Ondřej Kubala, mluvčí Sčítání lidu, domů a bytů 2011, v rozhovoru uvedl, že je 100% vyloučeno [1], aby data unikla. Řekl "Jistý si můžete být na 100 %, protože tato data ani zneužít nejde. Jakmile budou papírové formuláře naskenovány, dojde před samotným zpracováním dat k jejich anonymizaci.". Nicméně tvrdit, že únik je 100% vyloučen, je nesmyslné tvrzení. Když už hovoříme o statistikách, tak stoprocentní jistota není u ničeho. Obzvláště ne u lidského faktoru nebo důvěře v software a absenci bezpečnostních děr.
V tomto článku se chci zaměřit právě na informační systém použitý na zpracování formulářů, kde letošní "sčítání lidu" zajišťuje firma Hewlett Packard, výherce státní zakázky. Nutno dodat, že vítězství Hewlett Packard v tendru bylo delší dobu obestřeno obviněními a trestním řízením z korupce.
Patriot Act
Při pročítání článku britského deníku The Guardian [6] o protestech proti sčítání ve Velké Británii, kde technickou realizaci zajišťovala korporace Lockheed Martin, jsem si uvědomil možné riziko úniku informací sčítání v souvislosti s americkým zákonem Patriot Act a faktem, že Lockheed Martin je americká firma podléhájící tedy zákonu Patriot Act [3]. Ten umožňuje americkým úřadům (např. tajným službám) vyžádat si po jakékoliv americké firmě údaje z jejich počítačových systémů.
Americká ministryně Angela Eagle tuto možnost u britského sčítání vyloučila [2] s odvoláním na právnickou analýzu, která ji měla být dodána. Přesto po mnohých zpětně prokázaných lžích či mylných tvrzeních politických představitelů nedokážu taková vyjádření politiků brát příliš vážně. Chytře se tento ministr klasicky také od svého tvrzení distancoval a hovoří o právnickém rozboru "legal advice", který mu údajně někdo nejmenovaný vypracoval.
Tvrdila, že mělo dojít k dohodě, že informace z britského sčítání nebudou moci opustit území Velké Británie. Čili jakási smlouva měla explicitně této situaci zabránit. Situace se tedy jeví tak, že je potřeba tuto možnost minimálně smluvně zřídit, aby na ně americké úřady nemohly. Došlo k podobné smlouvě v ČR?
Hewlett Packard, zpracovávající sčítací formuláře v ČR, je také americká firma
U firmy Hewlett Packard je situace obdobná. Jde také o americkou firmu spadající pod americké zákony, která díky outsourcingu státních povinností do soukromých firem, vyhrála tendr za 500 milionů Kč na letošní sčítání. Mohou být tedy údaje ze sčítání legálně zaslány americkým úřadům?
Ujištění ČSÚ o anonymizaci formuláře ve světle možnosti úniku dat právě skrze počítačový systém (resp. software, který firma HP dodala) tak vyznívá ještě prázdněji, protože by úřad ČSÚ o úniku dat ani nemusel vůbec vědět.
Proč by data mohla americké úřady zajímat, snad není potřeba vysvětlovat v dnešní paranoidně protiteroristické době.
Výše uvedená možnost úniku dat kvůli Patriot Act není důkazem, že data skutečně budou takto odeslána do zámořských databází tajných služeb, ale vzhledem k tomu, že am. ministryně hovořila o smluvních krocích, které tuto možnost mají znemožnit, je tato možnost zřejmě velice reálná (a rozhodně daleko od 100% jistoty zabezpečení dat).
100% zabezpečení neexistuje. Obzvláště ne u počítačů.
