Egyre több helyre kerülnek fel adataink az internet, a közösségi média és a felhő alapú alkalmazások folyamatos terjedése következtében. És minél több helyen tároljuk őket, annál nagyobb a rizikója annak, hogy valami “bajuk esik”. Szakértővel elemezzük az egyik legfrissebb adatkezelési botlást.
Rengeteg hírt látunk, hallunk a világ legnagyobb tech-vállalatairól, amelyekben sorozatosan bukkannak fel adatvédelmi és egyéb biztonsági botrányok és ezek alól a mobilos applikációk sem kivételek. Idén május végén újabb hatalmas fiaskóról olvashattunk, rögtön azután, hogy az iOS legfrissebb verziója elkezdte szépen megmutatni a felhasználóknak, hogy a különféle appok mit csinálnak a háttérben. És mi az eredmény? Egy vaskos lista népszerű és hatalmas felhasználói bázisú alkalmazásokról, amik olvassák a telefon vágólapjára másolt adatokat, vagy épp figyelik, hogy mit gépelünk. Akkor is, amikor azt gondoljuk, hogy épp nem futnak. Krasznay Csaba kiberbiztonsági szakértőt kérdeztük a jelenségről, kiberbiztonságról, adatokról, algoritmusokról, követésről és a legnagyobb technológiai vállalatokról.
Egy álnaiv kérdéssel kezdenék: baj az, hogy ennyire figyelnek minket az applikációk? Paranoiásnak vagy óvatosnak kell lenni, esetleg az egész csak egy felfújt lufi, hogy legyen miről írni a tech-médiának?
Én erre egyetemi oktatóként a 18-20 éves hallgatóimnak azt a kérdést szoktam feltenni, hogy “vannak-e titkaik?”. És erre mindig az a válasz: “igen vannak”. A következő kérdés pedig az, hogy baj-e, ha ezek a titkok kikerülnek a nagy technológiai cégekhez? “Végül is nem baj mert igazából nincsenek olyan nagy titkaink, nem akkora titkok ezek, mint ami mondjuk a nemzetbiztonsági hivatalt érdekli vagy érdekes lehet a nagy cégek számára is.”
Azonban, ha belemegyünk kicsit mélyebben ezekbe a beszélgetésekbe, érdekes dolgok bukkannak fel: jó-e az például, hogy a Google vagy a Facebook a keresési előzmények alapján előbb tudja, hogy nőként gyerekem lesz, mint mondjuk a potenciális apa. Mert adott esetben rákeresek arra, hogy hogyan kell használni a terhességi tesztet és ez alapján az algoritmusok összerakják azt a profilt mondjuk a Facebookon, hogy utána releváns hirdetések, például egy 4D ultrahang akció jelenjen meg a számunkra. Ez az a pont, ahol a hallgatók is elkezdenek azon gondolkodni, hogy ez bizony már problémás szituáció lehet.
Kicsit tágabb perspektívába helyezve a kérdést, az örökbecsű idézet szerint, ha egy szolgáltatás ingyen van akkor mi magunk vagyunk az áru .
Az elmúlt években elég hangsúlyosan lehet azt látni, mit jelent árunak lenni. Nem véletlen, hogy nemrégiben idézte be szenátusi meghallgatásra az amerikai államigazgatás a Facebook, a Google, az Amazon és az Apple vezérigazgatóit, pontosan azért, hogy jobban megértse a politika és az állampolgár is, hogy mi mindent okoz az, hogy ennyi mindent tudnak rólunk ezek a cégek. Ezen belül a mobilok, az applikációk és a mobil távközlés tette lehetővé azt, hogy még inkább azonnali és még pontosabb keresési, geolokációs, viselkedési és egyéb adatokkal gazdagodjanak ezek a cégek. Összességében tehát ez egy nagy probléma, mert ezek az algoritmusok nem transzparensek, nem követhetőek és nem tudjuk, mi történik az adatokkal, másrészről pedig gyakorlatilag a 21. század egyik legnagyobb innovációja az, amit ezekből az adatokból egyébként el tudunk érni.
Névjegy: Krasznay Csaba
Saját megfogalmazása szerint: “Én vagyok a cyber-mindenes ember. A kiberbiztonság oktatója, kutatója, mentora, vállalkozója, szakértője, előadója és tanácsadója”. Elismert kiberbiztonsági szakértő, a Nemzeti Közszolgálati Egyetem docense, az NKE Kiberbiztonsági Kutatóintézet igazgatója, a TZalTech kutatási partnere, az OXO Cybersecurity Labs alapítója és mentora, a Mongu for Teen alapítója és termékmenedzsere, valamint a Privadome termékmenedzsment-tanácsadója.
Technológiai újságíróként el tudom azt fogadni, hogy én vagyok az áru, ezzel foglalkozom, ebben élünk: kikapcsolgatom szépen a cookie beállításoknál a követési kódokat és követő algoritmusokat, ahol csak lehet és nekem nincs azzal bajom, ha mondjuk tudja az algoritmus, vagy applikáció, vagy egy nagy cég, hogy éppen elkopott a 44-es futócipőm és másikat keresek, ugyanakkor azt nem szeretném, hogy előbb tudja meg a Facebook vagy a Google, hogy gyerekem lesz, mint én. Van valami egészséges egyensúly ebben, tehát tudjuk-e azt szabályozni, hogy mihez és hogyan férjenek hozzá ezek a technológiák?
Én azt gondolom, hogy létezik és létezhet egy egészséges egyensúly. Én is hozzád hasonlóan alaposan megnézem, hogy milyen információkat, adatokat adok ki magamról, sőt miután ezek az algoritmusok tipikusan az adatból gazdálkodnak, hogyha én ezt az adatot szándékosan elrontom, “megmérgezem”, akkor az algoritmus rossz következtetéseket fog levonni. Épp a napokban néztem meg hogy a Google szerint, dacára annak, hogy két gyerekem van, én nem gyerekes felhasználóként vagyok azonosítva a rendszerben.
A Facebook és Google hirdetési beállításaim is úgy vannak konfigurálva, hogy ne legyenek személyre szabva a hirdetések, tehát általános reklámokat kapok – természetesen én is kapok, ezt senki nem ússza meg – és valahol ez nekem egy egészséges egyensúly. Ami nagyon hiányzik az az, hogy a felhasználók tudjanak arról, hogy itt Európában, ezek a beállítások a rendelkezésükre állnak, tehát mi magunk hozhatjuk meg a döntéseket, hogy mit, milyen adatokat adunk a szolgáltatásokért cserébe. Viszont amikor a felhasználó nem kapja meg a megfelelő tájékoztatást erről, sem a technológiai cégtől, sem a szolgáltatást biztosító vállalattól, sem az államtól, akiknek feladata lenne ezeket az információkat biztosítani, akkor (a felhasználó) nem lesz elég informált ahhoz hogy a megfelelő egyensúlyt biztosítsa magának, pedig erre a lehetőség már most is adott.
Az alapok után beszélgessünk egy kicsit a konkrétumokról, hiszem május vége óta komoly bajban van néhány applikáció tulajdonosa, ugyanis az iOS legújabb frissítésével egy olyan szolgáltatás került az Apple mobil operációs rendszerébe, ami megmutatja, hogy a háttérben mennyi mindenben “turkálnak” az alkalmazások akkor is, amikor elméletileg nem kéne futniuk. A TikTok-tól kezdve, amivel rengeteg probléma volt már az elmúlt időszakban, a LinkedIn-en át egészen a New York Times alkalmazásáig találunk olyan appokat, amelyek finoman szólva is meglepő és aggasztó módon viselkednek. Mit tehetünk ez ellen felhasználóként?
A 14-es iOS-t említetted, de már a 13-as verzióban is voltak hasonló megoldások, ott mondjuk a Bluetooth használatnál bukott ki, hogy a Facebook milyen intenzíven használja ezt a vezeték nélküli technológiát. De vajon minek is? Ez nem másról szól, mint arról, hogy alkalmazás-, vagy szolgáltatás fejlesztőként minél több képességét tudom kihasználni az okostelefonnak, annál több adatot fogok kapni azért, hogy minél személyreszabottabb szolgáltatást tudjanak kínálni a felhasználónak.
Azon az alkalmazáslistán, amit az új iOS 14-gyel kapcsolatban most közzétettek, és amin még a New York Times applikációja is szerepel, rengeteg olyan médiavállalat és hírportál alkalmazása is ott van, amelynek kapcsán felmerül az emberben a kérdés, hogy ezeknek az alkalmazásoknak mi köze van a vágólaphoz, amin az épp kimásolt szöveget, linket, képet, egyebeket tárolja az operációs rendszer addig, amíg mondjuk elküldjük üzenetben, vagy bemásoljuk egy levélbe. Hozzátéve, hogy ez a vágólap az összes nagy operációs rendszernél ma már felhő alapú, hiszen nemcsak a telefonom, hanem alapvetően a számítógépem vágólapját is meg tudom jeleníteni az okostelefonomon. Ez is fontos adat.
