RVO.nl heeft een reeks bedrijven en consortia een opdracht gegund voor het verbeteren van cyberveiligheid. Met Bits&Chips werpen we een blik op deze projecten. Deel 1: privacy en dataopslag.
RVO.nl schreef een jaar geleden een openbare aanbesteding uit in het kader van het Sbir Cybersecurity-programma. De opdracht: de digitale veiligheid van Nederland op de een of andere manier verbeteren. In eerste instantie wonnen twintig bedrijven of samenwerkingsverbanden een opdracht voor een verkennende studie. Nu hebben dertien van hen de opdracht in de wacht gesleept om daadwerkelijk een product te ontwikkelen. Daarvoor kunnen ze tot tweehonderdduizend euro krijgen.
Bits&Chips neemt een aantal van de projecten onder de loep in een serie artikelen. In deel twee zullen we kijken naar beveiliging van iot-devices, maar we trappen af met de omgang met gevoelige persoonsinformatie. Dit onderwerp is actueler dan ooit met de op handen zijnde invoering van de GDPR, de Europese regelgeving die vastlegt hoe bedrijven moeten omgaan met persoonlijke informatie.
Privacy is grotendeels een organisatorische kwestie, maar zeker ook voor een groot deel technisch, meent Rob van der Veer van de Amsterdamse Software Improvement Group (SIG). ‘Over het algemeen beginnen softwareontwikkelaars securityzaken nu wel redelijk scherp te krijgen, maar waar je tijdens softwareontwikkeling op moet letten om goed om te gaan met persoonsgegevens, dat is nog redelijk nieuw.’
Samen met de Radboud Universiteit onderzocht SIG hoe softwareontwikkelaars hier het beste mee geholpen kunnen worden. Het bedrijf biedt consultancydiensten rond onderhoudbaarheid, security en privacy van software, en wil dat laatste nu verder uitbreiden. ‘Bedrijven weten bijvoorbeeld vaak wel welke persoonsgegevens worden verzameld, maar niet dat ze niet echt weggegooid worden, of dat ze ook nog eventjes naar Google worden verstuurd. Dat soort zaken liggen buiten het zicht in broncode verborgen.’
Device lifecycle management for fleets of IoT devices
Microchip gives insight on device management, what exactly is it, how to implement it and how to roll over the device management during the roll out phase when the products are in the field. Read more. .
SIG heeft daarom een tool gemaakt die privacygerelateerde patronen in de broncode kan opsporen. Het is zeker geen silver bullet, benadrukt Van der Veer – volledig geautomatiseerde privacygaranties zijn niet te geven, zo bleek uit het vooronderzoek. ‘Broncodeanalyse moet wel echt door experts gebeuren, dus we willen het aanbieden als dienst. Maar we willen het wel zo veel mogelijk automatiseren. En ook standaardiseren, zodat het niet meer op een handjevol experts aankomt. Dan wordt het ook betaalbaar, en wordt het ook mogelijk om hetzelfde systeem telkens weer opnieuw te bekijken.’
Overigens zou de codechecker op den duur ook beschikbaar kunnen worden gemaakt voor derde partijen, zoals andere consultancybureaus of experts bij grote bedrijven. Maar vooralsnog is dat niet aan de orde.
Best practices voor ontwikkelaars
Voor de vervolgfase zijn er verschillende partners aangeschoven in een klankbordgroep, zoals juridische experts en klanten om pilotprojecten mee te doen. In deze fase, die maximaal anderhalf jaar duurt, moeten verschillende zaken worden gerealiseerd.
