數(shù)據(jù)泄露的又一途徑:在線翻譯

責任編輯:editor005

作者:tutu

2017-11-20 14:55:01

摘自:安全牛

一般來說,免費在線翻譯是這樣實現(xiàn)的:你輸入的每個詞在翻譯引擎中儲存,機器學習利用這些詞以及其翻譯優(yōu)化后續(xù)結果。一旦你的信息進入未知世界,你就只能依靠防護、安全機制,也就是寄希望于所有接觸過你的文檔信息的人保密。

9月前,翻譯還沒有什么存在感——至少從信息安全的角度看來如此。將一種語言的內(nèi)容轉化成另一種并不在CSO列出的高危數(shù)據(jù)之列。但之后,挪威新聞機構NRK報道了世界上最大的油氣公司之一——挪威國家石油公司(Statoil)的數(shù)據(jù)泄露事件。

據(jù)NRK的報道,Statoil公司460億美元的業(yè)務往來使用了translate.com,一個免費在線工具,用來翻譯“解雇通知、裁員與外包計劃、密碼、代碼信息和合同等”。當大學教授Lise Lyngsnes Randeberg用谷歌搜索Statoil的時候,卻檢索到了部分該公司使用translate.com翻譯的信息內(nèi)容。

“哇,這是什么?”他告訴NRK,“這都是來自政府機構、組織以及私營企業(yè)的信息。”也就是說,這些信息對Randeberg或任何Google用戶來說都理應是保密的。

整個翻譯行業(yè)可以預見信息泄露的到來。“我們10年前就對公司發(fā)出了這種警告”,Don DePalma,著名語言行業(yè)咨詢公司Common Sense的劍橋首席策略師說道,“這是個逐漸興起的問題,基于在線翻譯的工作方式來看:信息公開與否的標志是什么?”

在線翻譯服務的實現(xiàn)方式

這一切如何發(fā)生?下面是translate.com不得不說的事情:

translate.com的免費、以志愿者為基礎的機器翻譯方式是不會泄露信息的。有兩個版本的translate.com解決方案。出問題的這個免費版本,使用大量在線翻譯服務,同時結合了志愿翻譯者審核改正的翻譯內(nèi)容。初始的志愿部分內(nèi)容已經(jīng)關閉,所有和志愿者相關的翻譯均已移除。在線機器翻譯目前仍未免費并且不會保存內(nèi)容。

一般來說,免費在線翻譯是這樣實現(xiàn)的:你輸入的每個詞在翻譯引擎中儲存,機器學習利用這些詞以及其翻譯優(yōu)化后續(xù)結果。這意味著任何在你之后使用的人都可以獲取這些信息。信息是否上傳到谷歌,取決于工具服務器的存儲方式和地點。

形成一個安全的翻譯機制

為了避免個人翻譯信息的泄露,第一步是決策員工能否使用免費工具。在BASF(注:巴斯夫股份公司)來說,答案是永遠不能使用。獨立技術咨詢顧問Kirti Vashee指出,在意識到員工會將新產(chǎn)品郵件、商業(yè)計劃、PPT演示文稿在線翻譯之后,公司封禁了所有的免費翻譯工具。

對于沒那么嚴峻的情況,你可以根據(jù)主題限制免費工具的使用。例如產(chǎn)品運輸信息可以使用軟件翻譯而收貨合同不可以。Vashee說盡管這樣也會造成麻煩:員工會使用免費翻譯來查詢內(nèi)容本身,“使用谷歌和必應翻譯因為他們自帶中文備忘,只是想要了解這人到底在說什么?”。不懂這個語言的員工難以在不翻譯的情況下了解這個話題是否敏感。

更為安全的選擇是形成自己的機器學習引擎并且開展自有翻譯。大眾汽車是這樣做的,Vashee解釋,“他們?yōu)橐?guī)避暴露信息給外部而不用外部的引擎。”2016年大眾的利潤為2516億美元這比很多主權國家的GDP還多,例如智利、芬蘭。在這個企業(yè)規(guī)模,內(nèi)部化翻譯工具是很簡單的,對其他類型的企業(yè)來說,還是很不現(xiàn)實的。

