Selama pandemi, Komisi Eropa mendekati saya dengan proposal untuk mengembangkan token pelacakan kontak sosial yang dilindungi privasi, yang dapat Anda baca di halaman proyek Simmel . Dan segera, Singapura mengumumkan pengembangan token TraceTogether. Sebagai bagian dari acara ini, saya diundang untuk berpartisipasi dalam meninjau solusi mereka... Urgensi situasi COVID-19 dan kompleksitas signifikan dalam menciptakan rantai pasokan mengarah pada fakta bahwa kami berada dalam situasi dengan roda pendaratan pesawat yang menyentuh landasan. Mengingat banyaknya masalah privasi dan teknologi, situasinya rumit dan tidak dapat ditangkap dalam serangkaian tweet. Oleh karena itu, kesan saya akan saya uraikan dalam bentuk esai pendek. Karena saya berhasil bekerja dengan TraceTogether hanya selama satu jam, sebagian besar saya akan berbicara tentang konteks di mana saya akan mengevaluasi token ini.
Melacak kontak sosial
Idenya sederhana: jika Anda sakit, Anda perlu mengidentifikasi orang-orang yang pernah Anda hubungi dekat dan memeriksa apakah mereka sakit. Jika dilakukan dengan cukup cepat, penyebaran COVID-19 dapat diatasi dan sebagian besar masyarakat akan tetap berfungsi normal.
Tetapi ada beberapa kehalusan dalam implementasi yang saya coba cerna. Vivian Balakrishnan, Akting Minister of the Smart Nation Initiative , secara singkat menginformasikan kepada kami pada pertemuan tersebut bahwa sistem Exposure Notification yang dikembangkan oleh Apple dan Google tidak menunjukkan "grafik". Untuk memahami betapa pentingnya bagi ahli epidemiologi untuk membuat grafik kontak, saya menggambar beberapa diagram untuk menggambarkan skenario pelacakan kontak.
Mari kita mulai dengan skenario paling sederhana.
Diagram menunjukkan dua orang. Pada hari pertama Orang 1 sudah terinfeksi, tetapi gejalanya ringan. Di tengah hari, dia berhubungan dengan Orang 2. Setelah masa inkubasi singkat, Orang 2 menjadi menular di penghujung hari kedua. Selama waktu ini, dia mungkin tidak menunjukkan gejala. Di masa depan, dia mungkin menginfeksi dua lagi. Contoh tersebut menunjukkan bahwa jika Orang 2 diisolasi cukup dini, dua infeksi baru dapat dicegah.
Sekarang mari kita lihat skenario yang lebih kompleks tanpa pelacakan kontak. Kami akan terus menganggap Human 1 sebagai pembawa dengan gejala ringan atau tanpa gejala, tetapi pada saat yang sama menular: inilah yang disebut " supercarrier ".
Grafik ini menunjukkan garis waktu delapan orang. Orang 1 sepenuhnya bertanggung jawab untuk menginfeksi beberapa orang selama beberapa hari. Perhatikan bahwa masa inkubasi sebelum seseorang menjadi menular berbeda untuk setiap orang. Selain itu, penyakit menular mungkin tidak disertai gejala.
Sekarang mari tambahkan pelacakan kontak.
Skenarionya sama, tetapi dengan "cita-cita platonis" pelacakan kontak dan isolasi. Orang ke-4 mengalami gejala, tes dan tes positif pada hari keempat. Semua kontak dengannya diisolasi, dan lusinan kolega serta teman-temannya menghindari infeksi di masa mendatang. Yang penting, analisis grafik kontak juga memungkinkan untuk identifikasi kontak umum antara Orang 4 dan Orang 2, sehingga mengidentifikasi Orang 1, yang merupakan pembawa asimtomatik asli.
Ada sedikit perbedaan antara "pelacakan kontak" dan "pemberitahuan kontak". Sistem Pemberitahuan Paparan dari Apple dan Google hanya memberi tahu kontak langsung dari orang yang terinfeksi. Arti penting dari kehalusan ini diisyaratkan oleh fakta bahwa ini awalnya disebut "Pelacakan Kontak dengan Protokol Kerahasiaan", tetapiitu diganti namanya pada bulan April.
