Najważniejsze wiadomości - Naukowcy uczą plotkującą sieć dyskrecji
Zagadnienia prywatności i bezpieczeństwa są wzajemnie powiązane, a obecnie coraz częściej mają miejsce poważne wycieki danych. W kwietniu tego roku wiodący producent elektroniki użytkowej padł ofiarą ataku, w wyniku którego skradziono ponad 100 milionów plików z danymi na temat użytkowników. Pliki te zawierały dane personalne, adresy oraz dane dotyczące kart kredytowych. W jednym ze znanych szpitali w Stanach Zjednoczonych upubliczniono, za pośrednictwem strony internetowej, dane dotyczące 20 000 pacjentów OIOM, natomiast w Wielkiej Brytanii dziennikarze jednej z gazet włamali się do telefonów komórkowych Rodziny Królewskiej, brytyjskich celebrytów oraz ofiar najbardziej nagłośnionych przestępstw. Nie dziwi zatem, że w obliczu wzrostu niepewności odnośnie środowiska sieciowego wzrastają także obawy dotyczące prywatności danych oraz tożsamości ('ID'). "Obywatele pragną chronić swoją prywatność i mieć kontrolę nad informacjami osobistymi, niezależnie od tego, czym się zajmują", tłumaczy Dieter Sommer, koordynator projektu "Dożywotnie zarządzanie prywatnością i tożsamością w Europie" ('Privacy and identity management in Europe for life' - PrimeLife). "Jednakże istniejące techniki informacyjne w niewielkim stopniu uwzględniają powyższe wymagania, narażającym tym samym użytkowników na zagrożenia". Powyższa sytuacja od zawsze dotyczyła szereg tradycyjnych usług internetowych, jednak coraz bardziej kolaboracyjny charakter korzystania z internetu powoduje, że użytkownicy udostępniają coraz więcej informacji osobistych, zauważa Sommer. "Obywatele udostępniają informacje przez całe życie, pozostawiając za sobą rozległą, osobistą historię". Historia ta stanowi poważne zagrożenie, któremu próbują stawić czoła uczestnicy projektu PrimeLife. W tym trzyletnim projekcie wzięło udział 14 wiodących, europejskich przedsiębiorstw oraz instytucji badawczych, pracujących nad zagadnieniami związanymi z prywatnością, a także jeden partner z USA. Projekt PrimeLife stanowi kontynuację projektu "Zarządzanie prywatnością i tożsamością w Europie" ('Privacy and identity management in Europe' - PRIME). "Prace projektu Prime skupiono wokół minimalizacji ilości danych niezbędnych do przeprowadzania transakcji", tłumaczy Sommer. "W ramach projektu PrimeLife przyjęliśmy znacznie szerszą perspektywę. Jednym z jej elementów (...) było dalsze rozwijanie prac projektu PRIME, jednak pracowaliśmy ponadto nad szeregiem innych zagadnień". Wizja uczestników projektu PrimeLife obejmowała gwarantowane zarządzanie prywatnością, zaufaniem oraz tożsamością za pośrednictwem narzędzi typu wtyczki do przeglądarek internetowych, portale społecznościowe oraz szyfrowanie, co stanowi duże wyzwanie. Obywatele bardzo często udostępniają "informacje osobiste" ('Personally indetifiable information' - PII) dokonując subskrypcji w ramach biuletynów internetowych, płacąc za autostrady, uczestnicząc w życiu portali społecznościowych, czy też korzystając z usług typu e-samorządy czy handel elektroniczny. Jednocześnie społeczeństwo informacyjne ulega ciągłym przeobrażeniom, wraz z pojawianiem się nowych modeli biznesowych oraz nowych platform dostarczania usług, które powodują zwielokrotnienie nasilenia wymiany informacji. Użytkownicy praktycznie nie są w stanie śledzić obiegu udostępnianych przez nich informacji. W ramach projektu PrimeLife przeanalizowano szereg ścieżek badawczych, w celu dokonania oceny problemu, opracowania trwałych rozwiązań oraz sformalizowania konkretnych metod wdrażania nowych technologii. Pierwszym z podjętych działań było określenie czym jest dożywotnia prywatność, kolejnym natomiast opracowanie i ocena scenariuszy. Po opracowaniu scenariuszy uczestnicy projektu, w ramach odrębnej ścieżki