Ewolucja prywatności w aplikacjach mobilnych – wywiad z Błażejem Zyglarskim, PrivMX
W świecie, gdzie cyfryzacja, mobilność i prywatność są kluczowymi elementami naszej codzienności, coraz więcej kładziemy nacisku na bezpieczeństwo naszych danych. O roli aplikacji mobilnych, wyzwaniach związanych z ich bezpieczeństwem oraz o tym, jak projektować aplikacje z myślą o prywatności użytkowników w rozmowie z Błażejem Zyglarskim, Head of Mobile Applications w PrivMX.
Klaudia Ciesielska, Brandsit: W dzisiejszym świecie, w którym cyfryzacja obejmuje wiele elementów naszego życia, aplikacje mobilne stanowią nieodłączny element codzienności. Czasami są wręcz niezastąpione. Jakie cechy powinny posiadać aplikacje, biorąc pod uwagę potrzeby użytkowników?
Błażej Zyglarski, PrivMX: Ważne jest zrozumienie, jakie są ogólne wymagania rynku. Jednak z naszej perspektywy często zauważamy, że mimo spełniania podstawowych funkcjonalności, oczekiwanych przez użytkowników, aplikacje nie zapewniają odpowiedniego poziomu bezpieczeństwa.
Często słyszymy o atakach hakerskich, przeciekach danych czy podsłuchiwaniu. Użytkownicy budzą się z pytaniem, co stało się z ich danymi, szczególnie gdy dotyczy to aplikacji, które wcześniej uznawali za godne zaufania. Okazuje się, że inni ludzie mogą swobodnie czytać ich prywatne wiadomości i dowiedzieć się wszystkiego, co zostało w nich zapisane. Dlatego oprócz spełnienia podstawowych potrzeb użytkowników, aplikacje powinny także zapewnić im bezpieczeństwo, aby cel, dla którego są używane, nie stał się źródłem problemów dla użytkownika.
Użytkownicy korzystają na co dzień z wielu różnych programów, na przykład skanerów dokumentów. Często te dokumenty są przechowywane w chmurze, ale nie jest jasne, w jakiej dokładnie chmurze. Jeśli nie mamy pewności, czy tego rodzaju rozwiązania są bezpieczne, to nie możemy mówić o spełnieniu funkcji danej aplikacji. Musi istnieć odpowiedni balans między funkcjonalnością, która zapewnia prosty interfejs użytkownika, a bezpieczeństwem, które również musi zostać uwzględnione.
Dodatkowo, pojawia się również problem z ogromnie szerokim wyborem aplikacji o różnych celach, a użytkownicy często nie mają wiedzy i możliwości, aby dokładnie zbadać, co znajduje się “pod spodem” danej aplikacji. Ostatecznie trudno ocenić, która aplikacja jest najlepsza.
Klaudia Ciesielska, Brandsit: Ostatnio w ramach marki PrivMX zaprojektowaliście aplikację, która pełni rolę eksperymentu. Na czym polega ten eksperyment i jaki jest jego cel?
Błażej Zyglarski, PrivMX: Tak, aplikacja, o której mówisz, to Private Camera App. Rzeczywiście, od strony biznesowej to nasz pierwszy produkt ściśle konsumencki, ale pod względem jakości jak najbardziej gotowy i bardzo ciekawy – odpowiada na realne potrzeby rynku i wpisuje się w wartości Simplito. Pod względem technologicznym, jest to projekt mający na celu zbliżenie nas do opublikowania platformy PrivMX, która będzie stanowić bazę do tworzenia różnego rodzaju oprogramowania zapewniającego prywatność. Nasza obecna aplikacja służy przede wszystkim do przetestowania możliwości, jakie oferuje nasza platforma w fazie budowy. Działa ona jak prosty aparat fotograficzny, który umożliwia automatyczne szyfrowanie wykonanego zdjęcia i przechowywanie go w zabezpieczonej chmurze. Pozwala również na bezpieczne udostępnianie tych zdjęć innym użytkownikom, abyśmy mogli mieć pewność, że tylko wybrane osoby będą miały do nich dostęp.
