Go!

SIP: Um Framework de Privacidade
para Cidade Inteligentes Baseado em
Pessoas como Sensores
Aluno: Welington Manoel da Silva
wms4@cin.ufpe.br
Centro de Informática (Cin)
Pós-Graduação em Ciência da Computação
Universidade Federal de Pernambuco (UFPE)
Defesa de Dissertação de Mestrado, 2014

CIn.ufpe.br 

Roteiro
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•

Motivação
Caracterização do problema
Objetivos
Fundamentação
Cidades inteligentes
Pessoas como sensores
Privacidade
Revisão sistemática
Proposta
Índices de apoio
Módulos do Go!SIP
Fluxo de Exemplo
Avaliação
Conclusão
Trabalhos Futuros
CIn.ufpe.br 

Introdução
Motivação
• População mundial deslocando-se para áreas urbanas
• 30% (1950), 54% (2014), 66% (2050) [ONU, 2014]
• Impacto nos serviços urbanos
• Cidades despreparadas para suportar este
crescimento e suas consequências
CIn.ufpe.br 

Introdução
Motivação
• Cidades Inteligentes (CIs), ou Smart Cities
• Aspecto Técnico
– Tecnologias de Informação e Comunicação (TICs)
– Otimização no uso de recursos e resultados

• Aspecto Humano
– Acesso a serviços
– Engajamento

• Criação de um ambiente de inovação
CIn.ufpe.br 

Introdução
Motivação
• Coleta de dados
– Compreender os problemas
– Identificar falhas
– Propor melhorias e novas soluções

• Sensores físicos e sensores vivos
• Dados coletados de forma:
– Ativa
– Passiva
• Subproduto de alguma atividade
• M2M
CIn.ufpe.br 

Introdução
Motivação
• Envolvimento de dados pessoais
– Análise e combinação de dados
– Exposição sem conhecimento / consentimento

• O agravante: Big Data
– Dados em grande escala
– Aumento na capacidade de armazenamento e
processamento
– Utilização dessa capacidade para atuar na massa de dados
– Efeito Incremental
CIn.ufpe.br 

Introdução
Caracterização do Problema
Como os dados pessoais envolvidos nos processos
de gestão de Cidades Inteligentes podem ser
tratados, de modo que se garanta ao indivíduo o
respeito às suas preferências, permitindo o
fluxo de conhecimento útil sobre a cidade e
seus habitantes, num processo de colaboração
mútua, fomentado pelo consenso e decisão
informados, possibilitando a manutenção da
privacidade de dados pessoais?
CIn.ufpe.br 

Introdução
Objetivos
• Gerais

– Investigar mecanismos de provisão de privacidade em
contextos inteligentes
– Distinguir paradigmas de implementação de privacidade de
dados
• Centrado em dados
• Centrado em serviços
• Centrados no usuário

– Elencar um conjunto de requisitos adequados ao paradigma
centrado no usuário
CIn.ufpe.br 

Introdução
Objetivos

• Específico
– Propor um framework para provisão de privacidade em
Cidades Inteligentes, que contemple o conjunto de
requisitos levantados, dentro do paradigma centrado no
usuário, priorizando seus direitos e preferências,
permitindo-o tirar maior proveito do trade-of entre
proposição de valor e exposição de dados pessoais, para
os serviços consumidos.

CIn.ufpe.br 

Fundamentação
Cidades Inteligentes

• Revisão de implementações de CIs
– Trabalho conjunto
– Resultou na publicação: SILVA, W. M.; ALVARO, A.; TOMAS, G.
H. R. P.; AFONSO, R. A.; DIAS, K. L.; GARCIA, V. C.. Smart Cities
Software Architectures: A Survey. In: the 28 th Annual ACM
Symposium, 2013, Coimbra. Proceedings of the 28th Annual
ACM Symposium on Applied Computing - SAC ’13. New York:
ACM Press, 2013. p. 1722
– Agrupar requisitos que os trabalhos propostos buscavam
atender
– Privacidade apresentou-se como um dos requisitos menos
atendidos

