Приватность-2021. Громкие разоблачения, шпиономания и рост инвестиций в Privacy Tech

В 2021 году пользователь интернета оставляет еще больше следов. Серфя в сети, работая на специальных платформах, заказывая еду, вызывая такси, заходя на любые онлайн-сервисы, каждый пользователь генерирует огромное количество данных, существенная часть которых так или иначе является персональными. Эти данные трекаются, анализируются, фиксируются, сливаются в базы, обогащаются, продаются и покупаются множество раз. Big Data и технологии накопления информации сегодня позволяют собирать невероятный массив информации о личности практически каждого человека, о его вкусах, увлечениях, предпочтениях, образе жизни, доходе и социальном статусе, а также о его семье и ближайшем окружении.

Даже обезличенные эти данные очень интересны государству, в частности, спецслужбам или органам контроля для оперативной работы, чиновникам и политтехнологам для оценки общественной ситуации и управления мнениями. Нужны они и глобальным корпорациям и компаниям, которые через данные лучше знают, когда и что вам можно продать. А уж сет данных с привязкой к конкретному человеку — настоящая золотая жила. И если государство и корпорации собирают данные вполне легально, через множество эффективных схем, при которых пользователи сами радостно оставляют информацию о себе на разных ресурсах, считая их доверенными, то прямо за ними стоят уже другие желающие — менее щепетильные по части закона, но не менее жадные до наших с вами данных. Это хакеры, взломщики, пробивщики, торговцы данными на черных рынках. И напряженная борьба между ними за «новое золото» только нарастает.

Чем больше компании и медиакорпорации вторгаются в персональные данные пользователей, чем глубже заглядывает в личную жизнь граждан государство, тем сильнее и острее противостояние тех, кто такое вмешательство не приемлет. Теперь люди не только стараются защитить себя, расставляя настройки приватности и даже — наконец-то! — прочитывая пользовательские соглашения, но и становятся активными участниками бизнес-процессов крупнейших корпораций, «голосуя рублем и ногами» в ситуациях, когда покидают скомпрометированные компании и уходят к конкурентам, демонстрирующим заботу о приватности. Так среди разговоров о том, что наша приватность потеряна навсегда, возникает сильнейший запрос на ее возвращение и целая индустрия Privacy Tech, которая этот спрос будет удовлетворять.

Самые крупные прайваси-скандалы 2021 года

В 2021 году весь мир наблюдал за тем, как подмокали и рушились репутации компаний, как со скандалами разоблачали недобросовестные попытки захвата персональных данных IT-гигантами, как бывшие «доверенные» сервисы становились подозрительно сговорчивыми с властями.

В начале года отличился Whatsapp, входящий в инфраструктуру Facebook, ныне Meta. Мессенджер объявил о том, что в политику конфиденциальности будут внесены изменения и материнская компания Facebook будет получать расширенную информацию о пользовательских аккаунтах «для улучшения таргетинга рекламы». Вышел мега-скандал: с критикой выступили топ-лидеры мнений, крупнейшие эксперты, общественные организации, а некоторые звезды и политики демонстративно ушли в Telegram и Signal. Отток пользователей мессенджера был впечатляющим. Facebook даже временно откатил и пролонгировал срок вступления в силу новых правил конфиденциальности, но отказываться от них полностью не стал. Непокорным пользователям, которые не стали принимать новую политику (нажимать на кнопочку в приложении) грозили то отключением важных функций, а то и полным удалением аккаунтов.

