Implementatie privacy by design in de praktijk

Transcriptie

1 Implementatie privacy by design in de praktijk Hoe gaat het in het veld? Rob van der Veer principal consultant SIG 1 november 2016 GETTING SOFTWARE RIGHT

2 Even voorstellen Rob van der Veer Principal consultant Software Improvement Group > SIG meet softwarekwaliteit > SIG adviseert daarover > SIG is een spin-off van de UVA > 100 collega s > Internationaal HHHHI r.vanderveer@sig.eu Wij zien elk jaar honderden systemen en ik wil u graag meenemen op een tour langs wat wij tegenkomen als het gaat om privacy by design in de software die wij onderzoeken. Uiteraard kan ik de details van onze klanten niet met u delen, vandaar dat ik wil beginnen met een illustratieve en pijnlijke case uit de Page 2 of 22

3 Is privacy in software belangrijk? Dating-site Ashley Madison werd gehackt door een te eenvoudig VPN wachtwoord: Pass1234, dus security was niet goed, maar het grootste probleem was dat ze te veel adresgegevens hadden bewaard en ip-adressen. Die werden allemaal gepubliceerd op het internet. Zo konden werkgevers bijvoorbeeld zien wie vanaf werk gebruik had gemaakt van deze site. Een ander voorbeeld is de app Runkeeper van Nike die de gps lokatie van gebruikers doorspeelde naar diverse advertentiebedrijven, ook als je niet aan het hardlopen was Pagina 3 van 22

4 SIG s model van Softwarekwaliteit & Privacy Privacy volgens ISO/IEC en softwarekwaliteit volgens ISO/IEC Privacy (ISO/IEC ) Reliability Compatibility Usability Data Minimisation Lawfulness and Consent Performance Efficiency Software Quality Characteristics ISO Security Personal data handling Security Individual rights and Data Quality Functional Suitability Maintainability Accountability and compliance Purpose Binding and Limitation Portability Transparency & Openness Pagina 4 van 11

5 SIG Privacy Model Requirements (Security &personal data handling ) naar systeemeigenschappen SIG Security Model Data transport Identification strength Access management Session management Authorized access Input & output verification Data storage Evidence strength User management PETs Privacy Settings Confidentiality & Integrity Non repudiation & Accountability Authenticity Transparency Intervenability Data minimization Page 5 of 17

6 Wat zien we mis gaan met privacy by design? Privacy anti-patterns voor personal data handling Het interessante aan de antipatronen die wij zien is dat het weliswaar fouten zijn uit oogpunt van privacy, maar daarnaast zijn het juist om andere redenen goede ideeën. Het zijn dingen die architecten en ontwikkelaars doen met een goede reden. Er zijn zelfs privacy antipatronen die in strijd zijn met software engineering design patterns, zoals centralisatie. Pagina 6 van 16

7 DATAHOARDING DATAHOARDING-Verzamel teveel. Wie weet of het ooit nog van pas komt. Vaak voor BI, datawarehousing. Gebeurt veel met mobiele apps want veel privacy-info bij de hand, maar ook: even tijdelijk opslaan op de mobiel is gevaarlijk: hostile environment AGGREGATELATE: eerst PII verzamelen, later optellen. Kunt beter meteen optellen en vergeten. Bijvoorbeeld gemiddeld aantal gebruikers per uur: je kunt gebruikers bewaren met bezoektijden maar ook meteen tellen en gebruikersgegevens weggooien. ASKTOOMUCH: Vraag gewoon alle gegevens op van een persoon in een applicatie. Lekker makkelijk. Maar data gaat allemaal over de lijn en kan ook allemaal lekken: beter: minimize. LOGTOOMUCHTOOLONG: het heeft een securityfunctie (Detectie, monitoring reconstructie) maar is een privacybedreiging. KEEPTOOLONG: bewaren wat je niet meer nodig hebt of sterker nog: zegt te hebben verwijderd (voorbeeld: Facebook profiel na uitschrijving, Ashley madison) > Bijvoorbeeld voor business intelligence, veel bij mobiele apps > Varianten: AGGREGATELATE, ASKTOOMUCH, KEEPTOOLONG, LOGTOOMUCHTOOLONG Pagina 7 van 16

