Статья о повсеместных вычислениях, в которой впервые был поднят вопрос обеспечения конфиденциальности сложных систем, была опубликована более десяти лет тому назад [1], но ее основные идеи вполне применимы и к сегодняшнему Интернету вещей. При работе со своим компьютером у нас создается иллюзия контроля, поскольку в принципе мы можем определить, какие приложения на нем работают и какие данные они собирают. А в Интернете вещей традиционные методы контроля практически бесполезны. Можно даже привести примеры ситуаций, когда люди являются уже не пользователями сервиса Интернета вещей, а исследуемыми им объектами — скажем, если речь идет о системе мониторинга уровня шума в «умном» городе. Другой пример — публичные сети Wi-Fi, пользователи которых в большинстве своем даже понятия не имеют о реальных параметрах их конфиденциальности.

Одна из главных проблем приватности Интернета вещей состоит в том, что пользователи не всегда знают, когда то или иное устройство собирает их персональные данные, а если такие устройства повсеместны, то факт наличия или отсутствия датчиков почти не поддается проверке. Вместе с тем, согласно основополагающим принципам приватности, сбор персональных данных должен происходить только при условии соответствующего уведомления. Каким же должен быть «стек приватности» — система мер для решения задач, связанных с извещением пользователей относительно намерений окружающих его устройств Интернета вещей?

Стек приватности

Многие аспекты сложных систем, например обнаружение, удобство использования и приватность, непосредственно касаются конечных пользователей. Как именно люди должны узнавать о присутствии сервисов в публичных местах, на работе, дома? Как они могут выяснять характеристики приватности этих сервисов без перегрузки техническими терминами? Покажем на примерах, как можно было бы предоставлять уведомления о приватности Интернета вещей.

Допустим, на парковке торгового центра установили камеры системы безопасности. Но вместо табличек с описанием назначения камер применяются радиомаячки, взаимодействующие со смартфонами прохожих. Маячок передает идентификатор, по которому можно выполнить поиск в облаке с помощью мобильного приложения. Таким образом пользователи получают уведомление о присутствии камер, причем это не только необходимое предупреждение, но и способ создать у людей ощущение безопасности пребывания на территории.

Конфиденциальность Интернета вещей: «последняя миля»
Концепция стека приватности, призванного повысить степень комфорта пользователей при их взаимодействии с системами Интернета вещей

Уведомления о приватности также можно реализовать с помощью систем «умного» дома — например, с помощью колонки наподобие Amazon Echo, обеспечивающей возможность голосового управления музыкой, освещением и т. п. Гостям дома может быть некомфортно из-за наличия в доме системы, непрерывно записывающей их высказывания, и если гости укажут, что хотели бы получать предупреждения о записи звука в месте их пребывания, то хозяева могут попросить разрешения использовать такой сервис. В зависимости от предпочтений гостей, либо они могут получить предупреждение при входе в дом, либо система может временно или частично отключить сервис. Все это может происходить автоматически или в интерактивном режиме.

В этих примерах пользователи не знают, какие именно сервисы из их окружения активны, но можно описать сценарии применения стека приватности (см. рисунок), задуманного как механизм уведомления, основанный на существующих сегодня протоколах Интернета вещей.

Осведомленность

Часть стека под названием «Осведомленность» отвечает за то, чтобы пользователи (или соответствующие агентские средства) могли выяснить характеристики приватности сервисов. Сложность заключается в том, что факт сбора данных в Интернете вещей незаметен, — пользователи обычно не знают, что сведения о них собираются, поэтому при проектировании систем нужно предусмотреть возможность определить, в какой степени приватно то или иное пространство, чтобы знать, насколько откровенно можно в нем себя вести [2]. В этой связи надо сделать так, чтобы, входя в помещение, человек мог в течение 30 секунд достоверно определять наличие всех датчиков и потоков данных.

Осведомленность в основном касается вопроса о том, по каким каналам сервисы Интернета вещей могут выходить на связь с пользователями и объектами анализа. Например, можно пользоваться визуальными сигналами о сборе данных или сетевыми протоколами для передачи сведений от сервиса к пользовательским устройствам. Сегодня в рамках ряда отраслевых инициатив, например Open Connectivity Foundation, идет работа над стандартами интероперабельности Интернета вещей, обеспечивающими возможности обнаружения устройств и налаживания связи между ними.

