Службата на комисаря по информацията в Обединеното кралство и единадесет други органа за защита на данните и поверителността от цял свят в съвместно изявление призовават за защита на личните данни на хората от незаконно извличане на данни/data scraping, което се извършва в сайтовете на социалните медии.
Data scraping е автоматизиран начин за извличане на големи количества информация от мрежата.
Капацитетът на технологиите да събират и обработват огромни количества лична информация на лица от интернет поражда значителни опасения дори когато информацията е публично достъпна.
Така информацията, която хората публикуват онлайн, се използва по причини, които хората не са предвидили или разрешили, за кибератаки или за измами, за монетизация чрез препродажба на данни на трети страни, включително на злонамерени лица, за събиране на разузнавателна информация. Компаниите за социални медии и другите доставчици, които хостват обществено достъпна лична информация, имат задължения за защита на данните по отношение на извличане от трети страни.
Съвместното изявление призовава компаниите за социални медии да защитават данните на хората от незаконно извличане на данни. Препоръчват се и стъпки, които хората могат да предприемат, за да сведат до минимум рисковете при споделяне на информация онлайн.
“Организациите трябва да имат законова причина да събират и използват данните на хората, дори когато те са публично достъпни.”
„Компаниите за социални медии имат задължения съгласно законите за защита на данните да защитават информацията, която хората публикуват на техните платформи.”
Съвместното изявление е подписано от дванадесет органа, обединени от Global Privacy Assembly.
Today, the Digital Services Act — #DSA — becomes legally enforceable for Very Large Online Platforms & Search Engines.
These systemic platforms play a very important role in our daily lives — so it was time for the EU to set our own rules.
A safer Internet for everyone
pic.twitter.com/fGPCERx5mW
— Thierry Breton (@ThierryBreton) August 25, 2023
Законодателният акт за цифровите услуги — #DSA — влезе в сила на 16 ноември 2022 г. и ще се прилага директно в целия ЕС от 17 февруари 2024 г. Много големите платформи и търсачки ще трябва да изпълняват задълженията си по акта още преди това – в рамките на четири месеца след определянето им за такива. Европейската комисия изготви първи списък на много големите платформи на 25 април 2023 г.
Законодателният акт за цифровите пазари— #DМA — влезе в сила на 1 ноември 2022 г., а правилата започнаха да се прилагат от 2 май 2023 г. От 25 август 2023 г. много големите цифрови компании, определени от Комисията, трябва да се съобразяват с новите изисквания.
Чл. 24, ал. 2 DSA изисква най-малко веднъж на всеки шест месеца доставчиците да публикуват в публично достъпен раздел от своя онлайн интерфейс във връзка с всяка онлайн платформа или онлайн търсачка информация за средномесечните активни получатели на услугата в Съюза, изчислена като средна стойност за периода от последните шест месеца, и в съответствие с методиката, определена в делегираните актове, посочени в член 33, параграф 3, когато тези делегирани актове са приети.
На 16 август 2023 е публикувана такава информация за услугите Google Maps, Google Play, Google Search, Shopping и YouTube, всяка от които е VLOP или VLOSE по смисъла на 42(3) DSA. Отчетният период е февруари – юли 2023.
Ето каквo публикува Twitter/X за същия период, потребители на мрежата обсъждат, че докладът нe изпълнява изискванията на DSA.
Тук са докладите на Facebook.
.
New York Times забранява съдържанието на публикациите в изданието да се използват за обучение на модели с изкуствен интелект. Медията актуализира своите Условия за ползване на 3 август 2023, за да забрани съдържанието — включително текст, снимки, изображения, аудио/видеоклипове, метаданни или компилации – да се използва в разработката на „всяка софтуерна програма, включително, но не само, обучение на система за машинно обучение или изкуствен интелект (AI).“
Актуализираните условия уточняват, че автоматизирани инструменти като роботи на уебсайтове, предназначени да използват, имат достъп или събират такова съдържание, не могат да се използват без писмено разрешение, а несъобразяването с тези нови ограничения може да доведе до санкции, информира The Verge.
Изданието предполага, че мерките може да са в отговор на актуализацията на политиката на Google, според която търсачката може да събира публични данни от мрежата, за да обучава различните си AI услуги, като Bard или Cloud AI. Много големи езикови модели, захранващи популярни AI услуги като ChatGPT също са обучени върху данни от защитени материали, извлечени от мрежата без разрешението на автора.
Организации като The Associated Press призовават за правила, които ще изискват прозрачност и съгласие на носителите на права за използване на данните за обучение.
Според друга публикация в NPR от миналата седмица New York Times обмисля да заведе съдебно дело срещу създателя на ChatGPT. Отначало са водени преговори за сключване на споразумение, по силата на което OpenAI да плаща възнаграждение, но на този етап нещата вървят към съд.
“ChatGPT в известен смисъл се превръща в пряк конкурент на медията, като създава текст, който отговаря на въпроси въз основа на оригиналните доклади на автори от медията. Допълнителен аргумент е практиката на технологичните компании, които вече използват генеративни AI инструменти в търсачките – напр. Microsoft инвестира милиарди в OpenAI, а сега захранва своята търсачка Bing с ChatGPT. Ако, когато някой търси онлайн, получи отговор с дължина от абзац от инструмент с изкуствен интелект, който използва репортажи от Times, необходимостта от посещение на уебсайта на издателя значително намалява, казва един от участниците в разговорите.”
Ако в съдебния спор съдът се произнесе, че OpenAI незаконно е използвал статиите на Times, за да обучи своя AI модел, съдът би могъл да нареди на компанията да разпореди компанията да работи само с данни, която може законно да използва, пише NPR.
Measuring return-on-investement for security (information security/cybersecurity) has always been hard. This is a problem for both cybersecurity vendors and service providers as well as for CISOs, as they find it hard to convince the budget stakeholders why they need another pile of money for tool X.
Return on Security Investment (ROSI) has been discussed, including academically, for a while. But we haven’t yet found a sound methodology for it. I’m not proposing one either, but I wanted to mark some points for such a methodology that I think are important. Otherwise, decisions are often taken by “auditor said we need X” or “regulation says we need Y”. Which are decent reasons to buy something, but it makes security look like a black hole cost center. It’s certainly no profit center, but the more tangibility we add, the more likely investments are going to work.
I think the leading metric is “likelihood of critical incident”. Businesses are (rightly) concerned with this. They don’t care about the number of reconnaissance attempts, false positives ratios, MTTRs and other technical things. This likelihood, if properly calculated, can lead to a sum of money lost due to the incident (due to lack of availability, data loss, reputational cost, administrative fines, etc.). The problem is we can’t get company X and say “you are 20% likely to get hit because that’s the number for SMEs”. It’s likely that a number from a vendor presentation won’t ring true. So I think the following should be factored in the methodology:
How to get that data – I’m sure someone collects it. If nobody does, governments should. Such metrics are important for security decisions and therefore for the overall security of the ecosystem.
The post Methodology for Return on Security Investment appeared first on Bozho's tech blog.