8 EASYENGINEERING DATECENTRALISE: Goede engineering, slecht voor privacy. IDENTITYASKEY: bijv. adres gebruiken als gebruikersnaam bij een functie. TOOMUCHTRUSTPARTNERS-Externe bewerkers vertrouwen. SCATTERDATA: pii ergens anders bewaren zonder mechanisme dat het wordt geupdate en dus ook zonder mogelijkheid om het te weten en het te verwijderen VERBOSEDEBUG-Foutmeldingen presentereen aan gebruikers, waar gevoelige informatie in kan staan. Dit zien we ook veel voor ontwikkelaars, die allerlei loginformatie en dergelijke te vaak ontvangen. Of: testomgeving met productiedata - vaak omdat anonimiseren zo moeilijk is. PETUNAWARENESS-Er zijn mooie truuks voor pseudonimiseren, anonimiseren, achterhalen minderjarig ja/nee zonder hele id. NAIVE-ANONYMISE-Onderschat anonimisatie. NAIVE-CRYPTO. Homegrown inplaats van bewezen. OVERANONYMISE-Tot slot: overanonimisering (waardoor geen onderzoek meer mogelijk is). > Varianten: DATACENTRALISE, INDENTITYASKEY, TOOMUCHPARTNERTRUST, SCATTERDATA, VERBOSEDEBUG > Varianten over gebrek aan kennis: PETUNAWARENESS, NAÏVE-ANONYMISE, NAÏVE-CRYPTO, OVERANONYMISE Pagina 8 van 16

9 TRUSTALLFRIENDS TRUSTALLFRIENDS-Iedereen vertrouwen in de organisatie: iedereen mag gegevens zien. Ook: niet versleutelen intern verkeer. Soms zien we zelfs dat gebruikersnamen en wachtwoorden over het interne netwerk gaan, terwijl dat heel vervelende informatie kan zijn om te stelen. Reden: mensen moeten hun werk kunnen doen zonder gedoe. En beheer is eenvoudiger. Pagina 9 van 16

10 EVIL PRICEFORPRIVACY: beloof gebruikers die meer gegevens delen meer functies en privileges PUSHINGIT: gebruikers hebben toestemming gegeven dat hun data wordt verzameld maar je gaat er iets mee doen wat ze toch niet accepteren: bijv. advertenties obv betaalgedrag. > PRICEFORPRIVACY, PUSHINGIT Pagina 10 van 16

11 Hoe het gaat dus in het veld? Pagina 11 van 16

12 Hoe maken we het beter? Het idee is om privacy by design te bereiken door te kijken hoe de niet-privacy voordelen van antipatronen toch kunnen worden bereikt met behoud van zoveel mogelijk privacy. Op deze manier wordt hoofd geboden aan de negatieve invloed van de praktijk op de bescherming van persoonsgegevens. Pagina 12 van 16

13 Een privacyjuweeltje uit het veld Een app toont de lokatie van personen op een kaart. Met behulp van een Google maps API. Vaak moet het adres dan naar Google worden gestuurd, met privacyrisico s. De lokatie hoeft niet via Google te gaan, want als de coördinaten al bekend zijn dan kan de Google API het punt tonen zonder google.com. Pagina 13 van 16

14 Tips voor ontwikkelaars, architecten en hun leidinggevenden > Keep it simple en maak onderhoudbare code > Borg afspraken over kwaliteit, privacy en security > Borg hanteerbare richtlijnen daarvoor > Borg toetsing inclusief code review (tools, peers, specialisten) > Zorg dat je verstand hebt van security en privacy of weet waar je dat kan vinden > Doorbreek de paradox: privacy én de tegengestelde belangen > Bouw security en privacy technologie niet zelf > Herken en bespreek aanpassingen met impact > Beschouw PII als gevaarlijke stof Pagina 14 van 16

15 Pagina 15 van 16

16 Contact GETTING SOFTWARE RIGHT