_INTRO(Don't kill the Internet of Things)
Fokke & Sukke zijn altijd de agenda kwijt: "Volgens Google ligt hij op jouw
bureau Sukke." Deze strip van Fokke & Sukke geeft de essentie van het internet
der dingen treffend weer: de virtuele wereld en de werkelijke, fysieke, wereld
worden met elkaar verbonden zodat we via Internet kunnen zoeken naar onze
agenda, kunnen zien of de kinderen al zijn thuisgekomen als we zelf wat langer
op het werk zijn, en een berichtje krijgen wanneer de file op weg naar huis
kort genoeg is.
Dat maakt het internet der dingen een verleidelijk perspectief. Hoe vaak zoek
je je niet een ongeluk naar je agenda of je autosleutels? Bezorgde ouders
willen maar wat graag weten waar hun kinderen uithangen. Aan de andere kant
brengt deze visie een duidelijk privacy risico met zich mee. Wat nou als je
agenda onder het bed van de buurman ligt? En willen de kinderen zelf soms niet
liever onzichtbaar en onvindbaar zijn...
Wat is het internet der dingen eigenlijk?
Hoe in de toekomst het internet der dingen er uit gaat zien is nog
ongewis. Maar een eerste aanzet wordt gegeven door de toepassing van RFID
technologie. RFID tags zijn kleine computer chips met een antenne, die
draadloos communiceren met een zogenaamde RFID lezer. Normaal gesproken is de
leesafstand enkele centimeters, maar met speciale lezers kan die oplopen tot
wel enkele meters.
De meest simpele RFID chips bevatten slechts een uniek nummer, dat ze aan
iedere lezer versturen die er maar om vraagt. Dit soort RFID chips vind je soms
op producten in de supermarkt, of in boeken die je via internet bestelt. Ze
zijn zo klein en plat dat ze soms niet meteen opmerkt. Ze worden
gebruikt in de logistiek, en zijn bedoeld ter vervanging van de barcode.
Complexere RFID chips vinden we in het biometrisch paspoort, toegangspassen en
de OV chipkaart. Deze bevatten veel meer gegevens, maar zijn daarom ook
beveiligd (alhoewel die beveiliging in de praktijk soms ernstig te kort blijkt
te schieten). Niet alle lezers hebben toegang tot de chip, en bovendien wordt
er onderscheid gemaakt tussen het lezen van gegevens op de chip en het wijzigen
van gegevens op de chip.
Sommige mobiele telefoons, zogenaamde NFC telefoons, kunnen RFID chips lezen,
maar zich ook zelf gedragen als RFID chips. Dit maakt het bijvoorbeeld mogelijk
om in de toekomst je telefoon te gebruiken als OV chipkaart, of als
elektronisch betaalmiddel (waar overigens nu al druk mee geëxperimenteerd
wordt).
Er zijn nog talloze andere toepassingen van RFID bedacht, in ontwikkeling of
zelfs al in gebruik. Moderne autosleutels gebruiken RFID. Reclame posters
kunnen een RFID chip bevatten: houd je telefoon bij de poster en je wordt
automatisch doorgelinkt naar de bijbehorende website. Vergelijkbare systemen
worden uitgetest in musea: op de website verschijnt extra informatie over
het geëxposeerde object, in de taal van je keuze. In interactief opgezette
musea waar bezoekers allerlei experimenten kunnen doen, zorgt de RFID chip in
de bezoekerspas ervoor dat alle resultaten van de experimenten die jij doet
automatisch worden bijgehouden in een eigen bezoekersprofiel dat je later nog
eens kunt bekijken. RFID chips in papiergeld kunnen helpen om vervalsing
moeilijker te maken. Voor blinden en slechtzienden is in Japan een systeem
ontwikkeld waarbij RFID chips in het trottoir precies aangeven waar je je
bevindt. De lezer zit hierbij in de witte wandelstok. Archiefbeheer wordt veel
eenvoudiger als alle papieren documenten zijn voorzien van een RFID chip. Je
zou het ook kunnen gebruiken om je gereedschap met anderen in de wijk te delen,
zonder een stuk gereedschap meteen kwijt te zijn als iemand het een keer langer
nodig heeft of vergeet terug te brengen. Sukke is niet de enige die wel eens
wat vergeet.
Privacyrisico's
Veel van deze toepassingen zijn ontwikkeld om mensen te ondersteunen, en om de
tools die nu beschikbaar zijn op het internet ook toepasbaar te maken op de
fysieke wereld. Dat zijn toepassingen die ons leven verrijken, of simpelweg
dragelijk maken. Het zou mooi zijn om dergelijke toepassingen in de toekomst te
kunnen realiseren. Aan de andere kant zijn er toepassingen die bedoeld zijn om
de mogelijkheden van gebruikers in te perken, zoals het voorbeeld van de RFID
chips in papiergeld om valsemunterij te voorkomen.
Echter, in elk van die
toepassingen is de bedreiging van de persoonlijke levenssfeer
wel een punt van zorg. Ze verzamelen een grote
hoeveelheid, vaak persoonlijke, informatie over hun gebruikers. Vaak zonder dat
de gebruiker dit door heeft of er controle over heeft. Daarnaast zijn veel van
de RFID chips ook door anderen op grotere afstand uitleesbaar. Als je een
kledingstuk of horloge draagt met een RFID chip met een uniek nummer, dan ben
je altijd uniek identificeerbaar. Ook al zou zo'n RFID chip alleen maar de code
van het product bevatten, dan nog zijn vaak combinaties van 3 á 4 producten per
persoon al redelijk uniek.
