Asociácia bývalých spravodajských dôstojníkov spolu s Fakultou práva Paneurópskej vysokej školy v Bratislaveusporiadali 5. decembra 2017 v poradí už jedenáste medzinárodné sympózium na tému „Spravodajské služby a politici, médiá a sociálne siete“. Toto sympózium je jediné odborné verejné diskusné fórum na Slovensku, zamerané na otázky súvisiace s činnosťou spravodajských služieb. Na našej stránke postupne publikujeme referáty z tohto sympózia.
* * *
Kto vlastní moje údaje?
Anthony Monckton
___________________________________________________________________________________________________________________________________
Dnes žijeme v 21. storočí , stále viac polarizovanom svete poháňaného technológiami, kde extrémne myšlienky nie sú ideologickými istotami fašizmu a komunizmu 20. storočia ale skôr „majetných“ versus „nemajetných“. Majetní môžu byť tí s geografickými a klimatickými výhodami, či tí, ktorí majú vodu, no pre účet tejto prednášky hovorím o tých, ktorí majú znalosti, oproti tým, ktorí ich nemajú alebo, inak povedané, zberači údajov, analytici a využívatelia versus jednotlivci, ktorí poskytujú údaje, či už vedome alebo nevedome.
Na vládnej úrovni v Spojenom kráľovstve to viedlo k tzv. „charte špicľov“, ktorá poskytla bezpečnostným službám prístup k celému radu súborov údajov o každom, vrátane metadát o používaní telefónu a hľadaní na internete za minulý rok; na úrovni spoločnosti je to kolízia slobody s bezpečnosťou, alebo transparentnosti so súkromím, na úrovni podnikania je to revolúcia v používaní údajov a zmena charakteru pracoviska. Pre vládu, spoločnosť a podnikanie spolu je to o tom, koľko ľudí je zamestnaných, ako zákazníci idú platiť, keď nemajú prácu. Je to tiež o tom, kto vlastní naše údaje a čo môžu s nimi robiť.
Tí „majetní“ – a to zahrnuje všetkých nás tu prítomných, majú prostredníctvom svojho zamestnania a kúpnej sily schopnosť vedieť viac ako „nemajetní“, ku ktorým tiež patríme ako poskytovatelia údajov. Ale ako „majetní“ máme istú zodpovednosť. Zodpovedáme za údaje, ktoré uchovávajú naše organizácie. Ktokoľvek z nás sa môže ocitnúť pred súdom ak neochránime naše údaje. Ktorá spoločnosť bude prvým cieľom hackera, žiadajúceho zaplatiť za zadržiavané údaje alebo bude musieť zaplatiť Európskej únii pokutu 20 miliónov € podľa Európskej smernice o všeobecnej ochrane údajov, ktorá má vstúpiť do platnosti v máji budúceho roku?
V Spojenom kráľovstve za posledných 108 rokov vláda financovala spravodajské služby, ktoré majú právne a technické výhody pri zhromažďovaní a využívaní údajov na ochranu našich občanov. Rýchly vývoj technológií v posledných pár rokoch začal meniť rovnováhu sily špionáže (odložme na bok právne kľučky) zo štátu na veľkých držiteľov údajov. Médiá a fixovanosť verejnosti na orwellovskú nočnú moru Veľkého brata sa sústredili hlavne na právomoci štátu o tom, koľko údajov štát má a ako s nimi narába. Existuje nedôvera k špiónom, podnecovaná bondovským mýtom, odhaleniami zlyhaní spravodajských služieb (a to vo svete, ktorý nikdy verejne neoslavuje svoje úspechy) ako aj strachom z neznámeho. WikiLeaks a Julian Assange spolu s Edwardom Snowdenom sa pokúsili podlomiť schopnosti štátu vo viere, že je dôležitejšie ochraňovať právo na súkromie jednotlivca ako práva štátu vyšetrovať tých, ktorí sa pokúšajú narušiť štruktúru spoločnosti. To, čo Snowden naozaj odhalil, je, že zákon nedokáže držať krok s technológiou. Avšak vlády na Západe majú v spravodajských komunitách systém kontrol a poistiek hĺbkových previerok personálu ako aj zodpovedné procesy auditu. Tieto však jasne zlyhali pri Snowdenovi, v neposlednom rade preto, že systém sa stal sebauspokojivý a príliš si veril. Zákony, ktorými sa riadi špionáž, sú aspoň v Spojenom kráľovstve dobre strážené a rešpektované. Panuje tu takmer univerzálne silný zmysel pre etiku a integritu, čo neplatí úplne o istých častiach sveta obchodu. Boli by ste prekvapení, aké debaty sa konajú v rámci vlády v Británii na zabezpečenia náležitého postupu. Komerčné entity nemajú také prísne previerky personálu, ako aj náročné revízne postupy.
