Hvordan embedsmænd etablerer digitalt slaveri for borgere

2024 Forfatter: Seth Attwood | [email protected]. Sidst ændret: 2023-12-16 16:01

Indtil for nylig forekom russerne at digitale pas til at komme rundt i byen var et vildt element i en cyberpunk-dystopi. I dag er det desuden en realitet: Siden i går i Moskva er de blevet obligatoriske for bevægelse med offentlig transport. Hvordan det skete, hvorfor mange lande har skabt digitale kontrolsystemer til borgernes bevægelse, og om en sådan overvågning stopper efter pandemiens afslutning - i nyt materiale fra forskere ved Center for Advanced Management Solutions.

Generel kontekst

Den generelle tendens i landenes reaktion på coronavirus-epidemien er at styrke kontrollen med borgerne. Baseret på analysen af data fra mobiloperatører, banker, retshåndhævende myndigheder beregner staten kontakterne for de inficerede og overvåger også borgernes overholdelse af selvisolering og karantæne. Mange publikationer om dette emne rejser spørgsmål om privatlivets fred og overholdelse af borgernes rettigheder og tegner et dystert billede af et "overvågningssamfund".

Vi har samlet flere episoder af indførelsen af særlige digitale kontrolforanstaltninger i forskellige stater og forsøgt at forstå de risici, som disse foranstaltninger indebærer på grund af det faktum, at adgang til information om borgernes bevægelse og personlige liv gives til flere bureaukratiske afdelinger på én gang.

Israel: politi, efterretningstjenester, sundhedsministeriet

Hvad skete der?

Den 19. marts indførte den israelske regering delvis karantæne i hele landet. Som en del af de midlertidige foranstaltninger et par dage tidligere, den 15. og 17. marts, udstedte myndighederne to nødordrer, der udvidede politiets beføjelser til at foretage ransagninger og tillod den israelske sikkerhedstjeneste (Shin Bet) at bruge digital overvågning til at bekæmpe coronavirus-epidemien ….

Hvem udøver kontrol og hvordan?

Alle borgere i landet, der er smittet med coronavirus, såvel som dem, der er kommet i kontakt med dem, er sat i obligatorisk to ugers karantæne. Inden for rammerne af nødordrer vil politiet som en foreløbig foranstaltning være i stand til at bestemme den aktuelle geolokalisering af disse personer på bekostning af data fra mobilmaster uden yderligere retsafgørelse. Til gengæld vil de særlige tjenester være i stand til at få adgang ikke kun til den aktuelle placering af en person, men også til historien om hans bevægelser. Derudover har det israelske sundhedsministerium udgivet sin egen smartphone-applikation, der løbende opdaterer lokaliseringsdata for inficerede personer modtaget fra retshåndhævende myndigheder og advarer brugeren, hvis han er i nærheden af dem.

På den ene side giver dette ikke kun mulighed for at kontrollere, hvor samvittighedsfuldt en person overholder karantæneregimet, men også at identificere en omtrentlig kontaktkreds med andre mennesker, der også kan blive smittet. Men på den anden side, i normale tider, bruges sådanne "tætte digitale sporings"-teknologier kun til at fange kriminelle og terrorister.

Sådanne ekstraordinære beføjelser fra sikkerhedsstyrkerne vil vare indtil midten af juni - derefter skal alle modtagne data destrueres. Sundhedsministeriet vil dog kunne forlænge opbevaringsperioden for de data, der er indsamlet på denne måde, med to måneder til yderligere forskning.

Sydkorea: Politi og civil selvkontrol

Hvad skete der?

I februar 2020 blev Republikken Korea et af de hurtigst voksende lande for coronavirus-epidemien.

Myndighederne var i stand til ret hurtigt og effektivt at første niveau og derefter reducere hastigheden af spredning af infektionen

Det skyldes blandt andet, at Korea har et væld af erfaringer med at bekæmpe epidemien: I 2015 stod landet over for et udbrud af Mellemøstens respiratoriske syndrom (MERS), hvorefter et helt system af epidemiologiske foranstaltninger blev udviklet. Det afgørende var imidlertid organiseringen af masseudsendelse af meddelelser om hvert enkelt tilfælde af smitte med detaljerede oplysninger om den smittede person (alder, køn, detaljeret beskrivelse af hans seneste bevægelser og kontakter; i nogle tilfælde blev det rapporteret, om personen havde en maske osv.). Sådan forsendelse ville ikke have været mulig uden et kraftfuldt og storstilet system med digital kontrol over sydkoreanske borgeres bevægelser og kontakter.

