2020. július 29.
Az információbiztonság és a járványhelyzet kapcsolatáról, valamint szakterületének műegyetemi projektjeiről beszélt a VIK kutatója.
„Az új koronavírus-járvány számos izgalmas tudományos problémát vetett fel világszerte: informatikusként számomra az adatbiztonsághoz kapcsolódó kérdések a legérdekesebbek. A terület fontossága egyébként felértékelődött a home office-ban dolgozók és a távoktatásban résztvevők körében is” – mondta a bme.hu-nak Gulyás Gábor György, a BME Villamosmérnöki és Informatikai Kar (VIK) Automatizálási és Alkalmazott Informatikai Tanszék tudományos munkatársa, az adatvédelem kutatója, aki vizsgálja azt is, hogyan figyelik meg a webes cégek az online hirdetésipar számára érdekes felhasználók körét.
A kutató a karanténhelyzet alapjelenségeként értelmezte, hogy bizonyos alkalmazások használóinak száma robbanásszerűen megnőtt. Ilyen például az online videókonferenciák lebonyolítására alkalmas, időközben adatvédelmi problémái miatt a híradásokba került kínai fejlesztésű, ingyenes Zoom: míg 2019 utolsó hónapjában az egy napon belül indított meetingek résztvevőinek száma 10 millió volt, addig 2020 márciusában 200 millió, áprilisban pedig elérte a 300 milliót. „Minél többen használnak egy programot, annál több hibája derül ki, és annál többen akarnak visszaélni vele, eközben pedig megszaporodnak a kamu weboldalak is. Külföldi egyetemeken például amikor online órákat tartottak, előfordult, hogy nem volt bekapcsolva a jelszóvédelem. Ez egyesek trollkodását, vagy obszcén tartalmak megjelenítését eredményezte” – idézte fel a szakember, aki szerint információbiztonsági szempontból általában mindig érdemes figyelembe venni egy internetes szolgáltatásnál: ingyenes vagy üzleti célú-e, hiszen jogilag nem mindegy, mi történik az adatainkkal; ki üzemelteti, valamint technikailag hogyan működik.
„Sok szoftvert eleve privát használatra találtak ki, ehhez idomul az adatkezelési struktúrájuk is. A G-mail levelező rendszer jogi nyilatkozatában régebben szerepelt, hogy a Google elemezheti a leveleinket, és így célzott hirdetéseket kaphatunk, vagy például felhasználhatják a feltöltött fényképeinket gépi tanulásra: ez az ára a weben lévő ingyenes oldalaknak” – ecsetelte a szakember. Hozzátette, nagyon lényeges, hogy munka céljából ne magánfelhasználók számára készült szoftverekkel dolgozzunk. Egy orvos például a telemedicinát ne Viberrel végezze, mert ez sem jogi, sem technikai szempontból nem biztonságos.
„A Microsoft Teams technikai és adatvédelmi szempontból megfelelő, nagyvállalatok számára kifejlesztett rendszer. Lehetőséget ad hang- és videóhívásra, dokumentumok közzétételére és feladatkiosztásra, emellett alkalmas auditálásra, ami a felelősségi szintek meghatározásánál és betartatásánál fontos. A BME-n viszonylag kevés zökkenővel történt az átállás az online oktatásra, ami e program használatának is nagyban köszönhető” – osztotta meg Gulyás Gábor György, rámutatva egyúttal arra is: „ha kisebb szoftvert szeretnénk igénybe venni, akkor érdemes egy szintén jelentős tényezőt, a végpont-végpont titkosítás használatát megvizsgálnunk. Alapesetben a titkosítás a számítógépen kerül rá az adatra és így megy át a szolgáltatás infrastruktúráján keresztül, míg eljut a célszemélyhez, aki a saját eszközén kibontja a kódolást. A Zoomon időközben ugyan a reklamációk hatására sokat finomítottak, de nincs end-to-end titkosítás, és nem is lesz, így továbbra sem nyújt biztonságot az adatok felhasználását illetően”.
Az új koronavírus-fertőzéshez kapcsolódó informatikai fejlesztések másik izgalmas kérdése a digitális eszközök – elsősorban a mobiltelefon-infrastruktúra – felhasználásának lehetősége az ún. kontaktuskutatásban, a járvány első szakaszában, az egyéni megbetegedések szintjén. Ekkor az epidemiológusok megpróbálják rekonstruálni, hogy a fertőzött korábban kikkel érintkeztek. A munkát segíthetik a digitális alkalmazások, amelyek a tervek szerint kiválthatják az érintettek megtalálását és hosszadalmas, olykor pontatlan meghallgatását. A tudományos vizsgálatot végzők az okostelefon-technológián alapuló alkalmazás kifejlesztését javasolták. Ennek segítségével számon tartható a betegségekre utaló tünetek megjelenése, valamint nyomon követhetők az emberi kapcsolatok, találkozások is. Az innováció megvalósult: a közelmúltban egy magyar applikáció fejlesztéséről adott hírt a sajtó.
