Bagaimana cara menangani data geografis yang sensitif?

Anda menggunakan data geografis yang sensitif setiap hari. Apa strategi Anda untuk melindunginya dalam sistem informasi geografis Anda?

Jenis arsitektur apa yang Anda gunakan?

Metode enkripsi apa yang Anda gunakan?

Apa yang Anda lakukan untuk pengguna yang mengekspor data sensitif dari database Anda?

Dengan basis data geospasial multi-pengguna, Anda dapat mengimplementasikan Row Level Security (RLS). Anda dapat melakukan ini dengan PostgreSQL (dan PostGIS), Oracle dan MS SQL Server, dan mungkin yang lainnya. Saya telah melihatnya diimplementasikan hingga tingkat QGIS dan SDE. Apa yang dilakukan RLS adalah menerapkan hak istimewa pada baris (fitur GIS) yang dapat dipilih / diperbarui / dihapus oleh masing-masing pengguna.

Misalnya, pengguna "bob" dapat masuk ke basis data geospasial menggunakan koneksi terenkripsi, dan menarik lapisan GIS yang hanya menampilkan fitur yang diizinkan untuk dilihat dan dieditnya. Sementara pengguna "menggugat" dapat memuat lapisan GIS yang sama dan melihat tampilan berbeda dari fitur GIS ia diizinkan untuk melihat dan mengedit.

Kadang-kadang saya mengelola data sensitif dan itu tidak dapat dipisahkan menjadi bit publik dan pribadi seperti dalam jawaban pilihan saya yang lain karena geometri memberikan semuanya. Contoh yang baik adalah sarang burung raptor (ayam elang peregrine mengambil harga mahal di pasar gelap) dan menjilat garam (mengapa harus berburu dingin dan sengsara jika saya bisa duduk dan menunggu mangsa berjalan ke pemandangan saya atas kemauannya sendiri?).

Dalam hal ini, strategi kami adalah mengaburkan data: buffer poin menggunakan unit besar dan offset acak atau centroid, hanya tampilkan atau bagikan peta dan bukan data mentah. Kadang-kadang kita menjatuhkan titik geometri dan bergabung dengan atribut dengan poligon induk yang lebih besar, misalnya "suatu tempat di dalam poligon yang dibatasi oleh 2 sungai ini dan jalan raya itu ada jilatan garam" dan itulah yang dibagi di luar unit.

Saya memiliki jawaban di luar band: sederhananya, saya berusaha keras untuk tidak menangani data sensitif jika saya dapat membantu.

Oke, jadi tatap muka jika itu bukan respons yang sangat membantu. Mari kita buat lebih dari itu. Saya telah belajar bahwa banyak waktu ketika klien datang kepada saya dan mengatakan mereka perlu melindungi data sedemikian rupa sehingga eksplorasi data dan tujuan mereka dengan hati-hati akan mengungkapkan bahwa tidak ada banyak yang harus dilindungi seperti yang diperkirakan pada awalnya. . Terkadang hal yang benar-benar pribadi dapat dipisahkan tanpa terlalu banyak kesulitan. Anda menyimpan tabel ulang tahun dan lokasi alamat rumah di sana, dalam sistem file pribadi Anda. Saya akan menyimpan geometri di sini di ruang grup kerja bersama, dan Anda dapat bergabung dengan mereka saat diperlukan menggunakan kolom ID ini.

Prinsip dasarnya adalah: pertahankan tanggung jawab untuk mengelola keamanan sedekat mungkin dengan sumbernya, ke rumah, sebanyak mungkin.

Dengan cara ini, walaupun saya mungkin mengelola data spasial, saya sebenarnya tidak tahu apa-apa tentang hal itu, dan dengan demikian tidak pernah bisa menjadi vektor untuk potensi paparannya. Saya menganggapnya mirip dengan protokol keamanan komputer dasar bahwa sysadmin dapat mengatur ulang kata sandi Anda atau mengunci akun, tetapi tidak benar-benar membacanya.

Saya menggunakan postgresql dengan kemampuan postgis .

Data dapat dienkripsi dan diakses melalui akun pengguna dengan izin basis data eksplisit; yaitu, superuser vs non-priviledged.

Permintaan data dapat ditangani dengan kueri SQL sederhana atau kompleks karenanya subset dan data yang relevan didistribusikan sekaligus melindungi informasi sensitif (tidak dapat didistribusikan).

Ini mendukung berjalan pada LAN tertutup atau lingkungan jaringan penuh dan dengan atau tanpa lingkungan multiuser.

Tentu saja ada beberapa RDBMS lain , tetapi postgresql adalah open-source.

Strategi ini berlaku di beberapa perusahaan yang saya tahu

1. Izinkan akses ke sumber data hanya untuk kepentingan proyek saat ini
2. Gunakan layanan WEB seperti WMS & WFS alih-alih akses langsung ke file data & database
3. Semua pengguna bekerja di Server Terminal dengan akses terbatas ke sumber daya jaringan

Ada artikel menarik yang menggambarkan dan mengevaluasi beberapa pendekatan untuk melindungi privasi:

MP Armstrong, Rushton G, Zimmerman DL. Menyembunyikan data kesehatan secara geografis untuk menjaga kerahasiaan . Stat Med.1999; 18: 497–525.

( Teks lengkap )

Meskipun berfokus pada data terkait kesehatan, banyak pendekatan yang dibahas dapat relevan dalam disiplin ilmu lain.

Dewan Riset Nasional. Menempatkan Orang di Peta: Melindungi Kerahasiaan dengan Data Sosial-Spasial Tertaut . Washington, DC: The National Academies Press, 2007.

( Teks lengkap )

Sumberdaya serba bagus lainnya yang membahas aspek teoritis, etis, dan juga teknologi dari data spasial yang terkait dengan kesehatan.

Untuk sekumpulan besar makalah yang membahas metode dan implikasi penanganan data spasial yang sensitif, lihat halaman Dokumen Pilihan tentang Kerahasiaan dan Data Geospasial SEDAC .