Možno niekto z vás počul o spoločnosti Cambridge Analytica, ktorú niektorí novinári označujú ako manipulátora nerozhodných voličov pri Brexite ako aj pri zvolení Trumpa. Začiatkom tohto roka istá britská novinárka z denníka Guardian skúmala úlohu tejto spoločnosti a jej financovateľa, amerického milionára, a jej nenápadné využívanie psychologickej špionáže. Žurnalistka Carole Cadwalladrová sa spýtala jedného bývalého zamestnanca: „Prečo by niekto chcel stážovať vo firme pre psychologickú vojnu, pýtam sa ho. Pozrie na mňa ako na blázna : „Bolo to ako pracovať pre MI6. Ibaže to je MI6 na prenájom. Bolo to veľmi noblesné, veľmi anglické, viedol to človek so vzdelaním na prestížnej škole (Eton College) a mali ste robiť skutočne superácke veci. Lietať po celom svete, pracovať s prezidentom Kene alebo Ghany, či inde. Nie je to ako volebné kampane na Západe. Musíte robiť všetky možné bláznivé sračky.“
Teraz vlády zrejme kontrolujú zákony, ktoré riadia komerčné podnikanie a organizáciám jednoznačne riadených vládou zákon umožňuje vyšetrovať a zasahovať spôsobom, akým to komerčné entity nemôžu. Avšak obmedzením vlády je objem dát. Jedna veec je mať možnosti, druhá je ich využívať dokonca i s pomocou najlepších algoritmov. Stále je tu potreba zásahu človeka prijať ďalšie opatrenia, či už vyšetrovať alebo zakročiť. I keď v súčasnosti všetci trpíme syndrómom „počítač hovorí nie“ , počítač predsa nehovorí: áno, ste zločinec, terorista alebo podvodník, ale poskytuje dôkazy pre človeka, ktorý rozhodne o tom, či vás budú stíhať. Môj obchodný partner je bývalý generálny prokurátor v Belize a na Bermudách. Obáva sa toho, že v svete umelej inteligencie, kde v súčasnosti niet ľudskej uvážlivosti, môže byť každý z nás obvinený z prekročenia rýchlosti, podvodom s DPH, alebo z neúmyselných, avšak stíhateľných, chýb pri daňových priznaniach.
Medzi údajmi, ktoré majú k dispozícii internetoví giganti, poisťovne, banky a obchodné reťazce, je bohatstvo takých údajov, ktoré, ak sú spracovovávané inteligentne, majú schopnosť ( i keď nie zámernú) nás sledovať alebo manipulovať spôsobom, ktorý je dotieravejší a utajovanejší, ako v prípade štátu. Štát môže využiť zatykače, úradné príkazy a právne postupy pre prístup do niektorých y týchto údajov, je však obmedzený časovými limitmi a dôvodmi na získanie týchto dát. Spoločnosti môžu a aj analyzujú svoje údaje pre účely trendov, marketingu, podvodov a vedia o nás viac, ak sa tak rozhodnú, ako štát. Trendom je získavanie súborov dát a ich kombinovanie, čo poskytuje spoločnostiam ich nezvyčajnú schopnosť monitorovať alebo ovplyvňovať individuálne návyky.
