SPECIÁL
Bezpečnost firemních dokumentů: cloud odolá všem hrozbám
Nešlukovaly, ale zapáleno měly pořád
Velká retrospektiva Květy a Jitky Válových v Kutné Hoře
Riziko číhá všude
Vždycky se někdo dívá, říká Julie Matesová
Svět je nebezpečné místo. A o tom on-line to platí možná dvojnásob. Algoritmy, které používají firmy jako Meta (provozuje Facebook) či Google, ovlivňují společnost bezprecedentním způsobem, včetně její polarizace. Což ukázaly i prezidentské volby. Přes takzvané datové schránky do on-line světa vstupuje i Česká republika. Na možná rizika upozorňuje bezpečnostní analytička Julie Matesová, která se nástrahami digitalizace zabývá.
Stát od 1. ledna tohoto roku pro nové podnikatele automaticky zřizuje datové schránky, které doporučuje všem občanům. Vehementně se snaží poukázat na to, že mají spoustu pozitiv. Jaké jsou stinné stránky digitalizace?
Datové schránky by měly šetřit čas občanům a ulevit úředníkům, zjednodušit komunikaci mezi státem a podnikateli i soukromými osobami. Ale výhody používání digitálního státu jsou vykoupeny tím, že mu dáváme mnoho informací o sobě, navíc v elektronické podobě. To znamená, že ty informace jsou permanentně uložené a strojově dohledatelné. Nemusíme panikařit – Česká republika je vázána evropskými zákony o zpracování osobních údajů (GDPR), tudíž i využití dat je limitované. Na druhou stranu legislativa dohání rychlý vývoj technologií se zpožděním. V jiných částech světa data občanů nejsou tímto způsobem chráněna. V Číně je využívají různými způsoby: rozpoznávání obličejů k perzekuci disidentů či etnických menšin, třeba Ujgurů. Naposledy jsem identifikaci občanů tímto způsobem zachytila v médiích během nedávných demonstrací v Číně, kde jsou podle veřejných zdrojů údajně zpětně dohledáváni účastníci veřejných shromáždění.
Je možné, aby státní instituce systém rozeznávání tváří (tzv. facial recognition) používaly, aniž o tom veřejnost ví?
Teoreticky ano. Stát může využívat bezpečnostní kamery na budovách a v hromadné dopravě, skenovat jejich záznam a provádět na něm facial recognition. Velmi zjednodušeně řečeno: tato technologie využívá algoritmy počítačového vidění (computer vision).
Jak to funguje?
Principem je učení velké neuronové sítě (umělé inteligence), která funguje podobně jako lidský mozek, na množině obrázků, u kterých víme, co na nich je. Například té síti předložíme obrázek kočky a necháme ji hádat, co to je. Poté jí řekneme, že je to kočka, a ona si upraví vnitřní model, aby příště podobný obrázek zařadila jako kočku. Tímto způsobem se rozpoznává, v jaké části obrázku (záznamu z kamer nebo na fotografiích na sociálních sítích) je lidská tvář. Potom se část s obličejem vyřízne a na tváři se změří vzdálenost očí, tvar lícních kostí, odstín pleti a podobně. Tento profil tváře se posléze porovná s databází všech hledaných obličejů a hledá se nejbližší shoda. Systém zavedla už některá města ve Spojených státech. Policie využila facial recognition pro hledání podezřelých osob, záznamy z různých incidentů porovnala se záznamy z kamer, které měla rozmístěné po městě. Jenže kvůli nevyvážené datové sadě, na které byl software založen, došlo k zatčení i několika nevinných osob.
Co s tím?
