(Vyčio Snarskio pieš.)

Kaip pilietis tapo skaitmeniu: beveik kiekvienas žingsnis gali būti kontroliuojamas valstybės

Kaip pilietis tapo skaitmeniu: beveik kiekvienas žingsnis gali būti kontroliuojamas valstybės

Pradedame suprasti, kiek informacijos atiduodame privačioms bendrovėms. Tačiau ką apie mus žino valstybė ir kada gali tekti to pasigailėti?

Finansinė padėtis, ligos istorija, ryšiai su kitais asmenimis ir organizacijomis, teisiniai įsipareigojimai ir prasižengimai, dalyvavimas balsavime, kelionės avialinijomis, telefoniniai pokalbiai, siųsti laiškai bei naršytos svetainės. Beveik kiekvienas piliečio žingsnis šiandien tampa skaitmeniu ir gali būti kontroliuojamas valstybės.

Mainais už atiduodamą privatumą, valstybė įsipareigoja užtikrinti saugumą ir gerovę. Tačiau „kontraktą“ ji bet kada gali sulaužyti. „Nebūtų ko bijoti absoliučiai demokratinėje ir žmogaus teises gerbiančioje valstybėje, bet mes žinome, kad tokie dalykai gali apsiversti per naktį, – įspėjo teisininkas, žmogaus teisių specialistas Karolis Liutkevičius. – Kiek mes pasitikime valstybės institucijomis, kad jos niekada nepiktnaudžiaus savo įgaliojimais ir nepanaudos tų duomenų, pavyzdžiui, kokiam nors profiliavimui ar kitokiai mūsų teises pažeidžiančiai iniciatyvai?“

Didysis brolis 2.0: skaitmeninė era

Skaitmeninis duomuo – ne byla kartotekoje. Techninės galimybės panaudoti asmenų duomenis jų kontrolei ar socialinei inžinerijai – praktiškai beribės. Kaip teigia sertifikuota informacinio privatumo ekspertė Natalija Bitiukova, kol kas mus nuo to saugo teisiniai barjerai: „Vienas kertinių asmens duomenų apsaugos principų – tikslo apribojimas: duomenys turi būti renkami nustatytais, aiškiai apibrėžtais bei teisėtais tikslais ir toliau netvarkomi su tais tikslais nesuderinamu būdu.“

Kas nutinka, kai šis principas didžiųjų duomenų eroje negerbiamas, sužinoti galime jau dabar, ir ne kitoje realybėje: maždaug 9 mln. kinų negali nusipirkti kelionės bilieto, kadangi jų socialinis reitingas tam per žemas.

Kinijos kuriamas socialinis kreditas – individualus patikimumo įvertinimas pagal algoritmui prieinamus žmogaus veiksmus bei ryšius, pradedant nuo pavėluotų sumokėti mokesčių ar užfiksuoto prasižengimo ir baigiant įsigytomis prekėmis, žinučių turiniu bei draugų ir pažįstamų rato „patikimumu“. Sistemoje aktyviai dalyvauja verslas, nes mato galimybę aiškiau įvertinti asmenų finansines rizikas ir patikimumą. Galiausiai informacija interpretuojama, remiantis moraliniais ir psichologiniais kriterijais. Internetinė parduotuvė „Alibaba“ pripažįsta, kad kompiuterinių žaidimų mėgėjas laikomas mažiau atsakingu nei kažkas, dažnai perkantis sauskelnes.

Kol kas sistema fragmentiška, bet nuo 2020 m. bus privalomai taikoma visiems 1,3 mlrd. Kinijos piliečių. Reitinguojami viršuje turės didesnes galimybes, pavyzdžiui, leisti vaikus į prestižines mokyklas ar gauti pirmumą administracinėse procedūrose (grėsmingai skamba sveikatos priežiūros institucijoje suteiktas prioritetas, o labiau kurioziškas pavyzdys – matomumas pažinčių portaluose), o turintieji prastą reitingą negaus dalies prekių ir paslaugų. N. Bitiukova įsitikinusi: taip vyriausybė programuoja režimui palankių piliečių kartą.

