Varios expertos en seguridad y privacidad informática del Reino Unido han firmado una carta abierta para aumentar la transparencia y las preocupaciones de la misión sobre el enfoque nacional para desarrollar una aplicación de rastreo de contactos de coronavirus.
La carta, firmada por 177 académicos, sigue una carta similar a principios de este mes firmada por alrededor de 300 académicos de todo el mundo, que instó a la precaución sobre el uso de tales herramientas tecnológicas y pidió a los gobiernos que opten por implementar el seguimiento de contactos digitales para usar la privacidad. técnicas y sistemas de preservación.
“Instamos a que los beneficios para la salud de una solución digital sean analizados en profundidad por especialistas de todas las disciplinas académicas relevantes, y suficientemente probados para ser de valor para justificar los peligros involucrados “, escriben ahora los académicos del Reino Unido, dirigiendo su atención a NHSX, la revista digital. brazo del Servicio Nacional de Salud que ha estado trabajando en la creación de una aplicación de rastreo de contactos digitales desde principios de marzo.
“Se ha informado que NHSX está discutiendo un enfoque que registra centralmente la identificación anonimizada de una persona infectada y también las identificaciones de todas aquellas personas con quienes la persona infectada ha estado en contacto. Esta instalación permitiría (a través del avance de la misión) una forma de vigilancia “.
Ayer, el CEO de NHSX, Matthew Gould, estaba presentando pruebas ante el comité de Ciencia y Tecnología del parlamento del Reino Unido. Defendió el enfoque que está adoptando: afirma que la próxima aplicación usa solo “una medida de centralización”, y argumenta que es una “falsa dicotomía” decir que descentralizado es seguro para la privacidad y centralizado no.
Continuó describiendo un par de escenarios que sugirió mostrar por qué es necesario centralizar los datos en la vista de NHSX. Pero en la carta, los académicos del Reino Unido ponen en duda la validez del reclamo central, escribiendo que “Hemos visto consejos contradictorios de diferentes grupos sobre la cantidad de datos que necesitan los equipos de salud pública“.
“Sostenemos que deben aplicarse los principios habituales de protección de datos: recopilar los datos mínimos necesarios para lograr el objetivo de la aplicación “, continúan. “Sostenemos que es vital que si se quiere generar la confianza necesaria en la aplicación, el nivel de datos recopilados se justifica públicamente por los equipos de salud pública, lo que demuestra por qué esto es realmente necesario en lugar de ser simplemente la forma más fácil o agradable”. han dado los peligros involucrados y la naturaleza invasiva de la tecnología “.
Europa ha visto un intenso debate en las últimas semanas sobre la elección de la arquitectura de la aplicación para las aplicaciones de rastreo de contactos de coronavirus respaldadas por el gobierno, con diferentes coaliciones formando para respaldar enfoques descentralizados y centralizados y algunos gobiernos presionando a Apple para que respalde al caballo contrario con una API multiplataforma para aplicaciones nacionales de rastreo de contactos de coronavirus que está desarrollando con el fabricante de Android Google.
La mayoría de las aplicaciones nacionales en proceso en la región están diseñadas para usar la proximidad de Bluetooth como un proxy para calcular el riesgo de infección, con los dispositivos de los usuarios de teléfonos inteligentes intercambiando identificadores con seudónimo cuando están cerca unos de otros. Sin embargo, a los expertos en privacidad les preocupa que los almacenes centralizados de identificaciones se arriesguen a crear sistemas de vigilancia estatal, ya que la autoridad que controla el servidor podría volver a identificar los datos.
Se han propuesto sistemas descentralizados alternativos, utilizando un sistema p2p con ID almacenados localmente. El riesgo de infección también se calcula en el dispositivo, con un servidor de retransmisión utilizado solo para enviar notificaciones a los dispositivos, lo que significa que los datos de gráficos sociales no se exponen sistemáticamente.
Aunque esta estructura requiere que las identificaciones de las personas que han sido confirmadas infectadas se transmitan a otros dispositivos, lo que significa que existe la posibilidad de ataques de interceptación y reidentificación a nivel local.
