Fabrikant van medische apparatuur Abbott heeft een belangrijke beveiligingsupdate uitgebracht voor een gevaarlijke kwetsbaarheid in pacemakers. Via het beveiligingslek in de pacemaker kan een ongeautoriseerd persoon op afstand toegang tot het apparaat krijgen en de instellingen wijzigen (pdf).
Hierdoor kan een levensgevaarlijke situatie ontstaan. Door de instellingen aan te passen is het namelijk mogelijk om de batterij snel leeg te laten lopen of om verkeerde schokken toe te dienen.
Voor het updaten van de firmware moeten patiënten langs hun arts gaan. Het installeren van de update neemt ongeveer drie minuten in beslag. Vorig jaar augustus besloot Abbott ook 465.000 andere pacemakers wegens een ernstig beveiligingslek terug te roepen voor een update. Bij 0,62 procent van de pacemakers kon de installatie van de update in eerste instantie niet worden afgerond en bleven de pacemakers in de "back-upmode" draaien, van 67 hartslagen per minuut. In alle gevallen kon de vorige firmware-versie worden hersteld of werd de update met hulp van de technische dienstverlening toch geïnstalleerd.
Steeds vaker nemen computeralgoritmen belangrijke beslissingen over burgers, consumenten en werknemers, in de VS nog vaker dan in Nederland: Wie krijgt er een lening? Wie wordt toegelaten tot een land? Wie komt op de no-fly-lijst van een vliegtuigmaatschappij? Hoe goed presteert een werknemer? Welke sollicitanten komen door de eerste selectie? Laat een medische scan wel of niet een tumor zien? De computer is snel, raakt niet vermoeid en heeft geen last van emoties. Handig, op het eerste gezicht.
Toch bleken zulke computerbeslissingen de afgelopen jaren lang niet altijd goed uit te pakken. Naar schatting worden meer dan duizend mensen per week door een algoritme op een luchthaven ten onrechte als terrorist aangemerkt.
Tot enkele jaren geleden waren computerbeslissingen altijd transparant, omdat ze geprogrammeerd werden volgens duidelijke regels die iedereen kan natrekken: als (dit het geval is), doe dan (dat). Maar de nieuwste computeralgoritmen werken heel anders. Ze leren van grote hoeveelheden voorbeelden en herprogrammeren zichzelf. Het grote nadeel is dat zelfs de makers van lerende algoritmen niet meer precies weten waarom een algoritme doet wat het doet. Informatie ligt namelijk niet meer opgeborgen in overzichtelijke digitale vakjes, maar ligt op een onoverzichtelijke manier verspreid over een verzameling kunstmatige neuronen.
Voor het eerst in de historie maken mensen iets wat ze zelf niet meer tot in detail begrijpen. Het grootste gevaar is niet dat kunstmatige intelligentie de wereld van de mens gaat overnemen, maar dat we te veel vertrouwen op kunstmatige intelligentie. Wanneer er niet veel op het spel staat, kunnen we degelijke geteste computeralgoritmen best op tegen houtje laten beslissen. Maar bij beslissingen waarbij wel veel op het spel staat, in de rechtbank, in de gezondheidszorg of in het onderwijs bijvoorbeeld, is het beter om mens en computer samen te laten oordelen.
Symantec maakt gewag van een hackerscollectief dat het gemunt lijkt te hebben op de zorgsector. Er is malware geplaatst in medische apparatuur en toeleveranciers van zorgverleners worden aangevallen. Naast de gezondheidszorg worden ook onder meer transportbedrijven en IT-dienstverleners op de korrel genomen, veelal als dienstverlenende partij voor zorginstituten en ook in Nederland.
De groep, die de naam Orangeworm heeft gekregen van het beveiligingsbedrijf, opereert al langer via toeleverancier-aanvallen. Daarbij wordt software die wordt aangeleverd aan bijvoorbeeld een ziekenhuis al bij de producent voorzien van malware, zodat legitieme software voorzien is van een backdoor of andere malafide componenten.
Het motief voor de aanvallen is niet duidelijk. Symantec vermoedt dat het deels nog om het aftasten van de infrastructuur gaat en dat de daadwerkelijke aanval nog volgt. Het bedrijf heeft een lijst IOC's gepubliceerd (PDF) om gericht te zoeken naar componenten van de aanval.
Nu de ontwikkelingen in kunstmatige intelligentie en machine learning zo snel gaan, kun je daar mooi van profiteren bij taken die voor mensen mensen lastig of geestdodend saai zijn, zoals het doorlezen van lange juridische teksten. Polisis maakt daar gebruik van. Met deze nieuwe tool kun je snel de privacyvoorwaarden van apps en online diensten doorspitten. In 30 seconden levert Polisis, een afkorting voor ‘privacy policy analysis’, welke stukken nuttig zijn om eens nader te bestuderen. Maar zelfs dat hoeft niet, want Polisis kan je ook met een plaatje informeren over de inhoud.
Neem bijvoorbeeld de privacyvoorwaarden van Pokémon Go, een populaire game op de iPhone die precies weet wanneer je inlogt en op welke locatie. Polisis analyseert de juridische blabla en laat zien welke data de game verzamelt, inclusief IP-adressen, device ID, locatie, persoonlijke eigenschappen en dergelijke. Ook laat de tool zien hoe deze data wordt gebruikt voor reclame, marketing en in de game zelf.
