Napredne tehnologije bez zaštite podataka – više štete nego koristi
Projekat “Pametna Srbija” prolazi ispod radara, uz tek poneku vest i saopštenje. Ideju o savremenim data centrima i objedinjavanju podataka svih građana prate dve stvarnosti. Jedna u kojoj predsednik Vučić govori o superkompjuterima i druga u kojoj je neko “pokvario” TENT pa je ponestalo struje. U obe važi isto - niska kultura poštovanja privatnosti i curenje informacija. Kako je u javnosti komunicirano o novoj platformi, šta znamo o njoj i kakvi su resursi potrebni ne bi li ona bezbedno funkcionisala?
U junu 2020. predsednica Vlade Srbije Ana Brnabić obišla je sa direktorom Kancelarije za IT i eUpravu Mihailom Jovanovićem i gradonačelnikom Kragujevca Radomirom Nikolićem gradilište Državnog data centra u Kragujevcu.
„Danas smo nakon Majkrosofta, Orakla, AjBiEma (IBM), Huaveia i Nutaniksa potpisali i Memorandum o razumevanju sa kompanijom NVIDIA o uspostavljanju platforme za veštačku inteligenciju (AI)… Kancelarija za IT i eUpravu će uložiti napore kako bi se uspostavila državna AI platforma zasnovana na računarima visokih performansi i, zajedno sa NVIDIA, napraviti poseban plan za unapređenje kapaciteta neophodnog za izgradnju jednog od najbržih AI superračunara u Jugoistočnoj Evropi“, izjavio je Jovanović. (Izvor: Danas, 13. jun 2020.)
Šest meseci kasnije otvoren je Državni data centar u Kragujevcu. Premijerka je tada izjavila da „novac možete da izgubite, ali ako imate podatke, možete sa njima da stvorite novac“.
„Srbija ovime postaje zemlja sa najmodernijom bankom podataka, za svoju državu, građane, kompanije, gde će svi podaci biti pohranjeni“, rekla je Brnabić.
U junu 2021. godine objavljeno je saopštenje o predstavljanju „Pametne Srbije“.
„Kancelarija za IT i eUpravu je ovu platformu razvila na Microsoft-ovim tehnologijama, uz pomoć Azure Stack Hub-a, a nalazi se u Državnom data centru u Kragujevcu. Vlada Republike Srbije je prva u Jugoistočnoj Evropi koja na ovaj način poseduje i koristi Azure Stack Hub tehnologiju.“ (Izvor: Kancelarija za informacione tehnologije i elektronsku upravu, 10. jun 2021.)
Saznali smo tad da se na ovoj platformi nalaze svi podaci iz informacionog sistema za imunizaciju stanovništva protiv COVID-19, a da je „cilj integrisati sve višestruke tokove informacija iz različitih organa javne uprave na lokalnom i državnom nivou“.
Šest meseci kasnije, javljaju mediji, „predsednik Srbije Aleksandar Vučić prisustvuje puštanju u rad prve Nacionalne platforme za veštačku inteligenciju u Srbiji”, kada kaže “da se ovde gradi poseban objekat koji će biti baza za sve podatke MUP i BIA, „odakle ćemo najbolje i najtačnije vaditi podatke za svaku situaciju koja se pojavi“.
***
Šta se sve događalo u međuvremenu?
Otkriveno je nekoliko slučajeva curenja podataka, do Srbije su stigle vesti o korišćenju softvera za špijuniranje/nadzor građana, a na vest o data centru reagovala je konkretno SHARE fondacija. Na jednoj od svojih tribina bavili su se upravo pitanjem – šta bi moglo da krene naopako, u okolnostima „kada se svi podaci građana koje država poseduje ili prikupi iz ‘otvorenih izvora’ skladište na istom mestu, građani dobijaju svoje ‘digitalne identitete’, algoritmi ukrštaju podatke, a analize se sprovode na cloud-u“.
Osim novinara, među 50.000 ljudi za koje se sumnja da su bili na meti državnih struktura iz celog sveta, našli su se aktivisti, akademici, pa čak i najviši javni funkcioneri. (...) Iako za sada postoje informacije o 40 neimenovanih zemalja kupaca, nalazi Projekta Pegasus ukazuju da je taj softver za špijunažu korišćen u Mađarskoj, Azerbejdžanu, Bahreinu, Meksiku, Maroku, Saudijskoj Arabiji, Kazahstanu, Ruandi, Indiji i Ujedinjenim Arapskim Emiratima. (Izvor: sharefoundation.info, 22. juli 2021.)
Osim slučaja „Pegasus“ u julu, pažnju javnosti je pre nekoliko dana (stidljivo) skrenula vest o kompaniji Meta koja je uklonila niz naloga povezanih sa kompanijama koje su špijunirale novinare i političare. Prema njihovom izveštaju usluge jedne od njih koristili su i klijenti iz Srbije.
Dakle, tema ranjivosti podataka nije lokalnog karaktera. Ali ono što je uočljivo u Srbiji jeste kontradiktornost u najavama i grandioznim poduhvatima i učestalom „proklizavanju“ na terenu odgovornosti i poštovanja prava pojedinaca.
Podsetimo se, prošle godine smo čuli od predstavnika vlasti da su brinući o ljudskim pravima, kako su rekli, odustali od aplikacije za praćenje ljudi iako su mogli da je koriste. A u martu 2020. predsednik nam je prvo poručio da ne mislimo slučajno kako smo ih prevarili ostavljanjem telefona na jednom mestu, jer su pronašli još jedan način da prate ko i kako krši pravila koje je država propisala.
