CC BY
15
НАУКА И ОБЩЕСТВО
2015.03.001-009. КОНЕЦ ЧАСТНОЙ ЖИЗНИ. (Сводный реферат).
2015.03.001. ENSERINK M., CHIN G. The end of privacy // Science. -2015, 30 January. - Vol. 347, N 6221. - P. 490-491.
2015.03.002. BOHANNON J. Credit card study blows holes in anonymity // Science. - 2015, 30 January. - Vol. 347, N 6221. - P. 468.
2015.03.003. BOHANNON J. Unmasked // Science. - 2015, 30 January. - Vol. 347, N 6221. - P. 492-494.
2015.03.004. SHULTZ D. When your voice betrays you // Science. -2015, 30 January. - Vol. 347, N 6221. - P. 494.
2015.03.005. BOHANNON J. Breach of trust // Science. - 2015, 30 January. - Vol. 347, N 6221. - P. 495-497.
2015.03.006. SHULTZ D. Game of drones // Science. - 2015, 30 January. - Vol. 347, N 6221. - P. 497.
2015.03.007. ENSERINK M. Risk of exposure // Science. - 2015, 30 January. - Vol. 347, N 6221. - P. 498-500.
2015.03.008. CLERY D. Could your pacemaker be hackable? // Science. - 2015, 30 January. - Vol. 347, N 6221. - P. 499.
2015.03.009. COUZIN-FRANKEL J. Trust me, I'm a medical researcher // Science. - 2015, 30 January. - Vol. 347, N 6221. - P. 501503.
Ключевые слова: частная жизнь; крупные базы данных; информационные технологии; идентификация личности; защита информации; анонимизация.
Подборка материалов, опубликованных в журнале «Science», посвящена многочисленным проблемам, которые возникают перед человеком и обществом в связи с бурным прогрессом информационных технологий, в частности технологий, позволяющих собирать, перерабатывать и хранить крупные базы данных - «большие данные» (Big Data). Подборку открывает написанная редакторами
журнала Мартином Энзеринком и Джилбертом Чином статья «Конец частной жизни» (001).
С момента рождения, пишут авторы, начинается путешествие данных человека. Ему дают имя, записывают вес и рост, а возможно, делают и несколько снимков. Через некоторое время его записывают в детский сад, он получает приглашение на празднование своего первого дня рождения, а его данные попадают в данные переписи населения. Сегодня у человека есть национальный идентификационный номер или номер в службе социального страхования, счета в банках, кредитные карты и смартфон, который всегда знает, где он находится. Возможно, он помещает в Фейсбуке свои семейные фотографии, а в Твиттере - суждения о политике, рассказывает о своих меняющихся интересах, беспокойствах и желаниях тысячам посетителей Гугла. Иногда человек обменивается данными намеренно - с друзьями, незнакомцами, компаниями и правительством. Но огромное количество информации о человеке собирается только с его формального согласия или даже без него. Скоро весь геном человека может быть секвенирован и известен исследователям во всем мире вместе с медицинскими данными, летающие камеры будут висеть над жилищами, а изощренное программное обеспечение сможет распознавать лицо человека на входе в магазин или аэропорт.
С точки зрения ученых, огромное количество данных, которое люди где-либо оставляют каждый день, не только открывает новые возможности, но и приносит разные проблемы. Новые вычислительные методы позволяют идентифицировать людей или следы их поведения, комбинируя всего лишь несколько обрывочных данных. Существуют способы защиты частной информации, скрытой в файлах большого массива данных, но они ограничивают возможности ученых находить важную для них информацию, поэтому необходимо найти баланс. Некоторые исследователи-медики признают, что становится почти невозможно сохранять в тайне данные пациентов; вместо этого они проверяют новые способы, чтобы завоевать их доверие и сотрудничать с ними. Между тем понимание частной жизни и отношение к ней не остаются статичными. Уже сегодня молодые люди рассказывают в сети намного больше о своей жизни, чем более старшее поколение, и предпочтения людей относительно того, что они хотят держать в секрете, мо-
гут меняться в зависимости от контекста, момента или того, что на них внезапно повлияло. Частная жизнь, какой она была, уже уходит в прошлое, и только сейчас люди начинают понимать последствия этого.
