数据泄露的又一途径:在线翻译

作者:星期一, 十一月 20, 20170
分享:

9月前,翻译还没有什么存在感——至少从信息安全的角度看来如此。将一种语言的内容转化成另一种并不在CSO列出的高危数据之列。但之后,挪威新闻机构NRK报道了世界上最大的油气公司之一——挪威国家石油公司(Statoil)的数据泄露事件。

据NRK的报道,Statoil公司460亿美元的业务往来使用了translate.com,一个免费在线工具,用来翻译“解雇通知、裁员与外包计划、密码、代码信息和合同等”。当大学教授Lise Lyngsnes Randeberg用谷歌搜索Statoil的时候,却检索到了部分该公司使用translate.com翻译的信息内容。

“哇,这是什么?”他告诉NRK,“这都是来自政府机构、组织以及私营企业的信息。”也就是说,这些信息对Randeberg或任何Google用户来说都理应是保密的。

整个翻译行业可以预见信息泄露的到来。“我们10年前就对公司发出了这种警告”,Don DePalma,著名语言行业咨询公司Common Sense的剑桥首席策略师说道,“这是个逐渐兴起的问题,基于在线翻译的工作方式来看:信息公开与否的标志是什么?”

在线翻译服务的实现方式

这一切如何发生?下面是translate.com不得不说的事情:

translate.com的免费、以志愿者为基础的机器翻译方式是不会泄露信息的。有两个版本的translate.com解决方案。出问题的这个免费版本,使用大量在线翻译服务,同时结合了志愿翻译者审核改正的翻译内容。初始的志愿部分内容已经关闭,所有和志愿者相关的翻译均已移除。在线机器翻译目前仍未免费并且不会保存内容。

一般来说,免费在线翻译是这样实现的:你输入的每个词在翻译引擎中储存,机器学习利用这些词以及其翻译优化后续结果。这意味着任何在你之后使用的人都可以获取这些信息。信息是否上传到谷歌,取决于工具服务器的存储方式和地点。

形成一个安全的翻译机制

为了避免个人翻译信息的泄露,第一步是决策员工能否使用免费工具。在BASF(注:巴斯夫股份公司)来说,答案是永远不能使用。独立技术咨询顾问Kirti Vashee指出,在意识到员工会将新产品邮件、商业计划、PPT演示文稿在线翻译之后,公司封禁了所有的免费翻译工具。

对于没那么严峻的情况,你可以根据主题限制免费工具的使用。例如产品运输信息可以使用软件翻译而收货合同不可以。Vashee说尽管这样也会造成麻烦:员工会使用免费翻译来查询内容本身,“使用谷歌和必应翻译因为他们自带中文备忘,只是想要了解这人到底在说什么?”。不懂这个语言的员工难以在不翻译的情况下了解这个话题是否敏感。

更为安全的选择是形成自己的机器学习引擎并且开展自有翻译。大众汽车是这样做的,Vashee解释,“他们为规避暴露信息给外部而不用外部的引擎。”2016年大众的利润为2516亿美元这比很多主权国家的GDP还多,例如智利、芬兰。在这个企业规模,内部化翻译工具是很简单的,对其他类型的企业来说,还是很不现实的。

作为一种选择的专业翻译服务同样存在风险

所以在将数据输入到随机工具的选择之外,可以选那些专业的翻译公司吗?选择翻译公司主要基于其服务质量,周转效率和费用。为了保证信息安全,询问潜在供应商他们收发翻译文档的方式。如果回答是电邮,那就要小心了。“电子邮件比其他线上传输危险10倍,因为个人邮箱很容易被黑。”Vashee说。

邮件也很容易被转发——而且大多翻译公司都这么做。举个例子,一个译者拿到人类学内容的翻译工作,语言是英翻波兰语。其中需求要素改变,译者也会改变,那么结果就是,即便是最大的翻译公司也不一定保证内部资源能满足所有需求。Depalma说,“行业内外包很普遍”,翻译公司会将工作外包给其他供应商。

“比如有人希望将阿尔巴尼亚语翻译为波兰语,”他解释,“这是很小众的需求,所以不会做到全年无休地防护。”当你的文档通过邮件传到指定翻译公司,他们转发给其他人,可能是个你从未听说过的波兰小公司,但是你的信息数据并不会在那存储。这个公司再将你的文档转发给其他地方的独立译者。

“这是一个环环相套的锁链,”Depalma说。平均26%的翻译公司的收入来自其他的翻译公司,这些占据了全世界1/4的翻译工作量。

“只要你的文档流出公司,就进入了未知的世界。”最终,如果找不到著作权,你的这些工作就会上传到translation.com,但这次不同,你是付钱给翻译公司把内容上传了。根据Common Sense的统计,64%的专业翻译表示同僚经常使用网上的免费翻译服务。

一旦你的信息进入未知世界,你就只能依靠防护、安全机制,也就是寄希望于所有接触过你的文档信息的人保密。

对一个机构来说这是太庞大的一份信任。就如同俄罗斯谚语所说,相信但是要验证。在你的文档在翻译过程中追踪你的数据,Vashee推荐使用翻译管理软件(TMS),一个专门针对翻译行业的工具,追踪文件从传输开始到传送回来。

有了TMS,任何对数据的访问都要经过你直接同意;在你不知晓的情况下文件也不会被转发。

你需要提供访问权限。比如提供100个账号供人访问文档,那么任何授权人的操作都在你掌控之下。安装好的TMS系统给你提供一种高级别的防护。

这种保护也不是完美的。TMS系统销售给翻译公司及客户;高级系统内容直接从GitHub、AdobeCQ以及其他平台生成,这之间连接的防护、以及TMS存储文档的方式都有风险。

更重要的是,你使用的TMS工具会允许译者拿走数据么?Depalma提到译者倾向于将TMS中的文档复制到他们更喜欢用的工具中,他们登录、导出,马上你的文档又置于未知荒野了。你需要关闭TMS的这个允许译者导出数据的功能。

无论你用技术手段防护的多么严密,翻译过程中的最高风险永远在于译者。即便他们没有真的导出你的数据,他们还能截屏然后识别文字处理,然后导出到其他工具中。在他看来,这种方式的泄露仅存在理论上的可能。但是在今年9月前,挪威国家石油公司Statoil也是这么认为的。

相关阅读

2017年的数据泄露已令2016年黯然失色
我们可以从历史上最重大的数据泄露事件中学到什么?

 

分享:

相关文章

写一条评论

 

 

0条评论