Prihaja aplikacija »Ostani Zdrav«, ki bo omogočila odkrivanje stikov, ki se menda »sploh ne bodo pridobivali«

Aplikacija za spremljanje koronavirusa, ki naj bi že kmalu zaživela tudi v Sloveniji, je praktično že izdelana, dvomi nad transparentnostjo njenega nastanka pa ostajajo še naprej.

Pri uvajanju aplikacij za preprečevanje koronavirusa je zelo pomembno zaupanje v vlado. Ohlapen zakon in številne poteze sedanje vlade pa kažejo, da je aplikacija morda bolj centralizirana in manj zaupanja vredna, kot se to morda zdi na prvi pogled.

Izjemno kratek rok (3 dni) za pošiljanje ponudb ob javnem razpisu in nejasni odgovori o tem, ali bo prostovoljna (zakon navaja, da bo za okužene obvezna) ter odprta vprašanja o njeni arhitekturi bodo zagotovo vplivala tudi na to, da si jo bo naložilo manj ljudi kot sicer.

Uvedbo aplikacije je v okviru četrtega paketa protikoronske zakonodaje potrdil DZ, a je opozicija napovedala ustavno presojo.

Lažnivo Trobilo - a niste rekli, da bo aplikacija stala samo 4.000 EUR in da bo na voljo konec julija? Zdaj bo pa cena kar naenkrat 10x višja in štart en mesec kasneje? No v resnici bo nekdo na koncu pokasiral pol milijona, stvar pa ne bo delovala.

— David Ravnjak (@DavidRavnjak) July 30, 2020

Aplikacija naj bi bila namreč obvezna za tiste, ki so okuženi oz. v karanteni, za druge pa ne.

Na spletu se je usul plaz kritik na račun kratkega roka za oddajo ponudbe in prav tako za dokončanje del.

Nekateri izpostavljajo, da naročila ni spletni strani MJU pod javnimi objavami niti ne na enarocanje.si.

Prav zato, ker je v tem primeru zelo pomembno zaupanje, predvsem v vlado, se bo aplikacija soočila z velikimi težavami.

V soboto se sicer izteče pogodbeni rok za prilagoditev nemške aplikacije, je na današnji tiskovni konferenci povedal sekretar na ministrstvu za javno upravo Peter Geršak.

Nemška aplikacija za obveščanje o stikih z okuženimi Corona-Warn-App, ki je temelj slovenske različice #OstaniZdrav, na številnih mobilnih napravah ni delovala pravilno in je slabo obveščala o morebitni grožnji.https://t.co/isM5N8KNQs

— MMC RTV Slovenija (@rtvslo) July 24, 2020

Namen aplikacije je, tako Geršak, da se v primeru okužbe posameznika v čim večji meri in čim hitreje prekine veriga okužbe nič hudega slutečih z novim koronavirusom.

Prilagojena aplikacija je že delujoča, testiranje še poteka, je dejal Geršak in dodal, da, ker gre za »odprtokodno aplikacijo«, je treba izvesti natančne preglede delovanja in funkcionalnost ter zagotoviti varnost.

DS @mju_RS Peter Geršak: Pri aplikaciji #OstaniZdrav ne gre za nikakršno sledenje, saj aplikacija nima dostopa do lokacijskih podatkov, torej ne beleži geolokacije; tudi nima dostopa do imenika telefona ali drugih podatkov, iz katerih bi se lahko razbrala identiteta uporabnika.

— Vlada Republike Slovenije (@vladaRS) July 30, 2020

Težava, ki jo je imela nemška, je v slovenski aplikaciji menda že odpravljena. Oddana bo do roka, je prepričan.

Po izkušnjah drugih držav, v vladi pričakujejo, da bo aplikacija #OstaniZdrav za namestitev na voljo v drugi polovici avgusta.

Toda izkušnje iz sveta tudi kažejo, da je odprtih vprašanj v zvezi z omenjeno aplikacijo še več.

Slovenska aplikacija se namreč »ne razume« s podobnimi drugimi, kar pomen, da vsaka država izdeluje lastne aplikacije ter se partikularno bori proti virusu, ki pa je – globalen.

Te aplikacije tako ne morejo zaznati, da ste bili v stiku z okuženim tujcem.

Ko sta Google in Apple pričela razvijati svoj, decentraliziran sistem pa so nekatere države takšen sistem zavrnile.

Na primer med prvimi britanski NHS oziroma britanski zdravstveni sistem.

Tam so namreč želeli »centraliziran« sistem, ne pa »decentraliziranega.«

Coronavirus contact tracing: Why the NHS rejected Apple and Google's app system
By Rhiannon Williams via @theipaper @RhiannonJudithWhttps://t.co/ZPmsNUMPFA pic.twitter.com/4dDLZRlOGG

— 4tify Technologies (@4tifyTech) April 29, 2020

Googlov sistem v primeru okuženosti podatke o stiku sporoči telefonom oziroma osebam, s katerimi je bila oseba v stiku, ne daje pa ga na centralni računalniški server. Sistem tudi dovoljuje spremembo identitete telefona v časovnih intervalih.

Skratka, ne gre zgolj za »odprtokodnost«. Gre za to, da takšen sistem ne omogoča vladam, da bi spremljale gibanje in stike oseb.

Toda Velika Britanija se je temu sistemu uprla. Želijo »centraliziran sistem« kjer bodo potencialne stike z virom okužbe verificirali v NHS-u.

To pa NHS-u omogoča, da pride do podatkov, kdo je bil – in koliko časa – v stiku z nekom drugim. Telefoni namreč te stike beležijo preko povezave Buetooth (Modri zob).

