Ahli privasi dan keamanan Inggris memperingatkan akan creep misi aplikasi coronavirus

Ahli privasi dan keamanan Inggris akan membuat misi aplikasi coronavirus

 

Ahli privasi dan keamanan Inggris akan creep misi aplikasi coronavirus

Ahli privasi dan keamanan Inggris akan creep misi aplikasi coronavirus

Mengenai ahli keamanan dan privasi komputer Inggris telah menyetujui surat terbuka yang meningkatkan perizinan dan merayap tentang meminta bantuan nasional untuk mengembangkan aplikasi penelusuran kontak coronavirus.

Surat itu, yang ditandatangani oleh 177 akademisi, mengikuti surat serupa awal bulan ini yang ditandatangani oleh sekitar 300 akademisi dari seluruh dunia, yang mendesak agar berhati-hati atas penggunaan alat teknologi tersebut dan menyerukan kepada pemerintah yang memilih untuk menggunakan kontak digital yang melacak untuk menggunakan privasi- teknik dan sistem pelestarian.

” Kami mendesak agar manfaat kesehatan dari solusi digital dianalisis secara mendalam oleh spesialis dari semua disiplin ilmu yang relevan, dan terbukti cukup bernilai untuk membenarkan bahaya yang terlibat,” tulis para akademisi Inggris sekarang, mengarahkan perhatian mereka di NHSX, yang lengan digital dari National Health Service yang telah bekerja untuk membangun aplikasi pelacakan kontak digital sejak awal Maret.

“ Telah dilaporkan bahwa NHSX sedang mendiskusikan suatu pendekatan yang mencatat secara terpusat ID yang tidak dianonimkan dari seseorang yang terinfeksi dan juga ID dari semua orang yang telah dihubungi oleh orang yang terinfeksi. Fasilitas ini akan memungkinkan (melalui misi merayap) suatu bentuk pengawasan. ”

Kemarin CEO NHSX, Matthew Gould, memberikan bukti kepada komite Sains dan Teknologi parlemen Inggris. Dia membela pendekatan yang diambilnya – mengklaim aplikasi yang akan datang hanya menggunakan “ukuran sentralisasi”, dan berpendapat bahwa itu adalah “dikotomi palsu” untuk mengatakan desentralisasi adalah privasi aman dan terpusat tidak.

Dia melanjutkan untuk menggambarkan beberapa skenario yang dia sarankan menunjukkan mengapa memusatkan data diperlukan dalam pandangan NHSX. Tetapi dalam surat itu akademisi Inggris meragukan validitas klaim pusat, menulis bahwa ” kami telah melihat saran yang bertentangan dari kelompok yang berbeda tentang berapa banyak data yang dibutuhkan tim kesehatan masyarakat “.

” Kami berpendapat bahwa prinsip-prinsip perlindungan data yang biasa harus berlaku: kumpulkan data minimum yang diperlukan untuk mencapai tujuan aplikasi,” mereka melanjutkan. “Kami berpendapat bahwa sangat penting bahwa jika Anda ingin membangun kepercayaan yang diperlukan dalam aplikasi, tingkat data yang dikumpulkan dibenarkan secara publik oleh tim kesehatan masyarakat yang menunjukkan mengapa ini benar-benar diperlukan daripada sekadar cara termudah, atau cara yang baik untuk miliki ‘, mengingat bahaya yang terlibat dan sifat invasif dari teknologi ini. ”

Eropa telah melihat perdebatan sengit dalam beberapa minggu terakhir tentang pilihan arsitektur aplikasi untuk kontak koronavirus yang didukung pemerintah melacak aplikasi – dengan koalisi yang berbeda membentuk untuk mendukung pendekatan desentralisasi dan terpusat dan beberapa pemerintah menekan Apple karena mendukung kuda lawan dengan API lintas-platform untuk kontak coronavirus nasional yang melacak aplikasi yang dikembangkannya bersama Google pembuat Android.

Sebagian besar aplikasi nasional dalam karya-karya di wilayah tersebut dirancang untuk menggunakan kedekatan Bluetooth sebagai proksi untuk menghitung risiko infeksi – dengan perangkat pengguna ponsel pintar yang menukar pengidentifikasi nama samaran ketika berdekatan satu sama lain. Namun para pakar privasi khawatir bahwa penyimpanan ID yang terpusat berisiko menciptakan sistem pengawasan negara karena data dapat diidentifikasi kembali oleh otoritas yang mengendalikan server.

Sistem desentralisasi alternatif telah diusulkan , menggunakan sistem p2p dengan ID yang disimpan secara lokal. Risiko infeksi juga dihitung pada perangkat, dengan server relai hanya digunakan untuk mendorong pemberitahuan ke perangkat – artinya data grafik sosial tidak terpapar secara sistematis.

Meskipun struktur ini memang memerlukan ID orang yang telah dipastikan terinfeksi untuk disiarkan ke perangkat lain – artinya ada potensi serangan intersepsi dan identifikasi ulang di tingkat lokal.

Pada tahap ini wajar untuk mengatakan bahwa momentum di Eropa berada di belakang pendekatan desentralisasi untuk kontak nasional yang melacak aplikasi. Khususnya pemerintah Jerman beralih dari sebelumnya mendukung pendekatan terpusat ke desentralisasi awal pekan ini , bergabung dengan sejumlah yang lain (termasuk Estonia, Spanyol dan Swiss) – yang membuat Perancis dan Inggris menjadi pendukung profil tertinggi sistem terpusat untuk saat ini.

