Pametni dom je ena izmed tistih tehnoloških obljub, ki zveni skoraj nedolžno. Luči, ki se prižgejo same. Termostat, ki ve, kdaj nas zebe. Kamera, ki sporoči, da je pred vrati paket. Zvočnik, ki nastavi časovnik, prebere vremensko napoved ali predvaja glasbo. Sesalnik, ki med našo odsotnostjo pospravi stanovanje. Vse skupaj deluje kot udobje, ne kot ideologija. Kot majhna pomoč, ne kot velik sistem.
Pravi pametni dom je eden najboljših primerov, kako se sodobna tehnologija preseli iz računalnika v prostor. Računalnika ne uporabljamo več le, ko sedimo za mizo. Razpršen je po stanovanju: v televizorju, zvočniku, uri, kameri, domofonu, otroški igrači, žarnici in celo vtičnici. Dom, ki je bil nekoč zasebni prostor, postaja omrežje naprav, računov, aplikacij, senzorjev in oblačnih storitev.
To še ne pomeni, da pametna hiša vohuni v klasičnem zarotniškem pomenu besede. Večina naprav ni skriti agent, ki bi ponoči pošiljal posnetke v podzemni bunker. Težava je bolj vsakdanja in manj filmska: naprave zbirajo podatke, ker jih za delovanje potrebujejo, ker jih proizvajalci uporabljajo za izboljševanje storitev, ker brez oblaka ne znajo opraviti naloge ali ker je tako najceneje izdelati izdelek. Pri tem pa uporabnik pogosto ne ve, kaj se dogaja.
Ko pritisnemo gumb na daljincu in izgovorimo naslov filma, se zdi, da se pogovarjamo s televizorjem. V resnici se morda s strežnikom na drugem koncu sveta. Ko kamera prepozna človeka pred vrati, slika morda ni obdelana v napravi, ampak v računalniškem »oblaku«. Ko otroška igrača odgovori na vprašanje, odgovor morda ni nastal v njej, temveč v zalednem sistemu ponudnika. Uporabniška izkušnja je lokalna, obdelava pa pogosto ni.
Tu nastane prostor, v katerem se rojevajo teorije zarote. Uporabnik vidi lučko, ki utripa, čeprav je naprava »izklopljena«. Opazi, da se zvočnik odzove na napačno besedo. V aplikaciji najde dovoljenja za mikrofon, lokacijo in kamero. V pogojih uporabe prebere nejasne stavke o izboljševanju storitev. Ker nima jasnega tehničnega vpogleda, praznino zapolni z zgodbo. Včasih pretirano, drugič napačno, pogosto pa neprijetno blizu resnici.
Najzanimivejše pri pametnem domu ni vprašanje, ali ima vsaka naprava zloben namen. Pomembnejše je vprašanje, kdo ima nad njo nadzor. Ali kamera deluje tudi brez interneta? Ali zvočnik razume osnovne ukaze lokalno? Ali lahko izklopimo mikrofon? Ali robotski sesalnik res potrebuje zemljevid stanovanja na kitajskem strežniku? Ali igrača za otroke pošilja glasovne posnetke ponudniku storitve? Ali bo naprava čez pet let še uporabna, če proizvajalec ugasne strežnike?
Pametni dom ni nujno slab. Lahko je varnejši, udobnejši, varčnejši in prijaznejši do uporabnika. A le, če pamet ni izgovor za nepreglednost. Resnično pametna naprava bi morala znati pojasniti, kaj zajema, kam pošilja podatke in kaj zmore brez zunanje povezave. Dokler tega ne vemo, ne kupujemo le izdelka, temveč tudi odnos zaupanja do podjetja, ki stoji za njim.
Dilema pametnega doma ni, ali se moramo vrniti k fizičnim stikalom, ključem in navadnim žarnicam, ampak, ali bomo znali od pametnih naprav zahtevati, da ostanejo naše. Da služijo domu, ne pa da dom spremenijo v oddaljeni senzor. Da podatki, kadar je mogoče, ostanejo tam, kjer nastanejo – doma.
