BANK 2019/05

Raport Specjalny. Bezpieczeństwo Banków: Prywatność w cyberfizycznym świecie

Wojciech Cellary
Raport Specjalny. Bezpieczeństwo Banków: Prywatność w cyberfizycznym świecie
Udostępnij Ikona facebook Ikona LinkedIn Ikona twitter
Obecnie, dzięki rozwojowi informatyki, obserwujemy wyłanianie się przestrzeni cyberfizycznej. Powstaje ona dzięki integracji świata fizycznego z cyfrowym. Krwią tej cyberfizycznej dziedziny są informacje zbierane przez internet ludzi i internet rzeczy, przesyłane za pośrednictwem telekomunikacji 5G, przechowywane jako gigadane w chmurze i przetwarzane za pomocą niezliczonych algorytmów sztucznej inteligencji do przeróżnych celów.

Wojciech Cellary
Katedra Technologii Informacyjnych
Uniwersytet Ekonomiczny w Poznaniu
http://www.kti.ue.poznan.pl

Po uzyskaniu nowej wiedzy z zebranych danych sztuczna inteligencja może być, i jest, wykorzystywana do wpływania na ludzi. Zarówno bezpośrednio, jak i pośrednio przez otaczające ich rzeczy, a także przez internet ludzi i rzeczy. Zapisane informacje odzwierciedlają nie tylko dobytek danej osoby, jej działania i relacje z innymi ludźmi, ale nawet jej życzenia, intencje i emocje.

Przewidywanie zachowań

Dane uzyskane o konkretnej osobie w czasie rzeczywistym mogą być łączone z tymi kumulowanymi przez długi czas. Informacje zebrane z konkretnego powodu mogą być ponownie wykorzystane z zupełnie innego. Co więcej, wiadomości opisujące danego człowieka mogą być przetwarzane w kontekście faktów opisujących różne, ale w jakiś sposób podobne osoby, okoliczności i zdarzenia.

Powszechna dostępność gigadanych i narzędzi sztucznej inteligencji umożliwia przewidywanie ludzkich zachowań, a następnie podejmowanie prób wpływania na ich przyszłe działania. Oczywiście takie domniemania nigdy nie są w 100% pewne, choćby z tego powodu, że metody sztucznej inteligencji nie są oparte na przyczynowości, a na korelacji. Przy analizie gigadanych nie chodzi o to, aby nauczyć komputery, by myślały jak ludzie, wykorzystuje się matematykę do wyliczenia prawdopodobieństwa, że powtórzy się konkretny scenariusz dotyczący konkretnego człowieka znajdującego się w szczególnych okolicznościach, które już się zdarzyły tej lub podobnej osobie w przeszłości. Prognozy pochodzące z analizy olbrzymich ilości informacji mogą być trafne względnie nietrafne, a konsekwencje tych drugich mogą być nieistotne lub poważne. Jeśli reklama przedstawiona pewnemu użytkownikowi usługi cyfrowej jest nietrafna, ponieważ nie jest on nią zainteresowany, to nie dzieje się nic szczególnie złego. Po prostu firma płacąca za tę reklamę nie pozyska klienta. Natomiast jeśli w wyniku nietrafnej prognozy algorytm sztucznej inteligencji błędnie wskaże kogoś jako przyszłego przestępcę, co spowoduje jego aresztowanie, to konsekwencje takiego działania mogą być dla tej osoby bardzo poważne.

Ten prosty przykład wskazuje na potencjalne niebezpieczeństwo wynikające z zastosowania metod probabilistycznych w nowoczesnych technologiach informatycznych. Sztuczna inteligencja prognozuje przyszłe zachowanie konkretnego człowieka, opierając się na zbiorowych zachowaniach podobnych osób znajdujących się w podobnej sytuacji. Taka prognoza nigdy nie jest w 100% pewna, ponieważ nie uwzględnia wolnej woli ludzi, którzy mogą podjąć pewne działanie lub z nich zrezygnować niezależnie od tego, co robili inni, podobni im osobnicy. Pomimo potencjału metod sztucznej inteligencji, każda osoba powinna zostać osądzona za to, co naprawdę zrobiła w przeszłości, a nie za statystyczną prognozę wyliczoną na podstawie zachowań zbiorowych tego, co może zrobić w przyszłości.

Zagrożeń nie brakuje

Zagrożenie, które jest jeszcze ważniejsze, dotyczy intencji osób lub instytucji zamawiających prognozy oparte na analizie gigadanych i wykorzystujących je do dobrych lub złych celów. Prognozy zastosowane w dobrych celach zapewnią każdemu człowiekowi spersonalizowane usługi dobrze dostosowane do jego potrzeb i życzeń, a także szybszą i skuteczniejszą ochronę przed różnymi zagrożeniami. Prognozy zastosowane w złych celach spowodują spersonalizowane ograniczenia praw i wolności ludzi oraz erozję podstaw zaufania społecznego nierozerwalnie związanego z demokracją.

