Branża security widziana oczami propagatora najnowszych technologii
Na temat nowych technologii w zastosowaniach elektronicznych systemów zabezpieczeń wypowiadają się u nas security menedżerowie z różnych sektorów gospodarki. Przedstawiamy opinię dr. Macieja Kaweckiego, który o swoich doświadczeniach z zabezpieczeniami opowie z perspektywy zarówno użytkownika końcowego, jak i propagatora wdrażania najnowszych technologii.
Maciej Kawecki, doktor nauk prawnych, nauczyciel akademicki, urzędnik państwowy, od 2019 r. dziekan Wydziału Innowacji i Przedsiębiorczości Wyższej Szkoły Bankowej w Warszawie, prezes Instytutu Lema |
Czy jako użytkownik spotyka się pan na co dzień z najnowszą technologią w systemach zabezpieczeń?
Patrząc na systemy zabezpieczeń czy systemy bezpieczeństwa, większą wagę przykładam do bezpieczeństwa danych, bezpieczeństwa w Internecie, bezpieczeństwa aplikacji mobilnych, z których korzystam, oraz bezpieczeństwa cyfrowego w takiej przestrzeni analogowej. Poznałem wyniki badania, które opublikowała fundacja Panoptykon na temat monitoringu wizyjnego miasta. Próbowano podjąć zmiany prawne w tym zakresie. Wyrażana jest opinia, że monitoring miejski w takim samym stopniu pomaga i szkodzi, ponieważ w dłuższej perspektywie pogłębiony monitoring buduje w mieszkańcach postawę konformizmu. Czyli fakt, że cały czas jesteśmy obserwowani – co wpływa w określony sposób na nasze zachowania, na nasze emocje – powoduje wzrost poczucia bezpieczeństwa w rozumieniu bezpieczeństwa osobistego, ale ma negatywny wpływ na nasze zachowania, prowadząc do bierności. Dlatego postulują – z czym prywatnie też się zgadzam – bardziej racjonalne korzystanie z rozwiązań monitoringu miejskiego, zdecydowanie w kierunku zachodnim niż wschodnim czy azjatyckim.
Uważam, że w Polsce potrafimy korzystać z zalet monitoringu wizyjnego, że jego forma jest racjonalna, właściwa, nie nadmiarowa. Co do tego nie mam żadnych wątpliwości. Większy problem mam z bezpieczeństwem przestrzeni cyfrowej i infrastruktury jako takiej.
Jeśli chodzi o rozwiązania w zakresie bezpieczeństwa i monitoringu przestrzeni miejskiej, to zwracam uwagę na rozwiązania oferowane przez start-upy. Jakiś czas temu miałem okazję spotkać się ze start-upem z Wrocławia, który wdraża rozwiązania wykorzystujące system monitoringu miejskiego do badania rozprzestrzeniania się COVID-19. Za pomocą odpowiednich algorytmów, w tym również tych do rozpoznawania temperatury ciała, określają prawdopodobieństwo pojawienia się ogniska choroby na danym obszarze miasta. Kamera ma wbudowany system termowizyjny do mierzenia temperatury ciała człowieka. Można przypuszczać z większym prawdopodobieństwem, że w trakcie pandemii osoba mająca podwyższoną temperaturę, która przemieszcza się po ulicy, jest nosicielem wirusa.
Opracowane algorytmy potrafią rozpoznać odległości pomiędzy ludźmi, którzy z zainfekowaną osobą miały styczność, i określić z dużym prawdopodobieństwem, ile z nich mogło się zarazić. W ten sposób bardzo skutecznie – oczywiście przy pewnej skali masowości – są w stanie określić prawdopodobieństwo zwiększenia zachorowań na COVID-19 w wybranych częściach miasta. Jednak jest to ingerencja w prywatność. Nie wiem, czy chciałbym, żeby tego typu rozwiązania były stosowane w Polsce. Ale z takimi rozwiązaniami już się spotykałem.
Mówiliśmy o systemach monitoringu wizyjnego w przestrzeni miejskiej, a jak pan postrzega nowości w kontroli dostępu? Czy ułatwiają życie?
