Медиатор измерений
«Яндекс» может стать посредником при передаче данных пользователей в Mediascope
По данным “Ъ”, третьей стороной при передаче бессрочных идентификаторов пользователей из соцсетей и онлайн-кинотеатров в Mediascope может стать «Яндекс» (MOEX: YDEX). Идея расширить перечень собираемой информации о пользователях ресурсов была предложена Минцифры в ноябре. В «Яндексе» заверяют, что не получат доступа к телефонным номерам пользователей, а третьей стороной может стать любой участник рынка. Впрочем, опрошенные “Ъ” участники рынка настаивают, что посредником должна быть структура, равноудаленная от всех игроков отрасли.
По замыслу «Яндекса» двойное шифрование должно защитить данные пользователей соцсетей и онлайн-кинотеатров
Фото: Ирина Бужор, Коммерсантъ
По замыслу «Яндекса» двойное шифрование должно защитить данные пользователей соцсетей и онлайн-кинотеатров
Фото: Ирина Бужор, Коммерсантъ
«Яндекс» предлагает стать посредником при передаче данных, которые онлайн-кинотеатры и соцсети передают исследовательской компании Mediascope, уполномоченной Роскомнадзором на измерение активности пользователей в интернете. Об этом “Ъ” рассказали два источника в онлайн-кинотеатрах.
Ранее Минцифры предложило расширить набор данных, которые компании передают в Mediascope, соответствующий проект приказа был опубликован на портале нормативных актов 11 ноября. Так, сервисы хотели обязать передавать измерителю бессрочные идентификаторы пользователей (ID, сформированы с использованием номеров телефонов) и полную информацию о просмотрах конкретных фильмов и сериалов.
Схема двуслойного шифрования от «Яндекса» предлагает для усиления защиты ввести независимых посредников. Онлайн-кинотеатр или соцсеть обезличивает данные и сначала отправляет их первому посреднику, а затем — второму (посредником может быть и «Яндекс»). Каждый из них применяет свой ключ шифрования и возвращает данные обратно в сервис, который передает их Mediascope. Затем он расшифровывает ключи и генерирует «финальный» ID. Таким образом, как предполагается, при взломе одного из участников схемы злоумышленники не смогут получить полноценный набор данных.
В «Яндексе» заверяют, что не получат доступа к телефонным номерам пользователей онлайн-кинотеатров, соцсетей и других сервисов: «Для нас ключевой приоритет — обеспечение конфиденциальности пользовательских данных». В результате передачи участниками рынка доверенным посредникам «уже обезличенных идентификаторов пользователей онлайн-кинотеатров для их последующего дополнительного шифрования ни “Яндекс”, ни другие возможные посредники не получат доступа к исходным телефонным номерам и другим персональным данным»,— уверяет представитель компании. Доверенным посредником может выступить любой участник рынка, говорят в «Яндексе». В Mediascope, Wink (структура «Ростелекома»), «Кион» отказались от комментариев. Представители Start, Premier, Okko и «Иви» не ответили “Ъ”.
В Минцифры обосновывают необходимость нововведения уточнением статистики.
Сейчас один и тот же человек, который заходит на страницу с разных устройств и на разных площадках, учитывается как несколько уникальных пользователей, говорит представитель Минцифры: «Это искажает статистику. Чтобы сделать ее более точной и учитывать, например, сколько сезонов сериала смотрит один зритель, предлагается привязывать идентификатор пользователя к номеру телефона, после чего обезличивать эти данные». Также в министерстве настаивают, что говорить о том, какие технические решения для обезличивания будут использоваться, пока преждевременно.
По сути, обсуждается вопрос привлечения частной компании, которая является лицом, «явно заинтересованным», к выполнению некоей государственной задачи, говорит источник “Ъ” в одном из крупных онлайн-кинотеатров.
«Беспокойство вызывает то, что через инфраструктуру “Яндекса” будут проходить массивы данных десятков миллионов пользователей со всего интернета»,— продолжает он. Среди рисков при реализации этой схемы опрошенные “Ъ” источники называют дополнительные затраты на интеграцию с посредником, а также регулярные операционные затраты на взаимодействие с ним. Кроме того, сама интеграция «Яндекса» в качестве третьей стороны создает дополнительное звено сбора и передачи данных, что повышает киберриски сохранности чувствительных данных, отмечают они: «Это должна быть структура (госорган или подконтрольная государству), равноудаленная от всех участников рынка».
При наличии двух независимых шифровальщиков данных схема, предложенная «Яндексом», выглядит защищенной, признает консультант по интернет-безопасности Positive Technologies Алексей Лукацкий. Но, продолжает он, в условиях, когда уже были зафиксированы инциденты и утечки информации в «Яндексе» и «Ростелекоме», говорить о «безопасном» операторе данных не приходится. «Данные, скорее всего, утекут, вопрос в том, что с ними сможет сделать злоумышленник, как обогатить ими свои базы данных и какие схемы будут придуманы для обмана россиян»,— рассуждает господин Лукацкий.