Is de 'kill-switch' een oplossing?
Dit laatste aspect is al jaren een doorn in het oog van privacy beschermers, en
één van de belangrijkste bezwaren tegen het gebruik van RFID
technologie. Zonder een oplossing voor dit probleem is het onverantwoord om
RFID op grote schaal in te voeren. Vandaar dat EU commissaris Vivian Reding in
mei een EU aanbeveling bekend maakte, waarin wordt geadviseerd om RFID chips
bij de kassa te de-activeren. Datzelfde standpunt werd in het hoofdredactionele
commentaar van de NRC van woensdag 12 augustus nog eens herhaald. Zo'n
de-activatie (ook wel kill-command genoemd) zorgt ervoor dat een RFID chip niet
meer met zijn omgeving kan communiceren, en daarom dus ook geen persoonlijke
informatie meer kan vrijgeven. De meeste RFID chips ondersteunen dit commando.
Een dergelijk "recht op stilte" (zie de NRC van maandag 10 augustus) is echter
alleen een oplossing voor RFID chips die voor logistieke processen gebruikt
worden, en waarbij het inderdaad zinvol is om ze bij de kassa te
de-activeren. Dit is maar een klein deel van alle toepassingen die nu of in de
toekomst van RFID gebruik maken. Voor die toepassingen is uitschakelen van de
chip geen optie: de toepassing werkt dan helemaal niet meer. Maar ook voor RFID
chips op producten die je in de winkel koopt hangt de werkelijke privacy
bescherming af van hoe een en ander geïmplementeerd is. Veel mensen zullen er
voor kiezen de chip niet te de-activeren, als hier een financieel voordeel mee
te halen is, of als het handiger is voor service beurten of garantie om de
chip actief te houden. Het probleem is dat
de-activatie een 'all-or-nothing' oplossing
is: kies je voor actief houden, dan staat de RFID chip voor iedereen open. En
anders kan helemaal niemand er bij.
Een 'kill-switch' voor RFID zou hetzelfde zijn als eisen dat, als maatregel
tegen de privacy bezwaren die kleven aan sociale netwerken, je moet kiezen om
óf helemaal geen vrienden toe staat op Hyves, óf iedereen als vriend aan te
merken. Met een dergelijke maatregel zouden sociale netwerken een zeer snelle
dood gestorven zijn, en zouden we bij wijze van spreken nog in versie 0.1 van
het WWW zitten...
Een betere oplossing
Wat ook kan, maar wat op dit moment nog maar weinig gebeurd (behalve dan op de
complexere RFID chips), is om slechts gecontroleerd toegang tot RFID chips te
geven. En op een zodanige manier dat de consument zelf, op een eenvoudige
manier, kan controleren wie wanneer op welke plaats met een RFID chip van haar
mag communiceren. Zoiets zou vergelijkbaar zijn met hoe mensen omgaan met
persoonlijke gegevens op Hyves of Facebook: sommige informatie is zichtbaar
voor iedereen, andere informatie is alleen zichtbaar voor vrienden, en andere
helemaal niet. (Dit is slechts een voorbeeld om een idee te geven, want er is
nog wel wat te wensen ten aanzien van het gebruikersgemak, de controle over en
de veiligheid van de privacy settings in Hyves en Facebook.) Dit zou een betere
oplossing zijn, maar vergt aanpassingen aan de RFID chip.
Beter is om meteen op zo'n lange termijn oplossing in te zetten. De-activatie
is slechts een korte termijn oplossing, voor slechts een beperkt deel van de
toepassingen. Het risico bestaat dat na het op deze manier wegnemen van de
ergste privacy bezwaren, niet meer geïnvesteerd gaat worden in lange termijn
oplossingen. Dan creëren we een internet der dingen waarin alle chips in
principe ge-deactiveerd zouden kunnen worden, maar waarin niemand dat doet,
omdat je dan volledig van de wereld bent afgesloten. Zo'n internet der dingen
is geen toekomstdroom maar een nachtmerrie.
Conclusie
Het de-activeren ('killen') van een RFID chip bij de kassa beschermt de privacy
direct en volledig. Dat is goed. Maar tegelijk is het een
schijnoplossing. Naast het gebruik van RFID door winkeliers zijn er, zoals
hierboven beschreven, al talloze andere RFID gerelateerde toepassingen. En
kunnen we, in de visie van het internet der dingen, in de toekomst nog veel
meer van dit soort toepassingen verwachten. De-activatie is hierbij niet
mogelijk: dan zou de toepassing zelf helemaal niet meer werken. Beter is het
dan ook om de consument zelf, op een eenvoudige manier, te laten bepalen wie
wanneer op welke plaats toegang krijgt tot haar RFID chips. Zodat ze zelf kan
uitmaken in hoeverre zij, en haar bezittingen, onderdeel gaan uitmaken van het
internet der dingen.
Zorg ervoor dat dergelijke technologie standaard deel uitmaakt van alle RFID
chips. Zorg voor een "recht op Oost-Indisch stom zijn". Dan hoeven we niet
terug te vallen op een grof en eenzijdig middel als de-activatie om onze
privacy te beschermen. Een internet der dingen komt er niet door het kind met
het badwater weg te gooien.
Jaap-Henk Hoepman is senior onderzoeker security en cryptografie bij TNO ICT en
Universitair Hoofddocent aan de Radboud Universiteit Nijmegen.
_EXTRO($Revision$,$Date$)