Eltelt közel 3 hónap mire hazaköltöztem Magyarországra és shit you not, ez volt az egyik legnehezebb időszak az elmúlt években. Egy világkörüli utazás alatt rengeteg embert és helyet megismersz, amik mind alakítanak a személyiségeden. Sok dolog átértékelődött bennem, amiket eddig fontosnak tartottam. Kezdve a családdal, a pénz szerepével az ember életében, a karmával kapcsolatban, stb. Mikor az ember egy apró, harmadikvilágbeli szigeten tölt huzamosabb időt, rájön, hogy valójában mennyire nem eszenciális a pénz a boldogsághoz (félre értés ne essék, fontos, mert az lehetőséges és biztonságot ad, de garanciát a boldogságra nem). Arra is, hogy milyen fontos tenni a környezetünkért, óvni azt és felelősséget vállalni az után, hogy mennyit szemetelünk, hol vásárolunk, mit eszünk. Hogy a család és a legközelebbi barátok azok, akik igazán boldogságot hoznak az ember életébe. Hogy mennyire fontos, hogy szenvedéllyel csináljuk, bármi is legyen a hivatásunk, mert ez az amivel az ébren töltött időnk nagy részét töltjük. Mivel ezek nekem eddig nem voltak ennyire kőbevésett dolgok, ezek szépen alakultak. Ugyanakkor, mikor visszajöttem Európába, azon belül is Magyarországra, azt vettem észre, hogy nehéz visszaszokni a nagyvárosi, sokszor pénz és materiális javak által irányított életbe.

Volt egy hatalmas űr is bennem amiért azt sem tudtam, mivel szeretnék foglalkozni. Sok átbulizott éjszaka és még több barátokkal töltött beszélgetés és a magamhoz való türelem viszont szép lassan meghozta az eredményt. Eljött egy pillanat, amikor elegem lett. Abból, hogy 26 évesen megint a szüleimnél lakom, hogy elmennek a napok én pedig semmi “hasznosat” nem csinálok, csak várom, hogy majd az élet megoldja magát helyettem. Long story short, eldöntöttem, hogy beköltözöm a belvárosba és újra munkába állok. Szerencsére mindkettő döntés közel 2 héten belül gyümölcsözni kezdett, és mára már saját lakásban lakom és van egy remek munkahelyem. Egy adatbiztonsággal foglalkozó cégnél helyezkedtem el, mert azt gondoltam, hogy ez egy olyan iparág, ami napjainkban egyre fontosabb lesz. Pont erről fog szólni ez a cikk.

Rengeteg olvasás és kutatás után szeretném megosztani a tapasztalataimat veled arról, hogy milyen szinten fontosak az adataink, mivel élnek vissza a nagy, mainstream cégek, ez neked miért fontos és milyen lépéseket lehet tenni megelőzés szempontból. Ha érdekel, akkor olvass tovább.

Mik is azok az adatok és miért fontosak?

Alapvetően az online adatok azok, amiket manapság a legfontosabbnak tartok. Mivel a legtöbb információnk már nem nyomtatott formában tárolódik, azt hagyjuk most figyelmen kívül. Adat lehet a személyes információd (név, email cím, újlenyomat, szem íris képfelismeréshez, lakhely, telefonszám, bankszámlaszám, stb.) de ez csak a jéghegy csúcsa. Bármilyen érték, statisztika lehet adat – vásárlási szokás, alkalmazásban töltött idő, preferenciák (étkezés, szex, olvasás, zene, hírek) vagy akár hobbyk is. Eszenciálisan azok a dolgok, amiktől Te, te leszel – és ezek mind elérhető információk, ha nem is közvetlenül, de különböző csatornák ötvözésével biztosan, mert az offline világgal szemben, bármit amit online csinálunk, az nyomot hagy és tárolva lesz valahol. Ez azért fontos, mert ezek az adatok manapság a cégeknek, állami szerveknek aranyat érnek, hiszen mindig könnyebb valamit úgy eladni vagy előadni, hogyha tudják, mi az, ami Téged érdekel. És hogy ez etikus-e? Jó kérdés.

