Kad podaci procure: za i protiv neovlašćenog otkrivanja

Ovih dana u javnost je procurio interni dopis Fejsbukovog tima za komunikacije, u kom se navodi da kompanija treba da “normalizuje činjenicu” da se otkrivanje ličnih podataka u industriji redovno dešava. Odnos jednog od najvećih globalnih rukovalaca ličnim podacima prema privatnosti svojih korisnika, otkriven je greškom – pošto je dopis, osim kolegama iz tima, poslat i na adresu jednog belgijskog novinara.

Fejsbukova strategija nemara u ovom slučaju tiče se poslednjeg u nizu incidenata, za koji smo saznali početkom aprila, kada su podaci sa preko pola milijarde naloga na Fejsbuku postali slobodno dostupni na jednom hakerskom forumu. To otkriće, međutim, nije bila greška već stvar namere: ispostavilo se da su podaci skrejpovani (izvučeni uz pomoć posebnog softvera) sa ove društvene mreže zahvaljujući sistemskom propustu koji je rešen 2019. posle čega se na istom hakerskom forumu baza mogla pretraživati za određenu nadoknadu.

Zašto je zatim došlo do javnog otkrivanja čitave baze, ostaće pitanje za neku eventualnu istragu. Ako je bude: zasad je tek nekoliko nacionalnih agencija za zaštitu podataka zatražilo od Fejsbuka da se izjasni o incidentu. Procurela baza uključuje imena korisnika, njihove brojeve telefona, lokacije i druge lične podatke, što je navelo stručnjake da oštećene korisnike upozore na pokušaje fišinga i drugih onlajn prevara zasnovanih na privatnim informacijama.

SHARE Fondacija je uvidom u bazu utvrdila da se među otkrivenim podacima nalazi i oko 95.000 telefonskih brojeva iz Srbije. Naš Poverenik se nije oglašavao ovim povodom, dok Fejsbuk još nije imenovao svog predstavnika u Srbiji.

Curenja se, dakle, mogu dešavati slučajno, tehničkom ili ljudskom greškom, ali i namerno. Ono što ih, strogo govoreći, razlikuje od slučajeva kada do kompromitovanja baze podataka dođe usled hakerskog napada, odnosno spoljašnje provale u sistem, jeste što se curenja dešavaju u smeru iznutra-ka-spolja.

Kada nisu stvar omaške, nesposobnosti ili nebrige, već nečije svesne odluke da objavi podatke koji nisu namenjeni javnosti, stvar postaje znatno složenija. Za razmatranje argumenata za i protiv curenja, dobro je imati u vidu pitanje ko od otkrivanja tajni ima korist, a ko štetu. Politički kontekst, odnosi moći, pa i puki slučaj, dodatno komplikuju konačnu presudu.

Koncentracija podataka – šta može da krene po zlu?


Mada relativno skroman po obimu, glavni kandidat Srbije za curenje podataka zbog nemara bila je Agencija za privatizaciju iz koje je 2014. u javnost izašao fajl od 19 gigabajta sa podacima gotovo čitavog punoletnog stanovništva. Kad se to desi u Indiji, sa bazom biometrijskih podataka građana, onda govorimo o milijardu oštećenih.

Savremeni alati koji omogućavaju prikupljanje i obradu ogromnih količina podataka, uz obećanje brzine i uštede, podjednako zasenjuju javne vlasti i privatne korporacije, kojima je tzv. ekonomija podataka dodatni podstrek za gomilanje informacija o građanima. O zaštiti privatnosti razmišlja se tek kada dođe do teških povreda.

Kada je Indija lansirala zamenu starih ličnih karata biometrijom, potez je slavljen kao najsofisticiraniji projekat u oblasti identifikacije građana. Baza Aadhaar pokrenuta je 2009. godine s namerom da u najmnogoljudniju demokratiju sveta uvede precizan sistem, gde se uz tekstualne podatke o rođenju, prebivalištu i slično, od građana uzimaju i digitalni otisci prstiju i snimak irisa u oku. Ispostavilo se da su namere bile previše ambiciozne za postojeću infrastrukturu, pa je baza više puta bila na meti hakera – no, 2018. otkrivena je “slavina” kroz koju su podaci neometano curili iz baze ugrožavajući podatke milijardu ljudi, koliko ih je do tog trenutka već bilo obuhvaćeno projektom.