NHS trdi, da bodo tako lahko bolje spremljali, kako se bolezen širi in s tem pomagali tudi znanstvenikom.

Pri tem pa ni zanemarljiv podatek, da so ob tej odločitvi NHS svetovali v nacionalnem kibernetski oziroma vohunski agenciji GCHQ.

Toda kmalu zatem je 300 akademikov iz vsega sveta podpisalo odprto pismo, v katerem so zahtevali »decentraliziran« sistem, saj je zelo pomembno, da javnost zaupa v to, da njihovi podatki ne bodo zlorabljeni.

Podprli so decentraliziran pristop in dodali, da bi lahko »koruptivne države, njeni deli ali hekerji zlahka vohunili za dejavnostjo državljanov, če bi prišli do 'socialnega grafa' o tem, katera oseba je bila v stiku z drugo.«

Vse države so pozvali, da se temu izogibajo.

Na Hrvaškem že na voljo aplikacija Stop COVID-19, naša naj bi bila na voljo sredi avgusta. https://t.co/MzLqVGSLDH pic.twitter.com/rkLn3yJzu9

— Revija Monitor (@RevijaMonitor) July 30, 2020

In Slovenija?

Slovenski sistem naj bi bil »odprtokodni« in na prvi pogled popolnoma decentraliziran.

Telefona si s pomočjo bluetooth tehnologije izmenjata naključni oddajni kodi, napravi si jo zabeležita, zabeležita si tudi čas srečanja in samo oddaljenost med telefonoma, torej niti lokacije niti imena. Naključne oddajne kode se sicer spreminjajo na 10 minut, brišejo pa po 14 dnevih, avtomatsko tako iz telefonov kot tudi iz zalednega sistema.

Pozitivni učinki aplikacije naj bi se že kazali, če si jo bo naložilo od 10 do 14 odstotkov ljudi. Toda dejansko ni jasno, ali bo ta sistem res popolnoma decentraliziran, ali pa se bodo podatki hranili tudi v NIJZ.

Najbolj smiselno bi bilo verjetno imeti eno aplikacijo za celo Evropsko unijo, če ne že takšne, ki bi pokrivala ves svet.

Za tiste, ki menijo da zlorabe niso mogoče pa opozorilo prihaja iz ZDA, kjer je bilo razkrito, da je podjetje Dataminr ameriški policiji pomagalo spremljati protestnike po protestih zaradi smrti Georga Floyda, kljub temu, da so tako v Twitterju kot v podjetju Dataminr sprva zagotavljali, da osebnih podatkov in gibanja ljudi ne bodo spremljali.

Guardian pa je poročal, da je fitnes aplikacija Strava uspešno oddala lokacijske podatke ameriških vojaških oporišč.

Slovenska Piratska stranka prav tako opozarja na številne napake in ohlapnost zakonodaje, ki omogoča nastanek in uporabo aplikacije.

Informacijski pooblaščenec je sicer Državnemu zboru že 2. julija posredoval mnenje na predlog Zakona o interventnih ukrepih za pripravo na drugi val COVID-19, ki uvaja aplikacijo za sledenje stikov kot obvezno za okužene in tiste v karanteni ter novo pravno podlago za obdelavo identifikacijskih podatkov in lokacij oseb, zoper katere je izrečen ukrep omejevanja gibanja po zakonu o nalezljivih boleznih.

Poslance opozarjajo na sporno določbo 24. člena, ki omogoča, da lahko nedoločen nabor organov za namen nadzora nad upoštevanjem karantene od nedoločenega nabora virov podatkov, t. j. različnih ponudnikov s področja elektronskih komunikacij pridobiva nedoločen nabor identifikacijskih podatkov in podatkov o lokaciji te osebe, t. j. o lokaciji njenega telefona ali druge naprave.

Po mnenju Informacijskega poooblaščenca se nedopustno niža standarde za pridobivanje podatka o lokaciji posameznika, celo pod standard, ki velja za pridobivanje enakovrstnega podatka v kazenskem postopku (običajno je zato potrebna odredba sodišča).

Iz spornega 24. člena izhaja tudi možnost, da različni ponudniki elektronskih komunikacij (operaterji, ponudniki aplikacij, drugih elektronskih storitev, nosljivih ali drugih pametnih naprav) lahko beležijo identifikacijske podatke in podatke o lokaciji posameznikov, tudi če ti v to niso privolili.

Skrb Informacijskega pooblaščenca je dodatno, da sporna določba omogoča tudi beleženje podatka o lokaciji pri nameravani aplikaciji za beleženje stikov, ki naj lokacije sploh ne bi beležila.

Omenjanje »zalednega sistema« in možnost, da državne službe geolokacijske podatke telefonov povežejo z »naključnimi šiframi« še dodatno vzbuja dvome v popolno »decentralizacijo« sistema.

Kdo je pregledal kodo od app-a? Kdo nam zagotavlja, da aplikacija ne zbira in pošilja podatkov naprej...?
Kdo ima vse dostop do teh podatkov...? Kdo jih vse obdeluje ...?@URSIV_Slovenia @VaruhCPRS @policija_si

— Bolfenk (@bolfenk2020) July 30, 2020

Vse to pa kaže, da se pod krinko »decentralizirane« skriva »centralizirana« aplikacija.

V tem primeru bi bil celo Googlov in Applov sistem verjetno boljši.

Res je, da bi morda pozneje odkrili, da so naše podatke prav tako izročali drugim, na primer zahodnim obveščevalnim službam, toda vsaj domače vlade bi imele nekoliko bolj zavito pot do njih.