Pontos de vista

O dilema dos dados

Garry Kasparov, 10 Janeiro 2019

O especialista em inteligência artificial, Garry Kasparov, explica a triste verdade sobre a atual segurança dos dados e como podemos virar esse jogo.

Enquanto refletia um dia desses, quando cruzava Manhattan como faço frequentemente (saindo de uma reunião de manhã para um almoço ao meio dia e depois para pegar minha filha na escola), imaginei a mim mesmo como um pequeno ponto no mapa da cidade. Esse ponto pode piscar em vermelho um momento aqui, depois ali, ao longo de todo o dia. Ao reunir isso e cruzar com outros dados que eu gero, como ligações telefônicas, transações de cartão de crédito, etc., esses pontos podem ser facilmente conectados e acompanhar o meu movimento para traçar uma representação visual das minhas atividades durante o dia.

Não estou pensando em algum cenário radical de ficção científica. Exatamente esse tipo de gráfico interativo foi usado pela recente pesquisa do The New York Times sobre como os aplicativos coletam dados de localização de milhões de usuários americanos. Imagens surpreendentes mostram os usuários sendo rastreados em escolas, hospitais, delegacias de polícia e residências, tudo isso sem os corretos mecanismos de consentimento ou vigilância. Este artigo gerou um grande debate, um primeiro passo vital para gerar as reformas e a regulação necessárias, mas não podemos esperar que o noticiário impulsione nossa abordagem à privacidade. Algo dessa importância exige uma abordagem mais proativa.

Gostaria primeiro de sinalizar um ponto importante no relatório que escrevi antes: nós, como indivíduos, precisamos ser mais proativos com relação à nossa proteção online. Não deveríamos aceitar plenamente o texto que os desenvolvedores nos oferecem. Frequentemente, as mensagens que solicitam nosso consentimento ao ativar um rastreamento de local omitem informações cruciais sobre como os dados serão utilizados. A Apple, por exemplo, exige apenas que os desenvolvedores estipulem um uso relevante das informações, como monitoramento de tráfego ou recepção de informações locais sobre o tempo. O fato de que os dados de localização são depois vendidos a terceiros, desde anunciantes até fundos de investimentos, é omitido do texto que a maioria dos consumidores vê. Em vez disso, ele é escondido profundamente em políticas de privacidade altamente técnicas, que uma pessoa média não consegue decifrar, mesmo que se dê ao trabalho de ler antes de clicar em “Ok”. Como resultado, todos devem supor o pior ao escolher compartilhar dados com os desenvolvedores. Provavelmente, eles serão repassados, armazenados e, não importa quais sejam suas intenções, estarão sujeitos a invasões.

Outra preocupação que também já mencionei, que talvez recebe menos atenção do que mereça, é o problema da segurança e responsabilidade das pequenas empresas. Claro, devemos continuar a desconfiar quando as conhecidas gigantes da tecnologia têm acesso aos valiosos dados dos consumidores, mas suas contrapartes menos conhecidas podem representar riscos ainda maiores. Como elas recebem menos publicidade, podem estar mais inclinadas a usar os dados de maneiras questionáveis. Elas também podem ter menos recursos disponíveis para aplicar práticas de segurança e privacidade robustas em suas operações. Esses fatores conspiram para tornar a colocação de dados sigilosos nas mãos de atores menos conhecidos um perigo maior do que entregar esses dados ao Google ou Facebook.

A Apple e o Google, especificamente, têm um poder tremendo como guardiões das suas respectivas lojas de aplicativos e, como diz o ditado, um maior poder significa uma maior responsabilidade. Eles deveriam banir aplicativos ou empresas inteiras quando elas violarem os padrões de privacidade? Após quantas vezes? É fácil passar a responsabilidade e esperar que o público se esqueça antes do próximo vazamento ou manchete na mídia. Há uma falta gritante de padrões e regulamentos comuns para aplicá-los nesses casos.

Outra preocupação que eu tenho, que ainda não ganhou impulso nessa conversa, é a maneira que a inteligência artificial intensificará e acelerará essas ameaças. Os algoritmos atuais já são poderosos quando se trata de triangular denominadores comuns de pontos de dados díspares. Eles vão ficar cada vez mais inteligentes e rápidos e, se nós continuarmos a alimentá-los com cada vez mais dados, as consequências podem se tornar distópicas muito rápido. Sempre fui veloz em apontar que haverá muitas coisas boas produzidas pela inteligência artificial em encontrar conexões e causas ocultas, especialmente em dados de saúde, mas o lado negro não pode ser ignorado. Algoritmos que sabem mais sobre nós e nosso comportamento que nós mesmos são muito poderosos para ficar sem supervisão. No mínimo, deve haver responsabilidade por abusos.