Byłem pierwszym orędownikiem wprowadzania biometrii, jeszcze w trakcie projektowania przepisów wdrażających RODO. Odpowiadałem za część wprowadzenia do kodeksu pracy przepisów dotyczących biometrycznej weryfikacji tożsamości. Przepis pojawił się z wielkim trudem, był chyba najtrudniejszy do wprowadzenia ze wszystkich w kodeksie pracy. Pamiętam gorący apel najpierw GIODO, potem przekształconego Prezesa Urzędu Ochrony Danych Osobowych, że to jest zbyt duża ingerencja w prywatność. Próbowano w tych przepisach wprowadzić pewną furtkę, że można korzystać z biometrii do weryfikacji tożsamości tylko w niektórych rodzajach obiektów, np. w bankach przy kontroli jakości znaków pieniężnych czy tam, gdzie liczy się pieniądze, lub w obszarach medycznych. To się nie udało i według mnie bardzo dobrze, że ten przepis pozostał otwarty, gdyż dzisiaj widzimy, że jest on wykorzystywany racjonalnie. Pandemia nadała mu nowy wymiar, bo stał się podstawą prawną do tego, aby zakłady pracy mogły wykorzystywać biometrię do mierzenia temperatury pracowników w walce z COVID-19.
Jestem więc wielkim zwolennikiem korzystania z rozwiązań biometrycznych. Uważam, że dzisiaj znajdujemy się już na kolejnym etapie. Przypomnę, że pierwsza fala wdrażania przepisów polegała na tym, że przedsiębiorcy musieli zapewniać pracownikom również tradycyjną formę dostępu, czyli obok bramki biometrycznej musiała być bramka zwykła. W Ministerstwie Cyfryzacji pierwsze takie bramki zastosowano 5 czy 6 lat temu. Dzisiaj wydaje mi się, że wchodzimy w fazę, w której można przy dużej świadomości pracowników myśleć o tym, czy tego przepisu nie zrewidować jeszcze bardziej. Po prostu go dopuścić, ponieważ zawiera pewne zawężenie – mówi o tym, że można identyfikację biometryczną stosować, o ile jest to niezbędne do zapewnienia bezpieczeństwa zakładu pracy i eliminacji szkód. Uważam, że moglibyśmy otworzyć ten przepis, w całości dopuszczając korzystanie z rozwiązań biometrycznych do weryfikacji tożsamości.
Czy nie ma pan problemu z systemami rozpoznawania twarzy? Godzi się na przechwytywanie swojego wizerunku i zapisywanie go w bazach danych?
Nie do końca pochwalam te rozwiązania, ale nie ze względu na poczucie intymności czy ingerencji w moją prywatność, ale dlatego że systemy te są bardzo łatwe do oszukania. Pół roku temu przeprowadziłem eksperyment, z którego reportaż był emitowany w programie „Dzień dobry TVN”. Polegał on na tym, że wydrukowałem na drukarce 3D twarz określonej osoby, a następnie poszedłem do sklepu w telefonami komórkowymi i z wykorzystaniem tej twarzy otworzyłem wszystkie modele telefonów z systemem Android z 2019 i 2020 r. Następnie wydrukowałem w bardzo dobrej jakości twarz w normalnych rozmiarach i na podstawie tego zwykłego cyfrowego wydruku udało mi się otworzyć dwa telefony. To oznacza, że te systemy jeszcze nie mają sensora do pomiaru głębi. Wystarczy wydruk, żeby uwierzytelnić użytkownika. W związku z tym dzisiaj nie jest to rekomendowana forma weryfikacji tożsamości, łatwo bowiem system oszukać.
Wszystko oczywiście zależy od zaawansowania systemu. Próbowałem tej metody z telefonami z systemem iOS, których nie udało mi się oszukać, mimo że próbowałem podgrzać maskę lampą UV, symulując temperaturę ciała człowieka. Jednak dziś, przy pewnej masowości i skali stosowania, gdy nie mamy gwarancji, że każda technologia rozpoznawania twarzy jest ograniczona tylko do identyfikacji zewnętrznych cech fizycznych, powoduje, że dla mnie to nie jest rekomendowane rozwiązanie. A przynajmniej nie jako jednoelementowa metoda potwierdzania tożsamości. Przy autoryzacji wieloelementowej, jako jedna z nich, już jak najbardziej. I to się dzieje w telefonach komórkowych. Uzyskujesz dostęp za pomocą dwustopniowego uwierzytelnienia. W moim przekonaniu to jest akceptowalne.
