Zoals in een recente blog beschreven zijn er zeven mega trends waarneembaar op het gebied van de Cyber Security. Met een mega trend bedoel ik een trend die meerdere jaren in beslag neemt om volwassen oplossingen op te leveren. In deze blog wil ik graag wat dieper ingaan op de trend naar “Privacy by Design”. Privacy by Design betekent dat je bij alle ontwerpbeslissingen rekening houdt met de impact hiervan op gegevens over personen.
Het belang van de eindgebruiker wordt reeds onderkend in de technology visie van Capgemini onder de term “YouExperience”. Met “YouExperience” wordt bedoeld dat de eindgebruiker op basis van moderne technologie zijn/haar eigen gebruikerservaring kan samenstellen. Voorbeelden hiervan zijn Symbaloo waar een gebruiker zijn eigen informatieportaal kan creëren en de zogenaamde Soapie van Pieter Hörchner. Een Soapie is een APPje waar zelfs een kind zijn eigen APP mee kan maken om deze vervolgens weer te delen met al zijn/haar vrienden.
Ik zie echter nog drie grote struikelblokken voordat de belangen van personen in het kader van “YouExperience” volledig zijn afgedekt.
Probleem 1: Er zit nog een groot gat tussen het denken vanuit organisatiebelangen en het echt centraal stellen van de persoon met zijn/haar belangen. Een aardig voorbeeld hiervan zijn plannen uit de bankaire wereld om financiële transactiegegevens van klanten te verkopen met als doel om de eigen winstgevendheid te vergroten. Uiteraard zal uw bank aangeven dat zij deze gegevens verkopen aan derden om u beter van dienst te kunnen zijn met op maat gesneden aanbiedingen en mogelijk tegen lagere kosten….
Probleem 2: Iedere gebruiker heeft zijn eigen computervaardigheid en zijn eigen “risk appetite”. De kern van “risk appetite” is dat de kansen moeten worden afgewogen tegen de risico’s. Op het persoonlijke vlak heeft de eindgebruiker een instrument nodig dat hierin kan assisteren. Nog mooier is het als de eindgebruiker in staat is om op een hele eenvoudige wijze zijn/haar risico profiel in te stellen op een mobiel apparaat. Een andere mogelijkheid is dat de eindgebruiker voor de telebankiersessie met een aantal speelse vragen wordt geconfronteerd op basis waarvan de deskundigheid van de eindgebruiker wordt ingeschat. Op grond hiervan kan de bank een inschatting maken op welke wijze voor deze klant de functionaliteit en beveiligingsmix “near real” time wordt samengesteld.
Probleem 3: Ondanks een goede risicoafweging kan het net als in het verkeer nog steeds voorkomen dat het door een combinatie van omstandigheden helemaal fout dreigt te gaan. De verkeersdeelnemer of wintersporter wordt dan als laatste redmiddel geholpen door de airbag. Een probleem is echter dat de airbag in cyberspace nog niet nadrukkelijk is benoemd. Sterker nog, op het moment van schrijven van deze blog was de term “cyber airbag” nog niet op internet te vinden!
In het kader van “YouExperience” zou ik daarom willen pleiten voor het belang van de “cyber airbag”. Dus een middel dat de gebruiker een grote mate van wendbaarheid geeft en op het allerlaatste moment behoed voor al te grote ongelukken. Ongelukken kunnen in cyberspace op allerlei manieren gebeuren. De gebruiker onderneemt zelf een actie die niet zo handig is en dat leidt tot ongelukken. Voobeeld hiervan is dat de gebruiker een tweet plaatst die niet in het belang is van zijn maatschappelijke positie. Bijvoorbeeld een posting waarbij Geert Wilders wordt vergeleken met.. De airbag blokkeert de posting en vraagt de eindgebruiker er nog even een nachtje over te slapen wellicht ook op basis van interactie met bio-sensoren.
Iemand anders kan ook actie ondernemen waar een ander schade van ondervindt. Een voorbeeld hiervan is de creditcard maatschappij die bij een vermoeden van een frauduleuze transactie de transactie blokeert om de eigenaar van de credit card te beschermen. De vraag is natuurlijk hoe de metaforische “cyber airbag” een a) fatale schade kan verzachten óf. b) schade op het allerlaatste moment nog volledig kan voorkomen. Persoonlijk zie ik de cyber airbag als het ALLERLAATSTE redmiddel in cyber space. Wellicht kunnen we op basis van de werkingsgraad van de “cyber airbag” nog onderscheid maken in:
ad a) “the standard cyber airbag”: zorgt voor een zachtere crash met een snellere recovery dan zonder de “cyber airbag”. Bijvoorbeeld mijn bank die na één telefoontje al mijn pasjes blokkeert na het verlies van mijn portomonee.
ad b) “the predictive cyber airbag”: die een ongeluk nog net weet te voorkomen. Denk bijvoorbeeld aan een personal firewall in combinatie met een Intruder Detection & Intruder Protection systeem.
Voobeelden van toekomstige toepassingen van “cyber airbags zijn:
Je smartphone die in “stealth modus” gaat indien de contextuele integriteit niet op orde blijkt te zijn. Je loopt door een winkel en de winkelketen probeert je te “profilen” op basis van uitgezonden informatie van je smart phone. Of een intelligent systeem dat het gesprek blokkeert indien iemand zijn/haar pin- en tancode door de telefoon dreigt door te geven na een geavanceerde phishing plus social engineering-aanval.
Het enige complexe dat ik bij de metafoor “cyber airbag” nog weet te bedenken is dat je in de fysieke wereld slechts op één plek tegelijk bent, terwijl je gegevens, je identiteiten en je actieve sessies zich in cyber space op meerdere plekken tegelijk op aarde bevinden. Dit vraagt bijna om een concept van een persoonlijke verkeerscentrale die al je persoonlijke cyber airbags op het juiste en op het allerlaatste moment waar dan ook ter wereld laten afgaan. De volledige onderdompeling van de soort mens is met de overname van Oculus door Facebook weer een stuk dichterbij gekomen. Wellicht kunnen we binnenkort het openploffen van de cyber airbag tijdens een Facebook sessie bij een aanval op onze privacy in Virtual Riality ook echt gaan ervaren.
