Z Jarkiem Potiukiem miałem okazję porozmawiać już na temat kontrowersji związanych z aplikacją ProteGO Safe. Poniższy wywiad jest próbą odpowiedzi co to znaczy, że podobne aplikacje będą używały rozwiązań stworzonych przez amerykańskie koncerny technologiczne.
Artur Kurasiński – Aplikacja ProteGo Safe będzie w pełni zintegrowana z systemami Androida i iOS. Sojusz Apple i Google ma pomóc rządom i obywatelom w walce z pandemią COVID-19. Na czym polega rozwiązanie tych firm i dlaczego jest lepsze niż inne?
Jarek Potiuk – Rozwiązanie Google i Apple (od paru dni już oficjalnie nazwane “Exposure Notification”) jest stworzone od podstaw według zasady “privacy by design” (czyli “prywatność wbudowana w projekt”). Aplikacja ProteGO Safe – jeszcze do niedawno – miała w założeniach “privacy by trust” – czyli “prywatność przez zaufanie”.
W tej wcześniejszej koncepcji ideą było to, że musimy zaufać podmiotowi przetwarzającemu dane – czyli w tym przypadku Ministerstwu Cyfryzacji. Mianowicie na serwerach Ministerstwa miały znaleźć się informacje, jakie potencjalnie mogły umożliwić odtworzenie kontaktów i położenia osób – nawet osób zdrowych.
I to zaufanie (obecnie bardzo ważne słowo) ma dwa aspekty – zaufanie, że Ministerstwo dobrze ochroni te dane oraz że nie wykorzysta ich do innych celów. I nie mówię tu, że Ministerstwo by tak zrobiło oczywiście – tak daleko się nie posuwam – ale w takim rozwiązaniu istnieje olbrzymia pokusa, żeby zaczerpnąć z tych danych i korzystać z nich.
Na przeciwnym biegunie znajduje się “prywatność wbudowana w rozwiązanie” – czyli “privacy by design”. W takim rozwiązaniu nie trzeba zaufania do przechowywania wrażliwych danych na serwerze bo … tych danych tam po prostu nie ma. W tego rodzaju rozwiązaniach dane prywatne nie opuszczają urządzeń użytkowników – ba, nawet sami użytkownicy często nie mają do nich dostępu z aplikacji.
I właśnie takie podejście od początku zaproponowali Apple i Google. Wzorowali się (i współpracują) z inicjatywą DP-3T (nie mylić z C-3PO ;)), która od wielu tygodni pracuje nad w pełni prywatnym, zdecentralizowanym rozwiązaniem opartym o “privacy by design”.
Wyjaśnisz, na czym polega pomysł Google i Apple w zakresie “contact tracing”?
W dużym skrócie – jak większość tego rodzaju rozwiązań bazuje ono na technologii BLE (Bluetooth Low Energy) i ma na celu ostrzeżenie, jeśli nasz telefon w ciągu ostatnich kilku dni przebywał w pobliżu osób, które zostały zdiagnozowane lub – w ostatniej wersji rozwiązania – jest bardzo prawdopodobne, że są chore, ale jeszcze czekają na wynik testów.
Podobnie jak w innych rozwiązaniach, telefony nadają co chwilę sygnały (podobnie jak latarnia morska), które odbierają inne telefony. I podobnie jak latarnie morskie, każdy telefon nadaje swoją własną sekwencję sygnałów. Ta sekwencja jest w odpowiedni sposób zmienna i zaszyfrowana – dzięki nowoczesnym zdobyczom matematyki i kryptografii, można to zrobić w taki sposób, żeby nie dało się – albo byłoby to bardzo, bardzo trudne – zidentyfikować poszczególne osoby.
Jest to robione w bardzo anonimowy sposób i na straży tego stoi właśnie jedna z najważniejszych nauk – matematyka. Te sygnały mogą potem być użyte, żeby dowiedzieć się, czy blisko i przez odpowiedni czas zetknęliśmy się z osobą, która później (w ciągu 14 dni) została zdiagnozowana jako chora. Ale co najważniejsze – chodzi tylko o fakt zetknięcia się. Nie wiemy, ani z kim ani kiedy dokładnie (wiemy ile dni upłynęło od kontaktu).
