користувачів Zoom сягнула 300 мільйонів. Річний дохід у 2021 році становив $995,7 млн, що у 3,2 рази більше, ніж роком раніше.
Зауважимо, що платформа надає доволі широкий функціонал у безкоштовній версії: користувачі можуть проводити зустрічі, кожна з яких не повинна перевищувати за тривалістю 40 хвилин. До зустрічі можуть долучитися до 100 осіб.
Школи у понад 20 країнах застосовували Zoom для віддаленого навчання. Втім, невдовзі з’явилися й сумніви щодо безпеки застосування Zoom у навчальних цілях. Викладачі остерігалися, що записами занять можуть скористатися для створення нової навчальної платформи, неетично розпоряджаючись авторськими правами.
Платформа не була достатньо захищена від дій хакерів і самих учасників конференції. З’явилося явище «zoombombing»: зловмисники проникали на приватні конференції та демонстрували порно або погрожували учасникам зустрічі.
Наприклад, хакер долучився до віртуального засідання студентського уряду університету Флориди, увімкнув демонстрацію екрану, на якому розмістив зображення расистського та сексуального характеру. Через це ФБР рекомендувало обмежити застосування Zoom у навчальних цілях.
У квітні 2020 року Департамент освіти Нью-Йорка звернувся до шкіл із вказівкою припинити використання Zoom.
Крім того, журналісти The Washington Post зауважили, що записи дзвінків Zoom можуть опинитися у відкритому доступі, оскільки платформа називає їх в ідентичний спосіб. Тому простий онлайн-пошук може виявити чужі відео.
Невдовзі відбувся масштабний витік відеозаписів із приватними розмовами користувачів. Йдеться про відео, що містили записи онлайн-занять, особистого спілкування або ділових зустрічей. Відтак у вільному доступі опинилися персональні дані користувачів, включно з адресами та номерами телефонів. Тоді виконавчий директор Zoom Ерік Юань визнав, що у роботі платформі є прогалини, які інженери не взяли до уваги, створюючи її у 2011 році, і пообіцяв вирішити проблему.
Невдовзі інженери Zoom розробили механізм, який дозволив знизити вразливість системи до несанкіонованих проникнень.
У травні 2020 року платформа додала до функціоналу кімнату очікувань. Ця опція дозволила адміністраторам перевіряти учасників. Якщо хоста насторожить незнайомий нік або заставка профілю користувача, він може відхилити заявку на участь. Адміністратори також можуть блокувати доступ для юзерів із визначених країн.
Додано й низку інших функцій: двофакторна аутентифікація, обов’язкові паролі для особистих зустрічей, опції блокування та призупинення зустрічі тощо.
Крім того, підвищену безпеку надає платна версія застосунку. Зокрема, платформа гарантує користувачам тарифного плану «Бізнес» ($200 за рік користування) систему єдиного входу і домени під управлінням.
Система єдиного входу (SSO) передбачає, що набір персональних даних користувачів контролюється довіреним центром аутентифікації (наприклад, внутрішньою системою компанії-адміністратора). На базі корпоративних облікових даних Zoom формує унікальний токен користувача, який використовується для наступних входів у систему.
Крім того, у разі втрати чи крадіжки корпоративних облікових даних адміністратори можуть швидко відключити доступ до всіх послуг, які використовують SSO, забезпечуючи вищий рівень безпеки. Домени під управлінням допомагають у веденні аудиту активності, що допомагає виявити будь-які незвичайні або підозрілі дії, що можуть вказувати на порушення безпеки даних.
Загроза ШІ: раціональний страх чи упередження?
Фантазії про потенційну загрозу штучного інтелекту лягли в основу низки гостросюжетних фільмів і здобули визнання у глядача. «Термінатор», «Той, що біжить по лезу», «Матриця» стали класикою кінематографу.
Посилення ролі ШІ у повсякденному житті користувачів актуалізувало острах втрати контролю над технологією. Цю тему влучно обіграли сценаристи у 6 сезоні «Чорного дзеркала». В першій серії під назвою «Жахлива Джоан» описується історія жінки, яка схвалила «Користувацькі умови» і ненавмисно передала всі персональні дані стримінговому відеосервісу. На їх основі стримінговий сервіс зняв новий серіал.
Користувачі знають, що загроза витоку персональних даних не утопічна, а цілком реальна. Кейс Cambridge Analitycs засвідчив це. Напередодні президентських виборів у США 2016 року маркетингова компанія збирала охочих пройти оплачуваний тест і переправляла юзерів із фейсбуку на інший ресурс. Так Cambridge Analitics зібрала дані 50 мільйонів користувачів і передала дослідження для створення передвиборчої кампанії Дональда Трампа.
Фахівець із кібербезпеки Олексій Барановський зауважує, що загроза витоку персональних даних у мережі залишаються попри всі вжиті заходи безпеки. І Zoom у цьому не унікальний.
«Усі компанії збирають дані. Для маркетингових цілей, просування тощо. Якщо продукт безкоштовний, це означає, що компанія повинна заробити гроші в інший спосіб. Наприклад, зібрати дані й на їх основі робити висновки: розробляти внутрішні продукти або суміжні. Інакше компанія буде нежиттєздатна. Який інвестор погодиться вкладати гроші у стартап, який не приноситиме доходу?» – пояснює Олексій.
Платформи, які збирають дані, не обов’язково збираються шахраювати. Частіше навпаки: вони вивчають користувацьку поведінку і базуються на ній, пропонуючи нові товари й послуги.
«Реальність життя у цифровізованому світі така, що багато (може, і надто багато) персональних даних є у вільному доступі. Але якщо ми хочемо продовжити користуватися технологічними продуктами, маємо цей ризик прийняти. Глобально ми стаємо більш резистентними до витоків», – підсумовує фахівець.
Підписуйтеся на ProIT у Telegram, щоб не пропустити жодну публікацію!
