Hvordan tjenestemenn etablerer digitalt slaveri for innbyggere

2024 Forfatter: Seth Attwood | [email protected]. Sist endret: 2023-12-16 16:13

Inntil nylig virket digitale pass for å komme seg rundt i byen for russere som et vilt element i en cyberpunk-dystopi. I dag er det dessuten en realitet: siden i går i Moskva har de blitt obligatoriske for bevegelse med offentlig transport. Hvordan det skjedde, hvorfor mange land har laget digitale kontrollsystemer for bevegelse av innbyggere og om slik overvåking vil stoppe etter slutten av pandemien – i et nytt materiale fra forskere ved Center for Advanced Management Solutions.

Generell kontekst

Den generelle trenden i landenes reaksjon på koronavirusepidemien er å styrke kontrollen over innbyggerne. Basert på analysen av data fra mobiloperatører, banker, rettshåndhevelsesbyråer, beregner staten kontaktene til de infiserte, og overvåker også innbyggernes etterlevelse av selvisolasjon og karantene. Mange publikasjoner om dette emnet reiser spørsmål om personvern og overholdelse av borgernes rettigheter, og tegner et dystert bilde av et "overvåkingssamfunn".

Vi har samlet flere episoder av innføringen av spesielle digitale kontrolltiltak fra forskjellige stater og forsøkt å forstå risikoen som disse tiltakene medfører på grunn av at tilgang til informasjon om innbyggernes bevegelse og personlige liv gis til flere byråkratiske avdelinger samtidig..

Israel: politi, etterretningsbyråer, helsedepartementet

Hva skjedde?

Den 19. mars innførte den israelske regjeringen delvis karantene i hele landet. Som en del av de midlertidige tiltakene noen dager tidligere, 15. og 17. mars, utstedte myndighetene to nødordre som utvidet politiets myndighet til å foreta søk og også tillot den israelske sikkerhetstjenesten (Shin Bet) å bruke digital overvåking for å bekjempe koronavirusepidemien ….

Hvem utøver kontroll og hvordan?

Alle innbyggere i landet som er smittet med koronaviruset, så vel som de som har kommet i kontakt med dem, er satt i obligatorisk to ukers karantene. Innenfor rammen av nødordrer vil politiet, som et midlertidig tiltak, kunne fastslå den aktuelle geolokaliseringen av disse personene på bekostning av data fra mobiltårn uten ytterligere rettsavgjørelse. På sin side vil spesialtjenestene kunne få tilgang ikke bare til den nåværende plasseringen til en person, men også til historien til bevegelsene hans. I tillegg har det israelske helsedepartementet gitt ut sin egen smarttelefonapplikasjon som kontinuerlig oppdaterer posisjonsdataene til infiserte personer mottatt fra politi og advarer brukeren hvis han er i nærheten av dem.

På den ene siden lar dette ikke bare sjekke hvor samvittighetsfullt en person overholder karanteneregimet, men også å identifisere en omtrentlig kontaktkrets med andre mennesker som også kan bli smittet. Men på den annen side, i normale tider, brukes slike "tett digital sporing"-teknologier kun for å fange kriminelle og terrorister.

Slike ekstraordinære fullmakter til sikkerhetsstyrkene vil vare til midten av juni – etter det må alle mottatte data destrueres. Helsedepartementet vil imidlertid kunne forlenge lagringsperioden for data som samles inn på denne måten med to måneder for ytterligere forskning.

Sør-Korea: Politi og sivil selvkontroll

Hva skjedde?

I februar 2020 ble Republikken Korea et av de raskest voksende landene for koronavirusepidemien.

Myndighetene var i stand til ganske raskt og effektivt å første nivået, og deretter redusere spredningshastigheten av infeksjonen

Dette skyldes delvis det faktum at Korea har et vell av erfaring med å bekjempe epidemien: I 2015 ble landet møtt med et utbrudd av Midtøstens luftveissyndrom (MERS), hvoretter et helt system med epidemiologiske tiltak ble utviklet. Det avgjørende var imidlertid organiseringen av masseutsendelse av meldinger om hvert smittetilfelle med detaljert informasjon om den smittede personen (alder, kjønn, detaljert beskrivelse av hans nylige bevegelser og kontakter; i noen tilfeller ble det rapportert om personen hadde en maske osv.). Slik utsendelse ville ikke vært mulig uten et kraftig og storstilt system for digital kontroll over bevegelsene og kontaktene til sørkoreanske borgere.

Hvem utøver kontroll og hvordan?

