TIndická vláda je špatně informovaná a nyní stažená, direktivu k přednačtení své aplikace „Sanchar Saathi“. na každém novém smartphonu stály na průsečíku dvou skutečných problémů: jasného růstu kybernetických podvodů a krádeží identity a neustálého rozšiřování státního přístupu k osobním údajům pomocí nástrojů, které je obtížné auditovat. Vláda představila „Sanchar Saathi“ jako praktickou odpověď na podvody, které využívají falešná zařízení a anonymní účty. Ale když stejná aplikace získá privilegovaný přístup ke stovkám milionů zařízení, strukturálně to změní kapacitu země pro sledování.
Výrobcům bylo řečeno, aby aplikaci dodávali tak, aby byla viditelná při prvním použití zařízení uživatelem a aby se ujistili, že ji uživatelé nemohou deaktivovat. Zprávy naznačovaly, že aplikace bude nainstalována s privilegovaným stavem, což jí poskytne široký přístup k funkcím zařízení, jako je telefon, SMS a poloha, s aktualizacemi přenášenými vzduchem. To sedělo neklidně s faktem že indická vláda již provozuje Sanchar Saathi jako soubor portálů a krátkých kódů. Dnes mohou uživatelé ověřit číslo IMEI zařízení zasláním SMS s textem „KYM“ a svým číslem IMEI na 14422 nebo kontrolou čísla na webových stránkách Sanchar Saathi nebo CEIR. Tyto nástroje fungují bez jakýchkoliv vševědoucích aplikací v telefonu.
Při náhodném obratu událostí vláda svou směrnici stáhla 3. prosince po drtivé reakci skupin občanské společnosti, opozičních politických vůdců a aktivistů za digitální práva. Jak Hinduisté uvedla, že vláda „již nebude vynucovat povinný požadavek na předinstalaci“ a že „úředníci zdůraznili, že uživatelé mohou aplikaci kdykoli odinstalovat“.
Test nezbytnosti
Hinduistéúvodník 3. prosince poukázal na to, že směrnice neprojde testem proporcionality, který vyslovil Nejvyšší soud KS Puttaswamy (2017), protože stejných cílů mohou dosáhnout stávající portály, kódy USSD a kontroly založené na SMS.
Aplikace „Sanchar Saathi“. může také selhat v testu nezbytnosti ze stejného rozsudku. (Třetím testem je zákonnost.) Není pochyb o tom, že kybernetické podvody, včetně podvodů s „digitálním zatýkáním“ a investičních schémat, se všude staly sofistikovanějšími. INTERPOL odhadl, že finanční podvody online stály oběti v roce 2023 celosvětově více než bilion dolarů. Ale z ústavního hlediska je „toto je vážný problém“ nedostatečným odůvodněním; stát musí ukázat, že neexistují žádné stejně účinné a méně rušivé způsoby, jak tento problém řešit. A v Indii běží rekord již mnoho let opačným směrem.
Zaprvé, země již má telekomunikační systém hlášení spamu a podvodů postavený na aplikaci TRAI „DND“ a krátkém kódu 1909, který využívá stížnosti uživatelů k odpojení a blacklistu spamových čísel. Portály Sanchar Saathi a CEIR již také podporují ověřování a blokování IMEI prostřednictvím SMS a webových rozhraní.
Aplikace „DND“ měla také varovný příběh. Byl navržen tak, aby četl protokoly hovorů a SMS, aby uživatelé mohli hlásit spam. Apple léta odmítal povolit tuto verzi do svého obchodu, protože komplexní přístup k protokolům telefonu považoval za vážné porušení svých zásad ochrany osobních údajů. Po kompromisu Apple přidal nástroje na systémové úrovni pro hlášení spamu a nakonec schválil užší verzi aplikace. Nový mandát „Sanchar Saathi“ připomněl stejný vzor, ale v mnohem větším měřítku a se státem vyrobenou aplikací, která byla na většině zařízení jak privilegovaná, tak neodstranitelná.
Na pozadí nevyřešených otázek o použití spywaru Pegasus proti novinářům, politikům a aktivistům v Indii existuje jasný deficit důvěry v jakékoli opatření oživené centralizačním impulsem.
Cynické řešení
Zadruhé, privilegovaná aplikace, která sedí téměř na každém smartphonu, je atraktivním cílem nejen pro státní orgány, ale také pro zločince, kterým se podaří kompromitovat buď aplikaci samotnou, nebo její aktualizační kanály. Výzkum v oblasti kybernetické bezpečnosti opakovaně ukázal, že jakmile útočníci získají oporu v široce nasazené systémové komponentě, mohou se ve velkém měřítku pohybovat laterálně. Směrnice byla sporná, protože vláda nemohla rozumně požadovat, aby občané přijali toto dodatečné systémové riziko, když by základní funkce kontrol pravosti zařízení mohla být poskytována přes užší kanály, které jsou přístupné pouze na vyžádání a nezůstávají na pozadí.
Za třetí, a to je možná nejdůležitější, směrnice byla pravděpodobně cynickým řešením. Digitální podvody se silně opírají o sociální inženýrství: podvodníci neuspějí, když ukradnou peníze nebo pověření, ale když v uživatelově mysli vytvoří strach, naléhavost a pocit falešné autority. Nedávná zpráva Bank for International Settlements týkající se digitálních podvodů poukázala na to, že mnoho incidentů zneužilo uživatele spíše než technické nedostatky, a doporučilo vzdělávání zákazníků stejně jako technická opatření k nápravě problému. Práce OECD v oblasti digitální finanční gramotnosti podobně zarámovala bezpečné používání digitálních plateb jako kompetenci, kterou lze učit a procvičovat.
