Jak jste se vy a vaše firma Internet 2.0 stali součástí celého příběhu?
Oslovil nás Christopher Balding prostřednictvím našeho společného známého (Balding je americký ekonom, v minulosti působil na univerzitě v čínském Pekingu a po návratu do Spojených států upozorňuje na počínání čínské vlády, pozn. red.). Chtěl, abychom mu pomohli s obnovením databáze.
Šlo o soubor dat s označením OKIDB, který unikl z čínské firmy, ale byl poškozený. Znali jste se s Baldingem z dřívějška?
Ne. Setkali jsme se až v březnu. Když jsme se podívali na tu databázi a pochopili jsme, o co se jedná, došlo nám, že tohle se musí dostat na veřejnost. Obětovali jsme hodně času i naší IT infrastruktury, aby se nám podařilo databázi obnovit pro potřeby Mezinárodního konsorcia novinářů (patří do něj redaktoři listů Washington Post, Daily Telegraph, Australian Financial Review a další, pozn. red.).
Když jste se s Baldingem předtím neznali, proč jste mu na to kývli? Co byla vaše motivace?
Podle mě budování takové databáze zcela odporuje principům evropského nařízení o ochraně osobních údajů GDPR. Cílem GDPR je zabránit tomu, aby takovéhle věci vznikaly. Protože ale v Číně neexistuje způsob, jak tomu zabránit, rozhodl jsem se, že se to musí dostat ven.
Podle vás je únik osobních dat v celém případu tím největším problémem?
Pro Evropu a pro Českou republiku ano.
My se zaměřujeme na kybernetickou bezpečnost. Řešíme její prolomení, když jsou ohrožena něčí data nebo peníze. Tím se zabývám každý den. Takže pro nás je to svým způsobem normální.
Když se ale někdo v Číně rozhodne propojit víc ukradených databází, vytváří tím nástroj, který by vůbec neměl existovat. Je zakázané takové databáze vytvářet, porušuje to podmínky služeb jako Facebook nebo Twitter. Nikdo z jejich uživatelů nedal souhlas k tomu, aby Zhenhua Data používala jeho osobní údaje, což firma udělala.
Vy i Robert Potter, se kterým jste firmu Internet 2.0 založil, jste v minulosti pracovali pro tajné služby. Pomohla vám tato zkušenost v analýze Zhenhua Data?
V tuto chvíli nemáme smlouvy s bezpečnostními službami. Navíc jsme se zabývali jen údaji v té databázi. Že existuje spojení mezi firmou Zhenhua Data a čínskou rozvědkou, odhalili až kanadští novináři.
Záleží na schopnostech kombinovat
Pohledy na to, do jaké míry a proč je čínská databáze nebezpečná, se liší. Co si o tom myslíte vy?
Důležité je, jestli dokážete zkombinovat informace ze sociálních sítí s daty z jiných úniků. Takových, během nichž se ztrácí i veřejně nedostupné informace - osobní údaje zaměstnanců americké vlády a jejich příbuzných nebo čísla řidičských průkazů, rodné listy, adresy a telefony. Pokud ano, dostanete poměrně objemnou databázi dat o spoustě lidí.
V případu firmy Zhenhua Data Technology se v drtivé většině jednalo o veřejně dostupná data, zejména ze sociálních sítí. Objevili jste ale i data, která běžně přístupná nejsou.
Ano. Nesdíleli jsme žádná z nich, s výjimkou seznamu jmen a štítků, které jim byly přiřazeny - že je někdo příbuzný politika, člen armády, politicky exponovaná osoba a tak dále. Byly tam ale i služební záznamy amerických vojáků, amerických jaderných vědců. Snažili se je zkombinovat s veřejně dostupnými metadaty, aby tyto záznamy propojili s pohybem amerických vojenských plavidel v reálném čase.
Z jakých zdrojů čerpali?
To nejsme schopni ověřit. V databázi se nepíše, odkud ta data pochází.
Můžete ale potvrdit, že jsou to údaje, které není možné najít na internetu jinak než velmi pokročilými metodami vyhledávání?
Ano. Je tam například hodně záznamů o čínských a ruských firmách. A z mého pohledu nejsou ani metadata získaná z Twitteru zcela veřejně dostupná. Člověk potřebuje složité technologie, aby získal metadata o milionech uživatelů.
Čínská společnost ale tyto složité technologie má?
Ano.
Hlavně Američané
Když se vrátíme k neveřejným informacím z databáze, zdá se, že většina se týká Američanů.
Nejméně pětina údajů z celé databáze se týká jen Spojených států. Neznám přesný podíl neveřejných dat, ale řekl bych, že to také bude velká část.
Takže data o lidech a firmách se liší podle jednotlivých zemí. Proč to tak podle vás je?
Nevím, proč databázi postavili tímhle způsobem. Ale je to soukromá firma, což mě vede k názoru, že kdokoliv od ní data nakupoval, chtěl prostě víc informací o zemích jako Austrálie, USA, Kanada a Spojené království - než třeba o Švédsku nebo Dánsku.
