Szerző: Dub Máté hallgató, NKE kiberbiztonsági mesterképzési szak
Minden kétséget kizáróan egy rendkívül hálás, becsülendő és támogatandó cselekedet kisállatokat örökbe fogadni menhelyekről, azonban a jelen blogbejegyzés elsősorban a különböző, privát szférát erősítő technológiák (PET-ek) alkalmazására szeretné felhívni a figyelmet.
De mik is azok a PET-ek?
Az elfogadott fogalmát illetően a PET olyan információs és kommunikációs technológiák gyűjtőfogalma, amelyek megerősítik az egyén magánéletének védelmét egy információs rendszerben azáltal, hogy megakadályozzák vagy legalább is minimalizálják a személyes adatok szükségtelen, nemkívánatos vagy jogellenes felhasználását, vagy olyan eszközöket és beavatkozási lehetőségeket kínálnak, amelyek növelik az egyén ellenőrzését személyes adatai felett anélkül, hogy csökkentené az információs rendszer funkcionalitását.
A PET-ek ismérvei, alapvető kritériumai kapcsán beszélhetünk anonimitásról, mely esetében az adatok nem összekapcsolhatók meghatározott személyekkel; másrészt pszeudonimitásról, ahol ugyan van alany, ám annak kiléte például változatos fedőnevek, álprofilok vagy virtuális személyiségek kapcsán nem ismert; harmadrészt megfigyelhetetlenségről, amely a harmadik fél kizárását jelenti a kommunikációból azáltal, hogy nyílt hálózat használatakor észlelhetetlenséget biztosít; végső, de nem utolsó sorban pedig a kritériumok kapcsán alapvető kitétel az összeköthetetlenség, mely a jogosulatlan harmadik felet zárja ki a kapcsolatteremtésből, melynek célja az alany szokásainak profilozásának megakadályozása.
Csoportosítás szempontjából megkülönböztethetünk szubjektumorientált technológiákat, melyek középpontjában az alany szerepel, a cél ebben az esetben az azonosítás megszüntetése vagy korlátozása, mely egyaránt vonatkozik a különböző tranzakciókra és rögzített adatokra. Ilyen technikák lehet például az egyszer használatos azonosítók vagy digitális fedőnevek használata. Egy másik csoport az objektumorientált PET-ek halmaza, melyek középpontjában az eszköz szerepel, és a céljuk a digitális lábnyomunk minimalizációja például elemek automatizált törlésével. Harmadik csoportként a tranzakcióorientált technikákat határozhatjuk meg, melyek az alany tevékenységének, visszafejthetőségének védelmét és a követhetőségének megakadályozását jelenti hálózati tevékenységek során. A módszer ez esetben lehet bejegyzések törlése, adatláncok feldarabolása. Az utolsó csoport az előbbi három kategóriát szervezi rendszerbe, így alkotva a rendszerorientált csoportot.
Milyen lehetőségek közül választhatunk?
A privátszférát erősítő technológiák alapvető ismertetése, bemutatása, lényegi leírása mellett elengedhetetlen lenne konkrét példák és technológiák felsorakoztatása, azonban ez egy adott termék vagy szolgáltatás expressis verbis megnevezése, és felelősségteljes ajánlása nélkül csak kategorikus ismertetés szintjén valósítható meg. Ahogy a legkülönbözőbb informatikai-védelmi megoldások tekintetében, úgy a privátszférát erősítő technológiáknál is van lehetőségünk különböző, konkrét technológiai-kategóriákat meghatároznunk, melyen belül egyénileg mindenki megtalálhatja a neki legmegfelelőbb PET-et, akár személyes preferencia, anyagi vonzat esetén ár-értékarány, szofisztikáltabb technológia tekintetében ráfordított idő és energia vagy kompatibilitás kapcsán a használt számítógépes vagy mobiltelefonos operációs rendszer, böngésző tekintetében.
Első nagy kategóriaként a kriptográfiai megoldásokat azonosíthatjuk. Ezen belül az egyik nagy csoport az úgynevezett homomorf titkosítás, mely lényege, hogy lehetővé teszi a titkosított adatokon végzett különböző számítási, matematikai műveleteket, mellyel maga a PET egy olyan titkosított „eredményt” hoz létre, amely visszafejtéskor megegyezik a műveletek eredményével, mintha azokat titkosítatlan adatokon (azaz egyszerű szövegen) végezték volna el. Ez lehetővé teszi a titkosított adatok továbbítását, elemzését és visszaküldését az adatok tulajdonosának, aki visszafejtheti az információt, és megtekintheti az eredményeket azok eredeti formájában. Ez például lehetővé teszi, hogy a vállalatok elemzés céljából megoszthassák a rendelkezésükre álló érzékeny adatokat harmadik felekkel. Továbbá ez olyan alkalmazásokban is hasznos, amelyek titkosított adatokat továbbítanak felhőalapú tárolókba. Az alkalmazott számtani műveletek mennyisége szerint (egy – például összeadás vagy több – például szorzás, osztás) további alkategóriákat alkothatunk ezen csoporton belül. Egy másik nagy kriptográfiai megoldás az úgynevezett SMPC, vagyis Secure multi-party computation, ami a homomorf titkosítás egyik kapcsolódó technológiája, egy jelentős különbséggel: a felhasználók több titkosított adatforrásból is képesek értékeket kiszámítani, ezért a gépi tanulási modellek titkosított adatokra is alkalmazhatók, mivel az SMPC nagyobb adatmennyiségre is megfelelő. A harmadik alkategóriaként a differenciált adatvédelmet azonosíthatjuk. A PET-ek ezen kategóriába tartozó technológiái védelmet nyújtanak az egyénekre vonatkozó szükségtelen vagy jogszerűtlen információk megosztása kapcsán. Ez a kriptográfiai algoritmus „statisztikai zavart” kelt, egy réteget ad a felhasználóról gyűjtött valós adathalmazhoz, amely lehetővé teszi az adathalmazon belüli csoportok mintázatainak leírását, ám mindezt az egyének magánéletének megőrzése mellett. Az ezen kategóriába tartozó PET-ek jelentősen megnehezítik a profilozás hatékonyságát / lehetőségét. Végül, de nem utolsó sorban pedig beszélhetünk úgynevezett ZKP-król, vagyis a Zero knowledge proofs megoldásokról, melyek olyan kriptográfiai algoritmusokat használnak, amelyek lehetővé teszik az információ hitelesítését anélkül, hogy az azt bizonyító adatokat felfednék, tehát a személyazonosság ellenőrzésére a személyes adatok megadásának helyettesítésével kerül sor.
