Software & Algoritmes

Iedere uitvoeringsorganisatie die zogenoemde profilerende algoritmes inzet, moet voldoende maatregelen nemen om mensenrechten te beschermen. Dat concludeert het Rathenau Instituut in het rapport Algoritmes afwegen. Bij het beschermen van mensenrechten kunnen uitvoeringsorganisaties gebruik maken van burgerpanels, ethische commissies en een normenkader.

In het kort:

  • Veel organisaties zijn bezig met het ontwikkelen van een nieuw soort algoritmes.
  • Bij profilerende algoritmes lopen organisaties het risico dat ze burgers behandelen op basis van vooroordelen.
  • Burgers moeten beter kunnen nagaan waarom algoritmes hen wel of niet selecteren.

Alles bij de bron; Rathenau


 

We hebben de laatste jaren veel voorbeelden gezien van overheidsinstanties die gegevens van burgers ver­zamelen, daarop analyses en algoritmen loslaten en op basis van de uitkomsten besluiten nemen. Soms loopt dat helemaal fout, zoals bij de toeslagenaffaire.

Vaak gaat het hier om privacy. Althans, dat woord gonst altijd gauw rond als het om algoritmen gaat. Maar wat bedoelen we dan precies met privacy?

Gaat het over het zorgvuldig omgaan met persoonlijke ge­gevens van burgers, over het verzamelen en verwerken van gegevens, over gegevensbescherming en privacy in engere zin?

Of gaat het over privacy in bredere zin: over de wijze waarop instanties ingrijpen in persoonlijke leven van mensen, en bijvoorbeeld over proportionaliteit: over de verhouding tussen maatschappelijke kosten en baten bij het inzetten van zo’n algoritme?

Beide betekenissen van privacy zijn relevant en belangrijk. Dat het ook belangrijk is om onderscheid te maken tussen die twee, laat de kwestie rond SyRI (Systeem Risico­Indicatie) zien.

Alles bij de bron; deIngenieur


 

NAS-systemen van fabrikant QNAP zijn door beveiligingslekken in Netatalk kwetsbaar voor aanvallen. Eind vorige maand kwam het Netatalk-ontwikkelteam met een nieuwe versie waarin meerdere kwetsbaarheden zijn verholpen.

Netatalk wordt ook gebruikt door QTS, QuTS hero en QuTScloud, de besturingssystemen die op NAS-systemen van QNAP draaien. Vier van de beveiligingslekken in Netatalk (CVE-2022-0194CVE-2022-23121CVE-2022-23122 en CVE-2022-23125) maken het mogelijk voor ongeauthenticeerde aanvallers om code op kwetsbare QNAP-systemen uit te voeren.

QNAP heeft de impact van de beveiligingslekken als "high" bestempeld. De NAS-fabrikant stelt dat de kwetsbaarheden al zijn verholpen in QTS 4.5.4.2012 build 20220419 en nieuwer. Voor andere versies van de besturingssystemen worden nog beveiligingsupdates ontwikkeld.

Alles bij de bron; Security


 

Twee beveiligingsonderzoekers die vorig jaar kwetsbaarheden in de CoronaCheck-app ontdekten en dit wilden melden kregen hun bugmelding terug omdat het door de overheid gebruikte e-mailadres niet bestond. Dat schrijven onderzoekers Daan Keuper en Thijs Alkemade in een analyse van de kwetsbaarheden in de app.

De CoronaCheck-app bleek verschillende fouten te maken bij de controle van tls-certificaten. Door middel van een kwaadaardig certificaat zou het zo mogelijk zijn om verkeer tussen de app en het ministerie van Volksgezondheid of een coronatestaanbieder te onderscheppen. De CoronaCheck-app heeft op de website een pagina genaamd "Kwetsbaarheid melden", waar wordt uitgelegd hoe onderzoekers beveiligingslekken in de app kunnen melden.

Alkemade en Keuper stuurden hun bevinden naar het genoemde e-mailadres, maar kregen hun e-mail terug omdat het genoemde adres niet bestond. Uiteindelijk wisten ze via andere kanalen hun bugmeldingen door te zetten. De kwetsbaarheden werden vervolgens stilletjes en zonder terugkoppeling verholpen, zo laten de onderzoekers verder weten.

