Stoprocentní kybernetické zabezpečení je nereálné, říká expert OSN na počítačovou kriminalitu
O kyberzločinech, kreditovém systému, ale i o sdílení dat mezi společností Huawei a čínskou vládou rozmlouval sinolog Vít Vojta s profesorem Shenkuo Wu. Přečtěte si exkluzivní rozhovor na Sinoskopu s předním čínským odborníkem na kybernetickou bezpečnost a počítačovou kriminalitu, jehož rad využívá OSN i Čínský nejvyšší soud.
Současná Čína je jedním ze světových technologických lídrů. U nás v Evropě ale často vedeme debatu o kreditovém systému, který Čína postupně zavádí a virtuálně skóruje občany. Znáte oba tyto světy, jak Evropanům vysvětlujete rozhodnutí Číny vydat se cestou kreditového systému?
Kreditový systém měl původně podpořit efektivitu sociální správy. Abychom toho docílili, zkusili jsme zavést takovýto systém ve snaze integrovat různé informační a datové zdroje. A doposud jsou praktické dopady systému dobré. Kreditový systém má na chování občanů zatím velmi pozitivní účinky. Současně ale samozřejmě probíhá veřejná diskuze o potenciálních rizicích s tím spojených.
Sám radím čínským autoritám jak – zejména v oblasti kybernetiky – zlepšit právní úpravu dané problematiky. Radím, jak snížit případná rizika a jak odstranit překážky fungování kreditového systému. Momentálně máme dva užitečné nástroje – návrh regulace bezpečnosti dat a návrh zákona na ochranu osobních údajů. Tyto právní úpravy pomáhají odbourávat potenciální negativní dopady systému.
Použití obdobných systémů je ale často spojeno i s otázkou etiky, hlavně se zasahováním technologie do soukromí jednotlivců. Je vůbec možné občany před zneužitím dat chránit?
Dle mých zkušeností zneužití dat nelze vyloučit. Dnes přijímáme koncept rizika v tom smyslu, že je nevyhnutelné. Můžeme však udělat všechno pro to, abychom snížili či odbourali případné negativní dopady zneužití dat. Dnes se vyprodukuje takové množství dat, že je téměř nemožné nějakému úniku či zneužití zabránit. Otázkou je, jak můžeme zvýšit povědomí veřejnosti, IT společností a veřejné správy, aby se celkově snížilo nadužívání dat. I když si nemyslím, že tím můžeme zneužití zcela vyloučit, tedy že občan bude před zneužitím dat ochráněn, přineslo by to zlepšení.
Jedním z příkladů dobré praxe může být firma Huawei, která v září v Šanghaji představila zprávu o umělé inteligenci a ochraně údajů. Jedná se o reálný příklad, který zvyšuje ochranu údajů a zvyšuje úroveň etiky či etické odpovědnosti samotné společnosti.
Nedávno jsem četl, že čínští vědci vynalezli kameru s vysokým rozlišením, která dokáže pomocí cloudového řešení rozeznat tisíce tváří zároveň, například během velkých akcí jako jsou koncerty. Může být ovšem využita i během demonstrací. Kde vidíte hranici mezi přidanou hodnotou takových řešení a jejich zneužitím?
V Číně je dnes velký zájem o využití technologie rozpoznávání obličeje. Současně ale už úřad regulátora začal věnovat pozornost jejím rizikům a negativním dopadům. Nedávno jsme měli v Číně případ aplikace využívající tuto technologii, proti které se obrátilo veřejné mínění a velice rychle skončila – kybernetický úřad ji zablokoval.
Přestože stále panují obavy o bezpečnost dat, většina čínských odborníků vítá užití kamerových systémů pro armádu, národní obranu a veřejnou bezpečnost. Vedle toho se tu vede debata o tom, že Čína nařizuje soukromým firmám sdílet informace svých klientů se státem. To zní strašidelně...
Tímto se bude podrobněji zabývat Skupina vládních expertů (GGE – Group of Governmental Experts) a Otevřených pracovních skupin (OEWG – Open-ended Working Group) OSN v New Yorku. Měli bychom rozlišovat vojenské a soukromé použití. Jen bych chtěl poznamenat, že čínská vláda v zásadě nevítá vojenské využití technologií umělé inteligence. Těžko se odpovídá stručně, protože mezinárodní společenství se stále ještě pře o samotný koncept vojenského využití.
U použití pro veřejnou bezpečnost bychom se měli řídit několika zásadami. Za prvé – zásadou právního státu. To znamená, že pokud chcete tuto technologii použít pro účely veřejné bezpečnosti, měli byste nejprve mít základní vymezení stanovené zákonem a podzákonnými normami, například nařízeními. Za druhé – je třeba zabránit střetu zájmů. Řekněme, že jsem mobilní operátor. Orgán veřejné bezpečnosti mi ukládá, abych sledoval soukromí svých klientů. Pak se ale jedná o střet zájmů, protože podle zákona o kybernetické bezpečnosti své klienty musím chránit. Takže požadovat něco takového na základě nějakého nařízení není možné, protože žádná regulace nemůže být v rozporu se základním zákonem o kybernetické bezpečnosti.
