Privacy nell'era dei Social Network
In questo articolo parleremo delle principali problematiche che violano la privacy degli utenti, in modo esplicito o meno, in relazione all'uso dei social network.
I don't want to write an autobiography because I would become public property with no privacy left. - Stephen Hawking
Introduzione
Dai primi anni 2000 si è diffuso un fenomeno che oggigiorno è ormai preponderante ed interessa gli individui appartenenti a (quasi) qualunque fascia di età: l'utilizzo dei Social Network. In principio nati come semplici chat room, che in pochissimo tempo ebbero raggiunto milioni di utenti grazie alla contemporanea diffusione della rete Internet, a causa della continua offerta di servizi innovativi, quali la possibilità di condividere pensieri, foto, video, notizie, i social si sono evoluti nel concetto a cui siamo abituati a pensare oggi. Da un punto di vista sociologico, gli utenti sono ormai abituati a condividere la maggior parte, se non tutta, degli aspetti della loro vita con tutto il mondo. In molte circostanze si sente perfino il bisogno di far sapere ai propri amici/follower cosa si sta mangiando, visitando o facendo più in generale. Basti pensare alle famose stories - feature presenti in vari social come Snapchat, Instagram, Facebook che permettono di postare contenuti visibili per 24h - che rappresentano uno dei più diffusi metodi di condivisione di contenuti. Tuttavia, è necessario riflettere su queste abitudini e, più a fondo, sulle conseguenze da esse prodotte, le quali sono purtroppo invisibili agli occhi dei più o, comunque, sono oscurate in qualche modo da esigenze reputate con "maggiori priorità". Se il nocciolo della questione non si è ancora presentato, è sufficiente porsi una semplice domanda: chi si preoccupa della propria privacy nell'era della data economy?
In questa sezione ci occuperemo di analizzare le principali problematiche che violano la privacy degli utenti in modo esplicito o meno, in relazione all'uso dei social network, cercando di riflettere su possibili soluzioni - intese come forme di prevenzioni o tutele legislative - che si rifanno ad un ambito meno tecnico rispetto al quale siamo abituati a far riferimento noi informatici, introducendo i concetti chiave enunciati dal General Data Protection Regulation (GDPR).
Problema
Ricordiamo che la privacy (privatezza) è una meta-proprietà di sicurezza che riguarda il diritto di un'entità al controllo delle informazioni personali e di come queste vengano usate. È bene osservare che la privacy non è un concetto rilevante solamente in ambito cybersecurity, in quanto essa rappresenta un diritto umano giuridicamente inteso. Esposte tali premesse possiamo procedere con l'analisi dei principali problemi che violano la privacy degli utenti.
A questo scopo, è necessario riflettere che l'esempio dei social network può essere sostituito con quello dei dispositivi IoT - di cui abbiamo trattato precedentemente - in quanto il problema di fondo è analogo. Abbiamo dunque accennato che la noncuranza della privacy - in primis sui social network - da parte degli utenti porta inesorabilmente ad importanti conseguenze. Per esperienza personale, capita a volte di porre qualche domanda ad amici o conoscenti che inviti a riflettere sulla protezione ed il controllo delle proprie informazioni. La maggior parte di essi, almeno a primo impatto, sono soliti rispondere con la ridondante frase "tanto io non ho niente da nascondere". Qui un'ulteriore precisazione va fatta sulla relazione privacy-segretezza: questi due concetti non assumono lo stesso significato e, dunque, non sono da confondere. Così come non bisogna scambiare la confidenzialità con l'anonimato, il quale rappresenta un tipo particolare di privatezza che consiste nel mantenere la propria identità nascosta - ribadiamo che in generale l'assoluto anonimato propriamente detto non esiste ma si tende a raggiungerlo quanto più possibile. Comunque, volendo argomentare un possibile problema come risposta convincente al "niente da nascondere", assumiamo che ci fidiamo - il concetto di trust l'abbiamo già incontrato quando abbiamo trattato circa la certificazione - di Facebook, Twitter, Google o qualunque agenzia governativa in generale. Prendiamoci qualche minuto di pausa per riflettere alla seguente domanda qui lasciata (volutamente) parzialmente irrisolta: cosa succederebbe se tali servizi venissero hackerati ed i nostri dati finissero, di conseguenza, in mani sbagliate?