Dzięki temu ta osoba dalej pozostaje anonimowa. I to jest podobne we wszystkich rozwiązaniach. Ale najistotniejsza różnica to “miejsce” sprawdzenia, czy kontakt nastąpił. W protokole „Exposure Notification” jest to … nasz telefon. W rozwiązaniach scentralizowanych (tak jak poprzednio w ProteGO-Safe) to na serwerze dane są analizowane i podejmowane są decyzje.
I znaczy to, że na serwerze muszą się znaleźć zarówno dane ludzi chorych – zdiagnozowanych, jak i zdrowych (jak tłumaczyłem w poprzednim wywiadzie – pośrednio wysyłanych przez ludzi zdiagnozowanych). W protokołach DP-3T i Exposure Notification decyzje o tym, czy ostrzec użytkownika, są podejmowane na jego własnym telefonie, a jego dane nigdy nie są wysyłane na serwer.
W praktyce na serwer (dodajmy – na serwer Ministerstwa Cyfryzacji a nie Google czy Apple) są wysyłane tylko dane, które w bardzo “pośredni” sposób identyfikują osobę chorą. I osoba chora musi się wprost zgodzić na podzielenie się tymi danymi.
Te dane nie mówią nic o lokalizacji danej osoby czy spotkaniach z innymi osobami – i – co ciekawe – te dane stają się publicznie dostępne. Są na tyle bezpieczne, że nie ma potrzeby ich dodatkowo zabezpieczać. W efekcie – na serwerze są dostępne tylko publicznie dostępne dane, które można użyć jedynie do “Contact Tracing”.
Dane te nie są użyteczne do czegokolwiek innego. Z punktu widzenia prywatności to fantastyczne rozwiązanie, bo żaden z aspektów zaufania, o którym mówiłem wcześniej, nie jest potrzebny. Nie można tych danych wykorzystać w żaden inny sposób, więc nie ma pokusy, żeby to zrobić. Nie ma też możliwości wykradzenia tych danych… bo one są publicznie dostępne, więc nie ma czego kraść :)
Dlaczego „Contact Tracing” obsługiwane za pomocą BLE jest uznane za tak dobre rozwiązanie? Dlaczego nie prościej jest wykorzystać dane od operatorów telefonii komórkowej? Jak dokładny jest Bluetooth obecnie?
Dane od operatorów telefonii komórkowej są przede wszystkim danymi lokalizacyjnymi, czyli takimi, które potrafią określić, kto gdzie w danym miejscu przebywał. To sprawia, że takie dane można właśnie wykorzystać w sposób inny niż założenia. Takie dane byłyby też wartościowe dla kogoś, kto chciałby je wykryć.
W zasadzie od początku dyskusji na temat potencjalnych rozwiązań większość ekspertów odrzuciło możliwość wykorzystania danych lokalizacyjnych do celów “Contact Tracing” – właśnie ze względu na te problemy.
Zostało to podsumowane choćby w “7 filarach zaufania” naszej rodzimej fundacji Panoptykon, czy też w wytycznych Europejskiego Inspektora Danych Osobowych dotyczących tego rodzaju aplikacji. Bluetooth dla odmiany daje możliwość śledzenia bardzo bezpośrednich kontaktów.
Zasięg tej technologii to od kilku do 100 metrów (w zależności od klasy urządzenia) – są oczywiście techniki “wzmacniania” takiego sygnału i zwiększenia zasięgu, ale w praktyce jest to trudne i mało praktyczne, kiedy urządzeń jest więcej.
Dodam jeszcze, że istnieją spore wątpliwości co do tego, czy technologia Bluetooth się faktycznie sprawdzi (również opisane w świetnym stanowisku Panoptykonu dotyczącym ryzyk aplikacji ProteGO-Safe). Technologia Bluetooth nie została stworzona, żeby “mierzyć” odległości między urządzeniami, więc jej użycie do sprawdzenia, jak blisko drugiej osoby przebywamy, może okazać się trudne.
I te wątpliwości również podzielam. Problem jest podobny we wszystkich rozwiązaniach typu Bluetooth Low Energy (BLE), bo taka wersja technologii Bluetooth jest do tego używana. Ale wydaje się, że jedyną metodą, żeby to sprawdzić, jest wypróbowanie. Inżynierowie Apple i Google dwoją się i troją, żeby dostosować możliwości tej technologii, i jest szansa, że rozwiązanie będzie mimo wszystko dobrze działać.
Wszystkim krytykom tego podejścia chciałbym zadedykować mój ulubiony fragment z filmu “Apollo 13”, w którym grupa inżynierów dostaje “wszystko, co jest dostępne w statku kosmicznym tam na górze”, i z ich pomocą mają wymyślić, jak kwadratowe filtry jednego rodzaju włożyć w okrągłe otwory po innych filtrach.
Stawką jest życie 3 astronautów. Ktoś, kto oglądał ten film (uwaga spoiler!), wie, że w końcu im się to udaje, a astronauci wracają szczęśliwie na ziemię. Wydaje mi się, że w tej chwili tak właśnie wyglądają działania inżynierów z Google i Apple. Pewnie ze względu na COVID-19 nie siedzą w jednym miejscu, ale na pewno mają non stop włączone komunikatory i pracują nad tym, żeby nagiąć technologię BLE do współpracy. I trzymam za tych inżynierów kciuki.
Jak ma działać wykrycie i sprawdzanie kontaktów osób zarażonych? Jeśli jestem osobą chorą (i skąd to wiem?), to muszę sam zmienić status w mojej aplikacji, czy robi to za mnie jakiś urzędnik?
To jest akurat bardzo dobrze przemyślane – w szczególności chodzi o to, żeby nikt nie “spamował” czy nie “trollował” tego rozwiązania. Nie może być tak, że ktoś samodzielnie zdecyduje “jestem chory”. I tu dochodzimy do sedna sprawy: po co w ogóle taka aplikacja? Jest dużo osób, które twierdzą, że aplikacja i technologia nie rozwiązują problemu “Contact Tracing”. I tu się z nimi absolutnie zgodzę.
Aplikacje typu “Contact Tracing” mogą być tylko uzupełnieniem dobrze zorganizowanej procedury “śledzenia kontaktów”, która powinna być wprowadzona na masową skalę, żeby w ogóle wyjście z izolacji było możliwe.
Taka procedura – wywiady, gdzie i kiedy osoba zdiagnozowana przebywała, z kim się spotykała – jest niezbędna, żeby efektywnie zmniejszać współczynnik zarażalności (tzw. R0).
Chodzi o to, żeby jedna zarażona osoba, zanim zostanie zdiagnozowana, nie zaraziła (statystycznie) więcej niż jednej osoby. Cała ta procedura musi uwzględniać możliwość szybkiego i nieodpłatnego wykonania testów osobom potencjalnie narażonym na zarażenie – tak, aby nie trzeba było w samoizolacji czekać na wynik.
Wczoraj wdrożono podobną, scentralizowaną aplikację w Czechach. I o ile nie pochwalam samego rozwiązania, to tam w proces testowania i organizacji punktów do tego zaangażowane jest wojsko.
Cały proces jest przygotowany tak, żeby osoba zagrożona nie czekała w samoizolacji dłużej niż 3 dni (a docelowo pewnie dużo krócej). To olbrzymi wysiłek logistyczny, żeby zorganizować takie przedsięwzięcie, ale jest to niestety warunek konieczny, żeby aplikacja taka miała sens.
Dlatego też przyspieszenie wdrożenia nie do końca dopracowanej aplikacji nie ma sensu, dopóki nie będzie zorganizowanej do tego całej logistyki.
I życzyłbym naszemu rządowi, żeby to zrobił naprawdę dobrze. Aplikacja musi być tylko dodatkiem, taką wisienką na torcie do wysiłku włożonego przez rząd w organizację “Contact Tracing”. Bez tej logiki, wdrażanie jej po prostu nie ma sensu.
Dlatego (pomijając wszystkie inne powody) pomysł z QR-kodami w centrach handlowych był absolutnie nieprzemyślany i zupełnie do niczego nieprzydatny. Dobrze, że po artykule w niebezpiecznik.pl rząd się z niego wycofał.
Ale wracając do spraw technicznych i twojego pytania – w momencie otrzymania diagnozy, że jesteśmy chorzy, dostaniemy również od urzędnika, który nas informuje, jednorazowy kod – mechanizm bardzo podobny do popularnych kodów BLIK, przy których tworzeniu również brałem udział notabene.
Taki kod przez jakiś czas pozwoli nam samym zdecydować, czy chcemy wysłać te dane, aby potencjalnie uratować komuś życie. To my wprowadzając ten kod zdecydujemy o wysłaniu naszych danych – przypomnę, zanonimizowanych, i tylko naszych – i nie będziemy nigdy wysyłać danych osób, z którymi się spotykaliśmy, co było bardzo dużą wadą poprzedniego rozwiązania.