Ostatně se říká, že nejlepší způsob zabezpečení počítače je jeho vypnutí resp. vytažení z elektrické sítě. Stoprocentní jistota v tomto směru nemůže být nikdy. Sám v oboru IT pracuji a vím, jak zabezpečení zcela visí na administrátoru serveru, který se může do databáze podívat i na vaše hesla, a programátorech, kteří mohou v kódu zanechat záměrně či nevědomky bezpečnostní díry (i v 21. století lidé dělají chyby). Formuláře mají být údajně anonymizovány po naskenování do databáze počítače. To zřejmě tedy budou, ale zda se například neuloží kamsi skrytá kopie, nikdy nemůžete ověřit. Kód softwaru apod. spadá pod firemní tajemství a právě z důvodů bezpečnosti resp. firemního tajemství nebývá snadno přístupný pro ověření někým nezávislým. Tedy se důvěřuje renomé firmy Hewlett Packard, že by nás přece nepodvedla.
Firma Hewlett Packard nemusí mít vůbec žádné šmírovací choutky, ale pokud jí to přikážou americké úřady, a donutí ji i k mlčenlivosti, pak nebude mít na vybranou. Finanční zisk bude prioritou. To samé se týká amerických firem Google, Facebook atd. Když těmto společnostem poskytujeme osobní informace, pak nikdy nemáte záruku, že informace nejsou dostupné i tajným službám. Díky Patriot Act k tomu není potřeba žádné soudní povolení. Americké firmy musí data dodat na požádání [4], [5].
Nyní když zpětně dokončuji tento článek se mezitím objevilo (pro paranoika očekávatelné) tvrzení Juliana Assange, čelní osoby Wikileaks, že americké tajné služby a jiné úřady (CIA, FBI...) mají dokonce uživatelské rozhraní (tj. přehledná obrazovka pro okamžité zpřístupnění žádaných údajů) do sítě Facebook i Google, Yahoo a jiných sítí. [7] V praxi to znamená, že se dané úřady nemusí zdržovat s jednotlivými byrokratickými kroky žádat o konkrétní materiály, ale mohou si je v reálném čase dle libosti prohlížet a analyzovat jiným softwarem.
Tendr na informační systém na sčítání byl ušit na míru Hewlett Packard
Tato státní zakázka, kterou vydal ČSÚ, vedla dokonce tehdy premiéra Fishera k tomu, že vyzval ke zrušení tendru, protože se jevil být splnitelný pouze firmou Hewlett Packard. Také byl o 100 miliónů dražší než nabídka české firmy Unicorn, která se v tendru umístila na druhém místě. ČSÚ odmítal vysvětlit či se jakkoliv k tomuto tendru vyjadřovat, proč zakázku vyhrál Hewlett Packard. Odvolávali se na povinnost mlčenlivosti u probíhajícího tendru. Tajemstvím bylo i složení komise tohoto tendru. Bylo pouze známo, že se mezi nimi nevyskytují žádní odborníci z IT, kromě jednoho jimi pozvaného poradce, který jim řešení firmy HP doporučil. Odborníci z IT nechápali, protože jméno tohoto muže bylo pro ně v oblasti IT a státních zakázek neznámé, a dokonce to byl bývalý zaměstnanec firmy Hewlett Packard. ČSÚ se bránili s tvrzením, že měl pouze roli poradce, a členové komise tendru se rozhodovali sami za sebe.
Možná nás nepřekvapí, pokud se korupce nevyhnula ani sčítání lidu, ale otázka úniku osobních údajů je v tomto případě o to více na místě.
Reference:
[1] http://www.novinky.cz/domaci/scitani-lidu/226650-desatero-k-letosnimu-scitani-lidu-domu-a-bytu.html
[2] http://news.bbc.co.uk/2/hi/uk_news/politics/7231186.stm
[3] http://cs.wikipedia.org/wiki/PATRIOT_Act
[4] http://blogs.computerworld.com/patriot_act_rains_on_cloud_storage_parade
[5] http://www.itbusinessedge.com/cm/blogs/vizard/patriot-act-may-hamper-cloud-computing-adoption/?cs=38395
[6] http://www.guardian.co.uk/uk/2011/mar/18/lockheed-martin-targeted-census-protestersa
[7] http://technet.idnes.cz/facebook-je-nejdesivejsi-nastroj-cia-a-fbi-tvrdi-assange-z-wikileaks-11c-/sw_internet.aspx?c=A110503_125622_sw_internet_nyv