Ko hiša kliče domov
Pametni dom ni več zbirka futurističnih igrač. V marsikaterem stanovanju že danes poslušajo telefoni, ure, sprejemniki IPTV, televizorji, kamere, domofoni, robotski sesalniki, vremenske postaje, otroške varuške in igrače. Njihova naloga je olajšati življenje, njihova cena pa pogosto ni zapisana le na računu, temveč tudi v podatkih, ki jih pošiljajo proizvajalcem in ponudnikom oblačnih storitev.
Težava ni, da je vsaka pametna naprava sama po sebi nevarna, ampak v tem, da uporabnik običajno ne ve, kdaj naprava deluje lokalno, kdaj potrebuje internet, katere podatke pošilja v oblak in kdo jih tam obdeluje. Pri cenenih napravah je odgovor pogosto neprijeten: vgrajene pameti je malo, zato se glas, slika ali drugi podatki pošiljajo na strežnike, kjer jih obdelajo zmogljivejši modeli umetne inteligence. To je udobno, poceni in učinkovito, zasebnost pa pri tem hitro postane stvar zaupanja, ne preverljivega nadzora.
Pametna kamera je lahko varnostni pripomoček ali pa stalno odprto okno v dnevno sobo.
Oblak je priročen, vendar …
Oblačne shrambe so se v zadnjih letih skoraj neopazno vključile v vsakdanje delo. Pisarniški paketi, telefoni in številne aplikacije uporabnika nežno usmerjajo k shranjevanju v oblak: prijavimo se z računom, izberemo mapo in datoteka je varno dostopna na vseh napravah. To je zelo uporabno, zlasti ob kraji ali okvari računalnika, vendar isti mehanizem pomeni, da dokumenti, slike, posnetki in varnostne kopije postanejo del velike infrastrukture ponudnika storitve.
Ponudniki običajno zagotavljajo, da podatke varujejo pred nepooblaščenim dostopom, manj jasno pa je, kako se ti uporabljajo v ozadju: za statistiko, izboljševanje storitev, zaznavanje napak, razvoj algoritmov ali učenje modelov umetne inteligence. Tudi kadar je obdelava anonimizirana, uporabnik pogosto ne ve, kaj se v resnici dogaja z njegovimi podatki in kako dolgo ostanejo shranjeni.
Pri pametnem domu je zato ključno vprašanje preprosto: ali naprava brez interneta sploh še zna opravljati svojo osnovno nalogo? Če je odgovor ne, potem dom ni zares pameten, temveč le daljinsko voden podaljšek oblačne storitve.
Glasovni pomočniki: udobje, ki posluša
Glasovno upravljanje je ena najprivlačnejših funkcij pametnega doma. Telefonu med vožnjo naročimo, naj pokliče izbrano osebo, sprejemniku IPTV povemo, naj preklopi na želeni program, zvočnik v kuhinji nastavi časovnik, poišče recept ali predvaja glasbo, v podjetju lahko aplikacija pripravi zapisnik sestanka. Vse to deluje, ker naprava zajame govor, ga prepozna in iz njega izlušči ukaz.
Pri številnih tovrstnih napravah prepoznavanje govora ne poteka v napravi, temveč v oblaku. Posnetek se pošlje ponudniku storitve, ta ga pretvori v besedilo, razbere namen ukaza in napravi vrne odgovor. Za uporabnika je postopek skoraj neviden, a zasebnostno pomemben: v trenutku, ko govor zapusti dom, nad njim nimamo več neposrednega nadzora.
Glasovno upravljanje sprejemnika IPTV je priročno, vendar pogosto zahteva obdelavo govora v oblaku.
Podobno deluje glasovno iskanje v brskalnikih in mobilnih aplikacijah. Pritisnemo ikono mikrofona, izgovorimo poizvedbo in sistem jo obdela. Pri sprejemnikih IPTV običajno pritisnemo tipko z mikrofonom na daljincu. Vendar ali smo prepričani, da mikrofon posluša le, ko je tipka pritisnjena, ali pa naprava podatke pošilja tudi sicer, zaradi diagnostike, posodobitev ali drugih funkcij?
Ikona mikrofona je postala simbol udobja, hkrati pa tudi simbol zaupanja v ponudnika storitve.
