Search
Search
Menu
Close
Close
Övervakning med kameror
Foto: Adobe Stock

Digital integritet för framtida digitala system

18 november 2024, 07:00

Med framtidens digitala system som bygger på IoT och AI ökar behovet av att skydda användarnas integritet. Apostolos Pyrgelis, cybersäkerhetsforskare på RISE, är specialiserad inom digital integritet för framtida digitala system och ger en inblick i utmaningar och möjligheter inom området.

Framtida digitala system, som bygger på ny teknik som sakernas internet (IoT) och artificiell intelligens (AI), kräver enorma mängder information för att fungera. En viktig utmaning för integritetsskyddet är att hantera all data utan att skada användarna. 

Tjänster som intelligenta städer och smarta energinät samlar in data som kan nyttjas felaktigt för att ta fingeravtryck på användare och deras aktiviteter. 

Samtidigt som bearbetning av stora datamängder med maskininlärningsalgoritmer möjliggör prediktiva hälso- och ekonomitjänster, väcks nya integritetsfrågor eftersom maskininlärningsmodeller är sårbara för attacker som avslöjar de data de tränats på. 

Att sprida och lagra all denna information på ett säkert sätt är också en utmaning eftersom kvantdatorer kan skada säkerheten i de krypteringsalgoritmer som idag används i stor utsträckning för att skydda data. 

Med dessa utmaningar kommer efterlevnad av integritetslagstiftningen att bli en mycket krävande uppgift för organisationer som vill driftsätta och/eller använda framtida digitala system.

— För att ta itu med dessa utmaningar måste vi först få en bättre förståelse för integritetsfrågorna i big data-eran i samband med ny teknik, säger Apostolos Pyrgelis.

Apostolos föreslår därför att de som utformar digitala system ska följa en holistisk helhetssyn som tar hänsyn till användarnas integritet på tre nivåer: 

  1. Användarcentrerad, integritetsvänlig och etisk design; 
    kan stärka integriteten i framtida digitala system genom att säkerställa att endast relevanta data samlas in och behandlas.
  2. Integritetsfrämjande teknik; 
    kan hantera tekniska integritetsfrågor och skydda datasekretessen mot illvilliga aktörer.
  3. Policyer och rättsliga ramar;
    kan upprättas för att skydda användarnas rättigheter.

Utveckling av standarder i takt med teknikutvecklingen

När digitala integritetsstandarder utvecklas i takt med ny teknik behövs kontinuerlig forskning som syftar till att bättre förstå och analysera potentiella integritetsfrågor som uppstår vid användningen av dem. 

För att säkerställa att forskningsresultaten påverkar framtida tjänster och integritetsstandarder betonar Apostolos att det viktigt att etablera starka och gynnsamma samarbeten mellan den akademiska världen, näringslivet, standardiseringsorganisationer, samt tillsynsorgan. Det stimulerar och främjar utformningen och införandet av respektfulla digitala tjänster där användarnas integritet är standard och inte ett valfritt tillägg. 

Framtidens integritetsskyddande tekniker stärker digitala system

Privacy by design är den viktigaste metoden för att förbättra användarnas integritet i framtida digitala system. Apostolos menar att framtida systemdesigners bör ta hänsyn till integritetsfrågor innan de lanserar en digital tjänst och införa strategier som respekterar användarna och deras personliga information. 

— Ett enkelt exempel på ”privacy by design” är dataminimering, vilket innebär att en digital tjänst endast bör samla in de uppgifter från sina användare som är absolut nödvändiga för att den ska fungera och inget utöver det, förklarar Apostolos.

Att tillämpa inbyggt integritetsskydd är ett viktigt steg för att skydda den personliga integriteten, men det räcker inte för att stödja alla digitala tjänster, till exempel sådana som hanterar extremt känslig information som medicinska uppgifter. Därför kan integritetshöjande teknik (PET) användas i kombination med en respektfull systemdesign för att säkerställa att inga personuppgifter avslöjas för den digitala tjänsten, eller någon illvillig aktör, samtidigt som den digitala tjänstens funktionalitet upprätthålls.

— Homomorf kryptering är en särskild typ av kryptering som stöder beräkningar på krypterade data. På så sätt kan en användare kryptera sina känsliga data och en tjänsteleverantör kan analysera dem utan att titta på dem, säger Apostolos.

Vidare förklarar Apostolos att säker flerpartsberäkning möjliggör beräkningsfunktionalitet, till exempel träning av maskininlärningsmodeller, på data som kommer från flera användare utan att någon information avslöjas under processen. 

Slutligen kan differentierad integritet användas för att göra data ”suddiga” med kalibrerat brus och begränsa den information som avslöjas från resultaten av integritetsskyddande beräkningar. 

Även om PET-metoder har varit föremål för forskning i ett par decennier, har de senaste genombrotten och utvecklingsinsatserna gjort dem mer praktiska och tillgängliga för användning i moderna digitala tjänster.


Kunskapen om integritet behöver höjas på individnivå

För att skydda digital integritet behöver också kunskapen höjas hos användarna.
Med ökad medvetenhet, kan användare analysera mer kritiskt vilken information som deras enheter samlar in, hur denna information delas med tredjepartstjänster och i vilka syften. 

— Ökat kritiskt tänkande kan övertyga användarna om att välja tjänster som skyddar deras integritet bättre, tror Apostolos. 

För att hjälpa människor att påverka sin integritet i komplexa digitala miljöer är det viktigt att experter fortsätter att utveckla användbara verktyg med öppen källkod som gör det möjligt även för användare som inte är tekniskt kunniga att hålla koll på informationsflöden, hantera sina integritetspreferenser och utföra lämpliga kontrollåtgärder. 

När ny digital teknik som AI och IoT blir allt vanligare är det också viktigt att enskilda personer stöder och deltar i arbetsgrupper som analyserar ny teknik ur ett integritetsperspektiv i syfte att föreslå nya policys och lagstiftning som utgår från användarnas bästa. 

Forskning inom digital integritet för framtida digitala system 

Apostolos nuvarande forskning ligger i skärningspunkten mellan integritet och maskininlärning. Hans övergripande mål är att bidra till AI-tjänster som respekterar användarnas integritet. Hans forskning är inriktad på två delar: 

  1. Sekretess för maskininlärning

I den här forskningsinriktningen undersöker Apostolos hur man kan möjliggöra maskininlärningstjänster som skyddar integriteten för de data som används. För att uppnå målet tillämpar Apostolos PET som homomorf kryptering och säker flerpartsberäkning för att realisera end-to-end arbetsflöden för maskininlärning vars matematiska operationer görs i blindo, det vill säga utan direkt tillgång till känsliga användardata. 

— I ett nyligen avslutat projekt utformade vi till exempel ett system som gör det möjligt för flera olika sjukhus att träna en maskininlärningsmodell för upptäckt av bröstcancer på sina gemensamma databaser, utan att avslöja någon information om sina patienter för varandra, berättar Apostolos.

  1. Maskininlärning för integritet 

I den andra forskningsgrenen studerar Apostolos dataflöden ur en illvillig angripares synvinkel och tillämpar maskininlärningstekniker för att härleda känslig information om användare. Detta steg är avgörande eftersom integritetsattacker ger ett kvantifierbart sätt att bedöma integriteten för en tjänst. Genom att bygga vidare på integritetsattackerna utifrån försvararens synvinkel kan integritetsförsvaret förbättras och nya försvar kan utformas baserade på maskininlärning. 

— I ett aktuellt projekt använder vi till exempel kontradiktorisk maskininlärning för att generera syntetiska medicinska data som inte innehåller personlig information som kan identifiera användarna, samtidigt som de behåller mönster som är användbara för prediktiv analys, förklarar Apostolos.

Utöver detta forskningstema har Apostolos intresse i att undersöka hur maskininlärningstekniker kan användas för att lösa andra cybersäkerhetsproblem, till exempel att analysera hotinformation för prediktiv analys samt att upptäcka, förebygga och reagera på nya hot. 

