Czy zwrot privacy-by-design dotyczy tylko danych osobowych? Jak najskuteczniej i najprościej można zrealizować w pełni tę ważną koncepcję? Czy konieczne są jakieś kompromisy? Jaka jest rola otwartego kodu źródłowego?
W poprzednim, pierwszym tekście z tej serii Dlaczego PrivMX? przedstawiliśmy naszą motywację i sposób patrzenia na jedną z najbardziej palących kwestii w XXI wieku. Doszliśmy do wniosku, iż nie ma na co czekać, tylko trzeba zająć się stworzeniem skutecznych mechanizmów ochrony prywatności informacji - ze szczególnym uwzględnieniem wyników pracy zespołowej, która jest najważniejszym źródłem naszej innowacji.
Na to wezwanie możesz odpowiedzieć “ale przecież to już się dzieje!”, prawdopodobnie mając na myśli RODO i inne podobne inicjatywy legislacyjne dotyczące prywatności, pojawiające się w różnych miejscach świata. Tak, zgoda, dzieje się, ale jest jedno “ale” - przepisy te skupiają się i promują ochronę danych osobowych, które stanowią oczywiście bardzo ważną, ale jednak wąską kategorię treści, którą powierzamy usługom globalnej sieci.
Pomimo ogromnej wagi nowego prawa, jasnych korzyści i gwałtownego rozszerzenia się dyskusji na temat prywatności w sieci, obawiać się można, że sytuacja w dłuższej perspektywie może okazać się dla nas jednak nie do końca korzystna. Utrwalana w tej dyskusji “dewaluacja" pojęcia prywatności do poziomu ochrony danych osobowych zakłóca precyzję dialogu o głębszych aspektach naszego życia i prywatności w cyfrowym świecie - przykładem może tu być coraz częstsze, mylne utożsamianie prywatności z anonimowością.
Patrząc odpowiednio szeroko, można dojść do wniosku, że ze względu na złożoność sieci i jej zastosowań sprawa jest na tyle skomplikowana, że nie da się już wiele zrobić w temacie “ogólnej prywatności”. W PrivMX uważamy, że do pewnego stopnia jest to prawdą; wciąż jednak są kluczowe obszary, takie jak praca zespołowa, o które można (i trzeba!) zadbać. Przekonywanie o tym i proponowanie konkretnych rozwiązań to nasza misja.
Warto zwrócić uwagę na powyższe rozróżnienie, bo jest ono kluczowe, jeśli myślimy o konkretnych rozwiązaniach. Pomimo, iż nowa legislacja dotycząca ochrony prywatności daje słuszne reguły i wytyczne czy wręcz zapewnia penalizację, to przecież nie powoduje tego, że nasze dane (osobowe) są fizycznie chronione przed odczytaniem - tak samo jak prawo i penalizacja dotyczące kradzieży nie chronią nas na przykład przed faktyczną kradzieżą roweru.
W takich sytuacjach nasze myślenie przechodzi naturalnie od zabezpieczeń prawnych w kierunku zabezpieczeń fizycznych - przecież rower można na przykład gdzieś schować. Takie działanie przeważnie zabezpiecza przed utratą majątku, ale z drugiej strony nieco komplikuje życie …na co jednak zazwyczaj się godzimy, po zrobieniu szybkiego, wewnętrznego rachunku zysków i strat.
Sytuacja z Waszymi treściami, które Ty i Twoja firma przesyłacie przez sieć i w niej magazynujecie, jest bardzo podobna - jeśli chcecie być jedynymi osobami mającymi do nich dostęp, to musicie zastosować zabezpieczenia fizyczne, które (niestety) również utrudnią Wam trochę życie.
…czyli “nie chcemy, żeby ktoś inny (lub coś innego niż nasze komputery) mogły czytać nasze treści!” - taki wniosek to punkt wyjścia do naprawy sytuacji. Bardzo możliwe, że takie tezy pojawiły się już w Twojej firmie - gratulujemy! - niestety, ważne jest jednak to, czy i w jaki sposób zostały wprowadzone w życie.
Świat cyfrowy w XXI wieku to bardzo złożona konstrukcja, zarówno pod względem technicznym, jak i marketingowym. Obecnie większość dostawców narzędzi cyfrowych wspomina o “zwiększonej prywatności” czy innych podobnych cechach budujących zaufanie. Łatwo się w tym pogubić (zwłaszcza gdy “prywatność” zaczyna oznaczać “zgodność z RODO”) i najczęściej kończy się na wyborze narzędzi, które wydają się najwygodniejsze …co od razu sugeruje sprzeczność z kierunkiem, który zasygnalizowaliśmy powyżej.