Van az adatoknak egy másik fajtája, ezt metaadatnak (metadata) hívják. A metaadatokat legegyszerűbben úgy lehet megfogalmazni, hogy ezek az adatok azok, amik jellemzik az a “rendes” adatokat. Például, ha készítesz a kameráddal egy képet, a kép az “adat”, a metaadat pedig a dátum és idő; a fájl név; a kamera beállításai és a lokáció. Egy emailnél ez a tárgy, a feladó, a címzett, a dátum, a feladó és címzett IP címe, a szöveg formátuma. Ennél a blog cikknél az én nevem, a cikk címe, a közzététel dátuma, a kategóriája és a tagek. Tehát adat az adatról.

Mi a baj ezzel?

Miért baj az, hogyha az előbb felsorolt információk (kollektíven innentől csak “adat”) nem kizárólag a tiéd? Ez egy érdekes kérdés és nem biztos, hogy mindenki egyetért benne, hiszen biztosan neked is van ismerősöd, aki nagy ívben tesz az adatvédelemre és “asd123” a jelszava a legtöbb helyen (ezt brute force-al ma kb. 2perc feltörni). Szerintem sok szempontból rossz, hogyha az én adataim más kezébe kerül. A legegyértleműbb az mindenkinek eszébe jut, hogy visszaélhetnek a pénzügyeimmel (pl. ha valaki az én bankkártyámmal vásárol). De miért baj, ha az “ártalmatlannak tűnő” adataim – például, hogyha vega vagyok és belikeoltam néhány vega blogot – rossz kezekbe kerül, hiszen ezt az utcán és elmondannád egy idegennek, nemde? És itt érünk oda, hogy miért ér meg mindent manapság a cégeknek az ADAT.

Maradjunk a vega példánál (ez implementálható gyakorlatilag bármilyen termékre). Tegyük fel, hogy három nagy élelmiszerlánc közül mind a három kereskedik bió zöldségekkel, amiket te szívesen vásárolnál. Ám a három közül az egyik, nevezzük Evil Corpnak, valamilyen formában az adataid, jelen esetben az étkezési preferenciád tulajdonában van. Ezután pillanatok alatt célzott hírdetéseket tud megjeleníteni akár weblapokon, akár alkamazások hírdetési felületén. Abba most ne menjünk részletekbe, hogy a hírdetések mennyire befolyásolják a vásárlási döntést, tételezzük fel, hogy nem (pedig valójában egyértelmű). Viszont, ha te eddig semleges voltál azzal kapcsolatban, hogy melyik élelmiszerboltba járj, a specifikusan rád célzott hírdetések miatt rájössz, hogy az Evil Corpnál tudsz kedvező áron bió zöldséget venni, így azt fogod potenciális választani. Ez elsőre még pozitívan is hangzik, hiszen ez esetben pontosan azt nyújtják, amire potenciálisan szükséged volt. A kérdés újra, hogy mindez etikus volt-e?

Adatszerzés

Hogyan jutott az Evil Corp ahhoz az adathoz, hogy Te egy 30 körüli nő vagy, egyedülálló, aki rendszeresen sportol, középvezetői pozícióban vagy és vega étrendet folytatsz, minden hónapban 10-én, fizetésed utáni napon mész el bevásárolni és az 5. kerületben a Bécsi utca 21-ben laksz? Tegyük fel, hogy van egy email fiókod amivel regisztráltál a Facebookra majd létrehoztál egy felhasználói fiókot. Ezzel lépsz be a LinkedIn-re; a Nike Run applikációba, Tinderre, Netpincérre, Google Chromaba és az OTP-s bankszámládra is ezzel regisztráltál. Nem egy elképzelhetetlen szituáció, ugye?

