Önmagunk kémei lettünk

„A kormányzati megfigyelés nem arról szól, hogy a kormány olyan információkat gyűjt, amiket szándékosan és nyilvánosan megosztasz; hanem olyanokat, amikről egyáltalán nem is gondolnád, hogy megosztottad.” Mikko Hyppönen, kiberbiztonsági szakértő

Az interneten elérhető tudás a 21. században mindeddig elképzelhetetlen távlatokat nyitott meg széles tömegek számára. Internet segítségével levelezünk, intézzük banki ügyeinket, vásárolunk, tanulunk és szórakozunk, méghozzá az időnk egyre növekvő részében. Ezen szolgáltatásokat pedig jellemzően olyan nagyvállalatok segítségével érjük el és használjuk, mint a Google, a Facebook, az Apple és a Microsoft. Ezek az IT-cégek valóban rendkívül hasznos szolgáltatásokat nyújtanak: csak egy laptopra, táblagépre vagy okostelefonra van szükség, és a világ bármely információja néhány kattintással megszerezhető a számunkra. Ráadásul túlnyomórészt teljesen ingyen… Vagy mégsem? Napjaink nagyvállalatai pénz helyett már egyre inkább „csupán” ugyanazt kérik, amit ők is nyújtanak: információért informá­ciót. Egyrészt mi is szinte bármiről megtudhatunk bármit, viszont rólunk is rögzítésre kerül minden – és hogy mennyi minden, azt talán el sem tudjuk még képzelni. Az alábbiakban elsősorban a Google példáján keresztül mutat­juk be, hogyan működik az információszerzés napjainkban, és milyen következményekkel járhat az életünkkel kapcsolatos mindenféle adatoknak nagyvállalatok számára történő széles körű kiadása.

Az IT-szektorban köztudott tény, hogy azok az információk, amelyek – ha csekély mértékben is, de – beazonosítható személyekhez köthetőek (vagy csupán e-mail-címekhez, telefonszámokhoz), mindig is piacképes termékek­nek számítottak. Már a kétezres évek elején hallani lehetett  olyan cégekről, melyek

1 Ft/rekord áron vásároltak fel ilyen adatokat tartalmazó adatbázisokat – a szoftverfejlesztők és rendszergazdák pedig rendszeresen milliós adatbázisokat fejlesztenek és tartanak karban. Az adatlopás és az adatokkal való visszaélés kísértése így mindig is valóságos volt a szakmában, hasonlóan ahhoz, ahogyan a kiberbűnözésben is mindig több pénz volt, mint a kiberbiztonságban. Ezen adatbázisok haszna egyes vállalatok számára abban rejlik, hogy segítségükkel minél pontosabb hirdetői adatbázisokat építsenek fel célzott hirdetések számára. A marketingköltségre nagyobb összegeket fordító vállalkozások számára ugyanis előnyt jelent, ha a hirdetéseik minél pontosabban behatárolt csoporthoz jutnak el, aminek az árát anyagiakban is ellentételezik.

Minden dolgunkról tudnak egyes IT-cégek

2009-ben a Google vezetője azt nyilatkozta, hogy – többek között az amerikai törvények miatt – minden egyes információt tárolnia kell a cégüknek, ami hozzájuk beérkezik, így aki nem akarja, hogy amit az interneten tesz, arról mások is tudomást szerezzenek, annak az egyetlen lehetősége, ha nem csinál semmit az interneten. És mint látni fogjuk, néhány nagy cég (mint például a Google) szinte minden egyes internetes tevékenységünkről tud – beleértve azokat is, amiket nem a Google szolgáltatásain keresztül végzünk, mindezt pedig olyan mélységben, amire talán még eddig sohasem gondoltunk.

