Cyberbezpieczeństwo to nie tylko głośne wpadki firm, wycieki i ataki hakerskie, o których słyszymy w mediach i po których jesteśmy trochę bardziej czujni. Zwykłe zabezpieczenie siebie i sprzętu nie wystarczy w czasach, w których technologie i konsekwencje ich działania są ze sobą powiązane. Jak zmienić w sobie podejście do bezpieczeństwa i zagrożeń w sieci?
Kiedy wielkiej firmie zdarzy się jakaś wpadka (jak ostatnio mBankowi z wysłaniem testowych powiadomień push w swojej aplikacji mobilnej) lub gdy w mediach głośno o spektakularnym wycieku danych, lub ataku hakerskim, wówczas zwykle przez chwilę stajemy się bardziej czujni i czujne na kwestie „bezpieczeństwa w sieci”. Podobne efekty medialnego szumu, który pozornie skłania nas do refleksji, dotyczą również innych technologii np. sztucznej inteligencji czy możliwości manipulacji obrazem (w przypadku wideo to tzw. deep fake). Jednak kiedy zagrożenie lub konsekwencje są trudne do zrozumienia, lub odwleczone w czasie, wtedy znacznie trudniej jest połączyć kropki i ocenić jak groźny może być to scenariusz. Jaki będzie jego wpływ, nie tylko ja daną firmę, ale również na nasze indywidualne losy.
Tymczasem te nagłośnione i te mniej widoczne wydarzenia w sieci i świecie technologii są ze sobą powiązane coraz bardziej. Jedna technologia i konsekwencje jej działania wpływają na przyspieszenie pojawienia się kolejnych rozwiązań i kolejnych potencjalnych zagrożeń. Wszystko przyspiesza. Tak jak w przypadku praktycznego zabezpieczenia się przed cyber zagrożeniami nie wystarczy już jeden program czy nawyk, by nas skutecznie chronić. Potrzebujemy bardziej elastycznego i uważnego podejścia.
Zagrożenia, które odsuwamy z daleka od siebie
Bardzo łatwo nie doceniamy ryzyka lub przeceniamy inne np. kiedy jest bardziej nagłośnione medialnie, lub w jakiś sposób potwierdza już naszą opinię na dany temat. To tzw. pułapki myślenia, o których genialnie pisał noblista Daniel Kahneman, są naszym niezwykle słabym ogniwem, również, jeśli chodzi o cyberbezpieczeństwo oraz myślenie o danych i prywatności w sieci. Ufamy danym i wynikom kalkulacji komputerowych na tyle, że wyciągamy wnioski o indywidualnych osobach. Twórcy technologii szukają winy po stronie użytkownika i często przegapiają w ten sposób luki po stronie oprogramowania czy w swojej pracy (co nawet doczekało się akronimu: PEBKAC „Problem Exists Between Keyboard And Chair”).
Wobec wielu technologii (np. takich jak manipulacja obrazem wideo, dźwiękiem, generowanie nieprawdziwych wiadomości) unikanie tych pułapek jest jeszcze trudniejsze. Poza krytycznym myśleniem musimy coraz mocniej wysilać zmysły, aby weryfikować dochodzące do nas informacje. To moment, w którym działanie technologii spotyka się z psychologią i filozofią. Czy na dużą skalę dane narzędzia kształtują nas szybciej, niż my je możemy zrozumieć i wybierać świadomie to, jak mają działać?
Weźmy przykład programów biometrycznych do zabezpieczenia urządzeń i rozpoznawania osób, które upowszechniły się w ciągu ostatnich lat. Ich rozwój związany jest ze znaczącym postępem w skuteczności sieci neuronowych, czyli jednej z podstawowych technologii, które często nazywa się sztuczną inteligencją (o czym później). Zastosowanie tych programów spotykamy prywatnie (odbezpieczając nasze smartfony za pomocą „twarzy”) i publicznie (w rosnącej liczbie państw jak systemu bezpieczeństwa). Podczas epidemii COVID-19 prawdopodobnie największy tego rodzaju systemu, czyli chiński został zaprzęgnięty do śledzenia potencjalnych chorych, aby ograniczyć rozprzestrzenianie się wirusa.
Dla firm stojących za mediami społecznościowymi takimi jak Facebook, rozpoznawanie twarzy oznacza ułatwienie w zdobywaniu większej ilości danych historycznych o nas i możliwość porównywania zdjęć (które poza rozpoznawanie twarzy umożliwia analizę i rozpoznawanie cech). Najbardziej znanym i kontrowersyjnym zastosowaniem tzw. facial analysis było określenie orientacji seksualnej wyłącznie na podstawie zdjęć twarzy. Każdy z tych sposobów zastosowania technologii generuje kolejne scenariusze tego, jakie inne technologie mogą zasilić te rozwiązania… i jakie nowe konsekwencje wywołają. Być może nowy obszarem w edukacji o cyberbezpieczeństwie powinny być podstawy psychologicznej odporności?
Mit o samotnym przetrwaniu w cyfrowym lesie
Kolejną pułapką myślenia o bezpieczeństwie cyfrowym jest skupianie się na tym, że mamy większy wpływ na nasze bezpieczeństwo niż nam się wydaje. Lata dyskusji o tym, jak ważne są ustawienia prywatności w mediach społecznościowych czy dbanie o to, by nie umieszczać w sieci zbyt wielu informacji o sobie (co oczywiście jest nadal ważne) odciągały wiele osób od przyjrzenia się bliżej zagrożeniom systemowym. Przykład? Facebook prawdopodobnie łamiąc unijne prawo ochrony danych uzupełniał dane o osobach, które nie posiadają w nim konta (tzw. shadow profiles) śledząc je przez sieci znajomych, a firmy tworzące bazy danych do wspomnianych systemów rozpoznawania twarzy pozyskiwały wizerunki, potrzebne im do szkolenia swoich programów, w zasadzie w każdy możliwy, nawet wątpliwy etycznie sposób.