Несколько материалов для подборки написал редактор «Science» Джон Боханнон. Первая статья озаглавлена «Исследование кредитных карт пробивает дыры в анонимности» (002). Для ученых, специализирующихся в социальных науках, эпоха «больших данных» несет в себе богатые возможности, в частности возможность извлекать огромные объемы подробных анонимизированных демографических, финансовых, медицинских и других данных, что позволяет узнавать о том, как живут люди. Однако у защитников частной жизни эти перспективы вызывают большую тревогу. Особенно их беспокоит то, что люди, представленные в такого рода данных, не смогут долго сохранять анонимность. Так, незначительное количество персональной информации, содержащееся в кредитных картах, позволяет деанонимизировать их владельцев. Из этого следует, что такие вклады нуждаются в новых средствах защиты. Чтобы использовать «большие данные» в социальных исследованиях, необходимо одновременно применять и новые методы их защиты (дифференцированная частная жизнь), которые защищают идентичность данных о людях и в то же время позволяют ученым использовать эти данные в своей работе.
В исследовании1, проведенном под руководством Ив-Алек-сандра де Монтойя (Yves-Alexandre de Montjoye), специалиста по прикладной математике из Массачусетского технологического института (Кембридж), была показана опасность распространения данных в тех случаях, когда дело касается чувствительной информации. В ходе исследования на протяжении трех месяцев анализировались трансакции, проведенные с помощью кредитных карт. При этом были зафиксированы траты 1,1 млн людей в 10 тыс. магазинов в одной стране. Банк убрал имена, номера кредитных карт, адреса магазинов и даже точное время трансакций. Все, что оставалось, - это метаданные: потраченные суммы денег, тип покупки (например, ресторан, гимнастический зал или бакалейный магазин)
1 Unique in the shopping mall: On the reidentifiability of credit card metadata / de Montjoye Y.-A., Radaelli L., Vivek Kumar Singh, Pentland A. «Sandy» // Science. -2015, 30 January. - Vol. 347, N 6221. - P. 536-539.
и код, представлявший каждого индивида. Но поскольку образец трат каждого индивида уникален, данные также обладают очень высокой степенью уникальности. Это делает их подходящими для того, что де Монтойя назвал «корреляционной атакой». Для того чтобы раскрыть идентичность индивида, необходимо просто скор-релировать метаданные с информацией об индивиде из внешнего источника.
Об одной корреляционной атаке стало известно в 2014 г., когда две ведущие нью-йоркские компании такси раскрыли данные о времени, маршрутах и оплате, касающиеся 173 млн поездок. Имена пассажиров, впрочем, не разглашались. Но, вооружившись содержащими отметку времени фотографиями знаменитостей, садящихся и выходящих из такси (существуют веб-сайты, посвященные наблюдению за знаменитостями), блогеры, расшифровав номера на медальонах водителей, легко определили, сколько заплатила каждая из знаменитостей.
Выкрав страницу из похищенных хакерами данных о такси, группа де Монтойи имитировала корреляционную атаку на метаданные по кредитным картам. Они оснастили свои компьютеры набором случайных наблюдений о каждом из индивидов из этой выборки; такая информация эквивалентна одной фотографии с отметкой времени. Компьютер использовал эти ключи для идентификации некоторых из анонимных плательщиков. Затем исследователи поместили в алгоритм другой фрагмент внешней информации и повторили процедуру снова, и так они делали до тех пор, пока не был деанонимизирован каждый.
Одного лишь знания о местоположении индивида в четырех различных случаях было достаточно для того, чтобы получить «отпечатки пальцев» 90% плательщиков. А зная сумму, потраченную в каждом из этих случаев (что эквивалентно получению нескольких чеков о чьих-либо расходах), можно деанонимизировать почти каждого человека и проследить всю историю его трансакций, имея всего три фрагмента информации на каждого. Эти результаты перекликаются с результатами исследования, проведенного де Мон-тойя и его коллегами в 2013 г. Оно началось с хранилища метаданных, полученных через мобильные телефоны, и показало, что, для того чтобы идентифицировать индивида, достаточно знать его местоположение в четырех различных случаях.
Один из способов защиты против корреляционных атак - это спутать данные, «замусорив» некоторые из переменных. Например, вместо того чтобы раскрывать точную дату или цену трансакции, в публичной версии данных может раскрываться только неделя ее проведения или диапазон цен, в который она попадает. «Замусоривание» не препятствует корреляционной атаке де Монтойя, оно только увеличивает количество информации, необходимой для того, чтобы деанонимизировать каждого, до эквивалента дюжины чеков.