Apple iBeacon — один из примеров технологии обнаружения устройств. Маячок передает по Bluetooth идентификатор, который совместимое устройство может использовать для получения ассоциированной с идентификатором информации (например, для позиционно-зависимых услуг). Маячки также позволяют определить местонахождение человека вблизи устройств на какой-либо территории.

На сегодня разработка протоколов Интернета вещей еще не дошла до этапа стандартизации метаданных о приватности, которые бы позволили сервисам универсальным образом объявлять соответствующие политики. Преимуществом подобного подхода в мире повсеместных сервисов стало бы то, что решения, связанные с приватностью, можно было бы принимать при минимальной когнитивной нагрузке. Стандартов метаданных приватности по ряду причин пока нет даже для WWW. В принципе, можно было бы обойтись и без стандартизации, например, реализовав средства обработки естественного языка, способные «понимать» политику конфиденциальности, и такие проекты уже есть. Однако в мире Интернета вещей риски сбора информации без ведома субъектов сервисов выше, поэтому стандартный «язык» приватности необходим.

Умозаключения

С помощью протоколов осведомленности сервисы Интернета вещей могут объявлять о своих действиях, но что именно включать в такие объявления? Можно было бы просто сообщить, какие показания собираются и для чего они будут использоваться, но этого может быть недостаточно. Пользователи не всегда понимают, какие выводы можно сделать из таких данных, а способности систем к выводу умозаключений со временем будут становиться все совершеннее. Сегодня, например, «дактилоскопия» устройств и браузеров (идентификация по набору характеристик) стала объективной реальностью WWW, и ясно, что в мире Интернета вещей подобный сбор идентифицирующих сведений ведется не менее активно (например, установление закономерностей в перемещении человека или запись его голоса с целью аутентификации). Умозаключения напрямую влияют на приватность, но непонятно, как именно уведомлять о них, в частности о вероятностных и сделанных с помощью косвенных данных.

Можно предложить сбалансированный подход: поскольку сами пользователи не всегда понимают, какие выводы можно сделать из собранных данных, сервисы обязаны открыто сообщать об основных умозаключениях, которые они делают. В то же время нужно иметь в виду, что возможности делать выводы постоянно растут — не только из-за роста объема доступных данных, но и благодаря развитию методов машинного обучения. Сервисы Интернета вещей могли бы уведомлять об умозаключениях в рамках политики приватности; к примеру, сервис, собирающий данные GPS, должен объявить, что по ним можно установить личность, а устройство, регистрирующее сведения о расходе электроэнергии, обязано указать, что оно способно делать выводы о привычках абонента.

Зная вероятные умозаключения, пользователи смогут не только прояснить, какие сведения система о них собирает, но и повысить приватность, установив соответствующие ограничения. Допустим, система выполняет видеосъемку, параллельно регистрируя отметки времени и сведения в сетях Wi-Fi, — в этом случае пользователь мог бы дать согласие вести слежение на работе, но не дома. Можно было бы реализовать политики безопасности для исходных данных, но только после того, как система по ним поймет, какие из них относятся к работе, а какие — к дому. Этот пример хорошо иллюстрирует дистанцию между сырыми данными и языком предпочтений, выражаемых с помощью более высокоуровневых понятий вроде «дом». Умозаключения позволяют устранить этот разрыв, помогая увеличить полезность системы при соблюдении ее дружелюбности.

Предпочтения конфиденциальности

Предположим, у системы есть достаточное понимание того, какие данные собирает сервис Интернета вещей и какие выводы он может из них сделать. Что конкретно при этом волнует объект сбора данных (человека)? Влияет ли тот или иной сценарий сбора данных на приватность, зависит от конкретного человека, но и контекст имеет значение. Например, против записи звука в ресторане может не быть возражений в зависимости от того, кто именно ее выполняет (ресторан или ваш друг), и от того, с кем вы находитесь в заведении (с друзьями или деловыми партнерами). Контекст также может определять, что воспринимается неожиданным, а что — обычным. Скажем, видеонаблюдение на футбольном стадионе может представляться нормой, а в ресторане — нет.

Поскольку на решение о приватности могут повлиять очень многие факторы, главный вопрос состоит в том, какие из них действительно имеют значение для людей в контексте Интернета вещей.

Понимание всех значимых факторов поможет разработчикам систем предоставлять сведения, необходимые для принятия решений о конфиденциальности. Знание факторов, которые могут быть важными для тех или иных пользователей, также может повлиять на архитектуру системы. К примеру, сервис Интернета вещей в баре для успокоения посетителей может сообщать им, что видеосъемка выполняется только в целях проверки возраста.

