Łukasz Olejnik

Bezpieczeństwo, cyberbezpieczeństwo, prywatność, ochrona danych

Analiza prywatności i wolności - cyfrowych paszportów koronawirusowych, zaświadczeńń sanitarnych, Paszportów Covidowych...

Opublikowano , updated at
on analiza, ocena wpływu na prywatność, prywatność, dpia, ocena wpływu na ochronę danych, privacy by design, standardy

W tym poście opisuję pewne technologie, które są, lub mogą być, używane do konstrukcji “Paszportów Covidowych”, a także pomysły na poprawę podejścia do prywatności takich certyfikatów/paszportów. Większość rzeczy traktuję tu jako kwestie standaryzacji. Są to przemyślenia mające na względzie świadectwa zdrowia lub „paszporty” chroniące prywatność Covid19.

Bo wygląda na to, że zbliża się era paszportów zdrowotnych. Od wiosny 2020 pojawia się pełno różnego rodzaju propozycji, stosujące różne technologie (także blockchain). Część z tego to fałszywe panacea rozwiązujące sztuczne problemy. Ale może nie wszystko i nie zawsze?

Ja nadal jestem pod wrażeniem szybkiego postępu technologii mRNA i tego jak szybko możemy skorzystać ze szczepionek na SARS-CoV-2.

Wydaje się jednak, że nasze społeczeństwa wkrótce staną przed decyzjami innej natury. Jak wiemy, całe społeczeństwa musiały “pójść w lockdown” itp. Poddać się ograniczeniom naszych podstawowych praw i wolności, np. wolności do poruszania się. Jest to niewygodne i coraz mniej popularne. Tzw. decydenci zastanawiają się więc, czy szczepionki nie mogą pomóc w odblokowaniu społecznego dostępu do niektórych aspektów życia, bo “mycie rąk” już nie pomaga. Jednym ze spektakularnych przykładów byłoby dopuszczenie do samolotu, sklepu, pływalni - osób tylko zaszczepionych, np. po przedstawieniu odpowiedniego dowodu.

Takie certyfikaty cyfrowe to ciekawe koncepcje. Mogą one oferować sposoby udowodnienia (technicznie ujmując) autentyczności poświadczeń. Takich jak status wyniku testu, zaszczepienia, tożsamość użytkownika lub jedno i drugie, itd. Ponieważ być może wkrótce wiele (wszyscy?) osób może zostać do tego systemu zapisanych, to przyjrzyjmy się opcjom projektowym i niektórym zagrożeniom. Bo te istnieją i mają wymiar jak najbardziej realny, a do tego dotyczą całych społeczeństw.

Dowody szczepień ...

Takie rozwiązania mogą mieć postać aplikacji mobilnych lub być wykorzystywane przez przeglądarkę internetową. Rzeczywisty problem techniczny dotyczy tego, jak rzetelnie informować innych o stanie swego zdrowia, w tym o stanie zakażenia (tj. wyniku ostatniego testu PCR-RT) lub zaświadczeniu o szczepieniu - albo wszystkiego w jednym. Oczywiście można wydrukować zaświadczenie na kartce papieru, podobnie jak stara technologia książeczek szczepień.

Cyfrowe paszporty zdrowotne lub certyfikaty, niezależnie od tego, czy są oparte na aplikacji na smartfona, stronie internetowej, czy czymkolwiek innym, stają się istotne. Nawet jeśli tylko jako dowód otrzymania szczepionki na Covid-19. Tworzone są aplikacje ułatwiające przekazywanie statusu niektórym weryfikatorom. Niektóre organy odpowiedzialne za zdrowie publiczne utrzymują już własne takie systemy. Mamy go np. w Polsce. Podawane są dowody szczepień (na przykład w postaci kodu QR). Rodzi to wiele obaw w odniesieniy do prywatności, ochrony danych i technologii. Istnieją wątpliwości i pytania dotyczące stosowanych standardów, technologii, gwarancji, zagrożeń, konieczności współdziałania itp. To nie jest “jakaśtam” kolejna aplikacja. Jest to dużo poważniejszy problem niż aplikacje do “śledzenia kontaktów” (w Polsce StopCovid-ProtegoSafe).

Są to dane wrażliwe

GDPR określa dane zdrowotne jako wrażliwe i zabrania ich przetwarzania, chyba że za wyraźną zgodą użytkownika (za wyjątkiem sytuacji szczególnych, np. gdy „Przetwarzanie jest konieczne ze względu na istotny interes publiczny…”). Takie aplikacje lub systemy zdecydowanie przetwarzają dane i dlatego “odhaczają” wszystkie pola dotyczące przetwarzania danych wrażliwych. Obowiązują wszystkie zasady GDPR / RODO. Wystarczy wspomnieć o konieczności przeprowadzenia oceny skutków dla ochrony danych (DPIA). Takie DPIA musi być dokonane z uwzględnieniem technologii i prywatności. To nie jest czas na wypełnianie standardowych formularzy zgodności, z “odhaczaniem pól”. Radziłbym nawet upublicznić takie DPIA związaną z takim systemem. Niektórzy wskazują na ryzyko związane z publikacją DPIA, ale DPIA są publikowane. W niektórych przypadkach w przeszłości, Europejska Rada Ochrony Danych zalecała publikację DPIA. To oczywiście tylko podnosi rangę problemu, jeśli chodzi o dokonywanie takiej oceny skutków dla ochrony danych z zachowaniem dobrej jakości.

Czego potrzeba w paszporcie?

W skrócie, na bardzo wysokim poziomie, nie trzeba przechowywać ani przetwarzać dużej ilości informacji. Możemy sobie wyobrazić:

  • W przypadku testów, typ testu (PCR-RT?), to wynik i data
  • Status szczepienia, rodzaj szczepionki (producent itp.), data szczepienia

Paszport jest po prostu rodzajem poświadczenia (nie mylić z credencialem, na czym w przeciwieństwie do angielskiej, skupia się polska Wikipedia). Jest to oczywiście powiązane z tożsamością użytkownika (oddzielny rodzaj danych). Można by się zastanawiać, czy dowód tożsamości zawsze musi być okazywany weryfikatorom paszportów, czyli czy zawsze przekazywać informacje o tożsamości użytkownika. Jeśli system ochrony prywatności jest dobrze zaprojektowany, może udowodnić stan zdrowia bez konieczności ujawniania tożsamości. Takie systemy istnieją.

Czy należy skorzystać z otwartych standardów?

Jednym ze sposobów zaprojektowania reprezentacji danych jest wykorzystanie pełnego spektrum oferowanego przez Fast Healthcare Interoperability Resources. Jest jednak bardzo prawdopodobne, że praktyczne zastosowanie może zostać znacznie uproszczone. Ukierunkowane i świadomie ograniczone (minimalizacja!).

W końcu funkcje „paszportu zdrowia” mogą być tak prosty, jak sygnalizowanie statusu i ważności szczepienia i / lub wyniku testu PCR-RT. Ostatecznie są to dosyć proste wymagania, potencjalnie obejmujące tożsamość, identyfikator, status lub wynik (szczepionki lub testu), datę, być może typ (zastosowanej szczepionki). Wydane przez standardowy organ i zweryfikowane przez zainteresowane strony (np. na lotnisku, w sklepie, autobusie?). Po zrozumieniu tych faktów można pomyśleć o zaprojektowaniu tego systemu z zachowaniem prywatności. Istnieje tu wiele interesujących technik kryptograficznych. Wystarczy tylko chcieć.

Bezpieczeństwo i prywatność muszą być najważniejsze w tak wrażliwym systemie, zwłaszcza jeśli ma być używany masowo. W rezultacie nadużyć może dojść do utraty kontroli nad danymi. Dlatego na szczególną uwagę zasługuje wymóg: odpowiedzialność (kto ma dane i jak je wykorzystuje?). Zwłaszcza znając prawdziwe przykłady „oczerniania” ludzi, którym niestety zdarzyło się zarazić tą chorobą, a te informacje z różnych względów zostały ujawnione.

Zgoda

Kolejną kwestią jest zgoda. Użytkownicy zawsze musieliby pośredniczyć i wyraźnie zezwolić na, lub odmówić udostępnienia swoich danych. Można sobie wyobrazić, że nadal potencjalnie możliwe byłoby zdeidentyfikowanie niektórych danych, jeśli pozwoli na to projekt. Minimalizacja danych może też być po prostu zrealizowana poprzez wysłanie jak najmniejszej ilości danych. Czasami bez danych o tożsamości użytkownika. Czasami bez daty badania/szczepienia (tylko dowód jego ważności).

Certyfikaty chroniące prywatność?

Najprostszy przepływ informacji uwzględniający prywatność (przypadek użycia) lub scenariusz użycia może wyglądać następująco. “Zbliżasz” paszport medyczny w pobliżu czytnika na lotnisku (lub coś w tym stylu), a czytnik sprawdza, czy status szczepień jest akceptowalny (zrobione,  ważne). Przydatne byłoby udowodnienie za pomocą kryptografii, że coś jest ważne, niekoniecznie oferując przy tym tożsamość użytkownika. Jakaś forma weryfikowalnych poświadczeń lub schemat kryptograficznego zobowiązania (commitment) ułatwiający anonimowe poświadczenia. Chociaż można sobie wyobrazić użycie innych technologii lub technik kryptograficznych, zdecydowałem się skupić na konkretnej.

Na szczęście jest kilka godnych uwagi, takich jak ten artykuł badawczy z z 2001 roku (lub inne podobne).

“System poświadczeń to system, w którym użytkownicy mogą uzyskać poświadczenia od organizacji i wykazać, że są w ich posiadaniu. Taki system jest anonimowy, gdy nie można powiązać transakcji przeprowadzonych przez tego samego użytkownika. Anonimowy system poświadczeń ma istotne znaczenie praktyczne, ponieważ jest najlepszym sposobem zapewniania prywatności użytkownikom…”

Lub tak:

“definiujemy i proponujemy wydajną i dającą się udowodnić konstrukcję ślepych podpisów z atrybutami”

Albo inne.

Użytkownik może udowodnić status - i żadna inna informacja nie musi być udzielana. Nie ma sposobu, aby powiązać dane z użytkownikiem, przynajmniej w niektórych przypadkach, nie pozostawiając śladu. Nic nie musi nigdy znajdować się w publicznych blockchainach. W takim systemie nadal potrzeba autorytetu. Ostatecznego źródła zaufania. Chociaż rozumiem motywację do poszukiwania zdecentralizowanych rozwiązań, to nawet w tym przypadku ktoś nadal musi zapewnić to źródło zaufania (i nie jest to takie proste, zwłaszcza gdy w modelu ryzyka uwzględnieni są przeciwnicy, mający niecne zamiary).

Ogólnie rzecz biorąc, takie certyfikaty lub dane uwierzytelniające muszą być 1) wydane przez jakiś urząd/autorytet/instytucję, jak np. laboratorium 2) gdzieś przechowywane, 3) użyte do stworzenia czegoś, 4) weryfikowane w razie potrzeby.

Wyobrażam sobie, że niektóre z wymienionych wcześniej pomysłów można z powodzeniem wykorzystać do stworzenia konstrukcji z wbudowaną prywatnością. Aplikacje, aplikacje weryfikujące, infrastruktury.

Źródło zaufania

Ktoś musi taki system utrzymywać i gwarantować, tak by był źródłem zaufania (czyli zajmował się wydawaniem i walidacją/sprawdzaniem certyfikatów). Najprostszym rozwiązaniem jest tutaj powierzenie tego zadania laboratorium lub organowi medycznemu. Istnieją również propozycje otwartych standardów, które oferują w praktyce część funkcji weryfikowalnych poświadczeń. Ich użycie powinno być bardzo proste (co za zbieg okoliczności, że ten standard jest akurat gotowy, prawda? W sam raz na pandemię!). Ten standard techniczny wprowadza ciekawe funkcje, choć czasami wpisuje się w “model zaufania życzeniowego”. Na przykład:

"termsOfUse": [{
"type": "HolderPolicy",
"id": "http://example.com/policies/credential/6",
"profile": "http://example.com/profiles/credential",
"prohibition": [{
"assigner": "did:example:ebfeb1f712ebc6f1c276e12ec21",
"assignee": "https://wineonline.example.org/",
"target": "http://example.edu/credentials/3732",
"action": ["3rdPartyCorrelation"]
}]
},
"proof": [ ... ]
}


