Durante a pandemia, a Comissão Europeia me abordou com uma proposta para desenvolver um token de rastreamento de contato social com proteção de privacidade, sobre o qual você pode ler na página do projeto Simmel . E logo, Cingapura anunciou o desenvolvimento do token TraceTogether. Como parte deste evento, fui convidado a participar de uma revisão de sua solução... A urgência da situação do COVID-19 e a significativa complexidade da criação de cadeias de suprimentos levaram ao fato de nos encontrarmos em uma situação com o trem de pouso de uma aeronave que tocou a pista. Dadas as muitas preocupações com privacidade e tecnologia, a situação era complicada e não podia ser capturada em uma série de tweets. Portanto, descreverei minhas impressões na forma de pequenos ensaios. Como consegui trabalhar com TraceTogether por apenas uma hora, na maior parte do tempo falarei sobre o contexto em que avaliarei esse token.
Rastreando contatos sociais
A ideia é simples: se você ficar doente, precisa identificar as pessoas com quem manteve contato próximo e verificar se elas estão doentes. Se feito com rapidez suficiente, a disseminação do COVID-19 pode ser contida e grande parte da sociedade continuará a funcionar normalmente.
Mas existem algumas sutilezas na implementação que tentei digerir. Dra. Vivian Balakrishnan, em exercício O Ministro da Smart Nation Initiative , nos informou brevemente na reunião que o sistema de Notificação de Exposição desenvolvido pela Apple e Google não exibia o "gráfico". Para ter uma noção de como é importante para os epidemiologistas construir um gráfico de contato, desenhei alguns diagramas para ilustrar os cenários de rastreamento de contato.
Vamos começar com o cenário mais simples.
O diagrama mostra duas pessoas. No primeiro dia, a pessoa 1 já está infectada, mas os sintomas são leves. No meio do dia, ele está em contato com a Pessoa 2. Após um curto período de incubação, a Pessoa 2 torna-se infecciosa no final do segundo dia. Durante esse tempo, ele pode não apresentar sintomas. No futuro, ele pode infectar mais dois. O exemplo mostra que se a pessoa 2 for isolada cedo o suficiente, duas novas infecções podem ser evitadas.
Agora vamos ver um cenário mais complexo sem rastreamento de contato. Continuaremos a considerar o Humano 1 como um portador com sintomas leves ou sem sintomas, mas ao mesmo tempo infeccioso: este é o chamado " superportador ".
Este gráfico mostra os cronogramas de oito pessoas. A pessoa 1 é totalmente responsável por infectar várias pessoas ao longo de vários dias. Observe que os períodos de incubação antes de uma pessoa se tornar infecciosa são diferentes para cada pessoa. Além disso, a infecciosidade pode não ser acompanhada de sintomas.
Agora vamos adicionar rastreamento de contato.
O cenário é o mesmo, mas com o "ideal platônico" de rastreamento e isolamento de contatos. A pessoa 4 desenvolve sintomas, testes e testes positivos no quarto dia. Todos os contatos com ele são isolados e dezenas de seus colegas e amigos evitam a infecção no futuro. É importante ressaltar que a análise do gráfico de contato também revela contatos comuns entre a Pessoa 4 e a Pessoa 2, identificando assim a Pessoa 1 como a portadora assintomática original.
Há uma pequena diferença entre "rastreamento de contato" e "notificação de contato". O sistema de Notificação de Exposição da Apple e do Google apenas notifica sobre contatos diretos de uma pessoa infectada. O significado dessa sutileza é sugerido pelo fato de que foi originalmente chamado de "Rastreamento de contato com protocolo de confidencialidade", masfoi renomeado em abril.
Para entender melhor as limitações da notificação de contatos infectados, vamos examinar outro cenário. É semelhante ao anterior, só que em vez de rastrear todo o gráfico, notificaremos apenas os contatos diretos da primeira pessoa que apresentar os sintomas - ou seja, a Pessoa 4.
Se limitados a notificações, os portadores com sintomas leves ou sem sintomas, como a Pessoa 1, receberão notificações enganosas de que estiveram em contato com uma pessoa positiva, quando na verdade foi a Pessoa 1 que infectou a Pessoa 4 com o vírus. A pessoa 1 - se sentindo bem, mas contagiosa - continuará a viver normalmente, exceto pela surpresa de que todo o seu ambiente esteja infectado com o vírus. Portanto, algumas infecções não podem ser evitadas. Além disso, a Pessoa 2 é um nó oculto em relação à Pessoa 4, porque a Pessoa 2 não está incluída na lista de notificação de contato direto da Pessoa 4.