Nie chcemy wchodzić tu w dyskusję na temat różnych dostępnych na rynku rozwiązań (pojawi się wkrótce w kolejnym tekście) - przejdziemy od razu do jej podsumowania: najważniejszą cechą, na którą należy zwrócić uwagę, jest to, czy wchodzące w skład usługi serwery i ich administratorzy “mają wiedzę” o zawartości naszych danych, czy jej nie mają.
Jedynie “zero-knowledge servers” dają nam to, o co tutaj chodzi - czyli fizycznie nie pozwalają na odczyt naszych treści osobom i urządzeniom po “tamtej stronie”. Z kolei jedynym sensownym sposobem na realizację takiego systemu jest użycie w nim szyfrowania end-to-end, po stronie klienta, czyli układu, w którym Wasze treści dostępne są tylko dla Was, na Waszych własnych urządzeniach, które jako jedyne je szyfrują i odszyfrowują. W ten sposób Wasza treść jest ukrywana przed “tamtą stroną” - zamykana na klucz, zupełnie jak wspomniany rower.
Takie podejście to odpowiednie zabezpieczenie fizyczne naszych danych w cyfrowym świecie, “privacy-by-design w wersji pełnej”. W ekosystemie PrivMX stosujemy je na wszystkich poziomach i dla wszystkich oferowanych narzędzi - taką decyzje podjęliśmy na samym początku projektowania architektury PrivMX.
I tu pojawiają się wspomniane wcześniej niewygody wynikające ze stosowania zabezpieczenia fizycznego - sprowadzają się one do następującej sytuacji: zanim skorzysta się z danych (roweru), to najpierw trzeba je odszyfrować (wyjąć ze skrytki). Choć brzmi to jak oczywistość w przypadku roweru w realnym świecie, to w przypadku usług cyfrowych, opartych o serwery zero-knowledge, tak już nie jest.
Obecnie na rynku powszechne jest to, że serwery wchodzące w skład usług cyfrowych przetwarzają nasze dane oraz analizują je na różne sposoby. Pozwala to łatwo tworzyć po “tamtej stronie” połączone, uzupełniające się systemy, które swoim użytkownikom dostarczają coraz to nowe funkcje oparte na coraz głębszej analizie ich danych. W naszym przypadku, gdy serwery nie mogą przeczytać danych i tym samym nie mogą z nimi nic zrobić, to sytuacja zdecydowanie zaczyna odbiegać od “cyfrowej oczywistości" oraz różnych szeroko przyjętych standardów technicznych.
W układzie “privacy-by-design w wersji pełnej” działania na danych przeprowadzać mogą jedynie komputery osobiste użytkowników, bo tylko one mają do nich dostęp. Taka niestandardowa sytuacja czasami mocno utrudnia oferowanie niektórych funkcji, które są oczywiste we wszystkich innych usługach. Przykładem jest tu właśnie integrowanie usług opartych o serwery bez wiedzy - jest to oczywiście możliwe, ale wymaga dodatkowej pracy, najczęściej polegającej na uruchomieniu “zaufanych pomostów” między takimi usługami (m.in. w tym celu stworzyliśmy oprogramowanie PrivMX Bot).
Innym, o wiele prostszym przykładem niewygodnej konsekwencji wykorzystania omawianego zabezpieczenia fizycznego jest fakt, że utrata lub zapomnienie swojego hasła (lub klucza sprzętowego) w systemie szyfrowanym end-to-end powoduje permanentną utratę dostępu do swojego konta i danych, które są w nim zawarte.
Ta sytuacja jest podobna do tej, gdy zgubimy klucz do schowka, w którym trzymamy rower. Rozwiązaniem jest wówczas podejście siłowe - jasne i często łatwo wykonalne w świecie fizycznym, ale niestety przeważnie nieosiągalne w świecie cyfrowym, gdzie próba dopasowania dobrego hasła lub znalezienia klucza odszyfrowującego dane może zająć najszybszym komputerom tysiące lub nawet miliony lat.
Konsekwencje takiego kalibru potrafią być bardzo niewygodne lub wręcz destrukcyjne dla wielu użytkowników i ich firm, dlatego jest to dobry temat na kompromis i kontrolowane poluzowanie przyjętych założeń. W PrivMX główny klucz szyfrujący wybranych członków zespołu (oznaczonych jako “managed”) umieszczony jest pośród zaszyfrowanych danych innych użytkowników (“team keeperów”), którzy w razie potrzeby mogą go wykorzystać do zresetowania hasła zapominalskiej osoby. To dobry, sprawdzony sposób, gdy w zespole są mniej doświadczeni użytkownicy internetu. Serwer w tym układzie oczywiście nie ma dostępu do żadnego z używanych kluczy szyfrowania - pozostają one dostępne jedynie dla członków zespołu.