En esta etapa, es justo decir que el impulso en Europa está detrás de los enfoques descentralizados para las aplicaciones de rastreo de contactos nacionales. En particular, el gobierno de Alemania cambió de respaldar previamente un enfoque centralizado a descentralizado a principios de esta semana, uniéndose a varios otros (incluidos Estonia, España y Suiza), lo que deja a Francia y al Reino Unido como los patrocinadores de más alto perfil de los sistemas centralizados por ahora.
Francia también está viendo un debate de expertos sobre el tema. A principios de esta semana, varios académicos franceses firmaron una carta expresando inquietudes sobre arquitecturas centralizadas y descentralizadas, argumentando que “debe haber evidencia importante para justificar los riesgos incurridos” de usar tales herramientas de seguimiento.
En el Reino Unido, las preocupaciones clave que se adjuntan a la aplicación NHSX no son solo el riesgo de que los datos de gráficos sociales sean centralizados y reidentificados por el estado, sino también el alcance del alcance / función.
Gould dijo ayer que la aplicación repetirá, y agregó que las versiones futuras podrían pedirle a la gente que renuncie voluntariamente a más datos, como su ubicación. Y si bien el NHSX ha dicho que el uso de la aplicación será voluntario, si se incorporan múltiples funciones que podrían generar dudas sobre la calidad del consentimiento y si el avance de la misión se está utilizando como palanca para hacer cumplir la captación pública.
Otra preocupación es que una rama pública de la agencia de espionaje nacional, GCHQ, También ha participado en el asesoramiento sobre la arquitectura de la aplicación. Y ayer Gould esquivó las preguntas directas del comité sobre si el Centro Nacional de Seguridad Cibernética (NCSC) había estado involucrado en la decisión de seleccionar una arquitectura centralizada.
También puede haber más preocupaciones en ese frente. Hoy, el HSJ informa que el secretario de salud Matt Hancock recientemente otorgó nuevos poderes a las agencias de inteligencia del Reino Unido, lo que significa que pueden exigir al NHS que revele cualquier información relacionada con “la seguridad” de las redes y los sistemas de información del servicio de salud durante la pandemia.
Es poco probable que tales enlaces a los fantasmas amantes de la base de datos apaguen los temores de privacidad.
También existe preocupación acerca de cuán involucrado ha estado el guardián de datos del Reino Unido en los detalles del proceso de diseño de la aplicación. La semana pasada, se informó que el director ejecutivo de ICO, Simon McDougall, dijo en un foro público que no había visto planes para la aplicación, aunque la agencia emitió un comunicado el 24 de abril diciendo que estaba trabajando con NHSX “para ayudarlos a asegurar nivel de transparencia y gobernanza “.
Ayer Gould también le dijo al comité que NHSX publicaría evaluaciones de impacto de protección de datos (DPIA) para cada iteración de la aplicación, aunque aún no se ha publicado ninguna.
También dijo el software estaría “técnicamente” listo para lanzarse en unas pocas semanas, pero no pudo confirmar cuándo se publicaría el código para revisión externa.
En su carta, los académicos del Reino Unido piden a NHSX que publique un DPIA para la aplicación “inmediatamente “, en lugar de dejarlo justo antes del despliegue, para permitir el debate público sobre las implicaciones de su uso y para que ese escrutinio público pueda llevarse a cabo de las supuestas salvaguardas de seguridad y privacidad.
Los académicos también están llamando a la unidad. comprometerse públicamente a que no se creen bases de datos o bases de datos que permitan anonimizar a los usuarios del sistema (que no sean aquellos que se autoinforman como infectados) y que, por lo tanto, permitan que los datos se utilicen para construir los gráficos sociales de los usuarios.
También instan al NHSX a establecer detalles sobre cómo la aplicación se eliminará gradualmenteDespués de que la pandemia haya pasado, para “evitar el avance de la misión”.
Cuando se le preguntó por un compromiso en el punto de la base de datos, un portavoz de NHSX nos dijo que esa es una pregunta para el Departamento de Salud y Atención Social del Reino Unido y / o el NCSC, que no resolverá ninguna preocupación de privacidad sobre los planes más amplios del gobierno para los usuarios de aplicaciones ‘ datos.
También preguntamos cuándo NHSX publicará un DPIA para la aplicación. Al momento de escribir aún estábamos esperando una respuesta.
Source link