Сингапурское приложение для отслеживания контактов, TraceTogether, используемое в качестве превентивной меры против распространения коронавируса

Один из наиболее амбициозных проектов в истории компании Apple запустили менее, чем за месяц, а работало над ним всего несколько сотрудников.

В середине марта, когда коронавирус распространялся почти во всех странах мира, небольшая команда из компании Apple начала мозговой штурм на тему того, как они могут помочь людям. Они знали, что ключом к реагированию на пандемию станут смартфоны – в особенности, в странах, где начнутся ослабления режима самоизоляции. Для подготовки к этому правительства и частные компании создавали приложения для отслеживания контактов, которые бы следили за передвижением людей и определяли, могли ли они вступить в контакт с инфицированными вирусом.

За несколько недель к проекту Apple под кодовым названием Bubble уже присоединилось несколько десятков сотрудников, которых на уровне руководителей компании поддерживало два человека. Это Крег Федериги, старший вице-президент по программной разработке, и Джеф Уильямс, главный операционный директор, и де-факто – глава департамента здравоохранения. К концу месяца к проекту официально присоединилась компания Google, и примерно через неделю директора двух компаний, Тим Кук и Сундар Пичаи, провели виртуальное совещание, чтобы договориться о совместном одобрении проекта.

Такая высокая скорость разработки была нехарактерной для Apple — компании, одержимой стремлением доводить продукты до идеального состояния перед выпуском. Также проект Bubble требовал объединения усилий с историческим врагом Apple, компанией Google, для совместной разработки технологии, которую могли бы использовать чиновники от здравоохранения в странах всего мира.

Эта программа, задачу которой вместо «отслеживания контактов» теперь Apple и Google характеризуют более мягким термином, «уведомление о подвергании воздействию», должна была выйти 1 мая. В предшествующие недели работники работали по ночам и выходным, пытаясь учесть всю обратную связь. У компаний есть критики, однако прозрачность работы помогла им заручиться поддержкой с неожиданных сторон – включая немецкое правительство, которое изначально не стремилось сотрудничать с техногигантами.

В CNBC побеседовали с пятью людьми, близко знакомыми с проектом, чтобы узнать, как он развивался с самого начала и по сей день [статья от 28 апреля / прим. перев.]. Источники пожелали остаться неизвестными, поскольку компании не разрешали им распространяться на эту тему.

Два подхода: Bluetooth против GPS



Эдуард Буньон, швейцарский архитектор ПО

Традиционное отслеживание контактов использовалось для замедления распространения пандемий много лет. Начинается всё с того, как система здравоохранения узнаёт о заболевшем и уточняет у него, где он был и с кем он мог контактировать. Затем представитель системы здравоохранения отслеживает указанных людей и предлагает им пройти тестирование или социально изолироваться.

Такие персональные устройства, как сотовые телефоны, можно использовать для цифрового отслеживания контактов. Различные технологии телефона можно использовать для отслеживания посещённых пользователем мест, а также других телефонов, приближавшихся к нему. От пользователя не требуется точно вспоминать, где он был и кто был рядом.

С начала пандемии коронавируса правительства стали рассматривать цифровое отслеживание контактов как один из возможных способов помочь отследить и замедлить распространение болезни, не задействуя большое количество сотрудников, отслеживающих передвижение людей.

Некоторые из ранних приложений для отслеживания контактов, типа TraceTogether из Сингапура, используют сигнал Bluetooth на телефоне, дальность действия которого составляет около 10 м, чтобы узнать, приближались ли телефоны друг к другу. Сильный сигнал говорит о том, что люди находятся близко, а слабый – что они достаточно далеко для того, чтобы подвергнуться заражению (хотя эксперты, в частности, Ашкан Солтани, бывший технический директор Федеральной торговой комиссии предупреждал, что эту систему никак нельзя считать идеальной).

Если у человека нашли коронавирус, министерство здравоохранения Сингапура могло изучить данные приложения и уведомить других людей, в последнее время приближавшихся к пользователю.

Однако у приложения есть большая проблема с удобством использования.

На iPhone приложению нужно постоянно находиться в приоритетном режиме, поскольку в фоне оно переставало работать. Это означало, что телефоны нужно было носить разлоченными – что привело бы к ужасным последствиям в случае кражи – и что они слишком быстро съедали бы заряд батареи. Среди обзоров на приложение в Apple App Store попадаются жалобы на то, что приложение не позволяет получать уведомления при работе.

