Varnost in zasebnost za zidovi novodobnih srednjeveških trdnjav

Razstavni prostor podjetja Blackphone je bil dobro skrit pred obiskovalci lanskega svetovnega kongresa mobilne telefonije MWC v Barceloni. Na tiskovni konferenci je stalo nekaj deset novinarjev in drugih radovednežev. Na skromni stojnici je ležalo nekaj tiskanih zloženk, trije predstavniki švicarskega podjetja pa so razkazovali njihov najpomembnejši izdelek: varni mobilnik blackphone.

Prva objava: Sobotna priloga Dela, 14. marec 2015, foto Blue Coat Photos/FlickrCC

Poslovno zamisel so dobili med spremljanjem odmevnih razkritij o množičnih elektronskih prisluhih, ki jih je razkril nekdanji ameriški obveščevalec Edward Snowden, mi je v krajšem pogovoru povedal soustanovitelj Blackphona Philip Zimmerman. Znani zasebnostni aktivist in avtor šifrirnega računalniškega programa pgp (pretty good privacy) je bil prepričan, da bodo uporabniki elektronskih komunikacij končno prisluhnili strokovnjakom za elektronsko varnost in začeli uporabljati varnejše elektronske naprave. Zatrdil je, da so v izdelku uporabili posebno strojno in programsko opremo, ki je države in proizvajalci ne morejo zlahka nadzorovati. Zato bi moral biti blackphone zelo zanimiv za aktiviste, novinarje, politične oporečnike in druge ogrožene družbene skupine, ki se hočejo izogniti elektronskim prisluhom.

Ko sem se v začetku meseca znova udeležil kongresa MWC 2015, je Zimmerman skupaj z drugim soustanoviteljem Blackphona Mikom Jankom povedal nekoliko drugačno zgodbo.

Njihov varni telefon se ni prijel med aktivisti, ampak so se zanj zanimale predvsem poslovne stranke. Lani so imeli še kartonasto stojnico, v zadnjem letu pa so sklenili že za 750 milijonov dolarjev pogodb, se je pohvalil Janke. Ugotovili so, da podjetja vse manj zaupajo velikim proizvajalcem poslovnega programja, saj so Snowdnovi dokumenti pokazali, da so ameriške obveščevalne agencije namenoma poslabšale njihove elektronske ključavnice in vgradile stranska vrata za dostop do podatkov. Še večja težava je povezovanje med programi različnih ponudnikov, saj so le redka podjetja poskrbela za celosten varnostni ekosistem, kjer ne sme biti šibkih členov – nepreverjenih aplikacij, nešifriranih podatkovnih zbirk ali nezavarovanih naprav.

Podobno so ugotavljali številni drugi varnostni strokovnjaki in ponudniki rešitev na letošnjem MWC. Prepričani so bili, da komunikacijska zasebnost ne sodi več na neugledno stojnico iz lepenke, temveč se z informacijsko varnostjo končno ukvarjajo tudi odločevalci v velikih podjetjih.

Podjetja postajajo trdnjave …

Skoraj vsi sogovorniki so začeli predstavitve z velikim lanskim vdorom v založbo Sony Pictures. Konec novembra so neznani napadalci na spletu objavili elektronsko dopisovanje med uslužbenci, podatke o plačah vodilnih menedžerjev in kopije najnovejših (še neizdanih) filmov založbe.

Za elektronski vdor so najprej obtožili hekersko skupino Guardians of Peace. Ta je domnevno hotela kaznovati založbo zaradi filma Ubijalski intervju (The Interview, 2014), v katerem so smešili politični režim v Severni Koreji in njenega voditelja Kim Džong Una (pozneje so ugotovili, da so nekdanjega delodajalca verjetno napadli nekdanji zaposleni). Objava podatkov je bila za založbo zelo neprijetna, saj so elektronska pisma poleg plač razkrila tudi sporne poslovne prakse, izsiljevanje in odkrit rasizem vodilnih menedžerjev, ko so se pogovarjali o filmskih naslovih. Vendar je lastnika čakalo še bolj neprijetno razkritje. Elektronski vlomilci so pridobili tudi dosjeje o več kot 6500 sedanjih in nekdanjih zaposlenih, podatke o njihovih družinskih članih in druge osebne informacije.

