De presentatie wordt gedownload. Even geduld aub

De presentatie wordt gedownload. Even geduld aub

Big Data & little privacy Prof. Bart Preneel COSIC KU Leuven en iMinds, Belgium Bart.Preneel(at)esat.kuleuven.be Oktober 2014 © COSIC KU Leuven, Bart Preneel.

Verwante presentaties


Presentatie over: "Big Data & little privacy Prof. Bart Preneel COSIC KU Leuven en iMinds, Belgium Bart.Preneel(at)esat.kuleuven.be Oktober 2014 © COSIC KU Leuven, Bart Preneel."— Transcript van de presentatie:

1 Big Data & little privacy Prof. Bart Preneel COSIC KU Leuven en iMinds, Belgium Bart.Preneel(at)esat.kuleuven.be Oktober 2014 © COSIC KU Leuven, Bart Preneel 1 COSIC

2 ESAT COSIC 2 Groei van het internet

3 ESAT COSIC 3 The data supply chain [Jim Adler] https://www.usenix.org/sites/default/files/conference/protected-files/adler_sec13_slides.pdf

4 ESAT COSIC 4 Internet toepassingen: advertenties

5 ESAT COSIC Draagbare en implanteerbare toestellen IMEC: NERF – stimulering van hersenen Deep Brain stimulatie [ Sources: J. Rabaey, Nat.Institutes of Health, Neurology Journal] Gezondheid

6 ESAT COSIC Wetterstrand KA. DNA Sequencing Costs: Data from the NHGRI Genome Sequencing Program (GSP) Beschikbaar op: 6

7 Are our current ICT systems secure enough to take the risk to collect Big Data? © COSIC KU Leuven, Bart Preneel 7

8 ESAT COSIC 8 Trends van cyberbeveiliging weinig betrouwbare cijfers beschikbaar evolutie van –“hacking voor het plezier” –professionele criminaliteit met financiële motieven –overheden zichtbaarheid van aanvallen vermindert verdediging verbetert maar onvoldoende industriële spionage verschuiving naar “social engineering” van cybermisdaad naar cyberoorlog

9 ESAT COSIC 9 Computer Virus Proof of concept: 1970s Eerste bedreiging: midden 1980s Explosie: midden 1990s 6.3 miljoen in 2011 Industrie gestopt met tellen in 2012 Kaspersky heeft in 2013 bijna 1 miljard malware objecten gedetecteerd en geneutralizeerd 100K malware voor mobiele telefoons in 2013 Bron: F-Secure

10 ESAT COSIC 10 Een visser (“phishing”)

11 ESAT COSIC 11 Phishing 1% van alle houdt verband met phishing Elke maand meer dan 25,000 nieuwe phishing sites (sinds 2006) Verliezen voor financiële industrie: meer dan 1 miljard EUR per jaar Gebruikers soms naïef maar, soms kunnen ook experten echte en valse sites niet onderscheiden Snelle respons - monitoren van het internet door derde partijen

12 ESAT COSIC 12 Botnet Aanvaller controleert computers Toepassing: verhuur voor SPAM, inbraken, over- belasten van computers

13 ESAT COSIC 13 SPAM (ongevraagde commerciële massa- ) 65% van alle s is SPAM –7% in 2001; 90-95% rond 2005; 82% in 2010 – miljard SPAM berichten per dag –5% bevat malware 40% van alle accounts op sociale media worden aangemaakt door spammers Anti-spam maatregelen kosten miljarden EURO per jaar Als alle gebruikers SPAM zouden negeren, zou SPAM snel stoppen –helaas is er een kleine minderheid van de gebruikers die reageren Bill Gates (2004): Spam Will Be 'Solved' In 2 Years

14 ESAT COSIC 14 SPAM 2013 statistics SPAM content [Source: M86 security lab] Latest trend: on-line casinos SPAM by botnet [Source: M86 security lab]

15 ESAT COSIC 15 Waarom is het zo moeilijk om cyberbeveiliging te verbeteren? Complexiteit: technologisch, juridisch Economisch drijfveren: beveiligingsmarkt functioneert niet optimaal Menselijke factor

16 ESAT COSIC 16 Technologische complexiteit IC: 2 miljard elementen Windows/Linux/OS X: miljoen lijnen code Applicatie: 1-20 miljoen lijnen code Internet: 1.5 miljard PCs en 2 miljard smartphones/tablets Mobiele telefonie: 6 miljard gebruikers Beveiligen van een complex systeem: moeilijk, duur en traag Bijkomend probleem: zeer snelle evolutie