Эти исследования не являются погребальной песней для социальных исследований с использованием «больших данных». «Необходимо привязывать вычисления к данным, а не наоборот», -говорит де Монтойя. «Большие данные» с чувствительной информацией могут жить «в облаке», защищенном привратником программного обеспечения, продолжает он. Привратник запретит доступ к индивидуальным записям, предотвращая корреляционные атаки, в то же время разрешая исследователям задавать вопросы статистического характера относительно этих данных.
Другая статья Дж. Боханнона «Маски сняты» (003) посвящена машинному распознаванию человеческого лица. Если кого-либо сфотографируют на марше протеста, в баре для геев или в клинике абортов, то друзья и знакомые могут узнать этого человека, машина же скорее всего не сможет, по крайней мере сегодня. До тех пор пока перед компьютером не поставлена задача распознавать лицо человека, он не может пройти подготовку на множестве снимков человеческого лица, у него нет высококачественного образа для изучения, поэтому анонимности человека ничто не угрожает. Не может сегодняшний компьютер и обследовать Интернет, чтобы найти случайные снимки какого-либо индивида. Но за пределами «сада» - Фейсбука, в котором содержится самая большая в мире коллекция персональных фотографий, начинается расцвет технологий, позволяющих делать это.
Запущенная базирующейся в Калифорнии компанией система Дипфейс (Deep Face) сегодня может распознавать некоторые черты лица с такой же точностью, что и человек. При этом, подчеркивает Яан Ле Кун (Yann Le Cun), ученый-компьютерщик из Нью-Йоркского университета, руководитель исследований в сфере искусственного интеллекта Фейсбук, суть задачи заключается не в том, чтобы вторгаться в частную жизнь более чем 1,3 млрд актив-
ных пользователей Фейсбука, а в том, чтобы защищать ее. Как только Дипфейс идентифицирует лицо на одной из 400 млн новых фотографий, ежедневно загружаемых пользователями, «вы получите сигнал тревоги от Фейсбука, сообщающий вам, что вы появились на снимке», объясняет Ле Кун. После этого человек может стереть свое лицо со снимка, чтобы защитить свою частную жизнь. Впрочем, многих людей беспокоит сама перспектива быть идентифицированными, особенно на фотографиях незнакомцев. Фейсбук уже использует эту систему, правда, он отмечает только тех, кто обозначен как «друзья».
Дипфейс - отнюдь не единственный участник гонки. Правительство США щедро финансирует университетские исследования в области распознавания лиц. А в частной сфере «Гугл» и другие компании разрабатывают свои проекты автоматической идентификации людей, появляющихся на фото и видео.
Не ясно, как именно будет использоваться автоматическое распознавание лиц и как закон может его ограничивать. Но по мере развития технология будет порождать столько же проблем, касающихся частной жизни, сколько позволит решать. «Джинн уже выпущен или скоро будет выпущен из бутылки, - отмечает Брайан Меннеке (Brian Mennecke), исследователь информационных систем из Университета штата Айова в Эймсе, изучающих проблематику частной жизни. - Пути назад не будет».
Уже существует суматошная торговля частными данными -иногда легальная, иногда нелегальная, и идентичность лица скоро станет ходовым товаром, предсказывает Б. Меннеке. Например, идентификация по лицу позволит рекламщикам сопровождать человека всюду, где установлена камера, учитывать его предпочтения или даже предлагать различные цены в зависимости от того, что они знают о его покупательских привычках и демографических характеристиках. «Но больше всего тревожит людей, то - говорит Б. Меннеке, - что какой-нибудь незнакомец на улице может выхватить вас из толпы... Вы не сможете избежать распознания вашего лица».
Эрика Лернд-Миллера (Erik Learned-Miller), специалиста в области компьютерных наук из Университета штата Массачусетс, больше беспокоят не коммерческие приложения лучшего распознавания лица, а то, как этой технологией могут злоупотреблять
правительства. Он ярый сторонник Эдварда Сноудена, который в 2013 г. разгласил огромное количество данных о наблюдении правительством США за электронной почтой и телефонными разговорами своих граждан. «Мы должны быть бдительными», - говорит он. Это особенно удивительно, если учесть, что его исследования отчасти финансируются спецслужбами США. Возможно, это - дополнительный аргумент для того, чтобы серьезно отнестись к его предупреждению.
Журналист Дэвид Шульц в публикации «Когда ваш голос выдает вас» (004) отмечает, что скоро человек сможет сказать, что его голос - это его пароль. Уже сегодня голос часто используется в качестве пароля, когда человек звонит в свой банк или компанию, выпустившую его кредитную карту. Как и отпечатки пальцев или сканы радужной оболочки, каждый голос уникален, так что компании, обеспечивающие безопасность, используют распознавание голоса как новый удобный способ аутентификации.
