Meniu
Prenumerata
antradienis, vasario 18 d.
Duomenys slepia teroristą

Kaip po Paryžiaus išpuolių atrasti saugumo ir privatumo pusiausvyrą

Paskutinė vieno Prancūzijos sostinės užpuolikų trumpoji žinutė buvo negailestinga: „Jau einam, pradedam.“ Tai pranešimas iš mobiliojo telefono, rasto šiukšlinėje prie „Bataclan“ teatro, kur lapkričio 13-ąją roko koncerte nuo ginkluotų nusikaltėlių rankos žuvo 89 žmonės. Pagal telefono paliktą skaitmeninį pėdsaką tyrėjai atsekė iki buto Paryžiuje ir jį lapkričio 18-ąją šturmavo ginkluota policija. Be dviejų kitų asmenų, per operaciją nukautas Abdelhamidas Abaaoudas, laikomas pagrindiniu organizatoriumi. Kitas telefonas padėjo išsiaiškinti, kad palikta savižudžio liemenė priklauso į Belgiją pasprukusiam sąmokslininkui Salahui Abdeslamui – šiandien labiausiai ieškomam žmogui Europoje.

Didžiuliai kasdienės veiklos sukuriamos skaitmeninės informacijos klodai (ryšio duomenys, stebėjimo kamerų įrašai, kredito kortelių operacijos ir pan.) slepia neįkainojamų detalių apie išpuolį, padeda medžioti išgyvenusius sąmokslininkus. Taip pat skausmingai akivaizdu, kad daug informacijos nežinoma, nors gali ir turėtų būti kitaip: Prancūzija skundžiasi, kad nė viena Europos šalis jos neįspėjo, jog Belgijos policijos ieškomas į Siriją pabėgęs A. Abaaoudas grįžo į Paryžių, nors jis kažkur turėjo kirsti Europos sieną (galiausiai pranešimas gautas iš Maroko). Bent du užpuolikai į Europą įsėlino per Graikiją, apsimetę pabėgėliais. Bet policija negali laisvai naudotis duomenų baze, kurioje saugomi prieglobsčio prašančių asmenų pirštų atspaudai.

Dėl to kyla nemalonių klausimų. Ar neturėjo skaitmeninės detalės būti perimtos anksčiau? Ar Vakarų žvalgybos agentūros ir policija tinkamai dalijasi informacija? Ar joms reikia rinkti dar daugiau duomenų ir turėti daugiau galių jų ieškoti? Ar reikėtų reguliuoti informacijos užšifravimą? Kitaip tariant, Paryžiaus išpuoliai verčia Europą vėl ieškoti tinkamos saugumo ir privatumo pusiausvyros.

Atgauti pusiausvyrą

Vakarų šalys duomenų privatumą vertina labai skirtingai jau vien dėl nuomonių skirties, atsiradusios iš bėglio Edwardo Snowdeno, dirbusio Nacionalinio saugumo agentūrai (NSA), JAV signalų žvalgybos organizacijai, sužinojus, kad JAV plačiai šnipinėja ir draugus, ir priešus. Vieniems E. Snowdenas, šiandien gyvenantis Maskvoje, yra drąsus demaskuotojas, o Vakarų šnipai niršta dėl jo pridarytos žalos.

Valstybės skirtingai reguliuoja, ką gali matyti specialieji agentai ir kam skirta juos prižiūrėti. Taisyklės riboja galimybes masiškai rinkti duomenis (kai ieškant dėsningumų surenkamas milžiniškas metaduomenų kiekis, pavyzdžiui, kam skambinta) ir taikyti tikslinį stebėjimą (klausytis konkretaus asmens ar grupės komunikacijos turinį). Sekdamos teroristus ir nusikaltėlius, JAV ir Jungtinė Karalystė surenka daugiausia informacijos. Iš dalies dėl to, kad turi tokią galimybę, nes didžiausios interneto bendrovės priklauso amerikiečiams, o bene svarbiausi povandeniniai optiniai kabeliai driekiasi iš Jungtinės Karalystės.

