Żyjemy w rzeczywistości oplecionej coraz większą ilością wzajemnych powiązań. Nowa technologia pędzi w niej na złamanie karku – podobno po to, by uczynić nasze życia łatwiejszymi i bardziej wygodnymi. Nieoczekiwane konsekwencje takiego rozwoju wypadków doprowadziły do narodzin nowych zagrożeń – nie tylko dla naszej prywatności, ale wręcz i bezpieczeństwa.

Green European Journal: Jakie są dziś realne zagrożenia dla obywatelek i obywateli UE jeśli chodzi o ich bezpieczeństwo cyfrowe?

Jan Philipp Albrecht: Największe z nich biorą się z bardzo mało bezpiecznych systemów, jakie zostały opracowane w ostatnich latach oraz z faktu, że spora część używanych przez nas dziś technologii nie była przygotowana na ciągłe połączenie z siecią internetową oraz na wyrafinowane ataki hakerskie. Sprawia to, że każda osoba i system są dziś narażone. Istnieje szereg powszechnie używanych produktów i systemów sieciowych, którym brakuje podstawowych zabezpieczeń informatycznych. Mogą one łatwo zostać zaatakowane – z potencjalnie opłakanymi skutkami.

Największe zagrożenia są dziś zatem dla nas niewidoczne. Ludzie, stykając się z bankami czy instytucjami finansowymi, świadomi są potencjalnego ryzyka strat finansowych. Często nie widzą jednak większych zagrożeń, które wiążą się z dostępem do ich danych w wypadku wykorzystania luk bezpieczeństwa. Największym zagrożeniem jest dziś fakt, że nie znamy jeszcze wszystkich związanych z tym potencjalnych ryzyk.

Ralf Bendrath: Uważam, że główne niebezpieczeństwo nie ogranicza się na dziś do analizy danych, ale wiąże się ze wzajemnie ze sobą powiązanymi systemami które mogą mieć skutki w świecie fizycznym. Ostatnimi czasy pewna sieć hotelowa padła ofiarą ataku, w trakcie którego haker zamknął wszystkie drzwi. Było to możliwe dlatego, że przeszedł on na kontrolowane z poziomu centralnego zamki elektroniczne. Hakerzy domagali się od właścicieli hotelu okupu, który został im zresztą wypłacony. Ich „koledzy po fachu” ze Stanów Zjednoczonych udowodnili, że mogą zdalnie włamać się do systemu kontroli silnika samochodowego i wyłączyć go w sytuacji, gdy auto jedzie ponad 110 kilometrów na godzinę po autostradzie. Zrobili to, siedząc na laptopach na swoich domowych kanapach. To przecież może się skończyć ludzką śmiercią. Może zresztą być gorzej. Pomyślmy o rozrusznikach serca. Można je zaprogramować za pomocą Bluetootha – bez konieczności łamania jakichś szyfrów. Za pomocą połączenia bezprzewodowego możesz zabić kogoś, stojącego kilka metrów od ciebie. To realne zagrożenie. Nie myśleliśmy do tej pory za bardzo o tych wszystkich, otaczających nas urządzeniach które są dziś włączone i podłączone do sieci.

To bardzo namacalne zagrożenie – szczególnie biorąc pod uwagę naszą chęć posiadania inteligentnych urządzeń, od „smart” zamków do drzwi po odkurzacze. W jaki sposób regulować ten Internet rzeczy?

Jan Philipp Albrecht: Tu nie chodzi o to, że nie ma żadnych regulacji – nie są one wcielane w życie! Zmiany technologiczne zachodzą bez opracowywania odpowiadających na nie standardów bezpieczeństwa oraz zobowiązań prawnych. Reguły istnieją, nie jest jednak jasne które z nich – i w jaki sposób – stosowane są w odniesieniu do nowych technologii. Jednym z zadań staje się zatem sprawdzenie, w jaki sposób i do jakiego stopnia można wykorzystać istniejące regulacje. Kolejnym – stworzenie nowej legislacji, dotyczącej w szczególności bezpieczeństwa w sektorze IT.

Nie mamy dziś ogólnych standardów bezpieczeństwa, możliwych do zastosowania we wszystkich tego typu narzędziach – telefonach, inteligentnych zegarkach czy samochodach. Potrzebna jest nam pewna baza bezpieczeństwa, zapewniająca obywatelkom i obywatelom spokój przy poruszaniu się w Internecie rzeczy. Potrzebujemy też odpowiedzialności twórców i wytwórców, włącznie z karami w wypadku niedopełniania obowiązków. Nie tylko wtedy, gdy coś już zawiodło, ale również w wypadku wykrycia potencjalnie groźnej wady.

Obecnie obowiązujące regulacje nie zdają egzaminu. Prawodawstwo, często przyjmowane na szczeblu narodowym, musi gonić za rzeczywistością. W jaki sposób sobie z tym poradzić? 

