The Good, the Bad and the Ugly
给国际红十字会做系统安全,我看到的、想到的、感受到的。
At the end of this story, money still rules the world. But I have met lovely people who were dancing in shackles. It is not all that bad, it is not.
今天刚做完Final Presentation,趁着这股子热乎劲儿,写一下能写的、有意思的事儿。这一周睡得太少了,现在那个累的感觉已经有点上头了,写到哪就算哪吧。
Blind love at first sight
I just feel the chemistry, so I go with the flow. That is how the story began.
做研究真的很像谈恋爱你知道吧…当时来洛桑交换做master thesis是个last-minute decision,准备的时间不多,但幸运的是联系实验室的时候有三个项目还缺人: 一是给Swiss E-voting做bug bounty,二是给低收入国家做low-cost Covid contact tracing,最后一个就是给国际红十字会(ICRC)做强隐私保护的人道主义援助物资分发(humanitarian aid distribution)系统。
从技术方面来说,反正我都没做过所以肯定都能学到不少东西;从大的研究方向上来讲,都是属于安全这个领域的,so all of them go into the circle called “projects I like”。所以最后选项目这个事就看自己心里的感觉,after all, you will have a six-month relationship with your thesis ;)
首先被划掉的是Swiss E-voting bug bounty,我之前做过一个semester project算是给Armasuisse打了一点点工,虽然那个项目做的很开心,但是这回thesis就不太想做跟Swiss government有关的项目,想试试别的stakeholder。然后就是在low-cost Covid contact tracing和ICRC aid distribution这两个里面选,这个选择就有点难了。当时疫情还是挺严重的,第几波我已经忘了,反正Covid contact tracing当时算是个“时髦又应景”的项目,但是somehow实验室问我想选哪个的时候我就很想做ICRC aid distribution这个。所以给实验室的邮件我就真的直接这么写了:
"I am somehow more into the ICRC project, while both are good matches for my interest. This preference is more like “blind love at first sight” since I don’t have concrete reasoning."
后来我也有重新好好想过,为什么当时会想选这个ICRC的项目。 可能是疫情刚开始的时候,武汉的红十字会出过新闻,我记得当时大家对NGO、人道主义组织啥的骂得挺狠的。 这个事虽然很久了,但是我心里还是有个想法,想去这种机构内部去真正看看,到底是什么样的,是不是像大家说的贪污腐败没啥好人。 就像本科的时候去支教,也有人说都是骗人的,但是我就是想去真正做一下看一看所以我就去了。 当然,这理由很有可能是生搬硬套瞎联系的。You know, we human being are good at rationalizing every single choice we have made. 反正anyway最后我就真的选了这个ICRC的项目,我心里是做了一下准备的:要是真的体验贼差,就当是跟朋友喝酒能讲的故事算了,大不了以后再也不跟这种人道主义组织做项目了。
人道主义组织的困境
They must have efficiency, security, and privacy. Oh, by the way, these three things always bite each other…
我之前以为ICRC和UN这种组织都差不多,就每天开开会,喊喊口号,互相骂一骂,然后出一个永远没有人看的会议文件,大家四点钟准时下班回家。 但是咱得说老实话,ICRC还是做了很多实事的。ICRC的工作主要有两个方面,一是推进人道主义活动和humanitarian regulation/law的发展,二是去实地做人道主义援助(field operation)。一般上新闻的都是这种实地的援助,比如做疾病防治、救助伤者、分发物资之类的。
这个项目就主要是针对实地的人道主义援助物资发放。我一开始想的是:这有什么难的,不就跟小时候父母工厂里逢年过节给每一户发发米面油啥的差不多,顶多就是谁谁谁非想多领一袋洗衣粉吵吵两句。It turns out, I am too naive. It is never an easy task. Let me tell you why.