Fuori dal giusto contesto infatti, alcune informazioni riguardanti la vita personale - che siano affermazioni, immagini, video o post - potrebbero portare alla "distruzione" virtuale, e di conseguenza reale, dell'individuo. Basti pensare ad un personaggio famoso o ad una persona ricoprente una carica di un certo rilievo per lo Stato, per un'azienda o quant'altro.
Sebbene sia necessario ben più di una sezione per analizzare dettagliatamente i problemi relativi alla privacy, è doveroso ricordare che quando navighiamo su Internet siamo quasi sempre soggetti alla pubblicità mirata. Ciò significa che le nostre abitudini vengono registrate allo scopo di visualizzare pagine o prodotti che potrebbero interessarci - a tal proposito si veda anche browser fingerprinting, che consiste nell'identificazione di utenti anche quando i famosi cookie sono stati disabilitati. Ma, tornando a noi, chi ha dato il permesso a Google, Facebook, Amazon di raccogliere tutte queste informazioni ed utilizzarle per i targeted ads? È possibile comprendere la risposta riflettendo su un solo termine: le policy. Nessuno difatti legge le lunghe e noiose righe della sezione dedicata alle policy di un qualunque servizio - si rifletta in particolare anche sui permessi che forniamo alle applicazioni mobile, soprattutto laddove questi non sono necessari al loro funzionamento, e si veda la nuova feature di Android 10 che permette di fornire tali autorizzazioni "while in use". In tal modo si tende ad accettare i termini proposti senza rendersi conto di regalare parte della propria privacy al servizio in questione.
Un'ulteriore parentesi va aperta circa l'autenticazione: è fortunatamente diventato di moda l'utilizzo dell'autenticazione a più fattori - ricordiamo che i tre fattori dell'autenticazione sono conoscenza, possesso e biometria - che però solleva importanti problemi riguardanti la privacy degli utenti, nello specifico causati dall'utilizzo delle informazioni biometriche. Sebbene la biometria non è da considerare come sicura in ogni sua parte - a tal proposito si vedano Attacks on Biometric Systems, Security Vulnerabilities Against Fingerprint Biometric System e How biometrics are attacked - si tende ormai a soppiantare le classiche password - riportiamo Goodbye passwords, WebAuthn is now an official web standard, WebAuthn solve password problem - con fattori biometrici, quali il riconoscimento facciale, dell'iride, dell'impronta digitale. Ciò comporta certamente un'esposizione dei propri dati biometrici a discapito della - per alcuni consciamente ma per altri non lo è - privatezza. Il galvanic coupling - sul quale abbiamo ampiamente discusso nella sezione precedente - potrebbe rappresentare anche qui una possibile soluzione a questo problema.
Esempio
Le principali tipologie di attacco alla privacy - almeno in maniera corposa - si riassumono nei data breach. Una violazione dei dati personali (data breach) consiste, facendo riferimento al GDPR di cui parleremo a breve, in:
Una violazione di sicurezza che comporta - accidentalmente o in modo illecito - la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati. Una violazione dei dati personali può compromettere la riservatezza, l’integrità o la disponibilità di dati personali.