Ešte je tu jeden dôležitý moment a to je rozdiel medzi utajovanými informáciami a otvorenými zdrojmi. V podmienkach vlády utajované informácie sú tie, ktoré boli získané utajovanými prostriedkami, či už technicky alebo z ľudských zdrojov. To značí, že údaje sa získavajú bez vedomia subjektov, ktorí nevedia, že sa o nich informácie získavajú. Všetko je oprávnené zákonom v záujme národnej bezpečnosti, ekonomickej prosperity , prevencie a odhaľovania závažnej organizovanej kriminality. V minulosti to mohlo zahrnovať otváranie listov nad parou, alebo odpočúvaním pevnej linky. Takto získané metadáta boli obmedzené na poštovú známku alebo umiestnenie telefónu. Otvorenými zdrojmi boli vtedy telefónne zoznamy, printové médiá a časopisy v knižniciach. Bez utajovaných prostriedkov dostupných vládam, bol takto svet komerčnej špionáže obmedzený. Existoval, ale nemohol sa so štátom vôbec zrovnávať. To sa však teraz zmenilo.
Zmenilo sa to však podľa vašej definície „špionáže“ a „súkromia“. Ak špionáž je o utajovanom zhromažďovaní údajov, tak veľké dátové spoločnosti budú argumentovať tým, že ich zmluvné podmienky, zásady používania tzv. cookies a možnosti pre ich zákazníkov zaškrtávania políčok či súhlasia so zdieľaním ich údajov, nepredstavujú utajované ale otvorene analyzujúce údaje so súhlasom zákazníkov. Tu by som sa chcel vrátiť ku Snowdenovi. Problém nespočíval v tom, že vlády sledujú jednotlivcov, bolo to skôr jeho odhalenie tejto schopnosti,ktorá rozzúrila libertariánov. Libertariáni argumentujú tiež tým, že väčšina ľudí nemá o tom žiadny pojem a nechápe, aké dáta o nich majú k dispozícii súkromné spoločnosti. Avšak zástancovia voľného trhu tvrdia, že ak jednotlivec si vyberie možnosť zdielania, tak jeho dáta sú voľne dostupné. Ale ak ja sa prihlásim na Facebook a LikedIn, nechcem zdielať svoju e-mailovú adresu s inými spoločnosťami alebo byť predmetom web scrapingu ( tj. sťahovania z webu). Napriek tomu, predplácam si softvérový balík, ktorý to dokáže urobiť mojim klientom. Volám to obchodná špionáž. Keď mám zapnuté lokalizačné služby a identifikátor IMEI môjho anonymizovaného telefónu sa predáva ako súčasť balíka reklamných údajov a potom sa porovnáva s ostatnými zakúpenými údajmi, môže byť môj telefón lokalizovaný v malom priestore. Takže ak mám zapnuté lokalizačné služby a tvítujem alebo odošlem správu z tejto lokality, je možné identifikovať anonymizované IMEI so mnou. Nastavte monitorovací proces a môžete začať ma sledovať s použitím komerčne dostupných údajov a úplne legálnym spôsobom.
Ne LinkedIne takmer 10,000 firiem opisuje predmet svojho podnikania ako Bezpečnosť a Spravodajstvo. Najväčšie a najznámejšie z nich majú k dispozícii nesmierne digitálne a ľudské zdroje a ich rozpočty na získavanie údajov poskytovanie správ sú veľké. Google, Amazon a Facebook majú nezvyčajne veľké množstvá údajov. Google má 73 000 zamestnancov, viac ako NSA (Národný bezpečnostný úrad) a ak by čo i len malé percento z nich pracovalo na analýze údajov, tak aj to by ich bolo niekoľkonásobne viac ako je analytikov pracujúcich pre vládu. Takže dopyt po hľadaní zmyslu v údajoch vo veku Nestálosti, Neistoty, Zložitosti a Mnohoznačnosti vytvára trh , keďže podnikanie si vyžaduje prehľadnosť.
Už som sa tu zmienil o schopnosti legitímnych firiem sledovať nás, nemôžeme však zabúdať ani na svet kyberšpionáže. Ročný prehľad spoločnosti Verizon o porušení údajov je depresívne čítanie. Uvádzam krátky súhrn z webstránky TheHill.com, odporúčam vám prečítať si celú správu.
„Kyberšpionáž je najbežnejšou formou útoku zacieleného na výrobné spoločnosti, verejný sektor a vzdelávacie organizácie – zistil to Verizon vo svojej ročnej investigatívnej správe o porušeniach údajov, uverejnenej koncom apríla.
Najnovšia správa tejto spoločnosti analyzovala takmer 2000 porušení po celom svete, 300 z nich identifikovala ako súvisiace so špionážou.
Štúdia Verizonu taktiež zistila za minulý rok 50% nárast útokov tzv. ransomware ( zablokovanie počítača za výkupné – pozn. prekl.)Vo viac ako polovici analyzovaných porušení dát bol použitý malware, a ransomware bol piatou najbežnejšie používanou formou.
Hlavné tri odvetvia, ktoré boli cieľom porušenia údajov, sú: finančné služby, 25%, zdravotná starostlivosť, 15% a verejný sektor 12% skúmaných porušení podľa tejto správy.
Štúdia tiež zistila, že takmer 7 z 10 aktérov ohrozenia zdravotnej starostlivosti bolo zvnútra postihnutej organizácie.
Veľké organizácie nie sú jediným cieľom – viac ako 60% obetí analyzovaných v najnovšej správe boli podniky s menej ako 1000 zamestnancami.
Nie je prekvapením, že štúdia takisto poukazuje na laxné bezpečnostné praktiky ako na hlavnú príčinu zraniteľnosti podnikov. Vo viac ako 8 z 10 porušeniach spôsobených hakermi išlo o ukradnuté alebo slabé heslá.“
Táto správa ukazuje, že neexistuje nepreniknuteľný systém, ale veľký význam má vykonať základné veci.
Koľkí z nás robíme dobre tie základné veci ako jednotlivci či spoločnosti? A sme pripravení na dôsledky?
Pre mňa jadrom problému je rovnováha medzi individuálnou zodpovednosťou, zodpovedným podnikovým prístupom a vládnou reguláciou. Všetci vlastníme svoje údaje a taktiež si vlastníme údaje vzájomne.
Je to milovaná Európska únia, ktorá podniká ďalšie kroky na regulovanie väčšej individuálnej ochrany. Podľa Článku 6 (1) GDPR (General Data Protection Regulation) spracovanie osobných údajov je zákonné iba vtedy, ak sa splní jedna z nasledujúcich „legitimizujúcich podmienok“:
- subjekt údajov vyjadrí súhlas;
- spracovanie je potrebné pre výkon zmluvy, kde subjekt údajov je zmluvnou stranou;
- spracovanie je potrebné pre súlad s povinnosťou stanovenou EU alebo národným zákonom pre kontrolóra údajov;
- spracovanie je potrebné na ochranu životne dôležitého záujmu subjektu údajov alebo inej osoby (napr. na kontrolu epidémie);
- spracovanie je potrebné na výkon úlohy vo verejnom záujme;
- Spracovanie je potrebné s cieľom dosiahnutia legitímnych záujmov kontrolóra údajov, s výnimkou tam, kde tieto záujmy ustupujú záujmom alebo základným slobodám subjektu údajov.
Členské štáty môžu prijať legislatívu s väčším objasnením toho, čo je zmyslom týchto bodov. Opakujem však, že zákon nedokáže držať krok s technológiou. Ste to vy alebo ja, kto musí konať alebo čeliť následkom vo forme masívnej pokuty.