A Google az adatvédelmi irányelveiben nagy hangsúlyt fektet arra, hogy meggyőzzön minden felhasználót arról, hogy az adatai jó kezekben vannak náluk. Ezt alátámasztandó ismerteti, milyen módszerekkel garantálja az adatbiztonságot, illetve hogy nem adja el az adatainkat más cégeknek, valamint hogy együttműködik a helyi adatvédelmi hatóságokkal. Ezen állításuk őszinteségét megkérdőjelezi ugyanakkor a Nemzeti Adatvédelmi és Információ­szabadság Hatóságnak a Google Inc. személyes adatok védelmével kapcsolatos jogsértése tárgyában írt jelentése, amelynek fontosabb részletei keretes cikkünkben olvashatók.

A Google aktuális adatvédelmi nyilatkozata alapján a hirdetési szolgáltatásain a már egyszer kikapcsolt, személyes azonosításra szolgáló információgyűjtést idővel visszaállította, és egyúttal ki is jelenti, hogy ezen információkat „összekötheti” bármely más szolgáltatásából származó információkkal – akár a Gmail-fiókkal is (annak teljes tartalmát is beleértve), vagy például a böngészőbe beírt, bármely betöltött oldallal kapcsolatos adatokkal. A Google egyik fő célja tehát a szolgáltatásai használata közben felderíteni a használó pontos személyazonosságát, ami által személyekhez kötött, minél teljesebb profil kiépítése érhető el. A böngészőkben tárolt úgynevezett cookie-k („sütik”) segítségével pedig a Google számára elérhetővé válik az összes meglátogatott honlapunk linkje akkor is, ha már nem a Google-on keresztül nyitjuk meg azokat. Bár ezen adatgyűjtési tevékenység egy-két részlete kikapcsolható (de ebből is van, ami csak a már régebb óta regisztrált felhasználók számára ér­hető el), a hétköznapi használat során szinte senki sem vesződik ezzel, hiszen ki olvas végig teljes hosszában száz oldal terjedelmű szövegeket, vagy tanulmányoz vége-hossza nélküli beállításokat azért, hogy a száz­féle adatrögzítő eljárásból egyet-kettőt inaktiváljon?

A Gmail-szolgáltatás használatával kapcsolatban érdemes tudni, hogy mind a beérkező, mind a ki­menő levelek tartalmát feldolgozza és értelmezi a Google – a szabályzata szerint csupán azért, hogy a személyre szabott hirdetéseit optimalizálja. Jogvé­dő szervezetek ez ellen nemrég tiltakoztak is, mivel szerintük bizalmas levelezéseket nem lehet ilyen célra felhasználni. A Google a vádakra annyit rea­gált, hogy ma már senkinek sem kell meglepődnie, ha a személyes vagy vállalati levelezését mások is feldolgozzák. Mindez egyébként világszinten óriási aggályokat vált ki, mivel számos vállalat bonyolítja a levelezésétől kezdve a dokumentumai tárolásán át számos munkafolyamatát a Google szolgáltatásain keresztül, így ezzel együtt automatikusan megosztja vállalati titkainak jelentős részét is. Ráadásul itt nemcsak azokkal a személyekkel kapcsolatos adatgyűjtésről van szó, akikhez a Gmail-fiókok tartoznak, hanem mindenkiről, aki gmail-es címre bármilyen levelet küld, hiszen az ő leveleiket is (a küldő fél tudta és beleegyezése nélkül) ugyanúgy elkezdi a Google összegyűjteni és feldolgozni.

A Google Street View autói a fotózáson kívül minden létező helyi wifin keresztül elérhető információt is begyűjtöttek

A Google számos más szoftverével is hasonló a helyzet. A Google Chrome internetes böngészőről például szintén kiderült, hogy automatikusan minden begépelt web­címet elküld a Google szerverének. A Google Street View autói az egyébként is aggályos, szisztematikus utcai fotózáson kívül titokban minden, létező helyi wifin keresztül elérhető információt is begyűjtöttek azoktól a környéken lakó magánszemélyektől, akik elfelejtették kódolva küldeni a saját házukban, a helyi hálózatukon az adatokat – és rengeteg ilyen felhasználó van. A Google autói így az utca fotózása mellett alattomban minden elérhető érzékeny adatot lementettek, a jelszavaktól kezdve a levelezésekig, ami csak megszerezhető volt a számukra, míg az utcákat járták. Ez eddig az egyetlen tette a Google-nak, amiért nyilvánosan bocsánatot is kért – de csak miután elveszítette az ezzel kap­csolatos pert.