Idea samej aplikacji jest bardzo prosta – zastępujemy inne aplikacje aparatu w systemach iOS lub Android i umożliwiamy użytkownikom przechowywanie zdjęć w sposób bezpieczny i poufny – nie w pamięci urządzenia czy jakiejś domyślnej, systemowej chmurze, ale na dedykowanych serwerach o zerowej wiedzy. Określamy tę aplikację jako eksperyment, bo pozwala nam również testować pewne rozwiązania technologiczne, które wcześniej stworzyliśmy dla innych programów w ramach marki PrivMX – ale w nowym, zupełnie konsumenckim produkcie. Ogólnie rzecz biorąc, naszym celem jest opublikowanie platformy w modelu PaaS (Platform as a Service), która umożliwi nam oraz innym deweloperom wydawanie w pełni zabezpieczonych aplikacji.
Klaudia Ciesielska, Brandsit: Aplikacja jest obecnie skierowana na rynek konsumencki, ale ostatecznym celem jest przeznaczenie jej dla sektora biznesowego. Aplikacja nie gromadzi danych użytkowników, więc w jaki sposób planujecie wykorzystać zdobyte doświadczenia podczas jej wdrażania?
Błażej Zyglarski, PrivMX: W PrivMX obsługujemy aplikację Fusion, służącą do zarządzania pracą zespołu oraz mobilną aplikację Pocket, która uzupełnia desktopową wersję Fusion; pracujemy też równolegle nad innymi narzędziami biznesowymi. Wszystkie te rozwiązania powstają w ramach platformy PrivMX, aby sprawdzić, jak działa ona w środowiskach wymagających dużej skali, postanowiliśmy stworzyć aplikację konsumencką – chcemy w ten sposób przetestować jej wydajność i skalowalność globalnie.
Jak to ma się do aplikacji biznesowych? Mamy pomysł na wykorzystanie kamery w środowisku biznesowym i planujemy w przyszłości stworzyć wersję komercyjną tej aplikacji. Dla przykładu – dział firmy może być obecny na konferencjach i potrzebować dokumentacji fotograficznej dla reszty zespołu. Innym przypadkiem może być praca pracownika terenowego, jak na przykład inspektor budowlany, który także musi prowadzić fotograficzną dokumentację. Jeśli chcemy zapewnić możliwość automatycznego, bezpiecznego i uporządkowanego przekazywania tych zdjęć pracodawcy, to nasza aplikacja rozwiązuje ten problem. Przedsiębiorcy nie będą już musieli zapewniać dodatkowego, firmowego sprzętu swoim pracownikom, wystarczy zainstalować biznesową wersję aplikacji.
Widzimy potencjał biznesowy w tym obszarze i rozwijamy aplikacje biznesowe skierowane do różnych obszarów rynku, nie tylko tych w oczywisty sposób opartych na prywatności, jak branża prawnicza czy sektor zdrowia. Prywatność danych to nowa norma w globalnym biznesie i mamy narzędzia, które są przygotowane na te nowe realia.
Klaudia Ciesielska, Brandsit: Własnie, jak oceniasz poziom prywatności danych w polskim biznesie? Na poziomie administracyjnym mamy RODO, spore kary za naruszenia, ale jak biznes podchodzi do prywatności? Jak zmienia się świadomość firm w tym zakresie?
Błażej Zyglarski, PrivMX: Ostatnio obserwujemy zmiany w podejściu do prywatności danych w polskim biznesie, i to jest bardzo dobra tendencja. Niestety, nadal słyszy się o przypadkach, także w dużych, państwowych organizacjach, w których tajne dokumenty lub dane, które nie powinny być ujawnione, lądują w prywatnych skrzynkach mailowych szeregowych pracowników. Dlatego świadomość w tej kwestii rośnie, również dzięki takim incydentom. Coraz więcej firm zdaje sobie sprawę, że w ich strukturach działa się tak samo – używa się prywatnych skrzynek pocztowych do przechowywania firmowych danych lub niezabezpieczonych komunikatorów i czatów do przesyłania poufnych treści. Dzięki naszemu kompleksowemu podejściu do szyfrowanej komunikacji, pracy zespołowej i budowania biznesowych relacji, oferujemy wyższy poziom prywatności. Oczywiście, pracodawca, który pragnie zapewnić bezpieczeństwo danych w swojej firmie, powinien przekonać pracowników do korzystania z takich narzędzi. Jednocześnie jednak pracownicy, będąc świadomymi zagrożeń i ryzyka, mogą przekonać pracodawcę do takich wdrożeń.
