Otwarte dane, czyli amerykański film w wydaniu UE, cz. 2

Piwnica gdzieś w Londynie. Zgarbiony okularnik przed ekranem komputera. Nagle zrywa się z miejsca i woła: „MAMY GO!”. Gruby Joe patrzy na
czerwoną kropkę migającą na mapie. „Co to jest?”. Jego człowiek z dumą rozpoczyna relację, strzelając słowami jak z kałasznikowa: znalazłem nieopłacony mandat na jego nazwisko, w bazie UFI sprawdziłem, gdzie ma ubezpieczenie i jakie pojazdy posiada, potem transakcja …”. „Do rzeczy!” przerywa mu zniecierpliwiony Joe. „Ta kropka na mapie to samochód, którym jedzie nasz cel” odpowiada, z nutą strachu i rozczarowania w głosie, haker.
Boss sięga po telefon satelitarny i wybiera na „speed dialu” numer Vlada. „Tak towarzyszu, wiemy, gdzie jest ten wredny opozycjonista! Już nie będzie
dla Pana więcej problemem – na następnych światłach spotka go przykra niespodzianka…”. W słuchawce cisza… Ręka oprycha zaczyna blednąć i lekko
drżeć… „Ręczycie za to swoją głową, kamrat!” – odezwał się złowieszczy głos gdzieś z oddali…

Te same możliwości technologiczne, a jakże odmienne zastosowanie – witajcie po ciemnej stronie mocy! W poprzedniej części artykułu  pokazałem jak różne podejście mamy do własnych danych. Teraz pójdziemy dalej – jakie są oczekiwane korzyści z dostępności do Open Data. Ale zanim przejdziemy do wielkiego finału, zastanówmy się, jakie potencjalne zagrożenia czekają na każdego z nas, jeśli dane trafią w niewłaściwe ręce.

WIELKI BRAT NA MAŁYM EKRANIE

Pokazany na wstępie „filmowy przypadek” to najbardziej oczywiste wykorzystanie dostępu do danych w niecnych zamiarach. Czy jednak niemożliwy – absolutnie nie. I haker wcale do tego może nie być potrzebny… Orwellowska idea Wielkiego Brata przez dekady przybierała różne postacie. W najnowszej historii głównie kojarzona z medialnymi reality show, ale też z… aferami politycznymi. Podsłuchy w kawiarniach, Pegasus wykorzystywany do inwigilacji niewygodnych oponentów, sterowanie całym państwem przez jedną osobę „z drugiego rzędu”, spółki Skarbu Państwa traktowane jak prywatny folwark rządzących itd. – wszystko to pokazuje, że ten model jest ponadczasowy i uniwersalny. Niestety. Dostęp do ogromnej bazy danych w ramach Open Data to wymarzone narzędzie dla takich „wielkich braci” w białych rękawiczkach. Niechętnie mieszam w to politykę, ale nie sposób od tego uciec. Wyobraźmy sobie, że powstanie hiperbaza danych, która faktycznie łączy w sobie dziesiątki różnych webserwisów i zawiera w sobie ogrom danych o każdym z nas. Nieważne, na którą stronę naszej sceny politycznej spojrzymy, to na pewno znajdziemy kogoś, kto chętnie by na takim narzędziu „położył łapę” i „rozdawał karty” zarządzając dostępami i wykorzystując dowolnie pozyskane informacje. A niestety to od prawodawców zależy w tym względzie najwięcej. Całkowite uniezależnienie „otwartych danych” od sfery politycznej wydaje się kluczowym wyzwaniem już na początkowym etapie prac nad tą koncepcją.

Jakie jeszcze zagrożenia stoją na drodze – wymienię pokrótce.