Tu przy okazji ciekawostka, która może zaskoczyć niektórych Czytelników: jeśli usługa, z której korzystasz, oferuje na stronie logowania funkcję “zresetuj/przypomnij hasło”, to administratorzy tej usługi, w razie potrzeby mogą odczytać treści, które w niej przechowujesz. Twoje hasło pełni tam rolę kontroli dostępu online do usługi i chroni przed dostępem innych osób z otwartego internetu, ale zazwyczaj nie bierze udziału w zabezpieczaniu Twoich danych przed dostępem “po tamtej stronie”. Warto o tym pamiętać.
Podsumowując temat niewygodnych konsekwencji i kompromisów - wszystko jest kwestią wyważenia aspektów prywatności i wygody. W naszym “pełnym” podejściu sprowadza się to do zastosowania reguły o nazwie privacy-by-default - czyli domyślnie stawiamy na prywatność, ale w wyjątkowych przypadkach łagodzimy bezkompromisowe podejście i w sposób kontrolowany wprowadzamy odpowiednie, bardziej wygodne oraz życiowe rozwiązanie.
Najpotężniejszą siłą, która prowadzi do łagodzenia podejścia w przypadku systemów zero-knowledge, są przyzwyczajenia użytkowników, nabyte przez lata korzystania ze “zwykłych” usług, które stosują “zwykły” poziom troski o ich dane. Doskonałym przykładem może tu być kwestia, która obecnie najczęściej jest nam zgłaszana jako problem w PrivMX Fusion - brak możliwości udostępnienia własnych zaszyfrowanych, prywatnych kalendarzy PrivMX w usługach firm Google, Apple czy Microsoft. Człowiek wszak przyzwyczajony jest do używania tylko jednej aplikacji kalendarzowej, w której gromadzi wszystkie interesujące wydarzenia, a kalendarze systemowe wspomnianych firm są najpopularniejsze. W momencie pisania tych słów (maj 2022) rozpoczynamy pracę, aby zmienić nieco wewnętrzną strukturę kalendarza i pozwolić użytkownikowi podjąć taką świadomą decyzję odnośnie niektórych danych ze swoich prywatnych kalendarzy. Prawdopodobnie w odpowiednim miejscu PrivMX Fusion pojawi się przycisk “Tak, chcę udostępnić moje prywatne wydarzenia firmom trzecim” …co oczywiście nie będzie obowiązkowe.
Na koniec, wróćmy na chwilę do ogólnej kwestii prywatności - pozostał nam do omówienia jeden bardzo ważny aspekt, który jest z nią powiązany: zaufanie. W zasadzie można powiedzieć, że w świecie cyfrowym wszystko opiera się na zaufaniu, bo statystycznie rzecz biorąc niewiele jest osób, które posiadają pełną wiedzę odnośnie szczegółów działania systemów komputerowych. I choć nie znamy tych osób, to potrafimy im zaufać i powierzyć im nasze cenne dane.
W XXI wieku takie beztroskie podejście zaczyna odchodzić do lamusa, czego dowodem jest na przykład samo pojawienie się prawa dotyczącego ochrony danych osobowych. Powodem zmniejszania się poziomu zaufania jest “rozjazd” występujący pomiędzy deklaracjami dostawców i faktycznym działaniem ich usług. Niekoniecznie bywa on wynikiem świadomych decyzji, ale niewątpliwie jest faktem, skoro wzbudził tak szeroką reakcję i dyskusję.
Omawiane wcześniej zabezpieczenie polegające na pozbawieniu “tamtej strony” wiedzy o zawartości naszych danych daje nam swego rodzaju tarczę, chroniącą nas przed konsekwencjami tego “rozjazdu” - to jest jasne. Trudniej dostrzegalny może być fakt, że ta tarcza nie jest wystarczająca.
W usługach opartych na zasadzie zero-knowledge, z szyfrowaniem end-to-end, dostęp do naszych treści mają komputery końcowe (czyli te, z których sami korzystamy), a konkretnie aplikacje klienckie, które otrzymujemy od dostawcy usługi. Kierując się “cyfrową zasadą ograniczonego zaufania” powinniśmy się upewnić, czy te aplikacje robią tylko to, co powinny robić, czy szyfrują nasze dane w odpowiedni sposób i czy wysyłają je tylko tam, gdzie chcemy.