Američanů bylo zatím identifikováno asi 50 tisíc, Britů zhruba pětkrát méně. V českých datech, která zahrnují necelých 700 lidí, se často objevují příbuzní známých osobností. Proč?
Právě to je zřejmě jednou z hlavních vlastností databáze. Snažili se sledovat záznamy spolupracovníků a blízkých příbuzných, dětí, rodičů nebo manželů vlivných osobností v jednotlivých zemích. To znamená novinářů, soudců, politiků, vojenských představitelů, podnikatelů. Masivně mapovali nejbližší okolí těchto lidí.
Proč jsou to zajímavé informace?
To by vám musel zodpovědět nějaký expert na Čínu.
V českých záznamech se také objevují lidé nějakým způsobem spojení s finanční kriminalitou. Čím jsou zajímaví oni?
Například v Austrálii jsme narazili na to, že se někdo snažil odhalit záznamy o kriminální činnosti všech osob s příjmením "Gilmour". A pak také údaje o firmě Gilmour Space Technologies, která vyvíjí technologie pro vypouštění raket do vesmíru. Zjevně se snažili najít někoho, kdo by mohl mít záznam v trestním rejstříku a zároveň by byl spojen s firmou. Nakonec nikoho nenašli.
Mocná čínská data
Je z vašeho pohledu zřejmá vazba firmy Zhenhua Data na čínskou vládu nebo armádu?
Novináři, kterým jsme databázi předali, v záznamech internetové komunikace objevili třeba zmínky o tom, že firma pro prohledávání dat z Twitteru používala vojenskou technologii. A někteří z partnerů firmy mají podle zjištění novinářů velmi úzké vazby na čínskou vládu. Vypadá to, že soukromá firma vytvořila databázi, aby z ní pak filtrovala informace pro vojenské zpravodajství a politiky Číny.
Myslíte si, že je takových firem víc?
Ano.
Proč tomu tak je?
I v Číně fungují některé prvky svobodného trhu. Pokud existuje poptávka, mohou si tím vydělávat. Víme, že se tím zabývalo 25 analytiků.
Pokud je poptávka v Číně, není i jinde?
Ano, ale v tomto případě bych zmínil důležitost soudního dohledu. Americkým ekvivalentem je firma Palantir. Když si ale v jejích databázích chcete někoho vyhledat, musíte na to mít oprávnění. To Čína nemá.
David Robinson a jeho Internet 2.0
Australan David Robinson je jedním ze dvou zakladatelů firmy Internet 2.0, která se zabývá poskytováním technologií pro kybernetickou bezpečnost. V minulosti pracoval jako důstojník australských tajných služeb. Jako příslušník australské armády byl nasazen ve válkách v Iráku a Afghánistánu.
Kromě Robinsona stojí v čele Internet 2.0 Robert Potter, odborník na kyberbezpečnost, který v minulosti působil mimo jiné jako vysoce postavený poradce a externí spolupracovník australské vlády.
Zhenhua Data Technology se chlubila, že její data jsou "mocná". Že jejich použití může pomoct narušit fungování západních společností.
Ano, to bylo zmíněné v jedné z konverzací, které jsme získali. Bylo to v rámci rozhovoru o hybridních válkách.
Někteří experti na kyberbezpečnost to ale zpochybňují. Podle nich konkrétně tato data nemohou stačit.
Asi to nebude nejlepší databáze z těch, které existují, ale dobře ilustruje možnosti. Samotná její existence naznačuje, že podobných databází bude víc.
Podle expertky na Čínu Samanthy Hoffmanové (z Centra pro kybernetickou politiku Australského institutu strategické politiky, pozn. red.) přímo Čínská lidová armáda tvrdí, že 90 procent jejích informací pochází z veřejně dostupných zdrojů. Takže ačkoliv tahle databáze není úplně fantastická, jedná se o přesný příklad něčeho, co se oni snaží budovat.
Podobný případ na západě
Říkal jste, že západní tajné služby jsou pod dohledem. Jak je to ale se soukromými firmami na západě, copak ty osobní údaje nesbírají?
Podle mě má Facebook lepší informace než kdokoliv jiný.
A to není problém?
Každá západní demokracie má vlastní systém, jak zabránit vzniku podobných databází a snahám příslušníků tajných služeb o to, aby se do nich dostali.
Napadá mě srovnání s případem Cambridge Analytica. Tato britská firma měla netransparentním způsobem využívat osobní údaje uživatelů Facebooku v předvolebních kampaních, například před referendem o brexitu a prezidentskými volbami v USA před čtyřmi lety. V čem jsou si podobné a v čem se liší?
Nejsem expert na Cambridge Analytica, ale skutečně se podobají. Obě firmy využívaly veřejně dostupná data, sbíraly je v masové míře. Aby získaly hodnotné informace o důležitých lidech. Aktuální případ se ale zdá být víc zacílený. Data Cambridge Analytica byla údajně použita na ovlivnění voleb. Ale ať za tím stál kdokoliv, zcela zjevně to nebyla americká ani australská tajná služba.