Privacy by design in beveiligingsonderzoek

ACHTERGROND - Jeroen van der Ham is onderzoeker en docent bij de opleiding System and Network Engineering van de Universiteit van Amsterdam. Hij schrijft voor het Rathenau Instituut een serie blogs over ethische vraagstukken bij data-onderzoeken. In deze bijdrage beschrijft hij hoe onderzoekers in beveiligingsonderzoek ‘privacy by design toepassen’.

Introductie

Tinder is een razend populaire dating app die in het verleden al heeft laten zien het niet zo nauw te nemen met privacy en beveiliging. Eerdere versies lieten toe dat direct GPS coördinaten van andere gebruikers kon worden opgevraagd.

Na publicatie van dat onderzoek veranderde Tinder de zoekresultaten door voortaan niet langer coördinaten te geven, maar alleen afstand. Door wat meer opvragingen te doen en gebruik te maken van wiskunde (trilateratie) is het dan nog steeds redelijk eenvoudig om de exacte plaats van willekeurige Tindergebruikers te bepalen.

Het duurde even, maar opnieuw paste Tinder de resultaten in de app aan. De afstand tot andere gebruikers wordt nog steeds teruggegeven, maar nu is het afgerond naar boven als het onder een kilometer komt. Studenten van de System and Network Engineering Master vertrouwen het nog steeds niet en onderzochten de nieuwe resultaten.

Bij een verzoek aan de Tinderserver voor potentiële matches kan niet alleen de huidige locatie worden meegegeven, maar ook een zoekradius die tot heel erg klein kan worden ingesteld. Je kan de zoekradius bijvoorbeeld instellen op een afstand van tientallen meters. De resultaten van de server geven dan weliswaar de omhoog afgeronde afstand van één kilometer weer, maar in werkelijkheid bevinden de gebruikers zich in de radius die van tientallen meters. Op die manier zou met wat moeite nog steeds een exacte locatie van een gebruiker te achterhalen zijn.

De studenten wilden onderzoeken of ze konden aantonen dat gebruikers op deze manier kunnen worden geïdentificeerd. Met het opzetten van het onderzoek lopen de studenten echter tegen een probleem aan: hoe kunnen ze de mogelijke inbreuk op de privacy onderzoeken zonder zelf de privacy van gebruikers te schaden?

Na goed doordenken van het onderzoeksmethode besloten de studenten om alleen de identificatiecode en de afstand van de Tindergebruiker te bewaren, maar niet de persoonlijke profielinformatie. Zo hadden de studenten een manier om te bewijzen dat er een inbreuk op de privacy werd gemaakt, zonder zelf een inbreuk te maken.

Duiding

De studenten doen hier een onderzoek naar de veiligheid van een dienst en applicatie, maar passen daar ook privacy by design op toe. Dit is een principe uit de ontwerppraktijk waarbij de privacy van gebruikers direct meegenomen wordt in het ontwerp van een app of dienst (lees hier het interview in Flux met Ann Cavoukian over privacy by design). Dezelfde principes kunnen ook bij het opzetten van een onderzoek toegepast worden.

Een naïeve onderzoeksmethode hier zou zijn om verschillende verzoeken aan de server te doen en alle resultaten op te slaan. Dit is echter een inbreuk op de privacy van alle gebruikers. Het andere uiterste is een testgebruiker aan te maken en alleen data over die gebruiker op te slaan. Maar door de grote populariteit van Tinder is het bijna onmogelijk om die testgebruiker terug te vinden in de resultaten van de app.

Uiteindelijk is gekozen voor een tussenoplossing: er wordt voor de duur van het onderzoek alleen de identificatiecode van een Tindergebruiker en de afstand opgeslagen. Er wordt dus alleen gekeken naar de relevante data uit het resultaat, alle andere gegevens worden direct verwijderd. Op die manier is het mogelijk om groepen gebruikers opgevraagd van verschillende locaties makkelijk met elkaar te vergelijken, zonder daarbij die gebruikers te kunnen identificeren.

Conclusie

Bij het doen van beveiligings- of privacyonderzoek is het gevaar om de makkelijkste weg te kiezen en direct aan de slag te gaan. Het is echter goed om van te voren na te denken over de manier waarop het onderzoek uitgevoerd wordt. Niet alleen om het wetenschappelijke niveau te waarborgen, maar ook om privacy by design toe te kunnen passen.

Ook dit soort onderzoeken is bijna altijd uit te voeren zonder de privacy van de gebruikers te schaden. Zoals hierboven al aangegeven, is dat niet altijd makkelijk, en soms moet er gekeken worden naar alternatieve methoden om tot een goed resultaat te komen.

Informatica- en beveiligingsonderzoek gaat steeds meer om (stromen van) gebruikersdata. De ethische impact van onderzoek hiernaar is niet altijd direct evident. Het is goed als onderzoekers en studenten hier van te voren over nadenken. Het liefst in samenwerking met een ethisch adviseur, of zelfs een getraind ethicus.

Bij de System and Network Engineering Master moeten studenten in hun onderzoeksplan nu een ethische paragraaf schrijven. Op die manier worden de studenten gedwongen om na te denken over de ethische implicaties van hun onderzoek voor ze dat daadwerkelijk gaan uitvoeren. Dit deel van het plan moet ook goedgekeurd worden door een ethische commissie. Deze praktijk begint nu ook geaccepteerd te raken bij informatica onderwijs en onderzoek op andere universiteiten.

Via Data denkers

  1. 1

    Wat een lastige term is trilaterie. Heb je ooit leren rekenen met nederlandse termen? Ik had toch echt even een halve minuut nodig om te bedenken wat je bedoelde. Verder lijkt het een probleem dat je privacy onbeveiligd is terwijl je vastgeplakt aan je schermpje een nieuwe date zoekt binnen enkele tientallen meters??? Laat de mensen die een nieuw sex-maatje zoeken via de vleeskeurings-toepassing nou net de behoefte aan privacy hebben pas op het moment dat het vlees geconsumeerd wordt. Gewoon ouderwets om je heen kijken, praatje maken en zo voorts. Hotelkamer voor een aantal uur, of zoiets.

  2. 2

    “Door wat meer opvragingen te doen en gebruik te maken van wiskunde (trilateratie) is het dan nog steeds redelijk eenvoudig om de exacte plaats van willekeurige Tindergebruikers te bepalen.”

    Een schande dat de schrijver van dit stukje niet bekend is met het woord “driehoeksmeting”, vooral omdat het juist Nederlandse wiskundigen zijn geweest (Jemme Frisius en Willebrord Snel(lius)) die in de 16e eeuw een sleutelrol in de ontwikkeling ervan hebben gehad.