Najzanesljivejša obramba pred neželenim poslušanjem je preprosto fizična: napravo izklopimo iz napajanja ali izklopimo njen mikrofon, kadar ga ne potrebujemo. To je sicer nerodno, saj se naprava nato zaganja počasneje, vendar programske nastavitve nikoli niso tako prepričljive kot prekinjen električni tok. Posebej pozorni moramo biti na naprave, ki jih je mogoče zbuditi z glasom, saj morajo za to že po definiciji ves čas poslušati okolico.
Ali tajne službe res vedno poslušajo?
Težko verjetno. Tehnično bi bilo množično in stalno zbiranje vseh podatkov iz vseh domačih naprav izjemno zahtevno, drago in težko prikrito. Potrebne bi bile ogromne prenosne, računske in kadrovske zmogljivosti. Realnejši scenarij je ciljni nadzor manjšega števila oseb, pogosto z nameščanjem posebne sledilne programske opreme.
Veliki ponudniki storitev podatke o uporabi in delovanju naprav resda sistematično zbirajo, vendar anonimizirano in z uporabnikovo privolitvijo, ki je pogoj za uporabo storitve.
Utripajoča lučka na usmerjevalniku
Neželeni prenos podatkov iz domačega omrežja lahko okvirno spremljamo že na usmerjevalniku. Če priključek sprejemnika IPTV ali druge naprave utripa tudi takrat, ko je naprava navidezno izklopljena, to še ni dokaz vohunjenja, je pa razlog za … vprašanje. Naprava morda preverja prisotnost v omrežju, prenaša posodobitve, pošilja diagnostične podatke ali sinhronizira stanje. Lahko pa pošilja tudi kaj več, kot bi pričakovali.
Lahko tudi popolnoma nedolžne podatke, kot so temperatura, vlaga, zračni tlak, čas uporabe, trajanje premorov, vzorci vklapljanja in izklapljanja. Vendar je iz takih drobcev mogoče sklepati o navadah gospodinjstva: kdaj smo doma, kdaj spimo, kako pogosto uporabljamo neko napravo in kako se odzivamo na vsebine. Posamezen podatek je nedolžen, njihova zbirka pa je lahko zelo zgovorna.
Pametne kamere: varnost, ki potrebuje varnost
Pametna kamera prepoznava gibanje, človeka, paket pred vrati ali neznan predmet v prostoru. Boljše kamere to izvajajo lokalno z vgrajenimi procesorji in modeli za računalniški vid. Cenene pogosto zajamejo sliko in jo pošljejo v oblak, kjer jo obdelajo storitve proizvajalca ali tretjega ponudnika.
Takšna zasnova je cenejša in za proizvajalca priročna, za uporabnika pa predstavlja varnostno tveganje. Najprej zato, ker se slika domačega okolja prenaša prek svetovnega omrežja. Nato zato, ker uporabnik ne ve, kje se posnetki obdelujejo, lahko je neuporabna ob izpadu internetne povezave ali ob namernem motenju signala. In seveda ob morebitni ukinitvi ponudnikove storitve, kar se je nedavno zgodilo z internetnimi radii Bose.
Razvojne ploščice, kot je ESP32-CAM, lahko za zahtevnejše prepoznavanje slike uporabljajo zunanje oblačne storitve.
Kamera, ki je odvisna od Wi-Fi, je ranljiva tudi za motnje brezžičnega signala.
Pametne ure
Pametne ure, še posebej manj znane, so pri povezovanju preveč zaupljive. Pri preizkusu cenene pametne ure X-Watch QIN XW Pro (cena okoli 60 evrov) se je izkazalo, da jo je bilo mogoče brez potrditve uporabnika in brez kakršnegakoli gesla povezati z Raspberry Pi 500+ in aplikacijo XWfit. Podobno se je zgodilo z uro GloryFit KW66 (40 evrov). To ne pomeni, da so vse pametne ure enako ranljive, jasno pa kaže, zakaj so pri nosljivih napravah pomembni šifriranje, potrjevanje parjenja in možnost ročnega izklopa bluetootha.