Ha egy termék ingyenes, akkor te vagy a termék. Ebből induljunk ki: miért lehet ingyenesen regisztrálni a Facebookra? Hogyan ad fizetést a cég annak a közel 35.000 alkalmazottnak és hogyan mentek tőzsdére, ha te és mások se fizetnek a felhasználói fiókért? Úgy, hogy a te adataid az igazi termékek, amikért a különböző cégek fizetnek, akik hírdetni akarnak. Hiszen a Facebook nem csak 1,6 milliárd emberhez ad hozzáférést hírdetési felülettel, hanem ami az igazi kincs, az a felhasználók adatai.

Tehát, regisztráltál a Facebookon az emaileddel, kipipáltad a Privacy Policy-t, a Terms and Condition-t valószínűleg olvasás nélkül és ezzel aláírtad, hogy majdnem összes adatodhoz hozzáférést adsz, amit ők értékesíthetnek. Ezután bejelentkeztél LinkedIn-re a Facebook-os felhasználóddal, hiszen ez volt a legkényelmesebb regisztrációs mód (miért is töltenél ki 3-4 mezőt a neveddel és emaileddel, hogyha ugyanúgy tudsz regisztrálni egy gombnyomással, nem?). Ugyanezt megteszed a Nike Run futást mérő alkalmazással és Tinderen is a Facebookról importálod a felhasználód – a bankszámlád pedig már rég össze van kötve a Netpincérrel, ahonnan hetek óta rendeled a bió-vega-ebédet. Előző nap pedig, míg a telefonod az asztalon pihent melletted egy kávézóba, beszélgettél egy barátnőddel és sajnálkozva mesélted, hogy sehol se találtál jó minőségű bió spenótot. Ezalatt a pár perc alatt a Facebookon tárolva lett, hogy milyen rendszeresen és mennyit futsz (Nike), a karrierutad és jelenlegi állásod (LinkedIn) a Facebook pedig tudja a korodat, a Tinder miatt azt, hogy egyedülálló vagy, a Netpincér miatt, hogy vega vagy – és a többi adattal együtt a fizetési szokásaidat is belőtte egy sávba. Végezetül pedig valamily alkalmazás apróbetűs részénél beleegyeztél abba is, hogy az elemezheti a telefon közelében lévő beszélgetéseket (erről mennek a viták hivatalosan még, de technikailag kivitelezhető). A végeredmény pedig az, hogy másnap reggel mikor megnyitsz egy weblapot, ahol van hírdetési felület, látni fogod, hogy a tőled két utcányira található Evil Corp üzletében találsz kedvező áron bió spenótot, pont amit szerettél volna. Hurrá, nem? Tehát, a kérdést megválaszolni, hogy ez etikus-e, nehéz eldönteni, hiszen Te járultál hozzá ehhez. Te pipáltad ki, hogy elfogadod a felhasználási feltételeket, amikben ezek valahol, apróbetűvel le vannak írva. De mi van akkor, ha egy utcával arrébb a kisboltban, akik nem költenek hírdetésre, az ár feléért tudtál volna jobb minőségű bio-vega-organikus-bébi-spenótot venni?

A probléma ott van elásva, hogy az adatok külön-külön vajmi keveset érnek, de együtt kiadnak egy teljes profilt. Még ha sokszor nem is járulunk hozzá a könnyen kezelhető személyes adatok tárolásához, vagy felhasználáshoz, úgy a metaadatok 99,9%-ban felhasználhatók. Hozzátartozik ehhez a weblapokon előszeretettel használt sütik is – ez egy apró fájl, amit a böngésződ ideiglenesen tárol, hogy az adott weblap megértse, ki is vagy (ha például be kell jelentkezned valahova, emiatt emlékszik rád a weboldal) és sokszor ez alapján lehet követni egy felhasználó böngészési szokásait. Ez legtöbb esetben csak egy adatsor ami alapján a weboldal (webserver) azonosítani tud a böngésződ alapján – néhány esetben pedig nevet, email címet is tárol, ez süti függő. Tehát semmi titkos dolog nem történik, de mi van akkor, hogyha Chrome böngészőt használsz, ahol be vagy jelentkezve a Gmail-os fiókoddal. Ebből adódóan újabb adatok kerülnek tárolásra arról, hogy milyen vásárlási szokásod van. Tehát, az emailed, böngésződ, telefonod és social mediák alapján az összes metaadatot össze lehet kapcsolni és ezt értékesíteni hírdetőknek.

