Łukasz Olejnik

Bezpieczeństwo, cyberbezpieczeństwo, prywatność, ochrona danych

Infrastruktury miękkie. Zagrożenia bezpieczeństwa. Zagrożenia prywatności. Zagrożenia cywilizacyjne

Tekst ten opublikowałem w 2014. Dziś w 2020, pomysły takie nie są chyba dla nikogo  zaskoczeniem. Platformy internetowe są regulowane - choćby za sprawą GDPR/RODO, a także wkrótce przy okazji unijnego Digital Services Act. Dziś w pandemii pewne rzeczy są o wiele bardziej wyraźne, choćby to w jakim stopniu oprogramowanie do wideokonferencji staje się krytyczne dla funkcjonowania firm, rządów, urzędów, ale także np. szkół czy uniwersytetów. Rodzi to nowe problemy. Tekst z 2013 pozostawiam jednak niezmieniony. Zachowuje on aktualność nawet dziś.

Nowe media to coraz więcej możliwości, ale coraz silniejsza zmiana. Zmiana zasad, reguł, status quo. Oddziałująca na społeczeństwo zmiana technologii i infrastruktury.

Według „Uniwersalnego słownika języka polskiego” (red. S. Dubisz) infrastruktura to «urządzenia i instytucje usługowe (np. w dziedzinie transportu, oświaty, ochrony zdrowia) niezbędne do należytego funkcjonowania życia społecznego i produkcyjnych działów gospodarki». Infrastruktura jest niezbędnym elementem cywilizacyjnym, funkcjonuje w dużej mierze pod nadzorem państwa i jest objęta jego regulacjami. Wyróżnia się dwa rodzaje infrastruktur.

  • Infrastruktury twarde – np. sieci kolejowe czy energetyczne – towarzyszą nam od dość dawna. Stosunkowo nowe są infrastruktury komunikacyjne (światłowody, sieci komórkowe itp.).
  • Infrastruktury miękkie – innego rodzaju i mogą obejmować systemy takie jak prawo czy szkolnictwo, a jeszcze ogólniej – także usługi. Nie ma powodów, by nie postrzegać jako infrastruktury miękkiej również wyszukiwarek internetowych, komunikatorów czy nawet sieci reklamowych wykorzystywanych na stronach internetowych.

Interesujące są tarcia między operatorami infrastruktur twardych i miękkich. Jednym z przykładów może być obecny spór pomiędzy firmami telekomunikacyjnymi, wydawcami prasy tradycyjnej i książek a firmami internetowymi, takimi jak Amazon, Google czy Netflix. Wydawcy nie chcą być tylko dostarczycielami treści. Trwają potyczki o obniżenie cen książek elektronicznych (w stosunku do drukowanych). Telekomom nie zawsze podoba się występowanie tylko w roli dostawców usług sieciowych.

Jeśli uznamy, że tradycyjne infrastruktury twarde, takie jak energetyka czy sieci kolejowe, znajdują się na niższych poziomach, natomiast infrastruktury udostępniane przez np. firmy internetowe znajdują się na poziomach wyższych w hierarchii infrastruktur, to powstaje ciekawe pytanie, co może je czekać w najbliższym czasie.

Jedną z możliwości jest to, że mogą zostać objęte systemem prawnym. Regulatorzy przyglądają się im coraz uważniej. Przykładem niech będzie aktywność Komisji Europejskiej dotycząca pozycji rynkowej pewnych firm internetowych i wymuszanie przez nią, aby podejmowały określone decyzje. Można więc sobie wyobrazić, że niektóre infrastruktury miękkie zostaną kiedyś poddane regulacjom. Potencjalnym efektem mogłoby być zobligowanie usługodawców – takich jak wyszukiwarki internetowe, platformy społecznościowe (np. Facebook czy Twitter) – do wdrożenia rozwiązań implementujących określone wymogi prawne. Na przykład wyszukiwarki takie jak Google obecnie muszą w Europie podporządkować się tzw. prawu do bycia zapomnianym.

Ciągle jeszcze nieśmiałe, lecz oddolne (tj. np. pochodzące od zwykłych internautów) i coraz częstsze są głosy niezadowolenia z poczynań platform komunikacyjnych. Dotyczy to przypadków usuwania i blokowania pewnych treści (tu uwaga: jest to także potencjalnie problem prywatności – brak dostępu do własnych danych). Na przykład na Facebooku obecnie reguluje to polityka wewnętrzna. Jednak jeśli platforma ta zostanie potraktowana jako infrastruktura komunikacyjna, a jej operator być może jako gracz o dominującej pozycji, to wtedy tym procedurom mogą zechcieć przyjrzeć się regulatorzy.