CIn.ufpe.br 

Fundamentação
Pessoas como Sensores (em CIs)
• Pessoas são importantes em CI
– Processos, sistemas e serviços giram em torno delas
– Faz-se necessário melhor planejamento e priorização
nas cidades, focando-se nas necessidades das pessoas

• Estímulo ao envolvimento
–
–
–
–

Democratização da conectividade
Aumento no uso de smartphones e internet móvel
Acesso e geração de conteúdo
Sensores vivos (vs. Sensores físicos)
CIn.ufpe.br 

Fundamentação
Pessoas como Sensores (em CIs)
• Problemas
– Efeito incremental [Tene and Polonetsky, 2012]
– Desequilíbrio de informação entre provedores vs.
consumidores de serviços
– Pesquisa da FutureSight, 2012

CIn.ufpe.br 

Fundamentação
Pessoas como Sensores (em CIs)

Manifestaram preocupação com sua
privacidade
Estariam dispostos
a continuar a
utilização, com riscos
Estariam dispostos a continuar a utilização, sentindo-se seguros

CIn.ufpe.br 

Fundamentação
Pessoas como Sensores (em CIs)

Concordam com os termos de
privacidade sem lê-los
Não o fazem porque os termos são muito
extensos
CIn.ufpe.br 

Fundamentação
Pessoas como Sensores (em CIs)
• Problemas (continuação)
– Pesquisa da FutureSite, 2012
• 58% culparia a operadora de telefonia em caso de invasão
de privacidade
• 52% acreditavam cegamente que as operadoras
mantinham seus dados em segurança

– Big Data
•
•
•
•

Transparência
Minimização de dados
Limitação de propósito
Portabilidade de dados
CIn.ufpe.br 

Fundamentação
Privacidade (de dados)
• Indivíduo possui controle sobre quem,
quando, como, por que, onde e por quanto
tempo seus dados serão utilizados em
algum serviço
• Evolução de propósito único para
propósito desconhecido [Forum, 2013]
CIn.ufpe.br 

Fundamentação
Privacidade (de dados)
• De conjunto de práticas para mecanismos legais
–
–
–
–

Transparência
Envolvimento do indivíduo
Propósito
Dados relevantes e necessários para o cumprimento do
propósito
– Uso exclusivo para cumprimento do propósito
– Dados corretos, relevantes, adequados e completos
– Segurança de informação
– Responsabilidade
[OECD, 2002; NIST, 2007]
CIn.ufpe.br 

Fundamentação
Revisão Sistemática

• Levantar mecanismos de privacidade
aplicado a ambientes inteligentes
• Elencar requisitos

CIn.ufpe.br 

Revisão Sistemática
Questões de Pesquisa
• Quais as abordagens de gestão de
privacidade já foram propostos
(academia/indústria) dentro do contexto
de Smart X?
• De que forma as arquiteturas para CIs já
existentes implementam gestão de
privacidade de dados dos cidadãos?
CIn.ufpe.br 

Revisão Sistemática
Questões de Pesquisa
• String de busca
– (((smart OR (smart AND (city OR cities))) AND (privacy OR (privacy AND (framework OR
architecture)))))
– Variações sintáticas tiveram de ser atendidas, mantendo-se o valor lsemântico da
string de busca

• Bibliotecas digitais consultadas:
–
–
–
–
–
–
–

IEEE Xplore
ACM Digital Library
CiteSeerX
Science Direct
SpringerLink
Scopus
Repositório de Patentes WIPO¹

¹World Intellectual Property Organization

CIn.ufpe.br 

Revisão Sistemática
Filtro/Questão

Q1

Q2

Relevantes

2174

304

Exclusão por Título

328

37

Exclusão por Duplicação

238

34

Exclusão por Resumo

77

19

Adequação ao Contexto

65

19

Accessados

45

18
CIn.ufpe.br 

Revisão Sistemática
Organização por Domínios
•
•
•
•
•
•
•

Smart Grid
Smart Building and Home
Smart Environment
Smart Space
Smart Health
Smart City
Outros
CIn.ufpe.br 

Revisão Sistemática
Requisito

SG

SB

SE

SS

SH

SC

Responsabilidade

OD
1

Degradação de dados
Confiança sem interação
prévia
Interação mínima com o
usuário
Disfarce de dados