A Google információit egyéb internetes szolgáltatásokkal kapcsolatban is világszinten igénybe veszik. Ahhoz például, hogy a honlapok üzemeltetői lássák a látogatási és egyéb statisztikákat, egyre inkább a Google Analytics segítségét veszik igénybe, ami egy külső szoft­ver (plugin), amit a honlap mellé, a szerverre telepítenek. Innentől kezdve a program a honlapon történő minden egyes mozdulatunkat elmenti és továbbítja, még akár az olyan apróságokat is, hogy hol és mennyi ideig álltunk meg az egérrel – gyakorlatilag rögzítésre kerül minden interak­ciónk a tudtunk és beleegyezésünk nélkül, mind a honlapot üzemeltető vállalat, mind a Google számára.

A Google így eltárolja az összes eszközünk IP-címét, minden egyes kereséssel együtt, amit valaha is begépeltünk. Amikor üzenetet írunk a Gmailben, vagy megjegyzést fűzünk egy YouTube-videóhoz, akkor is eltárolja az összes információt. Vagy amikor éttermet keresünk a Google Térképen vagy megtekintünk egy videót a YouTube-on, feldolgozza az adott tevékenységgel kapcsolatos információkat, beazonosítva minket, a barátainkat, ismerőseinket, a telefonszámainkat, a telefonunk helyadatait, hogy mikor, hová megyünk a navigá­ciónk segítségével – mondhatni, már most többet tud rólunk, mint mi saját magunkról, minden bizonnyal még azt is, hogy legközelebb mikor hová megyünk.

Minden cég igyekszik hasznot húzni a személyes adatainkból

Az androidos mobilkészülékekkel kapcsolatban a ComputerWorld írója, Michael Horowitz biztonsági szakértő megjegyzi, hogy a Google nagyjából az összes wifis jelszót ismerheti már a világon. A jel­szógyűjtés nemcsak az androidos telefon saját jelszavára vonatkozik, hanem minden olyan hálózatra, aminek a jelszavát valaha is egy androidos készülékbe begépelték.

Ne higgyük azonban, hogy az adatok ilyetén való tárolását és közlését csupán a Google végzi

– a ComputerWorld a hasonló jellegű kémkedést gyakorlatilag az összes IT-vállalatnál kimutatta: a Microsoft, Apple, Facebook, Dropbox is mind érintettek. És akkor még nem beszéltünk arról, hogy a rendkívül olcsó kínai mobilok és táblagépek, amelyek elárasztják Európát és a világot, az alacsony árért cserébe beépített kínai kémprogramokkal érkeznek. Úgymond a kényelmünk érdekében a laptopjaink, telefonjaink zárolását már az ujjlenyomatunkkal vagy íriszszkenner segítségével oldhatjuk fel – ezeket az információkat az eszközeink szintén tárolják, és megosztják az operációs rendszerrel.

Mindezek ellenére senkit ne tévesszenek meg a Google és más vállatok céljai, azok semmivel sem különböznek más cégekétől, ami elsősorban egyszerűen a minél nagyobb profitszerzés. Sőt, az információk gyűjtéséből és személyhez kötéséből egyáltalán nem csupán az IT-cégek próbálnak hasznot húzni. A TESCO például klubkártyát kínál, amire pontokat gyűjtve akciósan vásárolhatunk. De miért éri meg a TESCO számára ingyen árengedményt biztosítani a számunkra? Ne gondoljuk, hogy csupán márkahű fogyasztókat szeretne belőlünk faragni, bár természetesen ez is része a céljainak. Az igazi hasznot az jelenti a számára, hogy a klubkártyánkkal minket személyesen beazonosítva, már névre szólóan tud minden egyes általunk megvett termékről és azok vásárlási dátumáról. Ezen adatok statisztikai elemzésével pedig olyan, egészen konkrét információi vannak már rövid idő után is az ügyfeleiről, hogy például mikor fognak beugrani legközelebb intim betétért – mindezzel a vállalatnak „csupán” a raktárának optimalizálása az elsődleges célja, amivel jelentős összegeket spórol, viszont cserébe a klubkártyával rendelkező vásárlókról is rendkívül pontos képpel rendelkezik.