I jeszcze ciekawostka – już za kilka miesięcy (czyli mniej więcej wtedy, gdy to rozwiązanie będzie potrzebne) w ogóle nie będziemy musieli mieć aplikacji do momentu tego “telefonu od urzędnika”. Cały system będzie działał niezależnie (będzie wbudowany w system operacyjny) i wystarczy, że użytkownik po prostu wyrazi zgodę na uczestnictwo w anonimowym “Exposure Notification”.
Cały proces zbierania i informowania o zagrożeniu będzie się odbywał bez aplikacji. Aplikacja będzie potrzebna jedynie do wysyłania danych, jeśli okaże się, że jesteśmy chorzy. Potem można będzie ją odinstalować. Tu mała dygresja – jeszcze nie wiemy, jak “Exposure Notification” zostanie przetłumaczone na polski, ale moja żona – prywatnie tłumaczka przysięgła angielskiego – zrobiła małą ankietę wśród swoich przyjaciół tłumaczy, i jedna z najlepszych propozycji to “Powiadomienie o kontakcie”.
Pierwsze komentarze dotyczące aplikacji typu “contact tracing” opartej o Bluetooth są takie, że bardzo mało osób ma na swoich telefonach uruchomionego Bluetootha, zatem to jest bez sensu i nie zadziała…
To bardzo zależy, o jakim kraju mówimy. Faktycznie, jeśli spojrzy się na liczby “globalne”, to na świecie są szacunkowo 2 miliardy urządzeń, które nie będą mogły użyć tej technologii. Liczba ta wydaje się ogromna, na świecie jest w użyciu ponad 5 miliardów urządzeń mobilnych, więc globalnie mówimy, że tej technologii może użyć 60% urządzeń.
Natomiast nie należy zapominać, że to są liczby globalne, uwzględniają one kraje takie jak Indie, czy kraje Afryki, gdzie jest bardzo dużo ludzi i bardzo mało smartfonów w porównaniu z Europą, Azją środkową czy Ameryką. Podejrzewam, choć nie mam niestety danych, że w naszej części Europy telefony zdolne do użycia “Exposure Notification” stanowią pewnie grubo ponad 90% urządzeń.
Technologia BLE wprowadzona została na masową skalę już w roku 2012, a więc ponad 8 lat temu. W zasadzie tą technologią dysponuje każdy smartfon wyprodukowany w ciągu ostatnich 5 lat, a w gruncie rzeczy jej brak jest jedynym ograniczeniem uniemożliwiającym korzystanie z “Exposure Notification”.
Naukowcy podkreślają, że wystarczy 60% “nasycenie” rozwiązaniem, żeby korzyści odczuło całe społeczeństwo. Bo – o czym warto wspomnieć – to, że nie ma się zainstalowanej aplikacji, nie znaczy, że nie jest się chronionym. To rozwiązanie działa – podobnie jak szczepienia – na zasadzie statystyki. Jeśli większość ludzi je ma, to całe społeczeństwo odczuwa pozytywne skutki.
Biorąc to pod uwagę – jeśli tylko osiągniemy (a to najtrudniejsze) powszechność technologii na poziomie 60%, to już wystarczy. I oczywiście budzi to sporo kontrowersji – “dlaczego Indie czy Afryka mają znowu mieć gorzej”. Ale nie zapominajmy, że to jest tylko uzupełnienie procesu. No i pytanie, czy powinniśmy rezygnować, jeśli możemy w ten sposób pomóc choć części społeczeństw.
To jest trudne pytanie i myślę, że każdy sam powinien sobie na nie odpowiedzieć. Inna sprawa, czy w ogóle da się to magiczne 60% osiągnąć. Jest wiele przykładów, że może to być bardzo trudne. W Singapurze po miesiącu działania osiągnięto 20%, a tam poziom zaufania do rządu jest bardzo duży. U nas może być dużo trudniej – ze względu na obecne podziały społeczne.
Ale znowu paradoksalnie – tu może pomóc rozwiązanie “Exposure Notification”. Jak wspomniałem wcześniej, już za kilka miesięcy do działania systemu w ogóle nie będzie konieczna instalacja aplikacji rządowej (do momentu pozytywnej diagnozy). To znaczy … że aby dołączyć do systemu, nie trzeba będzie nawet ufać specjalnie rządowi.
