Soha nem volt ennyire fontos a biztonságtudatos eszközhasználat – írta lapunknak Keleti Arthur, az ITBN főszervezője arra a körkérdésünkre, hogy mit lehet kezdeni a digitális asszisztensek biztonsági kihívásaival. De szerinte a gyártók helyezet sem egyszerű.

Kérdéseinkkel annak apropóján kerestünk meg magyar biztonsági szakembereket, hogy sorra derült ki: a mesterséges intelligenciára épülő különböző digitális asszisztensek gyártói kivétel nélkül rögzítik és elemzik az asszisztenssel folyatott beszélgetéseinket.

Mindenkinek három kérdést tettünk fel. 1. Telepítene-e az otthonában például Amazon Echót vagy Google Home-ot, használna-e bármilyen digitális asszisztenst? 2. Összeegyeztethetőnek tartja-e ezeknek az eszközöknek a működése a GDPR-ral és az ePrivacy-vel? 3. Miben látja ezeknek az eszközöknek a legfőbb biztonsági kockázatait? A kérdésekre korábban Frész Ferenc, a Cyber Services vezérigazgatója, Kovács Bálint, a Balasys technológiai igazgatója, valamint Krasznay Csaba, a Nemzeti Közszolgálati Egyetem adjunktusa válaszolt.

Keleti Arthur (ITBN): a kulcs a biztonságtudatos eszközhasználat

Akik csak a szakmámat nézik, elsőre valószínűleg meg fognak lepődni a válaszomon: igen, és nem csak hogy telepítettem, de a lakás szinte minden pontján található okos eszköz, digitális asszisztens és smart display is (okos kijelző). Biztonsági szakértőként persze mindig van bennem izgulam, hogy ezek az eszközök milyen adatokat rögzítenek, tárolnak, továbbítanak és dolgoznak fel a háttérben. De van bennem egy eredendő kíváncsiság is: a terület és a kibertitkok jövőjének kutatójaként meg kell értenem, hogy mik ma és mik lesznek a jövő emberének realitásai ezen a téren.

Ha a jelent nézem, akkor azt látom, hogy az adatok összegyűjtése és elemzése nélkül nincs fejlődés – és nincs biztonság sem. A kettő csak együtt értelmezhető. Ugyanis a digitális asszisztensek olyan képességekkel rendelkeznek, olyan tudással ruházhatóak fel, amelyek a védelmet (is) szolgálják. Gondoljunk csak a családtagok felismerésére, a furcsa vagy veszélyes hangok rögzítésére (például egy üvegtörés vagy a tűz hangja), az okoseszközök ún. jelenlétszimulációjára, amikor azt hitetik el a külvilággal, hogy otthon vagyunk, a szenzorok adatainak értelmezésére, például amikor hirtelen felugrik a hőmérséklet vagy növekszik a páratartalom, de akár az egy lakásban élők kapcsolattartására is.

Belátom, az átlag felhasználóknak nehéz átlátni, hogyan is működnek ezek a rendszerek – sokszor még szakértőnek is. Például arra én is utólag jöttem rá, hogy az általam használt digitális asszisztens, miután megszólítom, a megszólítása előtti pár másodpercről is letárol adatokat, amiből viszont egyenesen következik a folyamatos rögzítés ténye. Vagy hogy a rendszer a megszólításához hasonló hangokra is reagál, és emiatt olyan dolgokat is rögzít, melyek nem tartoznak rá. Sikerült is ilyen mintákat rögzítenem az Amazon Alexából. Amikor elemeztem a mintát, kiderült, a magyar "a legszebb" szókapcsolatot értelmezte megszólításnak.

De ne ragadjunk le az okoshangszórók mikrofonjainál. Az okoskamerák is legalább ennyire problémásak. Nem véletlen, hogy a legújabb generációkra, például az új Echo Show-ra, már gyárilag tesznek fizikai kameratakarót, hogy csak akkor figyeljen, ha mi is akarjuk. (A témát egyébként a a PosztmodeM legutóbbi adásában részletesebben is feldolgoztam.)

Egy érdekes új területe a hekkelésnek, amikor valaki “belebeszél” a rendszerünkbe, mert például azt nyitott ablaknál használjuk, vagy valamilyen módon bejuttatnak a lakásunkba egy hangszórót. Így a  belső hálózatkora rakott eszközeinktől tud információt lekérni. Magyarán a hang mint új interfész is támadási faktorrá válik, amivel nem számoltunk a fizikai biztonság kialakításakor, azaz a rács mellé hangszűrőt is érdemes telepíteni.

Keleti Arthur
biztonsági szakértő, az ITBN főszervezője

Az okoszárak vagy az azonosításra is használt külső kamerarendszerek esetében még nehezebb a helyzet, hiszen ezek eleve hozzáférhető helyen vannak, tehát hekkelésük is könnyebb.

Ha innen nézem, szerintem nagyon nem egyértelmű, hogy ezek az eszközök mennyire felelnek meg például a GDPR-nek, ugyanis nehéz nehéz követni, hogy az pontosan mit rögzít, tárol, továbbít vagy elemez. Erről a jelenleginél sokkal világosabb, egyértelműbb tájékoztatást várnék el a szolgáltatóktól, szállítóktól.

Még a helyben vagy a felhőben tárolt adataim visszakereshetősége és azok törlési lehetőségei is alapszinten állnak csak rendelkezésre. Az általam használt megoldások felhő oldali felületén például kifejezetten nehéz keresni az adatokban. Az sem teljesen egyértelmű, hogy a teljes törlés vagy az adathordozás hogyan érhető el, vagy esetleg azokra nincs is lehetősége a felhasználónak.

Az egész helyzet egyelőre meglehetősen paradox – és ekképpen nehezített terep is a gyártóknak –, hiszen itt éppen az adatok gyűjtésén és elemzésén keresztül valósul meg az innováció. Tehát összességében nem irigylem a szolgáltatókat és a fejlesztőket, nagyon vékony jégen táncolnak.

Egy gyártó eszközeit egyszerűbb felügyelni

Személy szerint én minden felhasználónak azt javasolnám, hogy lehetőleg egy, esetleg két gyártó rendszereiből építse ki saját okosrendszerét. Próbáljon meg központosítani, hogy minél kevesebb dologra kelljen figyelnie.

És hát itt hangsúlyozottan nem lenne szabad megfeledkezni a kötelező körökről: a kütyük gyári firmware-ének rendszeres frissítéséről (még ha az a legtöbbször, mondjuk egy okoszárnál vagy nehezen elérhető eszközöknél macerás is).

Az eszközválasztásnál is sokkal körültekintőbben kell eljárnunk. Gondoljuk végig, hogy a gyártónak ki a tulajdonosa, és annak lehetnek-e hátsó gondolatai. Én csakis jól beazonosítható, transzparens cégektől vásárolnék ilyen eszközt, amely például GDPR szempontból is értelmezhető entitás, és amely a reputációja megőrzése érdekében képes korrigálni egy-egy felháborodást kiváltó helyzetet, és javít vagy változtat a funkciókon.

És egy utolsó gondolat. Lehet szeretni vagy nem szeretni, de ezek az eszközök már velünk vannak, velünk is maradnak, sőt az életünk egyre több aspektusában jelennek meg (a cipőfűzőtől az evőeszközig). Tehát használjuk ki az előnyeiket, de tudatosan, átgondoltan, minimalizálva a személyes adatainkra veszélyt jelentő kockázatokat.