Уведомление

Последний уровень стека отвечает за уведомление конечного пользователя. Предоставление уведомлений зависит от осведомленности о наличии сервисов в конкретной среде, выводимых умозаключений и предпочтений пользователя.

Уведомление — относительно редкое событие, так как пользователи имеют дело лишь с малой частью сервисов Интернета вещей; кроме того, после первичного предупреждения повторять его нужно не всегда. Например, для водителей будет полезным предупреждение о том, что автомобиль въезжает на территорию, где за его перемещением могут следить, но получать каждый день уведомление об одной и той же уличной камере смысла нет.

По поводу уведомлений возникают следующие вопросы: как система должна предоставлять предупреждения, как пользователю указывать свои предпочтения относительно предупреждений и как выяснять эти предпочтения. В частности, важно отметить, что если предупреждение отправлено не приватно, то это может позволить посторонним делать нежелательные выводы об истории действий или предпочтениях пользователя. Кроме того, технологии и алгоритмы умозаключений будут совершенствоваться, в связи с чем тех, кто уже получал сообщения о каком-либо сервисе, возможно, придется уведомлять повторно.

Уведомление — последний уровень стека приватности, и именно здесь происходит реальное взаимодействие с пользователями, которое может принимать разные формы. С одной стороны, уведомление требует прерывания текущей деятельности пользователя, с другой, более активные пользователи могут быть заинтересованы в наглядном отображении параметров приватности ближайших сервисов Интернета вещей. Как именно можно было бы визуализировать окружающие сервисы, их характеристики приватности и надежности?

Реализация стека

Опишем, как можно было бы реализовать стек на уровне «посредника» или ассистента по обеспечению приватности, работающего на пользовательском устройстве. На уровне осведомленности работают протоколы, позволяющие получать метаданные приватности от ближайших сервисов Интернета вещей. Такие метаданные могут в числе прочего содержать базовые сведения об умозаключениях. Кроме того, посредник может сам по себе обладать аналитическими способностями, позволяющими ему делать выводы на основе метаданных. Посредник отвечает за управление личными настройками приватности, предоставляя пользователю возможность указывать соответствующие предпочтения или делая выводы о них с учетом прошлых решений и демографических характеристик. Сохраняя предпочтения и решения пользователя и применяя средства аналитики, посредник может выдавать предупреждения только тогда, когда это уместно.

***

Сбор личных данных возможен только при условии предоставления соответствующего предупреждения и получения согласия — это основополагающий принцип обеспечения конфиденциальности. Но реализовать этот принцип сложно даже для традиционных ИТ, не говоря уже о мире Интернета вещей, учитывая отсутствие универсального канала связи с пользователем. Человек легко может оказаться в среде, где его персональные данные обрабатываются некими сервисами, которые он не устанавливал и об активности которых не подозревает.

Предложенный концептуальный стек приватности основан на текущих знаниях о взаимодействии разрабатываемых сегодня систем Интернета вещей с пользователями, и исследования, направленные на реализацию элементов такого стека, уже ведутся. К таким элементам относятся пользовательские интерфейсы для указания и выяснения предпочтений, уведомления и отображения параметров приватности. Также исследуется проблема преобразования сведений о собираемых датчиками сырых данных в информацию об умозаключениях. Еще одна область изучения — принципы описания параметров приватности и репрезентации всевозможных сервисов Интернета вещей и их политик конфиденциальности. То и другое важно для автоматической фильтрации данных.

Обеспечение конфиденциальности на «последней миле» Интернета вещей — одно из самых актуальных сегодня направлений исследований. Поиски решения этой задачи ведутся на пересечении машинного обучения, человеко-компьютерного взаимодействия и систем безопасности.

Литература

  1. M. Wieser et al. The Origins of Ubiquitous Computing Research at PARC in the Late 1980s // IBM Syst. J. — 1999. Vol. 38, N 4. — P. 693–696.
  2. Five Minutes with Judith Donath. The MIT Press, 30 July 2014.URL: mitpress.mit.edu/blog/five-minutes-judith-donath (дата обращения: 10.03.2018).

Ричард Чау (richard.chow@intel.com) — руководитель исследований, научный сотрудник Intel.

Richard Chow, The Last Mile for IoT Privacy, IEEE Security & Privacy, November/December 2017, IEEE Computer Society. All rights reserved. Reprinted with permission.