17 ESAT COSIC 17 Juridische complexiteit wetgeving is nationaal industrie is internationaal aanvallen gebeuren internationaal internationale “coördinatie” niet optimaal –NATO, OECD, Council of Europe, EU (ENISA) snelle evolutie van technologie

18 ESAT COSIC 18 Economische problemen in ICT wereld is marktaandeel belangrijker dan beveiliging –succes vergt quasi-universele adoptie –gebruiker kan veilige en onveilige producten niet onderscheiden –gebruiker is niet bereid om veel te betalen voor beveiliging of privacy waarom zou je betalen voor het vermijden van schade als je niet zelf het slachtoffer is? (“tragedy of the commons”) –botnets –betalingssystemen –zwakheden in software

19 ESAT COSIC 19 Menselijke factor mens is altijd een zwakke schakel –bereidwilligheid/naïviteit –beslissingen niet rationeel –veilige systemen zijn meestal niet gebruiksvriendelijk Any sufficiently advanced technology is indistinguishable from magic [Arthur C Clarke 1961]

20 ESAT COSIC Snowden onthullingen NSA: “Collect it all, know it all, exploit it all” –Meest eigenschappen had men kunnen extrapoleren van open bronnen Maar toch… massieve schaal en impacts zowel organisatorisch als technisch zeer gesofisticeerd –redundantie: ten minste 3 manieren om aan de gegevens van Google te geraken –veel andere landen hierbij betrokken (buiten “five eyes) – schaalvoordeel –medewerking van industrie door omkoping en “security letters”, … M.i.v. industriële spionage Ondermijnen van cryptografische standaarden (Bullrun)

21 ESAT COSIC Snowden onthullingen (2) Meest spectaculair: “active defense” netwerken –Quantum insertion: antwoord voor de website zelf –FoxAcid: speciale malware toestellen –malware –ondermijnen van de bevoorradingsketen Vertaling: complete controle over netwerken en systemen, zelfs systemen die nooit aan het internet gekoppeld worden Kan niet langer ontkend worden

22 ESAT COSIC Wat hebben we geleerd Met de huidige kennis van ICT technologie kunnen zelfs gesofisticeerde organisaties zich niet afdoende beschermen tegen de georganiseerde misdaad en tegen de aanvallen van een groeiend aantal natiestaten Bedrijven hebben de publieke ruimte ingenomen –social netwerken –(e)mail –Reclame –bibliotheken en zoekopdrachten –discussie fora Overheden krijgen toegang tot die schat aan gegevens bij bedrijven De kans is heel klein dat dit snel gaat veranderen

23 Does Big Data lead to Big Privacy Losses? © COSIC KU Leuven, Bart Preneel 23

24 ESAT COSIC 24 Wat is privacy? Abstract en subjectief concept, moeilijk te definiëren Hangt af van culturele aspecten, discipline, belanghebbende, contekst Europa: discretie US: transparantie

25 ESAT COSIC 25 Privacy definities Het recht om alleen gelaten te worden” –vrijheid van intrusie en confidentialiteit [Warren and Brandeis, “The Right to Privacy”, Harvard Law Review, Vol. IV. No. 5, December 15, 1890] “Informationele zelf-determinatie” –individuele controle op gebruik en verspreiding [ Westin, 1970] [German constitutional court, 1983] Privacy als praktijk –constructie van identiteit; transparentie en feedback [Agre, 1999] [Guerses, 2011]

26 ESAT COSIC 26 Juridische aanpak: data protection Data controller Proportioneel Toestemming Recht op inzage en correctie

27 ESAT COSIC 27 Privacy problemen: Places/Players/Perils [Jim Adler]

28 ESAT COSIC 28 Privacy problemen Lekken van gevoelige informatie Manipulatie Profilering Discriminatie Voorspellen Mass surveillance

29 ESAT COSIC 29 World’s Biggest Data Breaches

30 ESAT COSIC 30 Lekken van gevoelige informatie Slecht nieuws: technieken om data te deanonymiseren zijn niet effectief

31 ESAT COSIC 31 Privacy problemen: manipulatie “the filter bubble”

32 ESAT COSIC 32 Privacy problemen: profilering

33 ESAT COSIC 33 Privacy problemen: profilering “computer algoritme” –niet transparant –niet altijd correct –recht op inzage en correctie? leidt profilering van wat afwijkt tot conformisme? –zorgt dit voor onderdrukken van ‘maatschappelijk afwijkende en/of ongewenst’ gedrag?