  1. Nowe cyberryzyka – każdego dnia powstają nowe zagrożenia, metody na wykradanie danych, coraz większe wyzwania dla zachowania tzw. ciągłości biznesowej, czyli operacyjności takiego skomplikowanego konglomeratu baz i serwisów – im większy i bardziej skomplikowany twór, tym większe prawdo[1]podobieństwo, że „coś pójdzie nie tak”.
  2. Większe zagrożenie dla bezpieczeństwa danych (zwłaszcza osobowych, a w szczególności wrażliwych) i ochrony konsumentów – w obecnym czasie nawet najbardziej zaawansowane systemy czy zabezpieczenia potrafią być skompromitowane, czyli mówiąc prościej, udaje się je pokonać hakerom czy też dochodzi do przypadkowego wycieku danych, jeśli nawet nie założymy celowego działania, a zwykłą lekkomyślność. W tym przypadku ma miejsce swoista koncentracja ryzyka, bo po co próbować włamywać się do dziesiątek systemów, jeśli prościej do jednej superbazy. Równocześnie zablokowanie tego jednego systemu (np. atakami DDoS) może spowodować dużo poważniejsze konsekwencje niż np. awaria systemu jednego z ubezpieczycieli.
  3. Niefrasobliwość konsumentów w połączeniu z przebiegłością i wyrachowaniem firm zajmujących się handlem danymi może skutkować tym, że przy pomocy jednego kliknięcia, „ptaszka” w kwestionariuszu czy „tak” rzuconego na odczepne natrętnemu „konsultantowi” z infolinii, ogromna ilość naszych danych popłynie szerokim strumieniem do różnych, często szemranych firm w różnych zakątkach kraju/świata. Cóż, „dane nie śmierdzą” parafrazując wyświechtany frazes.
  4. Większe wyzwanie i odpowiedzialność pod względem etycznym – wykorzystanie takiej bazy do politycznych i partykularnych celów to tylko jeden z przykładów nieetycznego podejścia. Zawsze znajdzie się jakaś „czarna owca”, która za stosowne benefity (że nie wspomnę o możliwości szantażu) udostępni dane nieuprawnionym osobom (patrz np. liczba telefonów reklamowych zaraz po aktywacji w teorii zupełnie nowego numeru telefonu w sieci komórkowej, handlowanie nielegalnie pozyskanymi bazami w Darknecie itp.).
  5. Zagrożenie konkurencyjności dostawców – tylko firmy z zaawansowaną technologią, sporym doświadczeniem i zasobami będą w stanie dostarczyć usługę na wystarczająco wysokim (bezpiecznym!) poziomie. Dotyczy to zarówno „dostawców danych” (czyli np. dystrybutorów ubezpieczeń), jak i dostawców oprogramowania/usługi zarządzania takim super- -systemem. Z kolei wielkie, międzynarodowe korporacje (które takimi zasobami dysponują), idąc za głosem wielu organizacji (np. Amnesty International), to prawdziwy Wielki Brat naszych czasów, przestępcy działający na krawędzi prawa, dla których zysk jest zdecydowanie wyżej niż etyka w systemie wartości czy raczej celów biznesowych.
  6. Zależność od firm trzecich może być też źródłem innych problemów: niedostatecznej jakości świadczonych usług (np. długi czas na usunięcie awarii), wątpliwej jakości danych dostarczanych do bazy, niedostatecznej ochrony informacji i ich właścicieli, jeśli taka firma nie podlega pod nadzór instytucjonalny lub nie wdraża odpowiednich standardów potwierdzonych certyfikatami.

Ryzyka związane bezpośrednio z branżą ubezpieczeń

  1. Wykluczenie klientów nieobeznanych z techniką i o wysokim ryzyku dla ubezpieczycieli (horrendalne składki mogą mieć taki sam skutek jak odmowa ochrony). Ta swoista dyskryminacja staje się powszechna w dzisiejszych czasach, ale wraz z takim informacyjnym „coming out-em” problem może się nasilić.
  2. Spore koszty rozwoju oprogramowania i utrzymania, które mogą być przerzucone na klientów. Zbudowanie tak zaawansowanych i niezawodnych systemów będzie dużym wyzwaniem finansowym, które może być trudne do realizacji, zwłaszcza jeśli warunkiem będzie zachowanie niezależności. Można się więc spodziewać, że przynajmniej pewna część kosztów zostanie przerzucona na konsumentów.
  3. Przy tej liczbie danych i zastosowaniu zaawansowanych algorytmów SI nie będzie problemem uzupełnienie luk informacyjnych spowodowanych prawem do zachowania choć minimum prywatności. Patrząc po dokonaniach mistrzów tej ligi (Google, Facebook), nietrudno sobie wyobrazić, jak łatwo będzie „uzupełnić” brakujące dane klasyfikowane jako wrażliwe np. wyznanie, rasa, orientacja polityczna czy seksualna itp. Stąd już tylko krok do dyskryminacji klientów choćby na etapie szacowania ryzyka ubezpieczeniowego i kształtowania taryfy.
  4. Taka duża ilość danych w jednym miejscu to także ogromny wzrost wagi konsekwencji związanych z ewentualnym ich ujawnieniem, nawet nieintencjonalnym. To z kolei może pociągnąć za sobą dużo wyższe kary i głębsze szramy na wizerunku niefrasobliwego/pechowego dystrybutora.
  5. Oparcie się na takiej ilości danych z jednej strony umożliwia, a z drugiej wymusza daleko idącą automatyzację procesów. W czarnym scenariuszu może to prowadzić do dehumanizacji, bo ludzki umysł nie jest w stanie przetwarzać takich ilości informacji, a już na pewno nie efektywniej niż maszyna. Wracając do świata SF, a konkretnie Raportu Mniejszości, można sobie wyobrazić, że komputery będą tak precyzyjnie szacować ryzyko, że nie otrzymamy polisy na życie czy nawet zwykłego OC komunikacyjnego, bo na 96,72% spowodujemy wypadek w nadchodzącym roku. A gdzie w tym wszystkim ma się znaleźć agent/broker?! Jak ma klient świadomie wybierać, jakie ubezpieczenie go interesuje, bez prawa do głosu, bez badania potrzeb i wsparcia Pana Janka, agenta z sąsiedniej ulicy?!

