Home Research Education Publications Activities Resources About Me

Don't kill the Internet of Things

Fokke & Sukke zijn altijd de agenda kwijt: "Volgens Google ligt hij op jouw bureau Sukke." Deze strip van Fokke & Sukke geeft de essentie van het internet der dingen treffend weer: de virtuele wereld en de werkelijke, fysieke, wereld worden met elkaar verbonden zodat we via Internet kunnen zoeken naar onze agenda, kunnen zien of de kinderen al zijn thuisgekomen als we zelf wat langer op het werk zijn, en een berichtje krijgen wanneer de file op weg naar huis kort genoeg is.

Dat maakt het internet der dingen een verleidelijk perspectief. Hoe vaak zoek je je niet een ongeluk naar je agenda of je autosleutels? Bezorgde ouders willen maar wat graag weten waar hun kinderen uithangen. Aan de andere kant brengt deze visie een duidelijk privacy risico met zich mee. Wat nou als je agenda onder het bed van de buurman ligt? En willen de kinderen zelf soms niet liever onzichtbaar en onvindbaar zijn...

Wat is het internet der dingen eigenlijk?

Hoe in de toekomst het internet der dingen er uit gaat zien is nog ongewis. Maar een eerste aanzet wordt gegeven door de toepassing van RFID technologie. RFID tags zijn kleine computer chips met een antenne, die draadloos communiceren met een zogenaamde RFID lezer. Normaal gesproken is de leesafstand enkele centimeters, maar met speciale lezers kan die oplopen tot wel enkele meters. De meest simpele RFID chips bevatten slechts een uniek nummer, dat ze aan iedere lezer versturen die er maar om vraagt. Dit soort RFID chips vind je soms op producten in de supermarkt, of in boeken die je via internet bestelt. Ze zijn zo klein en plat dat ze soms niet meteen opmerkt. Ze worden gebruikt in de logistiek, en zijn bedoeld ter vervanging van de barcode. Complexere RFID chips vinden we in het biometrisch paspoort, toegangspassen en de OV chipkaart. Deze bevatten veel meer gegevens, maar zijn daarom ook beveiligd (alhoewel die beveiliging in de praktijk soms ernstig te kort blijkt te schieten). Niet alle lezers hebben toegang tot de chip, en bovendien wordt er onderscheid gemaakt tussen het lezen van gegevens op de chip en het wijzigen van gegevens op de chip. Sommige mobiele telefoons, zogenaamde NFC telefoons, kunnen RFID chips lezen, maar zich ook zelf gedragen als RFID chips. Dit maakt het bijvoorbeeld mogelijk om in de toekomst je telefoon te gebruiken als OV chipkaart, of als elektronisch betaalmiddel (waar overigens nu al druk mee geëxperimenteerd wordt). Er zijn nog talloze andere toepassingen van RFID bedacht, in ontwikkeling of zelfs al in gebruik. Moderne autosleutels gebruiken RFID. Reclame posters kunnen een RFID chip bevatten: houd je telefoon bij de poster en je wordt automatisch doorgelinkt naar de bijbehorende website. Vergelijkbare systemen worden uitgetest in musea: op de website verschijnt extra informatie over het geëxposeerde object, in de taal van je keuze. In interactief opgezette musea waar bezoekers allerlei experimenten kunnen doen, zorgt de RFID chip in de bezoekerspas ervoor dat alle resultaten van de experimenten die jij doet automatisch worden bijgehouden in een eigen bezoekersprofiel dat je later nog eens kunt bekijken. RFID chips in papiergeld kunnen helpen om vervalsing moeilijker te maken. Voor blinden en slechtzienden is in Japan een systeem ontwikkeld waarbij RFID chips in het trottoir precies aangeven waar je je bevindt. De lezer zit hierbij in de witte wandelstok. Archiefbeheer wordt veel eenvoudiger als alle papieren documenten zijn voorzien van een RFID chip. Je zou het ook kunnen gebruiken om je gereedschap met anderen in de wijk te delen, zonder een stuk gereedschap meteen kwijt te zijn als iemand het een keer langer nodig heeft of vergeet terug te brengen. Sukke is niet de enige die wel eens wat vergeet.

Privacyrisico's

Veel van deze toepassingen zijn ontwikkeld om mensen te ondersteunen, en om de tools die nu beschikbaar zijn op het internet ook toepasbaar te maken op de fysieke wereld. Dat zijn toepassingen die ons leven verrijken, of simpelweg dragelijk maken. Het zou mooi zijn om dergelijke toepassingen in de toekomst te kunnen realiseren. Aan de andere kant zijn er toepassingen die bedoeld zijn om de mogelijkheden van gebruikers in te perken, zoals het voorbeeld van de RFID chips in papiergeld om valsemunterij te voorkomen. Echter, in elk van die toepassingen is de bedreiging van de persoonlijke levenssfeer wel een punt van zorg. Ze verzamelen een grote hoeveelheid, vaak persoonlijke, informatie over hun gebruikers. Vaak zonder dat de gebruiker dit door heeft of er controle over heeft. Daarnaast zijn veel van de RFID chips ook door anderen op grotere afstand uitleesbaar. Als je een kledingstuk of horloge draagt met een RFID chip met een uniek nummer, dan ben je altijd uniek identificeerbaar. Ook al zou zo'n RFID chip alleen maar de code van het product bevatten, dan nog zijn vaak combinaties van 3 á 4 producten per persoon al redelijk uniek.