Mert mit szoktunk általában a legtöbbször kimásolni? URL-eket. A webcímből pedig rengeteg mindenre lehet következtetni.
Például híreknél arra, hogy mik azok az információk, hírek, események, amik engem érdekelnek és ez alapján sokkal relevánsabb feed-et képes például a Facebook, vagy a Google a felhasználó elé tenni, hiszen azokat a témákat jeleníti meg, amik érdeklik a usert. Ez pedig újabb problémát vet fel, hiszen abban a “visszhang kamrában”, vagy “információs buborékban” maradok, amelyet ezek az algoritmusok a saját érdeklődésemet elemezve biztosítanak a számomra és ezáltal lemaradhatok a világ sokszínűségéről, de ez is az előbb említett bluetooth használattal és a többi érzékelővel, funkcióval együtt a személyreszabottságot hivatott biztosítani. Ez pedig a hirdetőknek jó, hiszen ezzel együtt a legmegfelelőbb és leghatékonyabb hirdetést tudja a médiafelület felhasználóknak adni. És mivel a médiavállalatok bevételeinek túlnyomó része nem az előfizetésekből, hanem a hirdetésekből érkezik, ez a funkció a legfontosabb a médium számára.
Hogy megértsük a dolgot, ugorjunk vissza a Cambridge Analytica botrányhoz, ahol az eset kapcsán nyilvánosságra került adatokból kiderül, hogy egyetlen felhasználóhoz 5-6000 adatpontot voltak képesek kapcsolni az algoritmusok. Kutatások azt mutatják, hogy a Facebook esetében 30-35000 pont az, amit képesek egyetlen személyhez kapcsolni, míg más kutatók szerint ez a szám 50-60000 adatpontig is kiterjeszthető, ha minél több információt szerzünk be például az okostelefonok funkcióinak segítségével. Ez a gyakorlatban azt jelenti, hogy ha hozzám több tízezer adatot tudnak kapcsolni, akkor ezek a szolgáltatások jobban meg tudják mondani, hogy én ki vagyok, mint akár én magam. Vagyis ez az Apple által kifejlesztett új funkció csak azt mutatja meg, hogy az alkalmazások továbbra is szeretnének róluk minél több adatot megtudni, minél több információhoz hozzájutni, hogy az alap profilunkat minél jobban tudják gazdagítani, hogy még jobban targetált, még pontosabb hirdetési felületeket árulhassanak a hirdetőknek.
De ezzel a fejlesztéssel az Apple egy óriásit rúg a hirdetési piacba, abba a piacba, ahol olyan szereplők vannak, mint a Facebook, a Google vagy éppenséggel az Amazon. Ez nekem szándékos lépésének tűnik, amivel a kaliforniai cég azt üzeni, hogy ők a “jó fiúk” és nem hagyják, hogy a nagy multik turkáljanak az Apple felhasználók életében. Neked mi a véleményed?
Ez abszolút szándékos. Az Apple hosszabb ideje hirdeti azt, hogy ők nem adatból élnek, hanem termékből és szolgáltatásból. Nekik van “vasuk” méghozzá nagyon sok, vannak olyan szolgáltatásaik, mint például az app store vagy a felhő szolgáltatások, amiből jól megélnek. Emellett egyfajta “kapuőr” funkciót is ellátnak, hiszen ők maguk is hozzá tudják segíteni a cégeket, hogy eljussanak a felhasználóikhoz és ezzel egy nagyon komoly ökoszisztémát építettek fel, ami nem függ az adattól, szemben mondjuk a Google-lal és a Facebook-kal, ahol az adat az elsődleges érték. Közben pedig jól látszik, hogy a világ egyre inkább aggódik a felhalmozott adatok miatt, így az Apple úgy érezte, hogy ez a fajta kommunikáció egy jól felismerhető és megkülönböztető marketing fogás lehet a cég számára.
