[Dutch] Privacy by Design in beveiligingsonderzoek

Ik heb als onderzoeker en docent bij de opleiding System and Network Engineering van de Universiteit van Amsterdam een serie blogs geschreven. In deze serie belicht ik in opdracht van het Rathenau Instituut ethische vraagstukken bij data-onderzoeken. In deze bijdrage beschrijf ik hoe onderzoekers in beveiligingsonderzoek privacy by design toepassen.  Ook gepubliceerd op het Data denkers blog. Deze blogpost is beschikbaar onder CC-BY.

Introductie

Tinder is een razend populaire dating app die in het verleden al heeft laten zien het niet zo nauw te nemen met privacy en beveiliging. Eerdere versies lieten toe dat direct GPS coordinaten van andere gebruikers kon worden opgevraagd. Na publicatie van dat onderzoek veranderde Tinder het resultaat door niet coordinaten te geven, maar alleen afstand. Door wat meer opvragingen te doen en gebruik te maken van wiskunde ( trilateratie) is het dan nog steeds redelijk eenvoudig om de exacte plaats van willekeurige Tinder gebruikers te bepalen.

Het duurde even, maar opnieuw paste Tinder de resultaten in de app aan. De afstand tot andere gebruikers wordt nog steeds teruggegeven, maar nu is het afgerond naar boven als het onder een kilometer komt. Studenten van de System and Network Engineering Master vertrouwen het nog steeds niet en onderzochten de nieuwe resultaten.

Bij een verzoek aan de Tinder server voor potentiele matches kan niet alleen de huidige locatie worden meegegeven, maar ook een zoekradius die tot heel erg klein kan worden ingesteld. Je kan de zoekradius bijvoorbeeld instellen op een afstand van tientallen meters. De resultaten van de server geven dan weliswaar de omhoog afgeronde afstand van 1 kilometer weer, maar in werkelijkheid bevinden de gebruikers zich in de radius die van tientallen meters. Op die manier zou met wat moeite nog steeds een exacte locatie van een gebruiker te achterhalen zijn.

De studenten wilden onderzoeken of ze konden aantonen dat gebruikers op deze manier geïdentificeerd kunnen worden. Met het opzetten van het onderzoek lopen de studenten echter tegen een probleem aan: hoe kunnen ze de mogelijke inbreuk op de privacy onderzoeken zonder zelf de privacy van gebruikers te schaden? Na goed doordenken van het onderzoeksmethode besloten de studenten om alleen de identificatiecode en de afstand van de Tinder-gebruiker te bewaren, maar niet de persoonlijke profielinformatie. Zo hadden de studenten een manier om te bewijzen dat er een inbreuk op de privacy werd gemaakt, zonder zelf een inbreuk te maken.

Duiding

De studenten doen hier een onderzoek naar de veiligheid van een dienst en applicatie, maar passen daar ook Privacy by Design op toe. Dit is een principe uit de ontwerppraktijk waarbij de privacy van gebruikers direct meegenomen wordt in het ontwerp van een app of dienst (lees hier het interview in Flux met Ann Cavoukian over Privacy by Design). Dezelfde principes kunnen ook bij het opzetten van een onderzoek toegepast worden.

Een naïeve onderzoeksmethode hier zou zijn om verschillende verzoeken aan de server te doen en alle resultaten op te slaan. Dit is echter een inbreuk op de privacy van alle gebruikers. Het andere uiterste is door een test gebruiker aan te maken en alleen data over die gebruiker op te slaan. Maar door de grote populariteit van Tinder is het bijna onmogelijk om die testgebruiker terug te vinden in de resultaten van de app.

Uiteindelijk is gekozen voor een tussenoplossing: er wordt voor de duur van het onderzoek alleen de identificatiecode van een Tinder gebruiker en de afstand opgeslagen. Er wordt dus alleen gekeken naar de relevante data uit het resultaat, alle andere gegevens worden direct verwijderd. Op die manier is het mogelijk om groepen gebruikers opgevraagd van verschillende locaties makkelijk met elkaar te vergelijken, zonder daarbij die gebruikers te kunnen identificeren.

Conclusie

Bij het doen van beveiligings- of privacyonderzoek is het gevaar om de makkelijkste weg te kiezen en direct aan de slag te gaan. Het is echter goed om van te voren na te denken over de manier waarop het onderzoek uitgevoerd wordt. Niet alleen om het wetenschappelijke niveau te waarborgen, maar ook om privacy by design toe te kunnen passen. Ook bij dit soort onderzoeken is het bijna altijd mogelijk om ze uit te voeren zonder de privacy van de gebruikers te schaden. Zoals hierboven al aangegeven is dat niet altijd makkelijk, en soms moet er gekeken worden naar alternatieve methoden om tot een goed resultaat te komen.

Informatica en beveiligingsonderzoek gaat steeds meer om (stromen van) gebruikersdata. De ethische impact van onderzoek hiernaar is niet altijd direct evident. Het is goed als onderzoekers en studenten hier van te voren over nadenken. Het liefst in samenwerking met een ethisch adviseur, of zelfs een getraind ethicus.

Bij de System and Network Engineering Master opleiding moeten studenten in hun onderzoeksplan nu een ethische paragraaf schrijven. Op die manier worden de studenten gedwongen om na te denken over de ethische implicaties van hun onderzoek voor ze dat daadwerkelijk gaan uitvoeren. Dit deel van het plan moet ook goedgekeurd worden door een ethische commissie. Deze praktijk begint nu ook geaccepteerd te raken bij informatica onderwijs en onderzoek op andere universiteiten.