Riportiamone dunque qualche esempio rilevante:
- Collection #1: costituisce uno dei più grandi data breach degli ultimi tempi. Il contenuto è disponibile - come molti altri data leak recuperati - sul sito haveibeenpwned, creato da Troy Hunt. Nel gennaio del 2019 è stata scoperta un'ampia collezione di liste di credenziali essere distribuita in un popolare forum di hacking. Collection #1 contiene almeno 2.7 miliardi di record includenti 773 milioni di email univoche e password che gli stessi avevano utilizzato su altri servizi bucati;
- Cambridge Analytica's breach: rappresenta uno dei più grandi breach subiti da un gigante del tech, Facebook. Cambridge Analytica è un'azienda che si occupa di analisi dei dati che ha collaborato con il team elettorale di Donald Trump e la campagna a favore della Brexit. Nel marzo 2018 venne fuori lo scandalo: l'azienda avrebbe raccolto informazioni dagli account Facebook di circa 87 milioni - inizialmente ne furono riportati "solamente" 50 - di persone senza il loro consenso e a loro insaputa per finalità di pubblicità politica.
Questi esempi dimostrano come i nostri dati personali siano esposti a dei rischi che non derivano necessariamente dalla nostra sensibilità al diritto sulla privacy. Per questo motivo la questione è molto delicata e nasce, quindi, un bisogno di collaborazione fra gli utenti ed i servizi ai quali essi decidono di affidarsi.
Soluzioni
Abbiamo, sebbene in modo non del tutto esplicito, accennato ad una possibile soluzione a molti problemi relativi alla privacy: la sensibilizzazione degli utenti. Tuttavia esistono - tralasciando gli aspetti tecnici affini alla Security by Design che abbiamo sempre richiamato - alcune importanti forme di tutela alla privacy da parte della legge.
Nel 2004 entrò in vigore in Italia il Decreto Legislativo 30 giugno 2003, n.196, in materia di "Codice in materia di protezione dei dati personali" (o "Codice privacy"). Tale decreto tutela il diritto del singolo sui propri dati personali e, conseguentemente, sul trattamento di questi ultimi. È utile citare l'Allegato B Disciplinare Tecnico in materia di "Misure minime per la sicurezza" del Codice privacy che enumera le misure minime per la protezione dei dati, che riprenderemo in seguito. Il Codice privacy è stato abrogato - almeno in parte, secondo il Decreto Legislativo 10 agosto 2018, n. 101 - con l'entrata in vigore il 25 maggio 2018 nell'Unione Europea del regolamento (UE) n. 2016/679, in materia di "Protezione dei Dati", noto come General Data Protection Regulation (GDPR). Con l'adozione di tale regolamento l'Unione Europea si pone l'obiettivo di rafforzamento della protezione dei dati personali - similmente a quanto mirasse il D. Lgs. 196/2003 in Italia - per i cittadini dell'UE residenti sia all'interno che all'esterno dei confini. Il regolamento ridisegna alcuni ruoli ed introduce nuove figure - non ci avventuriamo nella spiegazione dei singoli ruoli, che rimandiamo qui.
Accountability, Data protection by design e by default sono i principi fondamentali su cui si basa il GDPR. Il principio dell'accountability ("responsabilizzazione" in italiano) sancisce che i titolari (controllers) del trattamento dovranno assicurare il rispetto dei principi applicabili al trattamento dei dati personali, come riportato in primis dall'art. 5, paragrafo 2 e successivamente dall'articolo 24, paragrafi 1 e 2:
Art.24
(Responsibility of the Controller)
1. [...] the controller shall implement appropriate technical and organisational measures to ensure and to be able to demonstrate that processing is performed in accordance with this Regulation. Those measures shall be reviewed and updated where necessary.
2. [...] the measures referred to in paragraph 1 shall include the implementation of appropriate data protection policies by the controller.
In altre parole, chiunque effettui operazioni sui dati - intese come salvataggio, accesso, calcolo, modifica, pubblicazione ecc. - è tenuto ad adottare (Art. 32, p. 1)
[...] appropriate technical and organisational measures to ensure a level of security appropriate to the risk [...]
