Zaznamenali jsme na sociálních sítích častou obavu ze sledování státem v souvislosti s aplikací eRouška, kterou provozuje v rámci chytré karantény Ministerstvo zdravotnictví ČR ve spolupráci s Národní agenturou pro komunikační a informační technologie (NAKIT). Tyto obavy bychom rádi uvedli, formou srozumitelnou i pro čtenáře nepohybující se v IT, na pravou míru.
Aplikace eRouška v aktuální verzi 2.0 ve skutečnosti byla navržena tak, aby neobsahovala žádné osobní údaje a aby nebylo možné sledovat lokalizaci jejích uživatelů.
Tato aplikace je tak pouhým rozhraním pro systém Exposure Notification, společně vyvinutý a vestavěný firmami Apple a Google do operačních systémů iOS a Android. Systém Exposure Notification používá pro své fungování Bluetooth LE, kterým v pravidelných intervalech skenuje přítomnost jiných Bluetooth zařízení v okolí se zapnutou aplikací navázanou na systém Exposure Notification. Tou aplikací může být eRouška nebo jakýkoliv její ekvivalent vyvinutý jinou zemí (tyto aplikace mohou vyvíjet pouze zdravotnické autority jednotlivých zemí). Díky tomu funguje eRouška i mimo Českou republiku. Aplikace nemá přístup k vaší pozici ani prostřednictvím GPS či ekvivalentní satelitní navigace, ani prostřednictvím triangulace v mobilní síti. To lze snadno ověřit tak, že aplikace bude normálně fungovat i v Režimu letadlo se zapnutým Bluetooth. Připojení k internetu vyžaduje pouze kvůli synchronizaci s databází identifikátorů telefonů, jejichž majitelé se dobrovolně označili v systému jako nakažení.
Notifikaci tak dostanete zpětně, anonymně, pouze na základě delšího kontaktu s identifikátorem nakažené osoby (po dobu delší než 15 minut na vzdálenost menší než dva metry). Vzdálenost systém odhaduje na základě intenzity signálu.
Systém je plně ve shodě s GDPR a je navržen tak, aby neobsahoval žádné osobní údaje; na rozdíl od verze 1.0 aplikace díky použití technologie Bluetooth Low Energy a vestavění přímo do operačního systému vašeho telefonu spotřebovává řádově méně energie (nižší jednotky procent spotřeby baterie v průběhu dne v závislosti na typu telefonu).
Podrobnosti
Na úvod několik důležitých pojmů:
API (Application Programming Interface): Pod touto zkratkou se schovává soubor velmi přesně definovaných pravidel, díky kterým mohou různé programy spolupracovat, aniž by se na jejich kompatibilitě jejich konkrétní vydavatelé přímo domluvili. Různá API zajišťují, aby se tak aplikace mezi sebou „domluvily“.
EN (Exposure Notification): Tak se nazývá protokol vyvíjený od jara společnostmi Apple a Google pro obě nejčastěji používané mobilní platformy, iOS a Android, pro zajištění inteligentního trasování nakažených kontaktů. EN je vyvíjen tak, aby byl kompatibilní mezi co největším počtem zařízní.
Bluetooth: Bluetooth je technologie bezdrátového přenosu informací mezi zařízeními. Tato zařízení mohou být se sebou spárována (například telefon a hands-free sada v autě nebo sluchátka).
Bluetooth Low Energy, nebo také Bluetooth LE: je technologie fungující skrze stejnou anténu, jako klasické Bluetooth, která, jak název napovídá, spotřebovává méně energie než klasické Bluetooth, ale s tím přicházejí i omezení, typicky například přenosová rychlost. Většina dnešních telefonů je vybavena jak klasickou technologií Bluetooth, tak technologií Bluetooth LE. Tuto technologii využívá systém EN a skrze něj i aplikace eRouška.
Odkud se aplikace vzala?
Aplikace eRouška 2.0, která je aktuálně v rámci chytré karantény nabízena skrze Apple AppStore a Google Play Store, se na rozdíl od verze předchozí, opírá o API operačních systémů iOS a Android zvané Exposure Notification, čímž se podstatně změnil princip jejího fungování. Jak fakt, že využívá technologii Bluetooth LE, tak fakt, že funkční jádro systému běží na pozadí na úrovni operačního systému a nikoliv aplikace (samotná aplikace pouze komunikuje se systémem EN skrze k tomu určené API), přispívá jak ke zvýšené bezpečnosti, pokud jde o ochranu osobních údajů, tak k menší (vývojáři udávají že o jeden řád) spotřebě baterie. Systém EN – samozřejmě v závislosti na typu telefonu – spotřebovává nižší jednotky procent celkové spotřeby telefonu. Jinak řečeno – když se chvíli díváte na telefonu na video, spotřebujete více baterie, než když máte celý den zapnutý systém EN.
