Krzysztof GAWKOWSKI: Dane. Złoto naszych czasów.
Pierwsza książka oparta o polskie przykłady

partner
działu
Storytel

Dane. Złoto naszych czasów.
Pierwsza książka oparta o polskie przykłady

Krzysztof GAWKOWSKI

Wykładowca akademicki i ekspert w zakresie cyberbezpieczeństwa, dyrektor Polskiego Instytutu Cyberbezpieczeństwa oraz członek Komitetu Technicznego Polskiego Komitetu Normalizacyjnego.

zobacz inne teksty autora

W piśmie z 16 września 2014 roku adresowanym do Marszałka Senatu RP Bogdana Borusewicza ówczesny Minister Spraw Wewnętrznych Bartłomiej Sienkiewicz przyznał otwarcie: „Programy typu PRISM, X-Keyscore, Tempora — jak wynika z informacji zawartych w źródłach otwartych — są programami szpiegowskimi służącymi do pozyskiwania określonych danych i monitorowania sieci Internet” – pisze Krzysztof GAWKOWSKI w swojej najnowszej książce, opartej – co istotne – na polskich przykładach.

Informacja może być potężną bronią. Potrafi pomagać w zdobywaniu zwolenników i ośmieszaniu przeciwników, w zdobywaniu funduszy, w kreowaniu wizerunków ludzi, instytucji czy państw. Informacja jest dziś także podstawą planowania, wyznaczania kierunków działalności, sposobów promocji, zdobywania wiedzy o rynkach, na których funkcjonują firmy, i rynkach, na których chciałyby funkcjonować w przyszłości, o działaniach konkurencji, trendach, sezonowych modach, planowanych zmianach prawnych i klientach oraz potencjalnych klientach itd. Bardzo często gromadzone przez różne instytucje informacje dotyczą bardzo licznych grup osób i mają charakter tzw. danych osobowych.

Dane osobowe to wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Zgodnie z ustawą o ochronie danych osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilku specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne. Dane osobowe dzieli się na zwykłe i tzw. wrażliwe (sensytywne), tj. dane na temat pochodzenia etnicznego lub rasowego, wyznania, przekonań filozoficznych czy politycznych, przynależności związkowej, preferencji seksualnych, informacje o stanie zdrowia, o nałogach i o kodzie genetycznym, a także orzeczenia o karach lub ich braku.

Największą barierą przy analizie danych jest ich ogromne zróżnicowanie i rozproszenie. W celu osiągnięcia odpowiednich procesów analitycznych konieczne są standaryzacja i integracja danych oraz stworzenie ich dużych zbiorów. Ważny jest również proces ujednolicenia transmisji, zapisu i przechowywania danych, aby mogły przyczynić się do podniesienia stopnia ich użyteczności.

Big data

.Dane osobowe zestawione z różnymi innymi informacjami wchodzą często w zakres zbiorów danych określanych jako big data. Początkowo określano tym terminem duże zbiory danych, które należy powiększać dla wykonania analizy mającej na celu wydobycie istotnych wartości informacyjnych. Taka definicja wkrótce jednak przestała wystarczać. W najprostszym ujęciu big data to duży objętościowo zasób różnorodnych, często złożonych i zmiennych, danych przeznaczonych do szybkiego przetwarzania. Dane te są analizowane w celu znalezienia powiązań między nimi, przy czym nie chodzi tu o czystą statystykę, ale o pozyskanie wyników mogących przynieść wymierne korzyści. Zebrane przez firmę szpiegującą użytkowników w sieci rozmaite informacje o nich umożliwiają sprofilowanie ich, pogrupowanie i np. dopasowanie pokazywanych w internecie reklam do odpowiednich grup. Pozwala to zwiększyć skuteczność marketingu, a zarazem zysków z reklam lub sprzedać pogrupowane dane firmom zainteresowanym skierowaniem swoich reklam do określonych profili użytkowników.

W 2018 roku przeglądarka Google Chrome zdecydowała się na blokowanie uciążliwych dla użytkowników reklam na stronach internetowych. Standardem ma być niedopuszczanie do prezentacji okien (pop-up),a automatycznie odtwarzane reklamy wideo z dźwiękiem czy reklamy zajmujące większość ekranu mają stanowić znikomy promil. Co ważne, witryny, które nie dostosują się do wytycznych i będą naruszać opisane normy, otrzymają ostrzeżenie, a jeśli nie rozwiążą problemu w ciągu 30 dni, wszystkie reklamy — w tym te zgodne z zasadami — zostaną zablokowane. Warto również podkreślić, że Google w 2017 roku zablokował 3,2 mld reklam, 320 tys. reklamodawców, 90 tys. stron internetowych i 700 tys. aplikacji. Blokada dotyczyła przede wszystkim witryn i użytkowników, którzy dopuszczali się procederów polegających na śledzeniu internautów i pobieraniu od nich nieuprawnionych informacji oraz podawali nieprawdziwe komunikaty.