Ráadásul, ha a nagyobb hardver technológiai konkurenseit nézzük, a legtöbb márka kínai, amelyekkel kapcsolatban kiderült, hogy adatokat szivárogtattak ki akár a kínai kormánynak is, ami az amerikai és az egyéb felhasználók esetében sem szerencsés. Így nyugodtan kijelenthető, hogy az Apple nem véletlenül teszi bele ezeket az új funkciókat az eszközökbe. Közben azért azt is lehet látni, hogy Steve Jobs halála után egy kis “önismereti válságba” került az Apple. Keresi, hogy kicsoda ő, mi az ő helyzete a piacon és azért ebben az időszakban nem egy komoly biztonsági botrány volt a Apple körül is hasonlóan mondjuk a Microsoft-hoz, aki a kétezres évek elején egészen döbbenetesen rossz biztonsági intézkedéseket és fejlesztéseket hozott, majd utána kénytelen volt megígérni, hogy mostantól a mieink lesznek a világ legbiztonságosabb operációs rendszerek és alkalmazások és ez így is lett. És az Apple is az utóbbi években egyre nagyobb hangsúlyt fektet a biztonságra és az adatvédelemre tekintettel arra, hogy a Google-lal szemben, vagyis az elsődleges versenytárssal a szemben lemaradtak.
Átlag felhasználóként mik azok az alapvető dolgok, amiket megtehetünk azért, hogy nagyobb biztonságban legyünk mi, nagyobb biztonságban legyenek az adataink, nagyobb biztonságban legyenek a gyerekeink az online térben?
Azt gondolom, hogy a legfontosabb, amit megtehetünk – nyilván a tudatosságon kívül, tehát hogy tudatában vagyunk a jelenségnek, tudatában vagyunk annak, hogy gyűjtik az adatainkat – az az, hogy azoknál az alkalmazásoknál amiknél egyértelmű az adathalmozás, mint pl. a Facebook, Google, vagy épp a TikTok, ott mindenképpen érdemes egy “kis kirándulást” tenni az adatvédelmi beállításoknál és végig nézni az összes beállítást, az összes lehetőséget és letilthatjuk, amivel nem értünk egyet.
Mondok két egyszerű példát: A facebooknál például lehetőség van az arcfelismerésre, vagyis amikor felkerül egy fénykép rólam, ehhez hozzá tudja csatolni a Facebook profilomat automatikusan . Ha ezt nem akarom, egy kattintás a beállítások között és ki is kapcsolatm. A hirdetésekkel ugyanez a helyzet, meg tudom nézni, mit “gondol” rólam a Facebook csökkenthetem a hirdetések célzottságát. De fontos pont az alkalmazások telepítése is.
Ha ezen a ponton tudatosak vagyunk és a letöltésnél, az első használatnál átnézzük a legfontosabb beállításokat, sokat tettünk a biztonságunkért.
Az Apple-nél például igen komoly feltételeknek kell megfelelnie biztonság és egyéb szempontból egy alkalmazásnak, hogy bekerüljön végül az appstore-ba, így nem nagyon vannak olyan alkalmazások, amik kimondottan rosszindulatúak vagy kártékonyak lennének, viszont lehet egy csomó olyan rejtett funkció ezekben az alkalmazásokban, amiről nem feltétlenül tudunk. De egy Apple telefonon mondjuk a kamera használatot, a mikrofon használatot és a helymeghatározást a beállítások menüben nagyon egyszerűen végig tudjuk nézni és ki tudjuk kapcsolni ott, ahol nincs erre szükség. Ugyanezt a Google-nál Androidon, sőt a Chrome böngészőben is meg tudjuk tenni, mindenképpen érdemes az alkalmazás engedélyeknek utánanézni.
Érdemes figyelni a híreket, médiainformációkat, szakértői beszélgetéseket, amelyek olyan alkalmazásokról szoftverekkel szólnak, amelyeknél esetleg valami történt biztonsági vagy bármilyen szempontból, hiszen a média a nagyobb botrányoktól általában beszámol és érdemes elgondolkodni, hogy ezek után akarom-e azt az adott szolgáltatást használni. Ha nem, akkor európai állampolgárként jogom van minden az adott szolgáltatónál lévő adatomat törölni, töröltetni, ez a felejtéshez való jog, ezt is érdemes használni.
