Менталзон

Психолог онлайн и конфиденциальность

Блог | Психотерапия

Когда весной 2020 года весь мир внезапно переехал в онлайн, миллионы людей открыли для себя платформу Zoom. Психологи, психотерапевты, консультанты и коучи — практически все специалисты помогающих профессий начали проводить сеансы через эту программу. И у многих из нас, как у профессионалов, была одна успокаивающая мысль: «Ну хоть шифрование там надежное и данные клиентов в безопасности». Как оказалось позже, это была лишь опасная иллюзия.

Что случилось и почему это критически важно для психологов

9 ноября 2020 года Федеральная торговая комиссия США (FTC) выдвинула официальные обвинения против компании Zoom. Суть претензий была предельно простой и в то же время крайне неприятной: как минимум с 2016 года компания утверждала, что предоставляет своим пользователям сквозное шифрование (end-to-end encryption) с 256-битными ключами. На практике же это заявление оказалось неправдой.

Что же происходило в реальности? Zoom самостоятельно генерировал и хранил криптографические ключи от всех видеоконференций на своих серверах. Это означает, что чисто технически и теоретически компания в любой момент могла получить полный доступ к аудио- и видеосодержимому ваших конфиденциальных разговоров. Более того, часть серверов, через которые проходили ключи, на тот момент располагалась в Китае.

Для специалистов, которые работают с людьми в формате приватной психологической консультации или психотерапии, это не просто мелкий технический нюанс. Это прямое и грубое нарушение принципа конфиденциальности — одного из фундаментальных краеугольных камней любой психологической практики и базового условия для формирования безопасного терапевтического альянса.

«Мы просто немного иначе понимали этот термин»

В апреле 2020 года, еще до начала официального расследования FTC, компания Zoom опубликовала в своем корпоративном блоге публичное извинение. Суть их оправданий сводилась к следующему: компания глубоко сожалеет о возникшей «путанице», признает, что использовала технический термин «сквозное шифрование» в совершенно ином, собственном смысле, и горячо уверяет, что никого не хотела сознательно вводить в заблуждение.

Честно говоря, как для специалиста, которому доверяют человеческие судьбы, это объяснение звучит крайне неубедительно. Zoom годами активно продвигал именно этот аргумент в своих рекламных материалах, в официальных инструкциях по безопасности и в стандартных ответах службы поддержки: «У нас самое надежное 256-битное шифрование». Это не была случайная оговорка маркетолога, это была целенаправленная и осознанная маркетинговая стратегия, нацеленная на привлечение корпоративных клиентов и специалистов.

А что насчет специального платного тарифа «для здравоохранения»?

В США существует строгий федеральный закон HIPAA, жестко регулирующий защиту медицинских данных пациентов. Платформа Zoom предлагала специалистам специальный платный план стоимостью около 200 долларов в месяц, который позиционировался как полностью соответствующий всем строгим требованиям HIPAA. Многие американские, да и зарубежные психологи платили эти немалые деньги исключительно ради уверенности в абсолютной безопасности и неприкосновенности клиентских данных.

Но, как выяснилось в ходе расследования FTC, даже этот специализированный медицинский тариф не обеспечивал настоящего сквозного шифрования — криптографические ключи все равно оставались на серверах Zoom.

В Украине прямого, столь же детализированного аналога американскому HIPAA пока нет, однако существует Закон Украины «Про захист персональних даних» (2010 года). Этот закон строго обязывает всех специалистов, работающих с чувствительной личной информацией (к которой, безусловно, относятся детали психологических консультаций), обеспечивать ее надлежащую и надежную защиту. Запись сессии или даже просто передача данных клиента через платформу, к которой имеет скрытый доступ третья сторона, — это уже огромная зона профессионального и юридического риска.

Представьте себе такую рабочую ситуацию

Скажем, Наташа — практикующий психолог в Киеве, которая ведет онлайн-консультации с клиентами, в том числе с уязвимыми людьми, пережившими тяжелую психологическую травму. Она использует Zoom, потому что это всем удобно, привычно и платформа обещает, что «все надежно зашифровано». Она абсолютно уверена, что никто посторонний не имеет ни малейшего доступа к этим глубоко личным разговорам. Но если сервис, которому она безоговорочно доверяет, технически имеет возможность открыть и просмотреть эти записи — ее уверенность и профессиональная безопасность ничем не подкреплены.

Это совершенно не история о плохом, некомпетентном специалисте. Это грустная история о том, как крупные технологические корпорации злоупотребляют нашим доверием и играют на нашей технической неосведомленности.

Чем закончилась эта история (по крайней мере, пока)

В итоге FTC пришла к мировому соглашению с руководством Zoom. Компанию официально обязали внедрить новую комплексную программу информационной безопасности и — что самое главное — жестко прекратить делать любые ложные или вводящие в заблуждение заявления о конфиденциальности. То есть теперь им на юридическом уровне официально запрещено врать своим пользователям.

Однако для нас, как для специалистов, остается открытым один очень тревожный вопрос: если одна из крупнейших коммуникационных платформ мира могла безнаказанно делать это на протяжении четырех лет — что прямо сейчас происходит с другими популярными сервисами, которые точно так же громко обещают нам «полную и бескомпромиссную защиту данных»?

Что это значит на практике для каждого психолога

Если вы — психолог, психотерапевт или консультант, и регулярно проводите свои сессии в онлайн-формате, вам обязательно стоит задать себе несколько честных и важных вопросов:

  • Внимательно ли вы читали политику конфиденциальности (Privacy Policy) той платформы, которую сейчас используете для работы?
  • Хранит ли данный сервис ключи шифрования у себя на серверах, или они находятся исключительно на ваших устройствах?
  • Есть ли у платформы официальное соглашение об обработке данных (Data Processing Agreement), соответствующее местному законодательству?
  • Где физически и в какой юрисдикции находятся серверы, через которые идет ваш видеопоток?

Поверьте, это не паранойя. Это наша базовая профессиональная ответственность перед людьми, которые приходят к нам за помощью, открывают свои души и полностью нам доверяют.

История с платформой Zoom — это не просто очередной далекий корпоративный скандал в мире IT. Это важное напоминание всем нам о том, что настоящее доверие и безопасность строятся на прозрачности и проверяемых технических решениях, а не на красивых, но пустых словах в рекламных буклетах.

Литература

  • Federal Trade Commission (FTC). In the Matter of Zoom Video Communications, Inc. Complaint, November 2020. [Официальная жалоба Федеральной торговой комиссии США против компании Zoom с детальным и юридически точным изложением обвинений в недостоверной рекламе безопасности и сквозного шифрования].
  • Закон України «Про захист персональних даних» № 2297-VI від 01.06.2010 (зі змінами та доповненнями). [Основной украинский законодательный акт, строго регулирующий все процессы сбора, хранения, обработки и передачи персональных данных граждан, включая медицинскую и другую чувствительную личную информацию].
  • Citizen Lab, University of Toronto. Move Fast and Roll Your Own Crypto: A Quick Look at the Confidentiality of Zoom Meetings, April 2020. [Независимое исследование киберспециалистов, впервые детально раскрывшее проблемы с маршрутизацией ключей шифрования Zoom через серверы в Китае, что и привело к последующему расследованию].
Автор: Марина Липчанская
Посмотреть больше специалистов