W celu wyeliminowania problemów z usuwaniem reklam czy witryn oraz mając na uwadze osiągnięcie jak największych korzyści, właściciele danych poszukują modeli i związków między danymi różnego typu, które pozwolą wciągać wnioski i formułować opinie niewynikające z niepowiązanych danych. Umiejętność formułowania słusznych i opłacalnych wniosków, czyli odpowiedniego interpretowania pozyskanych danych, stanowi przedmiot konkurowania ze sobą poszczególnych firm. Dane często dotyczą nas samych i zbierane są w sposób legalny. Robiąc zakupy, zaznaczyliśmy zgodę na politykę sklepu, zaakceptowaliśmy regulamin, zaznaczyliśmy pozwolenie na przetwarzanie danych dla celów marketingowych firmy i jej partnerów handlowych. Dzięki powszechnej akceptacji polityk prywatności sklepy internetowe wiedzą, co oglądamy, co kupiliśmy lub w którym momencie zrezygnowaliśmy z zakupu, w jakim stopniu kierowaliśmy się promocjami, jak oceniamy produkty. Integracja danych z naszej ścieżki zakupowej (customer journey) z informacjami dotyczącymi naszej aktywności internetowej, w sieciach społecznościowych oraz danymi offline, pozwala producentowi bądź sprzedawcy na poznanie naszych potrzeb i zainteresowań. Odpowiednio zaprogramowane algorytmy sklepów podpowiadają, czym możemy być zainteresowani, ile jesteśmy skłonni na to wydać, jaki jest nasz prawdopodobny status finansowy, jak spersonalizować dla nas komunikat reklamowy, żeby uzyskać jak najwyższy zwrot z inwestycji.

Prognozy International Data Corporation, czołowego dostawcy informacji rynkowych na globalnym rynku, wskazują, że do końca bieżącego roku 1/3 firm z listy Fortune 500 osiągnie, właśnie dzięki wykorzystaniu big data, dwukrotnie wyższe przychody ze sprzedaży produktów i usług w swojej branży niż firmy o tym samym profilu, które z tego typu danych nie korzystają. Z badania Big Data Executive Survey for 2017, w którym udział wzięło pięćdziesiąt spośród tysiąca największych firm w USA, wynika, że ponad 80% respondentów wyraziło zadowolenie ze zrealizowanych inicjatyw big data, uznając je za sukces. Opłacalność dużych zbiorów danych pośrednio potwierdza także szybki rozwój ich rynku, który — jak wynika z ekspertyz międzynarodowej firmy doradczej IDC — do 2020 roku osiągnie wartość ponad 200 mld dolarów. Dodatkowo ilość cyfrowych informacji w sieci wzrośnie do tego stopnia, że w 2025 roku międzynarodowa sieć ważyć będzie aż 163 zettabajtów, podczas gdy np. Google ma dziś zaledwie 0,015 zettabajta (tj. około 15 eksabajtów). Oczywiście duży procent tej wagi wygenerowany zostanie przez indywidualnych użytkowników internetu, ale jeśli nie zmieni się ich podejście do prywatności, większość tego, co wygenerują, i tak trafi do baz danych globalnych korporacji.

Big data to oczywiście nie tylko dane użytkowników internetu, ale również dane dotyczące takich obszarów jak administracja, bankowość, transport, ubezpieczenia, przemysł czy sektor zdrowia. Google przekonuje, że dzięki big data i smartfonom można pokonać malarię w Afryce poprzez wymianę informacji o stanie zdrowia chorych i ich sposobach leczenia. Cynthia Storer z CIA przyznała, że „duże dane” pomogły w odnalezieniu Osamy bin Ladena, Global Forest Watch (GFW) używa analityki danych do monitorowania zmian klimatu związanych z nielegalną wycinką drzew, a T.B. Murdoch i A.S. Detsky już w 2013 roku na łamach „Journal of the American Medical Association” (JAMA) przekonywali, że „zastosowanie Big Data w służbie medycznej jest nieuniknione”.

Jednak, jak wskazują dane Eurostatu, w 2016 roku tylko 6% polskich firm korzystało z big data, co daje Polsce przedostatnią pozycję w europejskim rankingu. W ogóle w Unii Europejskiej metoda analizy dużych danych nie cieszy się taką popularnością jak w USA i choć w niektórych krajach zachodnich korzysta się z niej częściej, to statystycznie tylko 10% europejskich firm analizuje duże zbiory danych. Analizie poddawane są głównie dane geolokalizacyjne pochodzące z urządzeń przenośnych, dane pochodzące z mediów społecznościowych oraz dane z inteligentnych urządzeń i sensorów, których badaniem zajmuje się przede wszystkim branża marketingowa.

Większość polskich firm wciąż nie zdaje sobie sprawy, że ich przetrwanie w dużej mierze zależy od tego, czy wypracują one zdolność zarabiania na cyfrowych informacjach. Zdaniem przeciwników analiz „dużych danych” kwestią dyskusyjną jest to, czy brak zainteresowania big data ze strony polskich przedsiębiorców wynika z ich cyfrowego wykluczenia i braku odpowiednich strategii wykorzystania danych, czy z różnic kulturowych między Stanami Zjednoczonymi a Europą, w której przedsiębiorcy nie mają zwyczaju podejmować decyzji na podstawie niepewnych analiz i nieadekwatnych danych, a szpiegowanie własnych klientów postrzegają jako nieetyczne.