2

Comunicação segura

2

1

1

1
1

1

1

1

2

2

4
1

1

4

Anonimização

1

2

3

Histórico de interação

1

2

3

Múltiplas identidades
Correspondência de
interesses
Controles adaptáveis

1

2

3

1
2

1

Sensibilidade de dados

4

2

1

1

Controle de acesso

1

2

4

1

Aplicação de políticas

1

1

3
1

2

4
1

5
8

1

9
1

1

6

CIn.ufpe.br 

Revisão Sistemática
Resultados preliminares
• Escassez de propostas de gestão de
privacidade para CIs, reafirmando a
oportunidade
• Falta de envolvimento do usuário nas
abordagens e uso de soluções
predominantemente técnicas
– Qual a percepção do usuário a respeito? Não se pode
dizer
CIn.ufpe.br 

Revisão Sistemática
Definição dos Paradigmas
• Objeto alvo na implementação de privacidade
• Paradigma Centrado nos Dados (PCD)
– Atenção ao dado, sua natureza, estado, manipulação,
contexto e respectivas regras/políticas

• Paradigma Centrado no Usuário (PCU)
– Participação do usuário e suas preferências

• Paradigma Centrado no Serviço (PCS)
– Independe do usuário ou do dado e refere-se à natureza,
execução e infraestrutura do serviço
CIn.ufpe.br 

Revisão Sistemática
Requisito
Responsabilidade
Degradação de dados
Confiança sem interação
prévia
Interação mínima com o
usuário
Disfarce de dados

PCD PCU PCS
X
X
X
X
X

Comunicação segura
Anonimização

X
X

Histórico de interação
Múltiplas identidades

X

X

X

X

Correspondência de interesses
Controles adaptáveis
Sensibilidade de dados

X

X
X

Controle de acesso

X

Aplicação de políticas

X

Minimização de dados

X

CIn.ufpe.br 

Revisão Sistemática
Resultados
PCD

PCU

PCS

SG

9

4

7

Paradigm
a
Predomin
ante
PCD

SB

5.5

5

6.5

PCS

SE

3

2.5

5.5

PCS

SS

3.5

6

10.5

PCS

SH

1.5

1.5

3

PCS

SC

0

0.5

1.5

PCS

Requisito

• A preocupação com dados e serviços supera
a preocupação com o usuário na maioria dos
domínios
• As propostas atuais de privacidade em CI são
predominantemente voltadas para serviços
CIn.ufpe.br 

A Proposta
Considerações Iniciais

• Go!SIP
– Go!
– Smart Identification Privacy

CIn.ufpe.br 

A Proposta
• Aplicação de Políticas (PCD)
Requisitos
•
•
•
•
•
•
•
•
•
•
•
•

Confiança sem interação prévia (PCS)
Controle/Feedback do usuário (PCU)
Correspondência de interesses (PCU)
Degradação de dados (PCD)
Especificação de preferências (PCU)/PCS)
Histórico de interação (PCU/PCS)
Interação mínima com o usuário (PCU)
Minimização de dados (PCD)
Múltiplas identidades (PCD)
Responsabilidade (PCU)
Sensibilidade de dados (PCD)
Tipo/Propósito da informação (PCD)/PCS)

CIn.ufpe.br 

A Proposta

CIn.ufpe.br 

Índices de Apoio
Cálculo de Exposição

• Busca quantificar o impacto da
sensibilidade dos dados na perda de
privacidade de um indivíduo [Salehie et al,
2012; Sankar et al., 2013; Boyer et
al.,2006; Moncrieff et al., 2008, Oyomno et
al., 2011]
• Atributo como unidade fundamental
• Permite maior cautela no momento de
decisão de exposição
– Maior a sensibilidade, maior a exigência

CIn.ufpe.br 

Índices de Apoio
Cálculo de Exposição
• Índice de Proteção Individual
– O usuário classifica o atributo de acordo com a
importância que lhe atribui
– Classificação
• Secreto (IPI = 100)
• Fechado (IPI = 50)
• Públicos (IPI = 0)

