Pojedynczy ruch myszką, kliknięcie, zalogowanie na stronie internetowej, zakup, nasze kontakty, zainteresowania – wszystko w sieci jest na bieżąco rejestrowane, analizowane i oceniane. Podstawowym narzędziem śledzenia i profilowania na potrzeby komercyjne stały są smartfony: czy wiesz, że średnio 2000 razy dziennie dotykamy telefonu? [1] Każdą aktywnością na wyświetlaczu pozostawiamy metadane: adres IP, czas dostępu, długość trwania sesji, rodzaj używanego oprogramowania, lokalizację urządzenia.

Poza tym korzystamy z innych urządzeń codziennego użytku podłączonych do Internetu, zbierających o nas dane. Są to czytniki e-booków, smart TV, termostaty, czujniki gazu, inteligentne lodówki, okulary, szczoteczki do zębów, zabawki, czy autonomiczne odkurzacze. Dane są zbierane do tworzenia profili użytkowników i badania ich zachowań w sieci… i-Robot, producent Roomby zapowiedział udostępnienie planów naszych mieszkań do Google i Apple[2]

Czym jest IoT?

Koncepcja Internet rzeczy (IoT – Internet of Thing) zakłada powstanie globalnej, bezprzewodowej zintegrowanej sieci inteligentnych przedmiotów,[3] czyli urządzeń i maszyn, najróżniejszych czujników i elementów mechanicznych, w której dokonuje się komunikacja z jednej strony pomiędzy przedmiotami, a z drugiej pomiędzy przedmiotami i ludźmi.

Internet rzeczy to sytuacja, w której każde fizyczne urządzenie czy przedmiot codziennego użytku będzie mogło być włączone w globalną sieć i będzie mogło dostarczać różnorakich usług poprzez analizę potrzeb użytkowników i ich zwyczajów. Koncepcja bazuje na trzech kryteriach: Anytime (w każdej chwili), Anyplace (w każdym miejscu), Anything (wszystko)[4]. I tak, pompa powietrzna CPAP monitorująca sen osób cierpiących na zespół bezdechu przekazuje dane zamiast do lekarza do ubezpieczyciela, który może odmówić wypłaty ubezpieczenia, jeśli pompa jest źle używana. Amazon Echo, to głośnik, który słucha i nagrywa rozmowy. Podobnie, dane zbierane przez Fredi monitor dziecięcy, który transmituje dźwięk z pomieszczenia w którym przebywa dziecko, są źródłem wiedzy dla hakerów, z czego kilkukrotnie skorzystali[5].

Elementy składowe IoT

Internet rzeczy składa się z urządzeń i przekazów wirtualnych (komunikacja: sieć bezprzewodowa i przewodowa, podczerwień, pamięć: bazy danych, zdecentralizowane systemy rozproszone DHT,[6]  identyfikacja: obraz video, kody, odczyty biometryczne, informacje z tagów i kodów kreskowych, lokalizacja: sygnały GSM, GPS i procesy: serwis, sieci czujników, obsługa sieci)[7]. Urządzenia śledzące zbierają dane za pomocą różnych działań w sieci, m.in.:

  • śledzenie lokalizacji;
  • śledzenie działalności w sieci;
  • prywatność w sieciach społecznościowych;
  • prywatność smartfonu;
  • prywatność poczty e-mail;
  • prywatność konsumencka;
  • prywatność w miejscu pracy;
  • prywatność medyczna i genetyczna;
  • bezpieczeństwo cybernetyczne;
  • bańki informacyjne;
  • Internet rzeczy
  • profilowanie użytkowników.

O ile na pierwsze punkty z listy mamy realny wpływ, o tyle Internet rzeczy i profilowanie użytkowników z jednej strony ułatwią nam życie, z drugiej powodują, że stajemy się źródłem danych dla wielkich korporacji.