Jan Philipp Albrecht: Wiele firm produkuje obecnie technologie i od razu świadczy swe usługi w sieci. Stanowi to problem, jako że nie myślą nad tym z jakimi regulacjami powinny się liczyć. Zamiast tego kierują się własnymi standardami, czekając czy ktoś będzie miał z tym faktem problem.

Mnóstwu krajów słabo idzie wcielanie w życie własnych praw i obostrzeń. Biznes korzysta z tej słabości regulatorów – kiedy dane państwo narzeka, najczęściej po fakcie wejścia danego produktu na rynek, broni się zauważając, że już dziś dany towar czy usługa znajduje się w użyciu. W Europie nie naciskaliśmy dostatecznie mocno na opracowanie własnych standardów. Nasza słaba pozycja bierze się również z tego, że nie ma standardów globalnych. Dla jakiejkolwiek firmy byłoby niemożliwością zarazem wypuszczać swe produkty na rynek, jak i przestrzegać setek zróżnicowanych regulacji.

Czy na szczeblu unijnym są już jakieś podstawowe standardy bezpieczeństwa, chroniące obywatelki i obywateli?

Jan Philipp Albrecht: Mamy obecnie do czynienia z ich brakiem, podobnie jak z brakiem wdrażania fundamentalnej idei bezpiecznych systemów i środowisk. To tak, jakby ludzie używali dróg bez kodeksu drogowego, niezależnych instytucji, oceniających poziom bezpieczeństwa samochodów czy działających świateł drogowych. W świecie cyfrowym tak właśnie wygląda rzeczywistość. Nie mówimy tu o jakichś przesadnie kosztownych kwestiach bezpieczeństwa, które dodatkowo mogły ograniczać podstawowe prawa człowieka, ale o prostych standardach bezpieczeństwa dla już istniejących struktur. Sęk w tym, że w większości wypadków infrastrukturę stworzyły i zorganizowały tu prywatne firmy. Nie mają inicjatywy, by wdrażać podstawowe standardy bezpieczeństwa, zatem potrzebują ich ze strony polityków, tworzących otoczenie prawne gwarantujące każdej i każdemu poruszanie się po przestrzeni cyfrowej bez ryzyka. To nasze główne zadanie na ten moment. Jeszcze innym pytaniem jest to o hakerów, włamujących się do systemu. Musimy rozmawiać o proporcjonalności działań mających na celu zagwarantowanie bezpieczeństwa.

Ralf Bendrath: W świecie „analogowym” bezpieczeństwo kojarzy się często jako ochronę przed fizyczną krzywdą. Wiemy jednak, że nie jesteśmy w stanie zmienić każdego domu w bunkier by ochronić się przed światem zewnętrznym. W świecie cyfrowym sytuacja wygląda inaczej, jako że wszystko opiera się na kodzie komputerowym. Tylko jeśli w kodzie tym, używanym przez mój komputer, znajdzie się luka to wówczas można wrzucić do mojego domu cyfrową bombę. W świecie tym – jeśli chcę – faktycznie mogę odgrodzić me systemy i zmienić wirtualny dom w cyfrowy bunkier dbając o to, by nie było w nim żadnych słabych punktów czy tylnych wejść. Jego ochrona, przynajmniej w teorii, może być całkiem silna.

W jaki zatem sposób zapewnić bezpieczeństwo Internetu rzeczy w Europie?

Jan Philipp Albrecht: Po pierwsze musi się przygotować podstawowe ramy i zapewnić ich przestrzeganie w celu minimalizacji szans na ataki. Potem, jeśli chodzi o kwestie wdrażania prawa, nie różni się już ona zbytnio od świata fizycznego. Kiedy mamy do czynienia z przestępstwem – ścigamy przestępcę! Z tego też powodu to ważne, by wymieniać się informacjami o osobach dokonujących ataków by sprawniej prowadzić śledztwa.

Ralf Bendrath: Być może lekką różnicą i większym niż w wypadku świata „analogowego” wyzwaniem jest fakt, że łamanie prawa ma zawsze charakter transgraniczny. Już nie tylko w obrębie Unii Europejskiej, gdzie rzecz jasna mamy już pewien poziom ponadnarodowej współpracy i koordynacji policji który nadal można ulepszać. Potrzebujemy również jednak uniwersalnych reguł, obowiązujących również inne rejony świata.

Jan Philipp Albrecht: W Europolu istnieje już centrum zajmujące się cyberprzestępstwami. Mieliśmy do czynienia z próbami poprawy jakości wiedzy technicznej oraz zasobów w celu lepszego, transgranicznego przestrzegania prawa. Uważam, że „analogowe” śledtwa coraz bardziej powinny przechodzić do cyberprzestrzeni, jako że pole walki z przestępczością zorganizowaną oraz terroryzmem coraz bardziej przesuwa się w tym kierunku.