34 ESAT COSIC 34 Privacy problemen: discriminatie prijsdiscriminatie discriminatie op basis van gezondheidsrisico’s –drugs, roken, alcohol, voeding, beweging, discriminatie naar ras, religie, sexuele oriëntatie –voorbeeld:

35 ESAT COSIC 35 Privacy problemen: voorspellen Thoughtcrime n. A crime committed by having unorthodox, unofficial, controversial or socially unacceptable thoughts. George Orwell Wat sociaal aanvaardbaar is, kan sterk veranderen..

36 ESAT COSIC Mass surveillance: meta data Meta data is niet de inhoud van de conversatie maar URLs, websites, adressen, telefoonnummers, locaties,… dit laat toe om netwerken te ontdekken en sociale relaties te onhullen 6 June 2013: NSA verzamelt elk dag telefoongegevens van miljoenen klanten van Verizon EU: data retention directive (2006/24/EC) –ongeldig verklaard door EU Court of Justic in april 2014

37 ESAT COSIC Mass surveillance: meta data (2) NSA verzamelt per dag 5 miljard gegevens over de locatie van mobiele telefoons Co-traveler

38 ESAT COSIC The meta data debate It’s only meta data Former National Security Agency (NSA) and Central Intelligence Agency (CIA) Director Michael Hayden (Reuters/Larry Downing) We kill people based on meta data … but that’s not what we do with this metadata

39 ESAT COSIC 39 Het privacy debat “Als je privacy belangrijk vindt, is dat omdat je iets te verbergen hebt” Solove: –“het probleem met dit argument is de onderliggende veronderstelling dat privacy gaat over slechte dingen”

40 ESAT COSIC Source:

41 ESAT COSIC 41 Het privacy debat –Privacy is een sociaal goed; beslissingen over wat je vrijgeeft zijn geen zuiver individuele beslissingen –[Solove] “Een maatschappij is maar goed om in te leven naarmate het aan de burgers de vrijheid geeft t.o.v. de intrusies van anderen. Een maatschappij zonder privacybescherming zou verstikkend zijn” – [Diffie and Landau] “Communicatie is fundamenteel voor de mens; vertrouwelijke communicatie is fundamenteel voor onze nationale veiligheid en voor onze democratie”

42 ESAT COSIC Het privacy debat voor Big Data Big Data: Seizing Opportunities, Preserving Values, Executive Office of the President (USA), May 2014 Afwegen van sociale voordelen en risico’s Welke informatie mag nooit verzameld worden? enkel met toestemming verzameld worden? altijd verzameld worden? Hangt dit af van de toepassing? Wat is toestemming voor Internet of things? Melvin Kranzberg’s First Law of Technology (1986) “Technology is neither good nor bad; nor is it neutral.”

43 ESAT COSIC © K.U.Leuven COSIC, Bart Preneel 432 April 2015 Architecture is politics [Mitch Kaipor’93]

44 ESAT COSIC Governance en architecturen Overheden: willen toegang tot alle data maar niet voor anderen –Lijkt onhaalbaar op dit ogenblik Industrie: conflicterende vereisten 1.overheid wil toegang en achterdeurtjes 2.DRM voor media en software 3.privacy van gebruiker Individu: heeft geen echte keuzes Nood aan her-denken van gecentralizeerde architectuur met Big Data vertrouwen in 1 server leidt tot hacks of misbruik Nood aan her-denken van gecentralizeerde architectuur met Big Data vertrouwen in 1 server leidt tot hacks of misbruik

45 ESAT COSIC Governance en Architecturen: Terug naar de basis: minimal disclosure –zo weinig mogelijk data centralizeren in de cloud –als centraal verzameld: vercijfer met een sleutel in de handen van de eigenaar van de data of een derde partij nog altijd (in beperkte mate) operaties op vercijferde data met cryptografie –ook lokale berekeningen met bewijs van correctheid waarbij enkel het resutaat wordt vrijgegeven dit vraagt wel een oplossing specifiek voor elke toepassing: betaalrijden, slimme meters, gezondheidszorg,..

46 ESAT COSIC 46 Betaalrijden: centrale oplossing GPS dienst- verlener rekening Post overheid betaling data GSM netwerk massale datacollectie bij dienstverlener

47 ESAT COSIC 47 Betaalrijden op een privacy-vriendelijke manier persoonlijke gegevens blijven in het domein van de gebruiker GPS dienstverlener vercijferde GPS data Post rekening Aanpassing tarieven GSM netwerk bedrag per maand

48 ESAT COSIC Einde Bedankt voor uw aandacht 48


Download ppt "Big Data & little privacy Prof. Bart Preneel COSIC KU Leuven en iMinds, Belgium Bart.Preneel(at)esat.kuleuven.be Oktober 2014 © COSIC KU Leuven, Bart Preneel."

Verwante presentaties


Ads door Google