Kikhez juthatnak el az információt gyűjtő cégeken keresztül az adataink?

A legnagyobb kérdés viszont az, hogy az állampolgárokról szép lassan, személyesen felépített óriási információval – és ezen keresztül tudással – rendelkező cégek adatai teljes biztonságban vannak-e náluk, vagy azok esetlegesen illetéktelen kezekbe is kerülhetnek? Az igazi kockázatot és veszélyt ugyanis az adatok szándékos vagy véletlen kiszivárgása okozhatja.

Okosház. Az emberek minden egyes okoseszközzel egyre kiszolgáltatottabbá válnak

IT-biztonsági szakemberek előtt közismert az a sajnálatos tény, hogy mindenféle hálózati informatikai eszközben számtalan olyan jellegű hiba található, amin keresztül információt lehet lopni. És hiába dolgozik világszerte nagyon sok ember naponta ezen biztonsági rések befoltozásán, egyelőre a kiberbűnözők (és a hivatali információszerzők) állnak nyerésre – a helyzet pedig várhatóan a jövőben sem fog javulni, sőt az internetes világ is egyre kiszámíthatatlanabb és veszélyesebb lesz az eddigi tendenciák és az előrejelzések alapján. Példának okáért magának a Google-nak is volt már hivatalosan elismert adatszivárgása, és nincs semmi okunk azt feltételezni, hogy a biztonsági réseken keresztül történő adatlopások nem mindennaposak. Szemé­lyes adataink illetéktelen kezekbe jutása a ha­gyományos bűnözéstől kezdve a terrorizmuson át egyre több félnek aranyat érő kinccsé válik napjainkban. De a bűnözés csupán a kérdés egyik oldala, ami az állampolgároknak aggodalomra adhat okot – a kormányok terrorizmus elleni harcának árnyoldala talán még nagyobb hatású lehet a jövőben.

A titkosszolgálati szervek bekapcsolódása az adatgyűjtésbe

A Google hivatalosan is beismerte már 2010-ben, hogy együttműködik az amerikai Nemzetbiztonsági Ügynökséggel (NSA), ami miatt számos civil szereplő ki is fejezte az aggá­lyait. Ugyanettől az évtől kezdve a Google részesedéssel is rendelkezni kezdett titkosszolgálatokhoz kötődő vállalatokban (mint az In-Q-Tel, Recorded Future). Ehhez képest az NSA 2012-től semmilyen információt sem szolgáltat arról, hogy együtt­mű­kö­dik-e a Google-lal. Azonban már a rákövetkező évben a The Guardian és a The Washington Post hasábjain dokumentumok szivárogtak ki a Google együttműködéséről a PRISM megfigyelési programmal kapcsolatban, ami után az amerikai kormány hivatalosan is kénytelen volt elismerni a PRISM létezését. A program keretén belül számos nagyvállalat nyújt közvetlen hozzáférést a titkosszolgálatoknak az adataikhoz – ezen cégek között található a dokumentum szerint a Google is, amit a cég egyébként még a szivárogtatás után is tagadott a nyilatkozataiban.

A Google emellett részben jogosan, részben megkérdőjelezhető módon a világ összes országa kormányának, ahol a cég jelen van, megengedi, hogy cenzúrázza az interneten elérhető információkat, illetve hogy felhasználókról adatokat kérdezzen le.

Miért veszélyes az adataink központi helyen való gyűjtése?