Z toho, co ale sledujeme, stojí obava o životnost baterie za minimem námitek, které se okolo eRoušky vyskytují. Ty hlavní se týkají „šmírování“. Pojďme se nejdřív, polopaticky podívat na to, jak vlastně eRouška funguje.
Fungování eRoušky – je tedy čeho se bát? My máme za to, že není!
Systém Exposure Notification průběžně skenuje Vaše okolí a hledá jiná zařízení, která mají eRoušku nebo jinou podobnou aplikaci (vydanou zdravotnickou autoritou jiné země). Když je najde, dostane klíč (identifikátor) té aplikace, který si zaznamená, spolu se změřenou vzdáleností od takového zařízení. Identifikátor, aby se zmenšilo riziko zneužití, se velmi často mění, není to stále tentýž klíč. Pokud nejste nakažení, do systému od sebe nic neposíláte – pouze si telefony kolem Vás zapisují Vaše identifikátory, čas a (na základě intenzity signálu odhadovanou) vzdálenost. Jediný moment, kdy aktivně do systému něco pošlete, je ten, kdy zjistíte, že jste nakažení. Tehdy Vám hygiena pošle do SMS kód, který vložíte do aplikace eRouška a na jeho základě se do systému dostanou všechny identifikátory, které jste používali pro vysílání spolu s časy, kdy byly vysílány. Telefony lidí, s nimiž jste se potkali, zpravidla dvakrát denně porovnávají svoji paměť s těmito identifikátory s těmi, které byly označeny jako nakažené. Po čtrnácti dnech se tyto údaje automaticky mažou.
Jediný, kdo teoreticky má pohromadě Vaše osobní údaje a jakákoliv data z eRoušky, jsou pracovníci hygieny, kteří Vám posílají kód pro odeslání Vašeho statusu, coby nakažené osoby, do systému.
Pokud se tedy bojíte „šmírování“, jediný slabý bod celého systému je konkrétní pracovník hygieny, který najednou drží kód, který Vám posílá textovou zprávou, a který má Vaše osobní údaje. Jenže i jemu je to k ničemu, protože ten kód získává svoji hodnotu teprve tehdy, když se zadá do Vašeho telefonu, k němuž zase tomuto pracovníkovi hygieny nedáváte nijak přístup.
Takhle je zajištěno, že kdo potřebuje být informován, bude informován, a přitom je zachována anonymita všech zúčastněných.
Jak nezávisle ověřit fungování eRoušky?
Funkčnost aplikace lze velmi snadno ověřit například tím, že uvedete svůj telefon do režimu letadlo, čímž vypnete veškerý přenos signálu, a povolíte pouze Bluetooth a jednou denně se přes WiFi připojíte k internetu. Aplikace bude zaznamenávat Vaše kontakty i Vás informovat o tom, jestli jste potkali někoho nakaženého navzdory tomu, že fyzicky nebude mít přístup k mobilní síti nebo geografické lokalizaci. Běží-li Exposure Notification na operačním systému Android od verze 6 do verze 10, musí být funkce lokalizace zapnutá kvůli tomu, aby mohlo Bluetooth LE skenovat zařízení v okolí. Od verze 11 už to vyžadováno není, na iOS to také vyžadováno není. Samotné aplikace běžící na Exposure Notification API, jako například eRouška, mají zakázáno funkci lokalizace používat – všimněte si, že není ani možné jim tuto funkci povolit.
Dobře, mám eRoušku zapnutou. Co to pro mě znamená?
Zbývá tedy, co s takovou informací, že jste někoho nakaženého potkali, uděláte. To totiž záleží čistě na Vás. Nemusíte dělat nic, případně můžete reagovat tak, že se půjdete otestovat, pokud dostanete náznak příznaků covidu-19, dřív, než byste normálně šli – a včasná karanténa nebo léčba tak může pomoct Vám i lidem ve Vašem okolí.
Celý systém je navržen tak, aby byl ve shodě s GDPR (viz reference k článku) a stojí na dobrovolnosti jeho účastníků. Pokud nechcete o sobě informovat – nemusíte. Pokud nechcete nijak přizpůsobit své chování na základě setkání s nakaženou osobou – nemusíte.
Velmi pravděpodobně používáte jiné aplikace, kterým jste přístup k citlivým osobním datům umožnili, včetně sociálních sítí, díky nimž o Vás může kdokoliv by chtěl, vědět daleko víc, než je vůbec schopen zjistit z dobře ošetřené eRoušky. A na závěr – i my, Čeští elfové, pověstní naší přísně střeženou anonymitou, eRoušky používáme.