Megkérdeztünk biztonsági szakértőket: ők hogyan viszonyulnak a technológiához. Használják-e, és ha nem, miért? A kérdések apropóját az adta, hogy a Google felfüggesztette az Európai Unióban a Google Assistant által rögzített beszélgetések gyűjtését és elemzését. Mint kiderült, az Assistant több mint ezer hangmintát rögzített jogosulatlanul, azaz olyan időpontban, amikor a felhasználók nem aktiválta. Az ügyet a hamburgi adatvédelmi hatóság is vizsgálja. A hamburgi adatvédelmi biztos, Johannes Caspar azt nyilatkozta, hogy komoly kétségek merülnek fel, hogy a Google Assistant megfelel-e az EU-s adatvédelmi előírásoknak. A Google botránya után nem sokkal az Apple már globálisan függesztette fel ideiglenesen a Siri fejlesztéséhez gyűjtött hangminták elemzését.

Ennek kapcsán neves magyar IT-biztonsági szakértőknek három kérdést tettünk fel. 1. Telepítene-e az otthonában például Amazon Echót vagy Google Home-ot, használna-e bármilyen digitális asszisztenst? 2. Összeegyeztethetőnek tartja-e ezeknek az eszközöknek a működése a GDPR-ral és az ePrivacy-vel? 3. Miben látja ezeknek az eszközöknek a legfőbb biztonsági kockázatait?

Kovács Bálint (Balasys): Nekem itt az kevés, hogy a gyártóban megbízom

A válaszom arra, hogy telepítenék-e ilyen eszközöket, egyértelműen: nem. Pontosan attól tartanék – ami többször be is bizonyosodott –, hogy az asszisztens a neki adott parancsokon kívül is rögzíthet hangokat, így információ kerülhet ki a legintimebb környezetemből, ráadásul autohmatizált módon és a tudtomon kívül. Erre akkor sem szeretnék lehetőséget adni, ha amúgy bízom az adatkezelő cégben. Mivel mindhárom digitális asszisztens gyártóról (Amazon, Google, Apple) kiderült az utóbbi időben, hogy nem csak elsődleges funkciójára használta fel a rögzített hangokat, ezért az "én vagyok a termék" érzéstől nem tudok szabadulni a témában és jelentősen megcsappant a bizalmam bármilyen kvázi ingyenes, ám adatfeldolgozást végző szolgáltatásban.

Ha általánosabban közelítek ezeknek az eszküözöknek, technológiáknak a biztonsági problémáihoz, akkor ott kell kezdenem, hogy sajnos a lakossági szegmens, azaz a privát szféra védelménél messze nem találkozunk azzal a tudatossággal, ami a vállalati környezeteket jellemzi. A felhasználók jelentős része egyszerűen hajlamos megfeledkezni arról a tényről, hogy a felhő egyáltalán nem valamiféle megfoghatatlan, absztrakt entitás, hanem nagyon is konkrét eszköz: "valaki más számítógépe".

Éppen ezért egyelőre nem látok hatékony megoldást a magánélet védelmével (privacy) kapcsolatos alapvető aggályok feloldására. Elképzelhetőnek tartom, hogy a digitális asszisztensek, az Amazon Alexa és Google Home típusú okoshangszórók gyártói tudnának olyan eszközöket készíteni, amik helyben, adatok továbbítása nélkül tudnák elvégezni feladatukat. Ám nagy valószínűséggel ezek – épp a lokális megoldások, a működéshez helyben szükséges számítási teljesítmény stb. miatt – irreálisan drágák lennének, és lényegében nem lenne rájuk fizetőképes kereslet.

Összességében amúgy is azt látom, hogy a lakossági piacon a felhasználók gyakran hajlandóak a funkcionalitásért cserébe adatot szolgáltatni magukról, így a szórakoztatóelektronikai gyártók is egyre bátrabban építhetnek erre az attitűdre. Éppen ezért az otthoni információs rendszerek biztonsága egyre forróbb téma lesz az elkövetkezendő években.