Cybersäkerhetsforskningens framtid och utmaningar

Apostolos tycker att det behövs mer forskning som visar hur ny teknik kan användas inom cybersäkerhet, både ur försvararens och angriparens perspektiv. Till exempel hur artificiell intelligens kan bidra till att skapa bättre verktyg för att upptäcka hot, men också hur den kan missbrukas av cyberbrottslingar för att skapa mer sofistikerad skadlig kod och utföra avancerade social engineering-attacker. 

Han ser fram emot att undersöka hur olika typer av information som samlas in av IoT edge-enheter kan vara användbar för förbättrad cybersäkerhet, liksom hur de potentiella sårbarheterna i IoT-enheter kan missbrukas för att starta cyberattacker av aldrig tidigare skådad omfattning. Även forskning inom utformning av kvantsäkra kryptografiska algoritmer och kvantkryptoanalys av nuvarande säkerhetssystem avgörande för cybersäkerhetens framtid. 

Slutligen ser Apostolos att mer forskning kring användbara verktyg för mjukvaru- och hårdvarusäkerhet behövs, nya försvar mot attacker i leverantörskedjan och nya metoder för cybersäkerhetsutbildning och utbildning av slutanvändare.

Vidare läsning

För mer information om Apostolos forskning och pågående projekt, besök:

2024-11-18

Ny chef för Centrum för cybersäkerhet på RISE

2024-11-18

Digital integritet för framtida digitala system

2024-10-21

6G och satelliter – nästa era av global kommunikation

2024-10-01

Standardisering av IoT-säkerhet bidrar till en säkrare digital framtid

2024-08-05

Höstens cybersäkerhetskurser på RISE

2024-06-27

IoT och säkerhet - en djupdykning i framtidens teknik

2024-06-10

RISE godkända för att certifiera radioutrustning

2024-05-13

Cybernoden ska växa med 100% för att främja cybersäkerheten

2024-04-15

Så förbereder du dig på EU:s cybersäkerhetsdirektiv NIS2

2024-03-13

Federerad inlärning inom cybersäkerhet — värnar om integritet

2024-02-08

Sveriges nya Cybercampus invigt

2024-01-08

Vårens cybersäkerhetsutbildningar hos RISE är nu tillgängliga

2024-01-08

Människocentrerad cybersäkerhet — avgörande för lämpliga cybersäkerhetsåtgärder

2023-11-28

Rapport från RISE: AI medför möjligheter och risker inom cybersäkerhet

2023-11-20

Krafttank används i forskningsprojekt för cybersäkerhet i elnätet

2023-10-23

Nya EU-krav för cybersäkerhet berör tillverkare

2023-10-10

Cybersäkerhetscertifiering i EU ska underlättas

2023-09-12

Glädjande besked för RISE och cybersäkerheten i Sverige – Cybercampus stöttas av regeringen

2023-08-22

Höstens cybersäkerhetsutbildningar på RISE har öppnat

2023-07-05

Utveckling av säkerhetskritiska system

2023-06-11

Cybersäkerhet viktigt i digital infrastruktur för förnybar energi- RISE deltar i diskussionerna

2023-06-05

RISE deltar i forskningsprojekt om psykologiskt försvar

2023-05-31

Cybersäkerhet som konkurrensmedel — vad bidrar RISE med?

2023-04-24

RISE Centrum för Cybersäkerhet har öppnat vårens cybersäkerhetskurser

2023-04-03

Förslag på åtgärder för att möta cyberhot mot elsystemet — en rapport

2023-03-27

Sakernas internet i en osäker tid — en rapport till ledare och beslutsfattare

2023-02-20

Nya cyberlandskapet i fordon kräver ökad medvetenhet och expertis

2023-02-03

Ny kommunikationskanal för cybersäkerhet

2023-02-02

Vilken effekt kommer EU Cyber Resilience Act ha?

2023-02-02

Förordningen om maskinprodukter ska ge ökad fokus på cybersäkerhet 

2023-02-02

EU Cyber Security Act—vad innebär det och vilka regler gäller?

2023-02-02

Samarbete är nyckeln till ökad cybersäkerhet

2023-01-25

Är du redo för nästa drag inom Cybersäkerhet?