Każdego dnia gromadzimy w swoich telefonach setki danych, często bardzo poufnych, takich jak maile, smsy czy zdjęcia, których nie chcielibyśmy pokazywać wszystkim. O ile chronimy nasze komputery przed wirusami i atakami hakerów, o tyle o bezpieczeństwo smartfonów nie dbamy prawie wcale. Dlaczego? Badacze z Politechniki Wrocławskiej postanowili to sprawdzić

Badania na temat bezpieczeństwa i biometrii urządzeń mobilnych w Polsce przeprowadziła grupa z Zespołu Laboratoriów Naukowo-Badawczych Centrum Wiedzy i Informacji Naukowo-Technicznej PWr. Swój projekt naukowcy przeprowadzili w ramach Laboratorium Interdyscyplinarności i Kreatywnego Projektowania „Design Thinking – Biometry”. Pracami kierował Wojciech Wodo, doktorant z Wydziału Podstawowych Problemów Techniki. Zespół tworzyli także: Hanna Ławniczak, Marta Tarapata, Agnieszka Andrzejewska, Joanna Mirocha, Irmina Krawczyk i Łukasz Liebersbach. Szczegółowy raport opisujący projekt można przeczytać tutaj.

Rozmowa z Wojciechem Wodo, współautorem raportu i kierownikiem prac grupy badawczej

Lucyna Róg: Dlaczego postanowiliście przyjrzeć się akurat bezpieczeństwu urządzeń mobilnych?

Wojciech Wodo: –  Bo – jak pokazują statystyki – liczba ich użytkowników przekroczyła już liczbę użytkowników laptopów i komputerów stacjonarnych. A to oznacza, że statystycznie mogę nie mieć komputera, ale smartfon lub tablet mam na pewno. Urządzenia mobilne coraz częściej zastępują nam komputery. Stają się naszymi przenośnymi „centrami dowodzenia” i to zarówno w życiu prywatnym, jak i zawodowym. Wysyłamy przez nie maile, robimy przelewy, korzystamy z Facebooka, Twittera i Snapchata i stale jesteśmy podłączeni do sieci. Zainteresowało mnie więc, jak – przy skali tego zjawiska – Polacy podchodzą do kwestii bezpieczeństwa swoich smartfonów. Ja sam jestem bardzo ostrożny. Nie przechowuję w swoim telefonie np. zdjęć czy wysłanych smsów, ale nie znam zbyt wielu osób, które postępowałyby podobnie. Postanowiłem przyjrzeć się temu, jak ta sytuacja wygląda w szerszej skali.

Jako grupa chcieliśmy też przeprowadzić badania zgodne z metodyką pracy Design Thinking. Kilka miesięcy temu zorganizowałem otwarty nabór do zespołu, który będzie wykorzystywał takie właśnie podejście badawcze. Zgłosiło się kilka osób, o różnych specjalizacjach i doświadczeniu, dzięki czemu nasza grupa stała się interdyscyplinarna. Uznaliśmy, że kwestia bezpieczeństwa urządzeń mobilnych i podejścia Polaków do zabezpieczeń biometrycznych będzie w sam raz do przebadania tą metodą.

Takich badań spodziewałabym się raczej po grupie specjalistów od nauk społecznych.

Metodyka Design Thinking zmusza do myślenia w szerokiej perspektywie, zanim zaczniemy planować nową technologię. Każe pamiętać o tym, że nowe produkty i usługi mają trafić do klienta i być dopasowane do jego potrzeb. A żeby tak się stało, trzeba najpierw tego klienta zrozumieć, wejść w jego buty. Inaczej stworzymy technologię, która z punktu widzenia klienta będzie nietrafiona i będzie zalegała na półkach. Nasze badania były właśnie próbą zrozumienia, jak użytkownicy urządzeń mobilnych korzystają z nich, czy i dlaczego dbają lub nie dbają o ich bezpieczeństwo i czy są skłonni używać rozwiązań biometrycznych.