CIn.ufpe.br 

Índices de Apoio
Cálculo de Exposição
• Cálculo de Precisão do Atributo
– Taxa de degradação [Van Heerde et al., 2006]
– Precisão decai em função do tempo de
coleta/armazenamento
– Exemplos
• Nome (d = 0%)
• Idade (d = 8,33%), mês

– Precisão é dada por
CIn.ufpe.br 

Índices de Apoio
Cálculo de Exposição

• Índice de Exposição
– Identidade é um conjunto de atributos
• I = {a0, a1, ..., an-1}

– Inclui o IPI de cada atributo e sua precisão

CIn.ufpe.br 

Índices de Apoio
Cálculo de Similaridade
• Estabelecer uma reputação inicial para
provedores de serviço desconhecidos
• Leva em conta o Índice de Exposição para
cada Nível de Proposição de Valor

CIn.ufpe.br 

Índices de Apoio
Cálculo de Similaridade

• Calcula-se os vetores ExV(SPt) para cada
um dos nível de proposição de valor do
provedor e respectivo serviço em questão

CIn.ufpe.br 

Índices de Apoio
Cálculo de Similaridade
• Calcula-se a distância euclidiana entre os
vetores de níveis de proposição de valor
• A menor distância indica a maior
semelhança

CIn.ufpe.br 

Módulos do Go!SIP
Gerenciador de Provedores de
Serviço
• Provedores de serviço
apresentam/fornecem seus serviços
– Nome
– Serviços que provê

• Serviço
– Nome
– Dados de entrada e dados de saída
– Nível de Proposição de Valor
• Representa o trade-of entre exposição x utilidade

• Requisito
– Tipo/Propósito da informação

CIn.ufpe.br 

Módulos do Go!SIP
Gerenciador de Identidades
• Gerencia atributos
• Gera identidades para utilização de
serviços
• Identidade
– Subconjunto de atributos de um determinado indivíduo
– Adequada a algum contexto

• Requisito
– Degradação de dados, Minimização de dados, Múltiplas
identidades, e Sensibilidade de Dados
CIn.ufpe.br 

Módulos do Go!SIP
Gerenciador de Regras Legais
• Assegura provisão de serviço em
conformidade com regulamentações
cabíveis
– Ex.: Marco Civil

• Regulamentações podem ser:
– Corporativas
– Governamentais
– Nacionais e internacionais
CIn.ufpe.br 

Módulos do Go!SIP
Gerenciador de Similaridade
• Determina a similaridade entre provedores
de serviço
• Baseia-se nos provedores conhecidos
• Similaridade baseada em contexto de
utilização, dados de entrada e saída
semanticamente semelhantes
• Interação com provedores desconhecidos
• Requisito
– Confiança sem interação prévia
CIn.ufpe.br 

Módulos do Go!SIP
Gerenciador
Preferências
• Preferências de
do usuário
sobre exposição
• O que, quando, por quanto tempo, por
quem, para quê
• Métodos
– Respostas genéricas, como ‘permitir sempre’, ‘negar
sempre’, ‘perguntar’
– Baseado em atributo, tipo de atributo, Índice de
Exposição

• Controle e conveniência
• Requisito
– Especificação de preferências, interação mínima com o
CIn.ufpe.br
usuário 

Módulos do Go!SIP
Gerenciador de Controle e
Feedback do Usuário

• Manifestação do usuário sobre sua
satisfação no uso do serviço
• O feedback será registrado e relacionado
ao Índice de Exposição e à experiência
individual
• Controle sobre dados expostos
– Visualizar, alterar, “esquecer”

• Requisito
– Controle/Feedback do usuário
CIn.ufpe.br 

Módulos do Go!SIP
Gerenciador
deas
Transações
• Gerencia todas
transações envolvidas
antes, durante e depois da provisão do
serviço
• Geração de histórico
– Histórico
– Responsabilidade

• Registra o contexto de cada transação
– Serviço, tipo de dados, tipo de entidade, Índice de
Exposição, método de coleta de dados, propósito de uso
dos dados e status da transação

• Requisito
– Histórico de Interação, Responsabilidade

CIn.ufpe.br 

Módulos do Go!SIP
Matcher
• Busca estabelecer acordo entre provedor e
consumidor do serviço
• Processo de negociação
• Minimizar exposição e maximizar
proposição de valor
• Requisito
– Correspondência de interesses, Aplicação de políticas
CIn.ufpe.br 

