Sve više država članica EU odlučuje se na proširivanje mogućnosti korištenja mobilnih uređaja građana u pokušajima suzbijanja širenja pandemije. Radi se o mobilnim aplikacijama koje potencijalno mogu biti vrlo efikasne i jeftine za izradu i održavanje u odnosu na druge alate koji neminovno uključuju puno veću radnu snagu za administraciju istog opsega nužnih zadataka i obrade podataka.
S obzirom da se svakom novom tehnološkom prilikom u smjeru potpore postojećim procesima ili digitalne transformacije procesa stvaraju i novi tehnološki rizici koji u ovom slučaju ne spadaju samo u portfelj poznatih i očekivanih rizika informacijske sigurnosti, već i rizika po temeljna prava i slobode građana, Europska unija izdala je preporuke u vidu smjernica i alata za izradu i korištenje tih vrsta aplikacija.
Radi se o tri različite funkcionalnosti mobilnih aplikacija koje je evidentirala kao moguće korisne u borbi protiv širenja zaraze: (1) informativno-savjetodavne aplikacije, (2) aplikacije za praćenje kontakata zaraženih osoba i (3) aplikacije za praćenje provedbe propisanih mjera samoizolacije (popularno zvane praćenje kršitelja samoizolacije).
Informativno-savjetodavne aplikacije uglavnom se koriste za provjeru simptoma i autodijagnostiku te savjete uslijed kojih simptoma je uputno javiti se medicinskom osoblju. Uslugu uglavnom ostvaruju putem WhatsApp platforme (poput našeg digitalnog Andrije), a moraju biti odobrene od strane nacionalnog tijela zaduženog za zdravstvo. Ono što im je karakteristika jest da su temeljeni na samoučećim algoritmima (AI) i moraju imati osiguranu veliku učestalost provjera za smanjenje diskriminatornih zaključaka (bias), kao i visoku razinu informacijske sigurnosti, osobito kibernetičke, zaštite osobnih podataka odnosno privatnosti enkripcijom i automatizam brisanja ili anonimizacije podataka nakon isteka propisanog roka obrade podataka za pojedinu svrhu.
Pogrešna interpretacija
Aplikacije za praćenje provedbe propisanih mjera samoizolacije spadaju pod suportivne mjere, a pravni temelj im je širi spektar nacionalnog zakonodavstva, a ne samo Opća uredba o zaštiti podataka (GDPR), što se u zadnje vrijeme često pogrešno interpretira. Svakako i one moraju imati strogo definirane sve organizacijske i tehničke mjere u osiguravanju kompletnog spektra informacijske sigurnosti.
Aplikacije za praćenje i obavješćivanje kontakata zaraženih osoba uglavnom rade na principu razmjene tzv. digitalnih ključeva između mobitela, čime je osigurana visoka razina zaštite privatnosti građana. Te aplikacije oslanjaju se na kolektivnu društvenu odgovornost te ne služe za praćenje kršenja samoizolacije. Njihova ključna korist moguća je samo ukoliko ih odluči instalirati i koristiti 'dovoljan' broj građana. Prema pojedinim studijama taj minimalni uzorak za postizanje funkcionalnosti definiran je na 40 posto od ukupnog broja građana, dok se prema drugim studijama taj broj diže i do 70 posto.
Kako je Europska unija detektirala informacijsku sigurnost s osobitim osvrtom na kibernetičku sigurnost kao jedan od zajedničkih nazivnika svih tih aplikacija na koje treba obratiti posebnu pažnju, za postizanje njene dovoljne razine u svojim smjernicama je sugerirala da bi izvorni programski kôd trebao biti javno objavljen u svrhu revizije od strane znanstvene i stručne zajednice prije odluke vlade pojedine države članice o usvajanju aplikacije.
Pali na ispitu
I tako je započeo fijasko prve nizozemske aplikacije za praćenje kontakata koja je bila predložena njihovoj vladi. Naime, kako javljaju ZDNET i RTL Nieuws, diplomatski rečeno - aplikacija je pala na ispitu zbog visoke vjerojatnosti povrede podataka odnosno curenja osobnih podataka.
Što se dogodilo? Kako je nizozemska vlada odlučila postupiti prema smjernicama EU, izvorni programski kôd svih ponuđenih aplikacija (njih sedam) morao je biti javno objavljen. Tako je prvo objavljen izvorni programski kôd mobilne aplikacije COVID19 Alert na kojem su nezavisni programeri koji se bave pronalaženjima ranjivosti sustava (pentesteri) uvidjeli da izvorne datoteke sadrže i korisničke podatke od gotovo 200 osoba, a koje potječu iz neke druge aplikacije. U toj bazi podataka našli su se podaci s punim imenima i prezimenima ljudi, adresama njihove e-pošte i svim korisničkim lozinkama, za koje se ispostavilo da je zaduženi programer koji je radio na tom projektu povukao iz nekog drugog projekta na kojem je također radio. (op.a. OMG!!!)
Problem u ovom slučaju čak nije bio u izvornom programskom kôdu koji nije stigao još niti biti testiran u potpunosti, a koji je odmah pri saznanju o pronalasku instantno povučen s mreže skupa s pratećim inkriminirajućim podacima, već je problem bio što su u ovoj aplikaciji u svrhu testiranja funkcionalnosti korišteni (i javno objavljeni) stvarni osobni podaci iz neke druge nevezane aplikacije.
Pogriješili u osnovama
Ovdje se, začudo, nije radilo o propustu vezanom uz kibernetičku sigurnost kako to često u praksi biva, već o samim osnovama informacijske sigurnosti kao takve. I kako vrag uvijek leži u detalju, kod ovako osjetljivih projekata koji će zasigurno biti predmetom javne objave i recenzije, za izbjegavanje ovakvih situacija propišite striktne procedure informacijske sigurnosti koje su dostupne i u najpoznatijem međunarodnom standardu informacijske sigurnosti ISO 27001 kao vrlo konkretna i sažeta građa i izbjegnite ovakve situacije. One će se možda i dalje događati, ovisno o tome koliki imate autoritet i koliki ćete stupanj primjene tih propisanih procedura njime uspjeti dosegnuti u svojoj organizaciji, ali, barem ćete ih smanjiti na najmanju moguću mjeru.