Softveri za obradu ličnih podataka, potencijalna pretnja po privatnost građana
Novinar: Aleksa Tešić
Svaki put kada nešto objavite, lajkujete ili komentarišete online, ostavljate trag koji se može naći na radaru bar tri domaće državne institucije – tržišne inspekcije, poreske uprave i MUP-a.
Ministarstvo trgovine, turizma i telekomunikacija je aprila ove godine za potrebe tržišne inspekcije koja se nalazi u sastavu ministarstva, obnovilo licence za tri softvera – Social Links, Maltego i Mozenda.
Maltego i Mozenda softvere tržišna inspekcija koristi još od kraja 2019. godine, dok je modul Social Links novina koja je kupljena u nabavci marta prošle godine. Svake godine programi zahtevaju produženje licence kako bi mogli da se koriste.
Kako stoji u tenderskoj dokumentaciji, ovi softveri mogu da „pretražuju kompletni Internet”, zatim da analiziraju Fejsbuk, Instagram i Tviter profile kao i da izvrše GPS lociranje „entiteta od interesa“. U dokumentaciji ne stoji objašnjenje šta su “entiteti od interesa” i na šta se to konkretno odnosi.
Podaci iz tenderske dokumentacije, kao i zvanični dokumenti proizvođača navedenih softvera, u koje je BIRN imao uvid, pokazuju da ovi programi omogućavaju da se putem nečije email adrese, IP-ja, broja telefona ili ključne reči, sazna šta „osoba od interesa“ lajkuje, gde se nalazi, ko su joj članovi porodice, polja interesovanja, obrazovanje, pozicija u firmi, pa i da sazna listu Fejsbuk prijatelja i onda kada je profil zaključan.
Navedena tri softvera – Social Links, Maltego i Mozenda – nisu novost za domaće državne institucije. Osim tržišne inspekcije, MUP Srbije kao i Poreska uprava već koriste Maltego softver, dok je u planu kupovina Social Links modula za potrebe Poreske uprave.
Šta će ovakva oprema tržišnoj inspekciji? BIRN se sa pitanjima obratio ovoj instituciji, koja je u odgovoru navela da se softveri koriste isključivo u cilju suzbijanja sive ekonomije i nelegalne trgovine putem Interneta.
Ovo nije prvi put da se Ministarstvo trgovine, turizma i telekomunikacija, u čijem se sklopu nalazi tržišna inspekcija, interesuje za napredne istražne softvere. Ministarka Tatjana Matić je novembra prošle godine imala sastanak sa predstavnicima kontroverzne izraelske kompanije Cognyte, čiji softver je, ispostavilo se kasnije, zloupotrebljen za praćenje i istragu pojedinaca u Srbiji. Nije poznato ko je bio korisnik izraelskog softvera za špijunažu, a ko meta istrage kod nas. Izveštaj kompanije Facebook (sada Meta) navodi da su mete softvera uglavnom bili novinari, kritičari i oponenti vlasti.
Filip Milošević iz SHARE fondacije kaže da, iako su slični po tome što omogućavaju naprednu analizu ogromne količine podataka, softveri koji su predmet nabavke se od Cognyte-a razlikuju po tome što potonji koristi maliciozne tehnike za automatsko prikupljanje podataka o ciljanoj osobi, dok Maltego, Social Links i Mozenda koriste pristup već prikupljenim i javno dostupnim bazama podataka.
Zašto je mogućnost prepoznavanja lica jedan od najvećih problema
Pretražujući zvanične sajtove ovih programa BIRN je naišao na njihove karakteristike koje su šire od onoga što je navedeno u tenderskoj dokumentaciji, a mogu biti pretnja po privatnost građana. Neki od alata igraju na ivici zakona, kao što je opcija za prepoznavanje lica koju poseduje Social Links Pro softver. Ova oblast u Srbiji nije pravno uređena, odnosno ne postoji pravni osnov za primenu ove tehnologije.
“Prepoznavanje lica, bez ikakve sumnje, ne sme biti upotrebljeno ni od jedne naše institucije”, kaže za BIRN Rodoljub Šabić, bivši poverenik za informacije od javnog značaja. On dodaje da su to “krajnje ozbiljni alati i razvijaju se strahovito brzo, mnogo brže od zakonskih regulativa”.