Prakticky to znamená, že vás může policie zadržet, odvolat se na software, i když vůbec nevypadáte jako hledaná osoba – systém prostě najde osmdesátiprocentní shodu a je to. Americká média teď popisují několikaměsíční právní bitvy s policií o prokázání nevinnosti. Uvedu ještě jeden dystopický příklad použití systému facial recognition. V New Yorku byl nedávno zakázán vstup ženě, která šla s dcerou na koncert. Ukázalo se, že to je právnička pracující pro firmu, která se soudí s vlastníkem objektu. Jelikož její fotka byla na webových stránkách advokátní firmy, stačilo, že si vlastník budovy stáhl fotky všech právníků (ať už na tomto specifickém případě pracovali, nebo ne) a pak je porovnal s živým záznamem z kamer u vstupu do objektu.
Jak se to liší od praktik cloudových serverů? Některé si nárokují naše fotky, přebírají společně s polohovými a časovými údaji naše vzpomínky. Jak velkou hrozbu v tom vidíte?
Ukázalo se například, že mobilní aplikace Facebook vás sleduje, i když je vypnutá a má zakázáno vás sledovat. Google si zase stahuje informace o vaší on-line aktivitě, i když jste v anonymním režimu. Když je služba zdarma, tak jste produktem vy – uživatel. Vaše údaje jsou pak prodávány dalším firmám třeba pro marketingové účely. Internetoví giganti jako Meta a Google mají často v licenčních podmínkách zahrnuto, že všechny soubory nahrané do jejich úložiště mohou být použity, jak se jim zlíbí – třeba právě jako součást datasetů, na kterých se učí neuronové sítě a které mohou být používané při rozpoznávání tváří.
Do jaké míry je pravdivé tvrzení, že státy sledují své občany?
Už v roce 2014 zveřejnil bývalý zaměstnanec CIA Edward Snowden dokumenty, které jasně potvrzují, že se hromadně sbírají veškerá komunikační data procházející přes území Spojených států. Je velice pravděpodobné, že se to od té doby nejen nezlepšilo, ale schopnost sbírat data se posunula dál.
Jaká situace je v tomto ohledu v Evropě?
Složitá. Snowden tvrdí, že stejné nebo podobné jako v USA je to i ve Velké Británii. Navíc veškerá data, která jako uživatel vědomě či nevědomě poskytujete americkým firmám, jako jsou právě Google nebo Meta, podléhají právě výše popisované formě sledování. Děje se tak proto, že datová úložiště jsou na území USA. Ke svým datům máte přístup odkudkoli, ale komunikace prochází vždy přes tyto servery. V rámci Evropské unie sice platí GDPR, která by tuto problematiku měla do jisté míry řešit. Nicméně neřeší například backdoor access, tedy prolomení šifrování komunikace, jaké používají aplikace Signal, Threema nebo e-mailová služba ProtonMail.
Co si máme představit pod slovy ukradená data?
Bankovní informace, když jste v e-shopu platili kartou. Nebo heslo od internetového účtu, jako je e-mail nebo on-line streamovací platformy. Může ale jít i o fyzické věci, jako jsou ztracené doklady. Všechny tyto informace jsou prodejné, často se tak děje na dark webu, což je část internetu přístupná pomocí běžně nepoužívaného softwaru.
Jak se ukradená data dají využít?
Lidé se bojí platit mobilem, protože si často myslí, že to je méně bezpečné. Hlavním problémem fyzické karty ale je, že veškeré identifikační informace jsou napsané přímo na ní: číslo karty, platnost a bezpečností kód. To dovoluje nálezci platit kartou po internetu. Když máte kartu v mobilu, je chráněna biometrickými daty: otiskem prstu, Face ID nebo číselným pinem. V nejhorším případě, když vám ukradnou mobil, bude muset zloděj uhodnout váš PIN, aby mohl kartu použít. Pravděpodobnost toho je malá, pokud nemáte PIN napsaný přímo na telefonu. V každém případě je placení mobilem pohodlnější, ve většině případů nemusíte zadávat PIN, protože se autentizujete otiskem nebo obličejem a placení je rychlejší než plastovou kartou.
A jak se bránit?
Dobré je dodržování dvojí autentizace, využití mobilního čísla nebo autentizační aplikace pro potvrzení. Ano, zabere to trochu víc času, ale je to bezpečné.
