- COMP.SEC.100
- 6. Yksityisyys ja oikeudet verkossa
- 6.6 Yksityisyyden rakentaminen
Yksityisyyden rakentaminen¶
Yhteiskunnan kasvavat yksityisyyshuolet ovat tehneet suunnitellusta yksityisyydestä (privacy by design) suositun lähestymistavan. Suunniteltu yksityisyys tarkoittaa, että suojaus suunnitellaan, toteutetaan ja integroidaan tuotteisiin ja palveluihin, jotta käyttäjien huolet helpottaisivat. Toistaiseksi on kuitenkin olemassa vain vähän kirjallisuutta siitä, miten tämä käytännössä tehdään tietojärjestelmissä.
Kun suunnitellaan yksityisyyden säilyttäviä järjestelmiä, pääperiaatteet ovat:
- Minimoi luottamustarpeet: rajoita tarvetta luottaa muiden tahojen käytökseen arkaluontoisen tiedon käsittelyssä. Esim. elektronisten kansalaisaloitteiden tapauksessa kryptoprimitiivien käyttö poistaa käyttäjiltä tarpeen luottaa viranomaisiin käyttäjien identiteettien suojaamisessa.
- Minimoi riski: rajoita tietovuodon todennäköisyyttä ja vaikutuksia. Esim. Tor-verkossa yhden Tor-reitittimen rämettäminen (compromising) ei paljasta arkaluotoista tietoa käyttäjän verkkoselaamisesta. Jos sisääntulosolmu (entry node) kaapataan, ei saada selville viestien varsinaista määränpäätä, vaan ainoastaan seuraava solmu. Jos taas ulosmenosolmu (exit node) kaapataan, ei saada selville, mistä viesti alun perin tuli, vaan ainoastaan edeltävä solmu.
Näiden periaatteiden toteuttamiseksi käytännössä pyritään minimoimaan:
- kerääminen: rajoitetaan datan keräämistä ja varastointia;
- paljastaminen: rajoitetaan tiedon virtaamista muille kuin niille, joita tiedot koskevat. Tämä koskee suoraa (varsinainen asia) ja epäsuoraa tietoa (tietokantakyselyt jne.);
- replikointi: rajoitetaan dataa varastoivien tai käsittelevien tahojen määrää;
- keskittäminen: vältetään yhden pisteen epäonnistumisia (single point of failure) järjestelmän yksityisyysominaisuuksien suhteen;
- yhdistettävyys: rajoitetaan hyökkääjän mahdollisuuksia yhdistää dataa;
- säilyttäminen: rajoitetaan datan säilytysaikaa.
Järjestelmästä tulisi ensimmäisenä tunnistaa karsittavat tietovirrat. Näitä ovat kaikki, joissa tieto kulkee muille kuin niille, joita tiedot koskevat. Tämän jälkeen tulisi miettiä, mikä on vähin määrä tietoa, jolla asiat voidaan toteuttaa. Tarpeettomien tietovirtojen karsimisessa voidaan käyttää esim. seuraavia keinoja:
- Paikallisen tiedon käyttö: arkaluontoiset tiedot voidaan käsitellä käyttäjän laitteella ja siirtää vain lopputulos.
- Tiedon salaus: tieto voidaan salata paikallisesti ja lähettää vain salattu tieto eteenpäin.
- Yksityisyyden säilyttävien kryptoprotokollien käyttö: Jos dataa pitää myös käsitellä, se voidaan prosessoida paikallisesti jotakin yksityisyyden säilyttävää protokollaa käyttämällä ennen siirtämistä palveluun, jolloin tietojen paljastumista palvelussa voidaan vähentää.
- Hämärryttäminen: data voidaan käsitellä paikallisesti erilaisin hämärrytysmenetelmin, esim. vähentää tarkkuutta tai lisätä kohinaa.
- Anonymisointi: poistetaan datasta identifioiva tieto ja käytetään lähettämiseen anonyymia kanavaa.