Ralf Bendrath: Poza kwestiami standardów bezpieczeństwa oraz wcielania przepisów w życie jest jeszcze trzecia kwestia do rozważenia – odporność systemu Internetu rzeczy. Tak zwani „hakerzy białej czapki” („white hat hackers”), odkrywający luki w zabezpieczeniach bez intencji ich wykorzystania, nie powinni być karani jeśli powiedzą o swoich odkryciach twórcy oprogramowania czy jego operatorowi. Powinniśmy wspierać takie zachowania.

Twórcy oprogramowania mogą naprawić jego mankamenty tylko wtedy, gdy zdają sobie sprawę z ich istnienia. Jeśli hakerzy nie powiedzą im o nich bo, na przykład, mogą spieniężyć tę wiedzę na czarnym rynku (szczególnie jeśli wiedzą o problemach o których nikt jeszcze nie wie, tak zwanych „dniach zerowych”), wówczas sprzedadzą ją przestępcom albo innym popularnym klientom tego typu rynków, jakim są narodowe agencje wywiadowcze. Oznacza to, że również wywiady mogą zmniejszać nasze bezpieczeństwo poprzez zwiększanie opłacalności sprzedaży tego typu informacji.

Standardy bezpieczeństwa z pewnością są tu kluczowe – jaką jednak wartość dodaną mogą tu zaproponować ugrupowania postępowe i ekopolityczne?

Jan Philipp Albrecht: To jest właśnie różnica! Każdy rzecz jasna chce bezpiecznego otoczenia – kiedy jednak przychodzi np. do domagania się podstawowych reguł od jakiejś firmy okazuje się, że to tylko deklaracje. Jeśli jakaś strona internetowa powinna używać bezpiecznego połączenia poprzez protokół „https” (co lekko zwalnia ładowanie się danej witryny) jej właściciel stwierdza, że tego typu regulacje będą olbrzymim utrudnieniem dla jego biznesu i postawią w korzystniejszej pozycji jego konkurentów, do których zwrócą się klienci. Wielu polityków po prostu akceptuje to wytłumaczenie. To jak z walką o pasy w samochodach. Producenci samochodów długo przekonywali, że jeśli zmusi się ich do ich montowania w celu zwiększenia bezpieczeństwa kierowców i pasażerów to skończy się to śmiercią branży. Politycy akceptowali te wyjaśnienia do momentu, gdy Zieloni oraz działacze praw człowieka wymogli, by ich montowanie miało obowiązkowy charakter. Nie należy pomniejszać znaczenia choćby drobnych zmian dla konsumentów, jak również skali oporu biznesu.

Ralf Bendrath: Zieloni mogą być na dobrej pozycji jako że zawsze bardzo mocno stali po stronie cyfrowych wolności obywatelskich – opowiadając się na przykład przeciwko masowej inwigilacji telekomunikacyjnej – dzięki czemu od dawna współpracowali razem z ludźmi dysponującymi większą od nich wiedzą w kwestiach cyfrowych, takimi jak reprezentanci społeczności hakerskiej Chaos Computer Club w Niemczech. Pozwoliło im to wcześniej niż innym partiom politycznym zrozumieć potrzebę zajęcia się źródłami problemów. Pozostałe formacje najczęściej wolą nawoływać do większej inwigilacji albo do powoływania przydatnych, lecz słabych partnerstw publiczno-prywatnych.

Nasza dyskusja przypomina o pytaniach – także tych geopolitycznych – które pojawiły się po doniesieniach o podsłuchiwaniu telefonu Merkel czy szpiegowaniu Brazylii przez NSA, które skutkowało pomysłami na postawienie „niezależnych” podwodnych światłowodów.

Ralf Bendrath: Jeśli zwiększymy bezpieczeństwo naszych systemów, wówczas nie będzie miało aż takiego znaczenia czy to kryminalista, czy agencja wywiadowcza chce mnie zaatakować i włamać się do mojego komputera. Jeśli jest on bezpieczniejszy, wówczas każde tego typu zagrożenie jest do pewnego stopnia zredukowane.

Potrzebowalibyśmy wtedy również europejskich komputerów, ponieważ jeśli pochodzą one z innych rejonów świata nie możemy wówczas kontrolować ich producentów.

Ralf Bendrath: Zgadza się. Sytuacja już staje się lepsza, jeśli działają na darmowym, otwartym oprogramowaniu. Europejski przemysł open source wraz ze stojącym za nimi przedsiębiorstwami oraz ruchami społecznymi jest niczym uśpiony olbrzym. Ujawnione przez Snowdena informacje pokazały nam, że powinniśmy myśleć o odzyskaniu zdolności produkcji sprzętu komputerowego nad którą możemy sprawować kontrolę – a nie tylko polegać na Chinach czy Stanach Zjednoczonych. Dokładnie tak, jak postawienie na Airbusa umożliwiło nam zerwanie z zależnością od monopolu Boeinga.