Wystarczy tylko zaufać Google lub Apple. To też dla wielu osób może być problemem, ale wydaje się, że nie ma w tym przypadku aż tak wyraźnych podziałów i kryzysu zaufania jak w dzisiejszej polityce, więc tu istnieje nieco większa szansa na sukces.
Inny częsty komentarz, z jakim się spotykam, jest taki: „Co z tego, że ktoś mnie będzie śledził – przecież jestem śledzony cały czas, mój telefon loguje się do sieci, mam zainstalowane aplikacje Google’a, które zbierają informacje o moim położeniu. Niech się boją ci, co mają coś do ukrycia…”
Według mnie to jest znaczne spłycenie tematu. Nie możemy porównywać prywatnych korporacji do demokratycznie wybranych rządów. O ile z usług Google czy Apple można zrezygnować, o tyle z bycia obywatelem danego kraju jest trudno.
Nie można się tak łatwo “wypisać” z tego, co robi rząd. Mam taką prywatną opinię, że rząd, Sejm, Prezydent i wszystkie inne organy, które wybieramy w wolnych, powszechnych, równych, tajnych i bezpośrednich wyborach (taką mam nadzieję), są wybierane w jednym celu – po to, by służyć swoim obywatelom.
I obywatele dają tym wybranym osobom duże możliwości – o wiele większe niż jakakolwiek korporacja – bo przez stanowienie i wykonywanie prawa, ale też i ciąży na nich związana z tym olbrzymią odpowiedzialność. Dam tutaj tylko jeden przykład – z naszej niedawnej dyskusji przy okazji projektu ProteGO.
Przy wysyłaniu danych na serwer Ministerstwa Cyfryzacji wysyłany był również adres IP telefonu, z którego pochodziły dane. Nie jestem specjalistą w tej dziedzinie. Z dostępnych źródeł (https://archiwum.giodo.gov.pl/pl/319/2258 oraz Ustawa z 15 stycznia 2016 r. o zmianie ustawy o Policji oraz niektórych innych ustaw (Dz. U. 2016, poz. 147) wynika, że adres IP jest w tym przypadku daną osobową. Dzieje się tak w sytuacji, gdy podmiot go przetwarzający (Ministerstwo Cyfryzacji w tym wypadku) ma możliwość zidentyfikowania danej osoby za pomocą dodatkowych informacji – na przykład informacji od operatorów telekomunikacyjnych.
I nie chodzi o to, czy ten podmiot już to robi, tylko czy ma taką możliwość. Według tych źródeł adres IP w takiej sytuacji należy traktować jak daną osobową podlegającą rygorowi RODO. Korporacje takie jak Google, Apple czy Facebook nie mają takiej możliwości, więc w ich przypadku sytuacja wygląda inaczej i adresy IP mogą przetwarzać jak inne, mniej wrażliwe dane.
Tak jak mówię – nie jestem prawnikiem, więc mogę się mylić, ale dla mnie większa władza zawsze wiąże się z większą odpowiedzialnością. Oczywiście korporacje mogą próbować zdobyć więcej władzy, i niektóre nawet to robią, ale wtedy to rolą państwa, a również Unii Europejskiej, jest, by takie dążenia nadzorować i eliminować. Tutaj doszliśmy do trochę paradoksalnej sytuacji, gdy Google i Apple wpływają na to, żeby państwo nie miało nawet możliwości nadużycia swojej władzy. To trochę zaskakujący, a niektórzy mogliby rzec – przerażający wniosek, ale tak to teraz wygląda.
Dlaczego polski rząd dysponujący dużymi budżetami nie stworzył swojej aplikacji sam, tylko musi dogadywać się z amerykańskimi korporacjami technologicznymi?
Powodów jest dużo. Po części wynika to z ograniczeń technologicznych. Tylko Google i Apple mogą stworzyć rozwiązanie, w którym aplikacja czy usługa uruchomiona w tle będzie aktywna cały czas. Google i Apple od dawna wprowadziły rozwiązania, jakie ograniczają działania takich aplikacji – głównie chodzi o zużycie baterii i bezpieczeństwo użytkownika. “Contact tracing” jest nowym rozwiązaniem, którego do tej pory w ogóle nie było, i te ograniczenia uniemożliwiają w praktyce działanie podobnych rozwiązań.
Dlatego Google i Apple muszą zaimplementować swego rodzaju wyjątek od swoich reguł. Jednocześnie ten wyjątek nie może pozostawać do wykorzystania przez innych, którzy chcieliby tego nadużyć. Należy też dodać, że Google i Apple działają tu jako znana dobrze w kryptografii tak zwana “zaufana trzecia strona” – taka, która nie ma swojego interesu, ale może faktycznie zapewnić prywatność między obywatelem i rządem.
