Dvaja obri proti 130 trpazlíkom. Aj tak by sa dala komentovať správa o projekte Apple a Google, dvoch výrobcov operačných systémov pre smartfóny, ktorí pokrývajú vyše 99% trhu. Vraj idú spolupracovať na projekte, aby si smartfóny vymieňali informácie a signalizovali blízkosť nakazenej osoby.
Tento projekt je podobný tomu, na ktorom pracujú výskumníci z EPFL, Ecole Polytechnique Fédérale de Lausanne, a 130 ďalších organizácií z 8 krajín, ktorý je nazvaný PEPP-PT, Pan-European Privacy-Preserving Proximity Tracing. Ide o systém na bezpečné a anonymizované zisťovanie blízkosti osôb, ktoré sa deklarovali pozitívne testované. Cieľom je zjednodušiť, automatizovať a urýchliť kontakty infikovaných osôb.
Prezident školy Martin Vetterli sa tomu teší. Projekt amerických high-tech obrov "je ohromná technologická podpora" pre koncept "proximity tracing" cez Bluetooth. Že sa veľké firmy rozhodli využívať rovnaký princíp otvára cestu štandardizácii riešenia, dáva silný celosvetový impulz a otvára dvere celoeurópskej norme.
Na EPFL vyvíjajú aj iné aplikácie, ako Coughvid, ktorý zaznamená kašeľ a z neho odvodí (približnú) diagnózu. Celkovo bolo vybraných 12 projektov, ktoré dostali financovanie.
Zároveň existuje viacero iniciatív viacerých vlád, ktoré však nie sú veľmi naklonené rešpektu ľudských práv a preto nemožno očakávať, že by výstupy ich technických riešení uspokojili náročného západného zákazníka. Ako lokalizácia cez operátorov alebo aj bez vedomia operátorov. Predsa len, u nás sme už prežili humanizmus a renesanciu a s totalitou sme sa vysporiadali ešte v 20. storočí. Teda väčšinou vysporiadali.
Apple a Google hovoria o API, Applications Programming Interface, ktoré má byť vypustené na verejnosť v priebehu mája a má umožniť vývoj applikácií pre sledovanie chorých zo strany úradov verejného zdravia. Tieto API majú byť totožné pre oba operačné systémy Android i iOS a umožniť interoperabilitu. Neskôr, v priebehu pár mesiacov, sa má pripraviť aj interface Bluetooth a zabudovať funkciu do "underlying platforms", nech to vyjadrenie už znamená čokoľvek. Technické detaily o Bluetooth, kryptografii a API boli už zverejnené.
Obe firmy sa verejne zaväzujú, že budú rešpektovať pravidlá
- vyžiadať si výslovný súhlas užívateľa
- nezhromažďovať identifikovateľné osobné alebo polohové dáta
- zoznam kontaktovaných osôb neopustí užívateľov telefón
- osoby, ktoré sa deklarujú pozitívne testované, nebudú identifikovateľné inými osobami, ani zo strany Google či Apple
- bude využívané na trasovanie kontaktov úradmi verejného zdravia
Projekt je kontroverzný. Profesor Ross Anderson z Univerzity v Cambridge 12. apríla 2020 publikoval blog Contact Tracing in the Real World, v ktorom vzniesol sedem námietok.
- COVID-19 je choroba, ktorá v mnohých krajinách podlieha hláseniu. Lekár, ktorý ju diagnostikuje, ju nahlási úradom. Tie potom zavolajú chorého a zisťujú jeho kontakty.
- Zaznamenávanie kontaktov hľadá prístup k iným dátam, ako elektronické lístky verejnej dopravy či záznamy kreditných kariet (Singapur), aby mohli zistiť napríklad taxík, ktorým sa chorý prepravil (Taiwan).
- Chorý nemôže čakať na diagnózu. V niektorých krajinách Vás otestujú, len ak ste VIP alebo ak ste boli pripustený do nemocnice (UK). VIP-ovia svoju chorobu obvykle vyvesia ako status na sociálnych sietiach, ale bežní smrteľníci sú príliš chorí, aby sa tým zapodievali.
- Úrady potrebujú aspoň približne poznať polohu pacienta, aby mohli predvídať navýšenie kapacity lôžok a ventilátorov. V Británii k tomu stačia prvé tri písmená poštového smerovacieho čísla, ale je to na úkor anonymity.
- Kryptografia nezabráni trollom, aby appku zneužili. "Performance artists" priviažu smartfón na obojok psovi a nechajú ho behať po parku. Decká tam pošlú falošnú správu, aby evakuovali celú školu. Rusi to zneužijú na útoky proti serverom typu Denial-Of-Service a na šírenie paniky, že to nefunguje.