Jan Philipp Albrecht: Europa była w tej kwestii bardzo naiwna. Przyjęliśmy założenie, że ze sprzętem z USA czy Chin jest wszystko w porządku i że nie jest tak istotne by sprawdzać firmy telekomunikacyjne, które instalowały nam oprogramowanie i wytwarzały połączone ze sobą w sieci urządzenia. Jeśli na serio chcemy żyć w bezpiecznym otoczeniu musimy kontrolować co znajduje się w tym sprzęcie i programach. Nie oznacza to produkowania wszystkiego w Europie, jeśli jednak chcemy kupić coś z innego rejonu świata, w którym reguły – ale też interesy polityczne – są odmienne od naszych, wówczas musimy sprawdzić każdy, najmniejszy element systemu.

Doniesienia Snowdena były tutaj punktem zwrotnym. Sprawiły, że europejscy politycy zdali sobie sprawę ze skali problemu – tego, że instytucje publiczne nie mogą zapewnić obywatelki i obywateli, że dokonywane w ich imieniu działania wykonywane są w granicach prawa. Oznacza to zakwestionowanie podstawowych zasad, na których zbudowano nasze demokracje. W celu zapewnienia legalności działań instytucji potrzebują one zasobów pozwalających na sprawdzanie systemów. Jeśli używają do tego produktów, dostarczanych np. przez Microsoft, wówczas nie mają dostępu do ich pełnego kodu źródłowego. Być może powinno im się tego zatem zabronić i zmusić do zakupu alternatywy. W moim okręgu budowa alternatyw dla systemów Microsoftu (z otwartym kodem źródłowym) już trwa, nie jest za to kupowana. To o tyle dziwne, że europejskie instytucje miałyby się lepiej – i miały większą kontrolę nad sytuacją – gdyby zdecydowały się w nie zainwestować.

W Europie nadal jeszcze brakuje świadomości znaczenia tego typu kwestii – nie tylko wśród opinii publicznej, ale w szczególności w kręgach decydentów. Jeśli spojrzymy w przyszłość i pomyślimy o inteligentnych, samoprogramujących się maszynach dojdziemy do pytania o to, w jaki sposób poradzić sobie z tym wyzwaniem politycznie, społecznie i etycznie. Nie ogarnęliśmy jeszcze w pełni skali wpływu takich zjawisk na nasze życie. Mam nadzieję, że będziemy w stanie szybko się uczyć i że nie będziemy do zrozumienia wagi tych zmian potrzebowali drastycznych, negatywnych wydarzeń, takich jak kolejny wyciek tajnych dokumentów.

Czy dostrzegacie dowody na mobilizację wokół tych kwestii na poziomie decydentów lub ruchów społecznych? Czy możemy się spodziewać, że kwestie bezpieczeństwa cyfrowego staną się jednym z głównych tematów kolejnych wyborów – czy to w Niemczech, czy to na poziomie unijnym?

Jan Philipp Albrecht: Pytania, którymi w tym roku żyć będzie Europa bardziej niż z bezpieczeństwem cyfrowym wiązać się będą ze sposobami na walkę z terroryzmem oraz radzenia sobie z kontrolą granic zewnętrznych, przepływów uchodźców oraz migrantów. To moim zdaniem duży błąd, bowiem wybiegające w przyszłość kwestie cyfrowe naprawdę domagają się publicznej świadomości oraz debaty politycznej. To nie jest prosto rozumiane pytanie o bezpieczeństwo. W przyszłości mierzyć się będziemy z faktem, że coraz więcej prac – od proponowania ubezpieczeń po bankowość inwestycyjną – wykonywana będzie nie przez ludzi, lecz algorytmy. Być może czekają nas nawet wojny zautomatyzowanych czołgów. Z pewnością będziemy musieli mierzyć się z pytaniem o kompas etyczny, jaki powinien nami w takich sytuacjach kierować i jakie będą konsekwencje dla ludzi dotychczas zatrudnionych w tych sektorach. Poza rozważaniem konsekwencji dla systemów zabezpieczeń społecznych będziemy musieli pamiętać, że systemy te będą podatne na ataki cyfrowe i błędy techniczne. Brak poczucia bezpieczeństwa będzie mieć wpływ na każdą dziedzinę życia.

 

Tłumaczenie: Bartłomiej Kozek

Fear and Trembling: Perspectives on Security in Europe
Fear and Trembling: Perspectives on Security in Europe

What are the real sources of insecurity in Europe today? This edition takes a look at some of the threats we face and asks whether our perceptions match up with the reality.