Autor: Miro / incident podcast
Ospravedlnenie
V priebehu diskusie na službe Twitter o tom, či dobrovoľná mobilná smart aplikácia je riešením pre epidémiu koronavírusu, som zdieľal 4 obrázky. Tri z nich boli zo služby Shodan a podľa nich som mylne tvrdil, že projekt „Zostaň zdravý“ beží na Windows zariadení a má inštalované ďalšie aplikácie. Omyl vznikol mojou chybou, informácie služby Shodan boli z 26.2.2020 a boli neaktuálne, čo som nesprávne vyhodnotil. Zmazal som všetky zmienky na službe Twitter a uverejnil pre transparentnosť nový tweet s vysvetlením aj ospravedlnením. Týmto sa znova ospravedlňujem tímu projektu „Zostaň zdravý“ za spôsobené nepríjemnosti.
Ak som spravil chybu, alebo máte pripomienku, píšte na podcast(at)incident.sk, ďakujem.
ÚVOD
Len pre poriadok zhrniem podstatné informácie. Sme uprostred pandémie spôsobenej koronavírusom a každá krajina sa rôznym spôsobom pasuje s jej riešením. Na Slovensku vznikol projekt „Zostaň zdravý“, ktorý si kladie za cieľ pomôcť v tejto zložitej situácii. Ich riešenie je dobrovoľná a anonymná aplikácia pre smart mobily s operačným systémom Android a Apple iOS.
Definícia problému
Aký problém ideme riešiť?
Potrebujeme čo najdetailnejšie zmapovať pohyb osôb s možnosťou sa pozrieť kde sa osoby v minulosti nachádzali. Ak zistíme, že je niekto nakazený, potrebujeme približne vedieť s kým mohol prísť do styku, aby sme ich povinne otestovali. Negatívne testovaný človek môže pokračovať ďalej vo svojom živote. Pozitívne testovaný človek musí ísť do karantény, poprípade bude hospitalizovaný.
Ako ideme problém riešiť?
V prípade projektu „Zostaň zdravý“ je to dobrovoľná, anonymná aplikácia pre smart mobily s operačným systémom Android a Apple iOS. Obmedzenia a riziká, ktoré nižšie popisujem by platili pre akúkoľvek podobnú aplikáciu a nie sú unikátne pre spomínaný projekt.
OBMEDZENIA
1.Dobrovoľnosť
Aplikácia je dobrovoľná a funguje na smart mobiloch s operačným systémom Android a Apple iOS. Ako vidíme na príklade dvoch krajín Číny a Južnej Kórei, ich úspech spočíval v okamžitom prehľade o pohybe osôb a v masovom testovaní. Čína mala už pred pandémiou dosť podrobný prehľad o pohybe svojich občanov z CCTV kamier a rozoznávania tváre a tiež z mobilov pomocou aplikácií, ktoré sú pod dohľadom veľkých čínskych firiem. Južná Kórea prijala po epidémii MERS v roku 2015 nový zákon, ktorý jej umožňoval sledovanie a informovanie o nakazených občanoch. Obidve krajiny mohli začať využívať informácie okamžite ako sa objavila nová epidémia.
Záver: Dobrovoľnosť stojí v ceste okamžitej reakcii, ktorú teraz potrebujeme. Aplikácie nesmie byť dobrovoľná ak má fungovať. Dá sa predpokladať, že aplikáciu by musela mať drvivá väčšina občanov Slovenska a to hneď.
2.Anonymita
Aplikácia po prihlásení pridelí každému anonymný identifikátor. Prevádzkovatelia ukladajú GPS polohu pre tento identifikátor. Aplikácia generuje aj jednorazový anonymný identifikátor, ktorý sa nahlási pri vykonaní testu na koronavírus. Ak je niekto pozitívne testovaný, vygeneroval a nahlásil pred testom identifikátor, tak v aplikácii by sa mal dozvedieť výsledok. Následne na základe historických dát sú ostatní ľudia, ktorí boli v jeho blízkosti informovaní. A to je všetko. To či sa upozornení ľudia pôjdu otestovať je na nich a prevádzkovatelia ani zdravotníci nevedia ich identitu, aby ich nahnali na testovanie. Nie je povinné pred testom vygenerovať a nahlásiť identifikátor, to môže spôsobiť, že nakazený sa nezobrazia v aplikácii.