Untuk lebih memahami batasan memberi tahu kontak yang terinfeksi, mari kita lihat skenario lain. Ini mirip dengan yang sebelumnya, hanya saja alih-alih melacak seluruh grafik, kami hanya akan memberi tahu kontak langsung dari orang pertama yang memiliki gejala - yaitu, Orang 4.
Jika terbatas pada pemberitahuan, pembawa dengan gejala ringan atau tanpa gejala, seperti Orang 1, akan menerima pemberitahuan yang menyesatkan bahwa mereka telah berhubungan dengan orang yang positif, padahal sebenarnya Orang 1 yang menginfeksi Orang 4 dengan virus tersebut. Orang ke-1 - merasa baik tetapi menular - akan terus hidup seperti biasa, terlepas dari keterkejutannya bahwa seluruh lingkungannya terinfeksi virus. Oleh karena itu, beberapa infeksi tidak dapat dihindari. Selain itu, Orang 2 adalah node tersembunyi dalam hubungannya dengan Orang 4, karena Orang 2 tidak termasuk dalam daftar pemberitahuan kontak langsung Orang 4.
Singkatnya, sistem Pemberitahuan Paparan itu sendiri tidak memungkinkan untuk menentukan hubungan sebab-akibat dari infeksi. Grafik kontak lengkap membantu mengidentifikasi pembawa dengan gejala ringan atau tanpa gejala. Selain itu, telah diketahui bahwa sebagian besar pembawa tidak bergejala. Orang-orang ini menular, tetapi mereka merasa nyaman dan mengunjungi stasiun metro yang ramai, makan di tempat umum. Dalam kondisi Singapura, pembawa asimtomatik dapat membuat lusinan kelompok infeksi baru dalam beberapa hari, jika tidak berjam-jam, berbeda dengan negara berpenduduk kurang padat seperti Amerika Serikat, di mana yang terinfeksi hanya dapat menghubungi beberapa orang pada siang hari.
Ketidakmampuan untuk segera mengidentifikasi dan mengisolasi pembawa super dengan gejala ringan mendorong pengembangan perangkat TraceTogether, yang memungkinkan pelacakan kontak sosial dengan pembuatan grafik lengkap.
Tentang privasi dan pelacakan kontak
Tentu saja, pelacakan kontak penuh memiliki implikasi privasi yang sangat serius. Dan tidak adanya pelacakan ini memiliki potensi risiko kesehatan dan kehidupan yang signifikan. Ada solusi yang terbukti tidak melanggar privasi: penguncian lanjutan, seperti pemutus sirkuit otomatis. Tentunya hal ini membutuhkan biaya tambahan.
Dari tiga elemen - privasi, kesehatan dan ekonomi - kita hanya dapat memilih dua. Ada perdebatan aktif tentang topik ini, tetapi ini di luar cakupan artikel. Dari sudut pandang diskusi, anggaplah pelacakan kontak sedang diterapkan. Dalam hal ini, adalah tanggung jawab teknisi seperti kami untuk mencoba menemukan kompromi antara mengurangi privasi dan mempromosikan kebijakan publik.
Di awal April, sampai Sean Cross dan aku lewatNLnet didekati oleh perwakilan program NGI Komisi Eropa dan diusulkan untuk mengembangkan token perangkat keras untuk melacak kontak sosial sambil menjaga privasi. Beginilah “ Simmel ” lahir . Solusinya tidak sempurna, tetapi Simmel masih memiliki fitur privasi penting:
- Isolasi yang kuat dari data pengguna . Dengan menonaktifkan pengumpulan dan generalisasi dari sensor ponsel cerdas, kami menghilangkan risiko kebocoran data GPS atau informasi geolokasi lainnya. Itu juga membuat serangan berbasis metadata terhadap privasi menjadi sangat sulit.
- . . , , . , .
- . , . ( ).
- . , , (, ).
Mengapa solusi perangkat keras?
Bukankah solusi perangkat lunak memiliki banyak keuntungan?
Tim TraceTogether mengatakan Singapura membutuhkan token perangkat keras untuk melayani warga berpenghasilan rendah dan pengguna iPhone dengan lebih baik. Yang pertama tidak mampu membeli smartphone, sedangkan yang terakhir hanya dapat menggunakan protokol yang disetujui Apple seperti Pemberitahuan Paparan (yang tidak memungkinkan pelacakan kontak penuh).