Inną możliwością jest pojawienie się infrastruktur na jeszcze wyższych poziomach. Czy wtedy obecni przedstawiciele najwyższych warstw w hierarchii infrastruktur zostaną wystawieni na ryzyko marginalizacji (co teraz może być obserwowane np. w przypadku telekomów konkurujących z koncernami internetowymi)? Nie musi to nastąpić; wszystko zależy od zdolności przewidywania wydarzeń, podejmowania odpowiednich decyzji i dostosowywania się do rzeczywistości.

Infrastruktury wysokiego poziomu są używane powszechnie, ale nie bez problemów.

Warto skupić uwagę na przykładzie infrastruktur kierowania reklam internetowych. Integralnymi elementami sieci reklamowych są rozwiązania umożliwiające systematyczne docieranie z przekazem do odbiorców. Aby to osiągnąć, stosuje się systemy umożliwiające monitorowanie zachowań użytkowników Internetu – i pozyskuje o nich dane, co często budzi kontrowersje dotyczące prywatności. Informacje o tym, jakie strony są odwiedzane przez danego internautę, ile czasu na nich spędza, jaka jest jego aktywność na nich, jakiego typu urządzeń używa, jakie programy i konfiguracje wykorzystuje, mogą być pozyskane przez strony trzecie – przez operatorów infrastruktur, podmioty formalnie niezwiązane ze stroną odwiedzaną przez użytkownika.

Korzyści wiążące się z tymi infrastrukturami są znane. Ryzyka też. Infrastruktury nie są ograniczane tylko do dedykowanego użycia, zgodnego z oryginalnym przeznaczeniem. Konkretniej – mogą być też nadużywane przez systemy i osoby zewnętrzne. Warto wymienić dwa przykłady.

Ryzyko dotyczące prywatności. Znane są przypadki wykorzystywania w państwach zachodnich przez służby specjalne (choćby przez amerykańską NSA, jak okazało się to w 2013 r.) infrastruktur reklamowych, należących do firm internetowych, do swych celów. Cele te wykraczają poza zwykłe przeznaczenie owych infrastruktur. W wyniku tego niestandardowego ich wykorzystania dochodziło do masowego monitoringu internautów oraz pozyskiwania i gromadzenia informacji o nich i o ich działaniach. Wykorzystany został po prostu standardowy mechanizm działania infrastruktur sieci reklamowych: obserwacja akcji użytkowników sieci. Podobne problemy dotyczyły również reklam w aplikacjach mobilnych (oraz samych aplikacji). Dzisiaj nie jest to żadna tajemnica – było to szeroko opisywane i komentowane w prasie na całym świecie.

Problemy bezpieczeństwa, czyli wykorzystywanie infrastruktur reklamowych do „rozsyłania” złośliwego oprogramowania do użytkowników końcowych. Istnieje wiele doniesień o tego typu zajściach dotyczących na przykład Yahoo! (koniec 2013 r.), DoubleClick (wrzesień 2014 r.), OpenX (w latach 2010, 2013). Za pośrednictwem tych infrastruktur, normalnie służących do dostarczania reklam, dystrybuowany był przekaz nieautoryzowany. Polegało to na tym, że przeglądarki nie wyświetlały reklam, tylko niepostrzeżenie wykonywały złośliwy kod (lub robiły to równolegle z wyświetlaniem reklam). Aby umożliwić przedostanie się takich niepożądanych i szkodliwych danych do systemu, wystarczyło, żeby użytkownik odwiedził zwyczajną stronę, taką jak cnn.com. Zadaniem złośliwego kodu mogło być np. przejęcie kontroli nad przeglądarkami lub systemami operacyjnymi na komputerach internautów lub wykorzystanie ich komputerów do ataków np. na określone strony internetowe.

Chociaż współczesne infrastruktury komunikacyjne są niezbędne i znacznie usprawniają życie, to warto też pamiętać o problemach, które się z nimi wiążą.

Tekst ten ukazał się pierwotnie dawno temu (18/10/2014 w WcN).

Comments is loading...

Comments is loading...