Posledních dvacet let lidské civilizace se odehrává v duchu boje proti terorismu. Stále se zdokonalující technologie, které mohou včas rozpoznat nebezpečí nebo podezřelé chování. To s sebou nese potřebu monitorovat a rozpoznávat naše tváře a chování. Je to daň za bezpečnost?
Tady je na místě citovat zákon vzniklý po 11. září v USA, tzv. Vlastenecký zákon (PATRIOT Act – Zákon o sjednocování a posilování Ameriky poskytováním vhodných pomůcek potřebných pro stíhání a bránění terorismu) o sledování veřejnosti za účelem boje proti terorismu. Mí američtí přátelé mi řekli, že proti přijetí tohoto zákona nebylo tehdy příliš odmítavých postojů. Ale teď s odstupem už se opět přemýšlí o nutnosti tohoto zákona. Když mluvíme o obětování osobních zájmů pro bezpečnost, neexistuje obecně platné a jediné dobré pravidlo.
Mnoho zemí světa bojuje proti terorismu za použití velmi pokročilých technologií. Zároveň třeba teď nás nejspíš poslouchá Siri... Vlastně jsme neustále pod něčí kontrolou, aniž bychom si to uvědomovali.
Ano, v takové situaci zkrátka musí existovat nezávislý ochránce - třetí strana, jako je třeba Úřad pro ochranu osobních údajů EU. Veřejné mínění je totiž flexibilní a může se měnit. Jak docílit racionálního a relativně stabilního rámce pro ochranu různých zájmů? Je nezbytné zavést funkci nezávislého úřadu nebo nezávislé organizace.
Každý, kdo navštívil Čínu, nemůže nevzpomenout systém mobilních plateb. Lidé prakticky vůbec nemusí nosit hotovost. Je to podle vás budoucnost plateb, která se rozšíří do zbytku světa?
Nemyslím si. Je to kulturní fenomén. Například Německo má, minimálně v Evropě, nejvyspělejší finanční systém. Ale procento použití kreditních karet je tam pod 40 %. Mám podobnou zkušenost i z Hongkongu. Vždy záleží na prostředí dané ekonomiky. V Číně lidé čím dál častěji odmítají platit elektronicky kvůli vysoké pravděpodobnosti zneužití. Systém mobilních plateb je vhodný pro Číňany, pro čínskou ekonomiku, ale není podle mě nutné jej rozšiřovat do zbytku světa. Číňané v tomto ohledu dbají více na pohodlí než na bezpečnost. Forma, jakou chceme platit, je do jisté míry ovlivněna kulturou, ve které žijeme.
Je možné, že by se nějaký velký mezinárodní konflikt odehrál v kybernetickém prostoru? Je vůbec reálné, aby se všechny země dokázaly kyberneticky zabezpečit?
Čína, ale i Spojené státy uznávají pojem „nulové důvěry“, který říká nikdy nedůvěřuj, vždy ověřuj. Koncept nulové důvěry existuje, protože technická komunita vnímá úskalí kybernetické bezpečnosti. To mi připomnělo, jak jsem letos navštívil Cyber Warfare Range v Arizoně. Tamní vedoucí pěti tisíc „bílých klobouků“, tedy etických hackerů, mi řekl, že jestli se pro něco rozhodnou, nikdo na světě je nezastaví. Je v podstatě nemožné se kyberneticky zabezpečit. Kyberprostor není na ostatním nezávislý, je to životní a pracovní prostředí, online i offline. Jestliže se chcete zabezpečit, jen online opatření nestačí.
Mimo jiné se zabýváte počítačovou kriminalitou. Jaké jsou poslední světové trendy? Zdá se mi, že data dnes mají větší hodnotu než peníze. Jak to vnímáte?
Jistě, data jsou peníze, data jsou moc, data jsou základ všeho. Musím přiznat, že původně jsem v sílu dat nevěřil, jakkoliv se to teď zdá bláhové. Musel jsem však přijmout realitu. Kdo vlastní více dat je konkurenceschopnější na mnoha úrovních – praktické, ekonomické i sociální.
Co se týká počítačové kriminality, ta je momentálně více mezinárodní, organizovaná a orientovaná na umělou inteligenci. Proto očekáváme, že v rámci Rady Evropy budeme na konci roku mít návrh druhého protokolu k Budapešťské úmluvě. Protokol by měl zavést účinnější nástroj přístupu k údajům pro justici, zejména v boji proti počítačové kriminalitě. Potřebujeme větší sdílení dat a zpravodajských informací. To je pro boj proti počítačové kriminalitě zásadní. Nejen v Číně, USA, ale také v Evropě a v dalších zemích – pokud chceme účinně bojovat proti počítačové kriminalitě, je nutné vybudovat kapacity pro získávání a uchovávání elektronických důkazů. Bez toho nelze vyhrát.
Jak lze dnes kyberzločince či hackery vysledovat? Často jsme svědky relativně rychlého odhalení původu kybernetického útoku. Lze se ve veřejném prostoru na takovouto informaci spolehnout?