Prancis juga melihat debat ahli tentang masalah ini. Awal pekan ini sejumlah akademisi Perancis menandatangani surat yang menimbulkan kekhawatiran tentang arsitektur terpusat dan desentralisasi – dengan alasan bahwa “harus ada bukti penting untuk membenarkan risiko yang timbul” menggunakan alat pelacak semacam itu.

Di Inggris, kekhawatiran utama yang melekat pada aplikasi NHSX tidak hanya risiko data grafik sosial dipusatkan dan diidentifikasi kembali oleh negara – tetapi juga cakupan / fungsi creep.

Gould mengatakan kemarin bahwa aplikasi akan mengulangi, menambahkan bahwa versi masa depan dapat meminta orang untuk secara sukarela memberikan lebih banyak data seperti lokasi mereka. Dan sementara NHSX telah mengatakan penggunaan aplikasi akan bersifat sukarela, jika beberapa fungsi terpanggang yang dapat menimbulkan pertanyaan tentang kualitas persetujuan dan apakah creep misi digunakan sebagai tuas untuk menegakkan pengambilan publik.

Kekhawatiran lain adalah bahwa cabang yang menghadapi publik dari agen mata-mata domestik, GCHQ,juga telah

terlibat dalam memberi nasihat tentang arsitektur aplikasi. Dan kemarin Gould menghindari pertanyaan langsung komite tentang apakah Pusat Keamanan Siber Nasional (NCSC) telah terlibat dalam keputusan untuk memilih arsitektur yang terpusat.

Mungkin ada lebih banyak kekhawatiran di bagian depan itu juga. Hari ini HSJ melaporkan bahwa sekretaris kesehatan Matt Hancock baru-baru ini memberikan kekuasaan baru kepada badan intelijen Inggris yang berarti mereka dapat meminta NHS untuk mengungkapkan informasi apa pun yang berkaitan dengan “keamanan” dari jaringan layanan kesehatan dan sistem informasi selama pandemi.

Tautan semacam itu ke mata -mata yang menyukai basis data tidak mungkin memadamkan ketakutan privasi.

Ada juga kekhawatiran tentang seberapa terlibat pengawas data Inggris dalam detail proses desain aplikasi. Pekan lalu direktur eksekutif ICO, Simon McDougall, dilaporkan telah mengatakan kepada sebuah forum publik bahwa dia belum melihat rencana untuk aplikasi tersebut, meskipun agensi mengeluarkan pernyataan pada 24 April yang mengatakan itu bekerja dengan NHSX “untuk membantu mereka memastikan tingginya tingkat transparansi dan tata kelola ”.

Kemarin Gould juga mengatakan kepada komite bahwa NHSX akan menerbitkan penilaian dampak perlindungan data (DPIA) untuk setiap iterasi aplikasi, meskipun belum ada yang dipublikasikan.

Dia juga mengatakan perangkat lunak itu akan “secara teknis” siap diluncurkan dalam waktu beberapa minggu – tetapi tidak dapat mengkonfirmasi kapan kode akan diterbitkan untuk tinjauan eksternal.

Dalam surat mereka, akademisi Inggris meminta NHSX untuk menerbitkan DPIA untuk aplikasi ” segera”, daripada

menjatuhkannya tepat sebelum penyebaran, untuk memungkinkan debat publik tentang implikasi penggunaannya dan agar pengawasan publik dapat dilakukan perlindungan keamanan dan privasi yang diklaim.

Para akademisi juga menyerukan unit untuk secara publik berkomitmen untuk tidak ada database atau database yang dibuat yang akan memungkinkan de-anonimisasi pengguna sistem (selain dari mereka yang melaporkan diri sendiri sebagai terinfeksi), dan oleh karena itu dapat memungkinkan data digunakan untuk membuat grafik sosial pengguna.

Mereka juga mendesak NHSX untuk menetapkan perincian tentang bagaimana aplikasi akan dihapus setelah pandemi berlalu – untuk “mencegah misi merayap”.

Diminta komitmen tentang titik basis data, juru bicara NHSX memberi tahu kami bahwa itu adalah pertanyaan untuk Departemen Kesehatan dan Perawatan Sosial Inggris dan / atau NCSC – yang tidak akan menyelesaikan masalah privasi di sekitar rencana pemerintah yang lebih luas untuk pengguna aplikasi. data.

Kami juga bertanya kapan NHSX akan menerbitkan DPIA untuk aplikasi tersebut. Pada saat penulisan kami masih

menunggu jawaban. Pembaruan: Seorang juru bicara NHSX sekarang telah mengirim pernyataan berikut: “Kami akan menerbitkan perjanjian perlindungan data pada waktunya, dan kami akan menutup aplikasi setelah ancaman dari pandemi telah berlalu, dengan data yang dipilih pengguna untuk dibagikan dihapus di titik itu dan beberapa dipertahankan untuk tujuan penelitian, tunduk pada pertimbangan hukum dan etika, untuk lebih memahami virus. ”

“Aplikasi pengguna akan tetap anonim hingga titik di mana mereka memberikan rinciannya, dan tidak akan ada database yang memungkinkan de-anonimisasi pengguna,” tambah juru bicara itu.

Baca Juga: