ראיון כלכליסט
"אפשר להגן על הציבור בלי לעקוב אחריו"
פרופ' שפי גולדווסר כלת פרס טיורינג והמדענית הראשית של דואליטי טוענת כי ניתן לנהל כיום את משבר הקורונה תוך פיענוח ערימות מידע מבלי לפגוע בפרטיות האזרחים. בראיון לכלכליסט היא אומרת: "למה השב"כ צריך לדעת מי חולה? אפשר לעשות את זה בלי שמידע יזלוג. זה נשמע לאנשים כמו קסם, אבל זה אפשרי"
"לא צריכה להיות סתירה בין איסוף מידע לשמירה על הפרטיות. הטכנולוגיה שלנו מאפשרת כיום לאסוף מידע ולהתריע בפני האנשים בלי לדעת מי הם. זה כאילו קסם, אבל זה אפשרי. אנשים שומעים ולא מאמינים, אבל זו עובדה".
- בלי דיון, בלי נימוקים, פה אחד: כך אישרה הממשלה מעקב של המשטרה אחרי מבודדים
- המשטרה איכנה 5,771 טלפונים של חייבי בידוד - 791 שגויים
- תקנות לשעת חירום יעוגנו מחר בחקיקה זריזה בכנסת
את המשפט הזה — שעומד בסתירה לכל מה שנאמר לאזרחי ישראל לאחרונה כדי להצדיק את הצורך באיכון הטלפונים שלהם על ידי השב"כ או לדרוש את הזדהותם בכניסה לקניון ובכל פעולה פולשנית ודורסנית הפוגעת בפרטיותם — אומרת פרופ' שפי גולדווסר, ממכון ויצמן, ברקלי ו־MIT. לו היו יוצאים הדברים מפיו של מישהו אחר היה ניתן לבטל אותם בזלזול, אך כאשר מדובר במי שזכתה פעמיים בפרס טיורינג — ה"נובל" של מדעי המחשב — ובאחת ממדעניות המחשב החשובות בעולם זה מעמיד את הדברים באור אחר לחלוטין.
ב־2017 הקימה גולדווסר את חברת דואליטי בה היא משמשת כמדענית ראשית כיום. בין שותפיה לדרך נמצאים חתני פרס גדל ד"ר קורט רולוף ופרופ' וינוד וייקונטנתן מ־MIT והיו"רית רינה שאינסקי. עד כה הושקעו בחברה 19 מיליון דולר על ידי Team8, Intel capital ו־Hearst Ventures. החיבור בין היזמים של דואליטי לקבוצת Team8 נעשה דרך יובל שחר, שותף ויו"ר פעיל בקבוצת Team8. "הגיע הזמן שחברות יוכלו לשתף נתונים ללא חשש שיבוצע בהם שימוש לרעה", אמר שחר. "על צורך זה בדיוק עונה הטכנולוגיה פורצת הדרך של דואליטי, שפתחה עידן חדש לעסקים ולאבטחת מידע".
בראיון משותף עם מנכ"ל החברה, ד"ר אלון קאופמן, מספרת גולדווסר ל"כלכליסט" על הפתרון שפיתחה דואליטי המאפשר לעשות את מה שרק לפני כמה שנים היה בגדר קסם: לקחת מידע מוצפן, לבצע עליו פעולה חישובית מורכבת ולקבל נתונים שמישים — וכל זה מבלי לחשוף פרטי מידע רגישים בשום שלב. הטכנולוגיה שמאחורי דואליטי מבוססת על מחקר פורץ דרך של גולדווסר, שעוסק בעיקרון שמכונה הצפנה הומומורפית.
מהלבנת הון למשבר הקורונה
לדברי גולדווסר, הפיתוח של דואליטי החל הרבה לפני ימי הקורונה, כדי לתת מענה לבעיה אחרת לגמרי. "זה מוצר שפותח במקור על מנת לאפשר לבנקים לשתף מידע בחקירות הלבנת הון מבלי לחשוף מידע של לקוחות. כשבנקים עושים ביניהם חקירה על הלבנת כספים הם יכולים לעשות את החקירה בלי להסגיר שהלקוח שלהם חשוד".
כעת, מסבירים השניים, המוצר עבר הסבה לעולמות הקורונה. "לקחנו מערכת שפותחה למטרות אחרות והתאמנו אותה למצב הנוכחי. אפשר לעשות באמצעותה תחקירים בלי להסגיר את האדם החולה ובלי שמשרד הבריאות יראה איפה הוא היה", אומרת גולדווסר.
