Tuesday, January 6th, 2009...11:32 pm

Prywatność w praktyce … i to nie tylko w sieci

Jump to Comments

Dyskusje o tożsamości w sieci często traktowane są przez użytkowników tegoż w sposób dosyć teoretyczny. Szybkość adaptacji w ramach serwisów rozwiązań takich jak OpenID czy CardSpace może wskazywać na to, że również twórcy serwisów poniekąd nie odczuwają tego problemu … ale ja nie o tym. Czasami okazuje się jednak, że problem ten ma wymiar bardzo praktyczny i to nawet nie w sieci a w tak zwanym życiu rzeczywistym.

Podczas tak zwanych świątecznych rozmów w gronie rodzinnym rozmawiałem z moim Tatą (pozdrowienia) o tym, jak to o mało co podpisał umowę na nowy telefon z operatorem GSM. O mało co dlatego, że jednym z elementów procedury było przekazanie operatorowi pełnego wyciągu z konta bankowego za okres ostatnich 3 miesięcy. Na pytanie “Po co?” skądinąd bardzo sensowne po stronie operatora raczej nie udało sie uzyskać sensownej odpowiedzi.

Ano właśnie … tylko po co właściwie im te informacje?

 

(cc) digitaura

Oczywiście zdaję sobię sprawę, że w ten sposób próbują przeprowadzić proces weryfikacji użytkownika pod kątem zdolności finansowej. Czy jednak potrzebują w tym celu informacji o tym w jakim sklepie robiłem zakupy i na jaką kwotę, lub jakie serwisy on-line opłacam ze swojego konta??? Nie. W zasadzie potrzebują tylko określenia przez Bank czy mój miesięczny bilans finansowy jest dodatni czy ujemny lub też czy według Banku posiadam zdolność kredytową do danej kwoty.

I tutaj dochodzimy do tego co nazywa się  claims based identity. Przekładając to na działanie w sieci, wystarczające w takim wypadku byłob gdyby osoba próbująca zakupić określoną usługę mogła przedstawić wystawiony przez Bank zestaw poświadczeń (claim) stwierdzający czy dana osoba posiada określoną zdolność kredytową lub dodatni bilans konta w ciągu określonego okresu czasu. Tylko tyle i aż tyle :). Technologicznie nie jest to wcale trudne …

Odnosząc jeszcze opisaną powyżej sytuacje do Laws of Identity to jest ona klasycznym przykładem naruszeniem drugiego z tych praw czyli “Minimal Disclosure for a Constrained Use”, które w uproszczonej i skróconej wersji brzmi:

The minimum information needed for the purpose at hand should be released, and only to those who need it. Details should be retained no longer than necesary.

W jeszcze większym skrócie, i w języku Słowian w takim przypadku operator GSM ma prawo od nas żądąć tylko minimalnego zakresu informacji wymaganej dla danej operacji. W tym wypadku żądana informacja napewno była nadmiarowa względem potrzeb a i gwarancji jej usunięcia (niszczarka??) nie mamy.

I to jest właśnie przykład sytuacji, w której niby teoretyczne rozważania o tożsamości \ prywatności i jej ochrony stają się jak najbardziej praktyczne.

 

Małe PS. Co do prywatności w sieci jeszcze i ochrony potencjalnie wrażliwych informacji to ostatnio mi się mała lampka zapaliła gdy usłyszałem o powstaniu portalu naszechoroby. Cóż, mam nadzieję że jego twórcy nie będą chcieli nigdy łączyć tych danych z innymi serwisami itp. I dobrze go zabezpieczyli.

8 Comments

  • Podejrzewam, że jeszcze trochę czasu upłynie, zanim będziemy mieli możliwość otrzymania w prosty sposób odpowiednich poświadczeń od banku. Co do nadmiarowości danych to zgadzam się z tobą w 100%.
    Niestety operatorzy prześcigając się w promocjach, jakości obsługi klienta, etc. Szukają oni raczej sposobów na bardzo szybką weryfikację, bez ponoszenia dodatkowych kosztów. W wyniku czego proszą o wyciągi z ostatnich X miesięcy. Klienci nie korzystający z internetu otrzymują takie wyciągi pocztą, reszta może je w 10 minut wydrukować.

    Ludzie bardzo często nie zastanawiają się czy aby na pewno przekazane informacje są bezpieczne:( Można powiedzieć, że 90% osób jest zadowolona bo:
    – nie musi zdobywać zaświadczenia o zarobkach
    – nie musi przynosić dodatkowych papierków

  • Ostatnio albo ja mam więcej szczęścia albo rozmaitym urzędom i firmom już przeszło. Ale kiedyś nagminne było rzucanie przez panie w okienkach tekstu “to ja jeszcze muszę skserować pana dowód”.
    Wiele razy pytałem po co, ale odpowiedzi innej niż “taką mamy procedurę” nigdy nie uzyskałem. W efekcie zacząłem odpowiadać, że się nie zgadzam. Różne rzeczy się wtedy działy, ale najczęściej okazywało się, że to w sumie żaden problem i sprawa była załatwiana pozytywnie.
    Pokutuje chyba w nas trochę
    (choć już coraz mniej!) podejście do urzędów, w którym:
    a) jaśnie urząd (operator GSM, ubezpieczyciel samochodu, bank itp.) udziela łaski wyświadczenia nam usługi, więc należy trwać w pokłonie i grzecznie potakiwać
    b) urząd i tak wie wszystko, więc niech ma o co prosi

  • Z tym naszechoroby to chyba żartujesz? Z tą nadzieją?

    Przecież to jest oparte na jakimś pudełkowym produkcie, na oko ciężko napisanym (ehh te urle: http://www.naszechoroby.pl/statki/flota/40/choroby-serca.html Statki? Flota? WTF?)

  • @Witek
    Ano .. masz racje … za bardzo się temu nie przyglądałem. Tym bardziej nie wróżę temu dobrej przyszłości … jeżeli faktycznie ktoś z tego będzie korzystał to prędzej czy później jakiś problem wyniknie.

    Pytia jaka czy co … 🙂

  • @t.onyszko: a ja jestem się gotów założyć, że naszechoroby w ciągu mniej niż roku nawiążą współpracę z NK (choroby Twoich znajomych) albo portal zostanie zakupiony przez którąś z dużych korporacji farmaceutycznych:)

  • No jak to „po co”? — żeby dobrze wyprofilować spam < ;.

  • […] Pisałem niedawno o tym, jak pewien operator GSM próbował przekonać mojego szanownego Tatę do przekazania pewnych w zasadzie wrażliwych informacji o sobie. Pisałem też co o tym myślę. Cóż … nie minęła chwila i trafiło i na mnie. W zeszłym tygodniu odbyłem taką to (z dokładnością do mojej pamięci rozmowę telefoniczną): [Operator] Dzień dobry, bardzo mi miło, czy mam przyjemność z …. [Ja] Tak <chociaż uważam że powinien się najpierw przedstawić> [Operator] Witam, nazywam się XYZ i dzownię do Pana w imieniu Banku X we współpracy z naszym partnerem <i tutaj nazwa jednego z operatorów sieci GSM> [Ja] Słucham [Operator] Chciałbym przedstawić Panu super hiper ofertę dotyczącą … ale najpierw muszę uzyskać od Pana odpowiedź na jedno pytanie – czy zarabia pan powyżej X […]

  • […] kstilger on Jan.07, 2009, under general, tech Tomek Onyszko w swoim blogu zamieścił ciekawy wpis na temat prywatności w Internecie i poza nim. Zachęcam do […]

Leave a Reply