ŠEF HDZ-a, ujedno i predsjednik vlade Andrej Plenković, potvrdio je jučer kako država radi na aplikaciji za praćenje oboljelih od koronavirusa, a glavna u projektu izrade takve aplikacije je mnogo puta prozivana i osporavana državna tvrtka APIS.
>> APIS IT radi aplikaciju za praćenje kontakata. Opisali kako će funkcionirati
Sugovornici Indexa, od IT stručnjaka do aktivista za ljudska prava, zabrinuti su zbog činjenice da država, odnosno vlada, radi na aplikaciji koja bi trebala pratiti njezine vlastite građane. IT novinar i urednik na tehnološkom portalu Mashable Stan Schroeder ističe kako cijela priča oko ove aplikacije ima golem potencijal za narušavanje privatnosti građana, dok član Vijeća za građanski nadzor sigurnosno-obavještajnih agencija Goran Bosanac naglašava kako sam APIS, ali i dio vlade, nema dovoljno znanja oko posljedica koje aplikacija može imati na ustavna prava.
IT stručnjak Lucijan Carić ne vidi nešto posebno problematično u samoj aplikaciji, no ističe da je problem u načinu predstavljanja projekta jer je, kako kaže, očit manjak povjerenja građana u sustav, politiku, a i struku koja se "odvratno politizira". Informatički stručnjak Marko Rakar uvjeren je u jednu stvar, a to je da APIS nije u stanju izraditi aplikaciju koja se spominje u medijima. No krenimo redom.
Sve je na dragovoljnom pristanku ljudi, uvjerava ministar policije
"Hrvatska u ovom trenutku radi na aplikaciji, dakle tehnički stručnjaci koje smo za to zadužili. Kada to bude gotovo, mi ćemo vas obavijestiti, ali mogu vam reći da će se maksimalno voditi računa o privatnosti korisnika", rekao je jučer pred novinarima Plenković. Ministar policije Davor Božinović novinarima je pak govorio o samim detaljima aplikacije naglasivši da se ne radi, kako kaže, o aplikacijama za praćenje, nego o informatičkoj podršci onome što rade epidemiolozi. Podršci koja se, doduše, temelji upravo na praćenju kretanja građana putem mobitela.
>> Već se radi na aplikaciji za praćenje kontakata. Plenković: Pazit ćemo na privatnost
"Sve je na dragovoljnom pristanku ljudi, a aplikacija će biti u vlasništvu Ministarstva zdravstva. Možete skinuti aplikaciju ako želite i onda ako netko tko ima istu aplikaciju, a postao je pozitivan, i ako on da suglasnost, onda se ljudima koji su bili u blizini da informaciju da su bili u kontaktu", pojasnio je jučer Božinović kazavši kako nijedna institucija to ne bi trebala kontrolirati.
"Pokušaj je to da se ljudima pomogne, da dobiju informaciju da su bili u blizini nekoga s koronom, kako bi se mogli testirati", rekao je Božinović.
Saša Bilić, predsjednik Uprave APIS IT-ja za N1 televiziju potvrdio je kako se radi na aplikaciji koja neće koristiti geolokaciju, nego Bluetooth tehnologiju. Istaknuo je kako su im uzor aplikacije kakve su bile u Južnoj Koreji. Aplikacija služi tome da dobijete obavijest da ste u određenom razdoblju, a riječ je o razdoblju posljednjih 14 dana, bili u kontaktu s osobom kojoj je naknadno dijagnosticirana zaraza koronavirusom. Evidencija o kontaktima ostvaruje se preko Bluetooth tehnologije koja bilježi sve interakcije s drugim pametnim telefonima. Vlasnik uređaja kojem je dijagnosticirana zaraza sam odlučuje o tome hoće li putem aplikacije obavijestiti one s kojima je bio u kontaktu posljednjih 14 dana. Isto tako, oni koji su primili obavijest sami odlučuju hoće li se javiti epidemiologu. Anonimnost se, ukratko, jamči preko privremenih anonimnih kriptiranih ključeva, a na pametnom telefonu vlasnika kriptirani su i pohranjeni svi podaci. Aplikacija, barem tako tvrde oni koje je izrađuju, nema centralnu bazu podataka. Odnosno, svaki vlasnik kontrolira vlastite podatke i odlučuje hoće li te podatke i podijeliti.
Schroeder: Problem je potencijalno narušavanje privatnosti
"Problem s nečim što možemo nazvati 'aplikacija za praćenje koronavirusa' je to što je to zapravo dosta širok pojam koji može, ali i ne mora uključivati praćenje točne lokacije građana, kao i povredu njihove privatnosti. Apple i Google rade na sustavu za praćenje kontakata, ali su u sklopu tog sustava zabranili točno praćenje lokacije pojedinog korisnika putem GPS-a, kao i pohranjivanje podataka na centralnim serverima. Neke su vlade kritizirale ovaj pristup jer smatraju da bi praćenje putem GPS-a bilo puno preciznije, no onda tu postaje problem potencijalno narušavanje privatnosti", kaže za Index IT novinar Stanislav Šredl, poznatiji kao Stan Schroeder, koji radi kao urednik na Mashableu, jednom od vodećih globalnih medija za digitalnu generaciju. Schroeder kaže da, prema onom što je pročitao o APIS-ovoj aplikaciji, oni razmišljaju na sličan način kao i Apple i Google.
"Ne bi trebalo biti geolociranja"
"Dakle, ne bi trebalo biti geolociranja, a ni spremanja podataka izvan samog mobilnog uređaja - iako ne znam da li za podlogu koriste tehnologiju koju su ponudile te dvije tvrtke. Ako nisu, postavlja se pitanje da li je uopće potrebno raditi zasebnu aplikaciju obzirom da Google i Apple tu imaju nenadmašnu ekspertizu pa je možda jednostavnije koristiti njihovo rješenje", pita se Schroeder dodajući kako su ipak ona rješenja koja su dobrovoljna te izbjegavaju praćenje lokacije pojedinaca bolja varijanta od nečega što će možda biti preciznije, ali s golemim potencijalom narušavanja privatnosti građana.
Stan Schroeder
"Iz takvih ideja gotovo nikad ne proizađe ništa dobroga"
"Iz takvih ideja gotovo nikad ne proizađe ništa dobroga, čak ni s najplemenitijim namjerama. Praćenje točne lokacije građana ne bi se nikad trebalo događati bez jako opravdanog razloga i sudskog naloga. Kao što rekoh, postoje načini da se nekakva aplikacija za pomoć obrani od pandemije napravi odgovorno, ali to bi trebalo biti bez direktnog praćenja lokacije, na dobrovoljnoj bazi (opt-in) i s otvorenim izvornim kodom da svatko može vidjeti što ta aplikacija zapravo radi", kaže na kraju Schroeder.
Bosanac: Tko će upravljati bazom brojeva osoba koje dojave da su zaštićene?
Gordan Bosanac, član Vijeća za građanski nadzor sigurnosno-obavještajnih agencija, naglašava kako je ova "zadnja verzija" puno bolja od one koja je bila najavljivana.
"Ovo je puno bolje od onog što je vlada prvo predložila jer se temelji na dragovoljnosti i ne daje mogućnost lociranja korisnika, što uvijek ulazi u segment mogućeg prava na privatnost. Ostaje upitno tko će upravljati bazom telefonskih brojeva osoba koje dojave da su zaražene i koliko će ta baza biti zaštićena. Politički, ostaje i pitanje zašto svaka članica razvija svoju aplikaciju, a nije se napravila jedinstvena EU aplikacija", kaže Bosanac za Index.
"Imamo traumu da su se podaci građana zlorabili, a onda se to zataškavalo"
Valja podsjetiti kako je vlada krajem ožujka ove godine izrazila želju pratiti mobitele svih građana zbog epidemije. Tada je htjela dopuniti članak 104 Zakona o elektroničkim medijima tako da se doda kako je "obrada podataka o lokaciji bez prometnih podataka iznimno dopuštena u cilju zaštite nacionalne i/ili javne sigurnosti, i to u slučajevima kada je Vlada Republike Hrvatske proglasila prirodnu nepogodu ili katastrofu, ili kada je ministar nadležan za zdravstvo proglasio epidemiju zarazne bolesti ili opasnost od epidemije zarazne bolesti, u skladu s posebnim propisima, a pri čemu se zdravlje i životi građana bez obrade tih podataka ne bi mogli učinkovito zaštititi". Od praćenja mobitela svih građana na kraju se odustalo, i to u korist ove nove, dobrovoljne aplikacije. No nudi li ova nova predložena aplikacija dovoljnu zaštitu privatnosti?
Gordan Bosanac
"Mislim da mi imamo sasvim u redu zakone koji štite baze podataka, no jednako tako imamo i traumu da su se podaci građana zlorabili od strane pojedinaca i onda se to zataškavalo. Dakle, nemamo demokratsku kulturu čuvanja privatnosti. Koliko god zakoni bili dobri - zločesti pojedinci ih mogu izigrati", kaže Bosanac u razgovoru za Index dodajući kako još uvijek nema sve podatke o tome kako će se izbjeći pohrana u centralnoj bazi, odnosno kako će se pamtiti kontakti drugih pametnih telefona. Na izravan upit imaju li kreatori aplikacije dovoljno znanja da se u aplikaciju implementiraju sve Ustavom zajamčene slobode, Bosanac je oprezan.
"Način kako su izletjeli s prvom aplikacijom mi govori da nemaju dovoljno znanja oko posljedica koje aplikacija može imati na ustavna prava. Nadam se da im je to bila lekcija i da sada pažljivije gledaju sve elemente ustavnosti takve aplikacije", kaže Bosanac na kraju.
Carić: Bitno je odrediti prioritete između javnog zdravlja i privatnosti
Lucijan Carić, IT stručnjak, smatra kako je u ovom slučaju bitno određivanje prioriteta između javnog zdravlja i privatnosti.
"Tu je, naravno, volja i mogućnost države da nametne ili provede takav sustav, pa onda volja i mogućnost građana da ga prihvate ili odbiju. Mislim da u ovoj fazi razvoja epidemije praćenje (potencijalnih) kontakata, uz testiranje, predstavlja glavne epidemiološke alate, sve pod uvjetom da se može razviti pouzdana aplikacija koja bi bila masovno prihvaćana i korištena i koja bi odgovorila na pitanja privatnosti i (zlo)upotrebe podataka građana", kaže Carić u uvodu razgovora za Index.
Lucijan Carić
Carić smatra da što se tiče tehnološke strane implementacije ne bi trebao postojati problem. Postoji cijeli niz tehnologija koje su manje ili više precizne u utvrđivanju lokacije korisnika, kao što je Bluetooth, kojim možemo utvrditi jesu li dva ili više telefona relativno blizu, ili kao što su podaci o spajanju na istu Wi-Fi mrežu, što opet određene uređaje može staviti u interakciju, pa čak i sama prisutnost određenih Wi-Fi mreža u okolini, pojašnjava Carić.
"Nije bilo zabrinutosti za privatnost dok se nije pojavila prijetnja zlom aplikacijom"
"Na kraju postoje podaci o lokaciji koje daje sam telefon te mogućnosti određivanja lokacije uređaja (triangulacija) temeljem njihovog spajanja na bazne stanice. Na temelju podataka o lokaciji mogu se odrediti rizici same lokacije jer sigurno nije isto da li boravite u otvorenom ili zatvorenom prostoru i koliki je taj zatvoreni prostor i s koliko drugih ljudi tamo boravite te koliko dugo. Puno tih parametara zavisi o poznavanju prirode same bolesti i načina širenja zaraze, a ni tu uvijek ne postoji konsenzus i vidjeli smo razne, često i oprečne informacije", smatra Carić te naglašava da bi bilo dobro neke stvari demistificirati. Naime, i sada se, naglašava Carić, u okviru epidemioloških mjera provodi identifikacija oboljelih i potencijalno zaraženih, kao i utvrđivanje i praćenje njihovih kontakata. To radi epidemiološka služba, i to "pješice".