On tärkeää myös arvioida yksityisyystekniikoiden vaikutus. Systemaattinen arviointi koostuu yleensä mekanismin mallintamisesta probabilistisena muunnoksena, eli tuotosten riippuvuus syötteistä on todennäköisyyksien mukaista (tietynlaiset tulokset tietynlaisilla syötteillä todennäköisempiä kuin toiset). Seuraavaksi määritetään uhkamalli, eli mitä hyökkääjä voi nähdä ja mitä hän tietää etukäteen. Kolmanneksi oletetaan, että hyökkääjä tuntee yksityisyysmekanismin ja mietitään, miten hän pyrkisi mitätöimään sitä. Tämä tehdään yleensä analysoimalla todennäköisyysjakaumia tai esim. koneoppimisen avulla lasketaan, mitä hyökkääjä voisi saada selville. Näistä saadaan todennäköisyysjakauma, josta nähdään, mitä hyökkääjä voisi saada selville kustakin syötteestä. Jakauman avulla hyökkääjällä olevaa paljastamiskykyä voidaan mitata.
Arkipäiväistä yksityisyyttä
Ehkäpä muistat GDPR-luvun esimerkistä kehotuksen hylätä nettisivujen tarjoamat evästeet aina, kun mahdollista. Kyseinen esimerkki ei kuitenkaan järin perustellut, miksi näin kannattaisi tehdä. Siispä käsitellään tässä yksityisyyden kannalta ehkäpä ongelmallisin evästetyyppi: kolmannen osapuolen seurantaevästeet (third-party tracking cookies). Tarkalleen ottaen ne ovat esimerkiksi mainosmyyjien (amazon-adsystem.com, doubleclick.net) evästeitä, jotka seuraavat käyttäjää verkkosivujen välillä.
Esimerkiksi, kun vierailemaasi verkkosivuun sisältyy mainosbanneri, ei sitä välttämättä ole tallennettu verkkosivulle vaan selaimesi hakee sen mainostajan sivulta, eli esimerkiksi amazon-adsystem.com:ista. Samalla mainostaja asettaa selaimeesi oman evästeensä. Mikäli nyt käyt jollakin toisella verkkosivulla, joka käyttää samaa mainostajaa, tämä pystyy evästeen avulla seuraamaan selaamistasi. Mainostaja saa siis tietää, millä verkkosivuilla vierailet ja esimerkiksi mitä tuotteita katselet verkkokaupassa. Näin se voi kohdentaa sinulle mainontaa muillakin verkkosivuilla. Ehkäpä kovimmat tarjoushaukat ovat vain mielissään siitä, että he saavat relevantteja mainoksia selaamiskäyttäytymisensä perusteella, mutta hintana on tällöin oma yksityisyys.
Mainokset eivät kuitenkaan ole ainoa seurantaevästeiden lähde. Monet verkkosivut sisältävät “jaa/tykkää”-nappuloita erilaisista sosiaalisista medioista. Samalla periaatteella kuin mainosbannerit nämä jakolinkit haetaan tarjoajiensa palvelimilta. Selaimesi siis hakee vaikkapa Iltalehden sivulle sisällytetyn Facebookin “Tykkää”-nappulan Facebookin palvelimelta. Samalla Facebook saa seurantaevästeensä kautta tiedon siitä, että olet vieraillut Iltalehden sivustolla. Herää kysymys, tarvitseeko Facebookin tietää kenenkään verkkoselauskäyttäytymistä näin paljoa, mutta näinhän he toki tekevät rahansa: myymällä ja käyttämällä käyttäjien tietoja.
Hyviäkin uutisia on: kolmannen osapuolen seurantaevästeitä ei pian tue enää yksikään iso selaintarjoaja. Firefox ja Safari ovat vakioasetuksena estäneet ne vuodesta 2023 asti, ja Chrome on liittymässä joukkoon vuoden 2024 loppupuolella. Uusia mainostenkohdennusteknologioita on toki kehitteillä, mutta näissä yksityisyys on otettu paremmin huomioon. Tästä huolimatta vaikuttaisi siltä, että jatkossakin luovutat itsestäsi enemmän tietoja hyväksymällä evästeet kuin hylkäämällä ne.