Klaudia Ciesielska, Brandsit: Agencje rządowe są dużymi organizacjami, ale niestety również popełniają błędy. A jak mały biznes radzi sobie z kwestiami szyfrowania i bezpieczeństwa? Czy istnieje różnica w podejściu?
Błażej Zyglarski, PrivMX: Problem bezpieczeństwa danych występuje wszędzie, niezależnie od wielkości organizacji. Wiele zależy od świadomości użytkowników i ich umiejętności korzystania z odpowiednich narzędzi. Jednak istnieje pewna znamienna różnica między dużymi a małymi firmami, a mianowicie budżet. Często małe firmy obawiają się, że wprowadzenie nowych rozwiązań do swojej komunikacji wiąże się z dużym obciążeniem finansowym. Jednakże inwestycja w bezpieczeństwo danych zawsze jest ostatecznie korzystna, ponieważ pomaga uniknąć poważnych konsekwencji, takich jak kary za naruszenia prywatności czy utratę tajemnicy przedsiębiorstwa.
Wiele złych, prywatnych nawyków konsumenckich, takich jak korzystanie z niezabezpieczonych urządzeń czy wysyłanie poufnych treści przez popularne aplikacje społecznościowe, przenosi się również na środowisko pracy. To niekoniecznie jest związane z rozmiarem organizacji. Często użytkownicy nie zdają sobie sprawy, jakie prawa przysługują firmie dostarczającej daną aplikację. W umowach i regulaminach często pojawiają się zapisy, w których użytkownik praktycznie oddaje prawa do treści, które tam umieszcza. W przypadku dużych platform społecznościowych było to na przykład widoczne, gdy zdjęcia wrzucane przez użytkowników stawały się własnością platformy, która mogła nimi dysponować dowolnie. Często takie firmy wykorzystują tak pozyskane dane do profilowania użytkowników i innych celów marketingowych. Naszym celem jest zapewnienie użytkownikom pełnej prywatności i kontroli nad własnymi danymi, bez jakiegokolwiek udziału czy przetwarzania przez tzw. trzecią stronę.
Klaudia Ciesielska, Brandsit: Na jakie aspekty szyfrowania i bezpieczeństwa zwracasz uwagę jako projektant aplikacji? Co jest najważniejsze dla Ciebie w kontekście bezpieczeństwa?
Błażej Zyglarski, PrivMX: Najważniejsze jest, aby cała aplikacja była projektowana od początku z uwzględnieniem bezpieczeństwa i prywatności (czyli w myśl koncepcji Privacy-by-Design). To oznacza, że nie ma w aplikacji żadnych słabych punktów, w których dane są pozostawione bez odpowiedniej ochrony. To jest dla mnie kluczowe.
Klaudia Ciesielska, Brandsit: Co stanowi największe wyzwanie podczas projektowania aplikacji, aby zachować równowagę między bezpieczeństwem a funkcjonalnością oraz prostotą użytkowania?
Błażej Zyglarski, PrivMX: Znalezienie odpowiedniego balansu pomiędzy bezpieczeństwem, funkcjonalnością a prostotą użytkowania jest wyzwaniem samym w sobie. Często istnieje presja na szybkie wdrożenie aplikacji, co może spowodować pominięcie aspektów związanych z bezpieczeństwem. Dlatego już na etapie projektowania architektury aplikacji musimy skupić się na odpowiednich zabezpieczeniach i uwzględnić szyfrowanie jako integralną część rozwiązania. Prototypowanie aplikacji w pośpiechu może prowadzić do problemów i luk w zabezpieczeniach.
Podczas tworzenia platformy PrivMX i testowych aplikacji, kładziemy duży nacisk na uproszczenie procesu programowania i zapewnienie programistom łatwego dostępu do narzędzi ochrony, aby nie musieli oni samodzielnie zajmować się dość skomplikowanym w istocie szyfrowaniem. Oczywiście – są trudności związane z przetwarzaniem i analizowaniem danych na urządzeniach, zwłaszcza gdy dane muszą być zabezpieczone. Wiąże się to z pewnymi ograniczeniami funkcjonalności, takich jak filtrowanie i przeglądanie danych, które muszą być wykonywane na samym urządzeniu klienta. To największe wyzwanie związane z podejściem zorientowanym na totalną prywatność, ale zawsze da się znaleźć taki kompromis, który nie naraża samego użytkownika – trzeba tylko poszukiwać nowych, czasem trudniejszych rozwiązań.