Go!

SIP: Um Framework de Privacidade

para Cidade Inteligentes Baseado em
Pessoas como Sensores
Aluno: Welington Manoel da Silva
wms4@cin.ufpe.br
Centro de Informtica (Cin)
Ps-Graduao em Cincia da Computao
Universidade Federal de Pernambuco (UFPE)
Defesa de Dissertao de Mestrado, 2014

CIn.ufpe.br

Roteiro

Motivao
Caracterizao do problema
Objetivos
Fundamentao
Cidades inteligentes
Pessoas como sensores
Privacidade
Reviso sistemtica
Proposta
ndices de apoio
Mdulos do Go!SIP
Fluxo de Exemplo
Avaliao
Concluso
Trabalhos Futuros
CIn.ufpe.br

Introduo
Motivao
Populao mundial deslocando-se para reas urbanas
30% (1950), 54% (2014), 66% (2050) [ONU, 2014]
Impacto nos servios urbanos
Cidades despreparadas para suportar este
crescimento e suas consequncias
CIn.ufpe.br

Introduo
Motivao
Cidades Inteligentes (CIs), ou Smart Cities
Aspecto Tcnico
Tecnologias de Informao e Comunicao (TICs)
Otimizao no uso de recursos e resultados

Aspecto Humano
Acesso a servios
Engajamento

Criao de um ambiente de inovao

CIn.ufpe.br

Introduo
Motivao
Coleta de dados
Compreender os problemas
Identificar falhas
Propor melhorias e novas solues

Sensores fsicos e sensores vivos

Dados coletados de forma:
Ativa
Passiva
Subproduto de alguma atividade
M2M
CIn.ufpe.br

Introduo
Motivao
Envolvimento de dados pessoais
Anlise e combinao de dados
Exposio sem conhecimento / consentimento

O agravante: Big Data

Dados em grande escala
Aumento na capacidade de armazenamento e
processamento
Utilizao dessa capacidade para atuar na massa de dados
Efeito Incremental
CIn.ufpe.br

Introduo
Caracterizao do Problema
Como os dados pessoais envolvidos nos processos
de gesto de Cidades Inteligentes podem ser
tratados, de modo que se garanta ao indivduo o
respeito s suas preferncias, permitindo o
fluxo de conhecimento til sobre a cidade e
seus habitantes, num processo de colaborao
mtua, fomentado pelo consenso e deciso
informados, possibilitando a manuteno da
privacidade de dados pessoais?
CIn.ufpe.br

Introduo
Objetivos
Gerais

Investigar mecanismos de proviso de privacidade em

contextos inteligentes
Distinguir paradigmas de implementao de privacidade de
dados
Centrado em dados
Centrado em servios
Centrados no usurio

Elencar um conjunto de requisitos adequados ao paradigma

centrado no usurio
CIn.ufpe.br

Introduo
Objetivos

Especfico
Propor um framework para proviso de privacidade em
Cidades Inteligentes, que contemple o conjunto de
requisitos levantados, dentro do paradigma centrado no
usurio, priorizando seus direitos e preferncias,
permitindo-o tirar maior proveito do trade-of entre
proposio de valor e exposio de dados pessoais, para
os servios consumidos.

CIn.ufpe.br

Fundamentao
Cidades Inteligentes

Reviso de implementaes de CIs

Trabalho conjunto
Resultou na publicao: SILVA, W. M.; ALVARO, A.; TOMAS, G.
H. R. P.; AFONSO, R. A.; DIAS, K. L.; GARCIA, V. C.. Smart Cities
Software Architectures: A Survey. In: the 28 th Annual ACM
Symposium, 2013, Coimbra. Proceedings of the 28th Annual
ACM Symposium on Applied Computing - SAC 13. New York:
ACM Press, 2013. p. 1722
Agrupar requisitos que os trabalhos propostos buscavam
atender
Privacidade apresentou-se como um dos requisitos menos
atendidos

