Телеметрия — это автоматическая запись и передача данных из удаленных или труднодоступных источников в ИТ-систему в другом месте для мониторинга и анализа. Данные телеметрии могут передаваться с использованием радио, инфракрасного, ультразвукового, GSM, спутникового или кабельного телевидения, в зависимости от приложения (телеметрия используется не только при разработке программного обеспечения, но также в метеорологии, разведке, медицине и других областях).
В мире разработки программного обеспечения телеметрия может дать представление о том, какие функции конечные пользователи используют чаще всего, обнаруживать ошибки и проблемы, а также предлагать лучший обзор производительности без необходимости запрашивать обратную связь непосредственно от пользователей.
Телеметрия или кибершпионаж?
Вообразите себя на одну минуту разработчиком, создавшим устройство или программу. Разумеется, вы захотите узнать, какие ее функции применяют пользователи и как часто, с какими проблемами и ошибками сталкиваются. Подобная информация позволит вам улучшить свое решение и тем самым увеличить продажи.
Для этого есть несколько путей. Первый путь − проведение опросов, когда вы задаете пользователю вопросы, и он дает свои ответы. В этом случае пользователь предоставляет данные, только если он этого хочет, и только ту информацию, которой готов поделиться.
Но у этого пути есть очевидные минусы: во-первых, пользователи неохотно делятся информацией, во-вторых, пользователи зачастую не способны грамотно оценить даже информацию об используемом ими функционале, в-третьих, многие ошибки вообще не видны и не понятны пользователям, их можно обнаружить только при помощи функционала программного обеспечения.
Плюсы: никакого несанкционированного сбора данных о пользователе и возможность выяснить удовлетворенность пользователя, которую телеметрия может выяснить лишь по косвенным данным.
Второй путь − автоматизированный сбор телеметрических данных. Он имеет неоспоримые преимущества перед анкетированием: о пользователе поступает вся необходимая информация, включая версию его системы, параметры и версию программы, месторасположение, использование ресурсов, например загрузку процессора, и многое другое. Можно получить точный список всех используемых опций, время использования, технические данные обо всех ошибках и падениях приложения. Дальше эта информация передается на сервер и там автоматически обрабатывается. Здесь возникает ключевой вопрос: где тонкая грань между сбором телеметрии и кибершпионажем, привязывать ли информацию к конкретному пользователю или просто обезличивать данные?
Например, если приложение собирает информацию обо всех запущенных вами сеансах и отправляет ее без привязки к вам − это телеметрия. Если данные привязаны к вам − это кибершпионаж. Приложение может знать ваш email, но он абсолютно не нужен для сбора данных с целью улучшения приложения, зато он необходим для адресного сбора информации о вас.
Телеметрия должна собираться без какой-либо идентификации пользователей, будь то email или IP-адрес. Можно использовать идентификатор, абсолютно не связанный с пользователем, который не должен быть статичным и будет обновляться через энное количество времени или с началом новой сессии.
При поступлении и обработке данные должны обезличиваться, но мы не можем все это проверить. В любом случае данные приходят не анонимно, к ним привязан IP-адрес устройства, с которого они отправляются. Дальше этот IP может удаляться, либо сохраняться, хотя никакой ценности для улучшения приложения он не несет. Так или иначе, нельзя проверить, удаляется ли IP или нет.
Многие специалисты при разграничении кибершпионажа, и сбора телеметрии предлагают ориентироваться на цель сбора данных. Если цель − улучшить работу приложения, понимание, как пользователи используют его, то это телеметрия, если цель − сами пользователи, их данные и активность, то это кибершпионаж. Это достаточно спорное утверждение, хотя кое в чем не могу не согласиться.
Например, если браузер будет собирать информацию обо всех посещенных сайтах и отправлять разработчику, это сложно назвать телеметрией, так как подобная информация никак не может повлиять на улучшение работы приложения. И самое неприятное: если программное обеспечение с закрытым исходным кодом, то мы не знаем, какие точно данные отправляет программа, так как зачастую они отправляются в зашифрованном виде. Конечно, проследив запросы, можно установить, куда и как часто они уходят, но этой информации недостаточно.
Мы не можем проверить, что точно отправляет программа и как хранит. Как правило, это описывается в политике конфиденциальности, но, там может быть указана неверная информация.
Как же защищаться от сбора телеметрических данных
Есть несколько путей защиты: радикальный, условно радикальный и путь доверия. Радикальный путь предполагает отказ от программного обеспечения, собирающего о вас информацию. Не всегда он применим и подходит пользователю.
Условно радикальный путь предполагает блокировку отправки данных приложением на сервера. В данном случае определяются и блокируются IP-адреса, на которые приложение шлет запросы, либо приложению целиком блокируется возможность отправлять какие-либо уведомления.
Путь доверия предполагает отключение сбора и отправки данных в настройках программы. Но не стоит его переоценивать. Например, в 2017 году стало известно, что Google собирает данные о местоположении смартфонов Android даже при активированных настройках приватности. Координаты определялись на основе координат ближайших сотовых вышек и отправлялись на сервера Google.
#телеметрия #кибершпионаж #киберпреступления #ИТ #IT #IPадрес #анкетирование #информатизация #google #android