Telegram в уходящем году прирастал пользователями на фоне провала новой политики конфиденциальности Whatsapp и миграции сторонников Дональда Трампа из Twitter. Дуров ловко встраивался в повестку, придумывая все новые способы увести пользователей у конкурентов: например, выпустил новую фичу, чтобы переносить историю переписки из других приложений, таких как WhatsApp, Line или KakaoTalk. В июне внезапно Тelegram был «разблокирован» Роскомнадзором за «готовность противодействовать терроризму и экстремизму». Многих насторожило такое развитие событий: если Дуров сотрудничает с российскими властями, возможно, мессенджер уже не сможет быть настолько независимым и безопасным, как во время его трехлетней опалы за непредоставление спецслужбам ключей шифрования? В сентябре 2021 года впервые в российском сегменте мессенджера была осуществлена цензура политического контента — удален бот оппозиционного проекта «Умное голосование». Но до сих пор нет доказательств, что Тelegram стал менее секьюрным или что какая-то личная информация пользователей передается третьим лицам, хотя за ним пристально следят эксперты. Количество пользователей приложения растет, а уровень доверия остается высоким.

2021 год отметился крупным скандалом с массовой слежкой через гаджеты за правозащитниками, журналистами, активистами, религиозными деятелями и политическими лидерами по всему миру, включая действующих высших чинов, министров, президентов. Шпионское программное обеспечение Pegasus заражало телефоны и использовалось для сбора личной информации 50 тысяч граждан, хотя должно было работать только для слежки за террористами и прочими опасными преступниками. Pegasus проникает в смартфоны на базе iOS или Android и получает доступ практически ко всем ключевым данным на них: фото, сообщениям, геопозиции, электронной почте, контактам и прочему. Разработка израильской компании NSO Group может быть куплена на государственном уровне и, согласно данным независимых исследователей, сейчас ей пользуются спецслужбы не менее десяти стран, которые устанавливают прослушку не только внутри своей страны. В итоге скандала президент Франции сменил телефонный номер и сам аппарат, США включил NSO Group в стоп-лист компаний для ведения бизнеса (там же, кстати, оказалась и российская Positive Technologies), общественность призывает к глобальному мораторию на продажи шпионских ПО, а еще компании-производителю грозят крупные судебные разбирательства.

Осенью пошатнулась репутация сервиса ProtonMail, который долго оставался эталоном безопасности и безупречным примером веб-почты с шифрованием. Выяснилось, что сервис передал Европолу персональные данные активиста экологического движения Youth for Climate, участвующего в парижском митинге, включая информацию об устройствах пользователя и IP-адреса. ProtonMail базируется в Швейцарии, власти которой, как предполагается, надавили на основателей. Событие сильно срезонировало в отрасли, так как ProtonMail, как и ProtonVPN, считались сервисами для криптопараноиков. Сама компания попыталась объяснить, что в политике конфиденциальности у них была прописана возможность выдачи IP в случаях обоснованных запросов от правоохранителей и обещала сделать некоторые пункты документа «более понятными». А также уверила, что почтовые ящики пользователей зашифрованы и их содержимое не может быть доступно никому, также как и трафик сервиса ProtonVPN.

В ноябре 2021 года компания Apple объявила о том, что начинает судебные разбирательства с NSO Group, производителем Pegasu, чтобы добиться законодательного запрета на использование для NSO любого программного обеспечения, услуг или устройств яблочников. Таким образом планируется оградить пользователей от угрозы вторжения в их персональные данные. Тем временем сама Apple в конце лета 2021 тоже оказалась в эпицентре скандала после заявления компании о том, что она будет дистанционно проверять наличие откровенных детских фото на устройствах своих пользователей. Если верить Apple все довольно прилично, безопасно и имеет благие цели, но специалистов и пользователей по всему миру встревожил факт, что искусственный интеллект будет допущен к частным фото, которые будут сортироваться по определенным критериям. Сначала фото, а потом что? Еще «вчера» компания публично отказывалась сотрудничать с ФБР и помогать разблокировать айфон преступника, называя это опасным прецедентом. Сегодня — запускает механизм фонового сканирования информации на устройствах, который в дальнейшем может быть использован не только для выявления контента связанного с детским порно, но и по любым другим критериям, в т.ч. политическим, экономическим и прочим. 