A második nagy kategóriaként a „Data Masking” megoldásokat azonosíthatjuk. Az „adatmaszkírozást” az adatkészletekben található érzékeny információk védelmére használják. Ebben a kategóriában is négy nagy csoportot különböztethetünk meg a technikák szempontjából: egyrészt az elhomályosítást, mely egy általános kifejezés az adatmaszkírozásra, amely több módszert tartalmaz az érzékeny információk helyettesítésére azáltal, hogy zavaró vagy félrevezető adatokat adnak hozzá egy naplóhoz vagy profilhoz. Másrészt a pszeudonimizálást, mely az azonosító mezőket (vagyis az egyénre jellemző információkat tartalmazó mezők) fiktív adatokkal, például karakterekkel vagy más adatokkal helyettesíti. A pszeudonimizálást a szervezetek gyakran használják a GDPR-nak való megfelelés érdekében. Harmadrészt az adatminimalizálást, mely lényege a személyes adatok lehető legminimálisabb mennyiségének gyűjtése, amely lehetővé teszi a vállalkozások / szervezetek számára, hogy a szolgáltatását még megfelelő minőségben nyújthassa. Gyakran hálózatok végpontjain található központosított csomópontokból történik az adatmentesítés / kiürítés. Negyedrészt pedig a kommunikációs anonimizáló eszközöket, mely anonimizátorok az online identitást (pl.: IP-címek, e-mail címek) egy eldobható / egyszeri lenyomozhatatlan identitással helyettesítik.
Harmadik nagy kategóriaként az algoritmusok és mesterséges intelligencia segítségével üzemeltetett PET-ek határozhatjuk meg. Ezek kapcsán megkülönböztethetünk szintetikus adatgenerálást, melyek különböző algoritmusok segítségével mesterségesen létrehozott adatok, mely optimális abban az esetben, ha harmadik fél általi hozzáférés is felmerülhet. Ezen belül pedig kiemelhetünk adatkészleteket, mely mesterséges, globális vagy regionális statisztikai jellemzőkre támaszkodó adatgyűjtési folyamat kapcsán mintákat képez, rendszerez és ismétel, ezzel tulajdonképpeni való adatokat közöl, viszont ellehetetleníti az alanyok valós tevékenységének megfigyelését. A mesterséges intelligencia kapcsán pedig természetesen nem hagyható ki a gépi tanulás lehetősége sem, amely egy algoritmust több decentralizált (perem)eszközön vagy helyi adatmintákat tároló szerveren keresztül képez ki (tanít), anélkül, hogy azokat kicserélné. A kiszolgálók decentralizálásával a felhasználók adatminimalizálást is elérhetnek azáltal, hogy csökkentik a központi kiszolgálón vagy felhőalapú tárolóban megőrzendő adatok mennyiségét.
Összességében tehát számtalan lehetőségünk van örökbe fogadni különböző PET-eket, viszont rendkívül fontos, hogy azokat megbízható forrásból szerezzük be, magabiztosan tudjuk alkalmazni, és a használhatóság kapcsolatában egy kockázatokkal arányos védelmi megoldást teremtsünk, mellyel növelhető digitális immunitásunk a kibertérben.
Felhasznált irodalom
- Székely Iván, „Privát szférát erősítő technológiák”, Információs Társadalom 8, sz. 1 (2008. március 1.): 20.
- Koorn R. és mtsai., Privacy-Enhancing Technologies White Paper for Decision-Makers (Directorate of Public Sector Innovation and Information Policy, 2004).
- Vanja Seničar, Borka Jerman-Blažič, és Tomaž Klobučar, „Privacy-Enhancing Technologies—Approaches and Development”, Computer Standards & Interfaces 25, sz. 2 (2003. május): 147–58.
- Chuan Zhao és mtsai., „Secure Multi-Party Computation: Theory, Practice and Applications”, Information Sciences 476 (2019. február 1.): 357–72.
- Bechir Alaya, Lamri Laouamer, és Nihel Msilini, „Homomorphic Encryption Systems Statement: Trends and Challenges”, Computer Science Review 36 (2020. május 1.): 100235.
- Vishal Anjaiah Gujjary és Ashutosh Saxena, „A Neural Network Approach for Data Masking”, Neurocomputing 74, sz. 9 (2011. április): 1497–1501.
- Grzegorz Mazurek és Karolina Małagocka, „Perception of privacy and data protection in the context of the development of artificial intelligence”, Journal of Management Analytics 6, sz. 4 (2019. október 2.): 344–64.
Nyitókép: Flickr / Nan Palmero