Rukovaoci indijskom bazom u više navrata su doživeli i poraz pred raznim sudskim instancama, sve do odluke najvišeg indijskog suda kojom je potvrđeno pravo na privatnost kao pretežno u odnosu na potrebe državne uprave. Time su poništene ranije odluke vlade da pristup socijalnoj pomoći, poreske prijave i druge javne usluge uslovi izdavanjem Aadhaar kartice, inače na dobrovoljnoj osnovi. Međutim, ni iskustva sa tehničkim problemima, ni sudske presude u korist zaštite privatnosti nisu umanjile ambicije indijskih vlasti: organizacije za ljudska prava nedavno su uputile javni protest zbog planirane primene tehnologije za prepoznavanje lica i njeno povezivanje sa bazom Aadhaar u procesu vakcinacije stanovništva protiv kovida-19.

Stručnjaci upozoravaju da se očekivanja Fejsbukovog tima za komunikacije da će se javnost navići na kršenje privatnosti – već ispunjavaju, makar i usled pukog broja takvih slučajeva. Prema jednoj računici, u prvom kvartalu 2020. broj javno otkrivenih podataka koji nisu namenjeni javnosti, bilo zbog hakerskih napada ili zbog curenja iznutra, porastao je za 273% u odnosu na isti period prethodne godine. Posebno zabrinjavaju incidenti sa osetljivim podacima građana, kao što su medicinski podaci. Jedan ljudski propust u informacionom sistemu Srbije namenjenom upravljanju podacima o kovidu-19, koji su istraživači SHARE Fondacije slučajno otkrili pretragom na Guglu, mogao je dovesti do curenja sa nesagledivim posledicama, ne samo po privatnost.

Podaci u javnom interesu


Ipak, curenje podataka nema samo negativan predznak, a za takve slučajeve postoji mnogo dobrih primera. Tajno prikupljanje i gomilanje podataka o građanima i sakrivanje dokaza o korupciji i kriminalnim aktivnostima bogatih i moćnih, daleko je štetnije od narušavanja privatnosti počinilaca. Kada se opravdani interes javnosti da zna nađe u sukobu sa bezbednosnim ili komercijalnim šemama država i političara, ishod obično nije povoljan po uzbunjivače i istraživačke novinare. Često se, međutim, korist koju društva imaju od njihovih otkrića vremenom pokaže kao dobro opravdanje. Čak i kada trenutni politički kontekst podeli društvo na protivnike i pristalice otkrića.

Verovatno najslavniji slučaj curenja podataka odigrao se u leto 2013. kada je britanski dnevni list Gardijan objavio prvu u nizu reportaža zasnovanih na hiljadama tajnih dokumenata američke agencije za nacionalnu bezbednost (NSA). Iz serije tekstova u nekoliko medija uključenih u izveštavanje, svet je saznao za razmere elektronskog nadzora koji se sprovodi na tlu Amerike, ali i mnogim zemljama sveta, pre svega državama-članicama obaveštajne alijanse „Pet očiju“. Zaslužan za ova otkrića bio je radnik NSA po ugovoru, Edvard Snouden, koji danas živi kao prinudni azilant u Rusiji, pod pretnjom krivičnog progona u SAD zbog krađe podataka i špijunaže.

Sve o čemu se do tada moglo samo nagađati, sa Snoudenom je postalo javno i dobro dokumentovano. Saznali smo za uređaje i kompleksne programe koji se koriste za prikupljanje i obradu ogromnih količina podataka iz komunikacije građana širom sveta, bez pravnog osnova. Od posebnog značaja bio je uvid u novi analitički pristup po kom je sadržaj komunikacije manje važan od metapodataka, do tada zanemarenih u zastarelim propisima o zaštiti privatnosti kao osnovnog ljudskog prava.