Avšak pre národnú bezpečnosť nič z horeuvedeného neplatí, keď vlády dokážu zdôvodniť svoje prieniky za prepokladu, že sú, aby som použil jazyk britského zákona o ochrane údajov, potrebné, dôvodné a primerané. Ale GDPR je pokus EU chrániť práva „nemajetných“, obyčajného jednotlivca, pred tým, čo by som nazval dotieravou komerčnou špionážou. Tí, ktorí sa domnievajú, že Brexit vyjme Spojené kráľovstvo z týchto pravidiel, by sa mali zamyslieť, pretože tento zákon ma extrateritoriálne ustanovenia. Problémom pre vlády, spoločnosti a pre ich analytikov je to, aké dáta potrebujú mať a prečo. Vezmime si jeden súbor dát s jednou miliardou riadkov údajov týkajúcich sa všetkých obyvateľov Spojeného keáľovstva. Libertariáni argumentujú, že vy sa mali uchovávať iba údaje špecificky identifikovaných jednotlivcov. Alebo pravdepodobne 0,001 % údajov. Problémom je vedieť, ktoré 0,001 % uchovávať. Nejaký terorista sa ubytuje v hoteli v Brightone a na izbe použije svoj telefón. Pre úrady by bolo užitočné identifikovať toto číslo. Poisťovací podvodník , ktorý má inak čistý register trestov, použije rovnakú emailovú adresu na nahlásenie viacero poistných nárokov na viacero poisťovní. Ak sa takýto podvod odhalí, bolo by užitočné mať tieto údaje. A dokonca ešte lepšie by bolo zdieľať podozrivé poistné nároky medzi spoločnosťami a úradmi skôr ako dôjde k ďalším podvodom; ale súčasné pravidlá správnej praxe vyžadujú vypísanie zdôvodnenia zdieľania údajov a sú zaťažujúce. Toto vyvoláva apatiu. Platí to pre vládu a tiež pre políciu. V Británii som bol na stretnutí s istou mestskou políciou, kde sme informovali, že ich vyšetrovanie vraždy má údaje súvisiace s drogovým gangom v inom meste. Údaje nezdieľali s políciou v tom druhom meste, pretože tento tím mal úlohu riešiť zločiny a nie im zabrániť, pretože nepoznali pravidlá zdieľania, keďže údaje, ktoré získali, boli pre vyriešenie zločinu a preto ich nebolo možné zdieľať, i keby to bolo užitočné. Takže vo svete podnikania ako aj vlády sa užitočné údaje nezdieľajú, kvôli úzkym cieľom, času, predpisov a sebauspokojeniu. Medzitým údaje o našom každodennom živote sú manipulované veľkými spoločnosťami s údajným cieľom „vylepšiť skúsenosti našich zákazníkov“ , pričom iným dôvodom je znižovanie nákladov a vylepšovanie ziskovej marže, čo môže a nemusí byť v záujme zákazníka. Kde je tu obchodná morálka?
A tak ostáva základná ľudská dilema — zhromažďovanie údajov v kombinácii s výkonom počítačov môže obmedziť slobodu ľudí, a súčasne slúžiť ako dojná krava peňazí pre veľké dátové firmy a zdroje manipulácie v rukách politických stratégov.
Takže aké sú prvky riešenia, verejno-súkromného partnerstva pri zdieľaní údajov, čo nie je špionáž ale to, čo je prínosom pre spoločnosť, kde ľudia sa nemôžu sťažovať na narušenie ich súkromia?
Ako som už povedal, existujúca legislatíva vyrovnáva práva jednotlivca s potrebami tých, kto vyšetruje a analyzuje dáta, Vyšetrovatelia majú obmedzený prístup, určený auditom, k celému radu súborov hromadných údajov. Toto je právne alebo regulačné riešenie. Existuje však technické riešenie, ktoré umožňuje analýzu viacerých dátových súborov v reálnom čase bez toho, aby vyšetrovateľ mal prístup k pôvodným údajom. Nebudem tu zachádzať do techických podrobností, ale v podstate existuje niekoľko základných krokov: vedieť aké údaje máte a čo potrebujete; identifikovať aké údaje potrebujete na fungovanie vášho podnikania; dodržiavať smernice britskej vlády Cyber Essentials o základnej bezpečnosti; vyčistiť svoje údaje do použiteľného štandardného formátu, vyplniť dohodnutú šablónu a anonymizovať svoje údaje. Viaceré súbory hromadných údajov sa uchovávajú v nevratnej anonymizovanej forme, takze nikto nemá prístup do žiadneho originálneho súboru údajov. Môžete potom spustiť vopred dohodnuté vyhľadávanie v v anonymizovaných údajoch a hľadať zhody s podobne anonymizovaným zoznamom záujmových osôb a ak dôjde k zhode, prehľadávateľ je upozornený. Vyšetrovateľ s potrebným povolením je schopný porovnať spätne anonymizovanú zhodu so svojimi údajmi pred anonymizovaním. Vstupné aj výstupné ädaje môžu buť anonymizované. Všetci si musíme položiť otázku, koľko ľudí z nášho personálu, ktorí majú prístup k originálnym údajom, to v skutočnosti potrebujú.
