Lotnisko, sezon urlopowy. Podenerwowani ludzie szukają stanowisk odprawy i szykują się do nadania bagażu. Inni rozmawiają przez telefony lub piszą emaile. Przedstawiciele służb bezpieczeństwa pocą się, a ich wzrok ogarnia jedynie ułamek tego, co się dzieje. Tylko jeden z nich jest spokojny. Bez emocji obserwuje pasażerów, decydując, czyje zachowanie można uznać za podejrzane. Ma dziesiątki oczu i widzi wszystko – ponieważ jest komputerem, któremu pożywki dostarczają kamery wideo. Na podstawie algorytmu wskazuje on, czyje zachowanie mieści się w normie, a czyje świadczy o zamiarze popełnienia przestępstwa. Ale czy to w ogóle możliwe? Czy technika jest w stanie rozszyfrowywać ludzkie zamiary? Politycy i funkcjonariusze służb mają nadzieję, że nowe systemy analityczne, takie jak unijny Indect (http://www.indect-project.eu/) tworzony przez 17 europejskich partnerów pod kierownictwem Akademii Górniczo-Hutniczej w Krakowie, spełnią tę obietnicę. Jednak postęp techniczny w tej dziedzinie ma obok wielu zalet także negatywne konsekwencje – sprawia, że możemy utracić naszą prywatność. Już dziś śledzone są miliony obywateli. Wystarczy nieszczęśliwe sformułowanie, fałszywy ruch – i już jesteś podejrzany.
Wielki Brat węszy w danych
Fundacja Panoptykon na podstawie danych z UKE ujawniła, że w 2011 roku instytucje publiczne sięgały po informacje o naszych połączeniach telekomunikacyjnych ponad 1,85 miliona razy! To o 0,5 miliona więcej niż rok wcześniej. Było to możliwe, dlatego, że operatorzy telekomunikacyjni są zobowiązani do retencji danych transmisyjnych, czyli ich gromadzenia i przechowywania przez okres 24 miesięcy. W efekcie służby mają dostęp do danych zawierających informacje o szczegółach (bilingi, dane lokalizacyjne) wszystkich rodzajów połączeń telekomunikacyjnych.
W Niemczech raport parlamentarnej komisji ujawnił, że w roku 2010 Federalna Służba Wywiadowcza i inne organa podczas tzw. pracy operacyjnej, przeanalizowały ok. 37 milionów emaili, rozmów telefonicznych i faksów. Miało to na celu wytropienie – na podstawie ok. 15 000 słów kluczowych, takich jak “rakieta” czy “atom”, a przede wszystkim określeń związanych z bronią – terrorystów i handlarzy bronią. Problem w tym, że za Odrą w tego typu przypadkach za każdym razem służby muszą otrzymać zgodę na dostęp do takich danych. W naszym kraju ustawy o Policji, ABW i innych służbach są tak skonstruowane, że specsłużby nikogo nie muszą o nic pytać, by w pracy operacyjnej wykorzystać praktycznie każdą technologię, choć wciąż to sąd musi wyrazić zgodę na sam fakt zarządzenia kontroli.
Jeszcze gorzej z punktu widzenia prywatności obywatela wygląda sytuacja związana z retencją danych. Polskie prawo telekomunikacyjne jest tak ogólne, że nikt nie musi o nic nikogo pytać. Jak informuje Panoptykon – “w Polsce Policja i inne służby mogą z nich [od. red.: danych transmisyjnych] korzystać nie tylko przy wykrywaniu poważnych przestępstw, ale również w bliżej niesprecyzowanych »celach prewencyjnych«. I to bez jakiejkolwiek kontroli sądu czy prokuratora. Co więcej, same sądy nadużywają tej możliwości, systematycznie sięgając po dane objęte tajemnicą telekomunikacyjną w sprawach cywilnych (np. w sprawach rozwodowych i alimentacyjnych)”. Oznacza to tyle, że jest się czego obawiać, bo pomiędzy tymi milionami rekordów, mogą znajdować się również i nasze internetowe ślady. Również nasze konwersacje czy np. nasz wizerunek mogą zostać zarejestrowane przez służby tylko dlatego, że w tym samym miejscu, gdzie odbywał się monitoring, trwały prace operacyjne skierowane przeciwko jakiejś podejrzanej osobie.