JAV veikia žvalgybos teismas, kurio teisėjai išduoda stebėjimo orderius, net ir leidžiančius sekti privačius amerikiečių duomenis. Sistemą taip pat prižiūri puikiai sukomplektuoti Kongreso komitetai (nors už privatumą kovojantiems JAV aktyvistams ir to negana). Jungtinėje Karalystėje leidimą slapta klausytis galima gauti iš vidaus reikalų ministro. Prancūzija žvalgybos ir saugumo tarnyboms duoda dar daugiau laisvės, ypač po „Charlie Hebdo“ žudynių, vykusių 2015 m. sausį.

Neseni šiurpūs įvykiai Paryžiuje ir po to Briuselyje, kur gyvena arba apsistojo keli užpuolikai, surengtos gaudynės rodo, kad Europos taisyklės dar kryptelės į saugumo pusę. Lapkričio 20-ąją Euro-pos vidaus reikalų ministrai susitarė atnaujinti pastangas įdiegti visų į ES atvykstančių, iš ES išvykstančių ir po ES keliaujančių asmenų duomenų (angl. Passenger Name Record, PNR) bendrinimo sistemą (planas užstrigo Europos Parlamente, susirūpinus dėl privatumo). Taip pat įsipareigota plačiau keistis informacija apie į Siriją keliaujančius ir iš jos grįžtančius kovotojus, prie išorinių Šengeno zonos sienų tikrinti visų Bendrijos piliečių biometrinius duomenis ir geriau susieti Europos bei nacionalines policijos duomenų bazes.

Sekdamos teroristus ir nusikaltėlius, JAV ir Jungtinė Karalystė surenka daugiausia duomenų.

Suprantama, Prancūzija nusiteikusi noriausiai. Vokietija – priešingai, nes ten piliečių duomenys saugomi itin skrupulingai: informaciją leidžiama bendrinti tik gavus tiesioginį asmens sutikimą arba specialų (ir retai suteikiamą) teisinį leidimą. Šaknys glūdi liūdnoje šalies praeityje, menančioje nacių ir komunistų totalitarizmą. Be to, pastaraisiais metais Vokietijoje įvyko tik vienas rimtas džihadistų teroro išpuolis, kai 2011-aisiais albanas musulmonas Frankfurto oro uoste nušovė du JAV lakūnus. Vokiečiai patenkinti įsivaizduoja, kad beatodairiškumu nepasižyminti jų užsienio politika leidžia apsisaugoti nuo priešų. Vokietijos musulmonai, daugiausia kilę iš Turkijos, pasaulietiškesni ir labiau įsilieję nei Prancūzijos priemiesčiuose įsikūrę išeiviai iš arabų šalių. Vokietijos saugumas pagrįstas kokybiška žvalgyba, vykdoma ir savų agentūrų, ir sąjungininkų, ypač JAV. Keliems sąmokslams pavyko užkirsti kelią. Antai dėl tikėtino sprogdinimo grėsmės lapkričio 17-ąją Hanoveryje atšauktos draugiškos Vokietijos ir Nyderlandų futbolo rungtynės.

Realiai Vokietijoje dar nebuvo sąžiningų diskusijų dėl jos šnipų galių. E. Snowdenui atskleidus, kad NSA galėjo klausytis Angelos Merkel pokalbių mobiliuoju telefonu, kanclerė teisuolės tonu pasakė, jog negražu šnipinėti draugus. Vėliau parlamentinis tyrimas atskleidė, kad Vokietijos šnipai dėkingai (o anot kritikų – nuolankiai) bendradarbiavo su JAV. Taip pat jie šnipinėjo kitas Europos vyriausybes, įvairias organizacijas, pavyzdžiui, Tarptautinį Raudonąjį Kryžių bei „Oxfam“, ir asmenis. Tad tuo metu, kai Prancūzija didina šnipų įgaliojimus, Vokietija rengia įstatymą, siekdama juos suvaržyti. Naujas, išplėstas parlamentinis ekspertų komitetas prižiūrės Vokietijos agentus šalyje ir užsienyje.

