Carnegie Mellon и Microsoft автоматизируют аудит приватности крупных веб-сервисов

Каждая из компаний-провайдеров веб-сервисов (Facebook, Google, Microsoft и т.д.), информируют о том, как они собираются использовать собираемую персональную информацию. Но контроль за тем, соответствуют ли миллионы строк кода их систем этим обещаниям, весьма трудоемок и не выявляет всех нарушений политик.

Команда из Университета Карнеги-Меллона и Microsoft Research показала как можно автоматизировать выполнение этой задачи. Исследователи разработали прототип автоматизированной системы, в настоящее время подключенный к каналу аналитики данных поискового механизма Microsoft Bing.

По их словам, это первый опыт применения автоматической проверки соблюдения политики приватности к коммерческой системе, действующей в масштабах всего Интернета.

Результаты эксперимента, с которыми ознакомили участников 35-го Симпозиума IEEE по безопасности и приватности, свидетельствуют, что коллектив, состоящий всего из пяти человек, успешно справляется с ежедневной проверкой миллионов строк кода, написанных несколькими тысячами разработчиков.

Реализовать вышеописанную систему было бы невозможно без двух основных компонентов.

Одним из них является созданный годом раньше реестр данных Grok. Он работает с большими базами данных и выполняет автоматическую аннотацию информации из разных источников, имеющих разные степени достоверности. Другим стал легкий в изучении и использовании для непрограммистов язык Legalease, значительно упростивший формулирование политик приватности для Grok.

Автоматизация процесса проверки соответствия, как считают участники исследования, станет стимулом для внедрения индустрией более строгих политик защиты приватности.