компании. Возьмите Cambridge Analytica. Через два месяца после того, как стало известно, что фирма пыталась повлиять на политические кампании по всему миру, используя личные данные для профилирования и микротаргетинга избирателей, она подала заявление о банкротстве и была вынуждена прекратить деятельность. Точно так же Google закрыла свою социальную сеть Google+ после того, как выяснилось, что недостатки в конструкции программного обеспечения позволяют сторонним разработчикам получать доступ к персональным данным пользователей.

Даже если организациям удастся пережить скандал, токсичность данных может очень дорого им обойтись. Компания Facebook была оштрафована на 5 миллиардов долларов в США за многочисленные нарушения конфиденциальности[214] и на 500 000 фунтов стерлингов в Великобритании за скандал с Cambridge Analytica. И это произошло еще до того, как в Европе был принят Общий регламент защиты персональных данных (GDPR)[215]. Новое постановление допускает штрафы в размере до 4 % от выручки или 20 миллионов евро, в зависимости от того, что больше, и в отношении Facebook проводилось несколько расследований по GDPR. В соответствии с указанным регламентом в 2019 году British Airways оштрафовали на 183 миллиона фунтов стерлингов за сбой системы безопасности авиакомпании, затронувший 500 000 клиентов[216]. До тех пор пока учреждения не изменят свою работу, мы будем видеть все больше таких эпизодов и, возможно, более высокие штрафы. Правильное регулирование обеспечивает соответствие интересов потребителей и компаний. Если пользователи страдают от небрежного отношения к данным, компании тоже должны пострадать.

Иногда информационная катастрофа не заканчивается штрафом, но тем не менее может серьезно навредить организации. Так было с утечкой данных Управления кадровой службы США в 2015 году. Хакеры украли у правительства около 21 миллиона записей, включая проверку анкетных данных нынешних, бывших и потенциальных федеральных государственных служащих. Среди потерянных конфиденциальных данных были фамилии, адреса, даты рождения, история работы и заработной платы, результаты прохождения проверки на детекторе лжи, сообщения о сомнительном сексуальном поведении и более 5 миллионов комплектов отпечатков пальцев. Эти украденные записи потенциально могут быть использованы, например, для обнародования данных оперативников, работающих под прикрытием[217]. Такие утечки данных, как эта, не только означают серьезную потерю лица – они также могут поставить под угрозу безопасность целой страны.

Отравленное общество

Существует четыре основных способа, как неправильное использование персональных данных может отравить общество. Персональные данные могут поставить под угрозу национальную безопасность, они могут быть использованы для подрыва демократии, а также могут угрожать либеральным устоям общества, продвигая культуру разоблачения и подозрительности и поставить под угрозу безопасность людей.

Угроза национальной безопасности

Equifax – один из крупнейших брокеров данных и агентств по предоставлению информации о потребительских кредитах. В сентябре 2017 года компания объявила о взломе системы кибербезопасности, в результате которого преступники получили доступ к личным данным около 147 миллионов американских граждан. Украденные данные включали фамилии, номера социального страхования, даты рождения, адреса и номера водительских прав. Это одна из крупнейших утечек данных в истории – пока что. В феврале 2020 года история приняла еще более мрачный оборот, когда Министерство юстиции США предъявило четырем китайским военным обвинения по девяти эпизодам, связанным с этим громким делом (что Китай отрицал).

Зачем китайским военным нужны все эти персональные данные? Возможно, они хотели идентифицировать потенциальные возможности для вербовки этих людей в качестве шпионов. Чем больше у вас информации о людях, тем больше у вас шансов получить от них то, что вы хотите. Если вы понимаете, что у них есть долги, вы можете предложить деньги. Если вы узнаете их тайну, вы можете их шантажировать. Если вы изучите их психологию, вы сможете предугадать их поведение. Китай, например, известен тем, что использует социальные сети, такие как LinkedIn, для вербовки шпионов. У LinkedIn 645 миллионов пользователей, ищущих возможности трудоустройства, данные которых открыты для незнакомых людей. Люди, работавшие на правительство, иногда объявляют о своем отношении к секретным службам, чтобы повысить шансы получить работу. Вся эта информация и доступ ценны для китайских разведчиков. Общаться с людьми в интернете гораздо менее рискованно и более экономически выгодно, чем лично. Считается, что китайские разведчики пытались установить контакт с тысячами граждан Германии и Франции в социальных сетях[218].

Вторая причина, по которой зарубежные страны могут нуждаться в личных данных, – это отработка своих алгоритмов. У Китая есть множество данных о своих гражданах, но недостаточно данных о других людях по всему миру. Алгоритмы, отработанные на персональной информации китайцев, могут не работать на западных людях. Третья причина – можно использовать эти данные для разработки целевых кампаний по дезинформации, как это сделала Cambridge Analytica. Наконец, данные – это просто еще один товар, который можно продавать другим государствам[219]. Возможно, Россия или Северная Корея так же, как и Китай, заинтересованы в получении дополнительной информации об американцах.

Атаку на Equifax провели профессионалы. Хакеры крали информацию небольшими партиями, чтобы избежать обнаружения, и перенаправили интернет-трафик через тридцать четыре сервера в более чем дюжине стран, чтобы скрыть свои следы. Но в этой ситуации и Equifax вела себя слишком опрометчиво. Конфиденциальная информация хранилась у них в виде простого текста (в незашифрованном виде), была легко доступна, и по крайней мере в одном случае компания использовала слишком простой пароль («admin») для защиты портала. Что еще более важно, они вовремя не обновили свое программное обеспечение Apache Struts. Apache обнаружила уязвимость в своем программном обеспечении и предложила своим пользователям обновления, но Equifax их не установила[220].

В случае с Equifax данные были украдены. Но учитывая рост числа брокеров данных, информацию можно законно покупать и использовать в столь же гнусных целях. Когда в New York Times получили данные о местоположении, хранящиеся у брокера данных, из источников, которые «обеспокоились тем, как они могут быть использованы», они исследовали, насколько опасными могут быть такие данные[221]. Эти данные включали информацию о 12 миллионах номеров телефонов жителей США. Удалось отследить места, которые посещали некоторые из исследуемых людей, включая психологические центры, наркологические клиники, места встреч представителей сексуальных меньшинств, церкви, мечети и клиники, где делали аборты.

Репортеры смогли идентифицировать и организовать слежку, среди прочего, за военными, имеющими допуск к секретной информации, а также за сотрудниками правоохранительных органов. Если кому-то из этих людей есть что скрывать (а это относится ко всем людям), такой легкий доступ к их данным может сделать их объектами шантажа. Если людей, отвечающих за безопасность в наших странах, так легко найти, выследить и потенциально шантажировать, то мы все в опасности, а зарубежные страны слишком хорошо осведомлены о том, как персональные данные делают государство уязвимым.

Обеспокоенность национальной безопасностью послужила причиной того, что США оказали давление на китайского игрового гиганта Beijing Kunlun, чтобы тот продал свою долю в американской компании Grindr. Grindr – это приложение для знакомств, ориентированное на геев, бисексуалов и трансгендеров. Оно хранит невероятно чувствительные данные, включая разговоры на сексуальную тематику, фото и видео