On postavlja pitanje kako se ova tehnologija koristi “jer nekada se može koristiti u vrlo korisne, legitimne svrhe, ali mogu i teško da se zloupotrebe”.
“Korisnici u neverovatno kratkom roku dobijaju ogroman broj podataka preko kojih mogu da analiziraju nečije stavove, uverenja. Još kada sve ovo kombinujemo sa prepoznavanjem lica, biometrijom, malo šta ostaje nedostupno”, navodi Šabić. On ipak napominje da je velika odgovornost i na samim građanima, korisnicima Interneta i društvenih mreža, koji ostavljaju veliku količinu podataka online.
SOCIAL LINKS: Istražuje i zaključane profile, pronalazi „uticajne ljude“
“Sve-u-jednom-alat za dubinsku istragu otvorenih podataka na društvenim mrežama, blokčejn tehnologiji, aplikacijama za poruke i DarkWeb-u”, piše na zvaničnom sajtu kompanije Social Links, čiji modul obuhvata i prepoznavanje lica i objekata.
Od kada je krenuo rat u Ukrajini, ruska kompanija Social Links, sa sedištem u Moskvi, pretrpela je kritike da radi za rusku tajnu službu, od čega se i javno ogradila težeći da sedište kompanije preseli na Zapad. Andrej Kulikov, vlasnik Social Links kompanije, jedno vreme je na svom Linkedin profilu navodio da se nalazi u Srbiji. On nije odgovarao na poruke BIRN-a.
Opcija prepoznavanja lica i pretrage prema lokaciji i vremenu omogućavaju korisniku da unese period, geografsku oblast, a softver automatski traga za određenim licem na celokupnom Internetu ili internim bazama ukoliko ih je korisnik prethodno uneo u sistem – to recimo mogu biti baze fotografija za izradu ličnih karata ili slične baze podataka.
“Pretražuj sve” – promotivni je slogan Social Links modula koji omogućava pristup stotinama baza podataka, milijardama identiteta, preko hiljadu naprednih metoda pretrage sa mogućnošću veštačke inteligencije i mašinskog učenja čime se mogu pretraživati biometrijski podaci, objekti, lajkovi, komentari, geolokacije, obrazovanje neke osobe, radno mesto, prijatelji, mesta koja je posetila, objave na kojima je tagovana…
Specijalizovani portal za geopolitiku, IntelligenceOnline navodi da je kompanija Social Links u neke od svojih modula ugradila i Tone Analyzer koji omogućava analizu osećanja izraženih u pisanju.
Pored primarnog Social Links modula, firma nudi dva nezavisna, personalizovani i Gamayun modul, nazvan po krilatoj proročici iz ruske mitologije, koji korisniku pružaju opcije “prikrivenog praćenja”, kontrole protesta, praćenja online aktivnosti u realnom vremenu…
Social Links takođe može da sazna Facebook prijatelje ili Instagram pratioce određene osobe čak i kada je profil zaključan, a lista prijatelja ili pratilaca sakrivena. Softver ovo saznaje ukrštanjem liste prijatelja ili pratilaca osoba bliskih osobi od interesa, a može koristiti i druge vidove pretrage kao što je već pomenuto prepoznavanje lica.
Rodoljub Šabić smatra da je dolazak do liste prijatelja na zaključanim Fejsbuk profilima upitno sa stanovišta zakona. „To je podatak o komunikaciji. U smislu, mi smo se povezali, neko je nekome poslao zahtev za prijateljstvo. Svi metapodaci: ko, kako, koliko dugo, sve su to podaci o komunikaciji, to bi moralo biti dostupno jedino uz nalog suda”. Sa druge strane Andrej Petrovski iz SHARE fondacije smatra da je dolazak do ovakvih informacija pitanje upornosti. “Internet sve pamti. To je sada već ofucana fraza. Sve što se našlo na Internetu može da se nađe, pitanje je koliko je ko uporan.”
