Pitanja koja još treba postavljati dok vlade koriste tehnologiju za suzbijanje koronavirusa

Ako želite više sigurnosti, morat ćete izgubiti malo privatnosti. To je često spominjani kompromis koji je postao očitiji usred pandemije COVID-19, kako sve više vlada diljem svijeta okrenuti aplikacijama za praćenje kontakata i drugim tehnologijama za praćenje kretanja kako bi pomogli u obuzdavanju virus.

Većina u ovoj regiji prihvatila je da mora postojati neki kompromis oko njihove osobne privatnosti u zamjenu za dobrobit šireg stanovništva. Riječ je o czajednica prije sebe i ovo zajedničko uvjerenje uvelike je omogućilo vladama poput onih u Singapuru, Tajvanu i Južnoj Koreji da provedu politike praćenja kretanja, među ostalima kao što su dronovi, uz malo protesta.

To ne znači da nije bilo gunđanja i mrmljanja oko toga je li vlada iskoristila priliku za pandemiju da pojača svoj nadzor, čak i ovdje u Singapuru, gdje se njegovi građani obično opisuju kao poslušni i pokoran.

Tijekom proteklih nekoliko godina, potaknuti povećanjem terorističkih aktivnosti u regiji, počeli su CCTV-i pojavljuju se u posljednjih nekoliko godina na željezničkim kolodvorima, stambenim blokovima i drugim javnim mjestima diljem svijeta Singapur. Dok su neki među mojim prijateljima cijenili dodatni osjećaj sigurnosti koji je navodno nudio pojačani nadzor, drugi su žalili zbog gubitka privatnosti.

Tu opet leži borba za ravnotežu između sigurnosti i privatnosti. Ali ovo su vremena bez presedana, neki bi mogli tvrditi, a to znači da se moramo osloboditi nekih svojih briga. Čak je i singapurski premijer Lee Hsien Loong to sugerirao.

U televizijskom obraćanju u utorak navečer, kada je najavio produženje i pooštravanje mjera socijalnog distanciranja u zemlji, rekao je Lee korištenje ICT-a bilo je ključno za omogućavanje učinkovitijeg praćenja kontakata. The vladina aplikacija TraceTogether je dizajniran posebno za ovu svrhu i da je trenutno u razvoju više aplikacija koje će dodatno pomoći takvim naporima, primijetio je, ali nije naveo pojedinosti o tome koje bi to mogle biti.

"Da bi te aplikacije radile, potrebna nam je suradnja svih da ih instaliramo i koristimo kao što su napravili Južnokorejci", rekao je. "Bit će nekih problema u vezi s privatnošću, ali morat ćemo ih odvagnuti u odnosu na prednosti mogućnosti izlaska iz prekidača i ostati otvoren, sigurno. Napredujemo, ali još nismo uspjeli, daleko.”

Singapur je uveo strože mjere koje su prisilile nebitne tvrtke da zatvore ili zatvore sve njihovi zaposlenici rade od kuće, dok operateri hrane i pića pružaju samo hranu za van ili dostavu opcije. Ovo razdoblje "prekida strujnog kruga", koje je prvobitno trebalo završiti 4. svibnja, produljeno je do 1. lipnja i uz strože mjere uključujući zatvaranje većeg broja maloprodajnih usluga kojima je prethodno bilo dopušteno raditi, kao što su samostalne prodavaonice slastica i pića, frizerski saloni i kućni ljubimci trgovine.

Ovaj potez uslijedio je nakon naglog porasta slučajeva zaraženih COVID-19 u proteklih nekoliko tjedana, gurajući lokalnu premašio je 10 100, a radnici migranti koji žive u studentskim domovima čine većinu nedavnih infekcije. Trenutno je broj mrtvih 12.

Nije samo pitanje privatnosti

Međutim, natjerati ljude da preuzmu TraceTogether ili bilo koju aplikaciju za praćenje kontakata nije samo pitanje privatnosti. Postoje i problemi kibernetičke sigurnosti koje treba riješiti.

Jer ove aplikacije, uključujući TraceTogether, koristi Bluetooth signale za otkrivanje drugih u neposrednoj blizini, može učiniti pametni telefon ranjivim na prijetnje kao što su Bluesnarfing napadi. Upravo u veljači, Google je objavio zakrpu za uključivanje kritičnog sigurnosnog propusta u Androidovoj Bluetooth komponenti koji bi se, ako se ne popravi, mogao iskoristiti bez ikakve interakcije korisnika i koristiti za stvaranje Bluetooth crva koji se sami šire.

Što je još alarmantnije, otkriveno je da predložena mobilna aplikacija za pomoć Nizozemskoj u praćenju COVID-19 već postoji procurili korisnički podaci ranije ovog tjedna. Izvorni kod mobilne aplikacije koja je ušla u uži izbor objavili su i analizirali programeri koji su otkrili korisnika podaci--koji potječu iz druge aplikacije--u izvornim datotekama, uključujući puna imena, adrese e-pošte i raspršenog korisnika lozinke.

Svaka čast, singapurska vladina agencija koja stoji iza TraceTogethera uložila je značajne napore kako bi - vjerojatno - ublažila brige o privatnosti u vezi s aplikacijom. GovTech je objavio mnoštvo informacija uključujući i svoje razvojni rad, tehničke pojedinosti o aplikaciji za praćenje kontakata i njezinim izvorni kodovi koji su dostupni na internetu. Također se bavio potencijalom zablude o svrsi aplikacije, naglašavajući da TraceTogether neće prikupljati podatke o lokaciji i da vlada neće moći pomoću aplikacije locirati korisnikovo boravište.