Są też inne powody. Rząd nie może, a nawet nie powinien według mnie przeznaczać tak dużych budżetów na “tworzenie technologii” w przypadku, gdy rząd się w tym nie specjalizuje. O wiele ważniejsze jest “efektywne używanie” technologii niż ich tworzenie – zwłaszcza, że od razu powstały inicjatywy, jakie chciały zaimplementować to rozwiązanie “globalnie”.
Nawet w rozwiązaniu Exposure Notification jest mnóstwo rzeczy, jakie trzeba zaimplementować po stronie rządowej. Po szczegóły odsyłam do https://github.com/ProteGO-Safe/specs/issues/147, który opisuje bieżące założenia projektowe i plan prac.
To są właśnie typowe prace wdrożeniowe, gdzie dobrze działającą technologię należy “osadzić” w otoczeniu danego kraju – zintegrować je z systemami – pewnie GIS (tak, aby można było przekazywać kod razem z diagnozą), dodać już istniejący moduł samo-diagnozy i jeszcze trochę innych funkcjonalności.
I nawet lepiej, jeśli to specjaliści w danej dziedzinie zajmą się tworzeniem “serca” systemu – zwłaszcza że technologia Bluetooth Low Energy nie należy do najprostszych. Sam znam kilka osób, które są ekspertami w tej dziedzinie i zajęło im kilka lat, żeby stali się naprawdę w tym dobrzy. Oni na pewno daliby radę.
Nie znam obecnych twórców aplikacji, ale wiem, że o ekspertów w dziedzinie BLE jest bardzo, bardzo trudno. I na pewno jeśli ktoś nie ma doświadczenia w tej technologii, proces jego nabywania może być o wiele dłuższy niż się wydaje. Dlatego może lepiej opierać się na specjalistach z Google i Apple, którzy po prostu tworzyli system operacyjny i jak nikt znają się na tworzeniu “serca” systemu.
Kolejny argument to testy – Google i Apple na co dzień współpracują z firmami, które mogą z dnia na dzień rozpocząć proces testowania na dziesiątkach tysięcy różnych urządzeń. Oczywiście odpowiednio dużo to kosztuje – proporcjonalnie do liczby urządzeń. BLE to technologia, której działanie może mocno zależeć od urządzeń, i choćby nawet samo zdobycie takiej liczby różnych urządzeń do testów jest trudne.
W przypadku Google i Apple ten cały proces testowania będzie wspólny dla wszystkich krajów, w których to rozwiązanie zostanie wdrożone. Gdyby każdy kraj chciał, podobnie jak Polska, tworzyć własne rozwiązanie i przeznaczyć duży budżet na takie testy, to łatwo sobie wyobrazić, że całkowity koszt byłby olbrzymi. Może więc po prostu lepiej, żeby to Google i Apple wyłożyły te pieniądze raz, a żeby państwa przeznaczyły je choćby na zorganizowanie tej całej logistyki, o której wspomniałem wcześniej.
Właściwie nie ma miesiąca, żeby w mediach nie pojawiły się informacje o kolejnym wycieku danych. Skąd mamy mieć pewność, że dane gromadzone przez Apple i Google będą bezpieczne? I kto będzie miał dostęp do nich? Tylko rząd czy też podmioty prywatne?
I tu jest właśnie piękno systemu zdecentralizowanego. Może to dziwnie brzmi, ale my, informatycy, umiemy dostrzec coś pięknego w tym, jak system jest zaprojektowany. Od samego początku z wypiekami na twarzy czytałem propozycje rozwiązania “Exposure Notification”, i w zasadzie nie ma się do czego przyczepić. System zdecentralizowany ma to do siebie, że nie ma jednego miejsca, w którym dane są przechowywane.
W tym wypadku dane są podzielone na mnóstwo niezależnych “kawałków” i każdy “kawałek” jest przechowywany gdzie indziej – w tym wypadku na telefonach wszystkich osób uczestniczących w tym systemie. Dla tych, którzy oglądali doskonały serial HBO “Dolina Krzemowa” – na tej właśnie zasadzie miał działać w czwartym chyba sezonie PiedPiper ;) (Hm, nie wiedziałem nawet, że jest taka strona!).