Il regolamento non è però dettagliato nel fornire quali debbano essere le adeguate misure da apportare. Viene dunque rimarcato con forza il principio di accountability. A tal proposito sebbene il Codice privacy sia stato in gran parte abrogato e sostituito dal GDPR, si potrebbe far riferimento all'Allegato B del decreto per le "misure di sicurezza adeguate", in quanto esse risultano più specifiche e dettagliate di quanto scritto sul regolamento europeo. Inoltre, diventano fondamentali i concetti di pseudonimizzazione e cifratura dei dati personali, in quanto permettono ad un'azienda, oltre a garantire la confidenzialità e l'integrità dei dati, di non essere obbligati a notificare - l'obbligo di notifica è imposto dall'art. 33 del GDPR e l'abbiamo citato quando abbiamo parlato di SIEM - ogni utente nel caso di un breach.
Rimandiamo i concetti di Data protection by design e by default all'art. 25 del regolamento.
I cittadini dell'Unione Europea sono tutelati dal GDPR, ma tutto il resto del mondo? Il regolamento ha lanciato un chiaro messaggio che si spera venga accolto dalle altre Nazioni al di fuori dell'UE. A questo proposto, non possiamo non ricordare che il 23 settembre 2018 è stato approvato il California Consumer Privacy Act (CCPA) che sarà attuato a partire dal 2020. Il CCPA si pone l'obiettivo di tutelare la privacy dei cittadini residenti in California e ha molti punti in comune con il GDPR, ma ne differisce su altri come, ad esempio, la definizione di informazione personale. Aggiungiamo infine il Privacy Shield, il quale funge da bridge per le organizzazioni non europee indicando i requisiti di GDPR compliance.
Conclusioni
Abbiamo osservato quanto siano delicati i problemi relativi alla privacy e, al contempo, abbiamo illustrato come la legge, in particolare nell'Unione Europa, ne favorisca la tutela, sebbene con poca specificità di come debbano essere adottate le "adeguate" misure di sicurezza. Non mancano però alcune "vulnerabilità" del GDPR, in quanto è possibile utilizzare le richieste al diritto di accesso ai dati - si veda GDPR privacy can be defeated using right of access requests - per exploitare il regolamento, inibendone così i benefici. In ultima analisi ricordiamo gli studi sulla policy Gamification, atti ad implementare le policy sotto forma interattiva o di gioco, in modo da sensibilizzare gli utenti a leggere le condizioni di utilizzo prima di affidarsi ad un determinato servizio.
A complemento della sezione riportiamo fra le referenze un recente articolo scritto dalla Polizia Postale italiana in cui vengono elencate una serie di punti da seguire per un corretto utilizzo dei social network, riassumendone anche i principali rischi.
References
- https://en.wikipedia.org/wiki/Privacy_concerns_with_social_networking_services
- https://www.garanteprivacy.it/regolamentoue/databreach
- https://www.ncsc.gov.uk/collection/biometrics/how-biometrics-are-attacked#section_2
- https://haveibeenpwned.com/PwnedWebsites#Collection1
- https://www.troyhunt.com/the-773-million-record-collection-1-data-reach
- https://en.wikipedia.org/wiki/Facebook–Cambridge_Analytica_data_scandal
- https://www.theguardian.com/technology/2019/mar/17/the-cambridge-analytica-scandal-changed-the-world-but-it-didnt-change-facebook
- https://www.normattiva.it/uri-res/N2Ls?urn:nir:stato:decreto.legislativo:2003-06-30;196
- https://eur-lex.europa.eu/legal-content/EN/TXT/HTML/?uri=CELEX:32016R0679&from=EN
- https://en.wikipedia.org/wiki/California_Consumer_Privacy_Act
- https://nakedsecurity.sophos.com/2019/08/12/gdpr-privacy-can-be-defeated-using-right-of-access-requests/
- https://www.commissariatodips.it/notizie/articolo/stai-usando-i-social-responsabilmente/index.html