badawczej, rozpoczęli prace nad odpowiednimi mechanizmami. Jedną z kluczowych działalności było opracowanie polityk, uważanych za jedno z najskuteczniejszych narzędzi pozwalających oddać kontrolę nad prywatnością w ręce użytkowników. Odpowiednia polityka może na przykład uniemożliwiać wykorzystanie danych osobistych, wymaganych przez konkretną usługę, w celach marketingowych lub może zagwarantować udostępnianie tych informacji wyłącznie określonym podmiotom. Niejasności i niewydoga Kolejnym istotnym elementem projektu PrimeLife była użyteczność. Użytkownicy rzadko czytają informacje podane niewielkim drukiem, a niejasności i niewygoda, które cechują aktualne interfejsy prywatności i kontroli stanowią jedne z wielu powodów, dla których użytkownicy nie są chronieni. W ramach projektu PrimeLife zbadano i opracowano infrastruktury (w zakresie np. ochrony prywatności w oparciu o polityki) gwarantujące prywatność usług i bezpiecznych urządzeń przenośnych, a także przeanalizowano zagadnienia ekonomiczne. Zespół uczestniczący w projekcie równolegle prowadził także działania określone jako "Prywatność na żywo" ('Privacy Live'). 'Privacy Live' polegało na ciągłych wysiłkach na rzecz upowszechniania wyników badań pośród szerszej społeczności zaangażowanej w prace nad prywatnością, za pośrednictwem prac standaryzacyjnych, rozpowszechniania informacji, współpracy oraz udostępnienia oprogramowania o otwartym kodzie źródłowym ('open-source'). Najważniejsze rezultaty obejmowały udostępnienie społecznościom sieciowym narzędzi wspierających prywatność, a także szereg bardzo udanych, fundamentalnych badań naukowych dotyczących systemów upoważnień, ogólnej kryptografii oraz innych, kluczowych zagadnień związanych z prywatnością. Powyższym działaniom towarzyszyło stworzenie szeregu narzędzi z otwartym kodem źródłowym ('open source'), zaprojektowanych pod kątem wszystkich aspektów prywatności. W ramach projektu PrimeLife stworzono na przykład portal społecznościowy o nazwie 'Clique', który umożliwia użytkownikom kontrolowanie prywatności poprzez tworzenie grup docelowych odbiorców - na przykład przyjaciół, kolegów itd. - tym samym automatycznie ograniczając rodzaj informacji udostępniany danej grupie docelowej (nazwy użytkowników, zdjęcia profilowe itd.) . Uczestnicy projektu stworzyli także wtyczkę przeznaczoną dla przeglądarek internetowych, zwaną 'Scramble', która umożliwia użytkownikom szyfrowanie danych wymienianych z portalami społecznościowymi. Inną interesującą technologią jest 'Identity Mixer', który pozwala uwierzytelniać użytkowników bez konieczności ujawniania ich tożsamości - użytkownicy mogą potwierdzić swoje uprawnienia nie ujawniając kim są. Oznacza to, że w przyszłości strony internetowe nie wymagałyby danych osobistych, których udostępnienie jest obecnie niezbędnym warunkiem korzystania z ich usług, co z kolei doprowadziłoby do ograniczenia ryzyka wycieku tych danych. Prace nad politykami również mogły by zrewolucjonizować prywatność w obrębie "usług złożonych". Na przykład gdy firma oferująca kupony rabatowe wymienia informacje ze sprzedawcą detalicznym, w celu przygotowania ukierunkowanej oferty specjalnej, może nastąpić wymiana informacji na temat tożsamości lub lokalizacji. Jednak podejście obrane przez uczestników projektu PrimeLife pozwoliłoby użytkownikowi podjąć decyzję odnośnie udostępniania informacji poszczególnym usługodawcom. Powyższy przykład jest zaledwie jednym z wielu bardzo prostych, jednak narzędzia opracowane w ramach projektu PrimeLife pozwalają stawić czoła również bardzo złożonym konfiguracjom usług. Narzędzia PrimeLife mogłyby ponadto umożliwić udostępnienie zaawansowanych usług w zakresie ochrony prywatności przedsiębiorstwom. Przykładowo firma biotechnologiczna, prowadząca badania w oparciu o bazę danych DNA, dostarczaną