Die besloten afgelopen oktober naar de code van de app te kijken of alle problemen waren verholpen en ontdekten dat één beveiligingslek nog niet goed was opgelost. Wederom stuurden de onderzoekers een e-mail naar de ontwikkelaars, die het probleem opnieuw zonder terugkoppeling verhielpen. 

Alles bij de bron; Security


 

Slimme algoritmes worden steeds vaker gebruikt in onze samenleving, bijvoorbeeld om fraude op te sporen. Die algoritmes moeten worden wel gecontroleerd op discriminatie en willekeur. Die taak komt voor een belangrijk deel te liggen bij de Autoriteit Persoonsgegevens (AP), de Nederlandse privacywaakhond. 

Het is onwenselijk om dit zomaar bij de AP onder te brengen, zegt Corien Prins, hoogleraar Recht en Informatisering en voorzitter van de Wetenschappelijke Raad voor Regeringsbeleid (WRR), de belangrijkste adviesraad van de regering. "Algoritmes gebruiken lang niet altijd persoonsgegevens, maar dat is wel de focus van de AP. Ook zit de pijn niet altijd bij privacy. Algoritmes kunnen ook de markt verstoren of tot machtsmisbruik leiden."

De WRR-voorzitter slaat de spijker op de kop, vindt hoogleraar privacy Bart Schermer. "Door de taak bij de AP onder te brengen, zit er gelijk het stempel van persoonsgegevens op. De AP heeft niet per se kaas gegeten van algoritmes voor de veiligheid van vliegtuigonderdelen of algoritmes in medische apparatuur."

Alles bij de bron; NU


 

Tijdens de eerste patchdinsdag van dit jaar is Microsoft in eerste instantie vergeten te melden dat één van de verholpen kwetsbaarheden al voor het uitkomen van de update actief werd aangevallen. Een aantal dagen later werd de ontbrekende informatie alsnog toegevoegd. De Amerikaanse overheid heeft federale overheidsinstanties nu verplicht om het beveiligingslek voor 18 februari te patchen.

De kwetsbaarheid in kwestie, aangeduid als CVE-2022-21882, bevindt zich in de Windows-kernel. Via het lek kan een aanvaller die al toegang tot het systeem heeft zijn rechten verhogen en beheerder- of systeemrechten krijgen. 

Alles bij de bron; Security


 

Twee weken geleden was het mogelijk een app voor tweestapsverificatie te downloaden via Google Play, die naast beveiliging ook een banktrojan aanbood. De app, genaamd 2FA Authenticator, ging op 12 januari live in Google Play. Op 26 januari ontdekte Google dat het om een malafide applicatie ging; en twaalf uur later verwijderde de zoekmachinegigant de applicatie.

De app is meer dan tienduizend keer gedownload vanuit Google Play en haalde bankgegevens en andere persoonlijke informatie op. Het gaat om Android-malware Vultur, die in 2021 ontdekt werd. 

De app in kwestie gaf gebruikers daadwerkelijk de optie gebruik te maken van 2fa (two-factor authentication). Maar achter de schermen verzamelde de app ondertussen een lijst met apps die op de smartphone van de gebruiker staan. Daarnaast keek die naar de locatie, schakelde die het vergrendelde scherm uit en werden third-party apps gedownload alsof het belangrijke “updates” waren.

Alles bij de bron; ComputerIdee


 

Anoniem gemaakte telefoongegevens zijn niet zo anoniem. Aan de hand van hun interactiepatroon zijn individuen te herleiden, laten Europese onderzoekers deze week zien in Nature Communications. De huidige praktijk van anonimiseren voldoet hiermee niet langer aan de Europese privacywet, concluderen ze....

... Een groep informatici uit het Verenigd Koninkrijk, Zwitserland en Italië laat nu zien dat het met een techniek die geometrische deep learning heet mogelijk is om iemand te herleiden aan de hand van zijn interacties.

De onderzoekers bouwden een model waarin interacties per week werden weergegeven. In een dataset met geanonimiseerde telefoongegevens van 43.000 mensen kon het model in 52 procent van de tijd iemand correct identificeren op basis van directe interacties én de interacties van de mensen met wie zij interacteerden – twee ‘handdrukken’ ver dus. Als alleen de directe interacties bekeken werden, kon iemand zo’n 15 procent van de tijd correct geïdentificeerd worden. 