As medidas que as empresas estão tomando agora para proteger seus clientes contra invasões de privacidade são inadequadas em face aos recursos atuais da inteligência artificial, para não mencionar um futuro próximo. As empresas podem dizer que protegem seus usuários evitando a coleta de dados, como nomes, emails e endereços, ofuscando dados para torná-los menos precisos ou excluindo-os após um período de tempo (frequentemente depois de tê-los vendido aos anunciantes). Todos esses métodos fragmentados deixam os usuários altamente vulneráveis. Muitos dos dados que faltam podem ser reconstruídos facilmente para que seja possível identificá-los pessoalmente e se tornarem um grande risco de segurança. Precisamos desenvolver soluções melhores, pensando também que as tecnologias à nossa disposição estão sendo usadas simultaneamente para desenvolver melhores maneiras de violar essas soluções. Já vimos cabeças impressas em 3D sendo usadas para contornar sistemas de bloqueio com reconhecimento facial e impressões digitais geradas por inteligência artificial enganando leitores biométricos.

Claramente, a resposta não é apenas se atualizar para os protocolos de segurança mais recentes e avançados. De fato, o dispositivo de segurança mais legal e recente é frequentemente o mais vulnerável, pois foi relativamente pouco testado no mundo real. A coisa mais importante é restaurar a simplicidade das configurações e a clareza das opções, por mais fora de moda que isso pareça. Eu discuti recentemente como padrões são mais importantes que tudo. As melhores medidas de segurança são completamente irrelevantes se não forem ativadas. As empresas precisam explicar antecipadamente, em uma linguagem que qualquer pessoa possa compreender, o que ela está comprometendo ao ativar os serviços de localização, ou qualquer configuração a esse respeito.

As empresas de tecnologia que fornecem plataformas para desenvolvedores devem obrigar o uso de tais avisos diretos, em vez de possibilitar divulgações vagas e enganosas. E os legisladores também devem fazer a sua parte, não apenas demonstrando indignação quando o setor privado não cumpre as expectativas. Se enfrentarmos uma epidemia de roubos violentos a bancos, o público exigiria que as autoridades policiais e judiciais entrassem em cena, em vez de culpar apenas os bancos. Da mesma maneira, os órgãos legislativos e a Comissão Federal de Comunicações deveriam ser considerados, pelo menos, parcialmente responsáveis por falhar na defesa dos dados do consumidor.

Como sempre, a segurança individual não existe em um vácuo. Fazemos parte também de sistemas maiores que podem ser monitorados, invadidos e manipulados. Vimos isso claramente à medida que a investigação sobre a interferência nas eleições [americanas] de 2016 prossegue. O relatório mais recente do Senado [americano] oferece detalhes sem precedentes para explicar como os russos exploraram as plataformas das redes sociais nos EUA. Desde os sempre mencionados Facebook, Twitter e Instagram aos menores Tumblr, Vine e Reddit, o esforço foi abrangente e sofisticado, visando cuidadosamente grupos como afro-americanos, e com mensagens projetadas para influenciar o comportamento ao votar.

Nessas revelações, ficou claro que qualquer indiferença por parte das empresas de tecnologia é vista como oportunidade por cibercriminosos e propagandistas. A arena das redes sociais se tornou o último campo de batalha entre a democracia e o autoritarismo, e seus arquitetos não podem mais simular ignorância ou desamparo quando se trata de resolver o problema. Enquanto isso, as revelações mais recentes sobre o Facebook vendendo acesso a mensagens privadas me fazem pensar se os cibercriminosos são muito piores do que o próprio modelo comercial da empresa. Mecanismos para uso correto, que protegem o indivíduo e promovem os valores da sociedade mais amplamente, devem ser integrados à estrutura do sistema. Ainda assim, conforme exigimos com direito essas ações do setor corporativo e dos reguladores, devemos exigi-las também de nós mesmos, sendo consumidores atenciosos e informados dos produtos que modelam nosso mundo digital.