Op veilig spelen? Online privacy is makkelijker gezegd dan gedaan

Cryptograaf-cryptoanalyst prof. Bart Preneel, de tweede spreker die aan bod kwam op het Security Essentials Seminarie van Talent-IT, had nog meer onheilspellende berichten over de huidige status van cybersecurity. We moeten de controle over onze data terugwinnen, waarschuwt hij.

Security Essentials Seminarie

Voor hun eerste seminarie selecteerde de groep Talent-IT, Talent2Test, Team4Talent en Pro-Cured een onderwerp waarover het laatste woord nog niet gezegd is: digitale veiligheid en beveiliging. Een onderwerp dat door de steeds verder toenemende digitalisering van data en bedrijfsprocessen ook een zeer brede groep, zowel bedrijven als individuen, aangaat. De sprekers konden dan ook op ruime interesse van een gevarieerd publiek rekenen.

The Future of Security and Privacy

Prof. Bart Preneel, cryptograaf en cryptoanalyst, trad op als tweede spreker van de avond. Als hoofd van de Computer Security and Industrial Cryptography (COSIC) – imec onderzoeksgroep van de KU Leuven detecteerde hij 8 trends in digitale beveiliging en privacy, die in meerdere of mindere mate verontrustend te noemen zijn. Hij kaartte ze stuk voor stuk aan.

TREND 1: INTERNET OF THINGS (IOT)
Naar schatting zullen er in 2020 14 à 15 miljard IoT-toestellen zijn, die stuk voor stuk een veiligheidsrisico inhouden.

• Niet enkel koelkasten, tv’s en smartphones, ook medische hulpmiddelen en auto’s worden in toenemende mate digitaal gestuurd.
• Omdat veiligheid geen zichtbare feature is en de consument niet bereid is ervoor te betalen, investeert de producent er niet in.

Dit houdt ook in dat er stilaan regulerende overheidsinitiatieven opduiken en nodig zijn om de veiligheidsrisico’s in te perken.

TREND 2: BIG DATA
Door alles in de cloud te zetten, geven we onze data in toenemende mate uit handen.

• Op de advertentiemarkt zijn data geld waard.
• Bedrijven omzeilen GDPR door snel van identiteit te wisselen.
• Controle via analytics en/of AI geldt als nieuwe veiligheid.

Probleem:

• Trainingsdata kunnen lekken
• Modellen kunnen lekken
• Algoritmes zijn niet altijd eerlijk of gaan mogelijk niet legaal tewerk of er kan ‘vijandig’ machineleren optreden.

TREND 3: INTEGRATIE VAN IOT, EDGE EN CLOUD
Er is onvoldoende ruimte in de cloud om er alles te stockeren. Voor instant data is edge computing onontkoombaar.

• De edge biedt een opportuniteit om toenemende veiligheid te creëren.

TREND 4: BIG DATA => EVEN BIGGER BREACHES
We zouden niet mogen toelaten dat er zoveel data verzameld worden, gezien ze beschermen onmogelijk blijkt.

• Eigenlijk is er nood aan een perceptieswitch die big data als ‘vervuiling’
• Gezien er onvoldoende beveiliging is, worden big data gebruikt tegen ons.

TREND 5: BIG DATA WORDT GEBRUIKT VOOR MASSASURVEILLANCE
IoT, big data en het advertentie-ecosysteem vormen samen eigenlijk een efficiënt massasurveillancesysteem.

• Allerlei overheidsinstanties surveilleren zowel eigen als elkaars burgers en omzeilen meestal de eventuele beperkingen daarin.
• De Amerikaanse overheid heeft toegang tot alle informatie die niet-Amerikanen in de cloud zetten.

TREND 6: POLITIEDIENSTEN KLAGEN OVER BEPERKING DOOR CRYPTO
Zo’n 70% van het webverkeer is nu end-to-end vercijferd.

• Politiediensten klagen dat encryptie hun beperkt in hun taken en zoeken naar achterpoorten.

Vermoedelijk zijn er vandaag al meer cryptotoestellen dan IoT-toestellen.

• Schatting: tussen de 32 en 35 miljard.
• Het merendeel ervan wordt gebruikt om overheden en bedrijven te beschermen tegen gebruikers.
• Encryptie op telefoon is verbeterd. Desondanks moet de gebruiker bijna expert zijn om veilig een (telefoon)toestel te gebruiken.
  • Crypto geldt vaak pas tot het basisstation.
  • De metadata zijn niet beschermd en blijven beschikbaar.
  • Pas sinds de laatste update van diverse tools is er geen back-up in de cloud gemaakt.
  • Het SS7-netwerk waarlangs gesprekken verlopen, is zo lek als een zeef. Waar gaat 5G heen leiden?

TREND 7: CYBERFORCE
De overheid hackt op grote schaal.

• Bedrijven bieden deze diensten aan. Zij helpen mee bouwen aan een politiestaat.
• Burgers worden gehackt in vredestijd.
  • Wie waakt over hackende politiediensten, legers en intelligentiediensten?
  • Er zijn techneuten nodig binnen de wetgevende autoriteiten.

TREND 8: DE ONTWIKKELING VAN QUANTUMCOMPUTERS
Quantumcomputers blinken uit in factorisatie, waar zowat alle hedendaagse sleutelcryptosystemen op gebaseerd zijn.

• Op dit ogenblik behaalt de krachtigste quantumcomputer een maximum van 72 qubits.
• Het internet of een kredietkaart kraken vraagt 1 miljoen qubits.
  • De kennis om op te schalen ontbreekt nog:
    • Per qubit is een kabel nodig die van kamertemperatuur naar 0,0 °K gaat.
  • Vermoedelijk duurt het nog minstens een decennium om een oplossing te ontwikkelen.
  • We moeten voorbereid zijn!
    • In competities wordt nu al gezocht naar cryptosystemen die bestand zijn tegen quantumcomputers.

IT herdenken

Prof. Bart Preneel besluit dat het onze plicht is om optimistisch te zijn en deze trends stuk voor stuk als werkpunten te beschouwen.

1. Evolutie van big data naar small, local data: ophouden met gegevens naar de cloud zenden.
2. Multiparty computing.
3. Data vercijferd in de cloud opslaan.
4. Overschakelen op open systemen, wat een nauwkeurig toezicht op de controlerende instanties mogelijk maakt.

De grote uitdaging: de systemen, en dan vooral de architectuur en IT herdenken. We hebben transparantie nodig voor de grote organisaties en machthebbers en privacy voor de gewone gebruiker.

We moeten de controle terugwinnen over onze data!

Lorem ipsum dolor sit amet, consectetur adipiscing elit, sed do eiusmod tempor incididunt ut labore et dolore magna aliqua. Ut enim ad minim veniam, quis nostrud exercitation ullamco laboris nisi ut aliquip ex ea commodo consequat. Duis aute irure dolor in reprehenderit in voluptate velit esse cillum dolore eu fugiat nulla pariatur. Excepteur sint occaecat cupidatat non proident, sunt in culpa qui officia deserunt mollit anim id est laborum.

Lorem ipsum dolor sit amet, consectetur adipiscing elit, sed do eiusmod tempor incididunt ut labore et dolore magna aliqua. Ut enim ad minim veniam, quis nostrud exercitation ullamco laboris nisi ut aliquip ex ea commodo consequat. Duis aute irure dolor in reprehenderit in voluptate velit esse cillum dolore eu fugiat nulla pariatur. Excepteur sint occaecat cupidatat non proident, sunt in culpa qui officia deserunt mollit anim id est laborum.