В декабре стало известно, что Apple сворачивает на неопределенный срок планы по сканированию по умолчанию всех устройств на предмет интимных детских фото — это стало результатом яростной критики со стороны пользователей и сообщества. Однако в последнем IOS 15.2 все-таки вышла новая функция «родительского контроля», которую нужно принудительно включить и тогда система автоматически сканирует фото, которые ребенок отправляет и получает через imessage, и предупреждает об откровенном контенте.

Из свеженького: в конце ноября в США был рассекречен документ почти годовалой давности где прописано, какой доступ и к каким мессенджерам имеет ФБР. Отличились опять iMessage от Apple и все тот же Whatsapp. Согласно документу, они выдают правоохранителям больше всего данных, причем эппловский мессенджер может показать детали вплоть до текста сообщений, если они загружены в iCloud, зато Whatsapp делится информацией о новых действиях в нужных аккаунтах почти в реальном времени. Лучше всего тайну переписки пользователей защищают Signal и Telegram. Ну, не зря они в этом году собрали миллионы новых пользователей, которые перебрались к ним с других платформ. Интересно, что у всех мессенджеров почти одинаковое шифрование (кроме Telegram), но метаданные все выдают по-разному и в разном объеме.

Приватность — новый бизнес

Государство и корпорации хотят знать о пользователях все больше, а последние в свою очередь все меньше хотят делиться информацией о себе. Люди начинают искать новые способы сохранить свою приватность и анонимность в интернете. В 2021 году конфиденциальность в технологиях становится мейнстримом и ключевой точкой для формирования концепций бизнесов, как новых, так и уже сложившихся. И эксперты говорят, что в ближайшие годы этот тренд будет только развиваться.

На фоне новостей об очередном скандале с неправомерным захватом пользовательских данных или с утечками в больших корпорациях, пользователи обращают свое внимание на стартапы и продукты компаний, формирующих новый рынок Privacy Tech. Количество прайваси-решений растет от года к году, а функционал и качество их все время повышаются, ведь конкурировать они должны не только с новичками, но и с IT-гигантами, у многих из которых уже есть свои продукты конфиденциальности. Аналитики Crunchbase на середину декабря 2021 насчитали 230 стартапов с общей суммой инвестиций $2,6 млрд. Общий объем инвестиций в отрасль достиг $5,5 млрд США.

В июле канадский технологический стартап 1Password, представляющий популярный менеджер паролей, привлек $100 млн от венчурной компании Accel. Сделка увеличила общую оценку компании до $2 млрд. Продукт изначально был разработан для конечных пользователей, но им стали активно пользоваться корпоративные клиенты. Особенно востребованность в секторе B2B стала заметна в пандемию. По некоторым данным, сейчас решение используют более 90 тысяч предприятий, в том числе IBM, GitLab, Slack, Shopify и другие. Компания также сделала интеграцию со Slack и Rippling.

Еще из интересных кейсов этого года: в сентябре компания Kape Technologies объявила о покупке vpn-сервиса ExpressVPN. Сделка на сумму $936 млн США должна быть обеспечена частично наличными деньгами, частично акциями. Kape Technologies — британско-израильская технологическая компания, оператор виртуальной частной сети. За счет слияния клиентская база компании удвоится и в перспективе превысит 6 млн пользователей. По данным экспертов за последние четыре года среднегодовой темп роста ExpressVPN составил 35,1%, так растет спрос на удобные для потребителей продукты конфиденциальности и безопасности данных. Партнерские соглашения с vpn-сервисом уже заключили Acer, Philips, HP, HMD Global и Dynabook. Руководство Kape Technologies уже пообещало пользователям улучшать инструменты кибербезопасности, чтобы помочь пользователям «защитить свои данные и права». К сожалению, у него есть свои скелеты в шкафу, которые могут бросить тень на репутацию ExpressVPN: известно, что основатели компании занимались разработкой шпионских программ.