Czy korzysta pan z systemu zabezpieczeń, np. włamaniowego?
Tak, ale z bardzo prostego. Dużo lepiej zabezpieczałbym nieruchomość, gdyby była oderwana od czynnika ludzkiego, jakim są sąsiedzi, jakim jest poczucie bezpieczeństwa miejsca, historia związana z włamaniami. Do zabezpieczenia nie podchodzę zerojedynkowo. Każde miejsce, każda nieruchomość i każde dobro, które mam, musi być chronione. Do wyboru rozwiązania podchodzę indywidualnie. Na nieruchomość patrzę w szerszym ekosystemie miejsca, w którym się znajduje.
Podam też inny przykład. Kilka miesięcy temu ukradziono mi spod domu samochód. I dzisiaj, decydując się na zakup czy wynajem auta, pierwszym moim pytaniem, zaraz po tym, ile spala na 100 km, jest pytanie o dwuskładnikowe zabezpieczenie samochodu. Czyli o specjalny token, który mam przy kluczykach, który zawsze musi znajdować się wewnątrz pojazdu, żeby go uruchomić. Decyzja o wyborze sposobu zabezpieczenia ma według mnie wymiar empiryczny. Wszystko zależy od naszych doświadczeń.
Są to pana doświadczenia jako użytkownika końcowego. A jak
– z punktu widzenia propagatora nowych technologii – ocenia pan umiejętność producentów elektronicznych systemów zabezpieczeń do wprowadzania najnowszych technologii w swoich produktach, rozwiązaniach?
Umiejętność ta jest zdeterminowana świadomością i oczekiwaniami klientów. Wydaje mi się, że wchodzimy w taką fazę personalizacji produktów – nie tylko w rozumieniu odpowiedzi na oczekiwania konkretnych użytkowników, ale też regionalizacji, czyli dostosowywania produktów do pewnych cech populacyjnych. I rzeczywiście tak jest.
Ostatnio rozmawiałem z Motorolą, że ten sam model telefonu różni się wbudowanymi domyślnie zabezpieczeniami czy funkcjonalnościami w zależności od kraju. Inne są np. w USA, inne w Europie, a jeszcze inne w Azji. Mamy inne preferencje populacyjne, inne oczekiwania. My – Europejczycy – cenimy sobie prywatność, ale jednocześnie szybkość, komfort i łatwość obsługi. A to niestety nie do końca idzie w parze z zabezpieczeniami. Produkty, które są oferowane – i nie mówię tylko o urządzeniach czy aplikacjach mobilnych, komunikatorach, które również powstają w Polsce – domyślnie nie mają najwyższego możliwego poziomu zabezpieczenia. Dają techniczną możliwość korzystania z nich, ale – jako użytkownicy – nie oczekujemy, nie wymagamy takich ustawień domyślnych. I to jest moje „wysokopoziomowe” spostrzeżenie w tym obszarze.
To znaczy, że my sami nie zabezpieczamy naszych urządzeń?
Absolutnie tak jest. Z jednej strony słyszymy o zagrożeniach, o cyberbezpieczeństwie, z drugiej zaś – poświęcenie 5 sekund na to, aby wzmocnić dostęp do naszego telefonu, to dla nas za dużo. Dokładnie tak samo jest – moim zdaniem – z systemami zabezpieczeń. Nie mam w tym temacie aż tak pogłębionej wiedzy, ale ostatnio spędziłem sporo czasu na analizie trendów związanych z urządzeniami mobilnymi, dlatego posłużyłem się ich przykładem.
Jak pan ocenia potencjał technologiczny branży elektronicznych systemów zabezpieczeń na tle innych branż?