Możemy pójść krok dalej: po co agenci, pracownicy zakładów ubezpieczeń, reasekuracja, jeśli komputer przy tak ogromnym wsadzie danych, wyposażony w uczenie maszynowe, dopasuje produkt idealnie do potrzeb (nawet nieuświadamianych) klienta, skroi go na miarę, bez potrzeby korzystania ze sztywnych ram marketingu i taryf ubezpieczeniowych, ale uwzględniając dokładnie oszacowane ryzyko. Cóż, na razie to nadal domena fantastyki, ale wcale nie tak nierealna. Mam tylko nadzieję, że nie zabraknie wyobraźni, żeby uwzględnić to, że nawet najlepsza maszyna potrafi zrobić coś nieprzewidywalnego i niewytłumaczalnego… (patrz: Odyseja kosmiczna 2001, Terminator, Matrix, Blade Runner, A.I. Sztuczna inteligencja, Chappie, Ja, robot, Ex Machina i wiele innych) … i to nie tylko na filmach (zapytajcie kogoś z IT). Tak więc rozwój, transparentne korzystanie z danych – jak najbardziej tak. Ale trzeba to robić bardzo ostrożnie i „z głową”. Jeśli tylko zostanie zachowany rozsądek i umiar to czekają nas…

EPICKIE MOŻLIWOŚCI I BAJKOWE SCENARIUSZE

Taka hiperbaza przede wszystkim wpisuje się idealnie w obecne tendencje, opisane przeze mnie w wcześniejszym cyklu felietonów. Zapewnia łatwy i szybki dostęp do danych, które są w danym momencie najbardziej potrzebne. Ale to nie jedyne korzyści, jakie może nam przynieść takie rozwiązanie.

  • Dzięki połączeniu różnych baz danych po API można będzie w jeszcze większym stopniu zminimalizować ilość danych, jakie musi wprowadzić użytkownik w różnorakich formularzach. Tym samym zwiększy się szybkość ich wypełniania i komfort użytkowania.
  • Wiele formalnych procedur wymaga ogromu zaświadczeń, odpisów, opinii itd. Weźmy na przykład wniosek o udzielenie kredytu czy pozwolenie budowlane. Dzięki połączeniu systemów i bezpiecznej wymianie danych te koszmarne procesy mogłyby ulec uproszczeniu i skróceniu.
  • Transparentność danych w oczywisty sposób przyczyni się do zmniejszania liczby fraudów – pozwoli wyłapać różnego rodzaju oszustów czy wyłudzaczy.
  • Niejako „skutek uboczny” powyższego to uwidocznienie osób szkodowych, prawdziwych notorycznych „pechowców”, na których na ten moment każdy zakład ubezpieczeń musi brać poprawkę. W konsekwencji realne ryzyko szkody będzie statystycznie mniejsze (także dzięki dokładniejszym szacunkom bazującym na większej ilości danych), a to może dawać efekt w postaci obniżenia składek.
  • W komunikacji niezbędne będzie ujednolicenie standardów – od wymiany informacji między systemami (restAPI), po projektowanie i rozwój produktów (prostsze, łatwiejsze do porównania, dostosowane do potrzeb Kowalskiego, także tego „cyber”). Dzięki temu też klient będzie mógł lepiej porównać oferty czy zmienić dostawcę usługi.
  • Standaryzacja od strony technologicznej to także łatwiejsze do wdrożenia i weryfikacji standardy organizacyjne (np. związane z bezpieczeństwem: ISO, NIST), jak również efektywniejsze działania z obszaru compliance.
  • Możliwość skuteczniejszego nadzoru (np. ubezpieczyciela nad agentami): wydajniejszy i bardziej responsywny (szybciej reagujący na ewentualne nieprawidłowości) sposób kontroli.
  • Obniżenie kosztów administracyjnych i marketingowych po stronie ubezpieczycieli – część obecnych funkcji będą mogli uprościć, zautomatyzować, przekazać zewnętrznym podmiotom.
  • Otwarcie rynków zagranicznych dla firm z branży ubezpieczeniowej (spójne regulacje prawne i standardy technologiczne) i spora szansa na rozwój dla firm FinTechowych.
  • Unia Europejska jako światowy lider, jeśli chodzi o otwartość danych – to brzmi dumnie!