首先,这种人道主义物资分发必须要高效,简单说就是:要快。ICRC很多实地援助都是在极度不稳定、甚至是危险的环境下进行的。 在这种环境下进行大量物资发放,风险是很高的。比如,在一些地区,如果ICRC的物资发放点长期聚集很多人,这个点被炸弹袭击或者被抢劫的可能性就会很高。 所以为了减少物资接收者和ICRC工作人员被袭击的风险,一是要减少人员聚集(不要让物资接收者排很长很长很长的队),二是要尽可能缩短整个分发工作的时间。 但是实际操作起来,这两个要求要达到是很难的,因为发放物资这种工作绝不是把两袋米递过去这么简单。 如果是ICRC的工作人员人工来执行这个流程,那要先确认面前这个援助者的身份(我叫XXX),在名单上找到这个人的名字(哦,XXX你在名单上,你家有两个孩子,所以这个月给你发两袋米),让物资接收者确认信息和物资(你在这个表格最后一列签个名吧),最后才是把两袋米递过去。 各位想必都有过在年级排名成绩单上找自己名字的经历,像我这种忽上忽下的就永远不知道是该从后往前看还是从前往后看,每次都要花很久。 所以“找到物资接收者信息”这一步如果是用纸质的名单人工来做,就会非常低效。 为了能够提高人道主义物资分发工作的效率,ICRC一直在尝试用电子化的系统来取代现行的“纸笔记录”物资发放系统。
Problem solved, right? Well… NO. Digitalization is powerful, but it is a coin with two sides ;) 先不说把电子设备部署在一些欠发达地区有多难,咱们先假设可以用电子设备。 那确实,ctrl+F大家都用过,所以“找名字”这一步是会很快的,但是“个人信息收割”的速度也上来了。 There is no “digitalization only for the good”, digitalization is digitalization. 相对于纸笔记录,电子设备的使用大大降低了个人信息收割性盗取的难度。ICRC跟UN不一样,while the United Nations deals with diplomats, ICRC works for the most vulnerable people. 物资接收者的个人信息一旦泄漏,后果是不能想象的。比如,一些援助物资分发可能会针对特定族裔(在一些少数族裔节日发放特殊物资补助,帮助他们庆祝自己文化的节日),仅仅是知道“XXX是这次物资发放的物资接收者之一”就会泄漏这个人的信仰、族裔、身份等敏感信息。如果局势动荡,人道主义援助组织在撤出当地时没有办法销毁分发记录,之后进入当地的恐怖组织可以根据这份受援助名单进行针对种族的大规模屠杀。I know this sounds horrible, but it happens in reality. 所以这种物资发放系统的整个设计要尽最大可能防止用户隐私信息泄露。
只有efficiency和privacy是不够的,还要有security。ICRC的所有经费都来源于“志愿捐助”(voluntary donation),所以它还能保持自己的非政府性、中立性、独立性。 可是这也不代表ICRC可以不看任何人的脸色,有一类人是绝对不能得罪的:donors ;) Humanitarian organizations must prove to donors that their money has been spent wisely in the correct place, of course. (Did I mention “money rules the world” before? Ahhh, yes, I did.) 在做这个项目的时候,我才知道像这种主要依靠捐助的组织,不管是ICRC还是其他NGO,都对任何一种系统设计有accountability的要求,也就是说这个系统的整个运行过程要auditable,不管是面对内部审查还是外部审查。那审查肯定是要有记录文件,关键是这个文件应该包含什么信息?信息粒度应该是什么样的?(比如,auditor不需要知道XXX在X月X日得到了X袋米和X个婴儿用品,auditor只需要知道这个发放站在一周之内确实向当地人发放了总计500袋米)怎样在提供足够的“可追溯性”的同时保证物资接收者的个人信息不至于泄漏?这些问题就全都取决于system designer对于整个architecture的设计(which is, in my opinion, the most tasty part of this project)。In short, a good aid distribution system needs to provide information that is just enough for providing accountability of field operations. No more. No less.
那些好的、坏的、丑陋的
Let me be honest, as always.
NGO中的贪污腐败问题已经是老生常谈了,它们自己也知道。 在援助物资分发系统的设计中,很多的力气都用在防止物资接收者重复领取物资上。(“Hey你昨天不是来领过了吗?你今天怎么又来了,不能再给你了,还有别人要领呢!”) 但是实际上,最大的漏洞可能还是处在NGO内部,而不是在那些因为饥饿想多领一袋米的人。 Yes, this is the elephant in room. 但是让我开心的是,这些问题没有像我想象的那么“禁忌”,这些人道主义组织内部的工作人员也会主动去谈论这些问题。At least, they acknowledge the elephant ;)
另外,明显能看出NGO也处在各个方面的压力当中。一方面,它们努力尝试在各种行动中使用更新的科技,更新老旧系统,这很耗钱、人、时间;另一方面,它们也承受着来自donors和technology companies的压力和游说,陷入“过度科技化”的陷阱。We must realize that we do not need fancy technologies all the time, especially in the fields where the out-dated pen-and-paper method works well. 很多公司尝试将NGO当成“潜在顾客”,不断给donors脑子里种下“technology is the silver bullet”的想法,营造虚妄不实的产品效果,企图引导(或者迫使)NGO购买它们的“高科技解决方案”。正如“A Success Story that Can Be Sold”?: A Case Study of Humanitarian Use of Drones.这篇文章中谈到的:
Discussion revolves around the ideology of “technological utopia”, and the normative role of technology in the aid sector – to make substantive impacts, or to produce “success stories”.
这不是此类问题第一次被提及,恐怕,也不会是最后一次。I know this sounds depressing, but we must face this messy reality.
赶上疫情再加上安全权限之类的考虑,没有很多机会跟真正在实地工作的人道主义援助工作人员聊天 (which is such a pity :/)。但是也确实见到了在NGO内部敢于直面、愿意讨论、也在努力解决这些问题的人。I am deeply touched when I see lovely people dancing in shackles. As the old quote I mentioned before, “this world sucks, but it is not a reason for making it worse”.
It is not all that bad, it is not.