Uważam, że potencjał jest ogromny. Liczba polskich firm w tym obszarze jest gigantyczna. Od dłuższego czasu zajmuję się promowaniem polskich start-upów technologicznych, m.in. na LinkedIn. Branża zabezpieczeń ma ten problem, że nie jest ławo ją pokazać w sposób interesujący. Ona nie jest spektakularna w rozumieniu całych rozwiązań. Tu nie ma fajerwerków, a firmy bardzo na tym cierpią. Niedawno spotkałem się ze start-upem, który wdrożył fantastyczny system informowania o pożarze. Są w stanie, za pomocą algorytmów, wykryć pożar jeszcze w jego początkowej fazie, kiedy ugaszenie nie powoduje dużych szkód. Rzeczywiście długo zastanawiałem się, w jaki sposób to pokazać, żeby było atrakcyjne dla odbiorcy. W zasadzie dzisiaj nie jest to możliwe. I to wydaje mi się jest problemem tej branży.
To smutne…
Tak, jestem po prostu szczery. Jeśli spojrzy się na segmenty rozwoju technologii, to widać takie, o których się mówi bardzo często, np. o automatyzacji, robotyzacji, sztucznej inteligencji, bo je bardzo łatwo pokazać. Natomiast w branży zabezpieczeń jest to dużo trudniejsze. To powoduje, że niestety branża, jeżeli chodzi o dotarcie z nowymi rozwiązaniami, bardziej kuleje.
W takim razie w jaki sposób dostawcy technologii powinni przekonywać użytkowników do stosowania ich rozwiązań opartych na najnowszych technologiach?
Pokazując korzyści bezpośrednio po stronie użytkownika. Schodząc z takiego piedestału uniwersalnych wartości, mówić o bardzo konkretnych korzyściach. Pokazując historię, która najlepiej sprzeda rozwiązanie. Ludzie lubią się uczyć na błędach. Pokazując negatywne konsekwencje wynikające z braku wykorzystania tego typu systemów, jesteśmy w stanie przekonać użytkownika końcowego do tego, że musi z nich korzystać, by uniknąć błędów czy zagrożeń. Negatywne konsekwencje mogą się wiązać z naruszeniem tajemnicy przedsiębiorstwa, wyciekiem danych osobowych, naruszeniem prywatności, intymności, a to może wpłynąć na spadek wartości firmy, pociąga też skutki dla pracowników. Tylko w ten sposób, pokazując konkretne historie ludzi, które naprawdę się wydarzyły.
A czy zamiast podkreślać błędy, nie lepiej chwalić się rozwiązaniami, które zostały zrealizowane z sukcesem?
Powiem szczerze, że jeśli chodzi o pokazywanie technologii, jedną z form, jaką często stosuję, jest akcentowanie polskości, czyli pokazywanie polskiej myśli innowacyjnej – że u nas mogło coś powstać, że to jest kreatywne. Bo my mamy kompleks narodowy, nam się wydaje, że jako Polacy jesteśmy w ogonie rozwoju świata, co wcale nie jest prawdą. My będziemy to komentować, możemy być z tego dumni, ale niestety nie idzie to w parze z decyzją zakupową. Natomiast kiedy pokazuję konkretną historię ludzką, ktoś sobie ją spersonalizuje i dojdzie do wniosku, że sam też mógł paść ofiarą tego typu zjawiska. Kiedy pokazuję konkretną negatywną konsekwencję, dużo łatwiej jest namówić decydenta do zakupu rozwiązania.
Ale czy klient zgodzi się na upublicznienie tego typu przypadku?
Przykłady można zanonimizować. Można też, wychodząc od negatywnego skutku, pokazać, jak rozwiązanie wpłynęło na korzyść firmy. Najlepsze efekty osiąga się, pokazując historię na konkretnym przykładzie. Oczywiście nie należy ujawniać wszystkich zabezpieczeń, ale można pokazać, jaką technologię zastosowaliśmy, bez szczegółów dotyczących działania algorytmów. Nie wolno ujawniać kodów, ale można pochwalić się, że zastosowaliśmy sztuczną inteligencję. Możemy powiedzieć, jakie kamery zastosowaliśmy, ale nie ujawniać ich lokalizacji.
