Če obstaja zakonska podlaga za takšno izvajanje in če se nad njim opravlja ustrezen nadzor, potem tu ni težav. Ne bi se opredeljeval do tega, v kolikšni meri se to dogaja. Bi pa rekel, da ne gre verjeti sprenevedanju v izjavah visokih evropskih predstavnikov, ker se ve, kaj se lahko počne in na kakšen način. Če ne drugega, so varnostni strokovnjaki tisti, ki bi morali poznati te zadeve in seznaniti politike oziroma elemente v političnem sistemu s tem, kako delujejo stvari glede spremljanja komunikacijskega prometa. Morda se ti strokovnjaki preveč osredotočajo na skrivanje vsebine ter šifriranje oziroma kriptoanalizo in ob tem zanemarjajo, kaj je mogoče doseči z analizo prometa komunikacije. Iz nje se da precej lahko ugotoviti, kdo sporoča komu, od kod kdo sporoča (lokacija), v kolikšni količini sporoča in kdo ne sporoča. Takšna analiza je izredno učinkovita in neprimerno cenejša od kriptoanalize. Lahko je tudi pogledati katalog groženj in reči, da obstaja nevarnost, da kdo pride do računalnika z USB-ključem ter prenese podatke, ali da je protivirusni program ustrezen ukrep. Vendar je grožnja precej večja zaradi novih taktik, tehnik in postopkov, ki zaščito obidejo. Je pa šlo pri početju Američanov tudi za vsiljive metode nadzora komunikacijskega prometa, ki je sestavljen iz treh delov: senzorjev, strežnikov in upravljavske konzole. Bistveni so senzorji, ki se namestijo na transportni medij, denimo na optično vlakno, in zagotovijo kopijo vsega prometa.
Vzemimo primer Nemčije. Američani tam želijo spremljati promet. Kako tehnično zgleda namestitev takšnih senzorjev?Treba ga je fizično namestiti v določen prostor. Po navadi se to dela v času adaptacij prostorov, s tajnim vstopom v prostore ali z zavajanjem, da se kdo izdaja za koga drugega. Časi adaptacije so najbolj primerni. Ko bodo zdaj (na predstavništvih EU) opravili varnostne preglede, bodo z vidika senzorjev morali storiti dvoje: fizično pregledati prostore in iskati, ali je kje kaj neznanega, kakšna vidna komponenta, za katero ne vedo, kaj sploh je. Drugo pa je, če je prišlo do vdora v naprave. Tu bodo morali biti bolj pozorni. Preveč je namreč zaupanja, češ da ima oprema ustrezne varnostne standarde, nihče pa ne preverja, ali je bila oprema kompromitirana od časa izdelave do začetka uporabe. Eden od primerov, kako kompromitirajo opremo, je med carinskim postopkom. Osebo se zadrži, denimo s poglobljenim varnostnim pregledom, medtem pa se na opremo naloži zlonamerna programska koda ali trojanci, ki jih klasični protivirusni programi ne prepoznajo.
Komisarka za pravosodje Viviane Reding je kritizirala ZDA, da si partnerji med seboj ne prisluškujejo. Je Evropa nedolžna ali niti sama ni stala križem rok?Dvomim, da je Evropa stala križem rok. Funkcija komisarke je dovolj visoka, da je naročnica in prejemnica informacij od nacionalnih obveščevalnih služb, tako da bi morala dobro vedeti, kako zadeve potekajo. Saj dokler teh dokumentov o NSA ni bilo, so bili Američani tisti, ki so govorili, da jih ogrožajo Kitajci, zdaj pa vidimo, da je verjetno obrnjeno. Italijani so že leta 2007 vgradili sistem za masovno zbiranje podatkov v IP-omrežju. Vsi tudi vedo za nadzor družbenih omrežij, znan je nedavni primer obdelave skupine Al Nasra v Siriji, ki je povezana z Al Kaido. A če bo prišel na dan dokument, ki bo dokazoval nadzor družbenih omrežij, bodo rekli, da se to ne bi smelo dogajati.
Koliko je Evropa tehnološko blizu Američanom? Je sposobna izvajati operacije, kakršne počne NSA?Največji problem je, da so ponudniki oblačnih storitev ameriške korporacije. V zadnjem času vsi, ki uporabljamo Facebook, Gmail in tako naprej, vidimo, da je zadeva dosti dobro zavarovana na poti od nas do strežnika, kjer se podatki nahajajo. Poskusili so preprečiti ne le vdore, ampak skušajo tudi izolirati države, ki bi vohunile za lastnimi državljani. Problem pa je, kaj se s temi podatki potem dogaja na drugi strani. Oni so tisti, ki odločajo. Najmanj, kar se razvija v ozadju, so algoritmi. Če ima kdo tako velik nabor podatkov, bo razvil algoritme, ki znajo predvideti stvari. Gre za masovno obdelavo in iskanje vzorcev. Hkrati so glavni ponudniki varnostnih rešitev iz ZDA.