- Subjektívne a ľudské kritériá. Keď sa profesor vracal z prechádzky so psom, porozprával sa so susedou. Vzdialenosť asi 3 metre, bočný vietor, žiadna možnosť nákazy. Ak by mal smartfón s appkou, už by bola v kontaktoch a podozrivá. Vláda nemôže zakázať také kontakty, ani trestať ľudí za vyvolanie falošného záznamu. Ako to bude fungovať v rade pri pokladni v obchode? Bluetooth prestupuje aj stenami.
- Decentralizované systémy sú teoreticky pekné, ale v praxi zložité. Hlavne s protokolmi spred 30 rokov ako BGP, DNS, SMTP... Kryptovanie to urobí ešte zložitejším, krehkým, a rigidným - spomeňte si na problémy s certifikátmi SSL. A teraz si predstavte databázu zo stovky rôznych telefónov od rôznych výrobcov.
Ale najvážnejším problémom bude interakcia medzi súkromím a ekonomikou. Ak bude používanie dobrovoľné, tak bude rozšírenosť 10-15% ako v Singapure. Vytvorí sa odpor, ako proti elektronickým certifikátom imunity, keď ľudia preferujú klasický papierový dokument. Kompromisy znížia užitočnosť systému.
Iným hlasom proti so závažnou námietkou, že COVID nemôže byť motorom, ktorý v núdzi spoločnosť naženie do slepej uličky digitálnej transformácie na úkor základných práv, je Solange Ghernaouti, riaditeľka Swiss Cybersecurity Advisory and Research Group. V článku denníka Le Temps z 13. apríla 2020 hovorí, že pri počítačovej bezpečnosti rovnako ako v plánovaní kapacít zdravotnej starostlivosti treba mať rezervy, ktoré budú okamžite dostupné slúžiť v čase krízy a ktoré nesmú byť závislé na tretích stranách, pre potreby prevencie, ochrany a reakcie. Len o vlások sme unikli pandémii pri SARS, pri MERS, pri Ebole, či chrípke H1N1 a napriek tomu sme nemali potrebné rezervy, aby sme mohli rýchlo reagovať a zvýšiť bariéry šírenia nového čínskeho vírusu. Neboli masky, neboli dezinfekčné roztoky, neboli pripravené opatrenia na karanténu a izoláciu.
Sledovanie populácie cez mobilné telefóny alebo nástrojmi geolokalizácie neobmedzí šírenie vírusu v populácii, ktorá je už masívne zasiahnutá. Technológia nenahradí vakcínu alebo liek. Pomôže len na samom začiatku infekcie, keď je počet zasiahnutých tak malý, že je ešte možné ich všetkých nájsť a izolovať.
Nútiť občanov, aby sa podrobili sledovaniu technologickými prostriedkami je neefektívne aj z hľadiska nákladov/zisku. Náklady na rúško sú centimy. Konštruovať systémy, hoci aj postavené na existujúcich technológiách, je cenovo omnoho náročnejšie. Smartfóny stoja stovky dolárov. Aplikácie treba vyvinúť, udržiavať, pracovať s big data, starať sa o bezpečnosť dát, všetko v rámci ochrany osobných údajov a na legálnej báze. A práve tu je pointa: všetky doteraz prezentované riešenia sú problematické z hľadiska ľudských a občianskych práv.
Systémy "pozorovať a trestať" môžu využívať kamery a algoritmy rozpoznávania tvárí. Už to je v prevádzke v Číne a v Rusku, hlavne v Moskve. V Číne sa používajú kódy QR ako priepustka či na sledovanie ľudí, ktorí vstupujú do kontrolovaného priestoru. Kódy sa používajú aj na rozlíšenie osôb podľa zdravotného stavu. Vo Francúzsku sa ide používať QR ako potvrdenie výnimky zo zákazu pohybu. Počítačové sledovanie populácie sa dáva do prevádzky v Izraeli a Južnej Kórei.
Po zvládnutí pandémie potreba pominie, ale inštalované technologické prostriedky zostanú a môžu byť naďalej zneužívané na iné ciele. Populácia už nebude klásť odpor, zvykla si. Ako na používanie kreditných kariet, online daňové priznania a reklamy šité na mieru pri prehliadaní internetových stránok. Už teraz technologické spoločnosti sledujú ľudí pri ich interakciách online. Ak používate služby zadarmo, stávate sa tovarom Vy. Vlády môžu ísť omnoho ďalej.
Byť v karanténe nie je veselé, ale byť v klietke s kamerami je horšie. Viac, ako kedykoľvek predtým, sa treba zamýšľať nad rovnováhou bezpečnosti a slobody. Ak sú nezvratné zariadenia už inštalované, aby vydržali dlho, už bude neskoro ľutovať, že sme sa proti tomu nepostavili.