Dažnas kovotojas už privatumą įsitikinęs, kad net atidžiausiai stebimiems šnipams negalima leisti rinkti per daug informacijos. Daugelis europiečių skaitmeninį privatumą laiko viena pagrindinių žmogaus teisių. JAV iš esmės svarbiausia apsaugoti vartotojus, tad nacionaliniam saugumui patekus į pavojų galimos išimtys. Idėja, kad Europos valstybės turėtų tarpusavyje laisvai dalytis PNR duomenimis, kelia ginčus (ką ir kalbėti apie dalijimąsi su JAV). Europos Teisingumo Teismas anuliavo ES ir JAV susitarimą „Saugus uostas“, kuris technologijų bendrovėms leido perkelti asmens duomenis kitapus Atlanto. Teismo sprendimu, tai kėlė grėsmę europiečių teisei į privatumą, nes JAV visus duomenis „bendrąja tvarka“ gali žvalgyti NSA. Jungtinė Karalystė sunerimo dėl vienos bylos, kurioje Teismas gali 2016-aisiais nuspręsti, kad dauguma britų atliekamo elektroninio klausymo atvejų yra neteisėti.

Be duomenų rinkimo, yra kita problema – užšifravimas, kai žmonių komunikacija apsaugoma taip gerai, kad net šnipų tarnyboms, kaip antai NSA, nelengva įveikti pranešimų kodą. Pasak JAV federalinio tyrimų biuro vadovo Jameso Comey, „Islamo valstybės“ džihadistai šifruotais pranešimais susisiekia su naujokais, jo žodžiais, „dingdami iš radarų“. Centrinės žvalgybos valdybos vadovo Johno Brennano teigimu, dėl naujų galimybių „nepaprastai sunku ir techniškai, ir teisiškai“ perimti teroristų pranešimus. Manhatano apygardos prokuroras Cyrusas Vance’as kalba, kad „šifravimas pastoja kelią teisingumui“, ir pamini, jog buvo 111 kriminalinių bylų, kai jo biuras nesugebėjo klausytis užšifruotų telefonų. Likus kelioms dienos iki Paryžiaus išpuolių, Belgijos vidaus reikalų ministras Janas Jambonas išreiškė susirūpinimą, kad teroristai bendrauja internetu per žaidimų pultus, ir sakė, kad „PlayStation 4“ sekti dar sunkiau nei „WhatsApp“.

Teisėsaugos pareigūnai būgštauja dėl zonų, kurių nepasiekia jų kratos orderiai. Kaip realiame pasaulyje vaikų prievartautojus, gangsterius ir pinigų plovikus galima medžioti bet kada ir bet kur, taip turėtų būti ir kibernetinėje erdvėje. Vakarų žvalgybos vadai, dėl milžiniškų galimybių rinkti, sijoti ir apdoroti internetu plaukiančius duomenis nuo seno įpratę būti pranašesni, liūdnai konstatuoja, kad šiandien geresnę padėtį kartais gali užimti individas prie pigaus kompiuterio – pranešimus užkoduoti lengva, o iššifruoti neturint rakto gali būti velniškai sunku.

Saugumo šalininkai siūlo keturias priemones, kaip suvaldyti plintantį šifravimą (pradėsime nuo mažiausiai kontroversiškos). Pirma, technologijų bendroves reikia įpareigoti saugoti pranešimus, kuriuos klientai siunčia jų tinklais ir iš jų įrenginių, kad vyriausybės šifruotojai bent turėtų žaliavos, su kuria būtų galima dirbti. Antra, būtina reikalauti, kad gavusios orderį įmonės privalėtų iššifruoti parduodamus kodus. Trečia, joms reikia uždrausti siūlyti kompiuterines programas (arba programėles išmaniesiems), kurios gali užšifruoti pranešimus paslaugos teikėjui neįveikiamu kodu. Ketvirta, užšifravimo programas siūlančios įmonės turi tyčia palikti silpnų vietų, kad kodai būtų įveikiami policijai (arba šnipams).