Det er nå flere tjenester i landet som bruker personopplysninger for å gi informasjon om spredning av koronaviruset. For eksempel publiserer nettstedet Coroniata informasjon om det totale antallet tilfeller, samt om sonene der de største smitteutbruddene ble registrert. Den andre ressursen, Coronamap, er et kart som viser når og på hvilke steder alle isolerte tilfeller av infeksjon ble registrert. Den koreanske regjeringen har også gitt ut en offisiell smarttelefonapp for å spore overholdelse av karantene for infiserte mennesker.

Republikken Korea har en høyt utviklet digital infrastruktur, så sporing og verifisering av data er ikke et problem for myndighetene. For å forbedre nøyaktigheten av analysen, i tillegg til data fra mobiltårn og GPS, brukes data om transaksjoner gjort med bankkort, byvideoovervåkingssystemer og ansiktsgjenkjenningsteknologier.

Slik påtvunget «åpenhet» viser på den ene siden sin effektivitet når det gjelder å begrense epidemien, men fører på den annen side til negative sosiale effekter. I tillegg til at de som er smittet selv føler en følelse av konstant overvåking, faller også andre – «tilfeldige» – inn i kontrollsonen.

Siden hvert tilfelle av infeksjon vises på et kart, er noen koreanere, selv ikke smittet, men som tilsvarer de sporede "punktene", underlagt offentlig press.

Dermed blir proaktive koreanske borgere med politi og tjenestemenn i digital overvåking av hverandre.

Alternativ: Polen mot EU-kommisjonen

I EU dukket en av de første søknadene om overvåking av borgere som kreves for å overholde en 14-dagers karantene i Polen. Myndighetene krever installasjon av applikasjonen av friske borgere som har kommet i kontakt med infiserte eller potensielt smittede personer, samt alle som kommer tilbake fra utlandet. Siden begynnelsen av april har installasjonen av applikasjonen blitt obligatorisk ved lov.

Home Quarantine-applikasjonen (Kwarantanna domowa) sender tilfeldig et varsel flere ganger om dagen med krav om å laste opp ditt eget bilde (selfie) innen 20 minutter. I følge nettsiden til den polske regjeringen sjekker applikasjonen brukerens plassering (ved GPS) og bruker også ansiktsgjenkjenning. Dersom forespørselen om å laste opp bilde ikke blir oppfylt, kan politiet komme til adressen. I henhold til forskriften vil Digitaliseringsdepartementet lagre personopplysninger om brukere i 6 år etter deaktivering av applikasjonen (i henhold til Civil Code), med unntak av bilder som slettes umiddelbart etter at kontoen er deaktivert.

I tillegg til Polen har deres egne applikasjoner dukket opp eller begynt å utvikles i andre europeiske land, for eksempel i Østerrike (med deltagelse av det lokale Røde Kors), Frankrike, Irland og Tyskland.

På denne bakgrunn foreslo EU-kommisjonen å lage en pan-europeisk søknad for sporing av spredning av koronavirus i samsvar med spesielle anbefalinger for utviklingen av det, basert på loven om beskyttelse av personopplysninger i EU

Blant de listede prinsippene for den fremtidige applikasjonen er effektiviteten av å bruke data fra et medisinsk og teknisk synspunkt, deres fullstendige anonymitet og bruk kun for å lage en modell for spredning av viruset indikert. For å redusere risikoen for lekkasje av personopplysninger, må applikasjonsutviklere overholde prinsippet om desentralisering - informasjon om bevegelsene til en infisert person sendes bare til enhetene til personer som potensielt kan kontakte ham. Hver for seg ble det understreket at tiltakene som ble tatt skulle være berettigede og midlertidige.

Frist for å sende inn forslag til gjennomføring av disse tiltakene er 15. april. I tillegg, innen 31. mai, vil EUs medlemsland måtte informere EU-kommisjonen om tiltakene som er iverksatt og gjøre dem tilgjengelige for fagfellevurdering av EU-medlemmene og EU-kommisjonen. EU-kommisjonen vil vurdere fremgangen og vil med jevne mellomrom publisere rapporter fra og med juni med ytterligere anbefalinger, inkludert fjerning av tiltak som ikke lenger er nødvendige.

Russland: departementet for telekom og massekommunikasjon, mobiloperatører og regioner

Hva skjedde?