Wasz projekt pokazał, że kwestia bezpieczeństwa danych jest bardzo daleko na liście priorytetów Polaków.

Podejrzewałem, że nasze badania pokażą pewną beztroskę w kwestii bezpieczeństwa urządzeń mobilnych, ale wyniki przeszły moje najśmielsze przewidywania. I to w tym negatywnym sensie.

Zacznę od tego, że przebadaliśmy 60 osób w wieku od 14 do 84 lat, o różnym wykształceniu, zawodzie i płci. Statystycznie nie jest to duża grupa, ale nie prowadziliśmy badań statystycznych a fokusowe, czyli opierające się na pogłębionych wywiadach z uczestnikami badań. Zdecydowaliśmy się na taką formę projektu, bo chcieliśmy nakreślić obszar, który warto będzie jeszcze przebadać w przyszłości, ale już dziś jego wyniki mogą nam pomóc przy projektowaniu konkretnych rozwiązań dla urządzeń mobilnych.

Zwracaliście uwagę nie tylko na odpowiedzi badanych, ale także na ich reakcje.

Każdy wywiad trwał około godziny. Uczestnicy badania odpowiadali na 15 pytań, wokół których krążyliśmy, zadając dodatkowe pytania o szczegóły. Rejestrowaliśmy emocje naszych rozmówców, ich zachowania i to, w jaką stronę prowadziły ich dygresje w rozmowie.

Chcieliśmy dowiedzieć się, w jaki sposób ankietowani postrzegają urządzenia mobilne w swoim życiu, jakie wykonują na nich czynności i dlaczego to robią oraz jakich czynności nie wykonują i dlaczego nie. Innymi słowy: z czego wynikają ich decyzje. Następnie przechodziliśmy do obszaru poczucia bezpieczeństwa. Pytaliśmy, czy czują się bezpieczni ze swoim urządzeniem, czy zdarzyło im się kiedykolwiek utracić takie urządzenie i co to znaczy „utracić”? Czy  je zgubili, stali się ofiarami kradzieży, a może telefon uległ zniszczeniu? Co wtedy odczuwali? Jakie były ich pierwsze myśli w takiej sytuacji? Co byliby w stanie oddać czy też ile byliby w stanie wydać, żeby taka sytuacja się nie powtórzyła?

I tak wyróżniliście „Wygodnicką Wandę”, „Nieufną Natalię”…

„Zagubionego Zbiga” i „Obawiającego się Olka”. Po rozmowach z ankietowanymi stworzyliśmy cztery kategorie użytkowników urządzeń mobilnych i przyporządkowaliśmy do nich naszych badanych. Każda z tych kategorii łączy podobne cechy, potrzeby i obawy.

„Wygodnicka Wanda” nie stosuje żadnych zabezpieczeń swojego telefonu. Najważniejszy jest dla niej szybki dostęp do niego i łatwość obsługi. Kradzieże? W ogóle się ich nie boi, bo jej zdaniem dane, które ma na telefonie, nie są istotne. Irytują ją rozwiązania, które wymagają ciągłego wprowadzania danych weryfikacyjnych.

Z kolei „Nieufna Natalia” nie wierzy w skuteczność i sens zabezpieczeń, a jednocześnie obawia się inwigilacji i ingerencji w jej dane. Informacje o bezpieczeństwie urządzeń mobilnych pozyskuje z massmediów i przyjmuje je jako swoje poglądy. Nie ma ochoty na poszukiwania sprawdzonych rozwiązań bezpieczeństwa danych i prywatności.

„Zagubiony Zbig” głównie nie rozumie – nie wie, co to backup ani chmura, nie potrafi korzystać z podstawowych popularnych aplikacji, jest użytkownikiem typu „one-button clicker”,co oznacza, że potrafi obsługiwać jedynie bardzo proste systemy. Często czuje się zagubiony, dlatego przydałby mu się edukator, który wyjaśniłby mu podstawowe mechanizmy funkcjonowania urządzeń mobilnych.

