Стефан Генчев е на 21 години и учи в Техническия университет в Мюнхен, а освен това работи в сферата на информационната сигурност. Той ясно отчита, че точно тази ниша създава все по-екзистенциални въпроси в ежедневието ни, обвързано с купища данни, които масово неглижираме – къде ги предоставяме, кой ги обработва и как могат в даден момент да се върнат срещу нас. Но ако нещо би могло да намали риска, то това е именно песимистичният подход.

Разбрах за теб като проучвах млади хора, иноватори, занимаващи се с “privacy” темата и така попаднах на твоя проект My ePass. Можеш ли да разкажеш малко повече за него?

My ePass е от 2016 г. и представлява проект за дигитална самоличност, която да може да се използва из целия свят с различни партньори от различни държави, като основната цел тогава бе да се създаде инфраструктура, която е сигурна и започва с “privacy by design” – функционалността да не трябва да бъде ограничавана от сигурността. Това означава добър баланс между privacy, usability и security. Взех награда за този проект на национално ниво в Германия, като в момента продължавам да го разработвам.
My ePass се състои от редица документи за информационна сигурност. Целта ми е да мога да формализирам най-добрите практики и те да се превърнат в минимален стандарт. Така всеки който участва в мрежата на тази дигитална самоличност спазва минимални нива на информационна сигурност и privacy.

Казваш, че продължаваш да го разработваш. Имаш ли срокове и какви са крайните ти цели? За последните четири години малко по малко си работил върху този софтуер, предполагам…

За съжаление, работя по-малко отколкото ми се иска. Някак бе трудно да съчетая проекта с другите ангажименти като училище, матури, университет и работа. Въпреки това, давам всичко от себе си да продължа – ако не конкретно по този проект, то поне в тази посока – механизми, които да помогнат на проекта. В момента идеята ми няма как да се реализира, защото липсват определени стандарти за сигурност, върху които се опитвам да работя. Липсват и определени технологии. В началото на проекта аз направих минимална документация за даден механизъм за сигурност, но ако само аз го използвам или ако само дадена мрежа го използва, то би било безсмислено да говорим за международно развитие на проекта. Изисква се идеите да се превърнат в нещо повече, а на първа степен те трябва да се формализират в документ, така че да има обсъждане. В момента основно се занимавам с дейности по осъществяването на такива документи, които след това да се превърнат в стандарти или в по-песимистичен случай – в доброволен framework.

Спомена, че съчетаваш киберсигурност и privacy. Можеш ли да разкажеш малко повече на нашата аудитория за този процес? Как се получава и какви са пресечните точки между двете – privacy и киберсигурност?

Изключително важно е информационна сигурност и privacy да работят заедно. За да осигурим privacy на потребителите, трябва да предприемем както организационни, така и технически мерки, така че да се предотврати неоторизиран достъп до данни. Едновременно имаме технически аспекти – криптографски, мрежови и т.н., така че да предотвратим различни атаки. Но също така и организационни – с много ясно дефиниране на това кой има достъп и до какви данни. Трябва да се минимизират хората, които имат достъп до потребителски данни, така че те да са на разположение на тези, които наистина работят с тях. В една организация трябва да се дефинират именно тези процеси – какви данни се събират, кой работи с тях, кой се нуждае от тях.

Какви са рисковете за потребителските данни и кои са лошите сценарии? Хвърлят се много усилия в тази насока и това е един сериозен казус.

