Internautii vor plati scump pentru protectia datelor personale

Aral Balkan si-a prezentat ultimul sau proiect in cadrul Handheld, o conferinta de tehnologie ce a a avut loc la Cardiff, in Tara Galilor, in noiembrie anul trecut. Care era ideea? Un telefon mobil care iese in evidenta intr-o industrie sufocata de "big data", care arata cum se pot obtine bani din acest inconvenient.

Utilizatorii telefonului lui Balkan vor putea controla datele pe care aparatul le colecteaza. Totusi, aceste date nu vor fi "monetizate". Pana in prezent, ceea ce Balkan numeste Indie Phone este doar o idee si este dependenta in mare masura de o campanie de crowdfunding, prin care vrea sa obtina mai multe milioane de lire sterline necesare pentru a pune aparatul in productie, conform The Economist.

Dar pentru ca securitatea online este frecvent incalcata, iar datele cu caracter personal furate, Balkan nu este singurul care se gandeste ca va exista o piata mare pentru produse mai sigure.

Multe asociatii atrag atentia asupora cantitatii enorme de date cu carater personal colectate, in scopuri comerciale, de gigantii din industrie, ca Google sau Facebook.

Omlet este un exemplu. Este un nou serviciu de mesagerie sociala lansat de Monica Lam de la Universitatea Stanford. Folosind Omlet, utilizatorii pot trimite mesaje catre si impartasi fisiere media, toate acestea fiind stocate in cloud de un furnizor tert, ales de utilizator, si nu pastrate si folosite in diferite scopuri, cum ar fi publicitatea-tinta. Desi serviciul este gratuit, Lam spera sa obtina bani prin colaborarea cu serviciile de cloud, cum ar fi Dropbox sau Box.com, servicii care ar putea fi activate, implicit, ca cele de stocare.

Companiile vor ajunge la concluzia ca "intimitatea" este un instrument de marketing util, apreciaza Stephen Wicker, specialist in comunicatii digitale la Universitatea Cornell. Wicker este unul dintre multi experti care cer firmelor sa ofere consumatorilor diferite optiuni prin care datele sa nu poate fi furate sau utilizate abuziv. Un serviciu care permite utilizatorilor sa isi pastreze datele pentru o zi, in loc de un an sau mai mult este, crede el, motivul pentru care utilizatorii ar fi dispusi sa plateasca in plus.

Autoritatile vor mai multa securitate a datelor

Presiunea venita din partea guvernelor ar putea incuraja aparitia de tot mai multe produse de care sa asigure confidentialitatea. Exista o constientizare tot mai mare despre cat de multe pot fi aflate despre un individ din datele care "plutesc" in jurul sau pe Internet. Casa Alba, de exemplu, gazduieste o serie de workshop-uri despre "big data", ca raspuns la un apel al presedintelui Obama, facut in ianuarie, pentru o revizuire a confidentialitatii datelor, in urma dezvaluirilor facute de Edward Snowden.

La primul dintre aceste workshop-uri, in martie, au existat multe discutii despre doua concepte foarte diferite, care ar putea fi adoptate de industrie, pentru a face sistemele informatice mai sigure: criptarea homomorphica si confidentialitatea diferentiala. Ambii termeni au devenit foarte cunoscuti, dar multi experti au gasit, pentru amandoua, mari limite.

Criptarea homomorphica permite ca acele calcule sa fie efectuate pe date care sunt criptate. In prezent, datele trebuie sa fie decriptate pe servere pentru ca acestea sa fie analizate si extrase informatii, ceea ce le face vulnerabile in fata atacurilor sau scurgerilor accidentale de date.

Insa criptarea homomorphica incetineste drastic viteza de procesare. Vinod Vaikuntanathan de la Institutul de Tehnologie din Massachusetts, impreuna cu colegii sai, au constatat ca extragerea informatiilor din datele criptate ar putea lua mult mai mult timp decat din cele necriptate. In cele mai recente experimente, durata de calcul a scazut destul de mult, insa a ramas prea mare pentru o alternativa serioasa la actualele sisteme de protectie a datelor.