CIn.ufpe.br

Fundamentao
Pessoas como Sensores (em CIs)
Pessoas so importantes em CI
Processos, sistemas e servios giram em torno delas
Faz-se necessrio melhor planejamento e priorizao
nas cidades, focando-se nas necessidades das pessoas

Estmulo ao envolvimento

Democratizao da conectividade
Aumento no uso de smartphones e internet mvel
Acesso e gerao de contedo
Sensores vivos (vs. Sensores fsicos)
CIn.ufpe.br

Fundamentao
Pessoas como Sensores (em CIs)
Problemas
Efeito incremental [Tene and Polonetsky, 2012]
Desequilbrio de informao entre provedores vs.
consumidores de servios
Pesquisa da FutureSight, 2012

CIn.ufpe.br

Fundamentao
Pessoas como Sensores (em CIs)

Manifestaram preocupao com sua

privacidade
Estariam dispostos
a continuar a
utilizao, com riscos
Estariam dispostos a continuar a utilizao, sentindo-se seguros

CIn.ufpe.br

Fundamentao
Pessoas como Sensores (em CIs)

Concordam com os termos de

privacidade sem l-los
No o fazem porque os termos so muito
extensos
CIn.ufpe.br

Fundamentao
Pessoas como Sensores (em CIs)
Problemas (continuao)
Pesquisa da FutureSite, 2012
58% culparia a operadora de telefonia em caso de invaso
de privacidade
52% acreditavam cegamente que as operadoras
mantinham seus dados em segurana

Big Data

Transparncia
Minimizao de dados
Limitao de propsito
Portabilidade de dados
CIn.ufpe.br

Fundamentao
Privacidade (de dados)
Indivduo possui controle sobre quem,
quando, como, por que, onde e por quanto
tempo seus dados sero utilizados em
algum servio
Evoluo de propsito nico para
propsito desconhecido [Forum, 2013]
CIn.ufpe.br

Fundamentao
Privacidade (de dados)
De conjunto de prticas para mecanismos legais

Transparncia
Envolvimento do indivduo
Propsito
Dados relevantes e necessrios para o cumprimento do
propsito
Uso exclusivo para cumprimento do propsito
Dados corretos, relevantes, adequados e completos
Segurana de informao
Responsabilidade
[OECD, 2002; NIST, 2007]
CIn.ufpe.br

Fundamentao
Reviso Sistemtica

Levantar mecanismos de privacidade

aplicado a ambientes inteligentes
Elencar requisitos

CIn.ufpe.br

Reviso Sistemtica
Questes de Pesquisa
Quais as abordagens de gesto de
privacidade j foram propostos
(academia/indstria) dentro do contexto
de Smart X?
De que forma as arquiteturas para CIs j
existentes implementam gesto de
privacidade de dados dos cidados?
CIn.ufpe.br

Reviso Sistemtica
Questes de Pesquisa
String de busca
(((smart OR (smart AND (city OR cities))) AND (privacy OR (privacy AND (framework OR
architecture)))))
Variaes sintticas tiveram de ser atendidas, mantendo-se o valor lsemntico da
string de busca

Bibliotecas digitais consultadas:

IEEE Xplore
ACM Digital Library
CiteSeerX
Science Direct
SpringerLink
Scopus
Repositrio de Patentes WIPO

World Intellectual Property Organization

CIn.ufpe.br

Reviso Sistemtica
Filtro/Questo

Q1

Q2

Relevantes

2174

304

Excluso por Ttulo

328

37

Excluso por Duplicao

238

34

Excluso por Resumo

77

19

Adequao ao Contexto

65

19

Accessados

45

18
CIn.ufpe.br

Reviso Sistemtica
Organizao por Domnios

Smart Grid
Smart Building and Home
Smart Environment
Smart Space
Smart Health
Smart City
Outros
CIn.ufpe.br

Reviso Sistemtica
Requisito

SG

SB

SE

SS

SH

SC

Responsabilidade

OD
1

Degradao de dados
Confiana sem interao
prvia
Interao mnima com o
usurio
Disfarce de dados