Social Links dozvoljava korisniku da mapira i pronađe uticajne ljude u nekoj organizaciji, lidere neke struje mišljenja, trendsetere u okviru neke grupacije ljudi. Softver ovo radi tako što ukrsti sve entitete neke organizacije i pronađe „čvorišta“, osobe popularne unutar organizacije, čije objave ljudi najradije dele ili reaguju na njih. Korisniku ovaj alat za relativno kratko vreme daje uvid u to ko su značajne figure na nekoj društvenoj mreži ili u okviru neke organizacije.
“Ne vidim razlog da koriste takve stvari, ne znam što bi neko ko izjavljuje svoje mišljenje na tviteru bio u fokusu istražnih radnji”, kaže Andrej Petrovski iz SHARE fondacije.
Jedan primer sa sajta Social Links prikazuje kako je korisnik, nakon što je putem email adrese pronašao Facebook i Skype profil, izvukao listu prijatelja osobe od interesa i pronašao kolege sa posla i kolege sa univerziteta, mapirajući ih u odvojene grafikone.
Dodatno, na sajtu je opisan fiktivan primer kuvara koji se povredio na radu i potražuje novac od osiguravajuće kuće, koja onda može da pretraži Internet za fotografijama kuvara u periodu nakon povrede i tako proveri da li se kuvar zaista povredio ili je povredu lažirao. Moguće je i preko IP adrese, identifikovati osobe koje su ilegalno skidale materijale sa piratskih i Torrent sajtova.
TikTok korisnička imena, objave i muzika iz videa takođe nisu pošteđeni sofisticiranog Social Links algoritma. Program automatski vadi aktivne Instagram priče („stories“) zajedno sa svim dodatnim informacijama poput lokacije, gifova, heštegova, tagovane profile, Instagram profil autora – ali to radi na način koji nije vidljiv za osobu koja je predmet istrage.
Modul daje mogućnost da se preko broja telefona dođe do naloga na nekoj od popularnih aplikacija za razmenu poruka, Telegram i Whatsapp, ali radi i u suprotnom smeru – sada je moguće preko Telegram ili Whatsapp naloga doći do broja telefona čak i kada je nalog podešen na “privatno”.
“To je zastrašujuće. Ljudi kada pomisle na intruziju privatnosti prvo im padne na pamet prisluškivanje razgovora, ali ovakvi alati zapravo daju mnogo više podataka, strahovito mnogo, gotovo sve o ličnosti koja je predmet istrage i osnova za zaključivanje je veća nego sadržina jedan ili dva prisluškivana telefonska razgovora”, kaže Rodoljub Šabić, bivši poverenik.
Social Links je omogućio korisnicima pristup Telegram nalozima, arhivskim podacima, grupama, kanalima i porukama. Pored Telegrama, ruske aplikacije za enkriptovanu razmenu poruka, kompanija navodi da može da izvlači podatke i sa Whatsapp-a i “drugih popularnih aplikacija za poruke”. Iz kompanije Social Links nisu odgovorili na pitanja o tome da li njihov program može da zadire u privatne prepiske.
U jednom od promotivnih tekstova na sajtu Social Links-a navodi se da policija koristi alate za pretragu otvorenih podataka, između ostalog, i kako bi predvidela kriminalitet. “Takva vrsta profilisanja bi mogla biti upotrebljena za seksualne nasilnike, u situacijama kada je to predvidivo, logično, ali samo u tu svrhu i u tom obimu, uz dozvolu suda. Takođe je to nešto što se može koristiti za obračun sa političkim protivnicima.”, kaže Šabić.
Uvodili i BusPlus
Na tenderu aprila 2022. Ministarstva trgovine, turizma i telekomunikacija za produženje licence Maltego, Social Links i Mozenda programa, pobedila je firma Lanus d.o.o. (sada Devellop). Oni su bili jedini ponuđač na tenderu, pa je ministarstvo prihvatilo ponudu u vrednosti od oko 1.2 miliona dinara kao ekonomski najpovoljniju. Ista firma je, kao jedini ponuđač, dobila tender za nabavku pomenutih softvera i početkom 2021. godine.
Na zvaničnom sajtu firme Lanus, u portfoliju se, između ostalog, navodi rad na uvođenju BusPlus sistema naplate u javnom prevozu i BusInfo sistema.
Vlasnik firme Lanus je u jednom trenutku bio i Nenad Kovač, kontroverzni srpski biznismen, a danas je krajnji vlasnik Lanus-a firma sa Kipra,čiji je vlasnik anoniman.