Istinomer je pisao više puta o kršenju prava na privatnost. Neke od primera, uz temu hiljade kamera i pametnog nadzora, pobrojala je Jelena Pejić iz Beogradskog centra za bezbednosnu politiku još u decembru 2020. godine:
„Zvanične baze su podložne zloupotrebama – svesni smo kako se tokom pandemije daju selektivni ili pogrešni podaci. Pojedini snimci zvaničnih kamera završavaju na internetu, cure lični podaci iz krivičnih istraga ili neobjašnjeno nestanu ključna dva minuta kao dokaz u slučaju koji uključuje potencijalnu krivičnu odgovornost visokog funkcionera vladajuće partije. Državne evidencije dele se sa političkim partijama – predsednik Vučić slao je pisma svim penzionerima u stranačkim kovertama (za šta je Poverenik podneo krivičnu prijavu protiv nepoznatog lica iz PIO fonda 2018. godine)“.
***
O tome da li je naš sistem dorastao idejama poput ove o „Pametnoj Srbiji“, ovog puta razgovarali smo sa jednim od istraživača Share fondacije.
„Što se tiče data centara i uopšte svih tih inicijativa koje se sprovode u poslednje vreme, moj utisak je da se sve to svodi na tehnosolucionizam, odnosno da se kao rešenje za duboke i kompleksne društvene probleme predstavlja – tehnologija“, kaže Bojan Perkov za Istinomer.
Kako objašnjava naš sagovornik, „imaćemo napredne tehnologije koje će nešto omogućiti državi i građanima, a da često pritom mere bezbednosti i zaštite podataka koje su zakonski predviđene, nisu ni sprovedene„.
Perkov podseća na propuste u slučaju Informacionog sistema kovid 19 prošle godine, onda i primer Privredne komore ove godine…
„Istraživači su otkrili da su svi ti podaci bili nezaštićeni, „na izvolte“ i onda dolazimo u situaciju da se baze podataka i procesi obrade podataka digitalizuju, ali mi imamo zakone koji uređuju sve to – i Zakon o zaštiti podataka o ličnosti, kao i Zakon o informacionoj bezbednosti, koji moraju da primene“, napominje Perkov.
Ali nije regulativa dovoljna.
„Da se nadovežem na saopštenje Vlade koje je objavljeno letos, da se kreće s platformom “Pametna Srbija”, gde će biti objedinjeni različiti sistemi, koji će omogućiti državi da ih analizira i da se donose odluke – ali to nije bilo previše propraćeno medijski. Odaje se utisak da to jeste savremena oprema i da se ulaže dosta novca. Najsavremenija oprema je potpuno u redu, ali bez osnovnih stvari, kada nemamo postavljen sistem tehničkih i organizacionih mera kako se rukuje podacima, kako im se pristupa i na koji način su oni zaštićeni – to može da proizvede ozbiljne posledice. Po građane, odnosno po poreske obveznike od čijeg novca su i nabavljeni taj softver i oprema. Na kraju upravo građani mogu da budu najviše pogođeni time ako im podaci procure ili na neki način budu kompromitovani“, kaže istraživač Share fondacije.
To što su u „Pametnu Srbiju“ uključene i privatne kompanije, Perkovu nije čudno:
„Mi očigledno nismo na nivou da možemo da proizvedemo tu vrstu tehnologije koja je potrebna, i zbog toga se ulazi u partnerstva i poslove sa stranim kompanijama, jer mora da postoji infrastruktura pomoću koje će sve to da funkcioniše.“
“Primetili smo da je došlo do propusta jer su kredencijali za pristup bazi IS Covid-19, najosetljivijoj bazi koja se odnosi na zdravlje građana u trenutku pandemije, bili dostupni javno na veb sajtu jedne zdravstvene ustanove. Nekoliko dana je to sve bilo okačeno. Mi, čim smo primetili, prijavili smo to nadležnim organima. Ali sedam, osam dana je to stajalo”, podseća Perkov.
Još jedan primer je i portal “Moja srednja škola”, koji je prvo postao nedostupan zbog opterećenja, a onda mu je usput otkrivena i ozbiljna bezbednosna mana.
“Mogli su da se vide podaci svih osnovaca. Dakle, neko je mogao o jednoj generaciji da sazna ko je kakav u kom predmetu, da li će u budućnosti biti kadar za neki posao ili ne, da prosto napravi generacijski profil, vidi ocene”, navodi naš sagovornik.
Ideja o objedinjavanju svih podataka građana nije originalna. I BBC je pisao o Estoniji, Indiji…
„Ne znam za druge države, ali znam da svakako centralizacija podataka nije nužno dobra jer se podaci tako izlažu potencijalnoj opasnosti. Nisu svi podaci namenjeni svakome, moraju tačno određene procedure da postoje i da se zna ko čemu ima pristup i u koju svrhu. A ovako kada se objedinjuju, pitanje je i šta se zapravo dešava s tim, ko čuva, ko im pristupa i ko kontroliše ceo proces“, zaključuje Bojan Perkov.
***
Digitalizacija uprave i superkompjuteri su nova tema, potpuno u skladu sa savremenim procesima, ali ona dramatično drugačiji prizvuk dobija kada zamislite nekog “miću” u data centru. I onda iskrsne ono „not great, not terrible“…
Ovaj tekst napravljen je uz finansijsku podršku Evropske unije. Izraženi stavovi isključiva su odgovornost autora i ne odražavaju nužno stavove donatora.
Projekat „Povećanje učešća građana na polju Digitalne agende – ICEDA“ sprovode Fondacija Metamorfosis (Severna Makedonija), Open data Kosovo (Kosovo), Akademija za eUpravu (Estonija), Crta (Srbija), NVO 35mm (Crna Gora) i Levizja Mjaft! (Albanija).
Naslovna fotografija: ite.gov.rs