CC BY
2СЕКЦИЯ - ТЕХНИЧЕСКИЕ НАУКИ
УДК 004.42
Кузнецов Илья Александрович
бакалавр, Удмуртский государственный университет
Россия, г. Ижевск
БЕЗОПАСНОСТЬ И КОНФИДЕНЦИАЛЬНОСТЬ ДАННЫХ В МОБИЛЬНЫХ ПРИЛОЖЕНИЯХ, РАЗРАБОТАННЫХ ПРИ ПОМОЩИ ТЕХНОЛОГИЙ МАШИННОГО ОБУЧЕНИЯ
Аннотация: В данной статье анализируется безопасность и конфиденциальность данных в мобильных приложениях (МП), разработанных при помощи технологий машинного обучения. Освещаются риски незаконного доступа к информации. Исследуются виды атак на МП и методы защиты от них. Подчеркивается необходимость внедрения комплексного подхода, который будет соответствовать техническим и юридическим стандартам информационной безопасности.
Ключевые слова: Мобильные приложения, машинное обучение, информационная безопасность, конфиденциальность данных, кибератаки, многофакторная аутентификация, шифрование данных.
Kuznetsov Ilia
bachelor's degree, Udmurt State University Russian Federation, Izhevsk
SECURITY AND PRIVACY OF DATA IN MOBILE APPLICATIONS DEVELOPED USING MACHINE LEARNING TECHNOLOGIES
Abstract: This article analyzes the security and privacy of data in mobile applications (М?) developed using machine learning technologies. It highlights the risks of unauthorized access to information. The types of attacks on MP and methods of protection against them are investigated. The necessity of implementing a comprehensive approach that meets the technical and legal standards of information security is emphasized.
Keywords: Mobile applications, machine learning, information security, data privacy, cyber-attacks, multifactor authentication, data encryption.
ВВЕДЕНИЕ
Мобильные приложения (МП), разработанные при помощи технологий машинного обучения (МО), являются важной частью глобальной ISSN 3034-2627 5 https://coldscience.ru
цифровизации. Они обеспечивают автоматизацию процессов и создают персонализированные рекомендации на основе прогнозирования пользовательского поведения. Это существенно улучшает интерактивность и функциональность сервисов, что необходимо компаниям для повышения конкурентоспособности и удовлетворения потребностей клиентов.
Широкое внедрение МП с технологиями МО сопровождается значительными рисками, связанными с незаконным доступом к информации. Цель статьи - исследование безопасности и конфиденциальности данных в МП, разработанных при помощи МО.
Глобальный рынок МП на протяжении последних лет показывает уверенный рост. В 2023 году - 110 млрд установок у Google Play и 41,5 млрд у App Store, что на 26,4 % и 32,6% больше, чем в 2020 году [1]. По оценкам исследователей Data.ai, интеграция нейросетей и технологий МО увеличила количество загрузок МП до 65 % [2].
В условиях глобальной цифровизации гарантия защиты информации становится приоритетной задачей для разработчиков МП. По данным Statista, в третьем квартале 2023 года было обнаружено более 438 тыс. мобильных вредоносных программ, что примерно на 19 % больше по сравнению со вторым кварталом 2023 года (рис.1) [3].
ОСНОВНАЯ ЧАСТЬ
<1 <о "о л
,/ъ ,-и\ гг -л
с?" tS- сЕ- о^ с? 6!-' сi S S S"
Рисунок 1. Количество обнаруженных во всем мире вредоносных программ для
МП, шт
В анализируемый период наблюдается снижение числа рассматриваемых преступлений, что коррелирует с развитием новых технологий защиты. Однако периодические всплески инцидентов связаны с появлением новых видов кибератак, особенно направленных против МП, использующих МО и другие формы искусственного интеллекта (ИИ).
АНАЛИЗ УГРОЗ БЕЗОПАСНОСТИ ДАННЫХ В МП МП, использующие технологии МО, активно внедряются в различные сферы жизни, от финансовых услуг до здравоохранения и личной коммуникации. Это приводит к необходимости обеспечения высокого уровня безопасности данных, поскольку угрозы для их конфиденциальности и целостности могут иметь серьезные последствия.
МП используют сведения, которые можно разделить на две категории: Личная информация пользователей - имена, номера телефонов, адреса места жительства и электронной почты. Раскрытие этих данных может привести к нарушению приватности, а в худшем случае - к финансовому мошенничеству [4] и угрозе личной безопасности.
Информация о поведении и предпочтениях аудитории - история поисковых запросов, геолокация, взаимодействие с различными функциями приложения и социальными сетями [5]. Эти сведения могут использоваться для создания подробных профилей пользователей и манипуляции их действиями, например, для стимулирования покупок за счет таргетированной рекламы.
Несанкционированный доступ к информации может привести к ее разглашению, финансовым потерям и утрате доверия пользователей к разработчикам МП. Уязвимости безопасности в МП могут быть связаны с недостатками в кодировании, ошибками в конфигурации серверов или неправильным управлением данными. В таблице 1 представлены основные виды атак на МП и их характеристики.