Hvem udøver kontrol og hvordan?

Der opererer nu flere tjenester i landet, som bruger persondata til at give information om spredningen af coronavirus. For eksempel offentliggør Coroniatas hjemmeside information om det samlede antal tilfælde, samt om de zoner, hvor de største smitteudbrud blev registreret. Den anden ressource, Coronamap, er et kort, der viser hvornår og på hvilke steder alle isolerede tilfælde af infektion blev registreret. Den koreanske regering har også udgivet en officiel smartphone-app til at spore overholdelse af karantæne for inficerede mennesker.

Republikken Korea har en højtudviklet digital infrastruktur, så sporing og verificering af data er ikke et problem for regeringen. For at forbedre nøjagtigheden af analysen bruges der udover data fra mobiltårne og GPS data om transaktioner foretaget med bankkort, by-videoovervågningssystemer og ansigtsgenkendelsesteknologier.

En sådan tvungen "åbenhed" viser på den ene side sin effektivitet med hensyn til at begrænse epidemien, men fører på den anden side til negative sociale virkninger. Ud over at de smittede selv føler en følelse af konstant overvågning, falder andre - "tilfældige" - også ind i kontrolzonen.

Da hvert tilfælde af infektion vises på et kort, er nogle koreanere, selv ikke inficerede, men svarende til de sporede "punkter", underlagt offentligt pres.

Således slutter proaktive koreanske borgere sig til politi og embedsmænd i digital overvågning af hinanden.

Alternativ: Polen mod Europa-Kommissionen

I Den Europæiske Union dukkede en af de første ansøgninger om overvågning af borgere, der skal overholde en 14-dages karantæne, op i Polen. Myndighederne kræver, at applikationen installeres af raske borgere, der er kommet i kontakt med smittede eller potentielt smittede personer, samt alle, der vender tilbage fra udlandet. Siden begyndelsen af april er installationen af applikationen blevet lovpligtig.

Home Quarantine-applikationen (Kwarantanna domowa) sender tilfældigt en notifikation flere gange om dagen med krav om at uploade dit eget billede (selfie) inden for 20 minutter. Ifølge den polske regerings hjemmeside kontrollerer applikationen brugerens placering (ved GPS) og bruger også ansigtsgenkendelse. Hvis ønsket om at uploade et billede ikke imødekommes, kan politiet komme til adressen. I henhold til forordningen vil Digitaliseringsministeriet opbevare personoplysninger om brugere i 6 år efter deaktivering af applikationen (i henhold til Civil Code), med undtagelse af billeder, der slettes umiddelbart efter, at kontoen er deaktiveret.

Ud over Polen er deres egne applikationer dukket op eller begyndt at blive udviklet i andre europæiske lande, for eksempel i Østrig (med deltagelse af det lokale Røde Kors), Frankrig, Irland og Tyskland.

På den baggrund foreslog Europa-Kommissionen at lave en paneuropæisk ansøgning om sporing af spredningen af coronavirus i overensstemmelse med særlige anbefalinger for udviklingen heraf baseret på loven om beskyttelse af personoplysninger i EU

Blandt de listede principper for den fremtidige applikation er effektiviteten af at bruge data fra et medicinsk og teknisk synspunkt, deres fuldstændige anonymitet og kun brug til at skabe en model for spredning af virussen angivet. For at reducere risikoen for lækage af personlige data bliver applikationsudviklere nødt til at overholde princippet om decentralisering - oplysninger om en inficeret persons bevægelser sendes kun til enheder af personer, der potentielt kan kontakte ham. Separat blev det understreget, at de foranstaltninger, der tages, skal være berettigede og midlertidige.

Fristen for indsendelse af forslag til gennemførelse af disse tiltag er den 15. april. Derudover skal EU's medlemslande senest den 31. maj informere Europa-Kommissionen om de foranstaltninger, der er truffet, og stille dem til rådighed for peer review af EU-medlemmerne og Europa-Kommissionen. Europa-Kommissionen vil vurdere de opnåede fremskridt og vil med jævne mellemrum offentliggøre rapporter fra juni med yderligere anbefalinger, herunder fjernelse af foranstaltninger, der ikke længere er nødvendige.

Rusland: Ministeriet for telekommunikation og massekommunikation, mobiloperatører og regioner

Hvad skete der?