"No oni sigurno znaju sve podatke o tim osobama, brojeve telefona, adrese, mogu imati uvid u njihove zdravstvene kartone i vjerojatno i u druge podatke. Nisu li apoteke provjeravale podatke građana kako bi utvrdile da im ne dolaze osobe koje su inače trebale biti u izolaciji? Policija je provjeravala građane da li poštuju epidemiološke mjere. Čak su i drugi građani (sumnjam da su za to ovlašteni) provjeravali svoje susjede i druge građane, o njima čak širili odvratne laži i neistine. Cijelo vrijeme, koliko se sjećam, bila je mala do nikakva zabrinutost oko privatnosti i prava tih građana. I to je trajalo sve dok se nije pojavila prijetnja zlom aplikacijom", ističe Carić, koji kaže da je velik dio problema u načinu predstavljanja projekta, pri čemu je očit manjak povjerenja građana u sustav, politiku, a i struku.
"Struka se do neke mjere odvratno politizira"
"Struka se nakon početnih uspjeha nepotrebno, čak do neke mjere i odvratno politizira. U takvim uvjetima teško je očekivati ikakav društveni konsenzus, a dovodi se u pitanje i spremnost građana da vjeruju struci te prate i slušaju preporuke struke u budućnosti", smatra Carić, koji povlači paralelu oko cijepljenja, gdje se često opravdana i legitimna pitanja miješaju sa suludim teorijama zavjere.
"Tu se u istu ravan dovode eminentni stručnjaci te razni patološki likovi i needucirane budaletine. No očito sustav nije bio u stanju stati iza odredbi koje propisuje i ponuditi sve oblike sigurnosti građanima, tako da ne ispadne da se nešto samo naređuje već i da se stoji iza tih odredbi, kao i njihovih posljedica - dobrih i loših", kaže Carić na kraju.
Rakar: APIS nema iskustva ni kompetencija da razvija bilo kakvu mobilnu aplikaciju
No na kraju ostaje činjenica da samu aplikaciju radi osporavani i aferama načeti državni APIS, odnosno punim imenom Agencija za podršku informacijskim sustavima i informacijskim tehnologijama. Trgovačko društvo APIS IT d.o.o. osnovano je krajem 2005. ugovorom između vlade RH i Grada Zagreba, kako bi obavljalo poslove "razvoja i podrške ključnim informacijskim sustavima Republike Hrvatske i Grada Zagreba".
>> Potpuna nesposobnost: "Fina i APIS napravili su više štete državnom IT-u nego rat"
Trebali su razvijati aplikativne servise i čuvati informacijske baze, no o APIS-u se više pisalo u kontekstu afera. Jedna od poznatijih je ona o uhljebljivanju SDP-ovaca, a spominjao se i podatak o čak 114 osoba rodbinski ili interesno povezanih s SDP-om. APIS je i česta meta optužbi o krađi glasova, posebno onih referendumskih jer je bio zadužen za brojanje referendumskih potpisa.
U APIS-u se obrađuju i rezultati izbora pa je bilo dosta kritika i na taj račun. Godinama su hrvatski informatičari tvrdili da su više štete državnom IT-ju napravili Fina i APIS nego rat. Isto tako, već godinama se govori da je APIS postao svojevrsna IT kasica-prasica niza podobnih dobavljača koji isporučuju "predimenzioniranu, zastarjelu i preskupu tehnologiju". Upravo takav APIS trebao bi razviti aplikaciju koja ima velik potencijal za zlouporabu privatnosti, što je mnogima uključilo svojevrsni alarm.
Marko Rakar
"APIS IT je trgovačko društvo u većinskom vlasništvu države i sustavi poput porezne i carinske uprave svoj IT su u biti povjerili APIS-u. Također, odlukom vlade, APIS IT je nositelj projekta tzv. CDU - Centar dijeljenih usluga, što je samo malo drugačiji izraz za ono što zovemo računalima u oblaku. Vlada je projekt povjerila APIS IT-ju vjerojatno zato što znaju da tamo ima puno računala pa je onda sigurno APIS kompetentan da izvede i takav projekt iako oni nikada ni za koga nisu proizveli niti jednu jedinu mobilnu aplikaciju", pojašnjava informatički stručnjak Marko Rakar, koji zaključuje da APIS IT nema iskustva ni elementarnih kompetencija da razvija mobilnu aplikaciju za bilo koju platformu pa je stoga odabir da nositelj bude upravo APIS potpuno - nelogičan.