Záver: Ak má byť aplikácia účinná, nemôže byť anonymná. Minimálne štátne orgány musia vedieť identitu osôb, ktoré sa pohybovali v minulosti v blízkosti nakazeného. Potrebujú vedieť identitu, aby ich povinne otestovali. Tak sa to dialo v Číne aj Južnej Kórei. Nie je povinné pred testom vygenerovať a nahlásiť identifikátor, to môže spôsobiť, že nakazení sa nezobrazia v aplikácii. Na test sa dá ísť aj bez použitia aplikácie.
RIZIKÁ
Zákony
Nie som právnik, ale treba zobrať do úvahy aj zákonnosť takéhoto masového zberu informácii. Ak je moja úvaha, že aplikácia musí byť povinná a nesmie byť anonymná správna, tak potrebujeme zákony, ktoré by upravovali ako budeme postupovať. Zákony, ktoré určia pravidlá. V Izraeli ich tento týždeň kvôli tomu museli meniť.
Kybernetická bezpečnosť
Napriek tomu, že je aplikácia anonymná, GPS dáta nie sú anonymné. Pri rôznych testoch bolo preukázané, že už týždeň údajov o pohybe jednej osoby stačil na jej úplnú identifikáciu aj s informáciami kde býva, kde pracuje, s kým sa stretáva. Ak sa budú na jednom mieste zhromažďovať takto citlivé dáta o každom občanovi Slovenska, tak ktokoľvek ich prevádzkuje si nakreslí na seba obrovský terč. Tak podrobné údaje budú určite žiadané a systém by mal byť dostatočne zabezpečený.
Národná bezpečnosť
Či bude alebo či nebude aplikácia povinná, budú ju musieť mať nainštalované rôzne citlivé skupiny ľudí: policajti, vojaci, ministri, štátni úradníci a pod. Ich pohyb a jeho únik v podobe GPS údajov môže prezradiť utajované skutočnosti. Táto skupina nie je počtom zanedbateľná. Treba na to myslieť.
Pokrytie
Naša najrizikovejšia skupina občanov-dôchodcovia nemajú buď vôbec mobily alebo nemajú smart mobily. Ako ich budeme sledovať? Ako ich budeme informovať, že sa nachádzali v blízkosti nakazeného?
Technológie
Podľa verejne dostupných informácii používa Izrael aj Južná Kórea na sledovanie dáta o pohybe mobilov od mobilných operátorov. To má veľkú výhodu, lebo sledovanie je automatické, „neviditeľné“ a občania si nemusia nič inštalovať. V prípade sledovania GPS na mobile môže kvôli rôznym nekompatibilitám a rôznorodosti hlavne Android mobilov dôjsť k výpadku dát. My však potrebujeme informácie hneď, nie je čas na ladenie aplikácie pre rôzne typy mobilov.
Testovanie
Ak by aj aplikácia fungovala, je nutné následne rýchlo otestovať všetkých, ktorý prišli do kontaktu s nakazeným. Výstupy z aplikácie by mali byť prepojené na testy v reálnom svete. Všetko musí byť správne koordinované a pripravené.
Koordinácia
Podľa správy zo SME si polícia pripravuje vlastnú aplikáciu. Viac neviem, ale čo viem je, že takto mrháme časom a energiou.
ZÁVER
Ak sa pozrieme na definíciu problému a jeho riešenie, tak vidíme slabiny. Aplikácia zatiaľ nespĺňa požiadavku detailného sledovania občanov, pretože je dobrovoľná. Aplikácia vie zistiť kto sa pohyboval v blízkosti nakazeného, ale keďže je anonymná, nevieme „donútiť“ ľudí v blízkosti ísť na povinný test. V súčasnosti podľa mojich informácií nie je povinné generovať kód z tejto aplikácie pri teste na koronavírus. Pozitívne testovaní, ktorí nepoužívajú aplikáciu, nebudú aplikáciou zachytení. Chýba koordinácia so štátom, ten si vraj buduje cez políciu vlastné riešenie. Musí byť tesné prepojenie medzi detekciou a okamžitým testovaním.
Treba určite oceniť snahu každého, kto chce pomôcť v tejto zložitej situácii. Problém pred ktorým stojíme je však komplexný. Vyžaduje si spoluprácu občanov, vlády, súkromných firiem. Takisto si vyžaduje riešenia a postupy, ktoré idú nad rámec jednej aplikácie na mobile. A hlavne nemáme čas improvizovať. Pozrime sa ako to robia inde a rýchlo to skopírujme.
Obrázok: „Novel Coronavirus SARS-CoV-2“ by NIAID, used under CC BY 2.0