Módulos do Go!SIP
Mecanismos de Mineração de
Dados
• Derivação de dados pessoas através de
análise de dados (históricos e/ou tempo
real)
• Assegura submissão às mesmas regras de
exposição dos dados primitivos

CIn.ufpe.br 

Fluxo de Exemplo

CIn.ufpe.br 

Avaliação
Considerações iniciais
•
•
•
•

Desafio
Uso de questionário
Impacto no mundo real
Propostas estudadas não apresentam sua
implementação
• Comparar com o quê?
CIn.ufpe.br 

Avaliação
Considerações iniciais
• Estudo de Caso
• Verdade relativa, dependente da
perspectiva
• Participante contribui com sua visão
individual
• Fácil de implementar, difícil de interpretar
e generalizar [Kitchenham et al., 1995]
CIn.ufpe.br 

Avaliação
Escopo
• Framework extenso
• Tempo
• Convergência no apoio ao indivíduo
– Índice de Proteção Individual
– Índice de Exposição

CIn.ufpe.br 

Avaliação
Metodologia
• Adaptação do modela apresentado em
[Baxter & Jack, 2008]
• Captar a percepção do indivíduo em
relação aos índices propostos e verificar se
possui impacto nas decisões de exposição

CIn.ufpe.br 

Avaliação
Metodologia

“As pessoas são mais propensas a
expor dados quando apoiadas por
parâmetros quantitativos ?”

CIn.ufpe.br 

Avaliação
Metodologia
• Proposição de cenários do mundo real
• Situações nas quais fosse necessário o uso
de dados pessoais
• Ambientação em uma cidade
• Como transitar entre as situações sem
dispersar o interesse a atenção?

CIn.ufpe.br 

Avaliação
Metodologia

• Storytelling
• Gamebook

CIn.ufpe.br 

Avaliação
Desenvolvimento
• Criação da história
–
–
–
–

Proposta de situação pelos pesquisadores envolvidos
Construção do enredo
Validação com Game Designer
Etapas de revisão
•
•
•
•

Avaliar a ludicidade da história criada
Adequação aos interesses da pesquisa
Causa-efeito
Finais condizentes com a história

– Outro desafio: ramificações
CIn.ufpe.br 

Avaliação
Desenvolvimento
• Perfil de Participação
– Pessoas habituadas ao mundo de TI
– Habituadas aos serviços representados

• Alunos de pós graduação do CIn-UFPE
• Alunos de graduação da UFSCar campus
Sorocaba
• Colaboradores do Centro de Estudos e Sistemas
Avançados do Recife
CIn.ufpe.br 

Avaliação
Desenvolvimento
• Aplicação web
• Adaptação do Índice de Proteção Individual
– Baseada na discussão com um Eng. de Usabilidade
– 1 a 100, ao invés de Privado, Fechado e Público

• Agrupamento de atributos por perfil
–
–
–
–
–
–

Pessoal
Financeiro
Consumo
Localização
Médico
Relacionamento

CIn.ufpe.br 

Avaliação

CIn.ufpe.br 

Avaliação
Execução

• Aplicação disponibilizada durante 2
semanas
• Endereço bit.ly/GoSIP2014

CIn.ufpe.br 

Avaliação
Resultados

• 41 pessoas participaram
– 21 com acesso ao score e às métricas

• Heatmap

CIn.ufpe.br 

Avaliação
Resultados
• Número de participantes abaixo do
esperado
• Baixa taxa de conclusão
– 63,4% chegaram a algum dos 7 finais
– Desse percentual, 53,8% finalizaram no Passo 2b
– Número de desistências durante a história (ver tabela)
Passo
Abertura
Passo 0
Passo 2c
Passo 3
Passo 6ª
Passo 10b

# Desistências
1
3
4
3
1
3

CIn.ufpe.br 

Avaliação
Resultados – Impacto quantitativo
• 15 aquisição de serviços
– 4 delas feitas por participantes que tinha acesso ao
score e às métricas
– As 4 aquisições foram do serviço de localização
Serviços
Gugou Maps
Smart Meter
Health
Monitor
Health
Assist