Tokių pasiūlymų bėda, kad šifravimas jau paplitęs. Dalis įstatymus gerbiančių piliečių ir piktadarių pasirinks tiekėjus tose šalyse, kur ši veikla nėra griežtai reguliuojama, arba kurs savas sistemas. Antai Šveicarijoje įsikūrusi „Protonmail“ siūlo šifruoto elektroninio pašto paslaugą ir ją gina griežti tenykščiai privatumo įstatymai. Tačiau net įveikę šią kliūtį užsienio teisėsaugininkai ar žvalgybos agentūrų specialistai susidurtų su kita, nes „Protonmail“ nei savo serveryje saugo naudotojų pranešimus, nei laiko jų užšifravimo raktų kopijas. Net aršiausiai nusiteikusi vyriausybė neprivers bendrovių perduoti to, ko jos neturi, ar išduoti paslaptis, kurių jos nežino.

Pasak britų signalų žvalgybos tarnybos GCHQ vadovo Roberto Hannigano, internetinės įmonės, siekdamos būti „neutralus duomenų kanalas, esantis už arba virš politikos“, iš esmės davė „teroristams ir nusikaltėliams parankius vadovavimo ir valdymo tinklus“. Verčiau šią nepatogią tiesą pripažinti dabar, kaip jis rašė laikraštyje „The Financial Times“, nei po didesnių žiaurumų. Po dešimt dienų „Islamo valstybės“ žudikai smogė Paryžiui.

Siekiams priversti įmones šifravimo programas padaryti ne tokias sudėtingas įnirtingai priešinasi ir technologijų bendrovės, ir privatumo aktyvistai. JAV informacinių technologijų sektoriaus tarybos, atstovaujančios tokioms milžinėms kaip „Apple“ ir „Microsoft“, teigimu, silpninti saugumą siekiant rimtesnio saugumo skamba kaip nesąmonė. Be kita ko, kiltų pavojus bankininkystės sistemai ir elektros tinklams.

Šiuo klausimu technologijų bendrovių argumentai tvirti: jei kovojant su terorizmu bus naudojamas paprastesnis šifravimas, kibernetiniai nusikaltėliai ir kiti nedorėliai galės lengviau vogti pinigus, tapatybes ir pan. Pasauliui reikia šifruoti daugiau, o ne mažiau.

Kibernetinių nusikaltimų netrūksta (žr. 1 grafiką). Kompiuterių saugumo bendrovė „McAfee“ apytiksliai suskaičiavo, kad 2014-aisiais pasauliui tai kainavo iki 575 mlrd. JAV dolerių. Per daug žmonių, bendrovių, organizacijų ir valstybės įstaigų nesugeba arba nenori savo tinkluose ir kompiuteriuose nuolat šifruoti duomenų, net jei kalbama apie įslaptintą informaciją apie kitus (žr. 2 grafiką).

Pasaulyje, kuriame vis daugiau skaitmeninio turinio, šifravimas – būtinybė. Jis patikimai patvirtina tapatybę ir neprileidžia nusikaltėlių prie operacijų. Paprasčiausias tapatybės nustatymo protokolas – naudotojo vardas ir slaptažodis, bet juos lengva atspėti ar pavogti. Daugiau naudos iš vadinamojo dviejų veiksnių atpažinimo, kai kartu su nuolatiniu tapatybės žymeniu (pavyzdžiui, slaptažodžiu) naudojamas kitas, elektroninio prietaiso generuojamas žymuo, tarkime, kodas mobiliajame telefone. Tai nėra neįveikiamos priemonės, bet nusikaltėliai – tinginiai: kaip įsilaužėliai mieliau renkasi namą su atviru langu, o ne užrakintą devyniomis spynomis, taip ir kibernetiniai nusikaltėliai ieško lengviausių taikinių.