Fra slutten av februar til begynnelsen av mars, etter innføringen av tiltak for å motvirke spredningen av koronaviruset, dukket de første tilfellene opp i Russland med å styrke kontrollen over befolkningen ved hjelp av tekniske midler. Ifølge Mediazona kom politifolk til karanteneovertrederen med et fotografi, sannsynligvis tatt av et kamera, som var koblet til et ansiktsgjenkjenningssystem. Mikhail Mishustin instruerte departementet for tele- og massekommunikasjon om innen 27. mars å opprette et system for å spore kontakter til pasienter med koronavirusinfeksjon basert på data fra mobiloperatører. I følge Vedomosti fungerte dette systemet allerede 1. april. Parallelt begynte den russiske føderasjonens konstituerende enheter å utvikle sine løsninger. I Moskva, tidlig i april, lanserte de et overvåkingssystem for pasienter med koronavirus ved å bruke applikasjonen Social Monitoring, og forberedte også innføringen av pass med spesielle koder (dekretet om introduksjonen deres ble signert 11. april). I Nizhny Novgorod-regionen, den første av regionene, ble kontroll med QR-koder introdusert, i Tatarstan - via SMS.

Hvem utøver kontroll og hvordan?

Digital kontroll dekker i hovedsak borgere som er smittet eller er i offisiell karantene. For å spore bevegelsene deres, ber departementet for telekom og massekommunikasjon "data om tall og datoer for sykehusinnleggelse eller dato for karantene." Disse dataene overføres til mobiloperatører, som overvåker overholdelse av karantenevilkårene. Den som bryter vilkårene får melding, og ved gjentatte overtredelser overføres dataene til politiet. I følge Vedomosti vil ansvarlige tjenestemenn i de konstituerende enhetene i Russland legge inn data i systemet. Samtidig mener Roskomnadzor at bruk av numre uten å spesifisere adresser og navn på abonnenter til mobiloperatører ikke bryter med loven om personopplysninger.

I tillegg til disse tiltakene overvåkes pasientenes geolokalisering i Moskva ved hjelp av Social Monitoring-applikasjonen installert på smarttelefoner spesielt utstedt til innbyggere. For å bekrefte informasjonen om at brukeren er hjemme, ved siden av telefonen, krever applikasjonen med jevne mellomrom at det tas et bilde

I følge lederen av Moskva-avdelingen for informasjonsteknologi (DIT) er overføringen av data om brukeren regulert av en avtale som han signerer når han velger alternativet for behandling hjemme. De lagres på DIT-servere og vil bli slettet etter endt karantene. I tillegg utøves det kontroll over alle bilene til de som er pålagt å sitte i offisiell karantene (pasienter og deres pårørende), samt gjennom byens videoovervåkingssystem.

11. april undertegnet Moskvas borgermester et dekret om innføring av digitale pass for reiser i Moskva og Moskva-regionen med privat og offentlig transport. Passene begynte å bli utstedt 13. april og ble obligatoriske den 15., de kan fås på nettsiden til Moskvas borgermester, via SMS eller ved å ringe informasjonstjenesten. For å utstede pass må du oppgi personopplysninger, inkludert pass, bilnummer eller kollektivpass (Troikakort), samt arbeidsgivers navn med TIN eller reiserute. Passet er ikke nødvendig for å bevege seg rundt i byen til fots, underlagt de tidligere innførte restriksjonene.

Pass for å kontrollere bevegelsen av borgere har også blitt introdusert i andre russiske regioner:

30. mars signerte guvernøren i Astrakhan-regionen Igor Babushkin en ordre om spesialpass under karantenen. 13. april ble en elektronisk plattform for utstedelse av pass lansert i regionen. Søknad sendes på egen nettside, pass med QR-kode sendes til søkerens e-post. Sysselmannen instruerte også å kontrollere de tidligere utstedte passene i henhold til listene gitt av organisasjonene.

I Saratov-regionen ble det 31. mars innført et passsystem. Opprinnelig ble det bestemt at pass for arbeidende borgere skal utstedes i papirform med behov for sertifisering i administrasjonene. Allerede den første dagen førte dette til køer, som følge av dette ble lanseringen av tilgangssystemet forsinket. Den regionale regjeringen la til muligheten for å få pass elektronisk. Innføringen av passene ble utsatt to ganger til.