Do danas je više od 1,1 milijun – ili otprilike jedan od pet – stanovnika Singapura preuzelo aplikaciju, prema GovTechu.

No dok je vladina agencija očito pokušala riješiti sve nedoumice u vezi s privatnošću, još uvijek postoje pitanja koja treba riješiti.

Kao prvo, GovTech je rekao TraceTogether je razvijen "u sprintu od osam tjedana". Koliko je vremena unutar ovog dvomjesečnog razdoblja bilo posvećeno testiranju, konkretno, potencijalnih ranjivosti? Imaju li postojeći alati za Bluesnarfing i Bluejacking, iako stari godinama, još uvijek mogućnost iskorištavanja Bluetooth komponente u mobilnim telefonima?

Također postoje pitanja vezana uz upravljanje podacima i revizije koje bi trebalo razmotriti. Na primjer, koji je lijek za korisnike koji su pretrpjeli kršenje nakon što su hakeri iskoristili Bluetooth funkciju, koja je bila uključena kako bi se omogućila aplikacija TraceTogether?

Također, potpadaju li podaci pod singapurski Zakon o zaštiti osobnih podataka ili su isključeni jer javni sektor ne potpada pod djelokrug zakona? Ako je potonje, što to znači u smislu upravljanja podacima i privatnosti budući da detalji vlastitih smjernica javnog sektora o zaštiti podataka nikada nisu javno objavljeni?

Na primjer, što se događa sa svim korisničkim podacima nakon što se iskoriste za pomoć u pokušajima praćenja kontakata? Postoji li revizijski trag kojim se osigurava potpuno uklanjanje podataka nakon što više nisu potrebni?

U svom Izjava o privatnosti, GovTech napominje da će korisnici biti upitani da onemoguće funkciju TraceTogether, ali ne spominje je li Health Ministarstvo - koje će imati pristup podacima korisnika - trajno će izbrisati podatke nakon što se iskoriste za praćenje kontakata svrhe.

Međutim, izjava o privatnosti nudi adresu e-pošte na koju se korisnici mogu obratiti ako žele opozvati privolu Ministarstvu zdravstva za korištenje njihovih podataka TraceTogether. Nakon čega će se broj mobitela korisnika i User ID uređaja ukloniti s poslužitelja ministarstva.

Singapurski javni sektor posljednjih je godina imao manje od sjajnih rezultata u kibernetičkoj sigurnosti, stoga će morati uložiti više napora u osiguravanje povjerenja javnosti u svoje ICT inicijative.

Postoje zagovornici koji kažu da bi naglasak trebao biti na obrazovanju korisnika da poduzmu korake kako bi zaštitili vlastitu kibernetičku dobrobit i higijenu. Naravno, samosvijest i edukacija korisnika jednako su važni u bilo kojoj strategiji kibernetičke sigurnosti, ali razvojni programeri aplikacija a dobavljači tehnologije imaju samo važnu ulogu u osiguravanju sigurnosti svojih proizvoda za upotrebu, odmah nakon toga polica.

Nedavni sigurnosni debakl Zooma, na primjer, potaknuo je neke da tvrde da sigurnosne značajke već postoje i da je odgovornost na korisnicima da znaju kako ih omogućiti. Iako bi to moglo biti točno, s toliko slučajeva kršenja sigurnosti, uključujući i Singapur a Zoom se približava priznati da nije uspio, ova epizoda pokazuje potrebu da kritične sigurnosne značajke budu automatizirane ili konfigurirane tako da se od korisnika traži da omoguće postavke prije nego što mogu nastaviti s pristupom funkcija.

radi se o sigurnosti po dizajnu i automatiziranim kontrolama, tako da korisniku ne smeta nagađanje, osobito ako uključuje kritične komponente kibernetičke sigurnosti, i ublažava rizik od ljudske greške.

To može značiti da bi aplikacije za praćenje kontakata kao što je TraceTogether trebale doći zajedno sa sigurnosnim značajkama koje mogu detektirati pokušaje proboja pametnog telefona putem Bluetooth funkcije.

Takvi će napori pomoći u smanjenju zabrinutosti oko sigurnosti i privatnosti u vezi s upotrebom ovih aplikacija.

POVEZANO POKRIVANJE

• Manje od polovice u Singapuru spremno je podijeliti rezultate COVID-19 s tehnologijom za praćenje kontakata
  
• Singapur uvodi aplikaciju za praćenje kontakata kako bi usporio širenje koronavirusa
• Singapur će uvesti sigurnosnu oznaku za pametne kućne uređaje
• Singapur predstavlja inicijative za pomoć stanovništvu da ostane povezano dok stupaju na snagu strože mjere za COVID-19
• Vlada Singapura obećava poboljšati sigurnost podataka novim mjerama
• Singapurski javni sektor usvojit će nove mjere za pooštravanje sigurnosti podataka
• Singapur ažurira smjernice o obavijesti o povredi podataka i odgovornosti
• Australija izgleda da će "ići čvršće" s upotrebom aplikacije za praćenje kontakata u vezi s COVID-19
• Apple i Google udružuju se kako bi razvili tehnologiju praćenja kontakata u vezi s COVID-19
• Tehnička politika praćenja koronavirusa 'značajnija' od rata protiv enkripcije