В октябре состоялся новый раунд инвестиций у Skyflow, компании, занимающейся разработками в сфере защиты персональных данных для технологических компаний. Венчурный фонд Santander и венчурная компания Insight Partners вложили $45 млн США. Основной продукт Skyflow — privacy vaults, с помощью которых разработчики внедряют безопасность данных в свои решения. Сейчас компания разрабатывает направления, предназначенные для здравоохранения и финансового сектора. Среди ее партнеров Visa, Experian, Alloy и другие финтех компании. Skyflow показывает восьмикратный рост за последние три квартала, сумма инвестиций за 18 месяцев — $70 млн.

Рост в сегменте Privacy Tech особенно заметен в последние два года. В 2020 году во время пандемии стремительно улетели вверх корпоративные решения для безопасности: люди начали массово работать из дома, что потребовало от компаний вложений в безопасность сотрудников, защиту от взломов и обеспечение сохранности клиентских данных. В 2021 множество прайваси-скандалов дали толчок уже рынку B2C — продуктами конфиденциальности заинтересовались конечные потребители. Однако начало росту Privacy Tech было положено еще раньше: в 2018 году с введением в Европе Общего регламента по защите данных (General Data Protection Regulation, GDPR), а также американского аналога — Калифорнийского закона о конфиденциальности (California Consumer Privacy Act, CCPA).

Инвестиции в решения Privacy Tech будут только расти на горизонте ближайших лет. Инвесторы долго присматривались к этому рынку, но теперь убедились, что на нем формируется устойчивый спрос, а продукты приватности приносят прибыль. Это особенно интересно потому, что еще несколько лет назад среди экспертов как будто сложился консенсус о том, что приватности больше не существует и люди должны смиренно учиться жить по новым правилам, где все мы под колпаком у технологических гигантов и госорганов. Но рынок сам диктует правила.

Не только бизнес, но и ответственность

Пока в прайваси-бизнесе ярко взлетают стартапы и медленно, но верно, к приватности разворачиваются большие корпорации, в обществе идут дискуссии и развиваются новые полезные практики, которые помогают примирить интересы общества, государства, частных компаний и каждого отдельного гражданина в вопросах, касающихся персональных данных.

Первой регулярные отчеты о прозрачности (Transparency reports) начала публиковать компания Google в 2010 году. После выступления Сноудена с разоблачениями глобальной массовой слежки со стороны США множество других коммерческих компаний также начали выпускать заявления, в которых раскрывается статистика запросов со стороны государства (и правообладателей) на данные пользователей или удаление записей и контента. Сегодня отчеты о прозрачности являются стандартной практикой для приличных компаний, их регулярно публикуют Google, Twitter, TikTok, Microsoft, Apple, Facebook, Yahoo, CloudFlare и другие. Таким образом компании не только демонстрируют свои усилия по обеспечению безопасности пользователей и открытости для акционеров, но и противостоят нарастанию запросов от госорганов, многие из которых оказываются избыточными или безосновательными.

В России тоже развивается тренд на прозрачность компаний в соблюдении цифровых прав пользователей. Пионером стала платформа IT-блогов «Хабр», которая первой в Рунете выпустила свой отчет с информацией о запросах органов сразу за несколько лет. За ней, как ни странно потянулся «Пикабу», потом пошли хорошие репорты от «Яндекса», Facebook, кое-что от VK. Несмотря на то, что запросы на выдачу персональных данных пользователей — это самые чувствительные и многочисленные запросы в цифровые компании от госорганов, только Habr и «Яндекс» раскрыли информацию о количестве таких запросов. Например, согласно последнему отчету «Яндекса», за первую половину 2021 года компания получила 19 650 запросов от правоохранителей на раскрытие информации о пользователях, при этом, только пятая часть из них осталась без удовлетворения. Для сравнения: за весь 2020 год «Яндекс» получил 8872 подобных запроса и больше половины из них отклонил. Тем временем Google в своем отчете за 2020 год сообщает всего о 1207 запросах от российских властей и о том, что удовлетворил он не более 18% от них. Остальные ведущие российские цифровые сервисы и компании пока прозрачностью не балуются, обосновывая это тем, что не видят запроса от пользователей. VK еще несколько лет назад объявил, что поделится «общей статистикой запросов», но с тех пор опубликовал только правила работы с обращениями госорганов, конкретики так и нет. 

Почти два года назад был выпущен первый в России независимый рейтинг соблюдения цифровых прав. В 2021 году он оценивал популярные российские интернет-сервисы и веб-платформы в связи с соблюдением ими права пользователей на свободу выражения мнения и неприкосновенность частной жизни. Для оценки применяется методология согласно которой на место в рейтинге влияет не только наличие опубликованных отчетов о прозрачности, но и новые разработки для предотвращения утечек и обеспечения защиты пользовательской информации, обучение персонала работе с чувствительными данными.

В 2021 году впервые правозащитные организации протестовали против выхода на IPO технологической компании. Речь о Cellebrite, израильском производителе оборудования и ПО для взлома смартфонов. Весной этого года компания объявила о планах по выходу на NASDAQ. И сразу столкнулась с сильнейшим противодействием. Организация Access Now, защищающая цифровые права граждан, опубликовала открытое письмо, в котором обратилась к Комиссии по ценным бумагам США, инвесторам и самой бирже NASDAQ с призывом приостановить листинг компании Cellebrite. Обращение поддержали правозащитники по всему миру. В письме говорится о том, что компания Cellebrite причастна к нарушениям прав человека, так как продает свои решения репрессивным правительствам, которые используют их для преследования несогласных. В самой компании заявляют, что она больше не ведет бизнес с Беларусью, Россией, Китаем, Гонконгом, Макао и Венесуэлой, однако продажи в некоторые из этих стран были приостановлены только в текущем году и правозащитники отмечают, что нет информации о том, было ли отозвано уже использующееся оборудование после разрыва отношений. И критики, и наблюдатели с интересом следили за развитием ситуации с IPO Cellebrite, понимая, что прецедент может повлиять на фондовые операции других компаний, которых прямо или косвенно связывают с нарушениями цифровых прав. Тем не менее, 30 августа 2021 года компания объявила о начале торгов на бирже.

Общественные организации, занимающиеся вопросами приватности, не только критикуют бизнес за промахи или неэтичное отношение к пользовательским данным. Они еще и награждают лучших, стимулируют компании и их руководителей делать больше для прайваси. Так на западе уже много лет существуют нишевые премии для инициатив и специалистов в области приватности, и в России также появляются отраслевые награды. Еще один тренд: прайваси-акселераторы и хакатоны технологий конфиденциальности, которые объединяют как признанных экспертов отрасли, так и молодых технарей, позволяют им обмениваться опытом и вместе генерить новые идеи. Сообществам важно поддерживать тех, кто занимается развитием прайваси-сферы: практикующих специалистов, компании в области приватности, стартапы и privacy-евангелистов.

Privacy-евангелисты — это IT-специалисты, которые продвигают в обществе идеи важности и необходимости приватности и защиты частной жизни людей от вмешательств как в интернете, так и в оффлайне. Как правило, это люди с хорошим техническим бэкграундом, ведущие специалисты отрасли, руководители крупнейших компаний и топ-звезды индустрии, к мнению которых прислушивается множество людей. И это не только крипто-анархисты, как например, Мокси Марлинспайк, основатель Signal, который в 2021 году взламывал устройства для слежки и критиковал их уязвимости. Это могут быть основатель Twitter Джек Дорси и техно-энтузиаст Илон Маск, которые пропагандировали защищенные мессенджеры. Это и Эдвард Сноуден, который много лет уже остается одним из самых загадочных и почитаемых экспертов по приватности и борьбе против слежки. В России развитием идей приватности и расширением знаний в этой области занимаются, в основном общественные организации и молодые политики. Представители российского IT-бизнеса в настоящий момент заметно дистанцируются от обсуждения вопросов вторжения в частную жизнь или слежки за гражданами, видя в этой сфере интересы государства и не желая переходить ему дорогу.