Abszolút kézenfekvő biztonsági kérdés a regisztrációs folyamatok a kérdése is Általában egy e-mail cím és jelszó párossal tudunk regisztrálni valamilyen szolgáltatásra. Gondolkodjunk el, hogy érdemes-e mindenhol ugyanazt az e-mail címet, felhasználónevet és jelszót megadni, vagy bizonyos szolgáltatásnál ne használjunk-e egy eldobható e-mail címet és generáljunk egy jelszót egy jelszómenedzser programmal. De használhatjuk a Google, a Facebook, vagy éppen az Apple autentikációs szolgáltatását is, ami elsőre talán ellentmond annak, amit eddig mondtam az adatvédelemről, de ezzel a lehetőséggel például a Google-ön keresztül egyetlen kattintással meg tudom vonni a hozzáférést az adott szolgáltatástól vagy applikációtól és nem szivárognak ki az adataim. A legfontosabb mindig, hogy gondoljuk meg hogy milyen adatot hozunk létre, hiszen a legjobb digitális adat az amit nem hozunk létre. Nem kell ész nélkül megosztani, fényképezni regisztrálni, mert ezzel is csökkentjük a rólunk készülő adathalmaz méretét.
Odafigyelünk mindenre, ésszel használjuk az alkalmazásokat, beállítjuk, amit be lehet állítani utánanézünk az alkalmazásengedélyeknek, felhasználóként megteszünk mindent, amit lehet. De mi a helyzet az államigazgatással és a politikával?
Az elmúlt 15-20 évben jött egy technológia, ami sokkal gyorsabban robbant be és sokkal gyorsabban terjedt el, mint bármi más az emberiség történetében és mégis komoly hatással volt az emberiségre. Ez a technológiai reveláció nagyjából a 2010-es évektől felforgatott mindent a közösségi kapcsolatainktól a politikán és a hirdetési piacokon át a médiáig. Egyszerűen a politika, az államigazgatás nem tud ilyen gyorsan reagálni ezekre a változásokra, már csak azért sem mert itt a politikusok jellemzően az 50-60 pluszos korosztályból kerülnek ki és nem is igazán értették meg azt, hogy ezek a változások mit jelentenek a társadalom számára.
Viszont körülbelül 2015-től kezdve, és különösen az amerikai elnökválasztások után, a kibertéri tevékenységek és a kibertéri háborús erőfeszítések kapcsán rengeteg olyan jel volt, ami arra késztette a jogalkotókat, hogy meghozzák azokat a politikai és jogalkotási szabályozásokat, amivel kereteket tudnak szabni a technológia köré. Európában elsősorban a GDPR szabályozást lehet kiemelni, ami 2018 májusától van érvényben és alapvetően korlátozta azt, hogy a technológiai cégek mit tehetnek meg az európai állampolgárok adataival. Hozzáteszem, hogy a technológia nem feltétlenül állt rendelkezésre ahhoz, hogy minden a GDPR szabályozásban foglalt rendelkezést meg lehessen valósítani, de látszik, hogy ez egy olyan kényszerítő eszköz, ami Európán túl most már Ázsiában és az Egyesült Államokban is mintaként szolgál.
Nemrégiben olvastam a New York Times egyik cikkét, ahol kimondottan azért kampányolnak, hogy legyen egy GDPR-hoz hasonló adatvédelmi rendelet az Egyesült Államokban is, úgy, hogy gyakorlatilag 2017-ig az adatvédelem az amerikai kultúrkörben egy ismeretlen fogalom volt. Az adat is csak egy olyan eszköz volt, amiből pénzt lehet csinálni. Az én nem túlságosan meglepő jóslatom az, hogy feltehetően olyan nagyon kemény intézkedéseket fognak foganatosítani a technológiai cégekkel szemben, amit lehetett látni korábban az olajipari cégek, vagy a távközlési cégek esetében a hetvenes években, vagy még korábban.
Én azt gondolom, hogy azokat a szabályozási és politikai lépéseket meg fogják hozni, amik segítenek, hogy ezek a szupranacionális, tehát nemzetek fölött álló szolgáltatások szabályozható keretek közé kerüljenek. Mindeközben viszont a háttérben az ENSZ-en belül egy nagyon komoly vita folyik az államok között arról, hogy mit is jelent tulajdonképpen a kibertér, milyen szabályok vonatkoznak a kibertérre. Ez pedig – megint csak egy jóslat következik – azt fogja eredményezni a 2020-as évek közepére, hogy az a globális, multinacionális, de mégiscsak amerikai cégek és szervezetek által irányított, és amerikai fejlesztésből, amerikai érdekek mentén irányított technológia át fog alakulni egyfajta a nemzetek által kontrollált technológiává, tehát az a fajta internet, amit eddig megismertünk, egészen biztosan meg fog változni, ezzel együtt pedig minden más digitális szolgáltatás is.