Af Jesper Lund, formand for IT-Politisk Forening
23. april 2020
Der er nyt om den danske app til korona kontaktsporing (“Smittestop”), og det er desværre ikke gode nyheder. En app som kunne være lavet sikkert, med “privacy engineering” [software med indbygget privatlivssikring] og decentral lagring på telefonerne af oplysninger til eventuel senere kontaktsporing, bliver i stedet lavet som Kina-style totalovervågning med centrale databaser om, hvem borgerne møder i det fysiske rum (tænk “logning”, blot på fysiske møder i stedet for telefonopkald) https://www.dr.dk/nyheder/penge/danmarks-corona-app-har-faaet-et-navn-her-er-detaljerne
Først lidt baggrund om hvad disse apps gør
De fleste apps til kontaktsporing bruger BLE (Bluetooth Low Energy) beacons til at udsende ID-koder (UUID), som telefoner i nærheden kan opfange. En tæt fysisk kontakt defineres typisk, som at to telefoner er tilpas tæt på hinanden i mere end 10-15 minutter (parametre defineret af epidemiologer). Ideelt set er det 2 meter, men BLE rækker normalt længere (op til 10 meter). Det kan man prøve at korrigere for ved at måle signalstyrke. Der er dog en masse usikkerheder her, som denne Version2 artikel beskriver
BLE er den mindst ringe teknologi, eftersom det primære alternativ, matching af GPS-positioner, er forbundet med større usikkerheder under realistiske forhold som indendørs, specielt i etageejendomme, og selv udenfor, når der er bygninger, som skygger. Dertil kommer at “privacy engineering” opgaven er sværere med GPS, fordi lokation ikke kan anonymiseres.
Med BLE er det muligt at lave en app, hvor en smittet person kan advare andre personer, som han/hun har været i nærheden af inden for de sidste X dage, som opfylder disse krav om privatlivsbeskyttelse:
1) Den smittede person ved ikke, hvem han/hun advarer
2) De personer, som modtager advarslen, ved ikke, fra hvem den kommer (advarslen kommer anonymt)
3) Ingen central aktør, hverken staten, techgiganterne eller nogen anden, opsamler information om, hvem der mødes i det fysiske rum, og hvor det sker
Et eksempel er DP-3T projektet og den fælles specifikation fra Apple og Google https://github.com/DP-3T/documents
Punkt 2) er med det forbehold, at der vil være helt specielle situationer, hvor man ved hjælp af anden information kan finde frem til, hvem der er afsender på den anonyme advarsel. Det kunne fx være en person, der har siddet hjemme og læst til eksamen de sidste fem dage, kun afbrudt af en Tinder-date som eneste tætte fysiske kontakt. Denne risiko eksisterer imidlertid for alle typer kontaktsporing, også de manuelle metoder.
Meningen med disse advarsler er, at modtageren skal gå i frivillig karantæne eller i hvert fald reducere tætte kontakter, holde øje med symptomer på COVID-19 eller blive testet, afhængig af hvilke muligheder sundhedssystemet tilbyder (det har ikke så meget med app’ens funktion at gøre; men brug af app’en skal ske i sammenhæng med en passende epidemiologisk strategi, ellers giver det ikke mening).
Når der er fokus på kontaktsporing i forhold til COVID-19 skyldes det især, at en del af smittespredningen finder sted præ-symptomatisk, altså før den smittede person selv bliver klar over at han/hun er smittet (via symptomer eller et diagnostisk PCR test). Hvis de personer, som modtager advarslen, kan undgå at smitte andre, fordi de tager passende forholdsregler i tide, eller i det mindste kan smitte færre, kan det være med til at bryde smittekæder.