 

JAKIE WARUNKI TRZEBA SPEŁNIĆ, ŻEBY SCENARIUSZ NR 1 NIE STAŁ SIĘ KANWĄ DO FILMU DOKUMENTALNEGO?

Zanim UE stanie się informacyjnym Eldorado i Fort Knox w jednym, to potrzeba jest sporo pracy nad fundamentami. Oto co w mojej ocenie powinno być poważnie wzięte pod uwagę

  1. Zakrojone na szeroką skalę konsultacje nie tylko w ramach branży ubezpieczeniowej czy prawnej, ale także od strony technologicznej (bezpieczeństwo danych), ekonomicznej (jak takie „rozdawnictwo danych” wpłynie na rynek/rynki), społecznej (ekstremizm typu wszyscy wiedzą wszystko o wszystkich), etycznej, a może nawet twórców powieści/scenariuszy filmów sensacyjnych i SF, którzy obdarzeni większą wyobraź[1]nią mogą przewidzieć scenariusze i ryzyka, o których dziś jeszcze nikt nie pomyślał (konsultacje, jakie przeprowadziła EIOPA przy okazji Open Insurance wydają się być pod tym względem dość ograniczone).
  2. Przemyślane i przejrzyste procedury udzielana zgód na dostęp do danych oraz ich przetwarzanie i ochronę.
  3. Przechowywanie danych i dostęp do nich przy zachowaniu maksimum bezpieczeństwa, proaktywnego minimalizowania ryzyka ich ujawnienia czy utraty przez stosowanie standaryzowanych metodologii (np. ISO albo coś jeszcze bardziej doskonałego, co należałoby dopiero stworzyć) i najlepszych osiągnięć technologicznych (szczegółowe metody weryfikacji osób/pracowników i zarządzania uprawnieniami i dostępami, jako że zwykle człowiek jest najsłabszym ogniwem we wszelkich zabezpieczeniach, a socjotechniki najlepszymi narzędziami dla hackerów i innych osób z „ciemnej strony”).
  4. Transparenty mechanizm wyboru organizacji, firm, podwykonawców itd., które będą odpowiadały za przechowywanie i udostępnianie takich informacji (procesy skutecznej i absolutnie niezależnej selekcji, „prześwietlania” na etapie wyboru, monitorowania w trakcie realizacji powierzonych obowiązków itd.).
  5. Zabezpieczenie praw jednostki do prywatności, kontroli, ale równocześnie możliwość zrzeczenia się jej celem np. uzyskania lepszej oferty (trudny do zachowania balans, bo szkodowy klient czy oszust nie będzie skłonny do udostępnienia informacji o sobie).

 

Cóż, jak widać jeszcze wiele może pójść nie tak, ale nie jest to „mission impossible”, a nagroda na końcu drogi wydaje się warta zachodu. Kolejna analogia, nie do końca filmowa. Posiadanie narkotyków można penalizować, ścigać kartele odpowiedzialne za ich produkcję, wsadzać do paki osiedlowych dilerów. Jak pokazuje rzeczywistość – jest to średnio skuteczne. Można też iść w kierunku legalizacji, transparentności i mieć nad tym przynajmniej większą kontrolę i dodatkowo czerpać zyski zamiast napełniać kieszenie baronom narkotykowym. W sytuacji, gdy dane są przedmiotem pożądania i cennym towarem możemy starać się dalej karać za ich nielegalne użycie (RODO weszło dawno temu, a jakoś mniej ofert darmowych laptopów i kolejnych paneli/pomp ciepła nie dostaję), co tylko nakręca półświatek działający w cieniu, albo postawić na pełną przezroczystość i skupić się na bezpieczeństwie i efektywności wykorzystania danych. Jak pokazałem w poprzedniej części artykułu, nie jest problematyczne zdobycie danych w sytuacji, gdy duża część z nas rozdaje je na prawo i lewo. Za to dużo większym wyzwaniem jest edukacja społeczeństwa w tym zakresie i właśnie zapewnienie jak największej kontroli nad ich dostępnością i przepływem. John Kovalsky triumfalnie, lecz z obrzydzeniem rozejrzał się po zdemolowanej norze Grubego Joe. W kącie zauważył telefon z ciągle aktywnym połączeniem. Podniósł i spojrzał na wyświetlacz… „Teraz idziemy po ciebie … kamrat!” – wycedził przez zęby i rozłączył się. THE END

REMIGIUSZ SZCZECHOWICZ psycholog, antropolog kultury zainteresowany tematyką komunikacji i mediów, compliance menedżer w Insly