Таблица 1. Виды атак на МП, разработанные при помощи технологий МО
Вид атаки Описание Потенциальные последствия
SQL-инъекции Внедрение вредоносного БОЬ-кода, что позволяет читать или модифицировать базу данных МП. Несанкционированный доступ в личных целях.
Кросс-сайтовый скриптинг (Cross-site Scripting or XSS) Внедрение в выдаваемую веб-системой страницу вредоносного кода. Перехват управления учетной записью; кража информации из cookie.
Атаки типа «отказ в обслуживании» (denial-of-service, DDoS) Перегрузка системы МП большим количеством запросов, что делает сервис недоступным [6]. Временное прекращение работы МП.
Фишинг Использование поддельных сообщений или веб-страниц для получения конфиденциальной информации. Кража личных данных, финансовые потери.
Внедрение вредоносного ПО Распространение вирусов через поддельные приложения или обновления. Разглашение сведений, использование МП в целях совершения мошеннических действий.
МП, разработанные с использованием МО, обладают рядом уникальных особенностей. Одной из них является необходимость постоянного использования данных для обучения алгоритмов, что создает дополнительные угрозы безопасности. Для хранения сведений в таких МП используются облачные сервисы, которые могут быть подвергнуты атаке. Злоумышленники в таком случае получают доступ не только к конфиденциальной информации пользователей, но и к алгоритмам МО, что создает помехи для работы МП.
Защита данных представляет собой одну из ключевых задач для разработчиков МП. Это требует внедрения комплексных мер безопасности, включая шифрование, регулярные аудиты безопасности, обучение персонала и разработку политик конфиденциальности, которые соответствуют как техническим, так и юридическим стандартам.
ХОЛОДНАЯ НАУКА №2/2024
МЕТОДЫ ЗАЩИТЫ
Внедрение многоуровневых стратегий защиты в МП является важной частью информационной безопасности (ИБ). Они включают в себя как технологические решения, так и методы управления и контроля доступа к данным, чтобы минимизировать риски потенциальных угроз.
Одним из основных способов предотвращения несанкционированного доступа является шифрование, которое применяется как на уровне устройства, так и при передаче данных между клиентом и сервером. Примером компании, активно использующей данную технологию, является Apple (США). Она применяет FileVault и протоколы SSL/TLS для шифрования. Эти меры позволяют минимизировать риски обнародования сведений и получения доступа к ним третьими лицами.
Многофакторная аутентификация (МА) представляет собой технологию повышенного уровня защиты, которая требует от пользователя подтверждения личности с использованием более чем одного метода проверки. В 2022 году глобальный МА оценивался в 12,5 млрд долларов, и, по прогнозам, к 2027 году его стоимость удвоится (рис.2).
Рисунок 2. Размер мирового рынка МА, млрд долларов [7] Amazon (США) использует МА для усиления безопасности МП, что помогает исключить риски, связанные с компрометацией одного из элементов подтверждения личности.
Важную роль играет обновление программного обеспечения и алгоритмов МО. Оно позволяет оперативно выявлять уязвимости и устранять
потенциальные векторы атак. Например, компания Microsoft (США) регулярно выпускает патчи безопасности, которые повышают устойчивость программных продуктов к внешним угрозам.
Международная организация по обеспечению безопасности приложений OWASP разрабатывает принципы безопасного программирования, направленные на предотвращение распространенных уязвимостей, таких как SQL-инъекции и кросс-сайтовый скриптинг. OWASP рекомендует регулярное обучение разработчиков актуальным практикам и методологиям безопасности для поддержания высокого уровня защиты МП.
Метод наименьших привилегий предполагает выборочное ограничение доступа к данным и функциям МП. Amazon Web Services (США) использует этот подход в облачных сервисах, предоставляя пользователям разрешение только к тем ресурсам, которые необходимы для работы в приложении [8]. Это минимизирует возможность злоупотребления возможностями системы.
Использование многоуровневых стратегий управления в МП с МО обеспечивает комплексную защиту от множества угроз. Применение шифрования, многофакторной аутентификации, постоянных обновлений, безопасного программирования и принципа наименьших привилегий, а также регулярные аудиты и тесты на проникновение создает барьер против несанкционированного доступа к информации и других киберугроз.
Правовые и этические аспекты
Законодательное регулирование, направленное на защиту данных, стимулирует компании к внедрению строгих мер безопасности и обеспечивает юридическую ответственность в случае их нарушения. Разработчики сталкиваются с необходимостью соответствия многочисленным национальным и международным стандартам, что требует глубокого понимания как технических, так и юридических аспектов работы. В таблице 2 представлены основные законодательные акты, регулирующие обработку и защиту данных в глобальном пространстве.