Ciekawostkę stanowi w tej sytuacji fakt, że to właśnie Polacy stworzyli jedną z największych hurtowni big data na świecie. W 2016 roku warszawska firma Cloud Technologies zakończyła prace rozwojowe nad OnAudience.com — platformą zarządzania danymi (ang. data management platform) nowej generacji. Pozwala to firmie na przechowywanie nawet stukrotnie większej ilości danych niż wcześniej i na uczenie się zachowań internautów. Władze firmy podkreślają, że poza reklamą internetową widzą znaczny potencjał we wzbogacaniu (data enrichment) systemów CRM lub innych narzędzi typu Business Intelligence.

Duże zbiory danych mają ogromne znaczenie dla rozwoju gospodarki, a dzięki nim rozwijają się nowe usługi i produkty. Taki potencjał zauważają też instytucje rządowe i zdają sobie sprawę z tego, że aby obszar ten mógł się rozwijać, zbiory danych muszą być zasilane wciąż nowymi informacjami — do tego służą nowoczesne technologie. W Polsce istnieje już wiele placówek dysponujących sprzętem najnowszej generacji służącym do przetwarzania big data. Interdyscyplinarne Centrum Modelowania Matematycznego posiada w swoich zasobach rzeczowych superkomputery ze ścisłej czołówki światowej i możliwości agregowania danych z olbrzymich zbiorów danych.

Rozwój technologii informatycznych ma ogromny wpływ na przyrost gromadzonych elektronicznie danych, podobnie zresztą jak pojawienie się nowych ich źródeł. Wielu naukowców uważa, że w obecnej rzeczywistości mamy do czynienia ze zjawiskiem „powodzi informacyjnej”. Na jej wystąpienie wpływ miały m.in. rozwój mediów społecznościowych oraz pojawienie się w sieci różnego rodzaju sensorów (urządzeń pomiarowych) i urządzeń mobilnych, a także rozwój internetu rzeczy, czyli źródeł automatycznych pomiarów dostarczających nowej grupy danych. Dzieje się tak również dzięki temu, że zmieniły się też sposoby rejestracji danych. Jeszcze kilkadziesiąt lat temu dane wprowadzano głównie z wykorzystaniem klawiatury, a teraz używa się kodów, pasków magnetycznych czy sieci sensorów. Użytkownicy internetu sami są źródłem danych. Ponadto w wielu przypadkach takie urządzania jak smartfony lub inne czujniki montowane standardowo w sprzęcie, którego codziennie używamy, są źródłami bardzo precyzyjnych pomiarów, będących śladem naszych codziennych aktywności.

Generalny Inspektor Danych Osobowych w Polsce przyznał, że przetwarzanie big data może przynieść liczne korzyści, zaznaczając jednak, iż big data mogą też wkraczać w sferę wolności i intymności, dlatego konieczne jest stworzenie nowych ram prawnych, które zapewnią nienaruszalność praw jednostki, w tym prawa do prywatności, będącego jednym z podstawowych praw człowieka. Przetwarzające big data, instytucje i urzędy mogą ulegać pokusie, aby pozyskiwać dane w nadmiarze, gromadzić je na zapas, przechowywać znacznie dłużej, niż to konieczne, lub tworzyć profile predykcyjne, które mogą stać się przyczyną dyskryminacji niektórych osób. Przedstawiciele Głównego Urzędu Statystycznego, również zainteresowanego przetwarzaniem big data, podkreślają, że w ich przypadku przetwarzanie danych podlega różnym przepisom, m.in. ustawie o statystyce publicznej, która wymaga, by dane trafiające do GUS były objęte tajemnicą statystyczną, tzn. były przekazywane innym podmiotom w formie gwarantującej nieujawnianie danych jednostkowych, a więc ochronę danych obywateli.

W opinii Komendy Głównej Policji pobieranie, przetwarzanie i wizualizacja danych same w sobie nie wiążą się z inwigilacją. Polega to na szybszym zbieraniu danych i wyciąganiu wniosków. Efektem końcowym jest co prawda profil zachowań człowieka czy profil sytuacyjny, ale nie ma to przełożenia na inwigilację. W przeszłości do walki z przestępczością wystarczyła może ogólna wiedza o organizacjach przestępczych, dziś jednak policjanci zajmują się także tworzeniem wzorców i poszukiwaniem trendów, korzystając m.in. z Krajowego Systemu Informacji Policji i Informacji Kryminalnej oraz zbiorów AFIS, zawierających linie papilarne i inne ślady osób niezidentyfikowanych.