Resumindo, o próprio sistema de Notificação de Exposição não permite determinar as relações de causa e efeito das infecções. Um gráfico de contato completo ajuda a identificar uma portadora com sintomas leves ou nenhum sintoma. Além disso, já se sabe que uma proporção significativa de portadores é assintomática. Essas pessoas são contagiosas, mas se sentem bem e visitam estações de metrô lotadas, comem em lugares públicos. Nas condições de Cingapura, os portadores assintomáticos podem criar dezenas de grupos de novos infectados ao longo de dias, senão horas, em contraste com países menos densamente povoados como os Estados Unidos, onde os infectados só podem entrar em contato com algumas pessoas durante o dia.
A incapacidade de identificar e isolar rapidamente superpetradores com sintomas leves motivou o desenvolvimento do dispositivo TraceTogether, que permite rastrear os contatos sociais com a construção de um gráfico completo.
Sobre privacidade e rastreamento de contato
Obviamente, o rastreamento de contato completo tem implicações de privacidade muito sérias. E a ausência desse rastreamento apresenta riscos potenciais significativos à saúde e à vida. Existe uma solução comprovada que não viola a privacidade: intertravamento avançado, como um disjuntor automático. Claro, isso requer custos adicionais.
Dos três elementos - privacidade, saúde e economia - só podemos escolher dois. Existem debates ativos sobre este assunto, mas isso está além do escopo do artigo. Do ponto de vista da discussão, vamos supor que o rastreamento de contato esteja sendo implementado. Nesse caso, é responsabilidade de técnicos como nós tentar encontrar um meio-termo entre reduzir a privacidade e promover políticas públicas.
No início de abril, para Sean Cross e eu por meioA NLnet foi abordada por representantes do programa NGI da Comissão Europeia e propôs desenvolver um token de hardware para rastrear contatos sociais, mantendo a privacidade. Assim nasceu o “ Simmel ”. A solução não é perfeita, mas o Simmel ainda tem recursos de privacidade importantes:
- Forte isolamento de dados do usuário . Ao desativar a coleta e generalização de sensores de smartphones, nos livramos do risco de vazamento de dados de GPS ou outras informações de geolocalização. Também torna os ataques baseados em metadados contra a privacidade muito difíceis.
- . . , , . , .
- . , . ( ).
- . , , (, ).
Por que uma solução de hardware?
Uma solução de software não tem inúmeras vantagens?
A equipe da TraceTogether disse que Cingapura precisa de tokens de hardware para melhor atender aos cidadãos de baixa renda e usuários do iPhone. O primeiro não pode comprar um smartphone, enquanto o último só pode usar protocolos aprovados pela Apple, como a Notificação de Exposição (que não permite o rastreamento total do contato).
A solução da Simmel demonstra que sou fã de tokens de hardware, mas apenas do ponto de vista da privacidade. Aplicativos e smartphones em geral prejudicam a privacidade das pessoas. Se ela realmente incomoda você, deixe seu smartphone em casa. Abaixo está uma tabela explicativa. As cruzes vermelhas representam possíveis violações de privacidade conhecidas em determinados cenários de uso.
Um token de rastreamento (como sugere Cingapura) ajudará as autoridades a identificar sua localização e identidade. Tecnicamente, isso acontece quando você entrega um token a uma unidade de saúde. No entanto, é provável que as autoridades implantem dezenas de milhares de receptores na ilha para registrar o movimento de tokens em tempo real. Isso é um problema, mas compare com o seu smartphone, que geralmente transmite uma variedade de identificadores únicos e não criptografados, de IMEI a endereços MAC de Wi-Fi. Como todos esses identificadores não são anônimos por padrão, eles podem ser usados por qualquer pessoa, não apenas pelas autoridades, para identificá-lo e determinar sua localização. No entanto, a construção do TraceTogether não afeta significativamente o status quo em termos de ataques de "grande infraestrutura" à privacidade dos indivíduos.
É importante que o token use um esquema de anonimato para transferir o ID, de forma que não possa divulgar sua identidade ou dados de localização a terceiros, esta informação está disponível apenas para as autoridades. Compare isso com o scanner de cartão de identificação SafeEntry quando você tiver que entregar sua identificação à equipe nos quiosques SafeEntry. Esta é uma solução menos segura porque os funcionários podem ler seus dados (incluindo seu endereço residencial) digitalizando um cartão, portanto, há cruzes vermelhas nas colunas Localização e Identificação.
Voltando ao smartphone, "aplicativos regulares" - como Facebook, Pokemon Go, Grab, TikTok, Maps - são frequentemente instalados na maioria das resoluções. Esse smartphone divulga de forma ativa e constante sua localização, fotos e vídeos, chamadas telefônicas, dados do microfone e da lista de endereços, bem como dados NFC (usados para pagamento sem contato ou transferência de informações) para uma ampla gama de empresas. Embora toda empresa jure que "tornará anônimos" seus dados, há tantos dados transferidos que é suficiente pressionar quase um botão para anonimizá - los... Além do mais, seus dados são rastreados por agências de inteligência em todo o mundo, graças aos amplos poderes dos governos em todo o mundo para obter legalmente dados de provedores de serviços locais. Sem mencionar o risco constante de enfrentar intrusos, explorações ou interfaces falsas que são projetadas para convencer, enganar ou coagir você a revelar seus dados.