Fra slutningen af februar til begyndelsen af marts, efter indførelsen af foranstaltninger til at modvirke spredningen af coronavirus, dukkede de første tilfælde af styrkelse af kontrollen over befolkningen ved hjælp af tekniske midler op i Rusland. Ifølge Mediazona kom politibetjente til karantæneovertræderen med et fotografi, sandsynligvis taget af et kamera, som var forbundet til et ansigtsgenkendelsessystem. Mikhail Mishustin instruerede ministeriet for tele- og massekommunikation til inden den 27. marts at oprette et system til sporing af kontakter til patienter med coronavirus-infektion baseret på data fra mobiloperatører. Ifølge Vedomosti virkede dette system allerede den 1. april. Parallelt hermed begyndte de konstituerende enheder i Den Russiske Føderation at udvikle deres løsninger. I Moskva lancerede de i begyndelsen af april et overvågningssystem for patienter med coronavirus ved hjælp af applikationen Social Monitoring og forberedte også indførelsen af pas med særlige koder (dekretet om deres introduktion blev underskrevet den 11. april). I Nizhny Novgorod-regionen, den første af regionerne, blev kontrol med QR-koder introduceret, i Tatarstan - via SMS.

Hvem udøver kontrol og hvordan?

Digital kontrol dækker hovedsageligt borgere, der er smittet eller er i officiel karantæne. For at spore deres bevægelser anmoder ministeriet for tele- og massekommunikation om "data om numre og datoer for hospitalsindlæggelse eller dato for karantæne." Disse data overføres til mobiloperatører, som overvåger overholdelse af karantænebetingelserne. Overtræderen af vilkårene modtager en besked, og ved gentagen overtrædelse overføres dataene til politiet. Ifølge Vedomosti vil ansvarlige embedsmænd i de konstituerende enheder i Rusland indtaste data i systemet. Samtidig mener Roskomnadzor, at brugen af numre uden at angive adresser og navne på abonnenter af mobiloperatører ikke overtræder loven om personoplysninger.

Ud over disse foranstaltninger overvåges patienters geolokalisering i Moskva ved hjælp af applikationen Social Monitoring installeret på smartphones, der er specielt udstedt til borgere. For at bekræfte informationen om, at brugeren er hjemme, ved siden af telefonen, kræver applikationen med jævne mellemrum, at der tages et billede

Ifølge lederen af Moskva-afdelingen for informationsteknologi (DIT) er overførslen af data om brugeren reguleret af en aftale, som han underskriver, når han vælger muligheden for behandling i hjemmet. De gemmes på DIT-servere og slettes efter karantænens ophør. Derudover udøves kontrol over alle biler af dem, der er forpligtet til at sidde i officiel karantæne (patienter og deres pårørende), samt gennem byens videoovervågningssystem.

Den 11. april underskrev Moskvas borgmester et dekret om indførelse af digitale pas til rejser i Moskva og Moskva-regionen med privat og offentlig transport. Passerne begyndte at blive udstedt den 13. april og blev obligatoriske den 15., de kan fås på hjemmesiden for Moskvas borgmester, via SMS eller ved at ringe til informationstjenesten. For at udstede et pas skal du oplyse personoplysninger, herunder dit pas, bilnummer eller offentlig transportpas (Troika-kort), samt arbejdsgiverens navn med TIN eller rejserute. Passet er ikke påkrævet for at bevæge sig rundt i byen til fods, underlagt de tidligere indførte restriktioner.

Passer til at kontrollere borgernes bevægelser er også blevet indført i andre russiske regioner:

Den 30. marts underskrev guvernøren for Astrakhan-regionen Igor Babushkin en ordre om særlige pas under karantænen. Den 13. april blev en elektronisk platform til udstedelse af pas lanceret i regionen. Ansøgninger indsendes på en særlig hjemmeside, et pas med QR-kode sendes til ansøgers e-mail. Guvernøren pålagde også at kontrollere de tidligere udstedte pas i henhold til de lister, som organisationerne havde stillet til rådighed.

I Saratov-regionen blev der den 31. marts indført et passystem. I første omgang blev det bestemt, at pas til arbejdende borgere udstedes i papirform med behov for certificering i forvaltningerne. Allerede den første dag førte det til køer, som følge heraf blev lanceringen af adgangssystemet forsinket. Den regionale regering tilføjede muligheden for at få adgangskort elektronisk. Indførelsen af passene blev udsat yderligere to gange.