# Aquisições

4

Perfil Utilizado
Dados de
Localização
Dados de Consumo

2

Dados Médicos

1

Dados Médicos

8

CIn.ufpe.br 

Avaliação
Resultados – Impacto quantitativo
• 17 participantes ajustaram seu IPI Acesso às

Adquiriram
métricas
serviços

Adquiriram
serviços

CIn.ufpe.br 

Avaliação
Resultados - Impacto quantitativo
• Valores de Índice de Proteção Individual
atribuídos
• Indicam importância dos participantes
para o perfil
• Comparação [Eurobarometer, 2012] e [IIC,
2012]

Com score e
métricas

Sem score e
métricas

CIn.ufpe.br 

Avaliação
Resultados - Impacto quantitativo
• Participantes com acesso ao score e às
métricas utilizaram apenas o serviço de
localização, com seu perfil Dados de
Localização com Índice de Exposição
médio de 90 (altíssimo)
• Quanto aos participantes sem acesso às
Perfil
métricas
Dados
IE Médio

Financeiros
Dados de
Localização
Dados Pessoais

100,00
91,66
91,00

CIn.ufpe.br 

Avaliação
Resultados
• Nem todos os caminhos foram visitados
• Os serviços Fakebook e Twistter não foram
utilizados por nenhum participante,
principalmente porque os cenários em que
seriam úteis não foram explorados
• Pela taxa de desistência
– Curiosidade
– Postura defensiva em relação a contexto desconhecidos
– Incluir esses elementos em uma nova rodada, ou mesmo
desenvolver a mudança de opção, para entender melhor
CIn.ufpe.br
estes perfis de pessoas 

Avaliação
Resultados
• Os resultados apresentados indicam que,
potencialmente, a informação quantitativa
influenciou no processo de decisão de
exposição
• Como a quantidade de participantes foi
insatisfatória, uma nova rodada com mais
cenários, envolvendo os demais conceitos
da proposta, com um número
representativo de pessoas, por tempo
suficiente para exceder a curiosidade, é
recomendável
CIn.ufpe.br 

Avaliação
Resultados
• Necessidade de se trabalhar a
confiabilidade das métricas, envolvendo a
relação com o provedor de serviço e as
consequências a longo prazo
• O uso de serviços e contextos conhecidos
não favoreceu a identificação do conceito
de utilidade, reforçando a necessidade de
sua exploração em uma outro experimento
• Ausência do timestamp nas escolhas
CIn.ufpe.br 

Avaliação
Resultados
• Contudo, acredita-se que os resultados
permitem vislumbrar o potencial da
proposta
– Próximos passos

• A resposta final da questão, considerando
o Estudo de Caso desenvolvido e as falhas
destacadas é que, quando apoiadas por
parâmetros quantitativos, as pessoas são
menos propensas a expor seus dados.
CIn.ufpe.br 

• Escassez de abordagens que tratem
privacidade do ponto de vista do usuário. Em CI,
nem na academia ou na indústria, foram
encontradas soluções com este viés
• A visibilidade do efeito longo prazo de
privacidade é muitas vezes negligenciado. Fazse necessário um meio de dar ao usuário direito
de escolha informada, suportado por informações
concretas sobre o contexto de exposição,
equilibrando o trade-of exposição vs. Proposição
de valor
• O diferencial do trabalho apresentado consiste
em compor um conjunto de módulos que
sustentem o processo de exposição de dados
pessoais, permitindo ao usuário uma decisão
informada
• O Estudo de Caso realizado permitiu vislumbrar
o
CIn.ufpe.br
potencial da proposta, mas sugere uma nova

Conclusão 

Trabalhos Futuros
• Evoluir o Estudo de Caso
• Implementação e detalhamento de menor
abstração dos módulos
• Inclusão do Go!SIP na arquitetura de CI
baseada em Internet da Coisas, proposta
em um projeto de Mestrado paralelo à este
• Aplicação em ambiente real
• Mecanismo de conveniência e controle
cognitivos
CIn.ufpe.br 

OBRIGADO

CIn.ufpe.br