Vdor v Sony Pictures zato ni prizadel samo njihove javne podobe in zmanjšal prihodkov zaradi ukradenih filmov, temveč je odprl tudi nepričakovano pravno bojišče. Več nekdanjih zaposlenih se je po incidentu povezalo in pripravilo skupinsko tožbo proti delodajalcu, ker da v podjetju niso dovolj dobro poskrbeli za hrambo in varovanje osebnih podatkov. Če bo njihova tožba uspešna, čakajo podjetja velike spremembe varnostne politike, so prepričani sogovorniki. Sicer ne bodo mogle obvarovati dragocenih podatkov, na katere preži vse več elektronskih plenilcev: organizirani kriminal, konkurenčna podjetja, tuje obveščevalne agencije in kibernetski teroristi.

Mike Janke in Philip Zimmerman sta prepričana, da bi se morala podjetja braniti po načelu srednjeveške trdnjave – nadzorovati vso komunikacijo z zunanjim svetom in od zaposlenih zahtevati, da za komunikacijo uporabljajo samo kriptofone, kriptotablice in varne računalniške programe. Podobno doktrino zagovarjajo tudi nekateri drugi ponudniki in veliki proizvajalci poslovnega programja, ki trdijo, da lahko samo zaprto okolje zagotovi dovolj visoko varnost, saj so priljubljeni mobilniki, aplikacije in spletne storitve prave tempirane varnostne bombe. Zato jih je treba v poslovnih in upravnih okoljih vsaj omejiti, če že ne ukiniti.

… uporabniki pa vse bolj razgaljeni

Med poslušanjem njihovih opozoril sem pomislil na popolnoma nasprotna sporočila, ki smo jih novinarji na istem dogodku poslušali med odmevnimi predstavitvami najnovejših mobilnikov in drugih elektronskih naprav.

Samsung, Sony, HTC, Alcatel, Huawei, LG in drugi manj znani proizvajalci so prikazali prihodnjo generacijo izdelkov, ki zajema še več uporabniških podatkov od predhodnikov. Prihodki mobilne panoge so odvisni od tega, koliko fotografij si bodo izmenjali uporabniki, koliko zapisov bodo objavili na družabnih omrežjih in kako pridno bodo gledali videoposnetke. Vsi veliki proizvajalci stavijo na »internet stvari«, ki bo povezal veliko večino naprav v enotno internetno omrežje – od hladilnika in televizorja do centralne kurjave in avtomobila. Vsi ti podatki, ki se brez kakršnih koli varovalk nalagajo v računalniške oblake, postajajo nekakšna nafta digitalne ekonomije. Večja skrb za zasebnost in elektronsko varnost pa bi nujno posušila podatkovne vrtine – kljub zagotovilom proizvajalcev, da so dobro poskrbeli za zbrane podatke.

»Več kot osemdeset odstotkov vseh uporabnikov mobilnikov in tablic uporablja Googlov operacijski sistem android, ki so ga razvili zato, da bi od uporabnikov pridobili čim več osebnih podatkov in jih prodali oglaševalcem,« mi je zatrdil soustanovitelj finskega podjetja Jolla, Marc Dillon. To ne velja samo za Google, ampak tudi za druga dva velika lastnika mobilnih platform: Apple in Microsoft. Skoraj vsi največji ponudniki aplikacij in spletnih storitev imajo podoben poslovni model: pridobivanje, obdelavo in preprodajo uporabniških podatkov. Zato ni smiselno govoriti o večji varnosti in zasebnosti, dokler ohranjamo takšne poslovne modele, je dejal Dillon.

Pri Jolli so prepričani, da bi morali uporabnikom ponuditi tudi platforme in spletne storitve, ki ne bi zbirale in tržile osebnih podatkov, zato so s spletnimi prispevki razvili mobilnik in tablico, ki ju poganja odprtokodni operacijski sistem sailfish. Vse več je tudi pobud, kjer razvijalci preizkušajo odprta komunikacijska omrežja, šifrirne protokole in programe, ki nimajo komercialnega lastnika.

Takšni poskusi kažejo, da je mogoče sodobne komunikacijske tehnologije uporabljati tudi brez izkoriščanja uporabniških podatkov in centraliziranih računalniških oblakov, ki so najbolj vabljiva tarča za izurjene elektronske vlomilce. Vendar ne morejo rešiti temeljne zadrege, ki jo je na letošnjem MWC pokazala razlika med ponudniki varnostnih in potrošniških izdelkov. Da v podatkovni ekonomiji in družbi elektronskega nadzora, na katero je opozoril Edward Snowden, ni prostora za elektronsko varnost in zasebnost. Tudi če se poskušamo skriti za visokimi elektronskimi zidovi novodobnih srednjeveških trdnjav.