Mądre regulacje technologiczne w Europie?
W zwrocie “polityka technologii”, technologia powinna mieć realne znaczenie. Szczęśliwie, wiele wskazuje na to że tak się dzieje. Z rosnącym zainteresowaniem i zaangażowaniem ludzi z doświadczeniem i głęboką wiedzą i rozumieniem technologii, dobre pomysły zaczynają docierać do kręgów politycznych podejmujących decyzje. W tej krótkiej notce zaznaczam 3 ciekawe wydarzenia mające obecnie miejsce w Europie. Na pierwszy rzut oka nie są one ze sobą związane, ale traktowane razem - mogą już świadczyć o trendzie.
Bug bounties jako element cyberbezpieczeństwa
Bug bounties czyli wynagradzanie badaczy bezpieczeństwa i prywatności znajdujących podatności w systemach to coraz popularniejsza koncepcja. Właściciel systemu otrzymuje informacje o błędach lub podatnościach, a zgłaszający - gratyfikację. Bug bounties są bardzo użyteczną częścią szerszej polityki bezpieczeństwa i zyskują na popularności. To już nie tylko narzędzie używane przez duże firmy pokroju Facebooka czy Google, ale także przez ciała takie jak Armia USA, czy Narodowe Centrum Cyberbezpieczeństwa Holandii (w Wielkiej Brytanii ich Centrum także przygląda się tej koncepcji) i wiele innych podmiotów na całym świecie. Dlatego fakt, że Komisja Europejska jest zainteresowana koncepcją bug bounty i najwyraźniej planuje przeprowadzenie testu - jest bardzo interesujący. Według tego dokumentu, program jest już w trakcie - obecnie KE szuka wykonawcy, który będzie zarządzał programem bug bounty dla wybranego oprogramowania open source. Tu ciekawy akcent polski - Ministerstwo Cyfryzacji doprowadziło do dobrej zmiany, która może pomóc przeprowadzać działania w ramach bug bounty w Polsce.
Szyfrowanie end-to-end w ePrivacy - poufność komunikacji
Szyfrowanie end-to-end (E2EE) to najsilniejszy znany mechanizm gwarantujący poufność komunikacji. To rozwiązanie jest poważnie rozważane w ramach prac nad regulacją ePrivacy, obecnie procedowaną w Parlamencie Europejskim; Wspominałem już o tym wcześniej na moim anglojęzycznym blogu. Ale fakt, że E2EE jest w ogóle rozważany na stosunkowo wysokim poziomie podejmowania decyzji jest wielkim sukcesem społeczności technologii. Było to możliwe przez ciągłe zaangażowanie i wkład użytecznych badań, analiz, prac i opinii. Tu zaznaczam, że w rzeczywistości stawka jest wyższa i wykracza poza szyfrowanie end-to-end, bo obecnie trwa światowa debata nt. silnych gwarancji bezpieczeństwa komunikacji i systemów. Jednym z jej elementów jest właśnie E2EE, ale także wbudowywanie backdoorów (tylne drzwi umożliwiające osłabianie bezpieczeństwa systemu, np. odszyfrowywanie wiadomości na żądanie).
Transparentność algorytmiczna - rola badań
W erze regulacji takich jak General Data Protection Regulation (w Polsce zwane pod nazwą Rozporządzenia Ogólnego o ochronie Danych Osobowych, RODO) czy ePrivacy, część dostawców usług i produktów będzie musiała przestrzegać pewnych reguł. Przykładowo - jeśli system przetwarzania danych będzie stosował profilowanie. Wcześniej czy później, można spodziewać się regulacji takich dziedzin jak np. wykorzystanie metod sztucznej inteligencji, np. nałożenie wymogów etyki cyfrowej i transparentności algorytmicznej. Tego typu aspekty wymagają jednak głębokiej wiedzy i znajomości technologii. Część ekspertów nadal uważa, że instytucje odpowiedzialne za egzekwowanie prywatności i ochronę danych (w Polsce jest to GIODO, wkrótce zmieniający nazwę na UODO - Urząd Ochrony Danych Osobowych) nie są odpowiednio przygotowane (budżet, kadry).
Zadajmy sobie pytanie w** jaki sposób testować działanie technologii i algorytmów, ich wewnętrznych operacji, transparentności?** Być może najlepszą metodą jest pomiar. To podejście jest rozwijane i wykorzystywane w zachodnich, akademickich kręgach badawczych (także przez wiele dużych firm) w zakresie testowania poziomu bezpieczeństwa i prywatności. W skrócie, chodzi o automatyzację zadań korzystania z pewnych usług, może to być np. łączenie się ze stroną internetową, wykonywanie jakichś operacji, zbieranie wyników - a dalej wyciąganie wniosków. To podejście pomaga uzyskać wartościową wiedzę o działaniu i konfiguracji systemów. Jestem tego świadomy, mam doświadczenie w pomiarach prywatności (np. stosowałem je do badania profilowania w systemach Real-Time Bidding).
Na Google Komisja Europejska niedawno nałożyła karę €2.42 miliarda w postępowaniu antymonopolowym (niedawno karę otrzymał też Facebook - kwestie prywatności, o których pisałem tutaj). Tu oczywiście chodzi o prawa konkurencji, ale ciekawym aspektem jest rozpisanie przez Komisję Europejską konkursu o wartości 10 mln. euro - na pomoc w tym postępowaniu. KE chce pomocy w zakresie doradztwa, ale też weryfikacji zmian w przeglądarce objętej postępowaniem antymonopolowym. Rzeczywistym celem KE jest otrzymanie pomocy właśnie w tym zakresie: czy wdrożono żądane zmiany i czy wdrożenie przebiegło prawidłowo. Poprzez rozpisanie tego konkursu KE przyznaje, że nie ma zasobów, by zrobić to samodzielnie.
Nie ma w tym niczego złego, to nawet uczciwe postawienie sprawy.
W tej sytuacji naturalnym jest szukanie wsparcia eksperckiego z zewnątrz. Tutaj nie skupiam się na tym, czy sama konstrukcja tego zamówienia jest w mojej opinii właściwa (uważam, że nie). Chodzi mi o co innego. I tu wracam do początku tego podpunktu: w podobnym trybie z zewnętrznej pomocy mogą przecież korzystać także europejskie organy ochrony prywatności i danych w przypadku konieczności zajmowania się bardzo skomplikowanymi sytuacjami. W Europie jest bardzo wiele ośrodków dysponujących odpowiednią kadrą i know-how, gdzie badania prywatności są dobrze rozwinięte.
Podsumowanie
Dobre pomysły w końcu przebijają się do świadomości decydentów. I wszyscy na tym zyskamy. Proces ten oczywiście zajmie wiele czasu.