Den 31. marts godkendte Tatarstan proceduren for udstedelse af tilladelser til bevægelse af borgere. Tilladelser udstedes ved hjælp af en SMS-tjeneste: Først skal du registrere dig og modtage en unik kode, derefter indsende en anmodning for hver bevægelse. Dekretet definerer de tilfælde, hvor der ikke kræves tilladelse. For arbejdende borgere udleveres en attest fra arbejdsgiveren. Efter lanceringen blev der foretaget ændringer i tjenesten: Den 5. april var listen over data, der kræves til registrering, begrænset, og den 12. april blev intervallet mellem udstedelsen af tilladelser øget for at bekæmpe misbrug af systemet.

I Rostov-regionen blev kravet om udstedelse af certifikater til ansatte i organisationer, der fortsætter med at operere under epidemien, indført den 1. april af guvernør Vasily Golubev. Den 4. april blev kontrollen over biler ved indkørslen til Rostov ved Don skærpet, hvilket førte til mange kilometers trafikpropper. Den 7. april rapporterede Rostovgazeta.ru, at de regionale myndigheder overvejer muligheden for at indføre et "smart pass".

I Nizhny Novgorod-regionen blev kontrolmekanismen godkendt ved dekret fra guvernøren Gleb Nikitin den 2. april. En ansøgning om et pas foretages ved hjælp af tjenesten "Kort for en beboer i Nizhny Novgorod-regionen" på et særligt websted eller gennem en mobilapplikation til Apple-enheder, såvel som ved at ringe til helpdesk. Efter behandling af ansøgningen modtager ansøgeren et pass i form af en QR-kode til en smartphone eller et ansøgningsnummer. For juridiske personer er der en procedure for udstedelse af bekræftelser på, at de kan operere på arbejdsfrie dage på grund af epidemien.

Den 12. april, på baggrund af skabelsen af forskellige digitale løsninger til adgangskontrol på regionalt niveau, lancerede ministeriet for telekommunikation og massekommunikation i Den Russiske Føderation den føderale applikation "State Services Stopcoronavirus" (tilgængelig til Apple- og Android-enheder) i et testformat. Ifølge ministeriet kan ansøgningen tilpasses forholdene i en bestemt region, bortset fra Moskva, hvor en anden løsning er gældende (se ovenfor). Uden de relevante afgørelser fra de regionale myndigheder er ansøgningen fra ministeriet for tele- og massekommunikation ikke obligatorisk. Den første region, hvor denne løsning vil blive brugt, vil være Moskva-regionen - det meddelte guvernør Andrei Vorobyov om aftenen den 12. april.

Vil staten beskytte personoplysninger?

Kommentar af informationssikkerhedsspecialist Ivan Begtin

Den europæiske tilgang til at forsøge at imødekomme lovkrav til databeskyttelse er generelt korrekt. EU er mere opmærksomme og ressourcer på disse spørgsmål end i Rusland. Men vi må forstå, at ingen er beskyttet mod problemet med datalækage, primært på grund af den menneskelige faktor. Der har allerede været fortilfælde, for eksempel vælgerdatalæk i Tyrkiet, sager med private virksomheder. Nu, når systemer er skabt på flugt, vil jeg ikke udelukke en sådan mulighed. Med data fra "Gosuslug" er dette endnu ikke sket, men måske har alt sin tid.

Årsagerne kan variere. Lad os sige manglen på sikkerhed i en database, der er fjernadgang til. Hackere eller sikkerhedsspecialister kan opdage dette og få alle oplysningerne. Der er særlige tjenester Censys og Shodan, der bruges til at søge efter sådanne tekniske sårbarheder.

En anden mulighed er, når data misbruges med direkte hensigt. Det vil sige, at folk, der har adgang til databaser, bruger dette til at udtrække fordele.

Det giver mening at overvåge forskellige tjenester for at "slå igennem" mennesker. I Rusland, for eksempel, er der omkring fem sådanne tjenester, der tilbyder en service til at tjekke folk

Det vil sige, at det ikke er nødvendigt, at hele databasen bliver slået sammen, men personer, der har fjernadgang til den, kan "punche" folk og sælge disse oplysninger. Dette kan gøres af embedsmænd, entreprenører, der deltog i oprettelsen af disse systemer. Det vil sige folk, der har adgang til dem. I Rusland er dette ret almindeligt: Hvis du søger på internettet efter "punching"-tjenester, kan du finde en masse. Ofte er dette data fra indenrigsministeriet, færdselspolitiet, Federal Migration Service og andre statslige organisationer.

Frygt for, at staten kan opretholde infrastrukturen for kontrol over borgerne, er ikke ubegrundet. I princippet vil alle, der indsamler data, ikke skille sig af med dem. Det samme er med sociale netværk: Hvis du kommer dertil, forbliver information om dig højst sandsynligt stadig der, selvom du har slettet din konto. Offentlige tjenester har en meget bred interesse i at indsamle data om borgere og vil drage fordel af den nuværende situation. Samtidig forpligter de sig, herunder under pres fra offentlige organisationer, offentligt til at slette dataene efter pandemiens ophør. Men alligevel er motivationen for at bevare denne infrastruktur meget høj hos de offentlige myndigheder.

Hvorfor sker det?

For at sikre kontrol over spredningen af epidemien handler offentlige myndigheder i forskellige lande på samme måde: de udvider deres værktøjer til at spore borgernes bevægelser og kontakter. Sådanne yderligere foranstaltninger går ud over, hvad der anses for acceptabelt i almindelige tider, men disse handlinger fra regeringer har mødt lidt modstand fra borgerne. Dette kan forklares med begrebet politisk securitisation.

Securitisation er et begreb, der oprindeligt er opfundet af Copenhagen School of Security Studies Barry Buzan, Ole Wever og Jaap de Wilde. I en bog fra 1998 definerer de securitisation som "en handling, der tager politik uden for de etablerede spilleregler og præsenterer spørgsmålet som noget over politik." Securitisation begynder med, at en aktør (f.eks. politisk leder, regering) bruger termer relateret til sikkerhed, trussel, krig osv. inden for almindelig diskurs, og publikum accepterer denne fortolkning. Succesen med en securitisation består af tre elementer:

brugen af "sikkerhedsgrammatik" når man præsenterer et spørgsmål - det vil sige på sprogniveau, præsentere det som en eksistentiel trussel (i tilfælde af en coronavirus-epidemi er det f.eks. brugen af militariseret ordforråd og sammenligning af kampen mod den ene række med landets historiske forsøg);

skuespilleren har betydelig autoritet, så publikum opfatter hans fortolkning og "indtrængen i diskursen" (landets ledelse, læger, WHO);

forbindelsen mellem den nuværende trussel og noget i fortiden, der virkelig udgjorde en sådan trussel (erfaringen fra tidligere epidemier, herunder historiske, f.eks. pesten i Europa, bidrager til opfattelsen som sådan af den nuværende epidemi).

Den globale opmærksomhed på coronavirus-problemet tjener også som et eksempel på securitisering: meningsmålinger i Rusland og andre lande viser en stigning i frygten for epidemien.

Samfundene accepterer fortolkningen af securitiseringsaktører og legitimerer derved en afvigelse fra de sædvanlige regler for at bekæmpe truslen, herunder indførelse af særlige digitale kontroller, der generelt krænker vores privatlivsrettigheder

Fra et krisestyringsperspektiv har securitisering klare fordele. Indførelsen af nødforanstaltninger kan fremskynde beslutningstagning og implementering og reducere de risici, som truslen udgør. Securitiseringsprocessen er dog forbundet med negative konsekvenser både for det offentlige forvaltningssystem og for hele samfundet.

For det første reducerer indførelsen af nye nødforanstaltninger myndighedernes ansvarlighed. Under en krise kan instrumenterne til civil kontrol, herunder over nye sikkerhedsforanstaltninger, være begrænsede eller simpelthen endnu ikke bygget. Manglende ansvarlighed øger sandsynligheden for både utilsigtede fejl og bevidst misbrug fra menige embedsmænd. Et eksempel på dette er amerikanske efterretningsofficers krænkelser, som er kendt takket være lækagen organiseret af Edward Snowden. Ved at bruge digitale kontrolværktøjer, der faldt i deres hænder, brugte en række NSA-medarbejdere dem til at udspionere deres ægtefæller eller kærester. Derudover misbrugte FBI i samme periode adgang til NSA-data vedrørende amerikanske statsborgere, i mange tilfælde uden tilstrækkelig juridisk begrundelse.

For det andet er securitiseringen af ethvert spørgsmål behæftet med risikoen for, at nogle af de foranstaltninger, der er indført i nødstilfælde, ikke vil blive annulleret umiddelbart efter afslutningen af kriseperioden og normaliseringen af situationen

Et eksempel på dette er Patriot Act, vedtaget i USA i oktober 2001 efter 9/11-angrebene, som udvidede regeringens mulighed for at spionere på borgerne. Handlingsvilkårene for mange bestemmelser i loven skulle udløbe fra udgangen af 2005, men i virkeligheden blev de gentagne gange forlænget – og loven med ændringerne har overlevet den dag i dag.