Do podstawowych zagrożeń, jakie wiążą się z big data, należą też: nieuprawnione wykorzystanie danych, nadmierna komercjalizacja i ataki hakerów. Deutsche Bank przeanalizował rynek niemiecki pod kątem potencjalnych największych beneficjentów big data: na pierwszym miejscu w tym zestawieniu znalazły się księgowość i raportowanie finansowe, tuż po nich optymalizacja struktur IT, a dalej planowanie finansowe i budżetowanie. Właściciele zasobów tego typu danych mają więc do czynienia z zasobnym finansowo rynkiem, co oznaczać będzie wzrost liczby firm gromadzących big data, wzrost zakresu zbieranych danych i wzrost przestępczości w tej dziedzinie. Należy pamiętać, że wszelkie bazy danych narażone są nieustannie na tak wiele zagrożeń, że nie sposób wymienić wszystkich, zwłaszcza że istnienia niektórych jeszcze być może nie nawet podejrzewamy.

Przetwarzanie danych w chmurze

.Firmy nie zawsze dysponują odpowiednimi mocami przeliczeniowymi potrzebnymi do analizy dużej ilości danych, a oprogramowanie do przetwarzania zebranych danych stanowi dla nich często znaczny wydatek. W takiej sytuacji sprawdzić się mogą tzw. chmury obliczeniowe.

Istnieje wiele definicji chmury obliczeniowej. Najprościej rzecz ujmując, przetwarzanie danych w chmurze (ang. cloud computing) oznacza zdalne wykorzystanie zasobów udostępnianych użytkownikowi w formie usługi dostępnej przez LAN czy internet. Użytkownik nie musi więc kupować nośnika, na którym przetwarza dane, ani oprogramowania potrzebnego do ich przetwarzania, a jedynie możliwość korzystania z nich. Może też wybrać jedną z trzech dostępnych opcji takiej usługi, czyli korzystanie z infrastruktury, np. nośnika do przechowywania danych i oprogramowania do ich przetwarzania (ang. platform as a service — PaaS), korzystanie z samej infrastruktury (ang. infrastructure as a service — IaaS) bądź korzystanie z samego oprogramowania (ang. software as a service — SaaS).

Korzystanie z chmury obliczeniowej w celu przechowywania danych (np. pracowniczych) cieszy się ogromną popularnością wśród przedsiębiorców. Na polskim rynku małych i średnich przedsiębiorstw 92% ocenia, że rozwiązania chmurowe są przydatne w codziennej pracy, 77% przedsiębiorców podkreśla, że największa zaleta chmury to łatwa komunikacja w firmie, 67% firm korzysta z rozwiązań chmurowych w codziennej pracy, 65% firm gromadzi w niej dane firmowe, 41% przedsiębiorców docenia łatwy przepływ informacji w firmie dzięki chmurze, 36% firm uważa, że największe zagrożenia związane z chmurą to ataki zewnętrzne. Rozwiązanie to ma sporą grupę zwolenników pośród cyberprzestępców, którzy zamiast włamywać się do kolejnych komputerów firmowych w celu zgromadzenia danych potrzebnych im do działalności przestępczej, mogą się włamać jedynie do infrastruktury firm oferujących usługę przetwarzania danych w chmurze i mają wszystko, co potrzebne, w jednym miejscu.

Z systemów przetwarzania chmurowego coraz częściej korzystają także instytucje finansowe. Specjaliści od informatyki bankowej ostrzegają jednak, że poziom bezpieczeństwa usług oferowanych w ramach cloud computingu ma krytyczne znaczenie dla banku decydującego się na korzystanie z takiego rozwiązania. W tym miejscu należy zaznaczyć, że o ile dzisiaj możliwa jest jeszcze decyzja o niekorzystaniu z rozwiązań mających w nazwie słowo „chmura”, to w przyszłości może się to okazać niemożliwe na skutek zmian rynkowych, jakie obecnie zachodzą.

Chmura kojarzy się jednak wielu osobom także z potężnymi bazami danych, w których firmy prywatne, np. właściciele portali społecznościowych, gromadzą dane o swoich klientach i przechowują bazy, udostępniając je służbom specjalnym. Zaniepokojenie związane z przechowywanymi w chmurach obliczeniowych państw trzecich informacjami na temat użytkowników z Unii wyraził nawet Parlament Europejski. Instytucja postanowiła zażądać, aby dostawcy usług w chmurze obliczeniowej otwarcie wyjaśniali, w jaki sposób zarządzają informacjami przekazywanymi im przez konsumentów podczas korzystania z usług w chmurze obliczeniowej. Parlament nalega też na to, by w celu ograniczenia ryzyka bezpośredniego i pośredniego dostępu do informacji ze strony obcych rządów, w przypadkach kiedy dostęp obcych rządów nie jest dozwolony w ramach prawa unijnego, Komisja Europejska zagwarantowała, że użytkownicy są świadomi takiego ryzyka. O wsparcie takich działań poproszona została m.in. Europejska Agencja ds. Bezpieczeństwa Sieci i Informacji (ENISA) poprzez powołanie do działania platformy informacyjnej na rzecz interesu publicznego w ramach dyrektywy o usłudze powszechnej. Zapewnione też mają zostać odpowiednie technologie, takie jak szyfrowanie i anonimizacja danych, umożliwiające użytkownikom łatwe zabezpieczenie ich informacji, a także komercyjne wdrożenie tych technologii lub udzielenie zamówień publicznych w tym zakresie.