Az például sokat segítene, ha az Ipar 4.0 egyik fontos területének, az IoT-nak (Internet of Things) a biztonsági megoldásai beszivárognak a végfelhasználói termékekbe is. Megjegyzem, az ipari IoT-biztonság jelenlegi fejlettségi szintjén még ez sem jelentene megoldást, hiszen a a terület még maga is gyerekcipőben jár. Szerintem azonban a szabályozói nyomás és a jól felfogott gyártásbiztonsági érdekek előbb-utóbb komoly biztonsági megoldások bevezetését fogják kikényszeríteni.

Ami a jelenlegi jogi szabályozást illeti, úgy látom – bár hangsúlyozom: nem vagyok jogász, és nem ismerem ezeknek az eszközöknek a pontos adatkezelési gyakorlatát –, hogy ezeknek a technológiáknak az alkalmazása összeegyeztethető lehet az Unió adatvédelmi előírásaival, mind a GDPR-ral, mind az e-Privacy-vel, hiszen könnyedén megvalósítható a törléshez való jog biztosítása, valamint az EU-n belüli adattárolás is.

Krasznay Csaba (Nemzetvédelmi Egyetem): megváltoztatja a világot, de veszélyes

Amikor ezeket az eszközöket vizsgálom, mindig nagyon ellentmondásosak a gondolataim. Szívem szerint nagyon is használnék ilyen eszközöket, technológiákat. Ekkor azonban feltámad bennem a biztonsági szakember, aki viszont elutasítja ezek használatát. És hát valószínűleg  ezt az énemet erősíti az is, hogy már középkorú, ekképpen konzervatívabb, magyar végfelhasználó is vagyok.

Az igen felé az billenti a mérleget, hogy a technológia megszállottja vagyok. Hihetetlen lelkesedéssel tölt el minden olyan technológiai újdonság, ami megváltoztatja-megváltoztathatja a világot. És a digitális asszisztensek, illetve a mögöttük dolgozó hangfelismerési technológia, a mesterséges intelligencia és a többi csoda kétségkívül ebbe a kategóriába tartoznak: alapvető változást hoznak a világunkba.

Ugyanakkor végfelhasználóként sem csak a lelkesedés vezet az ilyen eszközök használatában, hanem a racionalitás is. Egyelőre nem látom, hogy magyar nyelvű, Magyarországon élő emberként megkapnám azokat az előnyöket az ilyen technológiáktól, amiket egy angolul beszélő amerikai megkap, ha használja azokat.

De a nyomós ellenérvet a biztonsági szakember énem szolgáltatja. Gyakorló biztonsági szakemberként pontosan tudom, hogy milyen kitettséget jelentenek ezek az eszközök mind adatvédelmi, mind pedig kiberbiztonsági szempontból. Ráadásul jelenleg nem látok a piacon olyan megnyugtató megoldást, ami védené az otthonomat ezektől a támadási faktoroktól.

A legfőbb aggályaim természetesen adatvédelmi természetűen. Ugyanakkor az információbiztonság területén a legfőbb félelem egy olyan nulladik napi hiba, amit tömegesen használ ki egy kártékony kód. És azt már tudjuk a gyakorlatból, más informatikai tömegeszközök kapcsán is, hogy egy ilyen sérülékenységről a felhasználók nagy része nem is értesülne. De tegyük fel, a legtöbb felhasználóhoz eljut a hír: még akkor is ott van az a probléma, hogy nagy többségük még nem szerzett olyan gyakorlatot hétköznapi IoT eszközök használatban, hogy azokat rendszeresen frissítse.

A problémát tetézi, hogy még azt sem tudjuk biztosan, hogy ezek a technológiák és eszközök megfelelnek-e ez Európai Unió adatvédelmi előírásainak. Ez több okra vezethető vissza. A digitális asszisztensek mögött rendkívül komplex technológiai megoldások vannak. Jellemzően amerikai operáció és a gyártó cégek állnak mögöttük, melyek – iparjogvédelmi szempontból amúgy érthető – transzparenciájának hiánya szintén nehezíti a tisztánlátást. Így azonban nem lehet egyértelműen kijelenteni azt sem, hogy az eszközök minden tekintetben a GDPR és az egyéb európai adatvédelmi elvek szellemében működnek.