Controlo de Granularidade no Acesso

Existe ainda um problema que se pretende resolver nesta dissertação e que está diretamente ligada à privacidade dos dados. Este problema é a granularidade dos dados que são mostrados às aplicações que os pedem.

Numa arquitetura IoT convencional, no momento da elaboração de um pedido de acesso aos dados construído pela aplicação e após este pedido ter sido aceite pelo mecanismo de autorização implementado na plataforma - imaginando que esta deve poder aceder aos dados com toda a legitimidade - os dados chegarão ao consumidor, de alguma forma. Uma vez que não existe qualquer preocupação com a segurança dos dados e com a granularidade com que esta é armazenada pela plataforma IoT e apresentada à aplicação, a informação que a última terá a oportunidade de apresentar aos seus utilizadores será a informação tal e qual esta foi armazenada. Como os dados que foram armazenados (ignorando que tenham sido, eventualmente, aplicados mecanismos de cifra sobre eles) são os mesmos dados que foram produzidos e que abandonaram o seu dispositivo produtor, concluímos que os dados que são apresentados aos utilizadores das aplicações são exatamente os mesmos que foram originados pelos dispositivos produtores localizados na camada mais baixa de uma plataforma IoT.

Dado que os consumidores têm acesso aos dados originados pelos produtores na sua íntegra, ter-se-ia que estabelecer uma relação forte de confiança entre os utilizadores donos dos dispositivos produtores que fornecem os dados e as aplicações consumidoras que os iriam obter. Ou seja, caso não se aplique nenhum mecanismo de segurança que limite o nível de granularidade dos dados que o consumidor pode aceder, este necessita de ser fortemente confiável. Esta relação de confiança pode não ser suficiente para que se consiga manter os dados em questão privados. Não é uma relação de confiança estabelecida que irá impedir as pessoas, empresa ou entidades utilizadoras da aplicação consumidora de vazarem os dados, venderem-nos, utilizá-los ilegalmente

ou estudá-los de forma a inferir informações que podem ser sensíveis e deveriam ter-se mantido privadas para evitar o risco de inúmeros tipos de ataques, já anteriormente referidos. Por isso, esta relação não deverá existir. Para tal, e de forma a manter a privacidade dos dados, é necessário aplicar mecanismos de proteção contra a revelação dos dados produzidos na sua íntegra, introduzindo alguma generalidade aos mesmos. Um exemplo de generalização é a aplicação do k-anonimato mencionado anteriormente que é um mecanismo de anonimato de dados que os generaliza de forma a que não seja possível obter informações demasiado detalhadas sobre o originador de dados, mas de forma a que seja possível retirar destes informação suficientemente precisa e relevante de maneira a que torne a aplicação que consome os dados útil e desempenhe as funções com uma determinada precisão para que foi concebida.

É preciso, assim, encontrar o equilíbrio entre o nível de utilidade que os dados transformados têm para o consumidor e o nível de privacidade dos dados que é conferido ao produtor.

Uma generalização executada sobre os dados pode ser feita de diferentes formas conforme o nível de privacidade/utilidade que se pretende obter no final. Caso a gene- ralização seja demasiado leve, ou seja, a granularidade dos dados que seriam mostrados ao consumidor final seja demasiado baixa, o último teria a oportunidade de processar, apresentar ou fazer quaisquer outras ações sobre os dados de forma precisa, relevante e realmente útil. Todo este tratamento seria executado como se os dados em questão estivessem muito próximos dos dados verdadeiros, não generalizados/transformados. Esta questão traz um grande problema. Os consumidores, ao terem acesso a informação com um nível de granularidade tão baixo, resultaria num nível de segurança e privaci- dade da informação muito baixo, uma vez que os consumidores poderiam deduzir muito facilmente os dados reais dada a extrema aproximação da generalização com o detalhe real originalmente produzido. Tal falta de privacidade origina graves problemas, como foi discutido anteriormente. Como exemplo, imaginemos que um dispositivo produtor de dados tira uma fotografia e essa fotografia, antes de ser enviada para a rede IoT, é desfocada ligeiramente, ou seja, foi aplicado um filtro de desfocagem muito leve na imagem que quase que permite a sua visualização detalhada. Após esta transformação, a imagem é enviada (cifrada) para ser armazenada pela plataforma. Assim que a imagem chega até a uma aplicação de visualização de imagens (consumidora), esta é decifrada e mostrada desfocada. Como o nível de desfocagem é demasiado leve, é possível ver ou deduzir o seu conteúdo, tornando a aplicação útil, uma vez que mostra a imagem com um certo nível de detalhe, suficiente para o propósito final (por exemplo, verificação do nível de luminosidade do local onde foi tirada a fotografia). Contudo, o elevado nível de utilidade vem com um preço. O preço é o baixo nível de privacidade. Devido à grande quantidade de detalhe apresentado, é possível através da aplicação retirar mais

