A proibição proposta de r e-identificação impede que os pesquisadores estudem fraquezas no sistema de segurança e incentiva os criminosos a us á-los para seus próprios propósitos.
Salve este artigo
Salve este artigo
Nos últimos anos, as maiores empresas do mundo e bilhões de usuários atingiram as ondas de violações chocantes de privacidade, vazamentos de dados e abusos. Ao mesmo tempo, muitos países fortaleceram suas próprias regras de proteção de dados. A Europa deu o tom em 2016, adotando os regulamentos gerais para proteção de dados, que introduz garantias estritas de transparência, segurança e confidencialidade. Somente no mês passado, os moradores da Califórnia receberam novas garantias de confidencialidade, por exemplo, o direito de solicitar a remoção dos dados coletados e outros estados seguirão seu exemplo.
A reação da Índia, a maior democracia do mundo, foi um perigo potencial curioso e representando. Sendo um poder de engenharia em desenvolvimento, a Índia afeta todos nós, e suas manobras no campo da segurança cibernética e proteção de dados merecem nossa atenção. À primeira vista, a lei indiana proposta sobre proteção de dados de 2019 imita os padrões do Novo Mundo, como o direito de ser esquecido. Outros requisitos, como armazenamento obrigatório de dados confidenciais em sistemas localizados no território do subcontinente, podem impor restrições a alguns tipos de prática comercial e, na opinião de alguns, são mais controversos.
Opinion Wired
Sobre o site
O Dr. Lukash Oleinik (@lukolejnik) é um pesquisador e consultor independente no campo da segurança cibernética e confidencialidade.
Um dos recursos do projeto, que recebeu menos atenção, mas talvez cause o maior alarme é a criminalização da r e-identificação ilegal dos dados do usuário. Apesar da aparente prudência, em breve isso pode sujeitar nosso mundo conectado ainda maior risco.
O que é identificação repetida? Quando os dados do usuário são processados na empresa, algoritmos especiais separam informações confidenciais, como traços de localização e registros médicos, a partir de detalhes de identificação, como endereços de email e números de passaporte. Isso é chamado de desidentificação. Pode ser retornado para que as organizações possam restaurar a conexão entre a identidade do usuário e seus dados, se necessário. Essa r e-identificação controlada por partes jurídicas ocorre regularmente e é bastante apropriada, desde que o design técnico seja seguro e confiável.
Por outro lado, se um invasor conseguir assumir o controle do banco de dados desidentificado e reidentificar os dados, os cibercriminosos ganharão itens extremamente valiosos. Como demonstram as constantes fugas de informação, hacks e espionagem cibernética, o nosso mundo está cheio de potenciais adversários que procuram explorar as fraquezas dos sistemas de informação.
A Índia, talvez como resposta direta a tais ameaças, pretende proibir a reidentificação não consensual (também conhecida como reidentificação ilegal) e sujeitá-la a sanções financeiras ou prisão. Embora a proibição de atividades potencialmente prejudiciais possa parecer convincente, a nossa realidade tecnológica é muito mais complexa.
Os pesquisadores demonstraram os riscos da reidentificação devido ao design descuidado. Um caso recente de grande repercussão na Austrália pode ser citado como exemplo. Em 2018, a Public Transport Victoria partilhou dados sobre a utilização dos seus cartões de transporte sem contacto com os participantes num desafio de ciência de dados. Os dados tornaram-se efetivamente disponíveis ao público. No ano seguinte, uma equipa de cientistas descobriu que medidas fracas de protecção de dados permitiam que qualquer pessoa ligasse os dados a passageiros individuais.
Mais popular
A ciência
Uma bomba-relógio demográfica está prestes a atingir a indústria da carne bovina.
Matt Reynolds
Negócios
Dentro do complexo ultrassecreto de Mark Zuckerberg no Havaí
Guthrie Scrimgeour
Engrenagem
Primeiro, dê uma olhada no Matic, o aspirador robô redesenhado
Adriane So
Negócios
As novas alegações de Elon Musk sobre a morte de macacos estimulam novas demandas de investigação da SEC
Dhruv Mehrotra
Felizmente, existem formas de mitigar estes riscos utilizando tecnologia apropriada. Além disso, para garantir a qualidade da proteção do sistema, as empresas podem realizar testes rigorosos de segurança cibernética e privacidade. Normalmente, esses testes são realizados por especialistas em colaboração com uma organização de monitoramento de dados. Às vezes, os investigadores podem realizar testes sem o conhecimento ou consentimento da organização, mas podem, ainda assim, agir de boa fé e no interesse público.
Quando tais testes revelam deficiências na proteção ou segurança de dados, o culpado nem sempre pode ser prontamente corrigido. Pior ainda, graças à nova lei, os fornecedores de software ou proprietários de sistemas podem até ficar tentados a tomar medidas legais contra investigadores de segurança e privacidade, bloqueando totalmente a investigação. Quando a investigação é proibida, o cálculo dos riscos pessoais muda: face ao risco de multas ou mesmo de prisão, quem se atreveria a empreender uma actividade tão benéfica socialmente?
Hoje, empresas e governos estão cada vez mais reconhecendo a necessidade de testes independentes de proteção de segurança ou confidencialidade e oferecem às pessoas honestas para sinalizar riscos. Expressei medos semelhantes quando, em 2016, o Ministério das Tecnologias Digitais, Cultura, Mídia e Esportes da Gr ã-Bretanha pretendia proibir a reentificação. Felizmente, ao introduzir exceções especiais, a lei final reconhece a necessidade de os pesquisadores trabalharem em consideração interesses públicos.
Essa proibição tão universal e direta de r e-identificação pode até aumentar o risco de vazamento de dados, pois os proprietários podem se sentir menos interessados em proteger a confidencialidade de seus sistemas. No interesse dos políticos, organizações e público, para receber diretamente críticas de pesquisadores de segurança e não arriscar o fato de que as informações chegarão a outras pessoas potencialmente maliciosas. A lei deve permitir que os pesquisadores relatem honestamente lugares ou vulnerabilidades fracas que descobriram. Um objetivo comum deve ser uma eliminação rápida e eficaz de problemas de segurança.
A criminalização das partes mais importantes do trabalho dos pesquisadores pode causar danos não intencionais. Além disso, os padrões estabelecidos por um país tão influente como a Índia correm o risco de ter um impacto negativo no mundo inteiro. O mundo como um todo não pode pagar os riscos associados à prevenção de pesquisas no campo da segurança cibernética e confidencialidade.
A opinião da Wired publica artigos de autores de terceiros, representando uma ampla gama de pontos de vista. Leia outras opiniões aqui. Publique sua opinião no site do opinião@wired. com.
Outras histórias de arame interessantes
- Bem-vindo à era das baterias de sorvete de lítio ultra sinceras
- Mark Warner luta com grandes tecnologias e espiões russos
- Chris Evans vai para Washington
- O futuro dividido de confidencialidade no navegador
- Como comprar equipamentos usados no eBay – uma maneira inteligente e segura
- Story A história secreta dos rostos. Últimas notícias sobre inteligência artificial
- 🏃🏽♀️ Você quer as melhores ferramentas para manter a saúde? Confira a seleção dos melhores rastreadores de fitness, equipamentos de corrida (incluindo sapatos e meias) e os melhores fones de ouvido da nossa equipe de equipamentos.
