Törölték a decentralizált protokollt a koronavírus nyomon követési oldalról

A páneurópai adatvédelem-megőrző kontakt nyomonkövetési (PEPP-PT) konzorcium értesítés nélkül törölte honlapjáról egy decentralizált adatvédelmi protokollt (DP3T). Az egyesület feladata az lenne, hogy az Európai Unió adatvédelmét maximálisan tiszteletben tartó vírus kontakt nyomonkövetési rendszert dolgozzon ki. 

Mióta a koronavírus járvány kitört, több ország is azzal kísérletezik, hogy az emberek mozgását valamilyen szinten megfigyelje. Ezzel a módszerrel akarják a járvány terjedését kordában tartani. A nyomkövetési megoldások nagy része, mint a közösségi média vagy a mobiltelefonok megfigyelése, nem igazán veszi figyelembe az állampolgárok magánélethez való jogát. Több szervezet egy olyan rendszert szeretne kifejleszteni, amely a magánéletet tiszteletben tartva, a fertőzötteket követné nyomon és erről értesítést küldene a vele kapcsolatba kerülő embereknek. Az egészségügyi hatóságok így azonnal tudnák, hogy kik kerültek a koronavírussal fertőzött egyénhez közel, így azokat le tudnák tesztelni, illetve karanténba tudnák zárni.

A GDPR tiszteletben tartása

Akármilyen megoldás is születik a fertőzött esetek megfigyelésére, annak meg kell felelnie az unió általános adatvédelmi rendeletének, közismert nevén GDPR-nek, amely fokozottabb adatvédelmet biztosít az uniós állampolgárok számára.

A DP3T csoportot, amely elvileg a decentralizált adatvédelmi protokollért felelt volna, értesítés nélkül eltávolították a projekt weboldaláról. Pénteken az PEPP-PT videokonferenciára sem hívták meg őket.

Reggel láttuk meg, eddig viszont nem kaptunk visszajelzést tőlük”, nyilatkozta a DP3T.  „Vannak azonban más olyan változtatások is, amelyek erősen centralizált szagúak. Nem tudjuk mit jelent az, amikor a német kormány azt mondja, hogy egy PEPP-PT szerkezet megvalósítását tervezik. Jelenleg ugyanis nincs is ilyen. Nagyon aggasztónak tűnik az, hogy úgy hozhatnak létre valamit, hogy azt nyilvánosan nem vizsgálta senki felül”, tette hozzá a DP3T csapata.

Az egyelőre nem világos, hogy hogyan is nézhet ki a PEPP-PT protokoll, mivel a konzorcium weboldalán az általános iránymutatások felsorolásán kívül semmilyen konkrét javaslatokkal nem álltak elő.

Több kutató szerint „a központosított megközelítés több adatvédelmi kockázatot hordoz, az adatokat más célokra is felhasználhatják, például állami megfigyelésre.”

Emiatt a DP3T protokoll tervezői azt mondják, hogy egy decentralizált rendszer kiépítésével elnyerhetnék az állampolgárok bizalmát. Sokkal többen töltenék le az applikációt mobiltelefonjaikra, így a protokoll működése is hatékonyabb lenne. Minél többen használják, annál jobban követhetőek és kiszűrhetőek lennének a COVID-19 pozitív esetei.

Németország saját applikációt használna

Egyes médiumok szerint Németországban a kormány hamarosan elindít egy hasonló alkalmazást, de azt még nem tudni, hogy pontosan milyen applikáció is lesz az. A Healthy Together alkalmazás, amely a PEPP-PT elképzelésen alapul az egyik lehetséges alternatíva. Az applikáció nem földrajzi helymeghatározási adatokat tartalmaz, hanem Bluetooth érintkezés nyomkövetést használ.

Linus Neumann a Chaos Computer Club, a legnagyobb európai hacker hálózat egyik tagja azt nyilatkozta, hogy az alkalmazás névtelenségét minimális változtatásokkal ki lehet iktatni. Kenneth Paterson, aki az ETH Zürich Informatikai Tanszék alkalmazott kriptográfiai csoportjának professzora és maga is a DP3T javaslatán dolgozik, azt mondta, hogy fogalma sincs milyen PEPP-PT létrehozásán munkálkodnak.

„A rendszert lezárták, így a külső szakértők nem tudják azt felülvizsgálni. Nem tudjuk megnézni a specifikációt. Nem tudjuk megnézni a kódot. Tehát a rendszer tele lehet hibákkal. Lehet, hogy van egy biztonsági ajtó, de azt senki sem tudja megmondani a zárt csoporton kívül. Ez az adatvédelem poklát nyithatja meg, amely lehetővé tenné a kormányok számára azt, hogy úgynevezett társadalmi grafikont hozzanak létre mindenkinek, aki az alkalmazást letölti. Azaz triviálisan kitalálhatnák, hogy ki kinek a közelében is van.”

Az alkalmazás ugyanakkor csak akkor nyújthatna valós segítséget a koronavírus járvány megállításában, ha a lakosság legalább 60%-a letöltené azt. Ha viszont ez megtörténne, a kormányok számára kész kánaán lenne, hiszen több tíz millió európai állampolgár adataihoz férhetnének hozzá. A koronavírus járvány megfékezése címszó alatt már így is sok piszkos dolgot lenyomtak a kormányok a lakosság torkán, egy ilyen jellegű alkalmazás már csak hab lenne a tortán.