Cu toate acestea, criptarea homomorphica ar putea avea unele utilizari, de exemplu in acele situatii in care securitatea datelor este cruciala - cum ar fi numararea voturilor in timpul alegerilor.

Confidentialitatea diferentiala abordeaza un alt mijloc de a proteja informatiile private. Chiar si bazele de date "anonime" pot fi vulnerabile in fata atacurilor "de accesare". Acestea permit ca identitatea persoanelor sa fie dedusa prin compararea informatiilor "anonime" cu date de la o sursa deschisa. De exemplu, se pot afla multe detalii despre cineva prin compararea datelor dintr-o baza de date medicala in care nu este specificat numele persoanei, cu datele luate din profilul social-media, care ar putea include si data si locul nasterii si ocupatia.

In loc sa preia direct de datele, atunci cand resursa "anonima" este accesata, confidentialitatea diferentiala utilizeaza algoritmi pentru a adauga niveluri variabile de "zgomot" datelor, astfel incat informatiile despre o anumita persoana sa fie ascunse. Frank McSherry, cercetator la Microsoft, spune ca aceasta metoda poate fi comparata cu ascultarea a un milion de chitari in acelasi timp. Daca acestea au distorsiuni, este greu de selecta una dintre aceste chitari, pentru a o asculta separat.

Problema cu confidentialitatea diferentiala este ca nu exista niciun mod, universal acceptat, de a putea fi folosita. Totusi, dupa cum noteaza McSherry, sunt cercetatori care au inceput sa studieze cel putin cum ar putea fi implementata aceasta metoda. Aceasta situatie este incurajatoare pentru cercetatorii care doresc sa gaseasca o metoda de a proteja cat mai bine bazele de date de mari dimensiuni, extrem de sensibile. Insa pentru firmele care exploateaza aceste baza de date, legal sau ilegal, poate fi foarte neinteresant.

Confidentialitatea este de vanzare?

Nu sunt dovezi suficiente care sa arate ca este o schimbare fundamentala in modul in care datele sunt utilizate si stocate. Carsten Casper de la firma de consultanta Gartner, a afirmat ca nu exista nici o mare "revolutie" in infrastructura IT. Companiile cer mai multe date confidentiale, insa Casper spune noua din zece dintre aceste intrebari nu sunt importante.

Companiile sunt dornice sa stie daca vor aparea restrictii legislative privind utilizarea datelor. Unele firme, de asemenea, se intreaba daca ingrijorarea publica fata de securitatea serviciilor cloud este destul de mare pentru a face ca centrele de date sa fie considerate o idee mai putin buna. In toate cazurile, Casper isi sfatuieste clientii sa priveasca in ansamblu, pentru ca intimitatea este departe de a fi singurul factor care trebuie sa fie luat in considerare.

Cu toate acestea, interesul in imbunatatirea masurilor de confidentialitate este in crestere. Aici sunt incluse diferite masuri, cum ar fi un control mai bun asupra persoanele din cadrul unei companii care au acces la anumite date, sau sisteme care pot facilita aplicarea unei politici de confidentialitate mai stricta. Dar nici schimbarile in modele de afaceri, nici cheltuieli pe tehnologii speciale nu au succes, daca nu se imbunatateste increderea si loialitatea clientilor.

Unii cercetatori mai cred ca ar putea fi imbunatatita confidentialitatea printr-o noua tehnologie. Robert Watson, un om de stiinta de la Universitatea din Cambridge, a petrecut ani cercetand "compartimentarea". Aceasta este o modalitate de separare a componentelor programelor din cadrul oricarui serviciu, cum ar fi interfata de e-mail, astfel incat sa fie permisa doar comunicarea absolut necesara.

Aceasta ar putea impiedica afectarea altor programe printr-un cod infectat atasat la e-mail, de exemplu. Din punct de vedere al securitatii, este bine. Dar ce poate fi facut pentru confidentialitate? "Putem folosi compartimentarea pentru a restrictiona efectele unei infectii", a spus Watson. Prin urmare, s-ar pune in aplicare politicile de securitate, ceea ce ar respinge un atacator sau un acces rau intentionat la informatii din interior.

Unul dintre colegii lui Watson, Ben Laurie, inginer de software de securitate la Google si director la Open Rights Group, organizatie care militeaza pentru o societate digitala deschisa, este de acord ca aceasta compartimentare ar putea contribui la limitarea impactului defectelor din securitate. El cunoaste aceste probleme, fiind si un membru de baza al proiectului OpenSSL, care ofera o aplicatii de criptare open-source. In aprilie s-a descoperit ca OpenSSL avea o vulnerabilitate cunoscuta sub numele de Heartbleed.

Heartbleed ar putea fi exploatata de atacatori pentru a obtine acces la memoria de pe servere, care ar putea dezvalui diferite date, cum ar fi parolele utilizatorilor si alte informatii sensibile. O compartimentare puternica, a apreciat Watson, ar fi impiedicat aceasta problema

Programele de compartimentare ar aduce costuri suplimentare, dar Watson crede aceasta investitie se merita facuta, deoarece creste securitatea datelor. Mai mult decat atat, costurile de compartimentare s-a reduce daca aceasta metoda ar fi folosita pe mai multe computere. Virtualizarea permite ca mai multe masini virtuale, fiecare cu propriul sistem de operare si aplicatii, sa ruleze in mod independent pe acelasi procesor. Pentru a fi viabil din punct de vedere comercial, procesoarele vor trebui reproiectate.

Sunt si pareri in industrie care cred ca guvernele trebuie sa intervina pentru a proteja confidentialitatea datelor. In Marea Britanie, de exemplu, Biroul Comisarului de Informatii lucreaza la dezvoltarea de noi standarde de confidentialitate. Dar criticii cred ca astfel de propuneri sunt nu sunt suficiente, mai ales de cand s-a dezvaluit ca Agentia de Securitate (NSA) a SUA a condus un program de supraveghere, cunoscut sub numele de PRISM, care a colectat informatii direct de la serverele marilor companii de tehnologie, cum ar fi Microsoft, Google si Facebook.

Sunt si modalitati care permit "ascunderea" online, cum ar fi reteaua Tor, care permite navigarea anonima pe internet. Tor s-a dovedit a fi extrem de robust. Intr-o prezentare NSA intitulat "Tor Stinks", dezvaluita de Snowden, se arata ca "Niciodata nu vom putea sa 'dez-anonimam' toti utilizatorii Tor." Tor are trebui sa fie tot mai folosit, dar reteaua este lenta fata de web-ul clasic.

Mai sunt si alte moduri luate in calcul pentru securitate si confidentialitate. Unul, cunoscut sub denumirea de "acreditari anonime", ofera autentificare fara identificare. In loc de a furniza date de identitate pentru a accesa, de exemplu, un serviciu on-line, utilizatorului i s-ar putea cere o "identificare" mai complicata, pe care doar cei autorizati sa stie cum sa rezolve.

Dar toate aceste procese vin cu unele costuri. Utilizarea in scopuri comerciale a baze mari de date, cum ar fi pentru studii de piata si publicitatea directionata, ajuta la subventionarea mai multor produse si servicii. Companiile si consumatorii pot fi reticenti in a plati mai mult pentru o mai mare confidentialitate, alegand sa aiba mai multa grija cand acceseaza servicii online. Insa cat de mare si de succes va deveni piata de "confidentialitate", depinde de cererea de noi produse, cum ar fi Indie Phone al lui Balkan, cu conditia ca acestea sa ajunga pe piata.