„Deze onderzoekers hebben weer een extra manier gevonden om individuen te herleiden”, zegt Frederik Zuiderveen Borgesius, hoogleraar ict en recht aan de Radboud Universiteit in Nijmegen. „Ze kunnen hiermee nog geen naam of adres op de telefoongegevens plakken, maar helemaal anoniem is het ook niet meer, en dat wordt wel vaak geclaimd. De grens van wat persoonsgegevens zijn en wat dus onder de [Europese privacywet] AVG valt, schuift dankzij dit soort technieken steeds verder op.”

„Ik denk dat de juristen van Europese telecombedrijven wel zullen balen van dit onderzoek. Die bedrijven verhandelen zulke gegevens graag”, zegt Zuiderveen Borgesius.

Alles bij de bron; NRC [Thnx-2-Niek]


 

Deepfakes zijn plaatjes, filmpjes of geluiden die met kunstmatige intelligentie (AI) en andere software gemanipuleerd zijn om net echt te lijken. Een recent rapport van Tilburg University constateert dat meer dan 95 procent van alle deepfakes pornografisch is, en vaak gemaakt zonder toestemming van de mensen die worden afgebeeld. 

Deepfakes kunnen ook dienen om fraude te plegen of je kunt haatzaaien en verkiezingen beïnvloeden met deepfake-nieuws. Over zes jaar is ruim 90 procent van alles wat je digitaal aantreft gemanipuleerd, voorspellen experts. Als daar veel deepfakes tussen zitten, wordt het lastig voor rechters, journalisten en burgers om feit van fictie te scheiden.

“Wat mij heel erg is opgevallen, is hoe realistisch sommige deepfakes zijn”, zegt Tilburg University-docent Bart van der Sloot. “Zowel qua stem als videobeeld kun je iemand iets laten doen of zeggen wat niet van echt is te onderscheiden. Je kunt niet met het blote oog zien dat het nep is, en zelfs bij de beste detectiesoftware glipt ruim een derde van de deepfakes door het net.”

Volgens de Europese privacywet mag je afbeeldingen en andere gegevens van mensen niet zomaar uit hun context halen. Zeker niet om zonder toestemming een onjuiste voorstelling van zaken te geven. Maar een verbod is wel controversieel, vertelt Van der Sloot. 

In plaats van een verbod, focust het rapport op manieren om deepfakes beter te reguleren maar ook dat lost niet alles op. Want hoe handhaaf je de wet als je niet weet of iets nep is?

Het probleem is niet alleen dat veel deepfakes onopgemerkt blijven. Het omgekeerde is ook mogelijk. “Automatische detectiesoftware zoekt naar zogeheten artefacten die duiden op manipulatie. Maar iemand kan ook alleen een artefact maken en dat toevoegen aan echte beelden zodat het systeem denkt dat ze nep zijn. Zo wordt het nog moeilijker om te beoordelen wat waar is en wat niet.”

Alles bij de bron; Trouw


 

Herstel Fabrieksinstellingen. Die knop zou ik dus óók graag voor mijn persoonlijke online-leven willen. Helemaal opnieuw als digital citizen mogen beginnen dus.

Weer anoniem zijn, onbekend, zonder zoek- of koopgeschiedenis, geen leeftijd of geslacht bekend. Een personal reset knop voor Google, Spotify, Facebook, Twitter, Instagram, YouTube, LinkedIn – voor al die platformdiensten die mij en m’n data genadeloos op een rijtje hebben. Die mij advertenties, berichten en clips laten zien en horen die ‘bij me passen’ of ‘voorkeuren’ aanraadt die ‘anderen ook hadden’. ...

...Controle, moderatie, toezicht op deze platforms – het staat in de kinderschoenen. Vrije onderlinge concurrentie is er ook maar met mate – het is een kartel dat de markt verdeelde. Reguleren is dus dringend gewenst. Willen we in Europa wel biometrische camera’s die ieders gezicht herkennen? Volgens de nieuwe verordening mag dat, mits beperkt tot bestrijding van terreur en kinderontvoering. Of is het beter openbare biometrische camera’s tout court te verbieden?

Dat soort discussies moeten we in 2022 voeren. Hoeveel macht krijgt de burger over z’n eigen social media-accounts? ...

...ik wil dus m’n digitale voorkeuren zelf mee mogen bepalen. Alsjeblieft?

Alles bij de bron; NRC [lang-lezen-artikel]


 

Abonneer je nu op onze wekelijkse nieuwsbrief!
captcha