Digamos que você seja bastante paranóico e ative o modo avião no seu iPhone na maior parte do tempo. Você acha que não há nada com que se preocupar? Você está errado. Por exemplo, neste modo, o iPhone ainda usa um receptor GPS e NFC . Também descobri que o iPhone tem picos aleatórios e inexplicáveis na atividade de Wi-Fi.
Em geral, posso fornecer os seguintes argumentos principais a favor do fato de que um token de hardware protege a privacidade melhor do que um aplicativo:
Não há coleta e generalização de dados de diferentes sensores
Os dados coletados pelo token são severamente limitados pelo fato de não ser capaz de resumir informações de diferentes sensores, como fazem os smartphones. E embora eu tenha trabalhado com o dispositivo por apenas uma hora, posso dizer com grande confiança que o TraceTogether dificilmente tem outros recursos além do transmissor Bluetooth de baixa energia (BLE) necessário. Onde eu consegui isso? É tudo uma questão de física e economia:
- : , . , , ? , , BLE.
- : , . , , . .
Bateria TraceTogether 1000 mAh. A bateria do seu smartphone tem quase três vezes a capacidade e requer recarga diária.
Os argumentos financeiros são mais fracos do que os físicos, porque as autoridades sempre podem preparar um número limitado de tokens "especiais" de qualquer valor para rastrear pessoas selecionadas individualmente. Porém, neste caso, a física desempenha um papel: nenhuma quantia de dinheiro investida pelas autoridades no desenvolvimento pode violar as leis da física. Se Cingapura puder desenvolver uma bateria enorme que, neste formato, alimentará um sensor de smartphone por meses - bem, digamos, o mundo será completamente diferente.
Hegemonia cívica sobre estatísticas de contato social
Se assumirmos que a versão final do TraceTogether não permite o uso de BLE para ler dados (espero que possamos confirmar isso em um hackathon futuro), os cidadãos terão controle absoluto sobre suas estatísticas de contato, pelo menos até que as transmitam a alguém.
Assim, as autoridades, provavelmente sem querer, estão pressionando as pessoas para resistir ao sistema TraceTogether: uma pessoa pode quebrar seu token e "desconectar-se" a qualquer momento (mas apenas retire a bateria primeiro, caso contrário, você pode incendiar o apartamento). Aja com mais cuidado e “esqueça o crachá em casa” ou use-o em um envelope metalizado para bloquear o sinal. A incorporação física do token também significa que, após a pandemia ser controlada, a destruição dos tokens também significará a destruição dos dados neles, ao contrário do aplicativo. Na verdade, muitas vezes, quando você desinstala o software, o ícone simplesmente desaparece da tela e alguns arquivos de dados permanecem nas entranhas do dispositivo.
Em outras palavras, a implementação física do token significa que uma discussão séria sobre privacidade pode acompanhar a coleta de dados sobre contatos sociais. Mesmo se hoje você não tiver certeza sobre os méritos do TraceTogether, usar um token permite adiar a decisão final de confiar nas autoridades até que seja solicitado que você entregue o token para extração de dados.
Se for descoberto que as autoridades estão usando receptores BLE na ilha, ou um token estranho de um dispositivo suspeito for encontrado, então o governo corre o risco de perder não apenas a confiança das pessoas, mas também o acesso ao gráfico de rastreamento de contato completo, porque as pessoas começam a se livrar dos tokens em massa. Ele restaura um certo equilíbrio de poder onde o governo pode e será responsabilizado por seu contrato social, mesmo se todos coletarmos dados de rastreamento de contatos.
Próximos passos
Quando me pediram para fazer uma revisão independente do token TraceTogether, respondi que não esconderia nada - e para minha surpresa, eles ainda me convidaram para uma reunião.
Este artigo descreve o contexto no qual avaliarei o token. Os recursos de notificação de exposição não são suficientes para isolar portadores assintomáticos do vírus, e um gráfico de rastreamento de contato completo pode ajudar a resolver esse problema.
A boa notícia é que o token de hardware representa uma oportunidade mais segura para continuar a discussão sobre privacidade enquanto melhora a coleta de dados. Em última análise, a implantação do sistema de token de hardware depende dos próprios cidadãos e, portanto, as autoridades devem manter ou ganhar nossa confiança a fim de salvaguardar os interesses nacionais durante a pandemia.