Solusi Simmel menunjukkan bahwa saya adalah penggemar token perangkat keras, tetapi hanya dari perspektif privasi. Aplikasi dan ponsel cerdas secara umum membahayakan privasi orang lain. Jika dia benar-benar mengganggu Anda, tinggalkan ponsel cerdas Anda di rumah. Di bawah ini adalah tabel penjelasan. Tanda silang merah menunjukkan potensi pelanggaran privasi yang diketahui dalam skenario penggunaan tertentu.
Token pelacakan (seperti yang disarankan Singapura) akan membantu pihak berwenang mengidentifikasi lokasi dan identitas Anda. Secara teknis, ini terjadi ketika Anda menyerahkan token ke fasilitas kesehatan. Namun, kemungkinan pihak berwenang akan mengerahkan puluhan ribu penerima di pulau itu untuk merekam pergerakan token secara real time. Ini adalah masalah, tetapi bandingkan dengan ponsel cerdas Anda, yang biasanya mengirimkan berbagai pengenal unik dan tidak terenkripsi, dari IMEI ke alamat MAC Wi-Fi. Karena semua pengenal ini tidak dianonimkan secara default, mereka dapat digunakan oleh siapa saja, bukan hanya pihak berwenang, untuk mengidentifikasi Anda dan menemukan Anda. Namun, pembangunan TraceTogether tidak secara signifikan mempengaruhi status quo dalam hal serangan "infrastruktur besar" terhadap privasi individu.
Penting agar token menggunakan skema anonimisasi untuk mentransfer ID, sehingga tidak dapat mengungkapkan identitas atau data lokasi Anda kepada pihak ketiga, informasi ini hanya tersedia untuk pihak berwenang. Bandingkan ini dengan pemindai kartu ID SafeEntry ketika Anda harus menyerahkan ID Anda kepada staf di kios SafeEntry. Ini adalah solusi yang kurang aman karena karyawan dapat membaca data Anda (termasuk alamat rumah Anda) dengan memindai kartu, itulah sebabnya ada tanda silang merah di kolom Lokasi dan Identifikasi.
Kembali ke smartphone, "aplikasi biasa" - seperti Facebook, Pokemon Go, Grab, TikTok, Maps - sering kali dipasang di sebagian besar resolusi. Ponsel cerdas semacam itu secara aktif dan terus-menerus mengungkapkan lokasi Anda, foto dan video, panggilan telepon, data dari mikrofon dan dari buku alamat, serta data NFC (digunakan untuk pembayaran nirsentuh atau transfer informasi) ke berbagai perusahaan. Meskipun setiap perusahaan bersumpah akan "menganonimkan" data Anda, ada begitu banyak data yang ditransfer sehingga cukup menekan satu tombol untuk membatalkan anonim... Terlebih lagi, data Anda dilacak oleh badan intelijen di seluruh dunia, berkat kekuatan besar pemerintah di seluruh dunia untuk mendapatkan data secara legal dari penyedia layanan lokal. Belum lagi risiko terus-menerus menghadapi penyusup, eksploitasi, atau antarmuka palsu yang dirancang untuk meyakinkan, menipu, atau memaksa Anda mengungkapkan data Anda.
Katakanlah Anda cukup paranoid dan cukup sering mengaktifkan mode pesawat di iPhone Anda. Apakah menurut Anda tidak ada yang perlu dikhawatirkan? Anda salah. Misalnya pada mode ini, iPhone masih menggunakan GPS receiver dan NFC . Saya juga menemukan bahwa iPhone memiliki lonjakan aktivitas Wi-Fi secara acak dan tidak dapat dijelaskan.
Secara umum, saya dapat memberikan argumen utama berikut yang mendukung fakta bahwa token perangkat keras melindungi privasi lebih baik daripada aplikasi:
Tidak ada pengumpulan dan generalisasi data dari sensor yang berbeda
Data yang dikumpulkan oleh token sangat dibatasi oleh fakta bahwa ia tidak dapat meringkas informasi dari berbagai sensor, seperti yang dilakukan oleh smartphone. Dan meskipun saya hanya bekerja dengan perangkat ini selama satu jam, saya dapat mengatakan dengan keyakinan tinggi bahwa TraceTogether hampir tidak memiliki kemampuan lain selain pemancar Bluetooth Low-Energy (BLE) yang diperlukan. Dimana saya mendapatkannya? Ini semua tentang fisika dan ekonomi:
- : , . , , ? , , BLE.