Om Polisis te bouwen trainden de onderzoekers hun tool met 115 privacyvoorwaarden die al eerder waren geanalyseerd door studenten. Daarna testten ze de tool met 130.000 privacyvoorwaarden die ze uit de Google Play Store haalden. Op basis daarvan konden ze de juridische taal omzetten naar simpele teksten over het gebruiken en delen van data. Daarmee hadden ze genoeg voorbeelden om de tool betrouwbaar genoeg te maken. In 88 procent van de gevallen komt de analyse overeen met een menselijke analyse. Dat is misschien nog niet genoeg om er helemaal blind op te varen, maar het is een forse verbetering ten opzichte van helemaal niets lezen.
Je kunt het hier zelf proberen. Let op dat het hier gaat om een online tool, geen installeerbare app.
Overheidsbesluiten over bijvoorbeeld toeslagen en belastingen worden vaak geautomatiseerd genomen. Marlies van Eck promoveert aan Tilburg University op deze praktijk en de rechtsbescherming van de burgers die ermee te maken krijgen...
...In 98 procent van de gevallen gaat dat goed, maar als er problemen ontstaan loopt de burger snel vast met zijn bezwaar. "..., en als er iets misgaat krijgt vooral de burger de ellende op zijn bord." Als algoritmes het besluitvormingsproces overnemen moet het resultaat nog steeds transparant, verifieerbaar en toetsbaar zijn.
Zowel de uitgangspunten als het proces moeten van te voren duidelijk zijn voor de burger die met de regels te maken krijgt. Dat betekent in elk geval dat algoritmes moeten worden vertaald in toegankelijke uitleg die het mogelijk maakt het programma te controleren. Van Eck beveelt ook aan dat iedereen die vastloopt in het systeem van computerbesluiten een gespecialiseerde ambtenaar toegewezen krijgt die gaat helpen het probleem op te lossen. [Proefschrift aanvragen]
Apple heeft een nieuwe privacyfunctie toegevoegd aan iOS 11.3. Het verschijnt alleen als een Apple-app of -functie persoonlijke informatie opvraagt, bijvoorbeeld voor feature die op jou is afgestemd. Apple legt op een informatiescherm uit hoe het werkt en herhaalt nog eens wat het standpunt van het bedrijf is op het gebied van privacy en hoe de privacy van gebruikers op allerlei manieren wordt beschermd.
De functie maakt het gemakkelijker om te achterhalen wanneer Apple-apps en -functies toegang willen tot je persoonlijke data. Je kunt dan gemakkelijker beslissen of je dit wilt. De privacyfunctie kan ook helpen om phishing-aanvallen te achterhalen.
Er verschijnen langzaam maar zeker steeds meer klachten op verschillende (HP)-fora van gebruikers die klagen dat hun computer een stuk trager is geworden na een update van vorige week. Het gaat om een update van de software genaamd "HP Touchpoint Analytics Service", onderdeel van de HP Touchpoint Manager-software. In de beschrijving van de software staat dat deze software telemetrie-informatie verzamelt die wordt gebruikt door de analytical services van HP.
Op de website van HP (Touchpoint Manager) is te lezen dat het bedrijf deze technologie niet langer meer wordt ondersteund, maar dat alles wordt ondergebracht in de nieuwe Touchpoint Manager solution wat een onderdeel is van HP's Device as a Service (DaaS). Deze nieuwe dienst stuurt een keer per dag data naar HP.
Hoewel het er dus naar uit ziet dat deze tool vooral analytische data verzamelt, zijn gebruikers niet blij met deze aanpak. De klagers hadden graag van tevoren ingelicht willen worden en de mogelijkheid willen hebben de nieuwe software te weigeren. Gelukkig is het niet al te moeilijk de software te verwijderen. De software kan worden gede-installeerd via het configuratiescherm van Windows. HP heeft een uitgebreide omschrijvingonline staan waarin wordt uitgelegd hoe de software kan worden verwijderd.
Blijkbaar heeft (nog) niet iedereen deze software op z'n computer staan en je kan controleren of deze software aanwezig is door te navigeren naar de volgende map op je systeemschijf: ProgramData\HP\HP Touchpoint Analytics Clients\. In de map ProgramData\HP\HP Touchpoint Analytics Clients\Transfer Interface kan je zien welke data de software al heeft verzameld.
Het Amerikaanse ministerie van Binnenlandse Veiligheid (DHS) stelt dat digitale veiligheid op het moment nog te afhankelijk van de eindgebruiker is en dat dat moet veranderen. Jeanette Manfra, staatssecretaris voor cybersecurity en communicatie van het DHS sprak onlangs in Dublin over de strategie die het DHS toepast om nationale cybersecurity-incidenten tegen te gaan en de vitale infrastructuur te beschermen.
Het gaat dan om zaken als het implementeren van 'secure by design', het inschakelen van ethische hackers en risicomanagement. Ook ging Manfra in op de rol die eindgebruikers spelen als het om digitale veiligheid gaat. "We kunnen voor security gewoonweg niet volledig afhankelijk zijn van de eindgebruiker zoals nu het geval is", liet ze tegenover Silicon Republic weten.
Volgens de staatssecretaris is er de opvatting dat gebruikers allerlei extra maatregelen moeten nemen om veilig te zijn. "Maar als gebruikers dat niet doen, dan is de rest van het systeem kwetsbaar", aldus Manfra. Maar ik denk ook dat er net zoveel aandacht moet komen voor de onderliggende zaken en er meer naar veilig programmeren moet worden gekeken."