informações (úteis a atacantes ou outras entidades) sobre a imagem, como por exemplo, as cores de carros que estejam estacionados no referido local.

Caso a generalização seja demasiado forte, ou seja, a granularidade dos dados que seriam mostrados ao consumidor final seja demasiado elevada, o último não conseguiria processar, apresentar ou fazer quaisquer outras ações sobre os dados de forma tão precisa, tão relevante e tão útil como no caso anterior. Todo este tratamento seria executado como se os dados em questão estivessem muito afastados dos dados verdadeiros, não generalizados/transformados. Esta questão traz um grande benefício, relativamente ao caso anterior. Os consumidores, ao terem acesso a informação com um nível de granularidade tão elevado, resultaria num nível de privacidade da informação muito alto, uma vez que os consumidores não poderiam deduzir com facilidade os dados reais dado o extremo afastamento da generalização com o detalhe real originalmente produzido. Recorreremos ao mesmo exemplo que antes, o exemplo da fotografia, sendo que, desta vez, a fotografia, em vez de ser desfocada ligeiramente, será altamente desfocada sem que quase seja possível deduzir o seu conteúdo. Foi, então, aplicado um filtro de desfocagem muito pesado na imagem. Assim que a imagem chega até a uma aplicação de visualização de imagens (consumidora), esta é decifrada e mostrada desfocada. Como o nível de desfocagem é demasiado alto, não é possível ver ou deduzir o seu conteúdo, tornando a aplicação muito mais inútil e podendo, até, ser insuficiente para atingir o propósito final original de conceção da aplicação, uma vez que esconde todo, ou grande parte, do detalhe da imagem. Contudo, o diminuto nível de utilidade vem com uma grande vantagem. Ela é o alto nível de privacidade da imagem. Devido à baixa quantidade de detalhe apresentado, não é possível através da aplicação retirar muitas mais informações (úteis a atacantes ou outras entidades) sobre a imagem, como por exemplo, as cores de carros que estejam estacionados num determinado local.

A conclusão a retirar é que é necessário encontrar um mecanismo que esconda suficientemente bem os dados para garantir a privacidade dos produtores mas que sejam suficientemente úteis de forma a serem úteis para os consumidores.

A analogia feita acima com a imagem, pode ser aplicada a conjuntos de valores medidos por medidores de água inteligentes de uma residência, por exemplo. Onde o produtor dos dados é o medidor inteligente e o consumidor é uma aplicação desenvolvida por uma empresa que pretende estudar padrões de consumo de água sobre um conjunto de residências no país.

Nesta dissertação, também se procura resolver o problema da divulgação de in- formação privada na sua íntegra às diferentes aplicações, mesmo aquelas cujo acesso a essa informação seja permitida (autorizada). Isto porque não é possível manter a privacidade e a segurança dos dados de um utilizador caso estes sejam acedidos por outros consumidores, por mais confiáveis e corretos que estes sejam. A confiança não

impede que os consumidores abusem da informação e nada os impede de executar procedimentos maliciosos/ilegais com eles, pois os donos originadores da informação podem nunca vir a saber de tal, perdendo o controlo total sobre informação que pode ser sensível para os utilizadores.