Üdv a Mátrixban

De hogy került eléd az Evil Corp hírdetése a bébi-bio-organikus-spenótról a szomszéd utcából? Mert oké, hogy az adatok összekapcsolathatóak, de ugyan kinek van erre ideje? Ebben nagy szerepe van az Artifical Intelligence (mesterséges inteligencia)-nak, ami annyit tesz, hogy egy  szoftwer elemez különböző paramétereket, metaadatokat, szokásokat, de maradjunk a gyűjtőnevén: adatokat, majd erre célzottan készít – különböző algoritmusok segítségével – hírdetéseket, ami az adott profilnak valószínűleg imponálhat (historikus alapon). Ennek a folyamatnak a része a Machine learning is. Pontosan ez az a része a mesterséges inteligenciának ahol a szoftwer tanulni tud a bevitt adatokból, az arra adott reakcióinkból, felismer szokásokat és döntéseket tud hozni, minimális emberi beavatkozással. Ez így elég remésztően hangzik, de gyakorlatilag ez áll amögött, hogyha Facebookon be akarsz állítani egy hírdetést, ami csak a 25-35 közötti, V. kerületi nőknél jelenik meg – akkor a Facebook tudni fogja a machine learning alapján, pontosan melyik felhasználók felelnek meg a kritériumoknak és ott fog megjelenni a reklám.

Machine learning is a method of data analysis that automates analytical model building. It is a branch of artificial intelligence based on the idea that systems can learn from data, identify patterns and make decisions with minimal human intervention.

Mi a megoldás?

A válasz egyszerű, de nem fog tetszeni. Le kell mondani a mainstream szolgáltatókról és sokszor kényelmetlen megoldásokat használni. Akik valaha foglalkoztak adatbizonsággal, azok pontosan tudják, hogy bármilyen szolgáltatóról van szó, vagy kényelmet, vagy biztonságot tudsz választani, a kettő egyszerre nem megy. Minél egyszerűbben tudsz bejelentkezni valahova, annél kiszolgáltatottabb vagy, hogy egyszerűsítsük. Ezenfelül az is időt igényel, hogy kitaláld, milyen alternatívákat tudsz használni. A kényelmestől ez messze van, de a kérdés az, hogy elfogadod a nagy cégek monopol hatalmát és mész a többi ember után és használod ezeket a szolgáltatásokat, vagy saját kezedbe veszed az irányítást. Én az utóbbit ajánlom.