Альтернативный метод – использование GPS, системы, которую Китай и Южная Корея уже применили для отслеживания контактов. Однако приложения, отслеживающие местоположения пользователя, всегда вызывают возражения со стороны сторонников защиты частной жизни. Одна группа правозащитников даже назвала китайские приложения с отслеживанием «автоматической тиранией».

Запрос к Apple


21 марта швейцарский профессор Эдуард Буньон связался с командой из Apple по связям с общественностью, чтобы озвучить некоторые из этих проблем. Буньон, основатель и технический директор VMWare, понял, что для хорошей работы и охраны частной жизни приложениям для отслеживания понадобится помощь компании Apple.

И он был не единственным. Через пару дней на эти проблемы обратил внимание Мюнг Ча, отвечающий в Apple за бизнес-стратегию команды компании, занимающейся здравоохранением. Начальником Ча, как главного стратега департамента здравоохранения компании, является главный операционный директор Джеф Уильямс.

Ча вместе с небольшой командой из Apple уже изучали методы использования смартфонов для отслеживания контактов. Сначала в команду входили Рон Хуан, управляющий группой сервисов определения местоположения, и Гай Триббл по прозвищу «Бад», один из старейших разработчиков компании, вице-президент по разработке ПО, которого в компании называют «царём конфиденциальности». Триббл, кроме прочего, имеет медицинское образование, и вне Apple известен призывами к тому, чтобы узаконить право человека на конфиденциальность. В сенате в 2018 году он заявил, что конфиденциальность должна быть объявлена неотъемлемым правом человека.

Хуан согласился подключить к проекту группу разработчиков, готовых заниматься им на общественных началах. В неё вошли эксперты по криптографии Янник Сьерра и Фредерик Джейкобс (Джейкобс участвовал в разработке приложения для безопасного обмена сообщениями Signal). Команда начала исследовать протоколы для электронного отслеживания контактов, которые уже разрабатывали в Массачусетском технологическом институте и швейцарском EPFL.

Идея была в том, чтобы использовать Bluetooth для отслеживания расстояния сближения, не обрабатывая подробные данные о передвижениях, как это делает сингапурское приложение – при этом так, чтобы приложениям не нужно было всё время работать.

Сотрудники Apple также высказались за децентрализованный подход. Пусть телефон пользователя, анализ которого на коронавирус дал положительный результат, анонимно отправляет уведомления на другие телефоны, расположенные поблизости, вместо того, чтобы загружать всю информацию на сервера правительства или других госструктур. Это не даст правительствам создать базу данных с подробным местоположением или информацией о сближениях.

Команда из Apple также считает, что любая подобная система должна быть добровольной, и человек должен давать своё согласие на то, чтобы делиться информацией с другими телефонами.

Ча поделился такими мыслями во время разговора по телефону с Буньоном 6 апреля. «Мне с самого начала было ясно, что Apple хочет сохранить высочайший уровень конфиденциальности», — вспоминает Буньон.

Команда знала, что ей нужно действовать быстро. К тому времени чиновники от здравоохранения во многих странах уже серьёзно относились к идее отслеживания контактов как к способу помочь быстрее завершить самоизоляцию безопасным образом.

Группа исследователей из Оксфордского университета уже получила многообещающие результаты от своей теоретической модели. «Наши модели показывают, что эпидемию можно остановить, если 60% людей будут пользоваться этим приложением. И даже при меньшем количестве пользователей у нас получается уменьшение количества смертей и заражений», — отметил Кристоф Фрейзер, главный автор нового отчёта медицинского департамента Оксфордского университета им. Наффилда.

Приглашение Google



Дейв Бёрк, вице-президент по разработке из Google во время презентации нового телефона Google Nexus 6P в 2015 году

Сотрудники в Google рассуждали о похожих идеях.

Ключевые сотрудники со стороны Google, взявшие разработку под свой контроль – это Юл Квон, старший директор по конфиденциальности, бывший заместитель директора по конфиденциальности в Facebook (кстати, Квон известен вне Google как победитель телешоу 2006 года Survivor: Cook Islands), и Рональд Хо, старший менеджер продукта, работающий в области Bluetooth и других систем связи. В Google есть своё кодовое название для этого проекта: Apollo.

В итоге команда представила свои идеи вице-президенту Google по Android, Дэйву Бёрку, который обсудил их с Ча из Apple.