Mūsų kieme

Skamba šiurpiau nei serialo „Juodasis veidrodis“ (angl. „Black Mirror“) epizodai? Laimei, mūsų kieme pučia kitokie vėjai. Bendrasis duomenų apsaugos reglamentas (BDAR), jau tapęs keiksmažodžiu turinčioms prisitaikyti organizacijoms, bando sugrąžinti ES piliečiams teisę į privatumą. Dėl reguliavimo griežtumo kai kurios bendrovės, besiverčiančios asmenų duomenų analize ir apdorojimu, jau paliko ES krantus. Kitos surūšiavo savo naudotojus į dvi grupes, pavyzdžiui, „Facebook“ apie 70 proc. anketų administravimą perkėlė iš Airijos į JAV, kur galioja daug švelnesnis reguliavimas.

Naujųjų reikalavimų turės laikytis ir valstybinės institucijos. Tačiau dėl pokyčių teisininkas K. Liutkevičius išlieka skeptiškas: „BDAR vargiai įkvėps labiau saugoti patikėtus duomenis. Požiūris toks, kad reikia formaliai įgyvendinti reikalavimus, bet kad patys asmens duomenys yra mūsų žmogiškojo orumo dalis, nemąstoma.“ Apklausos rodo, kad institucijos neinvestuoja į vadinamąsias minkštąsias priemones – darbuotojų mokymą, sąmoningumo kėlimą.

Žmogaus teisių stebėjimo instituto šiųmetėje apžvalgoje minimi atvejai atskleidžia, kad jo trūksta. 2017 m. Kėdainių rajono savivaldybės administracija už komunalines paslaugas gyventojams išsiuntinėjo sąskaitas, kurių neatplėšus buvo matomas gavėjo asmens kodas. O štai 2016 m., vykstant Seimo rinkimams, prisijungę prie Vyriausiosios rinkimų komisijos internetinio „Rinkėjo puslapio“, galėjome matyti kitų vartotojų duomenis ir lengvai gauti viso puslapio administravimo teises.

„Daugeliu atveju mes negalime pasirinkti viešųjų paslaugų tiekėjo (pavyzdžiui, negalime pasirinkti, naudotis ar nesinaudoti „Rinkėjo puslapiu“), – teigė N. Bitiukova. – Tad valstybės institucijoms turėtų būti keliami griežti atskaitingumo reikalavimai.“ Gyventojai atsiduria padėtyje, kai jie tarsi teisiškai ginami, bet praktiškai teisių realizuoti negali.

Saugumas prieš privatumą

Iš tiesų teisės kai kuriais atvejais netgi paneigiamos – ir dar pačios ES suformuluotu pagrindu. Lietuvoje šiuo metu masiškai renkama ir kaupiama informacija apie kiekvieną asmens kontaktą, jo laiką ir trukmę, taip pat naršymo internete istoriją – vadinamieji srauto duomenys. Tai reglamentuojančią Elektroninių ryšių įstatymo nuostatą Lietuva kartu su kitomis valstybėmis narėmis perėmė iš 2006 m. ES direktyvos. Ir, kaip dauguma kitų šalių, tos nuostatos nepanaikino, nepaisant to, kad 2014 m. ES Teisingumo Teismas direktyvą pripažino neteisėta.

Techninės galimybės asmenų duomenis panaudoti kontrolei ar socialinei inžinerijai – praktiškai beribės.

„Šių duomenų visuma padeda sukurti labai tikslų asmens profilį, – teigė konsultantė duomenų apsaugos klausimais Raminta Šulskutė. – Skambučių ir interneto naršymo laikas atskleidžia asmens dienotvarkę, aplankyti tinklalapiai aiškiai parodo, kuo asmuo domisi, ko ieško, skambučių adresatai ir pokalbių trukmė atskleidžia jo ryšius su kitais asmenimis, elektroniniai laiškai parodo ne tik adresatus ir siuntimo laiką, bet ir laiško temą, jo dydį ir IP adresą, kuris padeda nustatyti buvimo vietą.“ Jos vertinimu, dabartinis duomenų rinkimas neturi teisėto pagrindo.