Аз основно защитавам тезата, че когато използваме интернет винаги трябва да сме песимисти. Когато въведем данни в даден уебсайт или приложение, трябва да сме готови, че тези данни ще бъдат публикувани и ще станат обществено достояние. Виждаме как всеки ден огромни бази данни на големи компании биват компрометирани. Преди месец един от най-големите доставчици на услуги в Тайланд бе ударен от подобна атака, защото се оказа, че базата данни е била оставена отворена в интернет, без необходими мерки за сигурност. Именно с този песимизъм е най-добре да преценим, дали всъщност трябва да въвеждаме дадени данни. Наистина ли този сайт има нужда от моя адрес, телефон и т.н. Ние не знаем какви са информационните мерки за сигурност. Може да се случи, че този даден сайт също е оставил базата отворена и чака някой да я открие. Смятам, че това е правилния подход от страна на потребителите – да не споделят ненужна информация, да се замислят два пъти, особено когато става въпрос за по-чувствителни данни и да подхождат с известно съмнение. Да кажем, че снимка от плажа няма да има голяма стойност, но можем да се сетим за много други случаи, в които би било критично данни да достигнат обществено достояние.
В най-добрия случай някой етичен хакер ще ги намери и ще информира организацията да затвори дупката в сигурността си, но има и най-лошият случай, в който данните биват публикувани. Това е от страна на потребителя, но съществува и друга страна – тази на доставчиците на интернет услуги. Те трябва да си казват “нужни ли са ни всички тези данни, за да предоставим услугата”. Колкото по-малко събират, толкова по-малък риск поемат при евентуален случай на теч. Другото е, че дори когато събираме данни трябва да сме готови, че между редовете също може да изтекат чувствителни данни. Ако дадено приложение изисква качване на снимка. Дали в тази снимка не са останали данни от локацията, на която е направена? Дори приложението да не изисква локация на снимката, не можем да сме сигурни дали самата снимка не качва със себе си такива. Тук можем да вземем например журналисти, които по този начин могат да разкрият свои източници. В крайна сметка има мета данни, които са опасни.
Друг въпрос, който трябва да си зададем е – ако сме потребители в дадени платформи и сайтове, но не ги използваме от две години – трябва ли тези наши профили да съществуват? Можем просто да ги изтрием ако няма да ги използваме.

А можем ли да кажем, че хората са небрежни при съхраняването на данните си? Не ползваме дадена банка от 5 години, но не закриваме сметката си, например. Достатъчно ли сме информирани относно това, което се случва с информацията за нас?

За да са небрежни хората, те трябва да знаят риска и да го игнорират. Докато аз смятам, че по-скоро в голяма част, хората наистина не са достатъчно информирани, че данните им могат да бъдат компрометирани във всеки един момент. Наясно сме, че оставяйки данните си в големи компании като Facebook и Google, би трябвало да са сигурни, защото при тях защитата е голяма. И все пак виждаме случаи, като миналогодишния бъг в Gmail. Това означава, че дори и при най-големите играчи не можем да бъдем сигурни, че данните ще останат недокоснати. Имам впечатлението, че насам-натам се дават всякакви данни и единствено мога да си го обясня с липсата на представа до какво може да доведе това. Донякъде съществува идеята в медийното пространство в западните държави, че човек, който не е извършил престъпление, няма какво да крие. Това за мен е фундаментално грешно, защото всички имат право на лично пространство, което да бъде гарантирано. Може да няма какво да криеш, но след време да съжалиш, че си дал някаква информация. Трябва да има мисъл за бъдещето, защото ако кача нещо с принципа на песимизма, който споменах, то трябва да приема, че тази информация никога няма да напусне интернет. Все някой уебсайт или архивна услуга, или back up на фирма ще са направили копие някъде. Актът на изтриване на снимка от дадена услуга не е толкова проста. Поради тази причина трябва да има по-добри информационни кампании. Нищо не е толкова сигурно, колкото си мислим.

При закупуване на криптовалута от сайтове и платформи, се изисква снимка на лична карта, в която има доста информация. Необходимо ли е и няма ли как да е по-просто?

Това строго зависи от законите и регулациите на съответната страна в която оперира този сайт за криптовалути. Ако са длъжни по закон, тъй като предлагат банкови услуги, то те не могат да се откажат да изискват снимка. Ако го правят на доброволни начала обаче, е изключително грешна и лоша практика. Но в доста услуги се изисква човек да удостовери самоличността си. В Германия има услуга, която ти издава ваучер с код. След това отиваш с този код до най-близката пощенска станция и удостоверяваш пред немските пощи самоличността си. Това значи, че личната карта не достига до крайния доставчик на услугите. Просто немските пощи потвърждават самоличността и казват “да” на услугата.
Това е добър механизъм за предотвратяване на теч на данни. Защото е много по-добре да се инвестира в информационна сигурност в една организация, отколкото в много фирми, които нямат бюджет или желание да се занимават с това.

Казусът със съхранението на user data е повече технологичен или повече законов според теб? В крайна сметка има регулации, норми, закони, но ежедневно изтича много информация – доколко тези закони въобще успяват да свършат работа?