Globalna inwigilacja

.W piśmie z dnia 16 września 2014 roku adresowanym do Marszałka Senatu RP B. Borusewicza ówczesny Minister Spraw Wewnętrznych B. Sienkiewicz przyznał otwarcie: „Programy typu PRISM, X-Keyscore, Tempora — jak wynika z informacji zawartych w źródłach otwartych — są programami szpiegowskimi służącymi do pozyskiwania określonych danych i monitorowania sieci Internet”. Dalsza część wypowiedzi może jednak dziwić: „Nie posiadam informacji pozwalających na udzielenie odpowiedzi na pytanie: czy opisane przez światową prasę inwigilowanie Internetu przez amerykańskie agencje dotyczy również Polski?”. Choć w zasadzie słowa te dziwić nie powinny — jako zwykli, statystyczni obywatele powinniśmy już przyzwyczaić się do tego, że o wielu istotnych sprawach dotyczących naszego życia dowiadujemy się z prasy przy okazji różnych wycieków informacji, władze zaś są nieodmiennie „niedoinformowane” w tych kwestiach. Nie wszystkie wycieki okazują się jednak aż tak sensacyjne jak te, które ujrzały światło dzienne przy okazji „afery Snowdena”.

Do czasu wybuchu tej sensacji Europejczycy w większości żyli w złudnym przekonaniu, że scenariusz, w którym obce mocarstwo, wspierane przez rządy europejskich państw lub przynajmniej nie niepokojone przez nie, przechwytuje masowo ich dane, jest nierealny. Tymczasem PRISM, oficjalnie znany jako US-984XN, tajny program administrowany od 2007 roku przez National Security Agency (NSA), pozwalał amerykańskim służbom na praktycznie nieograniczony wgląd w potężne zbiory danych dotyczących obywateli UE. Informacje pochodziły ze zgromadzonych na serwerach danych znanych amerykańskich firm, które przyłączały się do programu, takich jak Microsoft, Yahoo!, Google, Facebook, AVM Software, YouTube, Skype, AOL czy Apple. Firmy te przekazywały odtąd swoim służbom treść naszej korespondencji mailowej, filmy, zdjęcia, rozmowy, zapisy czatów, loginy itd. Na ich usprawiedliwienie można dodać, że działały na podstawie nakazu wydawanego przez tzw. sąd FISA, powołany w celu nadzorowania działań agencji wywiadowczych, znany jednakże z tego, że na ogół przychyla się do wszelkich wniosków amerykańskich władz i podejmuje kontrowersyjne decyzje. FISA (Foreign Intelligence Surveillance Act) to akt prawny z 2008 roku określający ramy działań amerykańskich służb wywiadowczych wobec cudzoziemców. Wzmocnił on jeszcze pozycję służb specjalnych, posiadających już i tak szerokie uprawnienia na mocy słynnego Patriot Act z 2001 roku. Zgodnie z jego zapisami do działań inwigilacyjnych wobec obcokrajowców służby nie potrzebują tradycyjnego nakazu sądowego, a jedynie wydawanej okresowo „autoryzacji” działań, czyli zatwierdzenia przez Foreign Intelligence Surveillance Court — tajny sąd powołany specjalnie w tym celu. W pilnych sprawach nie jest konieczne nawet to.

Działanie zgodne z prawem USA nie zmienia jednak faktu, że instytucje współpracujące w ramach PRISM działały wbrew europejskiemu prawu i niezgodnie z powszechnie uznawanymi zasadami etyki. Zresztą większość z nich nie zwlekała z podjęciem współpracy, stosunkowo długo opierali się tylko szefowie firmy Apple. Największą niechęć Europejczyków wzbudziły działania firmy Google, nadzorującej — jak się okazało — również inny szpiegowski projekt, XKeyscore, umożliwiający niezwykle precyzyjne wyszukiwanie nawet nietypowych informacji. Podawane w mediach przykłady zapytań obrazują skalę możliwości tego narzędzia. Oto jeden z przykładów: Show me all the VPN startups in country X, and give me the data so I can decrypt and discover the users (Pokaż mi wszystkie start-upy VPN w kraju X i daj mi dane do odszyfrowania i odnalezienia użytkowników — tłum. aut.).

Użytkownicy sieci na całym świecie mogą być śledzeni, nawet w czasie rzeczywistym, a ich dane mogą być przechwytywane, NSA dysponuje zaś narzędziami umożliwiającymi np. dokonanie cyberataków na określoną grupę komputerów czy też wyszukanie wybranej grupy według podanych kryteriów. Co ciekawe, NSA praktycznie nie potrzebuje nakazu, by zastosować XKeyscore wobec osób niebędących obywatelami Stanów Zjednoczonych (wystarczy sam fakt, że są obcokrajowcami), nawet jeśli przebywają na terenie USA, np. gdy istnieje podejrzenie, że rozmówcą jest ktoś przebywający za granicą, lub jeśli mają telefon zarejestrowany w innym państwie. W 2009 roku do dyspozycji XKeyscore Amerykanie mieli około 700 serwerów w 150 miejscach na świecie i mogli przechwytywać oraz przetwarzać niewiarygodne ilości danych. Specjaliści uważają, że liczba takich serwerów w roku 2018 jest co najmniej stukrotnie większa.