Facebook nie jest jedynym przykładem na to, jak z ograniczonych informacji (które w sieci są o prawie każdej osobie, nawet tej, która z sieci korzysta niezwykle rzadko lub wcale) można tworzyć nowe informacje i wartość. Od reklamodawców przez serwisy randkowe aż po media zajmujące się dezinformacją, wszędzie odnajdziemy fałszywe profile, które generowane są automatycznie, a dzięki ogromnej ilości naszych danych (i tego ile da się z nich również automatycznie wnioskować) mogą być bardzo realistyczne.
Informacje i profilowanie na bazie naszych danych, czy tego chcemy, czy nie, również stanowią dla nas potencjalne zagrożenie. W wersji minimalnej, kiedy wyciekną, w gorszej, kiedy mogą posłużyć np. do kradzieży naszej tożsamości lub wizerunku.
Nasze wizerunki są z resztą idealnym przykładem na to, że technologie cyfrowe przekroczyły granice sieci, z której korzystamy za pomocą komputera czy smartfona. Obraz naszej twarzy może trafić do sieci niezależnie od tego, czy go sami opublikujemy, czy nie. Wyciek danych z firmy Clearview w ujawniony na początku 2020 roku świetnie pokazał, że takie bazy w kwestii bezpieczeństwa są tym samym, co te z naszymi adresami e-mailowymi i hasłami. Do wycieku tych po prostu zdążyliśmy się już przyzwyczaić i (w miarę) potrafimy przed ich konsekwencjami zabezpieczać.
O ile codzienne bezpieczeństwo i podstawowa prewencja, która uchroni nas przed wieloma zagrożeniami, faktycznie zależy od naszego poziomu zabezpieczeń i zdrowych nawyków (np. regularnej zmiany haseł, używania wieloskładnikowego logowania, czujności i ograniczonego zaufania), to wobec masowego zbierania danych (i coraz częściej tworzenia na ich bazie nowych informacji i profili), ich wycieków oraz użycia wbrew naszej woli, uchronić nas może tylko prawo lub głęboka zmiana tego, jak dziś zarabia się w sieci. Mimo to pokusa, aby w sieci tworzyć miejsca odcięte od szerszej publiczności, w których można byłoby znów czuć się prywatnie i bezpiecznie jest ogromna i zapewne będzie coraz popularniejsza. Pytaniem otwartym jest czy faktycznie coraz silniejszy podział sieci, który już teraz działa m.in. pomiędzy USA, Europą, Chinami czy Rosją (choć osiągany różnymi metodami) jest nam, konsumentom i obywatelom na rękę?
Prawo i finanse ponad antywirus
Czy jedyne co pozostaje to porzucić wszelką nadzieję? Nie. Ostatnie lata to również narastające napięcie pomiędzy prawodawcami, głównie w Europie i w USA, a technologicznymi korporacjami. Choć z perspektywy zwykłego użytkownika czy użytkowniczki te nieustające batalie prawne, czy przesłuchania gwiazd doliny krzemowej przed amerykańskim kongresem, mogą wydawać się co najmniej nieskuteczne, to coś powoli pęka. Zmiany na lepsze można dostrzec w dwóch miejscach (i na oba mamy jakiś wpływ).
- Prawo, które powoli daje konsumentom coraz więcej narzędzi (począwszy od przepisów RODO) do przeciwstawiania się korporacjom, które naruszają prywatność, ryzykują nasze dane lub wykorzystują je wbrew nam.
- Działania konsumenckie, ale niekoniecznie polegające na porzucaniu bycia na danej stronie czy serwisie społecznościowym, a raczej na wpływaniu na ich sposób zarabiania.
Do walki z fake newsami oraz mowie nienawiści amerykańskie, brytyjskie i nowozelandzkie organizacje wykorzystały ostatnio bojkoty reklamowe. Dzięki przekonaniu kilkudziesięciu ogromnych firm i agencji marketingowych do rezygnacji z opłacania za reklamy na Facebooku (i innych portalach) postawiły firmę w trudnej sytuacji. Na razie wizerunkowo, ale z czasem możliwe, że również finansowo, jeśli bojkot potrwa na tyle długo by zestresować udziałowców. Wydaje się, że podobnie jak w walce z kryzysem klimatycznym, przeciwstawienie się największym, systemowych zagrożeniom wynikającym z rozwoju technologii wymaga dziś (i powoli nabiera w tym tempa) działań, które uderzają w podstawy finansowania tych rozwiązań. Bojkoty angażujące reklamodawców nie są już domeną wyłącznie małych firm, które podążają za wartościami twórców lub pracowników, ale trafiają nawet do największych, globalnych firm. Kampanię Stop Hate For Profit i wycofanie budżetów reklamowych z Facebooka wsparły Coca Cola, Unilever, Levi’s czy Honda.
W co zatem uzbroić się w najbliższych latach, aby lepiej dbać o cyfrowe bezpieczeństwo? Zdecydowanie w lepszą wiedzę o tym, jak działa nasz mózg (i kiedy może nas zawieść) oraz jak walczyć wspólnie jako konsumenci o nowe prawa i lepsze zabezpieczenia naszych interesów w sieci.