Is de 'kill-switch' een oplossing?

Dit laatste aspect is al jaren een doorn in het oog van privacy beschermers, en één van de belangrijkste bezwaren tegen het gebruik van RFID technologie. Zonder een oplossing voor dit probleem is het onverantwoord om RFID op grote schaal in te voeren. Vandaar dat EU commissaris Vivian Reding in mei een EU aanbeveling bekend maakte, waarin wordt geadviseerd om RFID chips bij de kassa te de-activeren. Datzelfde standpunt werd in het hoofdredactionele commentaar van de NRC van woensdag 12 augustus nog eens herhaald. Zo'n de-activatie (ook wel kill-command genoemd) zorgt ervoor dat een RFID chip niet meer met zijn omgeving kan communiceren, en daarom dus ook geen persoonlijke informatie meer kan vrijgeven. De meeste RFID chips ondersteunen dit commando. Een dergelijk "recht op stilte" (zie de NRC van maandag 10 augustus) is echter alleen een oplossing voor RFID chips die voor logistieke processen gebruikt worden, en waarbij het inderdaad zinvol is om ze bij de kassa te de-activeren. Dit is maar een klein deel van alle toepassingen die nu of in de toekomst van RFID gebruik maken. Voor die toepassingen is uitschakelen van de chip geen optie: de toepassing werkt dan helemaal niet meer. Maar ook voor RFID chips op producten die je in de winkel koopt hangt de werkelijke privacy bescherming af van hoe een en ander geïmplementeerd is. Veel mensen zullen er voor kiezen de chip niet te de-activeren, als hier een financieel voordeel mee te halen is, of als het handiger is voor service beurten of garantie om de chip actief te houden. Het probleem is dat de-activatie een 'all-or-nothing' oplossing is: kies je voor actief houden, dan staat de RFID chip voor iedereen open. En anders kan helemaal niemand er bij. Een 'kill-switch' voor RFID zou hetzelfde zijn als eisen dat, als maatregel tegen de privacy bezwaren die kleven aan sociale netwerken, je moet kiezen om óf helemaal geen vrienden toe staat op Hyves, óf iedereen als vriend aan te merken. Met een dergelijke maatregel zouden sociale netwerken een zeer snelle dood gestorven zijn, en zouden we bij wijze van spreken nog in versie 0.1 van het WWW zitten...

Een betere oplossing

Wat ook kan, maar wat op dit moment nog maar weinig gebeurd (behalve dan op de complexere RFID chips), is om slechts gecontroleerd toegang tot RFID chips te geven. En op een zodanige manier dat de consument zelf, op een eenvoudige manier, kan controleren wie wanneer op welke plaats met een RFID chip van haar mag communiceren. Zoiets zou vergelijkbaar zijn met hoe mensen omgaan met persoonlijke gegevens op Hyves of Facebook: sommige informatie is zichtbaar voor iedereen, andere informatie is alleen zichtbaar voor vrienden, en andere helemaal niet. (Dit is slechts een voorbeeld om een idee te geven, want er is nog wel wat te wensen ten aanzien van het gebruikersgemak, de controle over en de veiligheid van de privacy settings in Hyves en Facebook.) Dit zou een betere oplossing zijn, maar vergt aanpassingen aan de RFID chip. Beter is om meteen op zo'n lange termijn oplossing in te zetten. De-activatie is slechts een korte termijn oplossing, voor slechts een beperkt deel van de toepassingen. Het risico bestaat dat na het op deze manier wegnemen van de ergste privacy bezwaren, niet meer geïnvesteerd gaat worden in lange termijn oplossingen. Dan creëren we een internet der dingen waarin alle chips in principe ge-deactiveerd zouden kunnen worden, maar waarin niemand dat doet, omdat je dan volledig van de wereld bent afgesloten. Zo'n internet der dingen is geen toekomstdroom maar een nachtmerrie.

Conclusie

Het de-activeren ('killen') van een RFID chip bij de kassa beschermt de privacy direct en volledig. Dat is goed. Maar tegelijk is het een schijnoplossing. Naast het gebruik van RFID door winkeliers zijn er, zoals hierboven beschreven, al talloze andere RFID gerelateerde toepassingen. En kunnen we, in de visie van het internet der dingen, in de toekomst nog veel meer van dit soort toepassingen verwachten. De-activatie is hierbij niet mogelijk: dan zou de toepassing zelf helemaal niet meer werken. Beter is het dan ook om de consument zelf, op een eenvoudige manier, te laten bepalen wie wanneer op welke plaats toegang krijgt tot haar RFID chips. Zodat ze zelf kan uitmaken in hoeverre zij, en haar bezittingen, onderdeel gaan uitmaken van het internet der dingen.

Zorg ervoor dat dergelijke technologie standaard deel uitmaakt van alle RFID chips. Zorg voor een "recht op Oost-Indisch stom zijn". Dan hoeven we niet terug te vallen op een grof en eenzijdig middel als de-activatie om onze privacy te beschermen. Een internet der dingen komt er niet door het kind met het badwater weg te gooien.

Jaap-Henk Hoepman is senior onderzoeker security en cryptografie bij TNO ICT en Universitair Hoofddocent aan de Radboud Universiteit Nijmegen.  


Last Version - e1e3326.
(Note: changeover from CVS to dotless svn version numbers on Jan 19, 2008, and changeover to GIT versioning on May 30, 2013.)
Maintained by Jaap-Henk Hoepman
Email: jhh@cs.ru.nl