Comunicao segura

1
1

4
1

Anonimizao

Histrico de interao

Mltiplas identidades
Correspondncia de
interesses
Controles adaptveis

1
2

Sensibilidade de dados

Controle de acesso

Aplicao de polticas

3
1

4
1

5
8

9
1

CIn.ufpe.br

Reviso Sistemtica
Resultados preliminares
Escassez de propostas de gesto de
privacidade para CIs, reafirmando a
oportunidade
Falta de envolvimento do usurio nas
abordagens e uso de solues
predominantemente tcnicas
Qual a percepo do usurio a respeito? No se pode
dizer
CIn.ufpe.br

Reviso Sistemtica
Definio dos Paradigmas
Objeto alvo na implementao de privacidade
Paradigma Centrado nos Dados (PCD)
Ateno ao dado, sua natureza, estado, manipulao,
contexto e respectivas regras/polticas

Paradigma Centrado no Usurio (PCU)

Participao do usurio e suas preferncias

Paradigma Centrado no Servio (PCS)

Independe do usurio ou do dado e refere-se natureza,
execuo e infraestrutura do servio
CIn.ufpe.br

Reviso Sistemtica
Requisito
Responsabilidade
Degradao de dados
Confiana sem interao
prvia
Interao mnima com o
usurio
Disfarce de dados

PCD PCU PCS

X
X
X
X
X

Comunicao segura
Anonimizao

X
X

Histrico de interao
Mltiplas identidades

Correspondncia de interesses
Controles adaptveis
Sensibilidade de dados

X
X

Controle de acesso

Aplicao de polticas

Minimizao de dados

CIn.ufpe.br

Reviso Sistemtica
Resultados
PCD

PCU

PCS

SG

Paradigm
a
Predomin
ante
PCD

SB

5.5

6.5

PCS

SE

2.5

5.5

PCS

SS

3.5

10.5

PCS

SH

1.5

1.5

PCS

SC

0.5

1.5

PCS

Requisito

A preocupao com dados e servios supera

a preocupao com o usurio na maioria dos
domnios
As propostas atuais de privacidade em CI so
predominantemente voltadas para servios
CIn.ufpe.br

A Proposta
Consideraes Iniciais

Go!SIP
Go!
Smart Identification Privacy

CIn.ufpe.br

A Proposta
Aplicao de Polticas (PCD)
Requisitos

Confiana sem interao prvia (PCS)

Controle/Feedback do usurio (PCU)
Correspondncia de interesses (PCU)
Degradao de dados (PCD)
Especificao de preferncias (PCU)/PCS)
Histrico de interao (PCU/PCS)
Interao mnima com o usurio (PCU)
Minimizao de dados (PCD)
Mltiplas identidades (PCD)
Responsabilidade (PCU)
Sensibilidade de dados (PCD)
Tipo/Propsito da informao (PCD)/PCS)

CIn.ufpe.br

A Proposta

CIn.ufpe.br

ndices de Apoio
Clculo de Exposio

Busca quantificar o impacto da

sensibilidade dos dados na perda de
privacidade de um indivduo [Salehie et al,
2012; Sankar et al., 2013; Boyer et
al.,2006; Moncrieff et al., 2008, Oyomno et
al., 2011]
Atributo como unidade fundamental
Permite maior cautela no momento de
deciso de exposio
Maior a sensibilidade, maior a exigncia

CIn.ufpe.br

ndices de Apoio
Clculo de Exposio
ndice de Proteo Individual
O usurio classifica o atributo de acordo com a
importncia que lhe atribui
Classificao
Secreto (IPI = 100)
Fechado (IPI = 50)
Pblicos (IPI = 0)

CIn.ufpe.br

ndices de Apoio
Clculo de Exposio
Clculo de Preciso do Atributo
Taxa de degradao [Van Heerde et al., 2006]
Preciso decai em funo do tempo de
coleta/armazenamento
Exemplos
Nome (d = 0%)
Idade (d = 8,33%), ms