Mint említettük, a Google fő célja a személyekhez kötött információ gyűjtésével feltehe­tően egyszerűen a profitszerzés, hiszen a cég elsősorban hirdetésekből tartja el magát. Az már egy másik kérdés, hogy ezen pénzkereseti tevékenységük következtében – mintegy mellékesen, a biztonsági hibák és a kormányzati szervek nem mindig etikus viselkedése miatt – milyen károkat fognak okozni a jövőben a társadalom széles rétegei számára. A legtöbb felhasználót ugyanis nem az zavarja önmagában, hogy az interneten eltöltött minden percét egyre pontosabban össze tudják kapcsolni a személyével, hanem az, hogy ezen adatok további sorsát – akár évtizedekre előre tekintve – senki sem tudja megmondani. Konkrétan: jelenleg nincs semmilyen garancia arra (és a jövőben sem várható), hogy titkosszolgálati szervek teljesen önkényesen ne használják fel ezeket a jövőben, akár pillanatnyi politikai célok kiszolgálására, akár egyes nemkívánatos közösségek, civil szervezetek vagy egyházak lejáratására. Vagy ne kerülhetnének ki adataink – akár még a jelenleg nem ismert biztonsági hibák által is (amiből higgyük el, hogy szándékosan vagy nem szándékosan, de több van, mint amit gondolni merünk) – bármilyen bűnözői csoportok kezébe. És mivel a jövőben egyre több eszköz – az autó­tól a hűtőgépen át a tévéig szinte minden – okoseszközzé fog válni, így egyre kiszolgáltatottabbá válik a társadalom mindkét, előbb felvázolt nemkívánatos szereplő számára. Egy konkrét példával élve: ha csak rámegyünk bármilyen személyes eszközünkkel belföldön vagy külföldön egy helyi wifi-hálózatra, már most fogalmunk sincs, hogy a pillanatnyi tartózkodási helyünk kiknek a számára válik nyilvánvalóvá – akár azonnal is. Talán tovább már mondanunk sem kell, ezek után milyen beláthatatlan következményei lehetnek a személyhez kötődő egyre teljesebb információgyűjtésnek, adataink tárolásának, megosztásának és kiszivárgásának.

Nemzeti Adatvédelmi és Információszabadság Hatóság

A Nemzeti Adatvédelmi és Információszabadság Hatóság jelentése a Google Inc. személyes adatok védelmével kapcsolatos jogsértése tárgyában.

A Nemzeti Adatvédelmi és Információszabadság Hatósághoz (a továbbiakban: Hatóság) bejelentés érkezett, melyben az érintett azzal a panasszal fordult a Hatósághoz, miszerint a Google Inc. figyelmen kívül hagyta a hozzá benyújtott kérelmét, melyben egy találati lista eltávolítását kérte a Google Search keresőmotorból. (…)

Az üggyel kapcsolatban a Hatóság az alábbiakra hívta fel a Google Inc. elnök-vezérigazgatójának figyelmét. (…)

A Google Inc. bevett gyakorlata szerint úgy felel meg az egyes országok jogszabályainak, hogy az adott ország ccTLD végződésében elérhető felület találati listájából távolítja el a kérdéses tartalomra vonatkozó találatot. (…)

A Google Inc. elmondása alapján (…)„az európai és a magyar felhasználók szinte mindegyike a törléssel érintett szolgáltatást használja, és a google.com-ot csupán néhányan használják. Ez a tény bizonyítja, hogy az érintettek jogainak védelmét a Google Inc. megfelelően biztosítja.” (…)

A Hatóság a Google Inc. fent kifejtett érvelését nem tartja elfogadhatónak, tekintettel arra, hogy csupán pár „kattintással” bárki által könnyedén hozzáférhető, illetve elérhető a .com kiterjesztésű Google internetes kereső, mely által a sérelmezett tartalom is szintén elérhető bárhonnan, országtól függetlenül.

Tekintettel arra, hogy a Google Inc. nem tett eleget a felszólításoknak, a Hatóság az infotörvény 58.§ (2) bekezdés d) pontja alapján további intézkedésként, az infotörvény 59.§ (3) bekezdése alapján jelentést tesz közzé.

Bízom benne, hogy a fenti jelentés alkalmas lesz az ügyben a személyes adatok védelméhez fűződő joggal összefüggő jogsérelem orvoslására és a jövőbeni hasonló jogsértések elkerülésére. (Dr. Péterfalvi Attila elnök, címzetes egyetemi tanár)