I na końcu mamy „Obawiającego się Olka”, który jest akurat użytkownikiem o dużej świadomości i sporej wiedzy na temat nowych technologii. Ponieważ obawia się utraty swoich danych i inwigilacji, stosuje różne zabezpieczenia, szyfruje dane i prywatne foldery. W tej grupie mamy zarówno osoby, które świadomie nie przetrzymują w telefonie danych, bo ich utrata byłaby dla nich problemem, jak i osoby, które mają takie dane w smartfonach, ale zabezpieczają je przed utratą.

Ponad połowa waszych badanych przejawiała cechy „Wygodnickiej Wandy”.

Większość respondentów zadeklarowała, że czuje się bezpiecznie, używając na co dzień swojego telefonu. Tylko około 20 proc. stwierdziło, że nie czuje się bezpiecznie, a około 6 proc. ma neutralne podejście do tego tematu, czyli albo nie mają zdania, albo nie czują się bezpiecznie, ale akceptują taki stan rzeczy. Co ciekawe, osoby czujące się bezpiecznie w kontekście swoich urządzeń mobilnych, często w późniejszych etapach wywiadu mówiły o tym, że nie mają żadnych systemów zabezpieczeń na swoich telefonach.  Widać więc bardzo wyraźny brak edukacji w obszarze technologii bezpieczeństwa, zagrożeń wynikających z ryzykownych  zachowań i braku stosowania mechanizmów obrony. Wiele osób korzysta jedynie z fabrycznych ustawień swojego telefonu lub używa tylko domyślnych profili.

Problemem jest także samo zrozumienie pojęcia prywatności. W czasie wywiadów pytaliśmy ankietowanych o to, czym są dla nich dane wrażliwe. Mieli trudności z ich zdefiniowaniem. Przyznawali też, że, niemal ekshibicjonistycznie, na różnych portalach społecznościowych dzielą się wieloma informacjami o sobie i swoim życiu, nie licząc się z możliwymi konsekwencjami.

Jest taka reklama jednego z polskich banków, w której człowiek chodzi po ulicach w prochowcu i od czasu do czasu odsłania go, pokazując  wszystkie swoje dane: PESEL, datę urodzenia, imię mamy itd. itd. Tak zachowujemy się w internecie i tak też zachowujemy się, korzystając z naszych telefonów. Tymczasem statystyki pokazują, że coraz więcej kradzieży urządzeń mobilnych nie jest powodowane chęcią pozyskania samego telefonu czy tabletu, ale właśnie tożsamości i danych użytkownika, a w konsekwencji np. wykonywania transakcji bankowych itp.

Tracąc telefon, nie tracimy więc tylko urządzenia o wartości kilkuset złotych czy kilku tysięcy.

W takiej sytuacji strata finansowa jest dla nas często najmniejszym problemem. Bez telefonu stajemy się „disconnected” – nie mamy kontaktu ze znajomymi, bo nie mamy ich numerów, nie możemy zrobić przelewu bankowego bez potwierdzenia smsem, nie zamówimy nawet taksówki, bo nie pamiętamy żadnego numeru, a korzystaliśmy z aplikacji Ubera itd. Jesteśmy jak dzieci we mgle. Przenosimy więc dużą część swojego życia do telefonu, a jednocześnie nie zajmujemy się jego ochroną. Transferujemy na urządzenie mobilne łatwość, wygodę, szybkość i przyjemność, a rozwagi, roztropności i poczucia bezpieczeństwa już nie.

Naszych respondentów  pytaliśmy o to, jaki byłby dla nich wymarzony system bezpieczeństwa, czy słyszeli kiedyś o biometrii i czy spotkali się z jakimiś zabezpieczeniami telefonów opartymi o biometrię. Samo pojęcie niewiele im mówiło, a wiele osób wspominało, że obawia się różnych rozwiązań, które polegałyby na skanowaniu ich oka czy innej części ciała.

Boimy się tego, czego nie znamy.

