– Хорошо, – парировал я. – Твой профессионализм не вызывает никаких сомнений. Твоя подготовка делает тебе честь. А бывает ли, что тебе приходится контактировать с людьми из других стран?
– Разумеется, – ответил мой собеседник, у которого был обширный круг зарубежных контактов.
– Представь, что ты ведешь переписку с кем-то из другой страны, – продолжил я, – и придерживаешься принципа «мне нечего скрывать», опираясь на знание законодательства России. Твой собеседник, допустим, из Узбекистана. Возможно, сам факт того, что вы ведете такую переписку, совершенно безопасен для тебя, но ставит под удар собеседника. Например, вы обсуждаете тему компьютерной безопасности, и неведомый «человек-в-середине» перенесет твоего друга в категорию подозрительных лиц просто из-за заголовка письма. Достаточно ли хорошо ты знаешь законодательство Узбекистана, местную правоприменительную практику, традиции, технические возможности слежки и перехвата коммуникаций в этой стране, чтобы просчитать реальные риски для твоего коллеги?
Мой собеседник согласился, что Узбекистан – не его конёк, и задумался.
Вы можете услышать и другие фразы-возражения, такие как «я не слишком значительный человек, чтобы кому-то понадобились мои данные» или «что бы я ни делал, ОНИ все равно сильнее и сломают любую мою защиту». Но вы научитесь легко парировать такие заявления, если разберетесь с главным: «Мне нечего скрывать».
Правительства разных стран учитывают эти факторы, когда требуют от телекоммуникационных компаний хранить метаданные определенное (нередко весьма долгое!) время для нужд правоохранительных органов и спецслужб. Эта проблема является частью обширной темы хранения данных о пользователях (data retention).
Так, швейцарское законодательство предписывает операторам связи хранить метаданные в течение полугода. Для сотовой связи это номера абонентов, идентифицирующие номера SIM-карт и телефонов, местонахождение звонящего, дата, время и продолжительность разговора. Европейские правозащитники ведут мониторинг ситуации с хранением метаданных в разных странах мира. Нажим со стороны правительств и правоохранительных органов, ратующих за хранение метаданных, не ослабевает. Правозащитники не остаются в долгу, иногда выигрывая по-крупному, как это, например, удалось ирландской организации «DIgital Rights Ireland», в 2014 году добившейся (через обращение в верховный суд своей страны) отмены Европейской директивы о хранении данных 2006 года. Активисты утверждали, что безосновательный сбор данных о людях, ни в чем не подозреваемых, нарушает их гражданские права.
В России в 2016 году был принят, а с 1 июля 2018 года вступил в силу печально известный «пакет Яровой». Он предписывает компаниям хранить данные пользователей в пределах полугода. Конкретные сроки устанавливает правительство. Оно и установило: шесть месяцев для звонков и сообщений, 30 дней для интернет-трафика с постепенным наращиванием объема хранения. А вот метаданные хранить нужно целых три года. Аргументы правозащитников, представителей IT-индустрии, юристов-международников и экономистов о том, что подобная практика чрезмерна, посягает на права граждан и вызывает необоснованную и непропорциональную нагрузку на операторов связи, не оказали должного влияния на власти.
Классический пример использования метаданных для идентификации пользователей – привязка различных сервисов и аккаунтов к номеру мобильного телефона. Который, в свою очередь, на территории России можно законно получить лишь при предъявлении паспорта. Даже если вы придумали для нового аккаунта «ВКонтакте» классный псевдоним и не поддались искушению разместить свое лицо на аватарке, останутся метаданные – номер мобильного телефона.
«Метаданные – это данные слежки. Собирать метаданные о людях означает следить за ними». Брюс Шнайер, американский специалист по цифровой безопасности (из личного блога).
Что с этим делать
Очень часто метаданные бывают полезны, например, для поиска информации. Многие метаданные неотделимы от самих данных (трудно представить документ, у которого нет даты создания или редактирования). Но можно попробовать не упрощать жизнь тому, кто решил составить досье на вас. Вот лишь несколько советов.
Помните о том, что метаданные есть. Расскажите о них тем, кто не знает.
Некоторые сервисы настойчиво предлагают клиентам «повысить свою безопасность» и указать номер мобильного телефона «для восстановления забытого пароля». Вряд ли стоит это делать. Потратьте время на хорошие пароли, надежные хранилища паролей и резервные копии как паролей, так и самих данных.
Старайтесь не пополнять копилку метаданных о себе в социальных сетях. Например, так ли нужно всем пользователям Facebook видеть полный список ваших друзей? Может быть, не стоит «чекиниться» в аэропортах и кафе?
Если вы фотографируете на смартфон, отключите в настройках камеры геометки. Но если они вам по какой-то причине нужны, вычистите метаданные из фотографии, прежде чем отправлять ее кому-либо.
Обращайте внимание на разрешения приложений. Теплица уже писала о том, какие риски приносят чересчур инвазивные приложения.
Браузерные дополнения, вроде Privacy Badger, позволяют идентифицировать следящие элементы на веб-страницах (трекеры), а Tor Browser – повысить ваши шансы оставаться анонимным в сети.