Opisane działania to nie koniec sensacji — amerykańskiej NSA podlega także globalny system szpiegowski, współtworzony z Wielką Brytanią, Kanadą, Australią i Nową Zelandią — Echelon. Posiada on urządzenia na całym świecie (media sugerowały, że również w Polsce, co T. Romanowski uznaje za „nieweryfikowalne bez użycia narzędzi wywiadowczych, ale wciąż bardzo prawdopodobne”). Działa on na bazie systemu nowoczesnych radarów i anten, przechwytuje dane przekazywane przez satelity, zbiera informacje z całej przestrzeni teleinformatycznej (nawet 3 mld różnego rodzaju informacji na dobę), a dzięki słownikom i szyfrom przetwarza dane opracowane niemal we wszystkich językach, gromadzi i analizuje rozmowy telefoniczne, korespondencję, przesyłane pliki itd.

Skomasowane zbiory analityczne to jednak wciąż jeszcze nie wszystkie masowe źródła pozyskiwania danych przez NSA — okazało się, że również prowadzony przez GCHQ (Government Communications Headquarters) brytyjski program Tempora wspomaga służby USA. Celem programu jest przechwycenie maksymalnie dużej ilości danych, a według „The Guardian” jest to około 21 petabajtów dziennie, co stanowi mniej więcej równowartość przesyłania 192 razy dziennie wszystkich informacji zawartych we wszystkich książkach z British Library. Procesy takie są możliwe dzięki tajnym umowom zawartym z firmami komercyjnymi. Dostęp do danych, jak donosił „The Guardian”, miało już wtedy co najmniej 850 tys. podwykonawców NSA. Jak to wygląda obecnie? Ile osób i w ilu instytucjach ma nieograniczony wgląd w prywatność obywateli Europy, skoro liczba (oficjalnie) podsłuchiwanych Amerykanów w ciągu dwóch lat wzrosła dwukrotnie (jak podaje raport z działań agencji wywiadowczych upubliczniony w 2016 roku przez Biuro Dyrektora Wywiadu Narodowego)? Analitycy ONZ przekonują, że rok 2018 ma być rekordowy pod względem liczby uruchomionych podsłuchów i ilości danych zebranych bez zgody użytkowników.

Po wybuchu masowego oburzenia wywołanego informacjami Snowdena, w kwietniu 2014 roku Agencja Praw Podstawowych UE (FRA), na wniosek Parlamentu Europejskiego, rozpoczęła badania w zakresie ochrony praw podstawowych w kontekście inwigilacji. W wyniku tego badania ustalono m.in., że głównym celem służb wywiadowczych w krajach Unii Europejskiej jest ochrona „bezpieczeństwa narodowego” (ew. „bezpieczeństwa państwa”, „bezpieczeństwa wewnętrznego” czy też „bezpieczeństwa zewnętrznego”). Pojęcie bezpieczeństwa jest jednak różnie definiowane w poszczególnych państwach, przy czym zazwyczaj jest definiowane bardzo ogólnikowo. Sformułowano wnioski, pośród których szczególnie niepokojące wydają się stwierdzenia wskazujące na to, że w świetle obowiązujących standardów w dziedzinie praw człowieka krajowe ramy prawne nie zawierają jasnych definicji określających kategorie osób i zakres działań, jakie mogą być przedmiotem gromadzenia wywiadu. W państwach członkowskich Unii występują poważne różnice dotyczące systemu nadzoru, a w niektórych państwach zatwierdzanie środków inwigilacji odbywa się bez udziału jakichkolwiek instytucji niezależnych od służb wywiadowczych i organów władzy wykonawczej.

Najbardziej przerażająca wydaje się jednak myśl, że gdyby nie indywidualna decyzja jednego tylko człowieka, ani UE, ani władze poszczególnych państw członkowskich zapewne nadal nie zrobiłyby zupełnie nic, by chronić mieszkańców Europy przed inwigilacją na masową skalę. „Przypadek Edwarda Snowdena, niezależnie od tego, czy potraktujemy go jako zdrajcę, czy bohatera, uświadamia pewną krytyczną myśl — nic w sieci nie jest do końca bezpieczne i ukryte” — podkreśla T. Romanowski. I dodaje: „Co więcej, nawet władza państw wykracza daleko poza linie na mapie geograficznej, wkradając się także w cyberprzestrzeń, by zdobywać cenne dane, które mogą posłużyć zarówno do ochrony obywateli, jak i ich kontroli. Polska z kolei powinna zadbać o potencjał obronny danych oraz bardziej uważać na swoich sojuszników, szczególnie gdy może nie mieć pewności, czym się zajmują, gdy odwróci się wzrok”.

