utorok 1. júla 2003

PC REVUE

Hneď na začiatku musím na spresnenie vyhlásiť, že netrpím paranojou, strachom zo straty súkromia, nemám prehnané obavy z potenciálnych digitálnych útokov, sledovania či zbierania informácií o mojej osobe. Takisto sa neobávam príchodu „temného digitálneho veku“ v štýle Matrixu, ktorý našťastie naozaj patrí len do sféry sci-fi.
Na druhej strane so vzrastajúcim znepokojením sledujem snahu vládnych úradníkov niektorých štátov či veľkých svetových komerčných spoločností o prevzatie kontroly nad naším životom, nad tým, aké informácie vlastníme, s kým sa stretávame, čo nakupujeme, ako trávime voľný čas atď. Ak neviete, o čom hovorím, dávam vám do pozornosti film Enemy of the State (Nepriateľ štátu), ktorý však už nie je tak celkom sci-fi. Z čoho pramení moje znepokojenie?
Viaceré krajiny sveta, ku ktorým sa pridalo aj Slovensko, deklarovali úsilie zbierať biometrické údaje svojich občanov. K doterajším osobným údajom, ako napríklad zdravotný stav, vierovyznanie, členstvo v politickej strane, sa novým zákonom priradili aj takzvané biometrické údaje, ako odtlačok prsta, dlane, očné pozadie či vzorka DNA. Od 1. mája 2004 sa budú Slovákom vydávať cestovné doklady vo formáte EÚ, pričom v druhej etape projektu, ktorá odštartuje začiatkom roka 2006, sa legislatívne ustanoví povinnosť žiadateľa poskytnúť biometrické údaje, teda aj odtlačok prsta. Rozumiem snahe uľahčiť styk medzi občanom a štátom prostredníctvom elektronického podpisu, chápem zavedie kontroly biometrických údajov na štátnej hranici v súvislosti s obavami z terorizmu. A rovnako mi je jasné, že riziko ich zneužitia je zatiaľ nízke, pretože napr. pri snímaní odtlačkov prsta sa neukladajú kompletné vzorky, t. j. fotografie odtlačku prsta, ale iba jeho charakteristické body, z ktorých sa spätne odtlačok prsta nedá nakresliť. Okrem toho pravdepodobnosť chybného zamietnutia, resp. chybnej akceptácie danej osoby podľa biovzorky je veľmi nízka, v prípade dúhovky dosahuje len 0,00066 %, resp. 0,00078 %.
Z čoho mám však obavy, to je možnosť úniku týchto informácií alebo ich zmeny v informačných systémoch (IS) štátnych orgánov. Kedysi dávno nám totiž na jednej zahraničnej konferencii expert z oblasti bezpečnosti ukázal mierne deprimujúcu tabuľku, ktorá poznačila moje vnímanie bezpečnosti IS na celý život. V tabuľke boli v jednotlivých riadkoch vymenované rôzne úrovne zabezpečenia IS spolu s predpokladanou dĺžkou času a objemom finančných prostriedkov potrebných na ich prekonanie... To ma utvrdilo v presvedčení, že neexistuje stopercentne zabezpečený informačný systém a jeho prekonanie je naozaj len otázkou dostatočne silnej motivácie a peňazí, za ktoré sa dajú kúpiť potrebné technické a ľudské kapacity. Motiváciou môžu byť politické či mocenské ambície alebo jednoducho veľký biznis. A ak je motivácia dostatočne silná, prostriedky sa už nájdu...
Druhá obava plynie z toho, že tieto údaje môžu zbierať a uchovávať nielen štátne orgány, ale aj súkromné spoločnosti (či už legálne, alebo nelegálne), ktoré nie sú tak ľahko kontrolovateľné. Snímače biometrických údajov môžu byť zabudované s vaším vedomím (ale aj bez neho) naozaj kdekoľvek, nielen v počítačovej myši, ale aj kľučke na dverách, zábradlí (odtlačky prstov, dlane), počítačovom monitore, zrkadle na toalete (očné pozadie) atď. Príklady zbierania biologických vzoriek na analýzu DNA taktne preskočme...:)
A čo všetko by súkromná spoločnosť mohla s týmito informáciami robiť (keby chcela), to je už skôr námet na nejaký dobrý triler, po ktorom nebudete môcť tak ľahko zaspať... Otázkou zostáva, ako sa môžeme s touto predstavou vyrovnať či neskôr v blízkej budúcnosti proti tomu reálne brániť?
Jedna možnosť je nemyslieť na to a spoľahnúť sa na účinnosť kontrolných mechanizmov štátu, absenciu zlých úmyslov súkromných spoločností a nepriestrelnosť bezpečnosti IS :) (čo sú všetko značne teoretické a idealistické predpoklady)...
Druhá možnosť je byť natoľko „priemerný“, že o vás jednoducho nebude záujem, prostriedky vynaložené na zbieranie údajov o vašej osobe sa totiž jednoducho nevrátia, lebo pre záujmové skupiny nepredstavujete nijakú hrozbu ani osoh. To síce k zvýšeniu sebavedomia príliš neprispeje, ale aj to je riešenie...:)
Ďalšie možnosti vám ponúkajú na výber rolu „disidenta – sabotéra“, ktorý bude ničiť všetky technické zariadenia na zber údajov, „občianskeho aktivistu“, beznádejne bojujúceho s veternými mlynmi štátneho aparátu, či „utečenca bez digitálnej identity“, skrývajúceho sa na opustenom ostrove. (Priznávam, že tá posledná možnosť ma láka najviac...)
Trochu sofistikovanejším odstránením rizika úniku a zneužitia údajov o digitálnej identite by bola zmena technického riešenia – zrušenie ich centrálneho zbierania, ukladania a vyhodnocovania. Lepšie by totiž podľa mňa bolo preniesť celú logiku analýzy, vyhodnocovania a rozhodovania priamo do zariadenia, ktoré by dané údaje snímalo v teréne. Zariadenie by z centra len dostávalo údaje napr. o tom, ktoré osoby sú oprávnené vstúpiť do daného priestoru, a späť by už posielalo len výsledok analýzy, ale nie samotnú vzorku. Podľa toho by daná osoba do priestoru bola alebo nebola vpustená.
A pokiaľ chce štát zvýšiť bezpečnosť osobných dokladov, radšej nech sa pozrie po modernejších technológiách, akou by mohla byť napr. implementácia čipu RFID. Ten si vystačí bez napájania, je dostatočne kompaktný (uhlopriečka len 0,3 mm) a dokáže v sebe uložiť ID kód s dĺžkou 128 bitov, ktorý je možné vložiť len pri výrobe, potom už je akákoľvek zmena nemožná.
To, že po rôznych databázach možno koluje moje rodné číslo (hoci by nemalo), ma netrápi až tak ako predstava, že by v nich mali byť uložené aj moje biometrické údaje. Fakt netrpím paranojou, ale jednoducho sa mi to nepáči. Mám preto z našej digitálnej budúcnosti taký čudný pocit...

Zaujímavé čítanie júlového čísla vám želá
Martin Drobný

PC REVUE 7/2003 Editorial
Autor: Martin Drobný