K. Liutkevičius nesismulkindamas šias priemones, kurių imtasi norint užkardyti terorizmą, vadina masinio sekimo požymiu: „Teismas pasakė, kad priemonės neproporcingai riboja visų vartotojų privatumą. Tai įpareigoja valstybes nares masiškai kaupti duomenis apie visus elektroninių ryšių paslaugų vartotojus – vadinasi, visi tampa įtariamaisiais.“

„Telia“ Operatyvinės veiklos efektyvumo padalinio vadovas Vytautas Bučinskas patvirtino, kad įstatymas bendrovę įpareigoja saugoti srauto duomenis, tokius kaip skambučio data, trukmė, siųstų duomenų kiekis. „Laikydamiesi įstatymo užtikriname šių duomenų saugojimą numatytą laikotarpį, o jam pasibaigus ‒ ištriname“, – teigiama IQ pateiktame komentare.
Mykolo Romerio universiteto teisės profesorius Darius Štitilis aiškino, kad privalomas duomenų išlaikymo laikotarpis – šeši mėnesiai. Terminas gali būti pratęstas dar pusmečiui pagal papildomą pareikalavimą. Duomenys teikiami teisėsaugos institucijoms įstatymų nustatyta tvarka, taigi, pateikus teismo sprendimą.

Ar duomenys, pasakantys praktiškai viską apie mus – ką veikiame prie kompiuterio ir su kuo, kada bei kaip dažnai susisiekiame laiškais, žinutėmis bei skambučiais – saugūs? Paskutinis ryšių paslaugų teikėjų tikrinimas dėl tokių duomenų saugojimo, kaip nurodė Valstybinės duomenų apsaugos inspekcijos Informacijos ir technologijų skyriaus vyriausioji specialistė Raminta Sinkevičiūtė-Šečkuvienė, buvo atliktas 2010 m. Tada iš aštuonių patikrintų bendrovių šešios duomenis saugojo nepaisydamos reikalavimų. Keturios tą darė gerokai ilgiau – 6 mėnesius po sutarties nutraukimo, 12 mėnesių nuo ryšio datos arba netgi nuolat. Nė viena jų neturėjo tinkamo duomenų saugumą užtikrinančio reglamentavimo.

R. Sinkevičiūtė-Šečkuvienė pabrėžia, kad šiuo metu ryšių paslaugų teikėjai patys turi pareigą pranešti apie asmens duomenų saugumo pažeidimus. Kad duomenys atskleisti tretiesiems asmenims arba neįgyvendintos tinkamos duomenų saugumo priemonės, 2016 m. įmonės pranešė šešis, pernai – keturis, o šįmet ‒ jau tris kartus.

Valstybė daug apie mus žino. Yra norinčių kaukes apsilikti bent internete. (Scanpix nuotr.)

Visgi K. Liutkevičius įspėja, kad net ir teisėta priėjimo prie duomenų tvarka turi savų spragų: „Bendrovės sulaukia prašymo dėl konkretaus asmens, bet negauna teismo nutarties, tik datą, kada ji buvo priimta. Iš esmės tai visiškai aklas pasitikėjimas teisėsaugos institucijomis – teoriškai yra galimybių piktnaudžiauti, jeigu kas nors to norėtų.“ D. Štitilis pripažįsta, kad telekomunikacijų paslaugų teikėjai neturi nei galimybių, nei pareigos patikrinti teisėsaugos prašymo pagrindo.

„Tai yra dilema – visuomenė turi apsispręsti, ar saugoti tam tikrus duomenis kažkurį laiką ir tada efektyviau tirti nusikaltimus, ar saugoti privatumą, bet rizikuoti, kad nusikaltimas bus neištirtas. Po Paryžiaus įvykių pradėta kalbėti, kad reikia dar labiau riboti privatumą, – sakė D. Štitilis. – BDAR taip pat numatyta, kad tam tikrais atvejais, kai kalbame apie saugumą, gali būti taikomos išimtys.“

O gal – nei privatūs, nei saugūs?

Tačiau klausimas gali būti ir apverstas. Nors dažniausiai valstybė kėsinasi į mūsų privatumą, kad užtikrintų visuomenės saugumą, čia slypi ir galimybės jį pažeisti. Kuo daugiau apie piliečius prieinamos informacijos, tuo jie imlesni manipuliacijai.

Krašto apsaugos viceministras, inžinerinės informatikos specialistas Edvinas Kerza pripažįsta, kad sąlygos pasikeitusios iš esmės: „Blogi žmonės nebevaikšto su beisbolo lazdomis į banką – šiandien vis daugiau nusikaltėlių naudojasi skaitmeninėmis priemonėmis.“ Viceministras mini pernai balandį įvykusį įsilaužimą į klinikos „Grožio chirurgija“ duomenų bazes, kai pavogtos pacientų nuotraukos prieš ir po operacijų buvo naudojamos siekiant gauti išpirką.