Preciso dada por

CIn.ufpe.br

ndices de Apoio
Clculo de Exposio

ndice de Exposio
Identidade um conjunto de atributos
I = {a0, a1, ..., an-1}

Inclui o IPI de cada atributo e sua preciso

CIn.ufpe.br

ndices de Apoio
Clculo de Similaridade
Estabelecer uma reputao inicial para
provedores de servio desconhecidos
Leva em conta o ndice de Exposio para
cada Nvel de Proposio de Valor

CIn.ufpe.br

ndices de Apoio
Clculo de Similaridade

Calcula-se os vetores ExV(SPt) para cada

um dos nvel de proposio de valor do
provedor e respectivo servio em questo

CIn.ufpe.br

ndices de Apoio
Clculo de Similaridade
Calcula-se a distncia euclidiana entre os
vetores de nveis de proposio de valor
A menor distncia indica a maior
semelhana

CIn.ufpe.br

Mdulos do Go!SIP
Gerenciador de Provedores de
Servio
Provedores de servio
apresentam/fornecem seus servios
Nome
Servios que prov

Servio
Nome
Dados de entrada e dados de sada
Nvel de Proposio de Valor
Representa o trade-of entre exposio x utilidade

Requisito
Tipo/Propsito da informao

CIn.ufpe.br

Mdulos do Go!SIP
Gerenciador de Identidades
Gerencia atributos
Gera identidades para utilizao de
servios
Identidade
Subconjunto de atributos de um determinado indivduo
Adequada a algum contexto

Requisito
Degradao de dados, Minimizao de dados, Mltiplas
identidades, e Sensibilidade de Dados
CIn.ufpe.br

Mdulos do Go!SIP
Gerenciador de Regras Legais
Assegura proviso de servio em
conformidade com regulamentaes
cabveis
Ex.: Marco Civil

Regulamentaes podem ser:

Corporativas
Governamentais
Nacionais e internacionais
CIn.ufpe.br

Mdulos do Go!SIP
Gerenciador de Similaridade
Determina a similaridade entre provedores
de servio
Baseia-se nos provedores conhecidos
Similaridade baseada em contexto de
utilizao, dados de entrada e sada
semanticamente semelhantes
Interao com provedores desconhecidos
Requisito
Confiana sem interao prvia
CIn.ufpe.br

Mdulos do Go!SIP
Gerenciador
Preferncias
Preferncias de
do usurio
sobre exposio
O que, quando, por quanto tempo, por
quem, para qu
Mtodos
Respostas genricas, como permitir sempre, negar
sempre, perguntar
Baseado em atributo, tipo de atributo, ndice de
Exposio

Controle e convenincia
Requisito
Especificao de preferncias, interao mnima com o
CIn.ufpe.br
usurio

Mdulos do Go!SIP
Gerenciador de Controle e
Feedback do Usurio

Manifestao do usurio sobre sua

satisfao no uso do servio
O feedback ser registrado e relacionado
ao ndice de Exposio e experincia
individual
Controle sobre dados expostos
Visualizar, alterar, esquecer

Requisito
Controle/Feedback do usurio
CIn.ufpe.br

Mdulos do Go!SIP
Gerenciador
deas
Transaes
Gerencia todas
transaes envolvidas
antes, durante e depois da proviso do
servio
Gerao de histrico
Histrico
Responsabilidade

Registra o contexto de cada transao

Servio, tipo de dados, tipo de entidade, ndice de
Exposio, mtodo de coleta de dados, propsito de uso
dos dados e status da transao

Requisito
Histrico de Interao, Responsabilidade

CIn.ufpe.br

Mdulos do Go!SIP
Matcher
Busca estabelecer acordo entre provedor e
consumidor do servio
Processo de negociao
Minimizar exposio e maximizar
proposio de valor
Requisito
Correspondncia de interesses, Aplicao de polticas
CIn.ufpe.br

Mdulos do Go!SIP
Mecanismos de Minerao de
Dados
Derivao de dados pessoas atravs de
anlise de dados (histricos e/ou tempo
real)
Assegura submisso s mesmas regras de
exposio dos dados primitivos

CIn.ufpe.br

Fluxo de Exemplo

CIn.ufpe.br

Avaliao
Consideraes iniciais

Desafio
Uso de questionrio
Impacto no mundo real
Propostas estudadas no apresentam sua
implementao
Comparar com o qu?
CIn.ufpe.br

Avaliao
Consideraes iniciais
Estudo de Caso
Verdade relativa, dependente da
perspectiva
Participante contribui com sua viso
individual
Fcil de implementar, difcil de interpretar
e generalizar [Kitchenham et al., 1995]
CIn.ufpe.br

Avaliao
Escopo
Framework extenso
Tempo
Convergncia no apoio ao indivduo
ndice de Proteo Individual
ndice de Exposio

CIn.ufpe.br

Avaliao
Metodologia
Adaptao do modela apresentado em
[Baxter & Jack, 2008]
Captar a percepo do indivduo em
relao aos ndices propostos e verificar se
possui impacto nas decises de exposio

CIn.ufpe.br

Avaliao
Metodologia

As pessoas so mais propensas a

expor dados quando apoiadas por
parmetros quantitativos ?

CIn.ufpe.br

Avaliao
Metodologia
Proposio de cenrios do mundo real
Situaes nas quais fosse necessrio o uso
de dados pessoais
Ambientao em uma cidade
Como transitar entre as situaes sem
dispersar o interesse a ateno?

CIn.ufpe.br

Avaliao
Metodologia

Storytelling
Gamebook

CIn.ufpe.br

Avaliao
Desenvolvimento
Criao da histria

Proposta de situao pelos pesquisadores envolvidos

Construo do enredo
Validao com Game Designer
Etapas de reviso

Avaliar a ludicidade da histria criada

Adequao aos interesses da pesquisa
Causa-efeito
Finais condizentes com a histria

Outro desafio: ramificaes

CIn.ufpe.br

Avaliao
Desenvolvimento
Perfil de Participao
Pessoas habituadas ao mundo de TI
Habituadas aos servios representados

Alunos de ps graduao do CIn-UFPE

Alunos de graduao da UFSCar campus
Sorocaba
Colaboradores do Centro de Estudos e Sistemas
Avanados do Recife
CIn.ufpe.br

Avaliao
Desenvolvimento
Aplicao web
Adaptao do ndice de Proteo Individual
Baseada na discusso com um Eng. de Usabilidade
1 a 100, ao invs de Privado, Fechado e Pblico

Agrupamento de atributos por perfil

Pessoal
Financeiro
Consumo
Localizao
Mdico
Relacionamento

CIn.ufpe.br

Avaliao

CIn.ufpe.br

Avaliao
Execuo

Aplicao disponibilizada durante 2

semanas
Endereo bit.ly/GoSIP2014

CIn.ufpe.br

Avaliao
Resultados

41 pessoas participaram
21 com acesso ao score e s mtricas

Heatmap

CIn.ufpe.br

Avaliao
Resultados
Nmero de participantes abaixo do
esperado
Baixa taxa de concluso
63,4% chegaram a algum dos 7 finais
Desse percentual, 53,8% finalizaram no Passo 2b
Nmero de desistncias durante a histria (ver tabela)
Passo
Abertura
Passo 0
Passo 2c
Passo 3
Passo 6
Passo 10b

# Desistncias
1
3
4
3
1
3

CIn.ufpe.br

Avaliao
Resultados Impacto quantitativo
15 aquisio de servios
4 delas feitas por participantes que tinha acesso ao
score e s mtricas
As 4 aquisies foram do servio de localizao
Servios
Gugou Maps
Smart Meter
Health
Monitor
Health
Assist

