«Мы давно стали продуктом, а не клиентом». Разговор с IT-инженером о цифровой уязвимости
Несколько недель назад я устанавливала новое приложение и машинально нажала «разрешить всё». Геолокация, микрофон, контакты — всё это я отдала за несколько секунд, даже не прочитав, что именно разрешаю. Потом поймала себя на этом и задумалась: а что вообще происходит с этими данными? Кто их видит? Где они хранятся? Можно ли вообще что-то с этим сделать — или это уже просто цена за то, чтобы пользоваться современными сервисами?
Я стала замечать, как часто эта тема всплывает вокруг. Подруга рассказала, что после разговора о путешествии в Японию её лента в течение часа заполнилась рекламой туров. Коллега обнаружил, что приложение, которым он пользовался три года назад и давно удалил, всё это время имело доступ к его контактам. Ещё один знакомый получил звонок от «сотрудника банка» — с его именем, последними четырьмя цифрами карты и деталями последней операции.
Откуда это всё берётся и кто за этим стоит — я, честно говоря, не понимала.
Для тех, кто здесь впервые: «Голос за кадром» — мой авторский цикл разговоров с людьми из разных профессий. Меня всегда интересовали люди, которые видят мир иначе, чем большинство, — потому что знают о нём что-то, чего не знаем мы. До этого выходили разговоры с тревел-блогером Акбаром Арыковым, графическим дизайнером Вероникой Кузякиной и специалистами по визам талантов в США — Анной Шаверни и Ксенией Шаверской.
Сегодня — разговор про цифровую безопасность и то, как устроен IT-рынок изнутри. И, честно говоря, это один из тех разговоров, после которых начинаешь смотреть на привычные вещи совсем иначе. Мой собеседник — Артём Кузнецов, инженер-программист высоконагруженных систем глобальных проектов, консультант по архитектуре сложных систем, создатель YouTube-канала по карьерному развитию в IT. Человек, работавший с системами, которыми пользуются миллиарды людей — и тот, кто может объяснить, что на самом деле происходит с нашими данными. Не в теории, а на практике.
Я попросила его говорить максимально просто. Кажется, получилось.
Про парадокс удобства и уязвимости
Артём, за последние десять лет технологии стали намного удобнее — но ощущение уязвимости у пользователей только выросло. Как вы объясняете этот парадокс?
Удобство почти всегда строится на данных: сервис становится удобнее, когда знает привычки пользователя и связывает их между продуктами. За десять лет мы перешли от отдельных приложений к экосистемам с единым аккаунтом, платежами, облаком и десятками интеграций — и это резко увеличило поверхность атаки и масштабы потерь при сбое.
Параллельно бизнес-модель сместилась в сторону вовлечённости и персонализации, где стимул собирать поведенческие данные встроен в экономику продукта. Поэтому субъективно удобства стало больше, а ощущение контроля и безопасности — меньше. И это вполне рациональная реакция на то, что происходит.
Данные сегодня называют новой валютой цифровой экономики. В какой момент мы перестали быть клиентами и стали продуктом?
Перелом случился, когда бесплатный интернет стал финансироваться рекламой и точным таргетингом. Главным товаром стала не подписка, а внимание и прогнозируемое поведение.
Причём чаще продают не сами данные, а доступ к аудиториям и механизмам персонализации — это важный нюанс.
Сначала сбор данных действительно был побочным эффектом роста, но со временем стал осознанной стратегией, потому что это улучшает метрики и монетизацию. Сейчас индустрия уже живёт в логике, где данные являются активом — и это меняет и продуктовые решения, и риски. Если вы не платите деньгами, вы почти всегда платите данными и вниманием, даже если их не продают в прямом смысле.
Насколько современный человек вообще способен контролировать свою цифровую приватность? Или это уже иллюзия?
Частично — да, способен. Можно ограничивать разрешения приложений, сообщать сервисам как можно меньше личных данных, не хранить ничего в облаке, тем самым минимизируя цифровой след. Но мы не можем контролировать, как данные хранятся на стороне компаний. Человек может быть аккуратным, но он не контролирует, как защищены партнёрские системы.
Даже если вы ничего не публикуете, данные о вас могут появляться через других людей, партнёрские базы, агрегаторы, утечки. Приватность превратилась из личного выбора в инфраструктурный вопрос. И пока регулирование не догоняет технологии, никто из нас не может полностью обезопасить свои данные.
Где сегодня проходит эта граница? Есть ли точка, в которой технологии начинают работать против человека?
Граница проходит там, где исчезают осознанное согласие и реальный выбор. Если сервис прозрачно объясняет, что собирает и зачем, и пользователь может отказаться без потери качества — это удобство. Если сбор скрыт, отказ усложнён, а ценность пользователя сводится к удержанию и монетизации — это уже вторжение.
Биометрия — хороший пример. Она удобна, но при утечке её нельзя поменять как пароль. Поэтому цена ошибки резко возрастает. И это принципиально меняет разговор о том, насколько оправдан сбор таких данных.
Про недооценённые риски
Какие риски для пользователей вы считаете самыми недооценёнными — теми, о которых пока почти не говорят?
Их три, и все три серьёзные.
Первый — системная зависимость от нескольких платформ: облака, платежи, где сбой в одной точке влияет на тысячи сервисов.
Второй — массовое мошенничество с дипфейками и синтетическими личностями, где голос и видео становятся инструментом социальной инженерии. Это уже происходит, просто большинство людей ещё не сталкивались с этим лично.
Третий — обработка заявок с помощью ИИ: кредит, найм, страхование. Когда человеку трудно оспорить вывод модели и даже понять причину отказа — это серьёзная проблема, о которой почти не говорят публично.
А что изменится в ближайшие три-пять лет?
Будет два параллельных движения. С одной стороны — усиление регулирования и требований к прозрачности ИИ и данных. С другой — рост атак на идентичность и доверие. Технологии защиты станут удобнее, но и атаки будут умнее — потому что злоумышленникам всё чаще нужен не взлом системы, а неосторожный клик пользователя. Главный вызов ближайших лет — защита цифровой автономии человека.
Про то, как это устроено изнутри
Вы работали в крупной технологической компании с миллиардами пользователей. Как там вообще устроена защита данных — это реально работающая система или красивые слова в политике конфиденциальности?
На таком масштабе рисков больше: больше систем, интеграций и мест, где данные могут быть обработаны неправильно. Но именно поэтому защита данных там встроена в инженерный процесс, а не добавляется потом.
Хороший пример — даже добавление нового пользовательского сигнала начиналось не с кода, а с ответа на простые вопросы: зачем это нужно, можно ли обойтись меньшим объёмом данных, как долго данные будут храниться, какие есть риски для пользователя. Дальше инициативу проверяли несколько независимых ролей: безопасность, приватность, юридическая проверка, иногда отдельная оценка влияния на пользователя.
А как контролируется доступ к данным внутри самой компании?
Инженеры обычно работают с обезличенными или синтетическими данными. Если доступ к реальным данным всё же нужен — например, для расследования инцидента — он выдавался временно, по принципу минимально необходимых прав, и оставлял след в аудит-логах.
Это снижает риск человеческого фактора и делает любую работу с чувствительными данными проверяемой.
В итоге на уровне практики это выглядит так: меньше собираем, понятнее объясняем, жёстче контролируем доступ и стараемся проектировать систему так, чтобы даже в случае сбоя ущерб был ограничен. Это не идеальная система, но это честный инженерный подход — и он сильно отличается от того, как работают компании, где о приватности думают в последнюю очередь.
И последнее — что обычному человеку всё-таки стоит делать прямо сейчас, чтобы хоть немного защитить себя?
Несколько простых вещей, которые реально работают. Ограничивайте разрешения приложений — большинству из них геолокация и микрофон просто не нужны. Используйте разные пароли и двухфакторную аутентификацию — это закрывает огромную часть рисков.
Будьте скептичны к неожиданным звонкам и сообщениям, особенно с просьбами что-то подтвердить или перевести — атаки через социальную инженерию стали намного изощрённее. И периодически проверяйте, какие приложения имеют доступ к вашим аккаунтам в Google, Apple, соцсетях — там часто обнаруживается много лишнего.
Полной защиты не существует, но осознанность сильно сокращает риски. Главный вызов — не технический, а поведенческий: большинство атак происходят не потому, что взломали систему, а потому что человек сам открыл дверь.
Фото обложки: Max Duzij / Unsplash