Экспертов, однако, беспокоит, что отпечатки голоса могут использоваться для идентификации говорящего без его согласия, а это является вторжением в частную жизнь и нарушением свободы слова. Отпечатки голоса создаются путем записи сегмента речи и анализа частот, на которых концентрируется звук. В отличие от отпечатка пальцев, отпечаток голоса содержит и элементы поведения: такие характеристики, как модуляция, диалект и акцент, легко различимы.
Системы распознавания речи, расчитанные на то, чтобы понимать сказанное, минимизируют эти различия, нормализуя высоту и пропуская паузы и акценты. Однако для идентификации отдельного индивида эти несоответствия имеют критическое значение. Поскольку в системах отпечатков голоса обычно используется повторение пользователем стандартной фразы, теоретически те, кто крадет идентичность, могут записывать такие фразы и проигрывать их повторно, с тем чтобы обмануть технологию. Впрочем, разрабатываются системы для обнаружения записанной или синтезированной речи. Еще более безопасная альтернатива - попросить пользователя повторить случайно выбранный фрагмент текста.
Некоторые системы вообще не требуют произнесения фразы, просто анализируя голос индивида, который прослушивается на каком-либо фоне, например когда он говорит с продавцом, и срав-
нивается с хранимым отпечатком голоса. Спрос на аутентификацию по отпечаткам голоса растет бурными темпами. Бретт Беранек (Brett Beranek), директор фирмы «Nuance», занимающейся бизнесом в этой сфере, говорит, что за последние 24 месяца компания зарегистрировала более 35 млн уникальных отпечатков голосов, тогда как за предыдущие десять лет - только 10 млн. Однако массивные базы данных голосовых отпечатков могут превратить анонимность в более дефицитный товар. Распознавание индивида, как только он взял телефонную трубку или подошел к кассиру, откроет новые возможности для маркетинга и в то же время облегчит трансакции для потребителя. Как и со многими новыми технологиями аутентификации, баланс между удобством и защищенностью частной жизни еще предстоит найти.
Еще один материал Дж. Боханнона носит название «Нарушение доверия» (005). После разоблачений Сноудена, пишет он, американские математики засомневались в своих давних связях с секретным Агентством национальной безопасности (АНБ). Каждый год рекруты из АНБ, которое считается главным нанимателем математиков в США, посещают несколько десятков университетов по всей стране в поисках новых талантов. Их приобретение обычно бывает делом нетрудным. «Один из привлекательных аспектов того, что они рекламируют, это то, что они предоставят работу, на которой весь день придется решать необычайно трудные и интересные головоломки», - сказал на условиях анонимности один из математиков. Вскоре после террористических атак 11 сентября 2001 г. он добавил: «Если есть способ использовать мои математические способности для предотвращения таких вещей в будущем, я буду морально обязанным заняться этим» (с. 496). В последующие годы он несколько раз приостанавливал свои университетские исследования ради работы на АНБ.
Позже, однако, у многих математиков чувство моральной ответственности было поколеблено, и задача рекрутирования стала более трудной. В 2013 г. бывший контрактник АНБ Эдвард Сно-уден стал публиковать документы, разоблачающие эту организацию. АНБ в огромных масштабах собирала записи электронной почты и телефонных разговоров граждан. Она, возможно, также преднамеренно искажала математический стандарт, широко ис-
пользуемый для обеспечения безопасности персональных компьютеров по всему миру.
Эти разоблачения выбили из колеи анонимного математика. «Для людей с такой же мотивацией, как у меня, - говорит он, -очень многое значит этика миссии АНБ». Такие новости взволновали все математическое сообщество, заставив многих усомниться в их долгих симбиотических отношениях со шпионским агентством, которое подкармливало начинающих математиков в школе, поддерживало область исследовательскими и учебными грантами и предоставляло академическим математикам возможность принимать участие в «темном мире шпионского ремесла». Математик из Массачусетского технологического института в Кембридже Дэвид Воган (David Vogan), только что закончивший свой президентский срок в Американском математическом обществе (АМО), призвал его членов переосмыслить свои продолжительные тесные связи с АНБ, впрочем, большинство официальных лиц из АМО его не поддержало.