Żadna z instytucji współpracujących z NSA nie znalazła się tam przypadkowo — firmy z branży mediowej i branży IT są dziś nie tylko potentatami finansowymi, ale też dostarczycielami usług o zasięgu globalnym, a więc również przekraczającymi obowiązujące granice państwowe. W rankingu z 2017 roku niektóre z nich znalazły się na pierwszych miejscach listy najwyżej wycenianych (pod względem kapitalizacji) firm świata; należą do nich Apple (754 mld dolarów), Alphabet (579 mld dolarów), Microsoft (509 mld dolarów), Amazon (423 mld dolarów), Facebook (411 mld dolarów).

W ścisłej czołówce firm mediowych znajduje się firma Google, będąca obecnie jedną ze spółek holdingu Alphabet, której wpływy w roku 2017 wyniosły 110,9 mld dolarów; w ten sposób wyprzedziła ona Facebook, mający wpływy na poziomie 40,65 mld dolarów. Dlaczego internetowy gigant, który stworzył i wykupił mnóstwo spółek oraz projektów realizowanych w swojej branży, stał się nagle jedynie jedną z „liter” Alphabetu? Przypuszcza się, że ma to związek z inną, prowadzoną już od pewnego czasu działalnością firmy — rozwojem nowych technologii poza siecią internetową. Alphabet — nie rezygnując ze swojej pozycji w sieci — będzie mógł budować silne marki w świecie produktów przyszłości, takich jak autonomiczne pojazdy, okulary bazujące na idei rozszerzonej rzeczywistości, inteligentne soczewki, drony i wiele innych. Jednocześnie, posiadając tak różnorodną ofertę opartą na innowacyjnych technologiach i zespół znakomitych fachowców, nie tylko nie musi obawiać się zmian spowodowanych nowymi odkryciami i utraty swojej pozycji, ale też prawdopodobnie będzie jednym z głównych współtwórców tych zmian i liderem wśród innowatorów. Podobną strategię działania przyjął Facebook — wyszukuje na rynku innowacyjne projekty i włącza je do swojej oferty. Przypuszczalnie m.in. w tym celu tworzy na świecie rady małych i średnich przedsiębiorstw (Rady MŚP) — jedna z nich powstała także niedawno w Polsce.

Xochilt Balzola-Widmann, która odpowiada w Facebooku za współpracę z MŚP, podkreśla, że tworzenie tego typu grup może przynieść obopólne korzyści: „Za pośrednictwem wspólnot takich jak ta Rada, wszyscy przedsiębiorcy mogą dzielić się pomysłami i informacjami, by wzajemnie pomagać sobie we wzroście i rozwoju”. Nie trzeba dodawać, że Facebook chętnie z niektórych pomysłów i sugestii skorzysta, całkiem możliwe, że rzeczywiście ku obopólnemu zadowoleniu. Przede wszystkim jednak poszerzy swoją bazę o nowe, cenne dane, które z pewnością będzie potrafił efektywnie wykorzystać.

Prywatność w serwisach internetowych

.Firmy z branży internetowej w ogóle świetnie sobie radzą z masowym gromadzeniem danych i wciąż udoskonalają sposoby ich wykorzystywania, a także wymyślają nowe metody. Jedną z najpowszechniejszych form zbierania danych o użytkownikach sieci są tzw. ciasteczka (ang. cookies). Są to niewielkie pliki zapisywane w komputerze użytkownika w czasie jego wizyt na stronach internetowych i zapamiętujące np. dane konta, dokonane zakupy oraz inne informacje umożliwiające rozpoznawanie użytkownika i odczytywanie danych na jego temat podczas następnej wizyty na stronie. Próba walki z portalami gromadzącymi w ten sposób informacje zakończyła się jedynie połowicznym zwycięstwem — obecnie po wejściu na niemal każdą stronę internetową użytkownik sieci jest informowany, że stosuje ona ciasteczka, i jeśli ktoś nie życzy sobie być za ich pomocą śledzony, może zrezygnować z korzystania z tej strony. Często jest to informacja w postaci okienka zasłaniającego treść strony, które znika dopiero po akceptacji ciasteczkowej polityki portalu. Rośnie za to wiedza użytkowników dotycząca ciasteczek — o ile w 2013 roku jedynie 38% badanych miało wiedzę na ich temat, o tyle w 2017 roku już ponad połowa badanych deklarowała, iż wie, czym są ciasteczka.

