[446]). Лица, ответственные за их хранение, могут нарушать свои должностные полномочия[447]. По этим причинам информация о людях, включая их фотографии, имена, адреса, истории передвижения, метаданные звонков и SMS-сообщений и т. д., может оказаться в открытом доступе или в руках злоумышленников. Уже сейчас на тематических форумах, в чатах и в теневом сегменте интернета появляются предложения о продаже доступа к системе[448].
Кроме того, при недостаточном уровне защиты интерфейсов передачи данных злоумышленники могут организовать MITM-атаку и подделывать транслируемые с камер изображения, скажем воспроизводя постороннюю запись и одновременно совершая преступление. Либо, наоборот, могут отвлечь внимание правоохранительных органов, транслируя запись противоправных действий, совершенных в одном месте, чтобы совершить преступление в другом[449].
Злоумышленники всегда будут интересоваться системами распознавания лиц в реальном времени, так как с их помощью смогут осуществлять свои замыслы: например следить за определенным человеком либо, вступив в сговор с сотрудниками спецслужб, внести запись об этом человеке в базу разыскиваемых лиц и организовать его задержание как минимум до выяснения обстоятельств[450]. Преступник может незаметно сфотографировать жертву, воспользоваться программным обеспечением для распознавания лиц и получить доступную в интернете информацию о жертве (например, из профилей в социальных сетях): имя и фамилию и прочие данные. Кроме того, камеры могут быть нелегально установлены в общественных местах, например в саунах, туалетах[451] или медицинских центрах[452] и аптеках[453]. Злоумышленники могут обрабатывать записи с таких камер инструментами для распознавания лиц, чтобы совершать вымогательства и прочие преступления. К примеру, они могут шантажировать жертв интимными видеозаписями или, зная об их медицинских диагнозах, с помощью методов социальной инженерии принуждать их к покупке дорогостоящих средств, якобы помогающих от каких-либо заболеваний.
Совершенствуются технологии обмана механизмов биометрической аутентификации и наложения изображений лиц на видеозаписи других людей (так называемая технология deepfake[454],[455]). Поэтому велика вероятность того, что с их помощью преступники будут пытаться выдать себя за других лиц. Так, злоумышленник может изготовить маску человека, за которого себя выдает, чтобы обмануть системы распознавания лиц. Или может наложить на видеозапись, запечатлевшую его преступление, изображение лица жертвы вместо своего лица, чтобы выдать ее за преступника. Впоследствии, организовав взлом слабозащищенных каналов передачи данных с камеры на пункт видеонаблюдения или записывающую аппаратуру, злоумышленник может подменить трансляцию в реальном времени поддельной видеозаписью. Похожим образом (с наложением изображений) были записаны фейковое обращение Барака Обамы с оскорблениями в адрес Дональда Трампа, бывшего в то время президентом США, поддельная реклама с основателем Тинькофф Банка Олегом Тиньковым[456] и поддельное заявление Марка Цукерберга о закрытии социальной сети Facebook.
Для этого требуется лишь фотография лица жертвы и несколько часов работы в видеоредакторе типа FakeAPP[457].
Системы социального рейтинга
В КНР не собираются останавливаться на внедрении систем распознавания лиц для тотальной слежки за гражданами. С 2014 г. правительством КНР вместе с крупнейшими компаниями прорабатывается система социального кредита, предполагающая присвоение каждому гражданину Китая некоего индекса репутации (социального рейтинга), демонстрирующего уровень ответственности каждого человека, от ААА (наивысшего) до D (низшего). Граждане с более высокой репутацией получают различные привилегии, например могут снять квартиру без залога или отдать своего ребенка в элитную школу или быть зачислены в вуз. Баллы гражданам начисляют, к примеру, за то, что они покупают подгузники, часто посещают родителей или даже за то, что у их родителей или друзей относительно высокая репутация. При действительном или мнимом нарушении порядка система снижает репутацию. Это может происходить, если, скажем, гражданин часами играет в онлайн-игры, курит в неположенном месте, выгуливает собаку без поводка, нарушает правила дорожного движения, задерживает уплату налогов, покупает много алкоголя или даже пишет исключительно прописными буквами (а значит, он ненадежен и недисциплинирован). Низкий рейтинг ограничивает права гражданина: ему снижают скорость подключения к интернету, не позволяют брать вещи в аренду, он не может устроиться на высокооплачиваемую работу или поселиться в отеле.