Panopticon

Fontos továbbá látni azt, hogy már a tudatosság sokat segít. Képzeld el, hogy elmész egy étteremben, leülsz vacsorázni, majd leesik az egyik evőeszközöd a földre. Az egyik pincér rögtön odajön és közli, hogy hoz egy újat. Természetesen az lesz a reakciód, hogy ez egy remek szolgáltatás, nemde? És miért? Azért, mert mikor besétálsz az étteremben, tudod, hogy a személyzet figyelni fog téged és ennek fényében az adott helyhez illően viselkedsz. Más lenne a milliő ha a nagyszüleidnél, vagy otthon egyedül ebédelsz, mert itt mindig van egy feltétlezésünk, elvárásunk, hogy kik figyelik a cselekedeteinket. Na most, innentől lesz érdekes ez. A panopticon egy angol filozófus és szociológushoz köthető, Jeremy Bentham (18.század). Ő ezt a kifejezést egy börtönök működési rendszerének megallkotására használta, ahol is azt úgy építettek meg, hogy kör alakban helyezkednek el a cellák, középen pedig egy toronyból egy darab őr mindenkit meg tud figyelni, viszont a cellákból azt nem lehet látni, hogy az őr éppen figyel-e téged vagy sem. Nem lenne meglepő azt feltétlezni, hogy mindenki máshogy viselkedik, annak tükrében, hogy éppen hol van, kiknek a társasáságban – vagyis kik “figyelik”. A linkre kattintva tudsz többet olvasni erről, de a lényeg az, hogy hasonló a helyzet manapság is, csak az előző példát metaforaként használva, most az átlag internethasználók a rabok, a toronyban pedig az állami szervek és tech cégek ülnek – és meg is gazdagodnak belőle, miközben a “rabok” nem is tudják, hogy egy folyamatnak a részei. Ezt lehet implementálni a közösségi media applikációkra, vagy a közúti kamerákra is akár (Kína egy jó példa, ahol már pontozási rendszert tesztelnek, hogy “besoroljanak”, együtt a CCTV adataival, vagyis a városban fellelhető kamerák segítségével, derül ki a 2018-as Wall Street Journal videójából)

Hogyan tudod megvédeni az adataidat?

Az első és talán legfontosabb, hogy olyan szolgáltatókat választasz, akik nem férnek hozzá az adataidhoz és nem is adják tovább. A titkosítás egy elég komplex folyamat, de már a második világháborúban is jelentős szerepe volt. Sokak szerint Alan Turingnak köszönhető sok szempontból, hogy Németország elbukta a második világháborút, hiszen Turing találta fel azt a gépet, amivel a németek kommunikációs kódrendszerét feltörték – és ezzel becslések szerint közel 14millió életet mentettek meg. Ez rövid videó arról hétköznapi példákkal – temperával – hogy hogyan működik az adatok titkosítása.

Ami fontos, hogy olyan szolgáltatókat válasszunk, ahol az adataink titkosítva vannak. Ha például adattárolásról vagy üzenetváltó alkalmazásról beszélünk akkor válasszunk olyat, ahol end-to-end encryptiont használnak (a titkosítási folyamatokba most nem mennek mélyebbre). Ez leegyszerűsítve annyit jelent, hogy a két kommunikáló fél üzenete, már akkor titkosítva lesz (olvashatatlanná válik harmadik személyek részére), mikor az küldésre kerül. Ezt a kódolt üzenetet a szolgáltató sem tudja olvasható formára változtatni – és ez itt a lényeg – viszont továbbítva lesz a címzettednek, aki már olvasható formában fogja ezt megkapni. A lényeg az, hogy mindegy, milyen szolgáltató választunk, nekik semmilyen keretek között ne lehessen hozzáférésük a személyes üzeneteinkhez vagy adatainkhoz (persze kérdés, hogy erről valaha is 100%-ban meg tudsz győződni?). Így ha arra kerül sor, hogy egy cég megszeretné venni az adatainkat, vagy egy állami szerv felszólítást küld az adataink kiadásáról, a szolgáltató még ez esetben sem fog tudni együttműködni, hiszen technikailag ez kivitelezhetetlen – hacsak nem a metaadatokról van szó, mert a titkosítás általában csak a konkrét adatokra vonatkozik, nem a metaadatokra.