W przypadku “Exposure Notification” każdy telefon przechowuje tylko “swoje” dane (na dodatek zaszyfrowane i niedostępne nawet dla użytkownika) – i po prostu nie ma takiego jednego miejsca, z którego te dane mogłyby wyciec. Co ciekawe – do danych tych nie mają dostępu ani Apple ani Google ani Ministerstwo Cyfryzacji. Są one dostępne jedynie dla lokalnego algorytmu.
Oczywiście jest jeden wyjątek – gdy jesteś chory i na to się zgodzisz, wysyłasz na serwer jedynie identyfikatory (unikalne losowe liczby), na które inni użytkownicy powinni uważać. Ale te dane od razu po wysłaniu stają się publiczne – każdy może je pobrać i nie ma w nich nic wrażliwego. Na ich podstawie inni użytkownicy nie mogą zidentyfikować, kto był chory. Wiedzą tylko, że tego dnia spotkali kogoś, kto mógł ich potencjalnie zarazić. Tych danych nie da się ukraść, bo są publiczne.
Firmy typu Google czy Apple są podmiotami prywatnymi i realizują swoje biznesowe cele. Dlaczego chcą pomagać rządom w walce z COVID-19? Przecież nie robią tego z powodu dobrego serca?
I to jest bardzo dobre pytanie. ProteGO na początku tworzyli pasjonaci, którzy chcieli coś dobrego zrobić i mieć z tego satysfakcję, że mogli spożytkować w dobrym celu swoją wiedzę i doświadczenie. Obecnie to projekt czysto komercyjny finansowany przez Ministerstwo Cyfryzacji. Ale w przypadku korporacji nie ma o czymś takim mowy.
Dla nich liczy się potencjalny zysk w przyszłości, a nie to, czy ktoś osiąga satysfakcję czy nie. Chyba że … osiąganie przez kogoś satysfakcji akurat przynosi zyski firmie. W przypadku takich korporacji trudno wskazać jedną przyczynę. Domyślam się, że może być ich wiele, i pewnie jest tak, że każda jakoś na te decyzje wpływa.
Sporo ostatnio rozmawiałem ze znajomymi na ten temat i postaram się tu opisać różne koncepcje, które się pojawiły. Po pierwsze – umocnienie się na pozycji liderów w obszarze systemów operacyjnych na telefony komórkowe. Google + Apple obecnie są jedynymi graczami na rynku smartfonów, ale są jeszcze w obiegu te 2 miliardy telefonów, które z reguły smartfonami nie są.
I może możliwość używania Exposure Notification sprawi, że ludzie chętniej zmienią obecny telefon. To dość prozaiczny powód, ale z biznesowego punktu widzenia całkiem ciekawy – ja nie mam z taką motywacją problemu.
Inny powód, nieco bardziej wysublimowany, to zaznajomienie ludzi z najnowszymi technologiami i oswojenie ich z nimi. Jeśli dzięki Exposure Notification ludzie zaznajomią się z tym, jak to działa, to może sprawi to, że inne podobne technologie (już nie tak prywatne) mogą być łatwiej przez ludzi przyjmowane.
Kilka lat temu zarówno Google, jak i Apple, promowały technologię beaconów: iBeacon (Apple)/eddystone (Google), choćby do informowania o promocjach w pobliskich sklepach. W ogóle się to nie przyjęło – głównie chyba dlatego, że ludzie nawet nie wiedzieli, że coś takiego istnieje. Jeśli spojrzeć głębiej, to “Exposure Notification” pod spodem używa dokładnie tych samych technologii, co “beacon”.
Oczywiście nie da się “Exposure Notification” wykorzystać do promocji, jest to zapisane wprost w założeniach i niemożliwe ze względu na sposób zaprojektowania. Ale jeśli ludzie zaznajomią się z tą technologią i zobaczą, że im się przydaje, to może łatwiej będzie wdrożyć iBeacon/eddystone 2.0? Czy to jest naganne? Nie wydaje mi się..
Innym, już zupełnie politycznym powodem może być chęć pokazania że “jesteśmy za prywatnością”. Zarówno Google, jak i (chyba trochę rzadziej) Apple, są często oskarżane o traktowanie prywatności po “macoszemu”. Często też zdarza się że muszą się z tego tłumaczyć, na przykład przed Unią Europejską czy Amerykańskim Kongresem.