Nugvelbti skaitmeninį saldainį

Net didžiosios bendrovės nesupranta kibernetinio saugumo svarbos. Kai neseniai buvo įsilaužta į stambią britų telekomunikacijų bendrovę „TalkTalk“, paaiškėjo stulbinamas neišmanymas. Jos vadovė Dido Harding nesugebėjo pasakyti, ar įmonės duomenų bazė, kurioje laikoma naudotojų asmeninė ir bankininkystės informacija, buvo užšifruota (nebuvo). JAV prokurorai atskleidė, kaip nusikaltėliai pavogė 100 mln. žmonių asmens duomenis iš tokių įmonių kaip „JPMorgan Chase“.

Vyriausybėms taip pat trūksta kompetencijos. Įsilaužus į JAV personalo valdymo biurą pavogta slapta informacija apie maždaug 20 mln. esamų ir buvusių federalinių darbuotojų, įskaitant leidimus dirbti su slaptais dokumentais. Matant tokius liūdnus rezultatus būtų sunku patikėti valstybei ar bendrovėms rinkti ir saugoti užšifravimo raktus.

Kai kurie Vakarų žvalgybos vadai sutinka, kad reikia šifruoti rimčiau. Pasak R. Hannigano, mintis, jog GCHQ siekia silpninti šifravimą, – mitas. Jai tik reikia galimybės pasiekti saugomą informaciją, kai tai būtina norint užtikrinti nacionalinį saugumą ir tirti rimtus nusikaltimus. Gal R. Hanniganas viską vertina realistiškai. O gal pripažįsta, kad teroristų komunikacijos ypatumai (kas su kuo ir kada bendrauja) gali būti ne mažiau svarbūs nei pranešimų turinys, kuris vis tiek dažnai dviprasmiškas. Tikėtina ir tai, kad žvalgybos agentūros išmoko įveikti bent jau kai kuriuos anksčiau neįveikiamus kodus. Gandai po internetą sklando jau seniai, bet nei NSA, nei GCHQ apie tai nekalba.

Kad ir kaip būtų, net geriausia šifruotė turi silpną vietą – pranešimo siuntėją arba gavėją. Šifruotę reikėtų laikyti du kompiuterius jungiančiu tuneliu. Jis gali būti gilus, slaptas ir gerai apsaugotas, bet jame vis tiek yra įėjimas ir išėjimas. Vos pranešimas įgauna žmogui matomą arba girdimą formą, jį nesunku pasiekti ir šnipams: galima padaryti ekrano kopiją, įrašyti klaviatūros klavišų paspaudimus arba tiesiog patalpoje įtaisyti mažytę kamerą ir mikrofoną. Jei pareigūnai žino, kurie žmonės ir įrenginiai verti dėmesio, jie turi nemažai šansų perimti jų pranešimus. Jungtinės Karalystės parlamentui pateiktas įstatymo projektas dėl žvalgybos priežiūros pirmą kartą GCHQ suteiktų tikslius teisinius įgaliojimus įsilaužti į kompiuterius ir mobiliuosius telefonus.

Visa tai rodo, kad Vakarų vyriausybėms taikiniu verčiau rinktis ne šifravimą, o susijusią, bet kitokią problemą – anonimiškumą. Internete – registruodamas el. pašto ar socialinio tinklo paskyrą, rašydamas komentarą arba kurdamas svetainę – gali pasivadinti, kaip nori. Išmanųjį telefoną galima nusipirkti ir naudoti pateikus neišsamius arba melagingus asmens duomenis, o kartais išvis jokių. Tokia laisvė – patogi ir branginama. Žmonėms iš autoritarinių šalių tai leidžia veikti nematant valdžiai. Tai galimybė eksperimentuoti ir žaisti privačiai. Bet kartu – proga pasislėpti nusikaltėliams ir teroristams.

Dabar daugelyje šalių reikalaujama perkant mobilųjį įrenginį pateikti tapatybės dokumentą (išimtis – Jungtinė Karalystė). Bet šie reikalavimai negriežti, o surinkti duomenys nėra automatiškai perduodami teisėsaugos įstaigoms. Daugelyje šalių taisyklės griežtinamos. Belgija ketina uždrausti parduoti SIM korteles (lustus, kurie telefonams leidžia prisijungti prie mobiliojo ryšio tinklo) be tapatybės dokumentų. Bangladešas pristatė planus įdiegti biometrinę visų mobiliųjų telefonų naudotojų identifikavimo sistemą. Nigerijoje viena stambi mobiliųjų telefonų bendrovė gavo 5 mlrd. JAV dolerių baudą, nes neužtikrino deramos SIM kortelių registracijos. Pasak valdžios, jas naudoja džihadistų grupė „Boko Haram“.

Po Paryžiaus išpuolių demokratiškos visuomenės gali pagrįstai klausti, ar teisė išsaugoti anonimiškumą – internete ar keliaujant po Europą – turėtų likti beveik absoliuti.

Tai kontroversiški žingsniai. Bet realiame gyvenime anonimiškumas taip pat varžomas. Daugumoje šalių negali vairuoti automobilio be valstybinių numerių, neturėdamas vairuotojo pažymėjimo ir draudimo. Daugumoje reikalaujama iškart užregistruoti naujagimius, taip pat išduodami numeriai, pagal kuriuos sekamos socialinės apsaugos sistemų įmokos ir išmokos. Žmonės nesitiki gyventi anoniminiame name, anonimiškai gauti pajamų arba (šiandien) atsidaryti banke anoniminę sąskaitą. Technologijų istorijoje netrūksta pavyzdžių, kai naujų įrenginių ir funkcijų reguliavimas vėluoja. Pirmieji automobiliai ir lėktuvai neturėjo numerių, o šiandien jau susidomėta bepiločiais orlaiviais.

Stipriausias argumentas už anonimiškumą – privatumo apsauga. Žmonėms atsiranda galimybė daryti tai, ko nesiimtų, jei veiksmas būtų susijęs su jų vardu. Argumentuojama, kad asmuo turi teisę įsilieti į judrią gatvę ir nebūti stebimas, tad reikia ir teisės anonimiškai naršyti internete.

Bet įsivaizdavimas, kad galima pasislėpti minioje (vadinamasis saugumas liekant nepastebėtam), iš esmės tėra fikcija. Susidėjus pajėgiems algoritmams, didesniam apdorojimo pajėgumui, kone neribotai kompiuterių atminčiai ir milžiniškoms galimybėms rinkti duomenis, žmonės yra matomi daug labiau, nei dažnas įsivaizduoja. Bent jau privačioms įmonėms, jei ne valstybei. Dauguma žmonių gausiai dalijasi privačia asmenine informacija mainais į tokias paslaugas kaip „nemokamas“ el. paštas (jie anaiptol ne klientai, o produktai – jų dėmesys ir profilis parduodamas reklamuotojams). Kiekviena svetainė gali fiksuoti duomenis apie lankytojo naršyklę ir kompiuterio parametrus, dažnai paliekančius unikalų pėdsaką.

Po Paryžiaus išpuolių demokratiškos visuomenės gali pagrįstai klausti, ar teisė išsaugoti anonimiškumą – internete ar keliaujant po Europą – turėtų likti beveik absoliuti. Tais atvejais, kai su duomenimis dirbantys subjektai bus tinkamai demokratiškai prižiūrimi, europiečiams teks iš dalies atsisakyti anonimiškumo, kad būtų išsaugota laisvė ir saugumas. Atvirame internete asmens duomenų ir tapatybės saugumą turėtų užtikrinti sunkiai įveikiamas ir visuotinis šifravimas. Atviroje Europoje asmens saugumą geriausiai pavyks užtikrinti, jei policija ir žvalgybos tarnybos galės dalytis informacija taip pat sklandžiai, kaip ja dalijasi teroristai.

2016 02 01 09:12
Spausdinti