# Aquisies

Perfil Utilizado
Dados de
Localizao
Dados de Consumo

Dados Mdicos

Dados Mdicos

CIn.ufpe.br

Avaliao
Resultados Impacto quantitativo
17 participantes ajustaram seu IPI Acesso s

Adquiriram
mtricas
servios

Adquiriram
servios

CIn.ufpe.br

Avaliao
Resultados - Impacto quantitativo
Valores de ndice de Proteo Individual
atribudos
Indicam importncia dos participantes
para o perfil
Comparao [Eurobarometer, 2012] e [IIC,
2012]

Com score e
mtricas

Sem score e
mtricas

CIn.ufpe.br

Avaliao
Resultados - Impacto quantitativo
Participantes com acesso ao score e s
mtricas utilizaram apenas o servio de
localizao, com seu perfil Dados de
Localizao com ndice de Exposio
mdio de 90 (altssimo)
Quanto aos participantes sem acesso s
Perfil
mtricas
Dados
IE Mdio

Financeiros
Dados de
Localizao
Dados Pessoais

100,00
91,66
91,00

CIn.ufpe.br

Avaliao
Resultados
Nem todos os caminhos foram visitados
Os servios Fakebook e Twistter no foram
utilizados por nenhum participante,
principalmente porque os cenrios em que
seriam teis no foram explorados
Pela taxa de desistncia
Curiosidade
Postura defensiva em relao a contexto desconhecidos
Incluir esses elementos em uma nova rodada, ou mesmo
desenvolver a mudana de opo, para entender melhor
CIn.ufpe.br
estes perfis de pessoas

Avaliao
Resultados
Os resultados apresentados indicam que,
potencialmente, a informao quantitativa
influenciou no processo de deciso de
exposio
Como a quantidade de participantes foi
insatisfatria, uma nova rodada com mais
cenrios, envolvendo os demais conceitos
da proposta, com um nmero
representativo de pessoas, por tempo
suficiente para exceder a curiosidade,
recomendvel
CIn.ufpe.br

Avaliao
Resultados
Necessidade de se trabalhar a
confiabilidade das mtricas, envolvendo a
relao com o provedor de servio e as
consequncias a longo prazo
O uso de servios e contextos conhecidos
no favoreceu a identificao do conceito
de utilidade, reforando a necessidade de
sua explorao em uma outro experimento
Ausncia do timestamp nas escolhas
CIn.ufpe.br

Avaliao
Resultados
Contudo, acredita-se que os resultados
permitem vislumbrar o potencial da
proposta
Prximos passos

A resposta final da questo, considerando

o Estudo de Caso desenvolvido e as falhas
destacadas que, quando apoiadas por
parmetros quantitativos, as pessoas so
menos propensas a expor seus dados.
CIn.ufpe.br

 Escassez de abordagens que tratem

privacidade do ponto de vista do usurio. Em CI,
nem na academia ou na indstria, foram
encontradas solues com este vis
A visibilidade do efeito longo prazo de
privacidade muitas vezes negligenciado. Fazse necessrio um meio de dar ao usurio direito
de escolha informada, suportado por informaes
concretas sobre o contexto de exposio,
equilibrando o trade-of exposio vs. Proposio
de valor
O diferencial do trabalho apresentado consiste
em compor um conjunto de mdulos que
sustentem o processo de exposio de dados
pessoais, permitindo ao usurio uma deciso
informada
O Estudo de Caso realizado permitiu vislumbrar
o
CIn.ufpe.br
potencial da proposta, mas sugere uma nova

Concluso

Trabalhos Futuros
Evoluir o Estudo de Caso
Implementao e detalhamento de menor
abstrao dos mdulos
Incluso do Go!SIP na arquitetura de CI
baseada em Internet da Coisas, proposta
em um projeto de Mestrado paralelo este
Aplicao em ambiente real
Mecanismo de convenincia e controle
cognitivos
CIn.ufpe.br

OBRIGADO

CIn.ufpe.br