„Az adatvédelmi szakemberek körében óriási vitát váltott ki ezeknek az applikációknak a használata és a tényleges haszna. A téma jelentőségét bizonyítja, hogy a világcégek is beszálltak a megvalósításba; a Google és az Apple közös fejlesztésbe fogott. Jómagam eléggé szkeptikus vagyok ezekkel az appokkal szemben: egyfelől jelentős probléma, ha tucatnyi szolgáltatás jelenik meg a piacon, melyiket alkalmazzák, hiszen ezek digitálisan nem lesznek összehangolva. Másrészt ezekhez az újabb generációs bluetoothok szükségesek, így számos földrajzi területen, ahol a telefonállomány régebbi – például Afrikában – nem fognak működni. Van egy fontos játékelméleti kérdés is: minél többen töltenek le egy-egy programot, le, annál eredményesebben lehet az átlagos érdeklődő figyelmét csak ezek felé terelni, és annál kevesebben hagyják el azt elégedetlenség miatt” – tette hozzá a VIK tudományos munkatársa, miközben hangsúlyozta: a legtöbb megoldás ugyan tervezi valamiképpen a felhasználó anonimitásának biztosítását, hiszen elképzelhető, hogy például egy potenciális fertőzött találkozója valakivel üzleti titoknak vagy érzékeny magántalálkozónak minősül, ugyanakkor az eddigi tapasztalatok alapján ezeket a kontaktusokat nem lesz lehetetlen visszakövetni. Technikai akadályt jelenthet az is, hogy a Bluetooth-rendszerek 8-10 m-es pontosságot figyelembe véve működnek: például két személy esetében, aki a busz két végén ült, azoknál azt jelezheti, hogy órákig voltak együtt; vagy az egyetemen a gipszkarton falakkal elválasztott helyiségekben két párhuzamos időben tartott előadás oktatóit hamis pozitív kontaktként érzékeli a program. „Van egy másik gond is ezekkel a rendszerekkel: az ún. „mission creep” (célkitűzések kiterjeszkedése). Bevezetnek egy szolgáltatást adott célból, majd azt később másra kezdik használni. Ez történt, amikor Franciaországban egy középiskolában kamerákat helyeztek el azért, hogy biztonságosabbá tegyék a diákok életét. Később rátettek egy arcfelismerő szoftvert, ami adatvédelmi aggályokat vetett fel, így végül leszerelték az eszközöket” – idézte fel a szakember.
Gulyás Gábor György műegyetemi munkatársaival számos, a szakterületéhez kapcsolódó izgalmas témán dolgozik. Az egyik ilyen egy okoskávéfőző demoprojekt, amelynél a kamerás arcfelismerés és hangvezérlés is helyben fut, internet nélkül működik. A fejlesztés több szakdolgozatnak szolgált témájául. „Adatvédelem szempontjából ez egy szimpatikus modell: nem kell az állandóan a világhálót használó kamerát és mikrofont telepíteni a lakásunkba, viszont élvezhetjük az okoseszközök előnyeit. Nem mi írtuk az alapszoftvert, de ügyesen próbáltuk összeválogatni az alkatrészeket. Egy mikroszámítógépre, a kb. 10 ezer forintba kerülő Raspberry Pi-re épül a projekt” – ismertette a kutató, demonstrálva a privátszférát tiszteletben tartó, olcsó, innovatív megoldást. Az ötlet egyébként egy konkrét függőségi problémára is válasz lehet: 2017-ben, az Amazon felhőszolgáltatásának meghibásodásának idején a webet elözönlötték azok az üzenetek, hogy az emberek nem tudják kinyitni a garázskaput, elzárni a sütőt vagy a lámpát, mert azok csak a felhőn keresztül tudtak kommunikálni egy okostelefon-alkalmazással. Az okosotthonok internetnek való kiszolgáltatottságát akarja csökkenteni a műegyetemi szakemberek demonstrációja.
Gulyás Gábor György és kollégái szakmai fókuszában egy másik érdekes kutatás, a deep learning alapú arcfelismerés, mint biometrikus azonosítás kockázatai állnak. „Az arcfelismerés egy biometrikus technika: nem tudjuk az arcunkat megváltoztatni. Ma már viszonylag könnyen ki lehet építeni egy olyan kamerás infrastruktúrát, ahol tömegesen figyelik meg az embereket és ebből komplex profilt építenek. Kínában például képfelvételen rögzítik, ha valaki átmegy a piroson, és így egy pontrendszerben kreditet veszíthet: ennek függvényében iratkozhat fel társkereső oldalra, jelentkezhet ösztöndíjra stb. De Londonban is több mint 600 ezer kamera van. Ezzel ugyanakkor vissza lehet élni: megfigyelhetjük, ki, kivel, hova jár kávézni, fénymásolni, és sok más egyebet is megtudhatunk róla” – ecsetelte.
A kutató kiemelte, az ujjlenyomathoz hasonlóan „arclenyomatot” is lehet készíteni: ezek olyan azonosító számsorok, amelyek felismerik a kamerával rögzített arcokat. Az adatsorok mindössze 1-2 kilobájt méretűek, nem olyan nagyok, mint a fotók. A szakemberek vizsgálódásainak célja ezek felhasználásának biztonságával függ össze, amikor a képből átalakított számsorok reményeik szerint kötött módon lesznek felhasználhatók. A cél, hogy mindezzel együtt a cég operátora, vagy valamelyik vezetője ne tudjon visszaélni a személyekhez tartozó kamerainformációkkal: az egyik héten készült felvételeket például ne tudja összehasonlítani a következő hetivel, monitorozva a beosztottjai szokásait, mivel meg vannak változtatva az azonosítók.
„Számunkra az az izgalmas feladat, hogyan lehet megtalálni a megfelelő köztes megoldást: legyen biztonság, követhetőség, azonosíthatóság a kamerás megfigyelésnél, de korlátozzuk a felvételek, biometrikus azonosítók másodlagos felhasználását” – összegezte legújabb kutatásainak kihívásait Gulyás Gábor György.
HA-GI
Fotó: Philip János