- : , . , , . .
TraceTogether baterai 1000 mAh. Baterai ponsel cerdas Anda kira-kira memiliki kapasitas tiga kali lipat dan perlu diisi ulang setiap hari.
Argumen keuangan lebih lemah daripada argumen fisik, karena pihak berwenang selalu dapat menyiapkan sejumlah token "khusus" dengan nilai berapa pun untuk melacak orang yang dipilih secara individual. Namun, dalam hal ini, fisika berperan: tidak ada jumlah uang yang diinvestasikan oleh otoritas dalam pembangunan yang dapat melanggar hukum fisika. Jika Singapura dapat mengembangkan baterai masif yang dalam faktor bentuk ini akan memberi daya pada sensor ponsel cerdas selama berbulan-bulan - katakanlah, dunia akan sangat berbeda.
Hegemoni sipil atas statistik kontak sosial
Jika kami berasumsi bahwa versi final TraceTogether tidak mengizinkan penggunaan BLE untuk membaca data (saya harap kami akan mengonfirmasi hal ini di hackathon mendatang), maka warga negara memiliki kendali mutlak atas statistik kontak mereka, setidaknya sampai mereka menyebarkannya kepada seseorang.
Dengan demikian, pihak berwenang, mungkin secara tidak sengaja, mendorong orang untuk menolak sistem TraceTogether: seseorang dapat merusak tokennya dan "keluar" kapan saja (tetapi cukup keluarkan baterainya terlebih dahulu, jika tidak Anda dapat membakar apartemen). Bertindak lebih hati-hati dan "lupakan lencana di rumah", atau kenakan dalam amplop logam untuk memblokir sinyal. Perwujudan fisik token juga berarti bahwa setelah pandemi dikendalikan, penghancuran token juga berarti penghancuran data di dalamnya, tidak seperti aplikasi. Memang, seringkali ketika Anda menghapus perangkat lunak, ikonnya menghilang begitu saja dari layar, dan beberapa file data tetap ada di dalam perangkat.
Dengan kata lain, implementasi fisik token berarti bahwa diskusi privasi yang serius dapat berjalan seiring dengan pengumpulan data tentang kontak sosial. Bahkan jika hari ini Anda tidak yakin tentang manfaat TraceTogether, mengenakan token memungkinkan Anda untuk menunda keputusan akhir apakah akan mempercayai pihak berwenang sampai Anda diminta untuk menyerahkan token untuk ekstraksi data.
Jika ternyata pihak berwenang menggunakan penerima BLE di pulau itu, atau ditemukan token aneh dari perangkat yang mencurigakan, maka risiko pemerintah tidak hanya kehilangan kepercayaan masyarakat, tetapi juga akses ke grafik pelacakan kontak penuh, karena orang-orang mulai membuang token secara massal. Ini memulihkan keseimbangan kekuasaan tertentu di mana pemerintah dapat dan akan dimintai pertanggungjawaban atas kontrak sosialnya, bahkan jika kita semua mengumpulkan data pelacakan kontak.
Langkah selanjutnya
Ketika saya diminta untuk melakukan tinjauan independen terhadap token TraceTogether, saya menjawab bahwa saya tidak akan menyembunyikan apa pun - dan yang mengejutkan saya, mereka masih mengundang saya ke pertemuan.
Artikel ini menjelaskan konteks di mana saya akan mengevaluasi token. Kemampuan pemberitahuan pemaparan tidak cukup untuk mengisolasi pembawa virus yang tidak bergejala, dan grafik pelacakan kontak lengkap dapat membantu memecahkan masalah ini.
Kabar baiknya adalah bahwa token perangkat keras mewakili peluang yang lebih aman untuk melanjutkan diskusi privasi sambil meningkatkan pengumpulan data. Pada akhirnya, penyebaran sistem token perangkat keras bergantung pada warga itu sendiri, dan oleh karena itu pihak berwenang harus menjaga atau mendapatkan kepercayaan kami untuk melindungi kepentingan nasional selama pandemi.