Innym sposobem na gromadzenie danych o użytkownikach sieci jest ich zbieranie w momencie, gdy użytkownik chce skorzystać z usług oferowanych w internecie. Na przykład sklepy internetowe niejednokrotnie oprócz adresu osoby zamawiającej towar życzą też sobie informacji o jej wieku, jej numeru telefonu, adresu mailowego, zgody „na przetwarzanie danych do celów marketingowych”, a na dodatek zgody na udostępnianie tych danych „partnerom firmy”, co w praktyce oznacza możliwość bezkarnego handlu pozyskanymi danymi klientów. Do tej pory często był to jeden z wymogów koniecznych do realizacji usługi — w formularzu zamówienia był automatycznie zaznaczony i klient musiał go „odznaczyć”, jeśli nie wyrażał na niego zgody. Nowa ustawa o ochronie danych osobowych ma to zmienić. Czy zmiany okażą się równie skutecznie jak w przypadku polityki ciasteczkowej? Przekonamy się wkrótce.

Zapewne za jakiś czas okaże się także, na ile szczere były deklaracje internautów odnośnie do czytania internetowych dokumentów. Dane Polskiego Instytutu Cyberbezpieczeństwa wskazują, że w roku 2018 tylko 38% czytuje polityki prywatności i regulaminy na stronach internetowych, a 58% wyjaśnienia w formularzach internetowych, w których wymagane jest podanie danych osobowych. Internauci wciąż jednak czują niedosyt informacji na temat możliwości ochrony swoich danych w sieci, a ponad 90% osób dostrzega potrzebę kontroli nad tym, kto ma dostęp do danych osobowych znajdujących się na ich urządzeniach, i chce gwarancji poufności korespondencji elektronicznej. Ponad 80% uznaje natomiast, że narzędzia monitorowania ich aktywności online powinny być stosowane jedynie za ich zgodą.

Chociaż większość użytkowników internetu zgadza się z tezą, że sieć nigdy niczego nie zapomina, to 15% z nich udostępnia w sieci swój adres IP, 19% NIP i tyle samo informacje o swoim wyglądzie fizycznym. Informacje o swoim charakterze i nastroju publikuje 21% badanych, a 25% daje wskazówki dotyczące nawyków i stanu zdrowia. Trochę mniej ankietowanych — 14% — publikuje informacje o wysokości wynagrodzenia, a 17% podaje numery dokumentów. Zdecydowanie więcej osób — 34% — podaje za to numery kart kredytowych, 35% udostępnia zdjęcia, a 38% informuje o swoim zatrudnieniu. Ponad 50% udostępnia swoją lokalizację, 68% numer telefonu i nazwisko, 77% adres e-mailowy, a 79% imię, umożliwiając w ten sposób bezproblemowe uzyskanie tych danych przez oszustów i złodziei. Po lekturze powyższych informacji warto zastanowić się nad własnym postępowaniem, nad tym, komu i po co udostępniamy swoje dane. Czy zawsze jest to konieczne? Czy nie warto tych danych lepiej chronić?

Ochrona prywatności może jednak już niedługo ewoluować w sposób, którego nikt się nie spodziewał. Amerykański Departament Stanu ma bowiem nowy pomysł dotyczący polityki informacyjnej i zbierania danych osobowych. Od samego początku budzi on jednak bardzo duże kontrowersje, a chodzi o to, że Amerykanie od wszystkich osób składających wniosek o wizę do Stanów Zjednoczonych będą wymagać kompletnej listy aktywności w mediach społecznościowych. Nowe formularze wizowe będą wymagać wyszczególnienia nie tylko mediów społecznościowych, z których obecnie korzysta aplikant, ale także wymienienia wszystkich, które były używane przez niego przez poprzednich pięć lat. Dotychczas podawanie takich informacji było dobrowolne, a obecna propozycja jest jednym słowem zaglądaniem do naszej prywatności przez władze innego państwa.

.W internecie chcemy często ochronić nie tylko nasze dane, ale także naszą tożsamość. Pragniemy pozostać anonimowi z różnych względów. Jedni w celu prowadzenia nielegalnej działalności, inni — bo daje im to większą pewność siebie i poczucie bezkarności przy wyrażaniu opinii i sądów, jeszcze inni — bo nade wszystko cenią sobie prywatność. Podstawowym sposobem ukrywania w sieci swojej tożsamości jest ukrycie niepowtarzalnego adresu naszego komputera.

Można to zrobić na wiele sposobów, np. przy użyciu serwerów pośredniczących w połączeniu z siecią, czyli tzw. serwerów proxy, albo stron internetowych o podobnym jak ich schemacie działania. Możemy to zrobić również np. za pomocą wirtualnych sieci prywatnych (ang. virtual private network — VPN) czy tzw. aplikacji anonimizujących (czyli programów komputerowych, które wykorzystują sieci proxy i VPN).

Krzysztof Gawkowski
Fragment książki “Cyberkolonializm. Poznaj świat cyfrowych przyjaciół i wrogów”, wyd. Helion 2018 POLECAMY: [LINK]

Magazyn idei "Wszystko Co Najważniejsze" oczekuje na Państwa w EMPIKach w całym kraju, w Księgarni Polskiej w Paryżu na Saint-Germain, naprawdę dobrych księgarniach w Polsce i ośrodkach polonijnych, a także w miejscach najważniejszych debat, dyskusji, kongresów i miejscach wykuwania idei.

Aktualne oraz wcześniejsze wydania dostępne są także wysyłkowo.

zamawiam