Opísal som schopnosť uchovávať masívne množstvá údajov, zároveň chrániť jednotlivca a všímať si abnormálne schémy. Toto chráni súkromie a umožňuje tým, ktorí majú byť vyšetrovaní, aby boli vyšetrovaní bezpečne a objektívne. Predstavte si, že ste zhromaždili anonymizované údaje, z ktorých vám vyšli individuálne prípady, ktoré treba odanonymizovať , aby ste mohli zabrániť podvodu a nielen to vyšetrovať. V tomto prípade nemajú libertariáni žiadny argument, pretože osobné údaje sú chránené, pokiaľ nedôjde k legitímnemu záujmu ich odhaliť. Je to potrebné, primerané a dôvodné a v úplnom súlade s GDPR (General Data Protection Regulation).
Záverom: rýchlosť umelej inteligencie a zmien vo veľkých dátach je vyššia ako sa predpokladalo. Právne rámce zaostávajú za technologickou krivkou, ale hrozba pokút podľa GDPR prinúti spoločnosti sa zamyslieť nad tým, ako spravovať a organizovať svoje údaje. Anonymizačné techniky sú dobrým štartom pri boji či už s vládnymi špiónmi, anonymnými hekermi alebo veľkými dátovými gigantmi, ktorí zbierajú naše súkromné údaje nie vždy pre spoločné dobro ale na presadzovanie vlastných cieľov. Protiútok súkromia sa začína u nás. Je to v záujme nás všetkých ako jednotlivcov, ako podnikateľov a v záujme demokratickej a spravodlivej vlády. Ak vy ako jednotlivec máte obavy čo sa môže diať s vašimi údajmi, tak potom ako akademici, podnikatelia alebo vládni úradníci máte dva jasné dôvody konať. Regulácia vás tvrdo zasiahne, ak nechránite svoje údaje a nemáte bezpečné login postupy, vaše podnikanie utrpí tiež, ale pre mňa je dôležitejšie, že je tu morálny a etický imperatív. Mali by sme sa všetci starať o údaje ostatných ľudí, mali by sme využívať tieto údaje pre spoločné dobro, nemusíme však vedieť osobné podrobnosti, keď už je potvrdená identita. Ďakujem vám.
* * *
Anthony Monckton (1960) –Vyštudoval archeológiu a antropológiu na Cambridge University; potom slúžil ako dôstojník britskej armády v Nemecku a Belize. V roku 1987 nastúpil do služieb Foreign & Commonwealth Office. Pôsobil na zastupiteľských úradoch Ženeve, Záhrebe, Banja Luke, Belehrade a Viedni. Niekoľko rokov pôsobil v Londýne ako expert v oblasti boja proti terorizmu a potom ako vedúci odboru vzdelávania a rozvoja v rezorte zahraničnej služby. Po odchode do dôchodku v roku 2015 založil konzultačnú firmu pre korporátne vyšetrovanie so sídlom v Londýne a vo Viedni; je erudovaným odborníkom pre oblasť strednej a východnej Európy a Balkánu.
* * * * *
Pripravené v spolupráci s Asociáciou bývalých spravodajských dôstojníkov /www.absd.sk/
Ilustračné foto: pixabay.com