Przykładów dobrego zastosowania IoT dostarcza medycyna (np. zdalny monitoring pacjentów, reagowanie na sytuacje alarmowe, szybsze udzielanie pomocy, wspomaganie życia osób starszych i niepełnosprawnych), systemy inteligentnych budynków (w zakresie sterowania automatyką domową, zapewniania bezpieczeństwa, dostarczania rozrywki, monitorowania domowników), inteligentne sieci energetyczne i czy sieci liczników (w zakresie dynamicznego rynku taryf energii elektrycznej, sterowania odbiornikami energii, sterowania i bilansowaniem źródeł odnawialnych), inteligentne miasta (sterowanie ruchem, monitorowanie dróg i zasobów, monitorowanie stanu środowiska, wspomaganie procesów biznesowych, wspomaganie handlu, bezpieczeństwo)[8]. Te ostanie są przedmiotem zainteresowania Unii Europejskiej, która promuje m.in. „Inteligentne miasta” w ramach programu ramowego „Horyzont 2020”. Celem tego programu jest zastosowanie technologii cyfrowych i telekomunikacyjnych do poprawy bezpieczeństwa i poprawy skuteczności tradycyjnych sieci i usług.[9] Przykładami takiego wykorzystania IoT są Mysłowice i Bydgoszcz. W Mysłowicach pojemniki na odpady zostały podpięte do Internetu i dzięki zastosowaniu działającej w oparciu o sieć mobilną 4G Orange Polska technologii CAT-M1 przekazują sygnał, że zostały zapełnione. W Bydgoszczy zamontowano na skrzyżowaniach ulic ponad 40 szybkoobrotowych kamer CCTV, które wraz z ponad 50 kamerami typu ANPR rejestrują cechy pojazdów co usprawnia zarządzanie ruchem[10].

Jakie dane zbiera IoT?

Dane zbierane przez IoT podzielić możemy na te, które nie mają charakteru danych osobowych i nie stanowią jako takie zagrożenia dla prawa do prywatności (np. informacje o pogodzie) i takie, które wiążą się z przetwarzaniem danych osobowych (dane zbierane z social mediów, lokalizacji itd.). Zagrożeniami dla bezpieczeństwa użytkowników są niekontrolowana inwigilacja ludzi, działalność hakerów czy wrogie przejęcie kontroli nad urządzeniami[11].

Inwigilacja zaczyna się zwykle niewinnie. Chcąc skorzystać z jakieś rzeczy czy aplikacji „płacimy” danymi najczęściej zezwalając na:

  • dostęp do swoich kontaktów,
  • dostęp do kalendarza,
  • dostęp do historii przeglądanych stron i zakładek,
  • dostęp do wrażliwych logów aplikacji systemowych,
  • dostęp do aplikacji aktywnych na danym urządzeniu
  • dostęp do historii wybieranych numerów,
  • dostęp do wszystkich profili użytkownika na danym urządzeniu,
  • dostęp do treści i metadanych wysyłanych SMS-ów,
  • dostęp do załączników e-maili,
  • możliwość zmiany ogólnych ustawień telefonu.

Czym są dark patterns?

Dark patterns (w wolnym tłumaczeniu: „wredne praktyki”)[12] to elementy interfejsów w aplikacjach i serwisach internetowych zaprojektowane tak, by skłonić użytkownika do wybrania opcji najkorzystniejszej dla firmy zarabiającej na komercjalizacji danych. Kolory, rozmieszczenie przycisków i sposób wyświetlania komunikatów mają doprowadzić do tego, że użytkownik (niekoniecznie świadomie) „zgodzi się” na głęboką ingerencję w prywatność (np. ciągłe śledzenie lokalizacji czy dopuszczenie skryptów śledzących obsługiwanych przez podmioty trzecie). Najczęściej stosowane dark patterns[13]to:

  • niekorzystne dla użytkowników ustawienia domyślne;
  • wydłużona ścieżka zmiany ustawień dla tych, którzy chcą zadbać o swoją prywatność
  • wyskakujące okienka z ustawieniami prywatności, w których kluczowe informacje zostały pominięte lub przedstawione w mylący sposób;
  • grożenie utratą ważnych funkcjonalności lub usunięciem konta, jeśli użytkownik nie „zgodzi się” na przekazanie dodatkowych danych;
  • interpretowanie nierzadko przypadkowych akcji (np. nieznacznego ruchu myszką) na korzyść aplikacji/serwisu.