Смятам, че всяка организация трябва да се подготви, че все някога ще има теч на данни от нея. Поне практиката показва, че това би бил легитимен принцип на действие. Не дали ще ни хакнат, а кога? В информационната сигурност, не е само да предотвратим това да се случи, но също и какво да направим ако се случи. Ако един сървър е компрометиран, не би трябвало атаката толкова лесно да се разпространи в цялата мрежа на организацията. Поне когато съществуват регулации и закони, най-доброто, което фирмите могат да направят е, да се замислят как съхраняват данните, къде се намират физически и какво става ако точно този сървър бъде атакуван. Точно този процес на организация на информацията в една фирма е доста по-важен, отколкото тя единствено да каже, че спазва закона.
В момента всички използваме умни часовници, таблети, телефони, компютри, IoT устройствата все повече навлизат.

Все по-трудно става да сме необезпокоявани в дигиталното пространство. В тази насока, какви са предизвикателствата пред киберсигурността за опазване на личните данни? Информацията става все повече…

Действително. Дори все повече типове данни започват да се събират. Баналният пример за лични данни е име, фамилия и дата на раждане, но те дори са сравнително публични. Но например данни за локацията ни – в 18 часа сме на едно място, в 21 на друго. Пример със снимките – много е удобно всяка снимка да пази данни за локацията, на която е направена. Но напълно необходимо ли е да правим всяка снимка с тази настройка? Дори когато сме събрали тези данни се изисква особено внимание. Трябва да внимаваме тези снимки да не напускат устройството, но и това не може да стане, тъй като всички искаме ако си загубим телефона, да можем с back-up да възстановим информацията. Ако ги качваме в облак, трябва да сме напълно убедени, че организацията е взела необходимите мерки.
По-добре да не събираме чувствителни данни, защото шансът да успеем на 100% да ги опазим, клони към нула. Винаги има нещо, което да се пропусне. Може да са много прости грешки, които да имат огромни последици. Да не забравяме и zero-day атаки, в които не можем да направим абсолютно нищо.

Каква е изгодата на тези големи организации, които събират милиони бази данни? Търгуват ли с тях? Или да го поставим така – ако ми откраднат банковите данни би било гадно. Но данни като локация – кому е нужно да знае къде съм бил? Освен ако не са хакнали наистина важна информация за мен, защо е нужно да се търгува с имейла ми, с адреса ми и т.н.?

Понякога трябва да се замисляме, че безплатен обяд няма. Услуги, които се предлагат безплатно, костват пари. Сървърите изискват грижа – цялата инфраструктура, за да бъде поддържана изисква много средства. Когато за крайния потребител услугата е безплатна или има малко реклами, или няма реклами, то тогава трябва да се замислим как тази компания получава парите, които получава? Така че не само да покрива разходите си, но и да е на плюс. Често пъти това се случва с данните на потребители. Най-лошото което може да се случи е препродаване и размяна на данни. Но ако данните отидат от по-сигурен играч в по-несигурен? Ако бъдат продадени на организация, която иска да ги използва за статистически цели, няма лоши намерения, но не взима съответните мерки за сигурност? Тогава може да стигне до кражба на самоличност с цел извършване на измами и престъпления. Колкото повече данни се събират за един потребител, толкова по-лесно става за измамниците да се представят за нас. Ако имат повече имейли, те могат да видят как се обръщаме към хората, какъв е стилът ни на писане, така че да е трудно друг човек да направи разликата. Друг лош случай е тренирането при machine learning с цел расово профилиране или лицево разпознаване. При теч на данни, в които се събират много снимки и особено когато те са в хронологичен ред – потребител е използвал услугата пет години, то тогава това са перфектни данни да се проследи как лицето ни се променя с годините. Следователно софтуерът за лицево разпознаване може да бъде използван с недобри цели – да кажем Китай.

Смяташ ли за потенциално опасно това, че социалните мрежи използват данните на своите потребители за обучение на системи за изкуствен интелект и машинно обучение, расово и психологическо профилиране? Колко е опасно това?