Примечание. Как и любая компьютерная система, китайская разработка не лишена ошибок. Так, у одной китаянки за несколько дней рейтинг стал нулевым из-за того, что она якобы систематически переходила дорогу в неположенном месте. Позднее выяснилось, что пострадавшая работала моделью в индустрии моды и ее фото разместили на бортах автобусов. Система распознавания лиц фиксировала каждый проезд автобуса с портретом как персональное нарушение, снимая баллы. Важно отметить, что человеку с критически низким рейтингом могут в числе прочего закрыть доступ в интернет, фактически лишив его права обжаловать действия властей в официальных инстанциях[458].
Всего рейтинговая система учитывает более 160 000 параметров; начинается для каждого гражданина с 1000 балов, а затем меняется в ту или иную сторону[459]. В Гуанчжоу, где система репутации была внедрена в 2018 г., уже спустя несколько месяцев после запуска миллионам людей стали отказывать в продаже авиа– и железнодорожных билетов, ссылаясь на низкую репутацию этих граждан[460]. «Тяжкие преступления», например критика правительства, могут привести к блокировке репутации и заключению под стражу[461]. Следить за уровнем своей репутации жители страны могут в специальном мобильном приложении. Внедрение технологий учета репутации приводит к дополнительному расслоению населения, так как граждане стремятся повысить свой рейтинг, общаясь и создавая семьи с обладателями более высокого рейтинга. Многие элементы такой системы рассматриваются другими странами в качестве средства для контроля над населением на своих территориях, например для решений о выдаче кредитов[462].
КЕЙС В мае 2019 г. в открытом доступе оказалась база данных, размещенная в облачном хранилище китайского конгломерата Alibaba и содержащая гигабайты данных с результатами распознавания лиц прохожих в двух районах Пекина, один из которых – Лянмацяо, где расположены посольства других государств. Информация из этой базы данных позволяет определить, кто и куда ходил и как долго находился в том или ином месте, благодаря чему можно составить полную картину повседневной жизни человека. Кроме того, судя по обнаруженной базе данных, система распознавания лиц позволяет выявлять принадлежность людей к тем или иным этническим группам и соответственно маркировать. Также система следит за устройствами с Wi-Fi, такими как смартфоны и ноутбуки, для чего используются специальные датчики, установленные на улицах города: они фиксируют дату и времени регистрации устройства системой и потенциально могут извлекать их идентификаторы IMEI и IMSI, о чем свидетельствуют соответствующие поля в базе данных[463],[464].
В России, во многом перенимающей опыт Китая, также прорабатываются различные планы цифровизации экономики, в том числе проект создания цифровых профилей, документирующих успехи и неудачи их владельцев в работе и в обучении в вузах, и передаче этих сведений работодателям[465].
Многие люди публикуют в интернете документы. В результате они очень часто становятся жертвами утечки персональных данных и махинаций со стороны злоумышленников. Пользователи безрассудно фотографируют себя с билетами на концерт или самолет, банковскими картами, свидетельствами о рождении детей и даже паспортами и публикуют все эти снимки в социальных сетях, даже не удосуживаясь ограничить доступ посторонних к постам.
КЕЙС Один из жителей Москвы не смог попасть на концерт любимой группы, так как по его билету уже прошел кто-то другой. Оказалось, что после покупки билета пострадавший сфотографировал его и опубликовал фото в интернете. Злоумышленник использовал фотографию билета, чтобы вместо законного владельца пройти на концерт: для этого достаточно, чтобы на снимке был виден штрихкод, который сканируется на входе на мероприятие. Так как согласно условиям продажи билетов покупатель несет ответственность за передачу полученных им данных третьим лицам, пострадавшему не удалось вернуть деньги за билет[466].
Злоумышленники могут использовать копии документов в преступных целях: к примеру, по фотографии паспорта получить кредит или перевыпустить SIM-карту, с помощью которой впоследствии перехватить SMS-коды и списать все средства со счета жертвы, а по снимку билета пройти на концерт либо получить выигрыш