Træerne vokser dog ikke ind i himlen for app-baseret kontaktsporing, som denne blogpost af chefudvikleren for app’en i Singapore forklarer. En app kan alene være et supplement til den manuelle kontaktsporing
https://blog.gds-gov.tech/automated-contact-tracing-is-not-a-coronavirus-panacea-57fb3ce61d98
Med en sådan højst usikker effekt af apps til kontaktsporing er der al mulig grund til at være skeptisk over for sådanne apps, specielt hvis de kommer med overvågningselementer, der inviterer til function creep [udvidet brug af teknologi ud over det oprindelige formål, især når det fører til overtrædelse af privatlivsfred]. Det vil indebære en overhængende risiko for, at dataindsamlingen bliver brugt til andre formål, og at den bliver permanent ligesom tele-logningen, som vi kæmper med på snart 20. år (vedtaget i 2002, selv om selve logningsbekendtgørelsen er fra 2007). Edward Snowden forklarede dette meget fint i DR1 Horisont i mandags.
https://www.dr.dk/drtv/se/horisont_-staten-overvaager-borgerne-_-i-kampen-mod-corona_181496
På den anden side er det nemmere at være pragmatisk, hvis app’en er designet, så risikoen for borgernes privatliv er minimal, og hvis der ikke er nogen centraliseret dataindsamling (som logningsbekendtgørelsen), som kan misbruges. Især hvis alt dette kan verificeres af “open source”
implementering, hvilket er muligt med DP-3T [decentraliseret privatlivsbevarende kontaktsporing]. Østrig og Schweiz vil basere deres corona-app på DP-3T
Det vil Danmark desværre ikke, som DR artiklen ovenfor beskriver. Danmark vil heller ikke bruge Apple-Google specifikationen, fordi man ifølge Digitaliseringsstyrelsen hellere vil bruge “dansk infrastruktur”. Det er en forklaring, som ikke rigtig giver mening, se min Version2 kommentar her
Ifølge DR artiklen vil den danske app bruge Bluetooth (BLE), men alle kontakter (dvs. Bluetooth koder udvekslet mellem to telefoner) vil blive sendt til en central server, jf. sætningen “Men det fremgår også, at alle ‘møderne’ mellem telefonerne vil blive samlet på en central server.” (jeg har fået dette bekræftet fra anden, uafhængig kilde).
Alle oplysninger om kontakter (hvem “mødes” med hvem) vil være direkte personhenførbare, fordi der skal bruges NemID i app’en (det vil blive solgt som pseudonymiseret, som mange, specielt en del journalister, tror er det samme som anonymt). Det er noget nær den værst tænkelige løsning med totalovervågning som den app, der bruges i Kina, og det diametralt modsatte af det sikre DP-3T koncept.
Der mangler en masse detaljer om den danske app, som givetvis kommer drypvist i den kommende tid. Men formentlig på en måde, som er kraftigt styret af myndighederne og Netcompany. I denne artikel (bag paywall) forsikrer André Rogaczewski, direktør i Netcompany, at alt er godt, uden at journalisten magter at stille et eneste kritisk spørgsmål https://www.berlingske.dk/danmark/ny-app-skal-sniffe-sig-frem-til-danskernes-daarlige-adfaerd-det-handler-om
Der er imidlertid et par centrale elementer i DRs beskrivelse (baseret på dokumenter som DR har modtaget fra Sundheds- og Ældreministeriet), især det centrale register over alle kontakter, og back-end integrationen med databasen over testresultater, som er nærmest identisk med den norske app, og denne app har vi en del information om, fordi den blev udgivet i sidste uge. Den norske app bruger BLE og GPS med en central database over alle kontakter mellem telefoner og alle GPS-lokationer. Den danske app vil ifølge DR artiklen kun bruge BLE, omend der står, at Sundheds- og Ældreministeriet også er interesseret i den norske tilgang, hvor der bruges lokation foruden GPS.
Denne personvern erklæring (på norsk) forklarer, hvilke data der indsamles i den norske app https://www.fhi.no/sv/smittsomme-sykdommer/corona/bruk-av-smittestopp/
Se afsnit 3 “Hvilke personopplysninger som samles inn og hvor lenge de lagres”
* GPS-posisjon slik at nærkontakt med andre personer/mobiltelefoner kan spores, det vil si at det registreres bevegelsesmønster kontinuerlig (lengdegrad, breddegrad, hastighet, høyde over havet, tid på ulike lokasjoner) når Smittestopp er aktivert og mobiltelefonen er påslått
* Generert UUID fra Smittestopp (unik ID som følger telefonnummeret)
* Bluetooth-data om Smittestopp-apper på andre telefoner som er innen rekkevidde av telefonen (startidspunkt for kontakt, sluttidspunkt for kontakt, generert UUID for telefoner i nærheten, vektor med signalstyrke for telefoner i nærheten) logges kontinuerlig
Det fremgår også, at disse oplysninger sendes til statens server (Microsoft cloud i Irland). Det er yderligere beskrevet i GDPR konsekvensanalysen https://www.fhi.no/contentassets/67d72db7c1ba4e2f9a70e9606b1c7ab0/dpia-smittestopp.pdf
Man kan også læse, at den norske app sender selv meget korte kontakter til serveren, idet det er server-side dataanalyse som afgør, hvad der er en “tæt kontakt”, som skal udløse en advarsel, hvis den ene person er smittet. Sagt med andre ord: enhver anden mobiltelefon, som man passerer i BLE radioafstand (op til 10 meter), og hvor den ene af de to mobiltelefoner vil opfange/modtage en BLE UUID fra den anden, vil medføre en registrering i den store centrale database.