Таблица 2. Законодательное регулирование защиты данных
Статус Законодательные акты Основные положения
Международный Всеобщая декларация прав человека [9], Пакт о гражданских и политических правах [10] и др. Защита от необоснованного вмешательства в личную жизнь, право на защиту закона от такого посягательства.
Европа Общий регламент по защите персональных данных (GDPR) [11]. Обеспечивает защиту личных сведений, требует от организаций получения ясного согласия на обработку информации, ограничивает передачу данных за пределы ЕС.
США Калифорнийский закон о защите прав потребителей (CCPA) [12]. Предоставляет пользователям право знать, какие их личные данные используются, право на удаление собранной информации; закон требует от бизнеса разглашения случаев коммерческого использования информации.
Россия Федеральный закон №152-ФЗ «О персональных данных» [13]. Требует получения от пользователей согласия на обработку персональных данных, предполагает ответственность за несоблюдение конфиденциальности, обязывает хранить данные на территории России.
С точки зрения автора, эффективное законодательное регулирование должно сочетать четкие требования к защите данных с гибкостью, позволяющей адаптироваться к быстро меняющимся технологиям МО в МП. Это подтверждает опыт разных стран, где правительства стремятся обеспечить как высокий уровень ИБ, так и инновационное развитие IT-сектора [14, 15]. На этапе рассмотрения законодательных инициатив необходимо гарантировать участие как экспертного сообщества, так и общественности. Такой подход позволяет учитывать интересы всех сторон и способствует созданию сбалансированных и эффективных решений в области ИБ.
ВЫВОДЫ
Безопасность и конфиденциальность данных в МП, разработанных при помощи технологий МО, требуют комплексного подхода, включающего ISSN 3034-2627 11 https://coldscience.ru
шифрование, многофакторную аутентификацию, обновления ПО и алгоритмов МО, безопасное программирование, а также строгий контроль доступа и регулярные аудиты. Законодательное регулирование в разных юрисдикциях устанавливает рамки защиты, требуя от организаций соблюдения принципов ИБ. Не менее важное значение имеют этические аспекты, включающие прозрачность использования данных и их охрану от необоснованного вмешательства. Обеспечение ИБ в МП повышает конкурентоспособность продукта в условиях цифровой экономики.
ЛИТЕРАТУРА
1. Годовой отчет рынка мобильных приложений 2023 / маркетинговая компания ASO Mobile. URL: https://asomobile.net/blog/rynok-mobilnyh-prilozhenij-2023/ (дата обращения: 14.01.2024)
2. State of Mobile 2024 report. URL: https://www.data.ai/en/go/state-of-mobile-2024/?consentUpdate=updated (дата обращения: 15.01.2024)
3. Number of detected malicious installation packages on mobile devices worldwide from 4th quarter 2015 to 3rd quarter 2023 // Statista. URL: https://www.statista.com/statistics/653680/volume-of-detected-mobile-malware-packages/ (дата обращения: 15.01.2024)
4. Grepan V. Theoretical and practical foundations of smart contract validation // Innovacionnaya nauka. 2024. №3-2/2024. P. 24-28
5. Петрова Н.С. Применение психографической сегментации для эффективной работы с клиентской базой: Методическое пособие / Н. С. Петрова. - Казань : Общество с ограниченной ответственностью "Бук", 2023. 50 с. ISBN 978-5-907753-54-9.
6. Можаровский Е.А. Применение искусственного интеллекта в мобильных приложениях // Наукосфера. №3(1). 2024
7. Multi-factor authentication (MFA) market size worldwide from 2016 to 2021 with a forecast from 2022 to 2027 // Statista. URL: https://www.statista.com/statistics/1342107/global-multi-factor-authentication-market-size/ (дата обращения: 16.01.2024)
8. Яковишин А.Д. Применение криптографических технологий для защиты информации в облачных сервисах // International Journal of Humanities and Natural Sciences. Vol. 1-2(88). 2024.
9. Всеобщая декларация прав человека. URL: https://www.un.org/ru/documents/decl_conv/declarations/declhr.shtml (дата обращения: 10.01.2024)
10. Международный пакт о гражданских и политических правах. URL: https://www.un.org/ru/documents/decl_conv/declarations/declhr.shtml (дата обращения: 10.01.2024)
11. Общий регламент по защите персональных данных. URL: https://ogdpr.eu/ru (дата обращения: 08.01.2024)
12. Калифорнийский закон о защите прав потребителей. URL: https://www.cookielaw.org/regulations/ccpa/ (дата обращения: 10.01.2024)
13. Федеральный закон №152-ФЗ «О персональных данных». URL: https://www.consultant.ru/document/cons_doc_LAW_61801/ (дата обращения: 08.01.2024)
14. Герасимов А.С. Основные проблемы информационной сетевой безопасности и варианты борьбы с ними // Актуальные исследования. 2022. №40(119).
15. Давлетов А.Р. Главные трудности при интеграции машинного обучения в коммерческую эксплуатацию // Инновации и инвестиции. 2023. №10.