Jak to działa
Techniczną podstawą dla tego aparatu kontroli są systemy, których dostawcy, tak czy inaczej, używają, aby sterować ruchem danych w swoich sieciach. Dzięki tzw. głębokiej inspekcji pakietów (Deep Packet Inspection – DPI) mogą oni rozróżnić w strumieniu danych np. strumień wideo albo dane P2P i ograniczyć je bądź oznaczyć na użytek służb uprawnionych do kontroli. W ten sposób ich funkcjonariusze zostaną poinformowani, której części strumienia danych nie muszą analizować, jeśli interesuje ich tylko treść komunikacji między użytkownikami sieci. Jeśli więc ktoś ogranicza się do oglądania filmów online, nie musi obawiać się o swoją prywatność. Z punktu widzenia funkcjonariuszy taka redukcja ilości danych również jest korzystna. Analizowane mogą być jednak tylko dane niezaszyfrowane. Emaile kodowane w PGP albo proste połączenia HTTPS trafiają do służb w takim stanie, w jakim są. Czy funkcjonariusze będą mogli je odszyfrować, jest bardzo wątpliwe.
Analiza treści emaili na podstawie słów kluczowych przeprowadzana jest przez odpowiednie organa. Jakkolwiek trywialnie by to brzmiało, jeśli ktoś napisze w swoim emailu np., że na koncercie było “bombowo”, email ten zostanie – przynajmniej na początku – wychwycony przez fi ltr słowny. Jeśli kolejne progi filtrowania nie odsieją wiadomości, funkcjonariusze śledczy sprawdzą, czy nadawca rzeczywiście jest podejrzany. Ale kto właściwie decyduje o tym, jakie słowa mają być wyszukiwane i czy nie zaliczono tu także haseł zupełnie nieszkodliwych?
Czy to w przypadku kontroli ogólnej, czy nakierowanej na konkretną osobę, niemieckim śledczym nie wolno jednak zapisywać zgromadzonych danych bez konkretnego podejrzenia lub też bez związku z przestępstwem. Natomiast w Polsce nie ma żadnej weryfi kacji pobieranych danych, np. pod kątem ich niezbędności w prowadzonej sprawie. Obojętnie jak przerażająco brzmi to, że obcy czytają nasze emaile, w świetle polskiego prawa nic nie możemy w tej sprawie zrobić.
Jak na tak rozbudowany aparat kontroli, sukcesy są dość mizerne. Według raportu Komisji Europejskiej dotyczącego wpływu retencji danych (o wpływie wykorzystania technologii IT w działaniach operacyjnych się nie dowiemy, bo są one z defi nicji niejawne) na skuteczność tropienia przestępstw opublikowanego w 2011 roku nie można w żaden sposób stwierdzić, że ma to wpływ na zwiększenie efektywności pracy organów ścigania. Można więc wątpić w sensowność całego tego aparatu. Dzieje się jednak zupełnie inaczej: jest on rozbudowywany jeszcze bardziej.
Program-jasnowidz: kto będzie sprawcą?
Prócz wymiany emaili śledczy chcieliby w przyszłości kontrolować także sieci społecznościowe, czaty, fora i blogi, posługując się w tym celu analizami języka, które miałyby rozpoznawać kontekst rozmowy. Projektem sztandarowym jest fi nansowany przez UE Indect, który wypróbowuje efektywność komputerowej analizy ludzkich zachowań online i offl ine, a także łączenia różnych środków kontroli w jedną sieć. Celem Indectu jest zapobieganie przestępstwom poprzez rozpoznawanie zamiaru ich popełnienia na podstawie zachowania konkretnego człowieka.