作為一種選擇的專業(yè)翻譯服務同樣存在風險

所以在將數(shù)據(jù)輸入到隨機工具的選擇之外,可以選那些專業(yè)的翻譯公司嗎?選擇翻譯公司主要基于其服務質(zhì)量,周轉效率和費用。為了保證信息安全,詢問潛在供應商他們收發(fā)翻譯文檔的方式。如果回答是電郵,那就要小心了。“電子郵件比其他線上傳輸危險10倍,因為個人郵箱很容易被黑。”Vashee說。

郵件也很容易被轉發(fā)——而且大多翻譯公司都這么做。舉個例子,一個譯者拿到人類學內(nèi)容的翻譯工作,語言是英翻波蘭語。其中需求要素改變,譯者也會改變,那么結果就是,即便是最大的翻譯公司也不一定保證內(nèi)部資源能滿足所有需求。Depalma說,“行業(yè)內(nèi)外包很普遍”,翻譯公司會將工作外包給其他供應商。

“比如有人希望將阿爾巴尼亞語翻譯為波蘭語,”他解釋,“這是很小眾的需求,所以不會做到全年無休地防護。”當你的文檔通過郵件傳到指定翻譯公司,他們轉發(fā)給其他人,可能是個你從未聽說過的波蘭小公司,但是你的信息數(shù)據(jù)并不會在那存儲。這個公司再將你的文檔轉發(fā)給其他地方的獨立譯者。

“這是一個環(huán)環(huán)相套的鎖鏈,”Depalma說。平均26%的翻譯公司的收入來自其他的翻譯公司,這些占據(jù)了全世界1/4的翻譯工作量。

“只要你的文檔流出公司,就進入了未知的世界。”最終,如果找不到著作權,你的這些工作就會上傳到translation.com,但這次不同,你是付錢給翻譯公司把內(nèi)容上傳了。根據(jù)Common Sense的統(tǒng)計,64%的專業(yè)翻譯表示同僚經(jīng)常使用網(wǎng)上的免費翻譯服務。

一旦你的信息進入未知世界,你就只能依靠防護、安全機制,也就是寄希望于所有接觸過你的文檔信息的人保密。

對一個機構來說這是太龐大的一份信任。就如同俄羅斯諺語所說,相信但是要驗證。在你的文檔在翻譯過程中追蹤你的數(shù)據(jù),Vashee推薦使用翻譯管理軟件(TMS),一個專門針對翻譯行業(yè)的工具,追蹤文件從傳輸開始到傳送回來。

有了TMS,任何對數(shù)據(jù)的訪問都要經(jīng)過你直接同意;在你不知曉的情況下文件也不會被轉發(fā)。

你需要提供訪問權限。比如提供100個賬號供人訪問文檔,那么任何授權人的操作都在你掌控之下。安裝好的TMS系統(tǒng)給你提供一種高級別的防護。

這種保護也不是完美的。TMS系統(tǒng)銷售給翻譯公司及客戶;高級系統(tǒng)內(nèi)容直接從GitHub、AdobeCQ以及其他平臺生成,這之間連接的防護、以及TMS存儲文檔的方式都有風險。

更重要的是,你使用的TMS工具會允許譯者拿走數(shù)據(jù)么?Depalma提到譯者傾向于將TMS中的文檔復制到他們更喜歡用的工具中,他們登錄、導出,馬上你的文檔又置于未知荒野了。你需要關閉TMS的這個允許譯者導出數(shù)據(jù)的功能。

無論你用技術手段防護的多么嚴密,翻譯過程中的最高風險永遠在于譯者。即便他們沒有真的導出你的數(shù)據(jù),他們還能截屏然后識別文字處理,然后導出到其他工具中。在他看來,這種方式的泄露僅存在理論上的可能。但是在今年9月前,挪威國家石油公司Statoil也是這么認為的。

鏈接已復制,快去分享吧

企業(yè)網(wǎng)版權所有?2010-2024 京ICP備09108050號-6京公網(wǎng)安備 11010502049343號