Praktičen nasvet je preprost: kadar pametne ure ne povezujemo s telefonom ali je ne uporabljamo za obvestila, izklopimo bluetooth, če naprava to omogoča. Pri novejših in bolje zasnovanih napravah naj bo povezovanje zaščiteno s potrditveno kodo, prikazano na zaslonu ure.
Sledenje lokaciji in popolni oddaljeni nadzor
Sledenje lokaciji naprave je danes običajen del številnih storitev. Zemljevidi, vremenske aplikacije, priporočila in družinske aplikacije ga uporabljajo vsak dan. Družinske aplikacije, kot je Google Family Link, lahko staršem pokažejo lokacijo otroka, omejijo aplikacije in določijo čas uporabe telefona. V dogovorjenem družinskem okolju je to lahko koristno. Težava nastane, ko uporabnik ne razume razlike med koristno funkcijo in nadzorom.
Podobna orodja za nadzor zaposlenih ali oddaljeno upravljanje naprav lahko sežejo precej dlje: do pregleda datotek, nameščanja aplikacij, snemanja zaslona, uporabe kamere ali mikrofona ter popolnega zaklepa naprave. Kadar je nadzor zakonit, pregleden in dogovorjen, to ni težava. Kadar pa nekdo takšno programsko opremo namesti brez vednosti uporabnika, govorimo o vohunski programski opremi.
Največja nevarnost pametnega doma zato ni posamezna kamera ali ura, temveč veriga naprav, računov in aplikacij. Šibka točka pri eni napravi lahko odpre pot do telefona, iz telefona do računa, iz računa pa do drugih naprav v istem gospodinjstvu.
Ko hiša domuje doma
Najboljša rešitev za zasebnost je lokalna obdelava podatkov. To pomeni, da varnostna kamera sama analizira sliko, zvočnik razume govor brez pošiljanja posnetka v oblak, pametna igrača pa odgovora ne sestavlja na oddaljenem strežniku. Tehnološko je to vse bolj mogoče, vendar še vedno drago.
Za lokalno obdelavo govora, slike in velikih jezikovnih modelov potrebujemo zmogljive procesorje, nevronske pospeševalnike in dovolj pomnilnika. Raspberry Pi 5 z dodatkom AI HAT+ je zanimiv primer domače naprave z nevronskim pospeševalnikom, vendar je takšna rešitev v primerjavi z velikimi oblačnimi modeli še vedno omejena. Lokalni modeli so manjši, odgovori so lahko slabši, vzdrževanje pa zahteva več znanja in časa.
Slika 8: Raspberry Pi 5 z dodatkom za umetno inteligenco pokaže smer razvoja, ne pa še množične rešitve za vsak dom.
Oblak ima očitno prednost: vedno posodobljene modele, veliko računsko moč in manj dela za uporabnika. Lokalna obdelava pa ima drugo prednost: podatki ostanejo doma. V prihodnjih letih bo prav razmerje med tema prednostma odločalo, kako zaseben bo pametni dom.
Nevarni začetki: Wi-Fi, bluetooth in prvi vnos gesla
Veliko pametnih naprav je najranljivejših ob prvi nastavitvi. Nekatere se ob zagonu spremenijo v odprto dostopno točko Wi-Fi, da lahko uporabnik prek telefona vnese ime in geslo domačega omrežja. Če naprava pri tem ne uporablja ustrezne zaščite, lahko nekdo v bližini prestreže poverilnice. Podobna tveganja obstajajo pri odprtokodnih napravah, kot so nekatere izvedbe BitAxe, ali pri modulih z vdelano programsko opremo Tasmota, če uporabnik poverilnic ne vnese varneje, na primer prek konfiguracijske datoteke.
Pri odprtokodni strojni opremi je varnost pogosto odvisna tudi od znanja uporabnika.
Bluetooth ima druge pasti. Naprava se lahko poveže brez dodatne potrditve, zahteva uporabniški račun pri proizvajalcu ali deluje le, če ima telefon vklopljeno lokacijo. Tudi če proizvajalec podatkov ne zlorablja, uporabnik pogosto nima izbire: brez računa in dovoljenj naprava preprosto ne omogoča vsega.