Кооперация компаний, давно конкурирующих на рынке смартфонов, не была делом решённым. Сооснователь Apple Стив Джобс был уверен, что Android сделали для имитации iOS, и две компании жёстко боролись друг с другом в суде, пока не уладили споры в 2014 году. Хотя сегодня они сосуществуют в более мирном режиме, они остаются конкурентами, управляющими двумя доминирующими платформами для смартфонов в мире [Android – 86,1%, iOS – 13,9% в 2019 году / прим. перев.].

Однако в данном случае им пришлось сотрудничать. Системе уведомлений о сближении необходимо было уметь работать со всеми устройствами, иначе в покрытии образовались бы большие пробелы.

Формально две компании не могли объявить о планах сотрудничества, пока им не разрешили бы это сделать их руководители. Поэтому директор Apple Тим Кук и директор Alphabet Сундар Пичаи обсудили этот вопрос на виртуальной встрече за несколько дней до официального объявления, состоявшегося 10 апреля.

«Отслеживание контактов может замедлить распространение коронавируса, делая это без нарушения конфиденциальности пользователей», — триумфально провозгласил Тим Кук в своём твите, посвящённом анонсу.

Ситуация с конфиденциальностью




В итоге компании договорились не делать приложение. Вместо этого они опубликовали интерфейс прикладного программирования – API – то есть набор спецификаций, которые организации, занимающиеся здравоохранением, могут использовать для создания собственных приложений для отслеживания контактов.

Как это работает. После включения Bluetooth и разрешения пользователя телефон отправляет анонимные сигналы, которые могут улавливать другие телефоны. Apple разработала API так, чтобы приложение на iOS могло рассылать сигналы, даже если оно не находится в приоритетном режиме.

Для сохранения конфиденциальности компании заимствовали идеи из различных открытых проектов, вроде PACT от MIT и европейского DP-3T. Бёрк признал, что его команду особенно вдохновлял протокол DP-3T [децентрализованное отслеживание контактов с сохранением конфиденциальности], и отметил, что по его мнению он «обеспечивает наиболее важные для сохранения конфиденциальности аспекты сервиса по отслеживанию контактов».

Один из конкретных примеров, родившихся благодаря DP-3T – идея использования циклически меняющихся кодов, когда приложение распространяет случайным образом меняющийся криптографический ключ, отслеживая другие телефоны поблизости. После того, как пользователь сообщит о подтверждённом диагнозе, приложение закачает на сервер криптографические ключи, использовавшиеся для генерации кодов за последние несколько недель. Приложения всех остальных пользователей скачают эти ключи и будут искать совпадение с теми, что хранятся у них. При обнаружении совпадения приложение уведомит пользователя, который мог приближаться к заболевшему.

Это позволяет приложению уведомлять людей, возможно, подвергшихся воздействию болезни, при этом не раскрывая их личностей и не давая властям отслеживать их и хранить информацию о них.

«Мы разрабатываем приложение и систему, которую можно будет развернуть в Европе и во всём мире», — сказала Кармела Тронкосо, исследователь конфиденциальности из EPFL, один из ключевых разработчиков DP-3T. «Пользоваться ею будут много людей, и мы обязаны быть прозрачными для них».

Компании постоянно разъясняют общественности, что их API не будет таким способом автоматического отслеживания контактов, на который можно было бы полностью положиться. Он должен поддержать людей, работающих в системе здравоохранения. Некоторые страны уже принимают его на вооружение – например, Германия, Эстония, Сингапур и Швейцария. Другие страны, например, Британия и Франция, всё ещё рассматривают возможность более централизованных подходов. В США каждый штат действует по своему разумению.

Вопросы по поводу потенциальных возможностей мошенничества и злонамеренного использования технологии остаются. Компаниям нужно продумать процесс одобрения приложений, созданных с использованием этих API, чтобы гарантировать, что разработчики не воспользовались в своих интересах уязвимостями, связанными с конфиденциальностью.

Марсель Салате, видный швейцарский исследователь и эпидемиолог, отметил в твиттере в апреле, что удивлён таким серьёзным отношением к конфиденциальности двух этих компаний, при том, что некоторые правительства выступают за более навязчивые методы.

«Я сделал несколько правильных предсказаний касательно коронавируса, — писал он. – Но я бы в жизни не смог предсказать, что американские технокомпании разработали платформу, охраняющую конфиденциальность, предназначенную для цифрового отслеживания контактов, а европейские страны пытаются заставить их снизить стандарты».