Dokładnie. A swoją wiedzę o biometrii czerpiemy głównie z… popkultury. Wszyscy przecież kojarzymy sceny z filmów, gdy czarny charakter, chcąc dostać się do chronionego pomieszczenia czy sejfu, wydłubuje komuś oko, by zeskanować je i uzyskać dostęp do takiego miejsca.

Trudno się nie bać takiej sytuacji…

Tyle że nie ma powodu do strachu. Rozwiązania oparte o biometrię wykluczają możliwość uzyskania dostępu do urządzenia po zeskanowaniu martwej tkanki. Nie ma więc mowy o usuwaniu oczu czy obcinaniu rąk czy palców.

W raporcie z badania opisujecie kilka rozwiązań biometrycznych, które są już stosowane na świecie. Polegają na skanowaniu odcisku linii papilarnych, twarzy użytkownika telefonu czy porównywaniu siły nacisku na urządzenie itp. Czy z takich systemów możemy też korzystać w Polsce?

Tak, nie jesteśmy zapóźnieni technologicznie. Takie rozwiązania są już dostępne m.in. w iPhone’ach. A także – odchodząc na chwilę od tematu urządzeń mobilnych – w kilkuset bankomatach banku z Podkarpacia. Ta firma już kilka lat temu wprowadziła bankomaty skanujące naczynia krwionośne w palcu. Technologię kupili od japońskiego koncernu. Podobną obecnie wprowadza jeden z banków we Wrocławiu. Nie są to jednak rozwiązania, które cieszą się dużą popularnością. Klienci podkarpackiej placówki w większości wolą jednak używać karty, mimo że istnieje ryzyko jej kradzieży czy pozyskania PIN-u.

Podobnie jest z biometrią w telefonach. Niewiele osób decyduje się na używanie jej, głównie z powodu strachu lub z wygody. W Stanach Zjednoczonych biometria jest dość powszechna. Łatwiej jest przekonywać Amerykanów do korzystania z niej, bo rozwiązania biometryczne stały się już elementem codzienności.  U nas brakuje edukacji użytkowników, zatem ci obawiają się biometrii albo po prostu nie widzą dla siebie korzyści z jej użytkowania.

Co ciekawe, kiedy pytaliśmy naszych ankietowanych o idealne zabezpieczenia telefonu, to oni – choć jednocześnie przyznawali, że obawiają się rozwiązań biometrycznych – to jednak odpowiadali: „chciałbym, żeby mój telefon wykrywał mnie przez fale” albo „że jak wezmę telefon do ręki, to on będzie wiedział, że ja to ja”.

Sytuacja jest więc jednoznaczna – badania naukowców i firm na całym świecie pokazują, że zastosowanie metod biometrycznych w celu zabezpieczenia mobilnych urządzeń jest racjonalne, a my sami instynktownie czujemy, że takich rozwiązań potrzebujemy. To jasny sygnał do operatorów telefonii komórkowych i producentów telefonów, że powinni prowadzić kampanie informacyjne przekonujące do korzystania z rozwiązań biometrycznych.

Tym bardziej, że to przyszłość. Producenci telefonów skłaniają się teraz ku tworzeniu multiczynnikowych systemów zabezpieczeń naszych telefonów, czyli takich, które wykorzystują biometrię i standardowe zabezpieczenia, np. skanują ucho i wymagają hasła.

Czy to koniec działań waszego zespołu badawczego czy może zamierzacie zgłębiać ten temat?

W planach mamy teraz badania, w których zaproponujemy wybranemu typowi użytkownika urządzenia mobilnego, np. „Nieufnej Natalii” lub „Obawiającemu się Olkowi” konkretnego rozwiązania biometrycznego. Przeanalizujemy, jak takie rozwiązanie się u niego sprawdza, czy korzysta z niego, a jeśli nie, to dlaczego rezygnuje, co go zniechęca itd. Wyniki mogą być bardzo ciekawe.

Rozmawiała Lucyna Róg