Podczas gdy kontrola online, taka jak Indect, jest dopiero rozwijana, narzędzia kontroli wideo już zostały przetestowane. Podczas Euro 2012 w Polsce policja kontrolowała lotnisko i metro w Warszawie za pomocą kamer, a stadion przy użyciu bezzałogowych aparatów latających. Nadzieja wiązana z Indectem to udaremnianie przestępstw poprzez odstraszanie sprawców oraz zmniejszanie kosztów pracy specsłużb przez scedowanie pracy na komputer. To nie funkcjonariusze sprawdzają obrazy z kamer, lecz oprogramowanie szuka potencjalnych niebezpieczeństw. Aplikacja przeszukuje w tym celu do policyjne bazy danych, w których zapisane są biometryczne dane osobowe i informacje pochodzące z rejestru skazanych (patrz: schemat poniżej). Dopiero, gdy to program “nabierze podejrzeń”, funkcjonariusze osobiście angażują się w sprawdzenie danego przypadku.
Podejrzanym można zostać wyjątkowo szybko. Polscy policjanci, opierając się na swoich codziennych doświadczeniach, opracowali zestaw “nienormalnych” zachowań, który służy Indectowi jako podstawa do tego, by wzomożył czujność. Zaliczają się do nich: bieg, zbyt długie siedzenie w jednym miejscu, w autobusie albo pociągu, siedzenie na ziemi, przeklinanie, spotykanie się z dużą liczbą osób i tym podobne “dziwaczne” zachowania. Kryteria są więc niejasne, a wskazane czynności trudne do odróżnienia od zachowań całkiem zwyczajnych. Reakcję tłumu można przeanalizować i przewidzieć, korzystając m.in. z badań dotyczących ataku zbiorowej paniki. W przypadku pojedynczych osób każde zachowanie może się wydać komputerowi podejrzane. Algorytmy są wciąż bardzo niedoskonałe, a sam projekt tkwi jeszcze w powijakach. Rozpoznanie prawdziwie nienormalnego zachowania jest więc obecnie dla komputera niemożliwe. Nic więc dziwnego, że komputer postrzega czasami dziecko w nosidełku jako walizkę, a człowieka rozglądającego się bezradnie po dużym parkingu traktuje jak potencjalnego złodzieja samochodów. Z tego powodu naukowcy wątpią w efektywność opisanych środków kontroli, które wszczynając fałszywe alarmy, niepotrzebnie angażują wielu funkcjonariuszy.
To, że człowiek lepiej niż komputer potrafi wyłowić podejrzane osoby, dowodzi przykład najbezpieczniejszego lotniska świata, Ben Gurion w Tel Awiwie (Izrael), gdzie funkcjonariusze bardzo dobrze wyszkolonych siły bezpieczeństwa sami decydują, kogo skontrolować. Pracują oni według reguły 80/20: 80 proc. swoich sił koncentrują oni na 20 proc. pasażerów. Skontrolują więc raczej silnego młodego mężczyznę, który podróżuje sam, niż kruchą, niedołężną starszą panią. Ponadto częścią testu jest obserwacja reakcji pasażerów na wypytywanie i na rozbudowaną kontrolę bezpieczeństwa. Jednak i ta metoda nie jest bezdyskusyjna. “Problemem w przypadku kontroli przeprowadzanej przez człowieka jest sam człowiek. Ludzie nudzą się i co jakiś czas odwracają wzrok”, wyjaśnia Kevin Macnish, który na uniwersytecie w Leeds prowadzi badania nad etyczną stroną śledzenia. “Inny problem z nami, ludźmi, to to, że skłaniamy się ku stereotypom. Wskutek tego koncentrujemy naszą uwagę na szczególnie atrakcyjnych ludziach albo na takich, którzy w naszym mniemaniu mogliby okazać się terrorystami”.
Taka zdolność wybiórczej selekcji jest komputerowi obca, podejrzewa on każdego w tym samym stopniu – i pod tym względem jest nawet bardziej fair. “Z drugiej strony my mamy swój ludzki zdrowy rozsądek, którego komputerowi brakuje i, jak się zdaje, zawsze będzie brakowało”, mówi Macnish. Ma to znaczenie np. w sytuacji obserwowania dwojga podróżnych na dworcu, gdy jeden odstawia walizkę i idzie kupić gazetę, a drugi zostaje, aby tej walizki pilnować. Tam, gdzie komputer będzie podejrzewał potencjalną lokalizację bomby, funkcjonariusz zorientuje się, że walizka nie została pozostawiona bez nadzoru i że nie ma niebezpieczeństwa. Umiejętność rozpoznania, kiedy dwie osoby idą razem, a kiedy jedna tylko przypadkowo idzie w tym samym kierunku co inna, to jeden z największych i wciąż nierozwiązanych problemów analizy przy pomocy programu komputerowego.
Wiele kwestii pozostaje niewyjaśnionych
Komputery nie poradzą więc sobie (na razie) bez ludzi, lecz to tylko jedna spośród trudności, jakie napotyka idea Indect. Inną jest to, że masowe zbieranie danych w miejscach publicznych, w Internecie albo w obrocie płatniczym jest niezgodny z konstytucją.
Do rzeczywistości należy jednak przeszukiwanie baz operatorów telefonii komórkowej. Analiza danych telefonów z jednej komórki radiowej (BTS-a) oznacza, że dane tysięcy niewinnych osób lądują w policyjnych bazach. Wystarczy mieszkać np. w pobliżu miejsca, gdzie odbywa się demonstracja. Tak, jak miało to miejsce w lutym 2011 w Dreźnie, gdy podczas demonstracji antynazistowskiej policjanci gromadzili numery włączonych telefonów komórkowych na tym obszarze oraz informacje o przychodzących połączeniach i SMS-ach, aby odnaleźć osoby poszukiwane. Dzieje się tak dzięki funkcji automatycznego powiadamiania o lokalizacji telefonu Aby nie stać się “rekordem” w przeszukiwanej bazie, lepiej wyłączać telefon w sytuacjach, które mogą interesować służby bezpieczeństwa.
Na razie śledczy bez żadnych ograniczeń mają dostęp do danych teletransmisyjnych przechowywanych przez operatorów. Istnieje jednak szansa, że prawo w tej kwestii ulegnie zmianie, bo przepisy uprawniające służby to swobodnego dostępu do nich zostały zaskarżone przez Rzecznika Praw Obywatelskich do Trybunału Konstytucyjnego. Również precedensowy okazał się wyrok wydany w sprawie dziennikarza Bogdana Wróblewskiego, którego billingi i dane lokalizacyjne przez 6 miesięcy bezpodstawnie pobierało Centralne Biuro Śledcze.
RPO zaskarżył także i te przepisy ustaw o działaności poszczególnych służb, które praktycznie dopuszczają do wykorzystania wszelkich możliwych środków technicznych podczas kontroli operacyjnej i równocześnie nie precyzują o jakie informacjie czy dowody będą z ich wykorzystywaniem zbierane. Niestety jak na razie służby mogą np. stosować tzw. ciche SMS-y. Taka pusta wiadomość zawiera polecenie sterujące, które powstrzymuje wyświetlanie tego SMS-a. Sygnał telefonu komórkowego śledczy mogą wyznaczyć poprzez komórkę radiową (patrz: schemat u dołu po prawej).
Nieszczęśliwe sformułowanie, fałszywy ruch, znalezienie się w niewłaściwym miejscu o niewłaściwym czasie – w gęstej sieci służb śledczych jest już niemal niemożliwe, żeby z jakiegoś powodu nie stać się podejrzanym. Jednak nasze zachowania analizowane są także przez inne kraje – przede wszystkim przez USA. Umowa SWIFT umożliwia USA wgląd w dane transferów bankowych (m.in. nazwisko, adres i odbiorca) Europejczyków, którzy przelewają pieniądze do krajów spoza UE. Także umowy pasażerów samolotów pozwalają na wgląd w dane podróżujących do USA, które zostały podane przy rezerwacji lotu i które przechowywane są przez pięć lat. Europejscy ministrowie spraw wewnętrznych chcieliby nawet wprowadzić taki model w UE. Wprawdzie na razie projekt pozostaje tylko w sferze teorii, lecz taki scenariusz nie jest zupełnie nierealny. Ostatnie lata pokazują, że stosowanie masowej inwigilacjii jest akceptowane – a permanentne podejrzenia niewinnych traktowane jako skutek uboczny.