przez inne przedsiębiorstwo, potrzebuje uzyskać dostęp do danych, jednak nie życzy sobie, aby przedsiębiorstwo udostępniające dane miało możliwość śledzenia i rejestrowania tego dostępu, gdyż informacje te mogą obejmować poufne dane badawcze lub dane na temat pacjenta. W chwili obecnej przeprowadzenie powyższych badań wymaga wydzierżawienia lokalnej kopii całej bazy danych, co jest nie tylko drogie, ale także problematyczne z punktu widzenia bezpieczeństwa, ze względu na wartość zasobów bazodanowych. Wykorzystanie zaawansowanych metod kryptograficznych, opracowanych w ramach projektu PrimeLife, umożliwiłoby firmom biotechnologicznym uzyskanie dostępu do bazy danych i uiszczenie opłaty za usługi, przy jednoczesnym zachowaniu anonimowości oraz poufności prowadzonych badań. Powyższe przykłady stanowią jedynie niewielki fragment wyników uzyskanych w ramach projektu PrimeLife. Koordynatorem projektu PrimeLife był IBM Research w Zurichu, w Szwajcarii. Konsorcjum projektowe obejmowało także niemieckie SAP, Microsoft Innovation Centre, Technische Universität Dresden, Unabhängiges Landeszentrum für Datenschutz, Giesecke & Devrient oraz Goethe Universität Frankfurt, Karlstads Universitet w Szwecji, Universita degli Studi di Milano oraz Universita degli Studi di Bergamo we Włoszech, Tilburg University w Holandii, Katholieke Universiteit Leuven w Belgii, austriackie Centre for Usability Research & Engineering oraz Brown University w USA. Co istotne, w pracach projektowych uczestniczyło także Konsorcjum World Wide Web (W3C), za pośrednictwem europejskiego oddziału zlokalizowanego we Francji. W3C jest wiodących organem standaryzacyjnym w zakresie technologii internetowych. Finansowane przez UE badania zakończono w czerwcu 2011, jednak wielu członków konsorcjum projektowego nadal, na różne sposoby, kontynuuje powyższe prace. Pod egidą nowego projektu, ABC4Trust , rozwijane są dwa dostępne obecnie, zaawansowane systemy anonimowych upoważnień, z których jednym jest IBM Identity Mixer, badany w ramach projektu PrimeLife. Celem drugiego projektu, FIware , będącego europejską platformą na rzecz internetu przyszłości, jest wdrożenie technologii upoważnień jako części mechanizmów bezpieczeństwa oferowanych przez tę platformę. Uczestnikom projektu PrimeLife udało się poczynić znaczące postępy oraz opracować technologie, które być może już niedługo zostaną wdrożone, w celu zwiększenia ochrony prywatności użytkowników internetu. Projekt PrimeLife uzyskał wsparcie finansowe w wysokości 10,2 milionów euro (całkowity budżet projektu wyniósł 14,93 milionów euro) w ramach podprogramu "Bezpieczne, niezawodne i zaufane infrastruktury" ('Secure, dependable and trusted infrastructures'), będącego częścią Siódmego Programu Ramowego UE. Użyteczne odnośniki: - Projekt "Dożywotnie zarządzanie prywatnością i tożsamością w Europie" - 'Privacy and identity management in Europe for life' - Informacje na temat projektu PrimeLife w bazie danych CORDIS - Informacje na temat projektu Prime w bazie danych CORDIS - "ABC4Trust - zaufanie w oparciu o upoważnienia definiowane atrybutami" - 'ABC4Trust - Attribute-based credentials for trust' - "Szkieletowa platforma internetu przyszłości" - 'FIware - Future Internet core platform' Odnośne publikacje: - "Prywatność jako kluczowy element systemów biometrycznych" - 'Putting privacy at the heart of biometric systems' - "Kwestia zaufania: wyzwania z zakresu prywatności i bezpieczeństwa w erze informacji" - 'A matter of trust: privacy and security issues in the Information Age' - "Ja i moje pliki" - 'Me and my files' - "Czym jest tożsamość w erze informacji?" - 'What is the identity of identity in the digital age?' - "W Europie urzeczywistniają się elektroniczne dowody osobiste" - 'Electronic ID becoming a reality in the EU'