Szacowano, że wartość rynkowa ogółu danych przetwarzanych w Internecie na terenie Unii Europejskiej osiągnie do 2020 r. wysokość 739 miliardów euro.[14] Ciekawe czy szacunki te potwierdziły się. Badanie Eurobarometru pokazuje, że 60% Europejczyków, korzystających z Internetu, kupuje lub sprzedaje rzeczy on-line oraz korzysta z portali społecznościowych[15]. Pozostawiają przy tym swoje dane osobowe, w tym informacje biograficzne (prawie 90% badanych), informacje o swoim otoczeniu (prawie 50%) oraz informacje szczególnie chronione (prawie 10%). 70% badanych wyraziło obawy co do tego, w jaki sposób firmy korzystają z tych danych, oraz uważa, że ma jedynie częściową, jeśli w ogóle, kontrolę nad własnymi danymi. Natomiast 74% chciałoby, aby gromadzenie i przetwarzanie ich danych w Internecie wymagało ich wyraźnej zgody. Jednocześnie wg badania przeprowadzonego przez Kantar,[16] ponad połowa respondentów (zarówno w przypadku Polski, jak i Unii Europejskiej), obawia się, że ich dane osobowe w Internecie nie są chronione przez władze publiczne. Respondenci w wieku 25-39 lat (74%) oraz 40-54 lat (69%) częściej wyrażają taką obawę niż osoby w wieku 15-24 lat (52%).

Tymczasem urządzenia spokojnie zbierają nasze dane. Tworzony na podstawie zachowań w sieci profil człowieka nie zawiera danych bezpośrednio identyfikujących użytkownika, takich jak nazwisko czy adres. Te informacje z perspektywy reklamodawców mają niewielką wartość. Z punktu widzenia sprzedających dużo bardziej wartościowe się cechy decydujące o skłonności użytkownika do dokonania konkretnego zakupu. Na podstawie zebranych danych agencje mediowe ustalają, jakie cechy i zachowania charakteryzują osoby, które jeszcze reklamowanego produktu nie kupiły, ale mogą to zrobić w przyszłości. Budując profil potencjalnego klienta, agencje mediowe próbują ustalić nawyki, zainteresowania, słabości, ważne momenty z życia (takie jak ślub czy ciąża), cechy osobowościowe i demograficzne użytkowników, które posłużą do stworzenia kategorii powiązanych z cechami usługi czy produktu, który mają za zadanie sprzedać pewną potrzebę: „aktywny styl życia”, „dom, zdrowe jedzenie”, „przede wszystkim dzieci”, „miejski styl życia, singiel” czy „ponadprzeciętny dochód, dobra luksusowe”[17].

Powstaje tzw. look-alike – hipotetyczny profil klienta[18] składający się z twardych danych pochodzących od reklamodawców („taki człowiek już u mnie kupił”) i statystycznej wiedzy o ludziach („taki człowiek może chcieć to kupić”). W dużym uproszczeniu: gdy w sieci pojawi się użytkownik o konkretnych cechach zaczyna się licytacja o jego uwagę. Proces licytacji jest w pełni zautomatyzowany i z punktu widzenia profilowanego użytkownika pozostaje całkowicie niezauważalny – cała transakcja zajmuje 1/5 sekundy czyli 200 milisekund, a na mrugnięcie okiem przeciętnie potrzebujemy „aż” 300 milisekund. Następnie prezentowane są nam te komunikaty, które „powinnyśmy” otrzymać skoro sieć zakwalifikowała nas jako „człowieka, który może chcieć to kupić”.

Co możemy zrobić?

Czy mamy jakikolwiek wpływ, aby ograniczyć przekazywanie danych o nas?  Niewielki, jeśli wybieramy wygodę korzystania z urządzeń podłączonych  do Internetu i sami “podłączamy” się do sieci. Metodami zarządzania prywatnością w Internecie są:

  • dostosowanie ustawień przeglądarki;
  • dostosowanie ustawień poszczególnych serwisów;
  • instalacja odpowiednich wtyczek zabezpieczających przed reklamami, ciasteczkami;
  • korzystanie z usług zaufanego dostawcy;
  • korzystanie z usług klienta pocztowego i szyfrowanie danych;
  • szyfrowanie danych w ustawieniach komputera.”