W powyższym przykładzie posiadacz, który jest również podmiotem, wyraził warunki użytkowania zabraniające weryfikatorowi wykorzystywania podanych informacji w celu powiązania posiadacza lub podmiotu za pomocą usługi strony trzeciej. Gdyby weryfikator korzystał z usługi strony trzeciej do korelacji, naruszyłby warunki, na jakich posiadacz stworzył prezentację.”
Oczekuje się, że ta funkcja będzie również używana przez wydawane przez “odpowiednie instytucje” weryfikowalne poświadczenia, aby poinstruować “portfele cyfrowe”, by te ograniczyły ich użycie do wybranych organizacji weryfikujących, próbując chronić obywateli przed nieoczekiwanym użyciem wrażliwych danych.

Oznacza to, że weryfikator danych uwierzytelniających (takich jak status paszportu zdrowia) powinien dobrowolnie przestrzegać tych zasad. Nie jest to oczywiście twarde ograniczenie. Weryfikator poświadczeń może nadal próbować nadużywać danych - jeśli tak zdecyduje. Szczególnie interesującą funkcją, która może przeciwdziałać temu ryzyku, byłoby wykorzystanie o dowodów o wiedzy zerowej w celu udowodnienia, że ​​użytkownik ma dane uwierzytelniające, bez ujawniania żadnych szczegółów. Uchroniłoby to lepiej prywatność.

Globalny system tożsamości/ID?

Ogólnie rzecz biorąc, takie standardy pozwalają na prezentację dowolnych poświadczeń. Zakładając, że cyfrowe paszporty zdrowotne będą się rozprzestrzeniać - znajdą się w powszechnym zastosowaniu - to w przyszłości może być możliwe rozszerzenie ich funkcjci o „oferowanie dowodów” również na inne rzeczy. Jest to ryzyko.

Cyfrowe paszporty zdrowotne muszą być ujednolicone, zdefiniowane i przedstawiane jako coś, co robi jedną rzecz - i nigdy nie będą poszerazone o inne funkcje. Aby uniknąć ryzyka, że ​​ktoś będzie chciał tego używać w przyszłości jako, powiedzmy, dowód posiadania prawa jazdy. Lub, bo skoro już o tym mowa, to dlaczego nie, przekształcenie go w obowiązkowy globalny system identyfikacji. To prowadzi nas w mniej wygodne obszary rozważań.

Paszport zdrowotny już stanowiłby globalny system identyfikacji. Do pewnego stopnia. Status szczepień / testu jest przecież powiązany z tożsamością. To jest prosty fakt techniczny. Nie uniknie się tego.

To prowadzi nas do ryzyka profilowania. Czy ktoś to przewidział lub o tym mówi? Warto zaprojektować system by takich problemów w przyszłości uniknąć.

Kwestie związane z prywatnością w fazie projektowania mogą obejmować oddzielenie tożsamości od poświadczenia, ale być może także wykorzystanie poświadczenia w taki sposób, że nie da się tych dwóch danych połączyć. Byłby to największy stopień minimalizacji danych, jaki można sobie wyobrazić. Można tego dokonać za pomocą selektywnego ujawniania (np. używając protokołów o zerowej wiedzy?). Trzeba jednak chcieć.

Dobrowolne czy nie?

Kolejna porcja niewygodnych informacji. Czy takie zaświadczenia, paszporty, byłyby dobrowolne?

Prawdopodobnie nie dlatego, że mamy tutaj już ogromną nierównowagę sił, gdy państwa już wprowadzają obowiązkowe ograniczenia dotyczące podstawowych praw i wolności.

Podstawową kwestią jest to, czy oczekuje się, że paszporty / zaświadczenia będą funkcjonować jako środek umożliwiający dostęp do niektórych z tych ograniczonych swobód ich posiadaczom (obywatelom).