"מה שקורה עם הקורונה הוא שזה כבר לא עניין של חברה פרטית שמנסה למסחר טכנולוגיה. אנחנו בעיצומה של מגיפה כלל עולמית שצריך לצאת ממנה. זו לא שאלה של בנק שרוצה יותר רווח או מישהו שרוצה מחקר טוב יותר של חולי סוכרת. זה נוגע בכולנו, זה עוצר את הכלכלה. איך נצא מזה? יש כמובן הרבה מדענים ואנשי רפואה שעושים את עבודתם, אבל בנוסף לעצירת המגיפה מדברים גם על איך להתניע את הכלכלה. איך פותחים למשל אוניברסיטה? איך מאפשרים לסטודנטים לחזור ופותחים מעבדות? בארה"ב, בישראל ובמדינות מערביות אחריות יש דילמה: יש הרבה מידע, אבל איך משתמשים בו בצורה שלא תפגע בפרטיות של אנשים בהווה ובעתיד. זה האתגר הגדול".
התווך שבין 100% יעילות ל־0% פרטיות
לדברי קאופמן, הפתרון של דואליטי מאפשר ליישב סתירה בין שני היבטים חשובים של העידן הנוכחי: הצורך לאסוף כמויות מידע עצומות על מנת לשפר את המאבק בקורונה מחד, והדרישה להגן על פרטיות הציבור מאידך. "כיום יש שני מודלים קיצוניים", הוא אמר. "אם מסתכלים על סין, אין פרטיות לאנשים. הממשלה נכנסת הכי עמוק לטלפון ולבריאות של האנשים. לטוב ולרע הם הפסיקו את התפרצות המחלה. הם יודעים בכל רגע נתון מי חשוף לא, מי יכול לנסוע בתחבורה ציבורית, מי יכול להיות בעבודה. ככה הם מנהלים את האירוע. עם גישה לכל המערכות והמידע ניתן לשלוט בהתפשטות הקורונה בצורה טובה מאוד. זה סמן אחד — 100% יעילות, 0% פרטיות. זה סין.
"הקיצון השני הוא מקום אידיאלי שבו אף אחד לא רוצה ששום דבר ידלוף מאנשים, אפילו לא מידע אגרגטיבי. 100% פרטיות, אולם, במקרה כזה שאף אחד לא נחשף לנתונים האפקטיביות של ארגוני הבריאות היא 0%. אלו שני הקצוות. מתח דומה היה קיים גם בעבר, אולם עד לפני ארבעה־חמישה חודשים זה היה אנשי הפרטיות נגד ענקיות הטכנולוגיה. היה ברור מי הטובים ומי הרעים, פרטיות מול כסף, זה היה ראש בראש. היום אנחנו במקום קצת שונה. כי היעילות זה לא רק כדי שענקיות הטכנולוגיה יעשו עוד כסף, אלא איך להתמודד עם המגיפה. מצד שני אי אפשר לעשות את מה שסין עשו. אז עכשיו זו בעיה של פרטיות מול בריאות הציבור.
"מה שדואליטי אומרת זה שהעולם לא כאן ולא כאן. אתה יכול להריץ כל מיני מודלים. לדוגמה, מודל שבו משרד הבריאות מתחקר גופים שמחזיקים בנתונים כמו מידע מיקום, ומקבל דברים כמו כמה אנשים באזור תל אביב נחשפו לקורונה ביומיים האחרונים. זאת, מבלי להסגיר בשום שלב את רשימת החולים שבידי משרד הבריאות. למה שענקיות הטכנולוגיה או השב"כ צריכים לדעת מי חולה? אנחנו מאפשרים לעשות את זה בצורה שלא זולג כלום. משרד הבריאות לא מסגיר מי החולים, ומי שמחזיק במידע המיקום לא צריך לדעת מי החולים, אבל יכול לחשב ולהגיד שהיום בתל אביב 250 אנשים נחשפו לקורונה. זה מאפשר לנהל את התהליך. זה לא סין ולא זה אפס. יש דרך באמצע".
"אנחנו נעזרים גם באפל וגוגל"
לדברי גולדווסר וקאופמן המידע שמתקבל באמצעות הכלי שפיתחו מאפשר לקבל החלטות ולנהל את הארוע באופן מושכל.
איך זה עובד בפועל?
קאופמן: "נגיד אתה משרד הבריאות ויש לך 100 אנשים שחולים בקורונה. אתה יכול לפנות לגוגל, למשל, ולשאול איפה היו 100 האנשים האלו, כאשר הנתונים של השאילתה מוצפנים. גוגל מקבלת שאילתה מוצפנת, היא לא יודעת מי האנשים, היא מריצה את החישוב ומקבלת תוצאה מוצפנת מבלי שהיא יודעת איפה האנשים האלו היו, ומה שחוזר למשרד הבריאות זה רק המקומות שהיו בהם חולי קורונה. וכך אפשר לנהל את התפשטות המחלה".