MALTEGO: Grafikoni od milion entiteta
Kako korisnik ne bi morao ručno da pretražuje i unosi podatke iz ogromnih bazi podataka, celokupna istraga odvija se na jednom mestu, na platformi nemačke kompanije Maltego. Platforma omogućava korisniku da putem integrisanih i kupljenih bazi podataka, kakav je, između ostalih, i Social Links modul, “crta” po praznom dokumentu tako što pokazuje ko je s kim povezan – formira veze, grafikone i mape.
Besplatna Maltego licenca pruža vrlo ograničen broj opcija, dok plaćene Maltego licence sa kupljenim modulima, kakav je Social Links, znatno proširuju broj dostupnih bazi podataka, komandi i mogu da mapiraju ukupno milion entiteta po istrazi, i do 64 hiljade entiteta po zadatoj komandi.
Putem različitih komandi program mapira sve zaposlene u firmi koja je prethodno uneta u sistem, narednom komandom sistem izvlači i mapira njihove Linkedin profile, pa korisnik dalje može da mapira i istražuje online aktivnost nekog od zaposlenih, pronalazi broj telefona ili naloge na drugim društvenim mrežama.
Pored svega što saznaje, korisnik u platformi Maltego može da rezultate istrage vizualizuje u formi mapa ili grafikona, a broj entiteta koji mogu da stanu u grafikon ide do milion.
“To je more podataka, to je mnogo podataka, a ovo je moćan alat da izvučete zaključke koje drugačije ne bi mogli da obradite“, kaže za BIRN Andrej Petrovski, direktor SHARE fondacije.
Uz „stealth privacy mode“ Maltego osigurava korisnika svog programa da ne bude „uhvaćen“, te osoba koja je predmet istrage ne može to da sazna.
Šabić kaže da je tajno praćenje u cilju prikupljanja ličnih podataka dozvoljeno samo uz nalog suda organima policije, bezbednosno-informacione agencije i vojno-bezbednosne agencije, ali ne i tržišnoj inspekciji.
Napredne verzije Maltego softvera, koje poseduju tržišna inspekcija, MUP i Poreska uprava, dolaze sa integrisanim modulima kojima korisnik može da istražuje mrežu prevarantskih Internet šema, hakerske grupe, sajtove koji šire dezinformacije, korporativne baze podataka, političare, lobi grupe, donacije i fondove, da pronalazi kratkotrajne ili lažne brojeve telefona i njihove vlasnike, izvlači i mapira metapodatke, pronalazi sve uređivače Wikipedia stranica…
Jedan od softverskih dodataka pruža korisniku uvid u korisnička imena do kojih dolazi kada se poznata IP adresa upari sa korisničkim imenom na nekoj od preko tri hiljade platformi kao što su sajtovi za odrasle, Tinder, E-bay, Freelancer, Twitch, Udemy…
Opcija kreiranja izveštaja dozvoljava korisniku da “skine” rezultate istrage u pdf formatu, pa je u jednom dokumentu moguće izlistati sve podatke koje je program izvukao o nekoj osobi, fenomenu ili entitetu.
MOZENDA: Veb skrejping siva zona zakona
Pored Maltego platforme i Social Links modula, nabavka za potrebe tržišne inspekcije propraćena je softverom za automatsko izvlačenje podataka sa veb stranica tzv. „veb skrejper“- Mozenda.
Za razliku od prošlogodišnje nabavke gde je predviđeno da Mozenda skida do 300 hiljada veb stranica, prema tenderu iz aprila ove godine softver može neograničeno da izvlači podatke sa Interneta i veb stranica. Stručnjaci sa kojima je BIRN razgovarao dodaju da softver ima osobinu da menja IP adresu kako bi izbegao da bude blokiran od strane servera, usled potencijalno neodobrenog preuzimanja tekstualnog, vizuelnog sadržaja i dokumenata.
Sagovornici BIRN-a smatraju da domaći zakoni ne regulišu ovakav softver koji ima mogućnost da skida podatke sa veb stranica i onda kada Internet server to ne dozvoljava.