Na przykład możliwość łatwiejszego przemieszczania się. Lub podróżowania. Jeśli okaże się, że takie środki jak paszporty będą wymagane, powiedzmy, w transporcie lotniczym, pracodawcom, lekarzom - to jaki byłby realny wybór dla obywatela?

Nie wspominając o tym, że w niektórych krajach istnieją już rejestry zaszczepionych (np. w Polsce), więc i tak ludzie są zapisywani do jakiegoś systemu. Pozostaje zrobić system dowodowy (co jest robione).

Ale podstawową rzeczą powinno być uświadomienie sobie, że takie systemy realnie i tak mogą nie być dobrowolne. Co wtedy?

Część, która nadal może być dobrowolna, dotyczy sposobu użytkowania systemu, na przykład wyboru ujawnienia wybranych informacji niektórym stronom. Niewygodnym  problemem będzie przetwarzanie tych danych i potencjalne przyszłe wykorzystanie w profilowaniu. To są trudne decyzje.

Innym dużym wyzwaniem związanym z ochroną prywatności jest interoperacyjność. Jak więc zagwarantować, że ten system będzie działał w skali całego kraju, bloku (Unia Europejska), czy w skali świata.

Względy naukowe

Kolejna dawka niewygodnych informacji. Wydaje się, że obecnie brakuje naukowych dowodów na to, że osoby zaszczepione nie przyczyniają się do przenoszenia choroby. By to zrozumieć, potrzebne są dalsze badania. W związku z tym niektóre z „przywilejów” przyznanych zaszczepionym mogą być trudne do pogodzenia z brakiem dowodów naukowych na takie postępowanie. Chyba że oczywiście zaakceptujemy ryzyko i pozwolimy na wejście w niektóre miejsca (np. do samolotu?) wyłącznie osobom zaszczepionym. Tego rozważał nie będę.

Inną kwestią jest to, że nie jest też jasne, jak długo szczepionka zachowa ważność. Na dzień dzisiejszy brak jest danych, ale oczekuje się, że odporność nie będzie długotrwała (czyli tak jak w przypadku innych koronawirusów). Ma to niewielki wpływ na technologię paszportu zdrowia, poza koniecznością śledzenia daty szczepienia i ewentualnie testów odporności. To  zaplecze naukowe uzasadniające podejmowane środki jest istotne z punktu widzenia projektowania takich systemów i oceny prywatności. To filar gwarantujący zasadność podejmowanych działań. Jest to część oceny proporcjonalności (czy środki przyjęte jako proporcjonalne są dobrze dobrane do zadania? Czy faktycznie osiągają pożądany rezultat?).

Fałszerstwa

Po wdrożeniu systemu certyfikatów, który zapewnia pewne przywileje, problemem będą podróbki. Takie fałszywe certyfikaty już teraz stanowią coraz większy problem, ale generalnie takie systemy cyfrowe mogą zagwarantować brak możliwości fałszowania (zastrzeżenie dotyczące zaufania do aktorów w systemie - czyli nadużyć, które pozostaną możliwe technicznie).

Paszporty zdrowotne mogą na dużą skalę zmienić nawyki użytkowników

Systematyczny i szeroki wymóg korzystania z takiej aplikacji z pewnością zaznajomiłby wiele osób z technologią cyfrowych dowodów tożsamości. W podobny sposób początkowe konsekwencje Covid19 spowodowały masowy wzrost liczby płatności zbliżeniowych. W konsekwencji, nawyki użytkowników mogą ulec trwałej zmianie poprzez stosowanie technologii. Prosty fakt cywilizacyjny.

Podsumowanie

Świadectwa zdrowia lub paszporty zdrowia, “paszporty sanitarne, “paszporty covidowe” - to interesujące koncepcje. Ich projekt i działanie powinny uwzględniać ważne względy związane z prywatnością, ochroną danych, ale także innymi podstawowymi prawami i wolnościami. Są to kwestie oceny skutków podejmowania tych działań.

Społeczeństwa muszą zrozumieć długofalowe konsekwencje i potencjalne konsekwencje cywilizacyjne.

Podobał Ci się ten wpis/analiza? Jakieś pytania, uwagi lub oferty? Zapraszam do kontaktu: me@lukaszolejnik.com


Comments is loading...

Comments is loading...