Teprve od nedávna objevujeme celý Darknet a Deepnet. Stopa kyberzločinců a hackerů je stále komplikovanější. Z praxe mohu potvrdit, že vysledovat zločince a hackery je samozřejmě čím dál složitější. Jsou to lidé, nikoliv umělá inteligence. To znamená, že musí žít ve fyzickém světě. Pak je donucovací orgány mohou najít, mohou je chytit díky záznamu jejich fyzického pohybu. Nicméně do budoucna se samozřejmě mnoho donucovacích orgánů bude snažit zavádět sofistikovanější nástroje sledování zločinců či hackerů také v Darknetu a Deepnetu, tedy v místech, kde jsme toho doposud nebyli příliš schopni.
Jaký stát je dnes největší základnou kyberzločinců? Rusko, Severní Korea a Čína jsou často zmiňovány. Ale je pro tyto státy, zejména Severní Koreu, vůbec možné mít tak vyspělé technologie a znalosti, aby překonaly třeba americké nebo evropské experty?
Pokud jste kyberzločinec, logicky se budete snažit vyhnout odhalení vaší skutečné národnosti a vaší fyzické polohy. Pak je možné, že se IP adresa kyberzločince bude nacházet v Rusku, Severní Koreji nebo Číně. Ale je třeba mít na paměti jednu zásadní skutečnost pro vymáhání práva, ať už jste v USA, Číně, Rusku i jinde: IP adresou nelze prokázat, kde se pachatel nachází.
I definice počítačové kriminality se různí. Když hovořím s odborníky nebo donucovacími orgány z EU, USA a Ruska, koncept počítačové kriminality je všude skoro úplně jiný. My v Číně chápeme počítačovou kriminalitu v širokém slova smyslu.
Jednotlivé země musí nést odpovědnost a kontrolovat sofistikované IT technologie, aby se zabránilo jejich zneužití.
Ze slov některých evropských a amerických politiků se může zdát, že největším nepřítelem Západu je nyní Huawei. Je to neoddiskutovatelný lídr v oblasti technologií 5G, ale současně v médiích čelí obvinění ze spolupráce s čínskou vládou. Je vůbec možné že by takhle důležitý globální hráč sdílel informace o svých klientech s domácí vládou?
Je třeba si vyjasnit přinejmenším dvě věci. Jste-li vláda, která chce propagovat globalizaci nebo internacionalizaci čínské ekonomiky, pak se nutně musíte něčemu takovému vyvarovat. Možná byste z toho něco krátkodobě získali, ale rozhodně více ztratíte. Za druhé. Jak je to z pohledu Huawei? V souladu se zákonem o kybernetické bezpečnosti společnost přebírá odpovědnost za ochranu soukromí svých klientů. Pokud by chtěla tyto informace sdílet s vládou, dochází ke střetu zájmů, ze kterého plyne právní odpovědnost nikoli pro vládu, ale pro Huawei. V Číně je nelegální prodávat či poskytovat osobní údaje podle Článku 253, který byl zaveden v roce 2016. Takové jednání by tedy bylo v rozporu s platným právem.
Huawei je pořád soukromá společnost.
Přesně. A právě proto doposud není znám žádný reálný případ sdílení informací mezi Huawei a čínskou vládou.
A poslední otázka. Jste mimo jiné konzultant OSN pro kyberbezpečnost. Co myslíte, že politici aktuálně spojují s touto problematikou?
Rozhodně je to i na půdě OSN velké téma. Ještě asi před pěti lety bylo méně než třicet členů OSN, kteří se zajímali o otázky kybernetické bezpečnosti. Teď se o toto téma zajímá přes 160 zemí. Proto jsou letos GGE a OEWG OSN tak zaneprázdněné.
Oproti roku 2017, kdy ještě nebyla žádná rezoluce OSN, je dnes situace jiná. Zajímáme se nejen o tzv. odpovědné národní chování v kyberprostoru, ale i o širší témata – digitální ekonomiku, otázky mezinárodního toku dat, počítačovou kriminalitu a ochranu soukromí. OSN umožňuje diskuzní platformu pro několik témat, která se všechna úzce pojí s našimi životy. Dříve byla kyberbezpečnost ryze politickou otázkou, zatímco dnes probíhá debata, která je zajímavější také pro širší veřejnost.
- Shenkuo Wu je profesorem práva na pekingské BNU (Beijing Normal University), kde mimo pedagogickou činnost vede Mezinárodní centrum kybernetického práva (ICCL). Jako výzkumník spolupracuje s předními italskými univerzitami – ve Veroně a Turíně – a z pozice seniorního konzultanta radí OSN v otázkách kyberbezpečnosti a počítačových zločinů. Profesor Wu také působí jako konzultant pro Čínský nejvyšší soud nebo společnost QS, která vydává každoročně globální žebříček univerzit. Profesor Shenkuo Wu se specializuje na kybernetické a ICT právo, kyberbezpečnost, počítačové zločiny a ochranu dat. Má za sebou publikační činnost v angličtině i italštině či překlad čínského trestního zákona do italštiny.