Mint azt a közelmúltban megírtuk, a Google felfüggeszti az Európai Unióban a Google Assistant által rögzített beszélgetések gyűjtését és elemzését. Mint kiderült, az Assistant több mint ezer hangmintát rögzített jogosulatlanul, azaz olyan időpontban, amikor a felhasználók nem aktiválta. Az ügyet a hamburgi adatvédelmi hatóság is vizsgálja. A hamburgi adatvédelmi biztos, Johannes Caspar azt nyilatkozta, hogy komoly kétségek merülnek fel, hogy a Google Assistant megfelel-e az EU-s adatvédelmi előírásoknak. A Google botránya után nem sokkal az Apple már globálisan függesztette fel ideiglenesen a Siri fejlesztéséhez gyűjtött hangminták elemzését.

Az ügy kapcsán megkerestünk neves magyar IT-biztonsági szakértőket, hogy ők személy szerint hogyan viszonyulnak ezekhez a technológiákhoz. Három kérdésre kértünk tőlük írásban választ. 1. Telepítene-e az otthonában például Amazon Echót vagy Google Home-ot, használna-e bármilyen digitális asszisztenst? 2. Összeegyeztethetőnek tartja-e ezeknek az eszközöknek a működése a GDPR-ral és az ePrivacy-vel? 3. Miben látja ezeknek az eszközöknek a legfőbb biztonsági kockázatait?

Az összkép meglehetősen színesre színes. A válaszokat több részben közöljük.

Frész Ferenc (Cyber Services): Tudatos használat és jó szabályozás kell

Hogy telepítenék-e ilyen eszközöket? Igen és nem. Egyfelől bizonyos típusait nap mint nap használom. Másfelől az otthonomba egyelőre nem vinném be, mert a gyerekeim még kicsik, nehéz lenne őket megtanítani az ilyen eszközök tudatos használatára. Őszintén szólva egyelőre nem is látnám értelmét annak, hogy mondjuk egy Alexát betegyek a nappalimba. Itthon ugyanis még hiányzik az a szolgáltatási háttér – ami Amerikában például kiépült –, amihez értelmesen lehetne használni, például hogy egy órán belül nálam legyen, amit az Amazon webáruházában megrendeltem.

Persze ha a jövőbeni lehetőségeket is nézzük, érdemes árnyalni a dolgot. A különböző szolgáltatások digitalizálása már régóta tart, például lehet rendelni taxit mobilappon keresztül, legfeljebb be kell pötyögni, hogy milyen címre jöjjön. Ehhez képest a hangutasítás nem több billentyűzethelyettesítő „fenszi-faktornál”. Hozzáteszem, nekem talán idegen, de a még írni-olvasni nem tudó kisgyerekem teljesen természetesen használja például arra, hogy a YouTube-on mesét keressen vele.

A technológiában – az adatok összekapcsolása, a mögöttes gépi tanulási és mesterséges intelligencia algoritmusok révén – azonban nagyon sok olyan lehetőség van, ami mindenképpen pozitív, és szerintem rengeteg kényelmi és életminőséget javító funkciót lehet rá felhúzni. Ráadásul ezek a funkciók olyan adatgyűjtő pontokra épülnek (okoshőmérő, okosmérleg, okosóra, okostelefon stb.), amik évek óta velünk vannak, felismernek bennünket, megtanulják a szokásainkat stb.

A különböző okos asszisztensekről érdemes tudni azt, hogy alapvetően lokálisan működnek, és csak valamilyen trigger – ami lehet hangutasítás, gesztus, pozíció stb. – hatására kapcsolódnak egy távoli (felhős) rendszerhez. Ez igaz az Alexára éppúgy, mint a Google Home-ra vagy a Microsoft Cortanára és társaira. Erre a lokális figyelésre szükség is van, hiszen enélkül nem tudná az eszköz, hogy mikor kell aktiválódnia.

Frész Ferenc,
a Cyber Services alapító-vezérigazgatója

A neves kibervédelmi szakember korábban a Kürt Zrt. Biztonsági Intelligencia Központját vezette. Részt vett a KürtAkadémia (abból később kiválva a Cyber Institute) etikus hekkereket képző kurzusának létrehozásában, ahol jelenleg is tanít. 2011-től több mint négy éven át vezette a Nemzeti Biztonsági Felügyelet CDMA kibervédelmi központját. 2015-ben alapította a Cyber Services Zrt.-t, melynek keretében felépítette Európa egyik legjelentősebb etikus hekker csapatát.

Meggyőződésem ugyanakkor, hogy ezek az eszközök nem figyelnek meg bennünket – mármint a kémkedés értelmében. A mögöttük álló hatalmas vállalatoknak nem is érné meg titkos megfigyeléseket végezni, hiszen nagyon nagy a reputációs kockázat, azaz ha kiderül, akkor a büntetések mellett komoly arcvesztéssel is szembe kellene nézniük. Másrészt enélkül is hozzájutnak rólunk lényegében minden fontos információhoz, mert azokat önként és dalolva megadjuk számukra (az ingyenes szolgáltatásoknál amúgy is mi vagyunk az ellenérték, pontosabban az adataink).

Mindennek még a GDPR és az ePrivacy sem szab gátat. A cégek pontosan ezek miatt a felhasználók egyértelmű beleegyezését kérik – és meg is kapják – az adatgyűjtéshez. Persze azért egy adatvédelmi probléma azért marad: a hallgatózó (vagy kukucskáló) rendszerek nem csak azoknak a hangját (képét) veszik, akik a hozzájárulásukat adják, hanem a környezetét is. El tudom képzelni, hogy rövid időn belül megjelennek majd az egykori "Vigyázz, a kutya harap!" vagy a mostanában terjedő "Kamerával megfigyelt terület" feliratok mintájára a lakások ajtaján a "Google Home-mal/Amazon Alexával ellátott lakás" típusú táblácskák. Az alkalmi vendég pedig eldöntheti: bemegy, és vállalja az ezzel járókat vagy sem.

Új támadási faktorok jönnek

Ez azonban csak a probléma egy szeletkéje. Szerintem sokkal súlyosabbak azok az új támadási faktorok, melyeket digitális asszisztensek lényegét adó mesterséges intelligenciára és a gépi tanulásra építő technológiák hoznak elő. Az egyik legizgalmasabb területet adattorzításnak hívja a szakma. Ennek lényege, hogy olyan – hamis – adatokat visznek be az öntanuló algoritmusokba, melyek eredményeként az rossz-hibás válaszokat ad. Ennek hatása beláthatatlan.

Ami a magánélet védelmét illeti, én a digitális asszisztensek tudatos használatban látom a megoldást. Ahol lehet, ott be kell állítani, hogy az adott eszköz például csak fizikai interakcióra aktiválódjon. Ez nem minden eszköznél lehetséges, ezért én minden ilyen eszközömet úgy állítom be, hogy több együttes esemény együttállása kelljen a bekapcsoláshoz. És összességében az a véleményem, hogy a szabályozásnak is ebbe az irányba kellene tolnia a szállítókat.