גולדווסר: "הרעיון הוא שיש מאגר מידע ואתה יכול לשאול שאלות על המאגר הזה בלי שידעו מה השאלות. מידע על מיקומים נמצא אצל חברות טכנולוגיות כגון גוגל או אפל. הרשויות רוצות להריץ ניתוחים מבלי להסגיר לחברות את זהות החולים, ומבלי שהרשויות יוכלו לעקוב אחרי איפה אנשים נמצאים בכל רגע נתון. זה לא רק לנתח מי היה בקרבת מי. יש כל מיני דיבורים על מעקב מגעים (Contact Tracing), ושם מגלים רק מי היה בסביבה שלך כדי להודיע לאנשים שנחשפו. הטכנולוגיה שלנו מאפשרת גם לעבד את המידע. אתה לא רק רוצה להודיע לאנשים להסגיר את עצמם. אתה רוצה ללמוד משהו. איפה יש מוקדי הדבקה בתל אביב? אילו מקומות יותר מועדים להדבקה? אפשר לעבד את מידע הזה בצורה מוצפנת, להרחיב מעבר לשאילתות בסיסיות.
אפשר לעשות חישובים, סטטיסטיקות, ולקבל התובנות שרשויות הבריאות צריכות לדעת. למשל, אם אתה מדבר למשל על אוניברסיטה — הסטודנטים נכנסים לאולם הרצאות. הם אמורים לשבת במרחק מסוים אחד מהשני אבל איך הם נכנסים בדלת? איך נכנסים בדלת לטיסה? האם זה מקום שחשוב להגן עליו או לא? אם תהיה לך את התשובה, תוכל ליצור פרוטוקולים. הטכנולוגיה בעצם מאפשרת למדל התנהגות בצורה מאוד מדויקת ולהציע הנחיות על סמך זה, מבלי לפגוע בפרטיות האנשים שמהם מגיע המידע. למשל, לקבוע שסטודנטים יגיעו לשיעור בצורה מדורגת או יכול שצריך לפתוח או דלתות לאולם ההרצאה או לבנות את המערכת בצורה אחרת לחלוטין. אם יש מערכת שבה אפשר לעשות שינויים מסוימים, וצריך מידע לגבי מה השינויים, אתה רוצה לאסוף את המידע הזה מבלי לפגוע בפרטיות. זה הרבה יותר מתוחכם מלתת לאדם אחד לדעת שהוא היה במגע עם נשא. זה נפלא, זה הצעד הראשון, אבל זה מוגבל".
וזה בעצם ההבדל בין הטכנולוגיה שלכם לפיתוח המשותף של גוגל ושל אפל.
גולדווסר: "מה שגוגל ואפל מפתחות חשוב גם בשבילנו, זה נותן מידע על קירבה וזו נקודת התחלה. אבל איך שמים על זה פרטיות ומרחיבים את היכולות? זו ראייה של היום ועכשיו. אפל וגוגל בונים כלי שמאפשר לקבל מידע מיקום ומגעים. השאלה היא מה אתה בונה על זה, ועד כמה זה פרטי השלב הראשון היא להגיד לאנשים באופן מבוזר, נחשפת ־ לך להיבדק. יש הצעות כאלו כבר, אבל הן נעצרות בשלב הזה. ההצעה שלנו היא לעשות את בדרך שלנו, עם כלי הצפנה הומומורפית, כי אז אפשר לעבד את המידע ולקבל תובנות משאפשרות לנקוט באמצעים. זה המסר לעתיד. אנחנו צריכים לדעת מה לעשות. לא רק נחשפת, תיכנס שבועיים לסגר. עברנו את זה. צריך אמצעים מתוחכמים הרבה יותר. אפשר לעצור בזיהוי מגעים, זה אבל אפשר להשתמש במידע לשלב הבא".
ואיך יוצרים פתרונות לניהול השגרה החדשה? איך פותחים מקומות מסחר ובילוי בצורה בטוחה?
קאופמן: "השלב הבא הוא להחזיר את הכלכלה כמה שיותר מהר. זה לא וירוס שמחר נעלם, הוא יהיה פה הרבה זמן וצריך לדעת לנהל את התהליך. חלק מניהול התהליך, זה להבין מה קורה. איפה אנשים חולים נמצאים, מי חולה, מי נדבק ואיפה. אנחנו מאפשרים את זה גם בעולם המערבי, מבלי להפוך את משבר הקורונה למשבר פרטיות. לעשות את החזרה הזו לחיים הרגילים בצורה שבה ארגוני הבריאות והממשלה יכולים לקבל תובנות לניהול התהליך מבלי להיות חשופים למידע פרטי של אנשים, ומבלי להסגיר לבעל המידע מי חולה. אנחנו מאפשרים לשני הצדדים לנהל את החזרה לשגרה תוך שמירה על הפרטיות. נגיד אני הייתי ליד חולה. הממשלה לא צריכה לדעת איפה הייתי בשבועיים האחרונים, זה לא עניינה. כל מה שצריך לדעת זה אם הייתי ליד חולה".