Ugyanakkor, erre jó példa Protonmail nevű email szolgáltató, ami egy remek szoftwer az alternatívákhoz képest (mint pl. a Gmail ahol az összes üzenet át van szkennelve SEO szavak miatt már 2014 óta.). Róluk annyit érdemes tudni, hogy titkosítva van az összes üzenet, amit velük küldünk és nem tárolják ezeket, továbbá Svájcban bejegyzett a cég, így a svájci törvények vonatkoznak rájuk, ahol komolyan veszik az anonimitást. Ha megnézzük ezt az oldalt, az elmúlt években sokszor mégis együtt tudtak működni a rendőrséggel, olyan ügyekben, ahol vagy terror veszély, emberrablás vagy pedofilia volt a veszély. Ez szerintem teljesen rendjén van és etikus, hogy közreműködnek és ezzel sok ember életét megmentették, de ha csak adatbiztonság szempontból nézzük a dolgot, még ha konkrét email tartalmat nem is adtak ki, de a metadatát (amit feljebb részleteztem – adat az adatról), pl. egy adott pillanatban küldött email idejét látják, az IP címet is, ez alapján pedig gyakorlatilag a rendőrség pillanatok alatt megtalálhatja az illetőt (tegyük fel, hogy nem használt VPN-t se TOR-t az elkövető). Lényeg az, hogyha még a legmegbízhatóbb, privát cégek is tudnak találni egy ilyen vészhelyzet esetén megoldást, hogy hozzáférjenek az adataidhoz, akkor van-e olyan, hogy az adat tényleg a tiéd? 

Összefoglaló:

Hol a felelősség a cégek részéről, amikor olyan monopol helyzetben lévő óriásokról beszélünk, mint a Facebook/Instagram vagy Google? Hiszen, ha szeretnél kapcsolatot tartani az ismerőseiddel, akkor jó eséllyel az emberek többsége ezt a platformot fogja használni, így a döntés nem könnyű. Tegyük fel, hogy elutasítasz minden olyan szolgáltatatót, akik felhasználják az adataidat. Képzeld csak el, hogy az első randin (amit már nem tudsz ebből kifolyólag Tinderen megszervezni) azt a kérdést kapod, hogy van-e Instagrammod, vagy Facebookod, te pedig szimplan nemet mondasz. Hogy reagálna a másik fél? Valószínűleg teljesen weirdónak tartana, hiszen kinek nincs manapság valamilyen social media platformja? És ami igazán fontos, hogyha szeretnél kapcsolatot tartani az ismerőseiddel, akkor természetesen más platformokat kell választani, ami lemondással járhat, de a döntés a tiéd.

Tény, ami tény, hogy 100% soha nem lesznek az adataink megvédve, amíg azt nem egy papírcetlire írjük és a zsebünkben hordjuk 0-24. Ennek ellenére lehet arról dönteni, hogy használjuk-e ezeket a szolgáltatókat, akik notóriusan visszaélnek az adatainkkal, illetve keresni alternatívákat – mert ezek is léteznek. Ahogy előbb írtam, azokat érdemes keresni, akik “end-to-end encryption”-t használnak, tehát az adataink előttük is titkosítva vannak (jobb esetben).

Egy kicsit ez a cikk disztópikus (dystopian(?)) hatású lett, de ez nem kell, hogy megijesszen, illetve elszomorítson bárkit, inkább edukációs szándék miatt osztottam meg. Szerintem a döntés mindig a miénk, hogy hogyan éljük az életünket, mert az is elképzelhető, hogy sokan nem morzsolnak egy könnycseppet sem ezután a cikk után, mert nagy ívben szarnak az egészre. Nekem fontos és hasznosnak érzem, ha az ember legalább tisztában van ezekkel, még akkor is, ha nem feltétlenül hoz döntést közvetlenül utána. A blognak a jövője még kétes, nem szeretném bezárni a bulit, pláne közel 6 év után. Viszont ha van gondolatod, meglátásod a cikkel kapcsolatban, nyugodtan fejtsd ki kommentben, érdekelne a véleményed. Ezentúl nem fogtok Instagrammon és Facebookon megtalálni, viszont email-ben továbbra is, illetve LinkedIn-en.

Megéri-e az adatbiztonságért eltávolodni a social mediatól? Igy is teljes része lehetsz a Y generációnak, mint szociális réteg? Milyen áldozatokkat jár, hogy nem tudod követni instan a celebeket, influencereket és megosztani magadról a dolgokat a barátaiddal?