“Exposure Notification” może być dla nich pokazowym przykładem, że jednak o prywatność dbają, a nawet, paradoksalnie, że w relacjach z rządami to Apple i Google stoją na straży prywatności. Uważam, że to może dać obu firmom bardzo silną pozycję negocjacyjną w przyszłych dyskusjach na temat prywatności. Czy nie odbije to się nam czkawką w przyszłości? Może. Nie jestem pewien, czy zagrożenia z tego wynikające w przyszłości są na tyle konkretne, żeby to miało zablokować wprowadzenie systemu.
To wszystko wygląda dość optymistycznie, ale czy jest się czego bać ? Czy nie jest tak, że Google i Apple nagle powiedzą “zmieniamy zdanie” i prywatne rozwiązanie zmieni się w mniej prywatne?
Słuszna obawa, i to jedna z niewielu rzeczy, gdzie dostrzegam spore zagrożenie. Faktycznie z czysto technologicznego punktu widzenia jest możliwe, że któregoś dnia obudzimy się i ten system będzie ujawniał jednak więcej danych niż było to zapowiedziane przez Google i Apple.
Technicznie jest to nieco bardziej skomplikowane, i nie ma możliwości, żeby to stało się nagle. Ale teoretycznie jest to możliwe. Dlatego według mnie częścią tego rozwiązania powinien być sposób, jak się przed tym zabezpieczyć. Możliwości jest sporo, tutaj przedstawię kilka najistotniejszych.
Po pierwsze, kod źródłowy Google i Apple powinien być otwarty, tak aby mógł być audytowany nie tylko przez profesjonalistów, ale też przez społeczność. Kod ten raczej nie może być tworzony przez społeczność i być typowym projektem “Open-Source” ze względu na procesy tworzenia systemów operacyjnych Android i IOS, ale musi być udostępniony dla uzyskania pewności, że nie ma tam “ukrytych drzwi”, najlepiej na licencji wymagającej publikacji kodu po każdej modyfikacji (na przykład GPL).
Poza tym powinny być zapewnione fundusze pozwalające niezależnej organizacji (na przykład fundacji takiej jak Apache Software Foundation) na audyt, monitorowanie i wdrażanie tej i przyszłych wersji Exposure Notification – i wydawałoby się że dobrym kandydatem do tego jest wspomniane już DP-3T, które składa się z ludzi nauki, inżynierów, epidemiologów i prawników z całego świata.
Sądzę, że przy zapewnionym finansowaniu – z Google, Apple, ale też innych źródeł – taka organizacja mogłaby być ciałem, jakie byłoby w stanie zapewnić inną “zaufaną trzecią stronę”, której zadaniem byłaby dbałość o to, żeby stworzone na początku zasady były przestrzegane i później. Być może taka organizacja powinna mieć też słynny “czerwony przycisk”.
Google i Apple zapowiedziało że ich system będzie miał ograniczony czas życia i będzie mógł być wyłączany, gdy już nie będzie potrzebny (w zależności od regionu). Może właśnie decyzja o wyłączeniu powinna być w rękach takiej niezależnej organizacji? Może to oni powinni mieć “czerwony przycisk”.
Myślę że bez takiego rozwiązania może być bardzo trudno przekonać ludzi do tego, żeby wzięli udział w tym jednak, mimo wszystko, eksperymencie. I ostatnia już uwaga. Jeśli motywacją Google i Apple jest “pokażemy, że umiemy zapewnić prywatność”, to jakiekolwiek naruszenie tego wizerunku może całkowicie zniweczyć cały wysiłek. Uważam, że ryzyko jest dla nich zbyt duże.
***
Jarek Potiuk, PMC (Project Management Committee) i Committer w Apache Airflow, obecnie Principal Software Engineer w Polidei. W IT od ponad 20 lat, jako CTO przez 6 lat współprowadził Software House, który w tym czasie wzrósł od 6 do 50 osób, po czym wrócił na ścieżkę inżynierską.
Ostatnie lata jego doświadczeń inżynierskich to tworzenie aplikacji mobilnych, poprzednio również tworzenie infrastruktury dla firm telekomunikacyjnych.
Jarek ma również doświadczenie przy pracy w startupie łączącym robotykę i sztuczną inteligencję – NoMagic. Obecnie większość czasu spędza w projektach związanych z infrastrukturą i przetwarzaniem danych w rozwiązaniach chmurowych – z naciskiem na kontrybucje i zarządzanie otwartoźródłowego projektu Apache Airflow.