Změna uživatelského chování je více žádoucí než vyhrožování ohrožením (digitální) integrity jednotlivců a jejich práv. Jednotlivci tak získají dovednosti a dispozice odolávat všem podvodům, nikoli pouze těm, které spoléhají na digitální negramotnost a strach z autority. I když je tento způsob také pracnější a časově náročnější, jeho zisky budou výkonnější a odolnější.
Důkazy ze zemí globálního jihu takové zaměření podporují. V Keni vědci, kteří v roce 2023 studovali podvody po telefonu, vyvinuli měřítko „schopnosti identifikace podvodu“ a otestovali jemný vzdělávací zásah založený na běžných tipech. Zjistili, že obecné rady nezlepšily celkovou schopnost uživatelů rozlišit podvody od skutečných zpráv a někdy způsobily, že uživatelé byli příliš opatrní, v důsledku čehož nesprávně klasifikovali i legitimní komunikaci. Poučení nezní tak, že změna chování je irelevantní, ale že ji nelze upravit pomocí sloganů. Musí být nepřetržitý, kulturně citlivý, přizpůsobený místním vzorcům podvodů a kompatibilní se způsoby, jakými poskytovatelé telekomunikací a vládní agentury skutečně komunikují.
Digitální gramotnost
Indie již má stavební kameny pro takovou misi. Reserve Bank of India dlouhodobě pořádá sezení e-BAAT a další informační programy o bezpečném digitálním bankovnictví, které varují uživatele, aby nesdíleli PIN, hesla a OTP, a vysvětluje typické podvodné skripty. Kampaň „RBI Kehta Hai“ přenesla tato sdělení do masmédií a digitálních platforem se zaměřením na zodpovědné bankovnictví a prevenci podvodů, přičemž využila širokou přitažlivost celebrit, jako jsou Poorvisha Ram, Umesh Yadav a Amitabh Bachchan.
Některé iniciativy na státní úrovni jdou ještě dále. V Chhattisgarh, dodávka zaměřená na kybernetickou bezpečnost podporovaná státní vládou a bankou veřejného sektoru, objíždí čtvrti s pouličními hrami, videy a demonstracemi a opakovaně propaguje národní linku pomoci z roku 1930 pro hlášení finanční kybernetické kriminality. Nová kampaň společnosti Telangana „Fraud Ka Full Stop“ kombinuje školní kluby, programy pro zákazníky bank a okresní akce a již ohlásila 8% pokles kybernetické kriminality a 30% snížení finančních ztrát. Banky a místní policie ve městech, jako je Tiruchirappalli v Tamil Nadu, využily mobilní kiosky a veřejná zasedání, aby proměnily pobočky v neformální učebny kybernetické bezpečnosti.
Srovnatelné úsilí v jiných zemích ukazuje, že regulační orgány mohou reagovat na podvody, aniž by se uchylovaly k plošným mandátům, jako je instalace privilegovaného softwaru na soukromá zařízení. Na Filipínách centrální banka umístila program digitální gramotnosti do centra své strategie finančního začleňování. Program kombinuje kybernetickou bezpečnost s důvěrou veřejnosti v digitální finance a poskytuje konkrétní pokyny, jako je vyhýbání se podezřelým odkazům a ověřování stránek a aplikací. V Brazílii provozují SaferNet a Anatel linky pomoci a vzdělávací portály, které uživatelům pomáhají bezpečněji využívat telekomunikační služby. V každém případě byly nástrojem volby státu informace, pomoc a pobídky pro poskytovatele, aby sledovali podvody spíše než invazivní nástroje.
Tyto přístupy mají oproti technickým opravám dvě dlouhodobé výhody. Nejprve cestují přes kanály. Jednotlivec, který se naučil nedůvěřovat nevyžádaným odkazům, ověřovat volající a používat oficiální linky pomoci, je méně zranitelný vůči podvodům založeným na SIM kartě a také vůči podvodům, které přicházejí prostřednictvím platforem pro zasílání zpráv a nových digitálních platebních nástrojů. Za druhé, snižují potřebu opakovaného zásahu státu do aplikační vrstvy. Jakmile bude ve společnosti zavedena rutina podávání zpráv, křížové kontroly a hledání potvrzení, mohou se regulátoři zaměřit na systémová opatření, jako je vyčištění sítí účtů mulů a zlepšení sledovatelnosti toků s velkou hodnotou.
Privilegovaná aplikace by však omezila reakci na podvody v rámci jediné volby designu, kterou je třeba roky bránit a aktualizovat, aniž by se snažila o zlepšení digitální gramotnosti uživatelů.
Tři sloupy
V zásadě by se pozornost státu měla přesunout od „co se má skrývat?“ na kombinaci „co je tam k vidění?“ a posláním zlepšit digitální gramotnost. Taková mise by měla spočívat na třech pilířích. Za prvé, silné povinnosti pro telekomunikační a finanční společnosti odhalovat a narušovat vzorce podvodů, podpořené sdílenými databázemi a jednoznačnými jasnými sankcemi za nedodržení; za druhé, mechanismy hlášení uživatelů a nápravy, které skutečně fungují; a za třetí, udržitelný a dobře financovaný veřejný vzdělávací program o digitálních rizicích, který s občany zachází spíše jako se schopnými partnery než jako s pasivními subjekty.
Sanchar Saathi jako soubor portálů a opt-in služeb může v této architektuře hrát důležitou roli. Pokud by se však vláda držela svého mandátu nebo se v budoucnu znovu uchýlila k tomu, aby přinutila lidi k dodržování přehnaného řešení, selže.