Rodoljub Šabić, bivši poverenik, kaže za BIRN da je za baratanje sa ličnim podacima neophodno prethodno odobrenje suda. “Šta god da rade, hvataju lažne oglase, aktere u sivoj ekonomiji, delikvente, lažne proizvođače, ne bi smeli da rade bez naloga suda.”
“Često je potreban pravni osnov za ovakve stvari, i često nije u skladu sa uslovima korišćenja tih samih platformi sa kojih se vade podaci”, kaže Andrej Petrovski iz SHARE fondacije.
Iz Američke privredne komore, koja je već jednom donirala Mozendin softver tržišnoj inspekciji, poručuju da softver olakšava analizu oglasa po ključnim rečima i uočavanje nelegalne trgovine.
Oko 15 hiljada oglasa je prošle godine inspekcija uspela da “ulovi” zahvaljujući ovim naprednim alatima, navodi se u odgovoru Ministarstva trgovine, turizma i telekomunikacija, a na Linkedin profilu Američke privredne komore piše da je pored hvatanja lažnih oglasa “omogućeno formiranje velike baze subjekata i objekata istrage” i “ostvarena saradnja sa drugim državnim organima.”
Stručnjaci iz SHARE-a smatraju da je masovno, neograničeno skidanje sadržaja sa veb stranica, kako je navedeno u delu tenderske dokumentacije koji se odnosi na Mozenda softver, prekomeran. „Nije mi poznato zašto inspekcija ima potrebu za softverom za masovnu skrejping sajtova. Verovatno postoji utemeljenost iz ugla nelegalnog sadržaja na internetu, međutim prilikom nabavke softvera, naročito ako je zatvorenog koda, javnim novcem, treba voditi računa o potrebama i funkcionalnosti, odnosno ne treba kupovati skup softver koji nadmašuje potrebe institucije”, kaže Petrovski.
Pravnik i bivši poverenik za informacije od javnog značaja, Rodoljub Šabić kaže da naš pravni sistem ne prepoznaje pojam „veb skrejping-a“.
„Mi imamo zakon o zaštiti podataka o ličnosti koji je jako loš. Ovde govorimo o sofisticiranim softverima, a mi regulativu nismo doveli na elementarni nivo, u našem zakonu još nije definisan ni video nadzor, koji postoji od posle Drugog svetskog rata. O ‘veb skrejpingu’ nemamo zakon, to može da se protumači iz opštih odredbi.“
MUP i Poreska uprava bez odgovora
MUP i Poreska uprava su prošle godine od Američke privredne komore u Srbiji dobile licence za napredne verzije Maltego platforme.
Da je MUP već imao naprednu Maltego licencu moglo se pretpostaviti iz plana javnih nabavki za 2020. godinu gde se traži „obnavljanje godišnje licence Maltego XL…“. Godinu dana kasnije godine MUP je planirao novu nabavku Maltego platforme, ali je ona ipak došla putem pomenute donacije Američke privredne komore, stoji u informatoru o radu MUP-a za prošlu godinu. MUP nije odgovorio na pitanja BIRN-a o načinu na koji se u ovoj instituciji koristi Maltego platforma.
U dopisu BIRN-u iz Američke privredne komore navodi se da je Uprava kriminalističke policije juna 2021. godine primila dvogodišnju Maltego Pro licencu kao donaciju. U dopisu dalje stoji da je Poreska uprava donaciju Maltego Enterprise licence primila novembra prošle godine, dok su u toku pregovori za nabavku i Social Links modula, kao i da Social Links modul nije bio predmet donacije Upravi kriminalističke policije. Kao i MUP, ni Poreska uprava nije odgovorila na naša pitanja.
“MUP nije preterano raspoložen da priča šta ima od alata. Ovakve stvari se uglavnom nabavljaju u četiri oka. Sve se svodi na poverenje institucije da će da se drži svojih zakonskih ovlašćenja. Kada je MUP u pitanju nisam siguran na kom je to nivou “, kaže Andrej Petrovski iz SHARE fondacije. „Sa bilo kojim alatom koji donosi moć, moć povlači korupciju u bilo kom kontekstu. Kad imaš moć jako često je zloupotrebiš“, dodaje Petrovski.
Tekst je prenet sa portala Birn.rs.