Pomijając tutaj oczywisty wymóg posiadania wiedzy programistycznej żeby przeprowadzić taką operację, to głównym warunkiem powodzenia pozostaje sama możliwość wglądu w to, co program robi i jak posługuje się danymi. Jest to możliwe tylko wówczas, gdy dostawca udostępnia pełny kod źródłowy oraz możliwość samodzielnego zbudowania z niego aplikacji, którą można uruchomić.
Otwarty kod źródłowy aplikacji to cecha, która dopełnia naszą “układankę” - powoduje, że erodująca kwestia zaufania w cyfrowym świecie przestaje być dla nas kluczowa. Po prostu: jeśli wiemy, co robi program, z którego korzystamy i wiemy, że nie udostępnia on “tamtej stronie” naszych treści, to zaufanie do dostawcy i jego firmy schodzi na dalszy plan. Dla nas, użytkowników końcowych usług z gigantycznej cyberprzestrzeni, jest to układ idealny.
Jeśli licencja oprogramowania (kodu źródłowego) dodatkowo pozwala na dokonywanie w nim zmian, to daje nam to kolejne narzędzia wpływania na to, co dzieje się z naszymi danymi. Oprócz możliwości samodzielnego dodania ważnych dla nas funkcji, możemy również podjąć (wspomniane powyżej) decyzje o poluzowaniu bezkompromisowego podejścia do ochrony danych - na przykład po to, aby zmniejszyć ilość “niewygodnych konsekwencji”, które akurat w naszej firmie są zbyt uciążliwe.
W PrivMX staramy się konsekwentnie podążać tą ścieżką - kod źródłowy PrivMX Team Server oraz PrivMX Fusion jest otwarty i w ramach swojej organizacji można tworzyć jego zmodyfikowane wersje. Cieszymy się, że nie tylko nasz zespół myśli podobnie - w artykule nt. otwartych narzędzi do współpracy w firmach przedstawiamy inne znane nam przykłady stosowania podobnego podejścia.
Opisaliśmy w tym artykule najważniejsze założenia, które stanowią składniki naszego podejścia “privacy-by-design w wersji pełnej”:
Można zadać sobie pytanie - czy warto tworzyć i wchodzić w tak niestandardowe środowisko cyfrowej pracy? Trudno na nie odpowiedzieć z biegu, mając różne przyzwyczajenia i z drugiej strony nie mając często czasu na tego typu refleksje.
Sprawa jednak staje się jasna później, w trakcie intensywnej pracy zdalnej czy hybrydowej ze swoim zespołem, kiedy nowe wyjątkowe pomysły pojawią się nagle w Waszych notatkach i planach. Kiedy trzeba przechować i udostępnić wewnątrz firmy wyniki badań lub inne ważne dane, hasła czy dane klientów. Kiedy Wasza luźna rozmowa video z członkami zespołu nagle okazuje się mieć charakter poufny lub strategiczny. Takich i wielu innych podobnych sytuacji nie da się już uniknąć w XXI wieku - wszyscy o tym wiemy.
Wtedy naprawdę czujecie zadowolenie z wyboru odpowiedniego narzędzia do zdalnej współpracy, bo wiecie, że zadbaliście o siebie samych.
Ogrom danych, które generujemy, przesyłamy i przechowujemy jest przytłaczający - nasz zespół tylko w ciągu jednego roku stworzył ponad 75.000 wiadomości, 9.000 plików, 7.000 zadań i odbył 900 rozmów wideo - po prostu, podczas wykonywania naszej pracy. Nikt z naszego zespołu nie jest w stanie dokładnie powiedzieć co znajduje się w tych gigabajtach danych - jest to naturalne i oczywiste. Wiemy jednak, że “po tamtej stronie” również nie ma nikogo takiego i że nasze treści nie stanowią pożywki dla bliżej nieokreślonych algorytmów i urządzeń. Korzystamy z PrivMX :)
W kolejnym wpisie z tej serii postaramy się przybliżyć główne narzędzie naszego ekosystemu, czyli PrivMX Fusion - jak powstawało i czym jest owa “fuzja narzędzi”.
—-
Jeśli nie chcesz przegapić naszych nowych postów, zachęcamy do śledzenia nas w mediach społecznościowych.
Matt Muszytowski
Podobne posty na blogu:
This blogpost contains a recap of all PrivMX feature and system updates so far. Scroll to see digests of all historical changelogs with links to separate, detailed articles.
There’s so much more to GOOD DESIGN than just the interface :) We’re happy to announce that our software was selected by the jury of the Good Design 2020 Competition as one of the 115 best-designed products and services! Fingers crossed for the finals ;)