Mada je kasnije na saveznom sudu utvrđeno da je program masovnog nadzora u SAD bio nezakonit, od tužbi protiv Snoudena još se nije odustalo. Najpoznatijem uzbunjivaču javnosti u istoriji ostaje saznanje da je učinio ogromnu uslugu čovečanstvu, ojačao front za zaštitu ljudskih prava u novom, digitalnom okruženju i osvetlio mračne tokove državnog nadzora. Pored nesumnjivog javnog interesa, ono što je ovom curenju podataka dalo presudnu etičku komponentu bila je saradnja sa novinarima i urednicima koji su pre objavljivanja svakog teksta, pažljivo proveravali da li bi objave mogle izazvati nepotrebne pravne i bezbednosne rizike.

Izostanak takvog posredništva najveća je zamerka još jednom svetski poznatom slučaju curenja podataka vezanih za vojne i bezbednosne državne strukture SAD. Reč je o vojnoj uzbunjivačici Čelsi Mening i objavi dokaza o zločinima američke vojske u ratovima u Iraku i Avganistanu, kao i više stotina hiljada depeša američkih diplomata iz celog sveta. Svi podaci objavljeni su 2010. izvorno, bez obrade i redakture, na platformi pokrenutoj nekoliko godina ranije upravo za otkrivanje tajnih podataka – WikiLeaks.

Kada je uhapšena, optužnica protiv Mening sadržala je 22 tačke, a ona je na vojnom sudu 2016. osuđena na 35 godina zatvora. Početkom naredne godine, predsednik SAD je smanjio kaznu na četiri meseca, pa je Mening ubrzo oslobođena. U međuvremenu je osnivač platforme Džulijan Asanž, posle sedam godina samoizolacije u ambasadi Venecuele u Londonu pod pretnjom izručenja SAD, uhapšen i sproveden u britanski zatvor. Ukoliko ga vlasti izruče, očekuje ga suđenje i potencijalna kazna od 170 godina zatvora.

Drskost čačkanja najmoćnije sile u ova dva slučaja, ohrabrio je i druge uzbunjivače i istraživače širom sveta, pa smo narednih godina dobijali još detalja o državnom nadzoru koji se sprovodi u raznim zemljama, ali i o rastućoj privatnoj industriji koja opslužuje savremenu glad za podacima. Jedan od takvih slučajeva curenja podataka izlio se delom i na Srbiju: interna dokumentacija italijanskog proizvođača špijunskog softvera „Hacking Team“ završila je 2015. na WikiLeaksu. Tu smo našli prepisku koju je ova firma, na zlom glasu zbog poslovanja sa diktatorskim režimima, vodila sa predstavnicima ministarstva odbrane Srbije.

Godinu dana kasnije, procurelo je 2,5 terabajta dokumenata u slučaju koji se opisuje kao najveće otkriće u svetu finansijske i političke korupcije. U čuvenim Panamskim papirima otkriveni su podaci o preko 200.000 ofšor kompanija za izbegavanje poreza, ali i za pranje para i finansijske prevare, otvorenih preko jedne advokatske kancelarije u Panami. U dokumentima je identifikovano nekoliko desetina premijera i predsednika i više stotina javnih službenika i biznismena. Na otkrićima je čitavih godinu dana radilo više stotina novinara iz 80 zemalja sveta, uključujući i Krik iz Srbije. Primarni izvor ovih dokumenata do danas je nepoznat, budući da je uzbunjivač ostao anoniman čak i za svoje kontakte u medijma. Kako se navodi, zahvaljujući ovom otkriću do 2019. pokrenute su brojne istrage, smenjeni su mnogi državni funkcioneri, a vlade 22 zemlje uspele su da povrate 1,2 milijarde dolara.

Bilo da podržavamo dosledni legalizam ili građansku diverziju, možemo se pobrinuti da i sami ne postanemo deo godišnje statistike o “normalnom” kršenju privatnosti. “Preuzmi kontrolu nad svojim podacima” naziv je zajedničke platforme široke koalicije organizacija za digitalna prava, sa jednostavnim uputstvima za primenu garancija iz ustava i zakona Srbije, a koja se tiču ličnih podataka građana. SHARE Fondacija takođe razvija i Alate za digitalnu bezbednost sa odgovorima na mnoga bezbednosna pitanja u digtalnom okruženju, među kojima su i zaštita privatnosti i ličnih podataka na internetu.



Mila Bajić je istraživačica SHARE Fondacije sa fokusom na odnos novih medija, tehnologije i privatnosti.

Milica Jovanović je samostalna novinarka i urednica.

Čitaj još: