In een recent big data rapport van de WRR genaamd ‘Exploring the boundaries of big data’ wordt, in het onderdeel over encryptie, drie privacy benaderingen onderscheiden: geheimhouding en privacy, controle en privacy en praktische privacy (transparantie en feedback). Gezien de actuele onderwerpen van de afgelopen tijd van de standpunten van Trump met betrekking tot encryptie tot Google die jaren achterloopt op Apple wat betreft encryptie op Android, behandel ik in dit blog geheimhouding en privacy in het kader van privacy by design.
In deze benadering wordt het (publiekelijk) beschikbaar komen van persoonlijke informatie gezien als een ‘verlies’ van privacy en geheimhouding als een wijze om privacy te behouden of te verbeteren. Om te voorkomen dat persoonlijke informatie beschikbaar wordt voor mensen die er geen kennis van zouden mogen nemen moeten er (technische) maatregelen worden genomen. Een veelgebruikte maatregel is het gebruik van cryptografische technieken. Vanuit het individu gezien gaat privacy tegenwoordig echter minder over geheimhouding. Daarnaast moet ook verder worden gekeken dan alleen encryptie.
Privacy en geheimhouding
Voor oudere generaties gaat privacy vooral over geheimhouding. Denk maar aan de begindagen van het internet toen er grote argwaan heerste om maar het kleinste beetje te delen in deze ‘vreemde virtuele wereld’. Encryptie zou hier kunnen zorgen voor geheimhouding. Tegenwoordig worden echter door talloze mensen persoonlijke berichten gedeeld op (deels) openbare platformen en chatprogramma’s, van foto’s van nieuwe huissleutels tot berichten met (gevoelige) zakelijke informatie. Alhoewel het delen van persoonlijke informatie onbewust kan gebeuren, is het een feit dat de meeste mensen hun hebben en houden online plaatsen. Het gaat dus niet meer om de vraag of er gedeeld wordt, maar om de vragen wanneer, met wie en welke persoonlijke informatie gedeeld gaat worden.
Verschuiving van geheimhouding naar controle
De afgelopen jaren is dus een verschuiving te zien van geheimhouding naar controle. Als organisaties dit voor ons doen, zoals bijvoorbeeld zonder toestemming onze medische gegevens verstrekken aan andere partijen, verliezen wij controle. Het gaat de huidige (en komende) generaties dan ook met name om dat er voldoende controle is over privacy. Kunnen we zelf bepalen wanneer en met wie we persoonlijke informatie delen? Zijn er passende privacy instellingen aanwezig? Wat zijn de default instellingen bij het aanmelden voor een dienst? Deze en andere vragen komen steeds meer op de voorgrond als invulling van wat men onder privacy verstaat.
Het belang van het encrypten van persoonlijke informatie is niet onbelangrijker geworden – sterker nog, dat wordt alleen maar belangrijker met de groeiende hoeveelheid gevoelige informatie – maar privacy op zichzelf gaat tegenwoordig meer over controle kunnen uitoefenen over persoonlijke informatie. Geheimhouding is (onterecht) meer een ‘after thought’ geworden. Het is aan de ontwerpers van een systeem of dienst om ervoor te zorgen dat privacy goed wordt gewaarborgd (zie bijvoorbeeld ons Privacy by Design Framework).
Verder kijken dan encryptie
Het andere belangrijke punt is dat encryptie niet alle beveiligingsproblemen oplost. Door de focus te veel te leggen op encryptie kunnen andere onderdelen van het IT-landschap te weinig aandacht krijgen. Dat is ongeveer hetzelfde als het beschermen van een gebouw door een grote kuil te graven in de hoop dat inbrekers erin vallen, terwijl vergeten wordt een hek om het gebouw te plaatsen.
Voor hackers is het vaak niet eens nodig elke mogelijke sleutel te proberen om de encryptie te kraken. Als er fouten zitten in bijvoorbeeld het ontwerp of de implementatie kunnen hackers dit evengoed exploiteren. Een fout in de implementatie is bijvoorbeeld de situatie waarin tijdelijke bestanden worden gebruikt om verlies van data tegen te gaan bij een systeem crash, waardoor per ongeluk plaintext bestanden kunnen achterblijven. Daarnaast is het altijd mogelijk dat de gebruiker een fout maakt waarmee beveiligingsmaatregelen kunnen worden omzeild, zoals het doorgeven van een wachtwoord aan een hacker die zich zogenaamd voordoet als supportmedewerker. Deze vorm van social-engineering levert vaak meer op dan maandenlang crypto-analyse werk te verrichten om de encryptie te breken.
Het beleid voor informatiebeveiliging dient zich dan ook niet te veel te concentreren op het versleutelen van gegevens ten koste van andere onderdelen van IT-beveiliging. Daarnaast moet ook rekening worden gehouden met het feit dat persoonlijke en zakelijke informatie steeds meer wordt gedeeld, zowel binnen als buiten het werk. Privacy instellingen beschikbaar maken bij het delen van zakelijke informatie ligt niet voor de hand, maar er kunnen wel andere (technische) maatregelen worden genomen, zoals awareness trainingen of het op zakelijke apparatuur blokkeren van apps die ervoor zorgen dat de opgeslagen data wordt gedeeld met externe partijen.
Bron: Blog Albert Katoen