Признанием трудностей в вербовке наиболее талантливых математиков и компьютерщиков для работы на АНБ стали попытки самого руководителя агентства адмирала Майкла Роджерса (Michael Rogers) заняться его рекламой. «Многие из вас - это потенциальные будущие работники, за которых я хочу конкурировать, -сказал он, выступая в ноябре 2014 г. в Стэнфордском университете в Пало-Альто (Калифорния). - Самый большой вызов для нас... это заполучить людей из здешней среды». Один студент спросил его, что может предложить АНБ исследователям, разочаровавшимся в правительстве США. В ответ М. Роджерс не нашел ничего лучшего, чем сказать о возможности «послужить народу» и «получить нечто, что вы нигде не сможете получить легально».
Невозможно проверить, какое количество математиков работает на агентство, известно лишь, что оно измеряется десятками тысяч и что их официальная миссия - проектировать криптологи-ческие системы для защиты информации США и использования слабостей в информационных системах других стран - в существенной мере математическая. С момента создания в 1952 г. АНБ включилось в математическую гонку вооружений, непрерывного совершенствования средств кодирования и декодирования. На протяжении долгих лет оно утверждало, что его законный интерес со-
стоит в поддержании в стране сильного математического сообщества.
Как и во всех других видах деятельности АНБ, его связи с академическим миром хранятся в секрете. Даже общий ежегодный бюджет является секретным; оценки колеблются в диапазоне от 8 млрд до 25 млрд долл.
Многие университеты получают от АНБ существенную поддержку, причем в самых разных формах. Например, АНБ создает так называемые лаблеты (lablets) - исследовательские группы в академических подразделениях, фокусирующиеся на кибербезо-пасности. Согласно университетским пресс-релизам, каждый из них до сих пор получил от 2,5 млн до 4,5 млн долл., однако общие бюджеты неизвестны.
До недавнего времени эти тесные взаимоотношения с академическим миром не вызывали серьезных противоречий. Ситуация изменилась в 2013 г. после разоблачений Сноудена. Большинство СМИ интересовалось в основном крупномасштабным сбором данных, касающихся граждан США, но многих математиков заинтересовало другое - то, в чем они увидели атаку на самую суть современной интернет-безопасности. Например, когда человек проверяет онлайн свой счет в банке, информация шифруется с использованием серии больших чисел, порождаемых как банковским сервером, так и компьютером пользователя. Создание действительно непредсказуемых случайных чисел требует различных физических уловок. Вместо этого в компьютерах используются математические алгоритмы, генерирующие псевдослучайные числа. Хотя такие числа не являются фундаментально непредсказуемыми, отгадывание их может потребовать большей мощности, чем позволяет совокупная мощность всех компьютеров в мире. До тех пор пока эти псевдослучайные числа держатся в секрете, закодированная информация может безопасно путешествовать через Интернет, будучи защищенной от перехватчиков, включая АНБ.
Но АНБ, видимо, создало свою собственную боковую дверь для доступа к зашифрованным сообщениям. Компьютерная индустрия как в США, так и за рубежом обычно пользуется стандартами безопасности, одобренными Национальным институтом стандартов и технологий (National Institute of Standards and Technology -NIST). Но в 2006 г. NIST официально одобрил один генератор
псевдослучайных чисел, который оказался с изъяном. Из опубликованных Сноуденом материалов АНБ выяснилось, что агентство было единственным автором дефектного алгоритма и что оно много сделало для того, чтобы алгоритм был принят NIST.
Эти разоблачения породили внутри Американского математического общества острые споры о том, должно ли оно порвать свои связи с АНБ. Александр Бейлинсон (Alexander Beilins on), математик из Чикагского университета, утверждал, что общество должно полностью «отмыть свои руки» от АНБ. Масштаб шпионажа внутри страны и взломов программного оборудования делает Штаты похожими на «обрюзгшую версию Советского Союза времен моей юности», сказал он. По мнению Д. Вогана, намеренное разрушение коммерческого шифровального программного обеспечения сравнимо с фальсификацией медицинских исследований ради получения прибыли, это акция, которая несет постоянную угрозу престижу науки в мире. Однако после всего этого общество не предприняло никаких действий. Американские математики в целом не хотят отрекаться от своего темного, но постоянного благодетеля.
В заметке Д. Шульца «Игры дронов» (006) речь идет о быстро расширяющихся возможностях беспилотных летательных аппаратов и попытках законодательно регулировать их применение. Сегодня дроны осуществляют мониторинг находящегося под угрозой мира живой природы, запускают ракеты, составляют карты тропических лесов, снимают фильмы о действиях спортсменов. Они могут летать высоко над окружающей человека территорией или зависать перед окном его спальни. Уже создаются летающие роботы размером немного больше насекомого, и когда батареи станут достаточно компактными, они могут стать буквально мухами на стене. Расширяющиеся возможности, а вместе с тем и потенциальные вмешательства в частную жизнь представляются бесконечными. Впрочем, существующие и новые законы могут дать некоторую защиту.