Изключително опасно е, особено когато говорим за deep fake клипове. Появява се даден човек и прави изявления, които никога не би направил. Това се дължи на факта, че този клип е изкуствено създаден. Това е голяма опасност за демокрацията – появяването на deep fake видеа. Разбира се, те трябва да бъдат тренирани с достатъчно данни. Но като цяло събирането на информация в такива мащаби е изключително нездравословно и не смятам, че фирмите, които ги събират, наистина се нуждаят от тях. Дори трябва да кажем, че най-безопасният начин за използването на нашите данни е да ни таргетират за реклами. Това се случва в много сайтове, които използват даден скрипт на Adwords, например. Те записват какви са ни интересите, кои сайтове посещаваме и т.н. Честно казано почти скрито от обществото се събират много данни и може би в даден ден ще се появи по-голяма заплаха, която в момента не можем да си представим, но която именно се базира на големи количества данни.

Като говорим за deep fake, видяхме наскоро клипа, който излезе с Илон Мъск и съветската музикална група. Изглеждаше доста успешно, а можем да си представим колко още ще се избистря качеството. В даден момент може би въобще няма да има разлика.

Абсолютно. Но това дори е безобидно използване на deep fake. В ерата на алтернативни факти, които биват представяни от определени държавни глави, какво се случва, когато deep fake се използва за политически цели? Когато се използва с цел президентът на нацията да направи абсурдно обръщение, което обаче да афектира хората. Това потенциално може да се развие в нещо много опасно и трябва да внимаваме. Дори не знам накъде отиваме. Но няма как да го предотвратим – не можем да спрем развитието и да премахнем разработчиците, които работят по тези технологии. Дори и регулации не винаги помагат.

Те дори много често се заобикалят, така или иначе…

Бих искал да добавя нещо тук. За обществото в Германия, тъй като имам досег. Поради исторически причини, германците държат много на личното си пространство. Не дават доброволно данни, много малко хора имат социални медии, винаги слагат под лупа всички услуги, които изискват лични данни от тях. Като цяло има много добра представа кое е здравословно предоставяне на данни и кое не. Точно това се надявам да бъде постигнато и в други държави.

В България май не е така?

В Германия имат насоки по тази тема още от училище. Активно се правят дискусии за лично пространство, за лични данни и т.н. В други страни не ми е правило впечатление да се коментира толкова. Логиката е, че не трябва да съм автоинженер, за да мога да използвам сигурно автомобил. По същата логика потребителите не трябва да са експерти по информационна сигурност или privacy, за да могат сигурно да използват дадени услуги. Те просто трябва да знаят какви са рисковете.

Бих казал, че в България не се учат такива неща и не се говори. Може би в някои гимназии, занимаващи се с ИТ, но в масов план – не. Дори самите учители не са навлезли в новия век, камо ли да знаят какви са рисковете, така че да ги обяснят на децата. А както знаем, децата бленуват за телефони и умни устройства и още от ден първи изтеглят всевъзможни игри, приложения, платформи и т.н. Следователно, на всичко кликват “agree”. Поради това, много е хубаво, че в Германия се занимават и информират децата още от малки. Дори не само за личните им данни, а и за безопасността им, защото се появяват доста игри, завършващи със смърт. Дигиталното образование и това, че не трябва да се съгласяваш с всичко е важно да навлезе и в България.

Със сигурност. Не винаги учителите по информатика или информационни технологии трябва да изпълняват тази роля, защото популярните приложения сред младите се менят на всеки няколко години и е прекалено трудно винаги човек да е в крак с времето. В крайна сметка те си имат определена образователна програма. Тук (в Германия) имаше много хубава инициатива, в която ученици образоват други ученици за рисковете от гледна точка на privacy и информационна сигурност. Смятам, че подобни инициативи биха допринесли много относно това, този казус да бъде чут. Дори е добре да се обсъждат основни неща, от рода как да си заключваме профила в Instagram. Такива инициативи ще доведат до ефект и по-информираните деца дори ще помогнат и на родителите си.

В България все още са актуални телефонните измами насочени към пенсионери.

Това също е важно от гледна точка на теч на данни. Дори да не са критични, то със сигурност биха били достатъчни, така че да бъде измамен по-стар човек. Точно тук се намесва кражбата на самоличност, която се целим да предотвратим. Телефонните измамници много често се преструват за шефове на полицейски управления, лекари в болници… Ако изтекат под някаква форма лични данни на граждани, заемащи такива позиции, можем да си представим много лоши сценарии.

Като млад човек, как си представяш бъдещето на опазването на данни?