Allereerst worden de tools en methodes fijngeslepen aan de hand van praktijkcases. De projectpartners hebben een aantal bekende gevallen uit de actualiteit genomen, zoals de hack van de Ashley Madison-website, en voeren daarnaast pilots uit met klanten. Van der Veer: ‘We hebben een groot overheidsprogramma als klant, maar er is ook een partij met embedded software voor een apparaat dat als een soort informatieknooppunt werkt. Daar gaat het bijvoorbeeld om het verzamelen van statistieken om routingtabellen te optimaliseren. Die informatie kun je misschien herleiden tot gebruikers, en dan weet je hun netwerkgedrag, dus dat moet je dan afdoende beschermen, op tijd weggooien, al dat soort aspecten.’
Ook willen de projectpartners best practices uitwerken voor softwareontwikkelaars. ‘Dat moet eigenlijk een handzame richtlijn worden met de belangrijkste principes die ook vervat zitten in ons beoordelingsmodel. Die stellen we gewoon algemeen ter beschikking; dat hebben we ook gedaan met security en met onderhoudbaarheid’, vertelt Van der Veer.
‘Je kunt dan denken aan regels als: verwerk geen persoonsgegevens in databasesleutels’, legt Van der Veer uit. ‘Of als je persoonsgegevens verstuurt naar een externe partij, zorg dan voor voldoende encryptie, maak een afspraak met die partij over hoe ze met de data omgaan en kijk of je die informatie niet wat anoniemer kunt maken. Als iemand bijvoorbeeld een kaartje wil tonen met de dichtstbijzijnde afhaalpunten, kun je een klantadres naar die partij sturen, maar ook alleen een postcode.’
Opknippen van data
Stadsgenoot Storro richt zich ondertussen op de opslag van gevoelige informatie, door deze slim op te knippen. Dat is een vervolg op de dienst die het bedrijf al biedt: een soort Dropbox of Google Drive om bestanden met een groep deelnemers te delen, maar dan zonder dat er een derde partij bij betrokken is. ‘Wij gebruiken een volledig peer-to-peer-systeem waarbij je alles versleutelt en versnippert over de groepsleden. Dat is een heel andere insteek dan de clouddiensten die er een hele hoge muur omheen zetten en er dan van uitgaan dat je er nooit bij kunt. Er is geen derde partij die bij de data kan komen’, legt Yori Kamphuis van Storro uit.
Maar voor grootschalige langetermijnopslag van professionele data is het juist wél wenselijk dat die bij een derde partij ondergebracht kunnen worden. Het idee van Storro is echter om de data op te knippen en te verspreiden onder verschillende cloudproviders. Elk van hen heeft zo maar een stukje van de gegevens. ‘Je versleutelt het natuurlijk nog steeds heel sterk, maar zelfs als de encryptie wordt gebroken, dan nog kan niemand het bestand echt helemaal achterhalen’, zegt Kamphuis.
‘Dit is dus echt een heel ander project. Bij onze dienst krijgt elk van de groepsgenoten alle informatie, maar wat we nu juist willen, is dat alle deelnemers maar een stukje van het bestand gaan opslaan. Daarbij heb je heel andere uitdagingen. Stel bijvoorbeeld dat je bij honderd partijen een stukje van je data neerzet, dan wil je niet dat je bestand niet meer werkt als een van die partijen omvalt.’
Ook niet onbelangrijk: het systeem moet de data op de juiste manier verspreiden, zodat gegarandeerd kan worden dat alle deelnemers maar minimale informatie hebben. En natuurlijk moeten de databrokjes weer snel gecombineerd kunnen worden om ermee te werken.
De eerste fase van het programma werd uitgevoerd samen met het Radboud UMC en het VUMC, die met grote hoeveelheden patiëntdata om moeten gaan. Voor de nieuwe fase is ook Surf aangeschoven, de organisatie voor grootschalige rekencapaciteit bij academische centra. ‘Patiëntdata is een van de mogelijkheden waar deze aanpak geschikt voor is’, aldus Kamphuis. ‘Maar de toepasbaarheid is veel breder. Je kunt onder meer denken aan intellectueel eigendom, juridische gegevens en persoonsgegevens. We moeten nog kijken of je voor dergelijke toepassingen iets speciaals moet doen.’