Кто не спрятал, тот и виноват
Пользователи онлайновых сервисов имеют право всегда четко знать, кому и как доступны их данные и информацияВ ночь с 4 на 5 июля российские интернет-обыватели получили шанс почувствовать себя немного сотрудниками спецслужб. В выдачу российского поисковика «Яндекс» попали документы Google Docs с информацией, которая их создателями явно не представлялась публичной: от списка должников МФЦ до списка погибших в Донбассе. Объяснения, которые дали Google и «Яндекс», не дают четкого и однозначного ответа на вопрос, как и почему это произошло, и не вызывают абсолютной уверенности, что утечка не повторится. Это хороший повод в очередной раз задуматься, всегда ли мы четко понимаем, кому и как может быть доступна создаваемая нами информация – и чья это зона ответственности.
Формально, конечно, защита начинается с пользователя. У Google Docs есть три уровня доступа к документу, выбор между которыми делает пользователь: поиск и просмотр доступен всем без ограничений; доступен тем, у кого на документ есть ссылка; доступен тем, кому автор предоставил ссылку и ключ. При полностью открытом доступе (эту опцию надо специально включить) документ индексируется поисковиками, о чем Google предупреждает. В остальных случаях детальных разъяснений сервис при создании документа не дает – и это как минимум психологически слабое место: пользователь ожидает, что в поисковых запросах созданная им информация, если доступ к ней хотя бы как-то ограничен, не появится. Ведь ссылка уникальна, и не только прочесть, но и узнать о существовании документа, если рассуждать логически, могут только те, у кого она есть, не говоря уже о доступе по ключу.
Однако в поисковую выдачу «Яндекса» попали не только открытые документы, но и те, которые доступны только по ссылке, в этом и проблема. Трудно поверить, что компания получила ссылки даже через индексирование соцсетей или общедоступных ресурсов, говорит IT-эксперт Иван Бегтин. В Google заверяют, что поисковики индексируют только те документы, которые пользователи намеренно сделали открытыми или ссылки на которые были опубликованы в открытом доступе. В «Яндексе» сообщили, что их поисковик индексирует «всю открытую часть интернета». Однако так и не стало понятно, при каких обстоятельствах в выдачу «Яндекса» могли попасть документы с доступом «по ссылке». Собственно, сама ссылка используется в довольно ограниченном наборе случаев – или пересылается кому-то (например, по почте – у «Яндекса» есть своя почтовая служба), или вставляется в адресную строку браузера (свой браузер у «Яндекса» тоже есть). В отсутствие четких разъяснений представителей поисковика эксперты рассматривают в том числе версии утечки через почтовую переписку или через браузер – и опровержений компания пока не сделала.
Что это означает для пользователей, которые, с одной стороны, не хотели бы отказываться от многих удобных и практичных сервисов, но, с другой, не хотели бы в следующий раз увидеть в выдаче свои собственные документы? Часть ответственности, понятно, лежит и на них – едва ли разумно полагаться на авось и игнорировать настройки конфиденциальности и соответствующие пояснения сервисов. С другой – всегда ли эти пояснения доступны и понятны? В любой ли момент использования сервиса клиент может четко понимать уровень публичности своей информации? И любой ли пользователь? Может ли в этой ситуации быть только один «крайний»?
Ситуацию с эволюцией представлений о безопасности и защищенности информации в интернете можно сравнить с тем, что происходило в XIX в. с промышленной безопасностью, говорит Бегтин. Многие устройства, машины были опасными, на заводах был высокий травматизм, но безопасность человека стояла на первом месте – отчасти по гуманистическим соображениям, отчасти потому, что работодателям было невыгодно, чтобы рабочие погибали. Сегодня жизнь в реале построена на стандартах, которые предполагают, что человеку будет нанесен минимальный вред, если что-то пойдет не так. Виртуальная среда обитания строится на иных принципах: компании, предлагающие пользователям сервисы, часто создают – иногда по недомыслию, иногда целенаправленно – некомфортную среду для работы или недостаточно объясненную среду, говорит Бегтин. Пользователи редко читают соглашения, составленные к тому же не для заботы о них, а в интересах компаний и снижения их рисков. У «Яндекса», например, пользовательское соглашение состоит из восьми страниц, политика конфиденциальности – девяти страниц, а еще по соглашению на каждый из 46 сервисов. Объем и сложность соглашений мешают пользователям принимать полностью осознанные решения. Еще в конце 2000-х гг. исследователи из Университета Карнеги-Меллона подсчитали, что, если бы среднестатистический американец решил прочитать правила конфиденциальности на всех сайтах, которые он посещает за год, это отняло бы у него несколько недель, писал Republic. Марку Цукербергу на слушаниях в конгрессе один из сенаторов заявил, что его пользовательское соглашение – «отстой, написанный для того, чтобы прикрыть собственную задницу, а не объяснить людям их права». Facebook после этого пользовательское соглашение упростил и четче прописал настройки конфиденциальности.