Den 31. mars godkjente Tatarstan prosedyren for å utstede tillatelser for bevegelse av borgere. Tillatelser utstedes ved hjelp av en SMS-tjeneste: først må du registrere deg og motta en unik kode, deretter sende inn en forespørsel for hver bevegelse. Dekretet definerer de tilfellene det ikke kreves tillatelse for. For yrkesaktive borgere leveres et sertifikat fra arbeidsgiver. Etter lanseringen ble det gjort endringer i tjenesten: 5. april ble listen over data som kreves for registrering begrenset, og 12. april ble intervallet mellom utstedelse av tillatelser økt for å bekjempe misbruk av systemet.

I Rostov-regionen ble kravet om utstedelse av sertifikater til ansatte i organisasjoner som fortsetter å operere under epidemien innført 1. april av guvernør Vasily Golubev. 4. april ble kontrollen over biler ved innkjøringen til Rostov-na-Don skjerpet, noe som førte til mange kilometer med trafikkork. 7. april rapporterte Rostovgazeta.ru at de regionale myndighetene vurderer muligheten for å innføre et "smart pass".

I Nizhny Novgorod-regionen ble kontrollmekanismen godkjent ved dekret fra guvernøren Gleb Nikitin 2. april. En søknad om pass gjøres ved å bruke tjenesten "Kort til en innbygger i Nizhny Novgorod-regionen" på et spesielt nettsted eller gjennom en mobilapplikasjon for Apple-enheter, samt ved å ringe helpdesk. Etter å ha vurdert søknaden får søkeren et pass i form av en QR-kode for en smarttelefon eller et søknadsnummer. For juridiske personer er det en prosedyre for å utstede bekreftelser på at de kan operere på arbeidsfrie dager på grunn av epidemien.

Den 12. april, på bakgrunn av opprettelsen av ulike digitale løsninger for tilgangskontroll på regionalt nivå, lanserte departementet for telekom og massekommunikasjon i den russiske føderasjonen den føderale applikasjonen "State Services Stopcoronavirus" (tilgjengelig for Apple- og Android-enheter) i et testformat. I følge departementet kan søknaden tilpasses forholdene i en bestemt region, bortsett fra Moskva, hvor en annen løsning er i kraft (se ovenfor). Uten relevante vedtak fra de regionale myndighetene er søknaden fra Tele- og massekommunikasjonsdepartementet ikke obligatorisk. Den første regionen hvor denne løsningen skal brukes vil være Moskva-regionen – guvernør Andrei Vorobyov kunngjorde dette om kvelden 12. april.

Vil staten beskytte personopplysninger?

Kommentar av informasjonssikkerhetsspesialist Ivan Begtin

Den europeiske tilnærmingen i forsøket på å imøtekomme juridiske krav til databeskyttelse er generelt korrekt. EU gir mer oppmerksomhet og ressurser til disse spørsmålene enn i Russland. Men vi må forstå at ingen er beskyttet mot problemet med datalekkasje, først og fremst på grunn av den menneskelige faktoren. Det har allerede vært presedenser, for eksempel velgerdatalekkasjer i Tyrkia, saker med private selskaper. Nå, når systemer lages på flukt, vil jeg ikke utelukke en slik mulighet. Med dataene til "Gosuslug" har dette ennå ikke skjedd, men kanskje alt har sin tid.

Årsakene kan variere. La oss si mangelen på sikkerhet til en database som er eksternt aksessert. Hackere eller sikkerhetsspesialister kan oppdage dette og få all informasjon. Det er spesielle tjenester Censys og Shodan som brukes til å søke etter slike tekniske sårbarheter.

Et annet alternativ er når dataene blir misbrukt med direkte hensikt. Det vil si at folk som har tilgang til databaser bruker dette for å hente ut fordeler.

Det er fornuftig å overvåke ulike tjenester for å "bryte gjennom" mennesker. I Russland, for eksempel, er det omtrent fem slike tjenester som tilbyr en tjeneste for å sjekke folk

Det vil si at det ikke er nødvendig at hele databasen skal slås sammen, men personer som har ekstern tilgang til den kan "punche" folk og selge denne informasjonen. Dette kan gjøres av tjenestemenn, entreprenører som deltok i opprettelsen av disse systemene. Det vil si folk som har tilgang til dem. I Russland er dette ganske vanlig: Hvis du søker på Internett etter "punching"-tjenester, kan du finne mye. Ofte er dette data fra innenriksdepartementet, trafikkpolitiet, Federal Migration Service og andre statlige organisasjoner.

Frykt for at staten kan opprettholde infrastrukturen for kontroll over innbyggerne er ikke ubegrunnet. I prinsippet ønsker ikke alle som samler inn data å skille seg fra dem. Det samme er med sosiale nettverk: hvis du kommer dit, forblir mest sannsynlig informasjon om deg der, selv om du slettet kontoen din. Offentlige tjenester har en meget bred interesse i å samle inn data om innbyggere og vil dra nytte av dagens situasjon. Samtidig forplikter de seg, inkludert under press fra offentlige organisasjoner, offentlig til å slette dataene etter endt pandemien. Likevel er motivasjonen for å ta vare på denne infrastrukturen svært høy hos offentlige etater.

Hvorfor skjer dette?

For å sikre kontroll over spredningen av epidemien, handler offentlige etater i forskjellige land på lignende måte: de utvider verktøyene sine for å spore innbyggernes bevegelser og kontakter. Slike tilleggstiltak går utover det som anses som akseptabelt i vanlige tider, men disse handlingene fra regjeringer har møtt liten motstand fra innbyggerne. Dette kan forklares med begrepet verdipapirisering.

Securitization er et begrep som opprinnelig ble laget av Copenhagen School of Security Studies Barry Buzan, Ole Wever og Jaap de Wilde. I en bok fra 1998 definerer de verdipapirisering som «en handling som tar politikk utenfor de etablerte spillereglene og presenterer saken som noe over politikken». Securitisation begynner med at en aktør (f.eks. politisk leder, regjering) bruker begreper knyttet til sikkerhet, trussel, krig, etc., innenfor vanlig diskurs, og publikum aksepterer den tolkningen. Suksessen til en verdipapirisering består av tre elementer:

bruken av "sikkerhetsgrammatikk" når du presenterer et spørsmål - det vil si på språknivå, presentere det som en eksistensiell trussel (i tilfelle av en koronavirusepidemi er dette for eksempel bruk av militarisert vokabular og sammenligning av kampen mot den ene raden med landets historiske rettssaker);

skuespilleren har betydelig autoritet slik at publikum oppfatter hans tolkning og «innblanding i diskurs» (landets ledelse, medisinske fagpersoner, WHO);

sammenhengen mellom den nåværende trusselen med noe i fortiden som virkelig utgjorde en slik trussel (erfaringen fra tidligere epidemier, inkludert historiske, for eksempel pesten i Europa, bidrar til oppfatningen som sådan av den nåværende epidemien).

Den globale oppmerksomheten rundt koronavirusproblemet fungerer også som et eksempel på verdipapirisering: meningsmålinger i Russland og andre land viser en økning i frykt for epidemien.

Samfunn aksepterer fortolkningen av verdipapiriseringsaktører, og legitimerer dermed et avvik fra de vanlige reglene for å bekjempe trusselen, inkludert innføring av spesielle digitale kontroller som generelt bryter med våre personvernrettigheter

Fra et krisehåndteringsperspektiv har verdipapirisering klare fordeler. Innføring av nødtiltak kan fremskynde beslutningstaking og implementering og redusere risikoen som trusselen utgjør. Verdipapiriseringsprosessen er imidlertid forbundet med negative konsekvenser både for det offentlige forvaltningssystemet og for hele samfunnet.

For det første reduserer innføringen av nye beredskapstiltak myndighetenes ansvarlighet. Under en krise kan instrumentene for sivil kontroll, inkludert over nye sikkerhetstiltak, være begrenset eller rett og slett ikke bygget ennå. Mangel på ansvarlighet øker sannsynligheten for både utilsiktet feil og bevisst misbruk fra menige tjenestemenn. Et eksempel på dette er bruddene fra amerikanske etterretningsoffiserer, som er kjent takket være lekkasjen organisert av Edward Snowden. Ved å bruke digitale kontrollverktøy som falt i hendene deres, brukte en rekke NSA-ansatte dem til å spionere på sine ektefeller eller elskere. I tillegg misbrukte FBI i samme periode tilgang til NSA-data om amerikanske statsborgere, i mange tilfeller uten tilstrekkelig juridisk begrunnelse.

For det andre er verdipapiriseringen av enhver emisjon beheftet med risikoen for at noen av tiltakene som innføres på nødstilfelle ikke vil bli kansellert umiddelbart etter slutten av kriseperioden og normaliseringen av situasjonen

Et eksempel på dette er Patriot Act, som ble vedtatt i USA i oktober 2001 etter 9/11-angrepene, som utvidet regjeringens mulighet til å spionere på innbyggerne. Handlingsvilkårene for mange bestemmelser i loven skulle utløpe fra slutten av 2005, men i realiteten ble de gjentatte ganger utvidet – og loven med endringene har overlevd til i dag.