Warto też reagować na naruszenia. Czytać regulaminy i informacje pisane drobną czcionką.

Jeśli zainteresowała Cię tematyka bezpieczeństwa, koniecznie zajrzyj na stronę Fundacji Panoptykon: https://panoptykon.org/ –  znajdziesz tam ciekawe, rzetelne opracowania, bieżące komentarze, podcasty na aktualne tematy.  Jeśli potrzebujesz pomocy, skontaktuj się na nami.

Photo by Kowon vn on Unsplash
[1] https://businessinsider.com.pl/technologie/nauka/uzaleznienie-od-telefonu-badacze-policzyli-ile-razy-go-dotykamy/x45yftb. 
[2] https://panoptykon.org/sites/default/files/publikacje/panoptykon_raport_o_sledzeniu_final.pdf
[3] Opinia Europejskiego Komitetu Ekonomiczno-Społecznego w sprawie komunikatu Komisji do Parlamentu Europejskiego, Rady, Europejskiego Komitetu Ekonomiczno-Społecznego i Komitetu Regionów: „Internet przedmiotów – plan działań dla Europy” COM(2009) 278 wersja ostateczna (2010/C 255/21); Sprawozdawca: Zenonas Rokus Rudzikas
[4] N. Gupta, J. Gupta, Internet of Things (IoT): A Vision of Any-Time Any-Place for Any-One, International Robotics & Automation Journal 2017, Vol. 2, Issue 6..
[5] https://panoptykon.org/sites/default/files/publikacje/panoptykon_raport_o_sledzeniu_final.pdf
[6] Ang. Distributed Hash Table, tł. rozproszona tablica mieszająca. Jest to rozproszony system używany do przechowywania informacji o dużych ilościach danych
[7] A. Rot, B. Bleicke, Bezpieczeństwo Internetu Rzeczy. Wybrane zagrożenia i sposoby zabezpieczeń na przykładzie systemów produkcyjnych, Zeszyty Naukowe Politechniki Częstochowskiej Zarządzanie 2017, Nr 26, s. 189–190.
[8] A. Brachman, Ekspertyza Obserwatorium ICT, Internet rzeczy – wybrane zastosowania, SO RIS, Sieć Regionalnych Obserwatoriów Specjalistycznych, Katowice 2015, s. 9
[9] Europejska Agenda Cyfrowa, Digital Single Market, s. 7
[10] M. Gadomski, Internet rzeczy dociera do miast. Uwaga na zagrożenia, https://www.portalsamorzadowy.pl/spoleczenstwo-informacyjne/Internet-rzeczy-dociera-do-miast-uwaga-na-zagrozenia,114495.html (dostęp: 1.1.2020 r.).
[11] O tym, że jest to problem faktycznie dotykający nas świadczy szybki przegląd prasy w lutym 2021: https://www.bankier.pl/wiadomosc/Poczta-Polska-Brak-powiadomienia-o-dostawie-oszusci-wysylaja-falszywe-maile-8050765.html czy https://www.bankier.pl/wiadomosc/NBP-utworzyl-departament-cyberbezpieczenstwa-8039336.html
[12] https://panoptykon.org/sites/default/files/publikacje/panoptykon_raport_o_sledzeniu_final.pdf
[13] https://panoptykon.org/sites/default/files/publikacje/panoptykon_raport_o_sledzeniu_final.pdf
[14] Komisja Europejska, European Data Market Study, https://ec.europa.eu/digital-single-market/en/news/final-results-european-data-market-study-measuring-size-and-trends-eu-data-economy. 
[15]https://ec.europa.eu/commfrontoffice/publicopinion/index.cfm/Survey/getSurveyDetail/yearFrom/1974/yearTo/2020/surveyKy/2207
[16] http://www.tnsglobal.pl/archiwumraportow/files/2020/03/K.017_20_Czego-obawiamy-si%C4%99-w-sieci_EB.pdf
[17] https://panoptykon.org/sites/default/files/publikacje/panoptykon_raport_o_sledzeniu_final.pdf
[18] https://experienceleague.adobe.com/docs/audience-manager/user-guide/features/algorithmic-models/look-alike-modeling/understanding-models.html?lang=en
Udostępnij