Ludzi nie interesują szczegóły techniczne, ich interesuje praktyczny aspekt wykorzystywania technologii. Coraz częściej wchodzimy w fazę rozwoju technologii, gdzie od pracowników oczekuje się wiedzy technologicznej, a nie wiedzy inżynieryjnej. Czyli wszyscy musimy rozumieć technologię, rozumieć, w jaki sposób określone rozwiązanie mieści się w ekosystemie technologicznym, czym jest rzeczywistość rozszerzona, wirtualna, technologia blockchain, sztuczna inteligencja, uczenie maszynowe. Musimy wiedzieć, co to znaczy, umieć dane rozwiązanie umiejscowić w pewnym ekosystemie, ale nie musimy wiedzieć, jak to technicznie działa od strony inżynieryjnej. Nikt od nas tego nie oczekuje. Skupmy się na pokazaniu rozwiązania i skutków jego stosowania dla konkretnych użytkowników. Bez ujawniania kuluarów, czyli wiedzy inżynieryjnej.
Wspomniał pan o najnowszych technologiach. Czy przyszłość branży elektronicznych systemów zabezpieczeń należy do sztucznej inteligencji?
Wiem, że to jest stwierdzenie sztampowe, ale naprawdę przyszłość zależy od sztucznej inteligencji. Uważam, że przeceniamy ją, tzn. wizje, które mówią o tym, że sztuczna inteligencja nas zastąpi, czy sieci neuronowe zastąpią proces myślenia, to jest oczywiście bzdura. Dzisiaj nie potrafimy stworzyć sieci neuronowej, która jest w stanie symulować ruchy muchy, a co dopiero mózgu człowieka, którego działania do końca jeszcze nie poznaliśmy.
Przyszłość automatyzacji procesów natomiast należy do algorytmów. To nie ulega żadnej wątpliwości. One w jakiś sposób uniwersalizują i obiektywizują, czyli odrywają proces decyzyjny od tego, co subiektywne. Są w stanie w jednej chwili podjąć decyzję, wykorzystując tysiące podobnych stanów faktycznych, i w pewien sposób uniwersalizują odpowiedź, czyli ją obiektywizują. I to jest największa wartość algorytmów. Uważam, że tak rzeczywiście będzie, że to jest przyszłość rozwoju technologii.
O sztucznej inteligencji tak naprawdę mówi się od roku 1958. Potem przez 60 lat się rozwijała, najpierw na poziomie teoretycznym, później praktycznym. To jest jedyna technologia, która swój rozwój rozpoczęła nie od praktyki, tylko od teorii. Bo gdy mówimy o technologiach blockchain, big data, o Internecie rzeczy, zaczęliśmy tworzyć konkretne rozwiązania. Sztuczna inteligencja natomiast rozpoczęła swój rozwój od teorii, od filozoficznego ujęcia jej mechanizmów. A później podążaliśmy w kierunku tworzenia konkretnych rozwiązań. Jest to technologia nieprawdopodobnie dopasowana do naszych potrzeb, więc wydaje mi się, że jest absolutnie kierunkiem rozwoju.
Czy świat będzie wyglądał tak jak w wizji filmu „Raport mniejszości”?
Nie, myślę, że tak nie będzie wyglądał. Jest taka teoria w rozwoju nowych technologii, która nazywa się „doliną niesamowitości”. Wskazuje ona granice rozwoju technologii, której my, jako ludzie, nie chcemy przekraczać. I tą granicą jesteśmy my sami – tzn. wszystko to, co w jakiś sposób konkuruje z nami, ten proces decyzyjny, który jest dla nas konkurencyjny, który wypiera człowieka. Stąd Boston Dynamics wycofał się z tworzenia robotów humanoidalnych na rzecz robotów psów, które są w stanie pomóc człowiekowi dokładnie tak samo, ale jednocześnie nie tworzą poczucia zagrożenia. I dlatego ten robot, który nazywa się Spot, fantastycznie się sprzedaje. Bo sylwetka psa nie powoduje u nas poczucia zagrożenia, gdyż utożsamia się ze zwierzęciem uległym, miłym i sympatycznym. W przeciwieństwie do robotów humanoidalnych, które mogą wywołać negatywne emocje.
I dokładnie tak jest z każdą technologią. Wszędzie tam, gdzie widzimy konkurencję, niechętnie z niej korzystamy. Z kolei tam, gdzie rozwiązanie technologiczne jest w pew rozwiązania stosujemy. Oczywiście powstają cuda technologiczne, które próbują zastąpić człowieka, ale na tym etapie pozostają one w sferze gadżetów.
Ja nie widzę przyszłości świata w czarnych barwach, wręcz przeciwnie.