Това, което виждам със сигурност е, не всеки месец да имаме голям теч на данни, а всеки ден. Притеснително е, но не трябва да ни отказва от използване на интернет, нито да ни обезкуражи. Дори да предположим, че ще се случат инциденти от по-тежък характер, то това не трябва да ни възпира от развитие в сферата на технологиите. Просто трябва да продължим да мислим за механизми за privacy и технологии, които да осигурят сигурност. Оптимист съм, че колкото повече се увеличават данните, толкова повече се развиват и технологиите за информационна сигурност. Да, ще се събират повече данни, но се надявам, че ще стигнем до състояние, в което с достатъчно добри инструменти и квалифицирани хора, ще можем да въведем ред в този хаос, който в момента цари.

Всъщност – нов пробив води до нова защита и нова защита води до нов пробив. Има ли край този сюжет или е постоянна игра на котка и мишка?

Интересно е, когато виждаме, че не можем да предпазим софтуер и отново и отново се появяват дупки в сигурността. Тук трябва да разгледаме и хардуерни механизми за сигурност. Когато говорим за електронен подпис, например. Там се съдържа чувствителна информация, с която могат да бъдат подписани документи с правна стойност. Ако тази информация се подсигурява и от хардуера, не само софтуера, то тогава се повишава сигурността. Хардуерната защита е силно оръжие и преспокойно може да се включи на помощ. Прави ми впечатление, че има развитие в тази насока. Все повече framework-ове започват да се пренасят към memory safe езици, все повече добиваме представа за това какви проблеми имаме. Ако досега сме били във фаза на събиране на опит и разбиране какво може да се обърка, то се надявам в даден момент да минем във фаза, в която да погледнем назад и да видим кои са проблемите.

Хората постоянно говорят и се чувстват несигурни от това, че държавата знае всичко за теб – кой си, къде си бил, какво правиш. От тази гледна точка, има ли опасности и от държавно ниво, а не само от корпоративно?

Само мога да кажа Национална агенция по приходите. Въпросът е, че държавата е специален случай, в който ние сме длъжни да дадем лични данни, така че тя да си върши работата. Разбира се, колкото повече данни се събират, независимо от бизнес или от държавата, трябва да се вземат строги мерки тези данни да останат сигурни. Тук имаме много проблеми с legacy системи. Да кажем, че цялата система е толкова сигурна, колкото е сигурен най-слабият елемент от нея. Трябват организационни мерки, но и технически. До някаква степен не можем да предотвратим събирането на данните, но трябва да се подсигурят държавните агенции. Те трябва да имат Chief Security Officer. В Германия от гледна точка на информационната сигурност има определен стандарт за институциите с конкретни правила – какво да се прави и какво не, кои технологии трябва да се използват. Това се прилага за данни, които са необходими на държавата. Всичко повече от това можем да класифицираме като данни, които са ненужни. Тук се намесва и информираното общество, което трябва да каже, че не е съгласно тези данни да се обработват от държавата. В един оптимален вариант, в който преследваме идеалистични цели, хората казват “ако не промените тази политика, на следващите избори няма да гласуваме за вас”.
Но в случая на данъчни декларации, които носят доста чувствителна информация, може би държавата трябва да се научи от бизнеса – как да съхранява и как да обработва. Може би приемат за даденост като събират всичко в един сървър.

Със сигурност има нужда от подобрения в държавните системи, които се използват. В крайна сметка какво да очакваме от държавата, която трябва да ни защити, когато ни откраднат данните или изтекат, при положение, че самата държава не може да защити една от основните си агенции.

Има един интересен проблем тук. Когато данните на гражданите се пренасят от техните компютри до съответната агенция или министерство. Тук министерството, например, трябва да каже, че разрешава за използване само най-сигурните алгоритми. Но какво правим с всички граждани, които имат по-стари компютри, които не могат да се справят с натоварването на тези много по-тежки криптографски алгоритми. Това значи, че за да осигури достъп до услугата, държавата трябва да понижи стандарта на сигурност. И направили го, то стандартът ще важи за всички. Това е една тема, която за момента няма решение. От друга страна, когато говорим генерално за информационна сигурност за която и да е държавна администрация по света, винаги има потенциал да се развива и никога не може да бъде достигнат максимум на информационна сигурност и всяко усилие в тази насока би трябвало да допринесе за една по-сигурна среда.