Američani naj bi vohunili v številnih predstavništvih EU. Mar niso varnostni protiukrepi normalen proces in bi morali to odkriti? Ali gre za preveč napredno prisluškovalno tehnologijo?Ne bi rekel, da gre za preveč napredno tehnologijo. Samo prisluškovanje med diplomatskimi predstavništvi je znana zadeva, dogaja se desetletja. Druga stvar je naivnost predvsem vodij informacijske varnosti. Varnostne mehanizme jemljejo za dane, osredotočeni so zgolj na skrivanje vsebine sporočanja, pozabljajo pa na druge vidike, ki ogrožajo informacijsko zasebnost. Tretja stvar pa je, da je preveč poudarka na oceni tveganj in trivialnih analizah. Moralo bi biti več tehničnih poudarkov, več penetracijskih testov. Kdor ne zna vdreti v sistem, ga ne bo znal niti zavarovati. Preveč se gleda na obstoječi katalog groženj. Tu sicer so zasebna podjetja, ki ponujajo storitve, vendar je razlika, če se koga loti nacionalna varnostna služba.
Recimo, da morate poslati sporočilo z zelo občutljivo vsebino. Boste to storili z elektronsko pošto?Seveda, a moram biti za računalnik, na katerem bom pripravljal sporočilo, čim bolj prepričan, da ni bil kompromitiran. Lahko bi bil že v času nakupa pri proizvajalcu, v času, ko je potoval do posrednika čez carino, ali v mojih prostorih s tajnim vstopom. Več točk je torej. To se lahko zgodi tudi v primeru, ko se industrijski računalnik uporablja še v zasebne namene, kot je bilo v primeru virusa Stuxnet (ki so ga ZDA in Izrael podtaknili za miniranje iranskega jedrskega programa, op. a.), pa čeprav je znano, kako se sme računalnik uporabljati v strogo varovani kritični infrastrukturi.
Je Snowden naredil škodo obveščevalni dejavnosti ali ne?Naredil je veliko škodo vsem državnim obveščevalnim službam, s tem, ko razkriva zadeve, za katere vsi vedo, da so ustaljeni postopek. Še več, Američani so, kot kaže, imeli do določene mere zakonsko osnovo za to, kar delajo. So pa vprašljiva razkritja o fizični kompromitaciji prostorov in naprav. Verjetno bo šla vsa zadeva zdaj v smer nadzora nad državnimi obveščevalnimi službami in zanimivo bo videti razplet.
So ljudje preveč odprti pri dajanju informacij na družbenih omrežjih in drugje?Mislim, da ne, sploh če nimajo v prihodnje namena delovati v visokih državnih, političnih, obveščevalnih strukturah. To je pač današnja oblika socializacije. Vsak zase mora vedeti, kaj lahko objavi in kaj je sprejemljivo, temu se reče izobrazba. Googla se ljudem s tega vidika ni treba bati. Precej bolj skrb zbujajoča je obdelava zasebnih podatkov v javni upravi. Z vidika obveščevalne taktike dela so slabo varovani.
Mar torej ni presenetljivo, da sta lahko Snowden in posebno Manning (ki naj bi posredoval diplomatske depeše Wikileaksu) prišla do takšnih podatkov?To je zelo zanimivo. V obveščevalni dejavnosti se reče, da mora obstajati potreba po vedenju. Očitno so manjkale oznake občutljivih informacijskih postavk, kar pomeni, da nekdo sicer lahko ima pooblastila za dostop do dokumentov določene stopnje tajnosti, a se ga lahko vseeno izloči iz dostopa. Primer iz prakse: neki minister ima odobren dostop do dokumentov z oznako strogo tajno. Ampak ker je minister le za določen resor, se ga omeji na dokumente ali dele dokumenta samo iz tega resorja, pa še tam nima nujno dostopa do vseh informacij. To so metode, ki se bodo morale izvajati v vsakdanji uporabi informacij v javni upravi. Kajti prav insiderji so tisti, ki največkrat neupravičeno obdelujejo podatke. Zanimivo je, da so bili prav Američani vodilni pri razvoju večnivojskih varnostnih sistemov. In da so tu odpovedali na tak način, je presenetljivo.