W przyszłym cyberfizycznym świecie dosłownie zalanym informacjami kluczowy stanie się problem prywatności. Dane osobiste powinny być, z wielu różnych powodów, trzymane w tajemnicy. Po pierwsze, aby nie narażać się na dyskomfort spowodowany zmianą relacji z innymi ludźmi – osoba, która utraciła jakiś aspekt swojej prywatności może w konsekwencji podlegać osądowi innych, najczęściej niepochlebnemu, a często raniącemu. Po drugie, zachowanie prywatnych danych w poufności zmniejsza podatność danej jednostki na ataki biznesowe, takie jak agresywny marketing, odmowa zawarcia pewnych umów lub pogorszenie warunków umów. Po trzecie, prywatność jest niezbędna, aby zminimalizować prawdopodobieństwo ataków kryminalnych. Cyberprzestępcy intensywnie poszukują danych osobistych, aby łatwiej dotrzeć do potencjalnych ofiar i zminimalizować ryzyko wykrycia planowanego wykroczenia. Wreszcie po czwarte, zapewnienie prywatności jest niezbędne do zminimalizowania podatności na kradzież tożsamości. Ta bowiem ma poważne konsekwencje dla ofiary. Bardzo trudno jest przecież udowodnić, że operacje, takie jak przelewy bankowe lub płatności kartą, zostały wykonane przez złodzieja tożsamości zamiast prawdziwego klienta banku, skoro dane uwierzytelniające użyte w transakcji były prawdziwe i prawidłowe pod każdym względem.

Zastosowania sztucznej inteligencji przez biznes są jednak ciągle dość niewinne w porównaniu do zastosowań dokładnie tych samych technik przez polityków w celu przekonania danej osoby do głosowania w demokratycznych wyborach na konkretnego kandydata. Spersonalizowane argumenty użyte w takich kampaniach skierowane do konkretnych ludzi, ale na masową skalę, muszą być przekonujące, ale nie muszą być prawdziwe i często zresztą takie nie są.

Nie wolno zapominać o etyce

Każda nowa technologia zawsze niesie szanse, ale i zagrożenia. Dla wykorzystania szans, ale i wyeliminowania – lub przynajmniej ograniczenia – zagrożeń, stosuje się prawo do zabraniania niektórych praktyk, które są technicznie możliwe, ale społecznie niedopuszczalne. Niestety nie jest to łatwe w przypadku nadużywania danych. Z jednej strony mamy bowiem internet, który zapewnia techniczny dostęp do informacji z dowolnego miejsca na świecie, a z drugiej strony mamy 193 systemy prawne niezależnie opracowane i stosowane przez 193 kraje, które są członkami Organizacji Narodów Zjednoczonych. Nie są one spójne, a często wręcz sprzeczne, zatem wszystkie razem nie zapewniają skutecznej ochrony prywatności. Jeszcze gorsza sytuacja występuje w odniesieniu do egzekwowania prawa w tych 193 różnych krajach.

Innowacje w dziedzinie usług są silnie stymulowane przez nowe technologie informacyjne. W niedługim czasie można spodziewać się wielu nowych usług, powstających z integracji w świecie cyberfizycznym usług fizycznych z cyfrowymi. Jednak podstawowy problem prywatności tak usługodawców, jak i konsumentów pozostaje nierozwiązany. Nie można go rozstrzygnąć wyłącznie za pomocą środków technicznych, ponieważ nie ma takiej metody, która mogłaby powstrzymać osobę, której powierzono tajemnicę, od ujawnienia jej – jeśli na to się zdecyduje – nieautoryzowanym podmiotom, czy to ludziom, czy instytucjom, czy systemom. Dlatego tak ważna jest etyka. Tylko upowszechnienie postaw etycznych, doskonalenie rozwiązań prawnych i ich koordynacja międzynarodowa, a także rozwój narzędzi informatycznych pozwoli ludziom korzystać z nowych usług pojawiających się w cyberfizycznym świecie bez ponoszenia nadmiernego ryzyka.

Powyższe rozważania w bardzo dużym stopniu dotyczą banków, a to ze względu na świadczenie przez nie usług cyfrowych przez internet – na masową skalę i globalnie. Są one zatem narażone na ataki informatyczne z innych krajów, co bardzo utrudnia prewencję i egzekucję prawa. Instytucje te dysponują przy tym bardzo wrażliwymi danymi swoich klientów – świadczącymi o ich stanie majątkowym, zarobkach, zadłużeniu, preferencjach zakupowych, czasie i miejscach, w których dokonują zakupów dóbr i usług, preferowanych ich dostawcach, podróżach, restauracjach, rozrywkach itp. A informacje te można wykorzystywać do przywidywania zachowań ludzi. Ich sprzedaż lub wyciek i połączenie z wiadomościami innej natury, na przykład medycznymi, pozwoliłoby na jeszcze większą i dokładniejszą predykcję przyszłych zachowań i losów ludzi, na przykład zachorowań – a to dzięki wzięciu pod uwagę podatności danej osoby na niektóre choroby i jej trybu życia.

W niedalekiej przyszłości banki będą zmuszone do wypracowania nowych metod płatności dostosowanych do świata cyberfizycznego, w szczególności do inteligentnych miast opartych na internecie rzeczy. Ponieważ w takich miejscowościach będą funkcjonować inteligentne środowiska (budynki, ulice, skrzyżowania, stadiony, sklepy itp.) automatycznie i bez ingerencji człowieka dostosowujące się do jego preferencji i świadczące mu spersonalizowane usługi, to również płatności będą musiałby być automatyczne i niewymagające bezpośredniej interakcji z ludźmi. To oznacza, że trzeba będzie wypracować nowe metody budowy zaufania między stronami płatności i nowe metody ochrony prywatności klientów banków.