Som alt dette ikke er slemt nok, har udviklerne i Norge gud hjælpe mig designet app’en så der broadcastes en BLE UUID, som ikke skifter over tid, og som derfor vil kunne misbruges til stalking https://www.vg.no/nyheter/innenriks/i/y3dwae/har-funnet-sikkerhetsrisiko-i-smittestopp-appen-kan-brukes-til-aa-spore-andre
Den norske konsekvensanalyse forholder sig lidt (side 17) til decentrale alternativer, som med deres egne ord vil være mindre indgribende (for at sige det mildt..), men de afvises hurtigt med tvivlsomme argumenter. Den centrale databaseløsning kan muligvis reducere usikkerheden lidt i visse situationer, men det er virkelig ikke ret meget i forhold til den usikkerhed, som der altid vil være med brug af BLE til at registrere tætte kontakter.
Eneste trøst for den danske app er, at Apple telefoner har begrænsninger på, hvordan apps kan bruge BLE beacons når de kører i baggrunden. Det kommende Apple-Google API til kontaktsporing vil via en systemopdatering på iOS fjerne disse begrænsninger, men kun for apps, som bruger decentrale løsninger ala DP-3T. Digitaliseringsstyrelsen håber imidlertid, at Apple også vil give den danske spyware app uhindret BLE adgang, men det er nok mere end tvivlsomt. Der er en større diskussion i gang med Apple om dette, ikke bare i Danmark men også andre europæiske lande, og journalister har en fest med at skrive artikler med overskrifter som at “EU-regeringer beder Apple reducere databeskyttelsen”. Hvem havde set den komme for bare en måned siden..?
En sidste nyhed på den negative front: den første version af den danske app skal slet ikke bruges til kontaktsporing. Den funktionalitet kommer først senere (det samme er tilfældet i Norge). I første version handler det bare om dataindsamling om brugernes adfærd (“logning” af fysiske
kontakter) og lidt “gamification” ala det kinesiske social credit system. Brugeren af app’en får løbende oplysninger om antal tætte kontakter, og om dette er lavere eller højere end gennemsnittet. Det tal vil dog være ret arbitrært og afhænge af, hvordan app’en definerer en tæt kontakt, og hvor mange andre personer der bruger app’en (jo flere brugere, desto flere kontakter vil blive registreret, og desto dårligere vil brugeren være til at “holde afstand”).
Som afsluttende bemærkning: tænk lidt over hvem der kunne være interesseret i en stor database om vores sociale interaktioner med tidspunkt og tidsrum, selv hvis det er uden lokation (det kan nemt klistres på senere via andre oplysninger, fx masteoplysninger fra logningsbekendtgørelsen).
Politiet og Udbetaling Danmark (“hvem sover hvor?”) er ret oplagte kandidater her.
Mvh
Jesper Lund
Andrew Rump
Denne artikel er ikke relevant, da den dansk app, Smittestop, bruge Google & Apple’s Exposure Notification API.
Mads Wedel-Ibsen
Kære Andrew
Artiklen er skrevet af Jesper Lund, formand for IT-politisk forening. Hvis du mener der er urigtige oplysninger i artiklen bedes du kontakte forfatteren via itpol.dk
Fremkommer forfatteren med nye oplysninger retter vi artiklen til.
Mvh
Mads Wedel-Ibsen
Formand for bestyrelsen i May Day