Author profile picture

 

Direct weten in welke mate een website je persoonlijke data uitnut? Dat kan binnenkort met een algoritme dat TU/e-spinoff SecurityMatters op de markt gaat brengen. Ze doen dat met een prototype waarop Elisa Costante vandaag, dinsdag 31 maart, aan de Technische Universiteit Eindhoven promoveert.

Providers maken er geen geheim van hoe hun websites je persoonlijke informatie benutten – dat staat altijd in de ‘privacy policy’ op de website. Maar vrijwel niemand leest die. Daarom ontwikkelde promovenda Elisa Costante algoritmes die de privacy policy analyseren en direct de ‘privacykosten’ berekenen die een website van iemand vraagt. Ook ontwikkelde ze een tool die abnormaal gedrag detecteert in databases met persoonlijke gegevens, om misbruik van die data te voorkomen.

Het werk van Costante is beschikbaar als prototype, en kan ingebouwd worden in webbrowsers. Die waarschuwen dan bij websitebezoek vooraf in welke mate de website uw persoonlijke gegevens uitnut. De tool geeft de websites een cijfer tussen 0 en 1, waarbij nul staat voor ‘geen privacykosten’. Een bedrijf als Google komt erg hoog uit, weet de onderzoeker: “Google slaat elke zoekopdracht van je op, wanneer je die gedaan hebt, waar en vanaf welk apparaat. Het is best angstaanjagend.”

Voor de berekening van het privacycijfer kijkt de Italiaanse onderzoeker onder meer naar de gevoeligheid van de gegevens en hoe lang ze opgeslagen worden. Haar algoritmes houden bovendien rekening met het feit dat veel webdiensten bestaan uit een koppeling van meerdere andere webdiensten, die elk hun eigen privacy policy hebben. Denk bijvoorbeeld aan een reiswebsite, die gebruik maakt van hotelwebsites, autohuurwebsites, en Google Maps. De tool van Costante werkt in stappen: eerst kijkt hij naar de compleetheid qua onderwerpen van de privacy policy, dan naar de betekenis ervan, en vervolgens naar de ernst van het gebruik van de data door de provider.

Databases niet veilig
Costante nam voor haar promotieonderzoek de hele cyclus van online dataverkeer onder de loep om oplossingen te bedenken voor zwakke punten. Zo blijkt dat de databases waar providers persoonlijke gegevens opslaan, niet goed beveiligd zijn. Ze hebben wel een toegangscontrole (wie mag binnen, en wat mag die zien), maar ze houden niet in de gaten wat toegelaten gebruikers doen als ze eenmaal binnen zijn. De promovenda ontwikkelde daarom een tool die nauwkeurig het gedrag van gebruikers in beeld brengt. Vervolgens monitort ze alle handelingen, om afwijkend gedrag tijdig op te sporen.

Datadiefstal zoals bij Sony, waar een paar jaar terug de gegevens van 77 miljoen Playstationspelers werden gestolen, kunnen met haar tool veel eerder worden gestopt, vertelt de TU/e-onderzoeker. Dat bespaart die bedrijven miljoenenschades en reputatieschade.

Er waren al eerder pogingen om een dergelijke tool te maken, maar dit is de eerste die heel weinig valse alarmen geeft en het dataverkeer niet merkbaar vertraagt. SecurityMatters wil de resultaten van Costante’s werk aanbieden als product, bijvoorbeeld aan banken.