Odklopimo omrežje
Fizični odklop omrežnega vmesnika je še vedno ena najprepričljivejših oblik zaščite. Če računalnik nima povezave z internetom, podatkov ne more pošiljati v oblak. Takšna rešitev je manj udobna, vendar uporabna pri napravah, ki obdelujejo občutljive podatke. Dodatna zaščita je lahko kakovostna storitev VPN, ki zmanjša izpostavljenost neposrednim napadom z interneta, ne reši pa vprašanja, kaj v oblak pošiljajo same aplikacije in pametne naprave.
Pametne igrače: najobčutljivejši uporabniki
Pri pametnih igračah je zasebnost še pomembnejša, saj so uporabniki otroci. Interaktivne igrače, otroški zvočniki, predvajalniki zgodb in roboti pogosto zbirajo podatke o uporabi: kaj otrok posluša, koliko časa, kdaj ustavi predvajanje, kaj preskoči in kako se odziva. Nekatere igrače za razumevanje govora uporabljajo storitve, kot so Amazon Alexa, Google Assistant in drugi oblačni sistemi umetne inteligence.
Toniebox, priljubljen predvajalnik zgodb in glasbe, je primer naprave, ki otroku omogoča zelo preprosto uporabo: figurico postavi na škatlo in predvajanje se začne. Tudi pri takih napravah je pomembno vprašanje, kateri podatki se pošiljajo proizvajalcu, ali je povezava šifrirana in ali naprava deluje brez interneta. Če igrača za osnovno delovanje potrebuje oblak, starši ne odločajo več le o igrači, temveč tudi o podatkovnem ekosistemu okoli nje.
Pametna igrača mora biti najprej varna, šele nato pametna.
Posebej problematične so igrače, ki snemajo otrokov govor in posnetke pošiljajo v slabo zaščitene oblačne shrambe. V preteklosti so bile nekatere takšne igrače v posameznih državah že prepovedane ali predmet regulatornih postopkov. To je dober opomin, da nizka cena in privlačna embalaža nista dovolj. Pri napravah za otroke morajo biti lokalna obdelava, šifriranje in jasna politika hrambe podatkov minimalni standard, ne dodatna zmogljivost.
Kaj lahko naredimo danes
Pametnemu domu se ni treba odpovedati, moramo pa ga zasnovati bolj premišljeno. Najprej izberimo naprave, ki čim več opravljajo lokalno. Nato preverimo, ali omogočajo izklop mikrofona, kamere, bluetootha in oblačnih funkcij. Za naprave IoT je priporočljivo uporabiti ločeno omrežje Wi-Fi za goste ali posebno omrežje, ki nima neposrednega dostopa do računalnikov z osebnimi dokumenti. Posodobitve vdelane programske opreme so nujne, privzeta gesla pa moramo takoj zamenjati.
Pri vsaki napravi si postavimo tri vprašanja: kaj zajema, kam to pošilja in ali lahko deluje tudi brez interneta. Če proizvajalec na ta vprašanja ne odgovori jasno, naprava ne zasluži mesta v prostoru, kjer živimo, delamo ali se pogovarjamo z otroki.
Pametna naprava naj bo pametna lokalno
Prihodnost pametnega doma bi morala biti lokalna. Kamere naj prepoznavajo dogodke v napravi. Zvočniki naj osnovne ukaze razumejo brez oblaka. Igrače naj ne pošiljajo otroškega govora na neznane strežnike. Res je, to izdelke podraži, saj lokalna umetna inteligenca zahteva zmogljivejše čipe in več pomnilnika. Alternativa je dom, v katerem je vsaka ugodnost vezana na oddaljeni strežnik in pogoje uporabe, ki jih skoraj nihče ne prebere.
Zakonodajalci bodo morali jasneje določiti, kaj lahko nosi oznako pametna naprava. Izdelek, ki brez internetne povezave ne zmore osnovne naloge, ni zares pameten, je le terminal za oblačno storitev. Dokler se to ne spremeni, moramo uporabniki pametni dom graditi z zdravo mero nezaupanja, ki pomeni manj stalno povezanih naprav, več lokalne obdelave, jasna dovoljenja in možnost fizičnega izklopa. Šele takrat hiša ne bo več klicala domov, ampak bo ostala doma.