Anksčiau pavogtą arklį grąžindavome ir situacija būdavo atstatyta – šiandien kur nors visada jau bus likusi „arklio“ kopija.

Į kibernetinę erdvę persikelia ir tie, kurie nori pakenkti valstybei. Nacionalinio kibernetinio saugumo centro (NKSC) ataskaitos duomenimis, 2017 m. Lietuvoje užfiksuota 10 951 informacinių sistemų užvaldymo incidentas. „NKSC periodiškai aptinka techniškai itin sudėtingų, tęstinių ir tikslingai nukreiptų kibernetinių atakų, kurių tikslas yra konkrečių sistemų užvaldymas ir informacijos grobimas“, – rašoma ataskaitoje.

Dažniausiai taikomasi į energetikos, viešosios tvarkos ir saugumo bei užsienio politikos sektorius. Paklaustas, kiek apsaugoti asmens duomenys, esantys valstybės žinioje, viceministras E. Kerza daro skirtį tarp asmens duomenų ir kritinių infrastruktūrų veikimo. Tarkime, elektroninės sveikatos sistemos atveju, duomenims, esantiems informacinėje sistemoje, apsaugoti būtų taikomos bazinės kibernetinio saugumo apsaugos priemonės bei asmens duomenims galiojanti priežiūra. Tačiau kritine struktūra turėtume laikyti pačią sistemą palaikančius serverius: „Jei tinklą atjungtų, vaistinės nebegalėtų parduoti vaistų, nes neprieitų prie elektroninių receptų.“

Kas būtų daroma duomenis pavogus ar jiems nutekėjus? E. Kerza pripažįsta, kad galima žala – didžiulė. „Anksčiau pavogtą arklį grąžindavome ir situacija būdavo atstatyta – šiandien kur nors visada jau bus likusi „arklio“ kopija. Skaitmeninių duomenų pagrobimo atveju išnaikinti pasekmių nebeįmanoma.“

Vis dėlto viceministras pabrėžia, kad patiriame milžinišką kokybinį šuolį asmens duomenų ir kibernetinio saugumo srityje. Tai susiję ne tik su BDAR, bet ir su Tinklų ir informacinių sistemų saugumo (TIS) direktyva, kuri numato papildomus kibernetinio saugumo reikalavimus: „Įgyvendinus šiuos teisės aktus, atsiranda tūkstančiai už asmens duomenų apsaugą atsakingų subjektų, nacionalinėje teisėje įtvirtinamos asmeninės tų institucijų vadovų atsakomybės ir baudos.“ Tiesa, pasak E. Kerzos, reikalavimams visiškai įgyvendinti visuose sektoriuose gali prireikti dar dvejų metų.

Leviatanas ir jo silpnosios vietos

Tačiau silpnąja vieta išlieka žmogiškasis faktorius. Vienas iš NKSC ataskaitoje apibūdinamų pasikėsinimų – valstybės tarnautojams išsiuntinėti suklastoti laiškai, kuriuose buvo prašoma „pasikeisti slaptažodį“. Taip buvo perimti tikrieji, nors ir neskelbiama, kokiu mastu inžinerinė ataka pavyko ir koks buvo jos tikslas.

E. Kerza pripažįsta, kad sąmoningumo darbuotojams trūksta, tai matyti ir ministerijos simuliuojamuose bandymuose. Nors skaičiai neatskleidžiami, akivaizdu, kad bent kol kas užkimbančių ant tokių jaukų yra.

Skaitmeniniame amžiuje gali atrodyti paprasta paspausti mygtuką „atgal“, tačiau čia ir bėda – kartą atsiradęs skaitmenoje, nepaisant ištrynimo funkcijos iliuzijos, duomuo veikiausiai ten liks amžinai. Prasidėjusio gyvenimo skaitmenizacijos proceso sustabdyti neįmanoma, o ir neverta, tačiau kritiškai stebėti, kam ir kaip saugiai laikomi duomenys, būtina. Tiek, kiek auga valstybės ir privačių bendrovių apetitas, tiek verta ir didinti susirūpinimą demokratijos būkle – tik ji ir skiria mus nuo kiniškos Didžiojo brolio versijos.

Jūsų komentaras

Daugiau leidinio naujienų