Верховный суд США вынес заключение, что никто не может являться собственником воздушных путей и что каждый гражданин может делать снимки в публичных местах. Например, с помощью наблюдений, сделанных с аппаратов, летающих в «открытом для публичных полетов воздушном пространстве», граждан убедили в том, что у них на заднем дворе растет марихуана. В то же вре-
мя недавно в Калифорнии был предложен законопроект, который сделает незаконным для папарацци использование дронов с целью делать снимки знаменитостей, находящихся в частном пространстве.
Четвертая поправка к Конституции США, которая защищает граждан от неоправданных обысков и изъятий без ордера, может укрыть американцев от миниатюрных правительственных дронов, ищущих запрещенные вещества. Но степень защиты будет зависеть от тонкостей законодательства.
Федеральная авиационная администрация разрабатывает новые нормы для беспилотных летательных систем, которые ограничат место и время полетов коммерческих дронов; в некоторых случаях эти нормы могут также помочь и в защите частной жизни. Во многих других странах также ведутся дискуссии о том, как по мере распространения дронов соблюсти баланс между частной жизнью и свободой.
Статья М. Эйзерника «Риск разоблачения» (007) посвящена проблемам конфиденциальности, возникающим в контексте заболеваний, которые привлекают повышенное внимание общественности. Немногие вещи, отмечает автор, могут сделать человека таким известным или печально прославить его так быстро, как встреча с вирусом Эбола. Нью-йоркский врач Крейг Спенсер (Craig Spencer) с удивлением увидел, как СМИ буквально вламываются в его повседневную жизнь, публикуя его фотографии то на площадке для боулинга в Бруклине, то за едой в известном торговом центре, то едущим в метро. Британский таблоид «Daily Mail», покопавшись в прошлом оператора-фрилансера Ашоки Мукпо (Ashoka Mukpo), сделал достоянием публики непристойные детали любовной жизни его родителей.
Защита медицинской информации - дело достаточно трудное, но, когда человек заболевает во время вспышки новой или особенно ужасной болезни, все вокруг начинает казаться допустимым. И не только репортеры изучают детали его жизни - доктора и чиновники из служб общественного здоровья хотят знать, где он находится и что он делает. И чем шире распространяется эта информация, тем больше риск для частной жизни человека. Рост числа новых заболеваний в последние два десятилетия усугубляет эту проблему, а появление социальных сетей и камер мобильных телефонов усиливает давление. Например, когда 26 октября 2014 г. ра-
ботники скорой помощи в белой защитной одежде забрали человека из его дома в голландском городе Маастрихте, уже через 20 минут информация об этом была в Твиттере. Региональные службы здравоохранения быстро опровергли утверждения о том, что речь идет о вирусе Эбола.
Сдерживать блогеров нелегко, но даже профессиональные попытки проследить вспышки заболеваний создают новые угрозы для частной жизни. Информация о конкретных пациентах, пусть даже анонимизированная, распространяется теперь по всему свету через списки адресатов публичной электронной почты, такие как «ProMED», посвященные возникающим болезням. При этом часто в оборот идут газетные истории со всего мира. Хотя имена пациентов при этом всегда редактируются, отмечает издатель «ProMED» Ларри Мадоф (Larry Madoff), простой поиск в Гугле позволит найти исходную историю с реальными именами.
Сегодня возрастает потребность в глобальных этических стандартах для проводимых правительствами наблюдений за распространением болезней, которые были бы близки к стандартам Хельсинкской декларации о медицинских исследованиях, замечает Эми Фэйрчайлд (Ami Fairchild), историк из Колумбийского университета, изучающая политику в области общественного здоровья. Э. Фэйрчайлд является сопредседателем группы специалистов по этике и экспертов по общественному здоровью, созданной Всемирной организацией здравоохранения для подготовки рекомендаций по этому вопросу, где ключевой темой будет частная жизнь.
Во многих странах созданы сложные законы и регламенты, указывающие, когда и как может передаваться медицинская информация. В США такой закон был принят в 1966 г. Однако до сих пор существует «серьезная напряженность» между сферой клинической практики, где доктора стремятся защищать отдельных пациентов, и сферой общественного здоровья, где на первом месте стоит защита сообществ, говорит специалист по биоэтике Артур Каплан (Arthur Caplan) из медицинского центра «Лэнгдон» при Нью-Йоркском университете. Это особенно характерно для периодов вспышек заболеваний. «Частная жизнь, - замечает он, - не очень-то подходит тому складу ума, который характерен для работников общественного здравоохранения. Для них вопрос стоит
так: сколь многого можно добиться, если полностью выбросить в окно защиту частной жизни?».
В заметке журналиста «Science» Дэниела Клери «Может ли пострадать от хакеров ваш стимулятор сердца?» (008) рассматривается проблема защиты от несанкционированного вмешательства в работу медицинских приборов, подсоединенных к Интернету.
В одном из американских телесериалов несколько лет назад речь шла об убийстве политического деятеля, совершенном путем вмешательства в работу его соединенного с Интернетом стимулятора сердца. К сожалению, такая акция вовсе не является чем-то исключительно фантастическим. Эксперты по интернет-безопасности в течение многих лет предупреждали, что такие приборы открыты как для воровства, так и для отдаленного контроля со стороны хакера. В 2007 г. кардиолог вице-президента США Дика Чейни не одобрил использование его пациентом беспроводного стимулятора сердца именно из-за риска такого рода.
Такие медицинские приборы, как инсулиновые насосы, непрерывные мониторы глюкозы, стимуляторы сердца или дефибрилляторы, в последние годы становятся все более миниатюрными и пригодными для того, чтобы носить их при себе. Часто они связаны с контроллером, работающим на коротких расстояниях через Bluetooth. Контроллер или сам прибор может быть связан с Интернетом с помощью Wi-Fi, так что данные можно послать непосредственно клиницисту. Но эксперты по безопасности демонстрируют, что с помощью легкодоступного оборудования, руководства для пользователя и знания кода прибора они могут взять под контроль прибор или осуществлять мониторинг посылаемых им данных.
В отличие от смартфонов или компьютеров, для медицинских приборов не проводится регулярное обновление безопасности, поскольку регулирующие органы, такие как Управление по контролю за продуктами и лекарствами (FDA), фокусируются на их надежности, безопасности для пользователя и легкости в применении, а не на защите от злонамеренных атак. В этом отношении FDA полагается на производителей приборов, которые, в свою очередь, только начинают заниматься этой проблемой. Но пока это не стало обязательным, возможно, потребуется фатальное нападение на знаменитую личность для того, чтобы серьезно заняться вопросами безопасности.
Дженифер Кузин-Фрэнкел, журналистка из «Science», выступает в подборке со статьей «Верь мне, я провожу медицинское исследование» (009). Ученые больше не могут быть гарантами защиты частной жизни пациентов. Теперь они ищут новые способы завоевания доверия. В Оксфорде (Великобритания) происходит тихая революция: 126 человек, страдающих от редкого ревматологического заболевания, либо родители больных детей участвуют в исследовательском проекте по изучению этого заболевания. Но вместо донорства образцов, заполнения вопросников в надежде, что некогда получится нечто полезное, они сами серьезно вовлечены в исследование. Они - спонсоры, имеющие право голоса. Одна из них - 53-летняя Элайн Раш, которая родилась с заболеванием, выражающимся в хрупкости костей. По ее словам, у нее только 25 переломов - совсем мало по сравнению с другими пациентами. Ожидалось, что она проживет не более пяти лет, но она активно пользуется инвалидной коляской и борется с проблемами в сердце и легких, связанными с ее болезнью. Она - ревностный партнер в стремлении развивать науку, каждый месяц общается по скайпу с исследователями и предлагает свои советы. Когда решалась задача рекрутирования участников, Э. Раш защищала размещение постов в Фейсбуке, где пациенты находят друг друга. Руководители исследования собираются последовать ее советам.
РУДИ (RUDY) - проект изучения редких болезней костей, суставов и мускулов - представляет собой новый тип соглашения между исследователями и испытуемыми, возникший в связи с ухудшением ожиданий того, что касается защиты частной жизни. До недавнего времени доброволец мог предложить свою ДНК или ткань какой-то одной исследовательской группе в соседнем университете. Сегодня множество образцов закладывается в банки, секвенируется и используется совместно с тысячами потенциальных исследователей. Это позволяет проводить более крупные исследования с более надежной статистикой, но вместе с тем и затрудняет сохранение в тайне персональных данных пациентов. Принято считать, что, если некто может прочесть ДНК какого-либо человека, он сможет определить (сегодня или в будущем, по мере прогресса технологий), кто он. В течение длительного периода участникам исследований давалось обещание того, что их идентич-
ность хранится в совершенно недоступном месте, но сегодня никто уже не может дать гарантии безопасности.
Э. Раш и другие участники РУДИ могут решать, будут ли образцы их крови, их сканы и истории болезни доступны исследователям, например, где-нибудь в Европе или в США. На веб-странице они могут зарегистрироваться для участия в клиническом исследовании, с тем чтобы узнать, был ли помечен один из образцов их тканей. Это укажет на то, что в какой-то лаборатории исследователь изучает его.
В области биомедицинских исследований появление больших хранилищ ДНК и образцов тканей заставило исследователей и специалистов по этике переосмыслить свои взаимоотношения с добровольцами, делающими возможной их деятельность. «Двадцать лет назад, - говорит Джейми Хейвуд (Jamie Heywood), один из основателей компании «Patients Like Me» в Кембридже (штат Массачусетс), обеспечивающей платформу для людей, страдающих различными заболеваниями, согласных поделиться своими данными, - люди соглашались участвовать в эксперименте, основываясь на доверии, скрепленном рукопожатием». Сегодня пациенты «пожимают руки» безликим другим по всему свету, и в ответ на предоставление своей ДНК, и на потенциальный отказ от защищенности своей частной жизни участники исследований хотят добиться прозрачности в их проведении. Они хотят, чтобы их голос звучал громче.
То, что в геномике наступает конец защищенной частной жизни, стало ясно два года назад, когда молодой генетик Янив Эр-лих (Yaniv Erlich) опубликовал в журнале «Science» от 18 января 2013 г. удивительную статью, подтвердившую опасения многих специалистов в этой области. Я. Эрлих с коллегами показали, что можно идентифицировать человека, основываясь на частичной последовательности ДНК из его Х-хромосомы, а также зная его возраст и штат США, в котором он проживает, - базовую информацию такого типа исследователи обычно помещают в широко используемых ими базах данных ДНК. Сочетая эти обрывки информации с тем, что он обнаружил в генеалогических базах данных, в которых более 100 тыс. американцев уже поместили свои маркеры ДНК, Я. Эрлих идентифицировал не только доноров ДНК, но и членов их семьи вплоть до двоюродных. Эрлих поспешил зая-
вить, что ДНК можно анонимизировать, например, перемешав или удалив нуклеотиды, содержащие чувствительную информацию. Этот метод, однако, может сделать информацию бесполезной для исследователей, к тому же он не всегда защищает донора. Когда один из открывателей двойной спирали ДНК Джеймс Уотсон в 2008 г. после секвенирования своего генома опубликовал его в журнале «Nature», он потребовал, чтобы в публикации не было его гена APOE, который может свидетельствовать о предрасположенности к болезни Альцгеймера. Но в том же году три генетика вежливо заметили в своей статье, что генетические знания достаточно продвинулись для того, чтобы объяснить статус APOE Уотсона, основываясь на образцах соседней ДНК. Криптографы все еще ищут улучшенные способы защиты ДНК, и многие считают, что важно продолжать эту работу. Но Я. Эрлих направил свою энергию в другую сторону. Он и его коллеги рассматривают альтернативы защите частной жизни в исследованиях, возвращаясь к прежней традиции рукопожатий и размышляя о том, как приспособить ее к науке XXI в.
Я. Эрлих черпал вдохновение в некоторых феноменах Интернета, в которых доверие, даже между незнакомыми людьми, является движущей силой. Примером здесь является сервис Uber, который позволяет водителям автомобилей и пассажирам найти друг друга в сети. Вебсайт Uber содержит обширную документацию о каждом из пользователей. На основе этой открытости строится доверие, и, по мнению Эрлиха, такую же стратегию можно применять к генетике и биомедицинским исследованиям. В данном случае такими взаимодействующими сторонами являются исследователи и доноры ДНК и образцов тканей. Если исследователям удается добиться доверия доноров, шансы на получение значимых результатов существенно возрастают.
Б.Г. Юдин
2015.03.010. ЭДВАРДС С. ПОСТОЯННОЕ СОГЛАСИЕ ИЛИ ОСТОРОЖНЫЙ КОНТРОЛЬ НАД ИСПОЛЬЗОВАНИЕМ ЦИФРОВЫХ ДАННЫХ?
EDWARDS S.J.L. Continuous consent to, or discreet control over digital data? // Research ethics. - 2014, December. - Vol. 10, N 4. - P. 184186. - D0I:10.1177/1747016115575892.
