In SonicWall firewalls zijn twee kwetsbaarheden ontdekt, die aanvallers de mogelijkheid bieden Denial of Service (DoS)- of Remote Code Execution (RCE)-aanvallen uit te voeren. In totaal zijn naar schatting ruim 178.000 firewalls kwetsbaar. Een patch is beschikbaar.
De kwetsbaarheden (CVE-2022-22274 en CVE-2023-0656) treffen specifiek Series 6- en Series 7-firewalls van SonicWall.
Vooralsnog zijn er geen aanwijzingen dat het lek actief wordt uitgebuit.
Alles bij de bron; DutchIT
Na dagenlang intensief onderhandelen is er een voorlopig akkoord bereikt over Europese regels om kunstmatige intelligentie (AI) te reguleren. Dat meldt de Franse Eurocommissaris Thierry Breton.
De wetgeving, die de AI Act wordt genoemd, wordt gezien als een cruciale stap om meer grip te krijgen op kunstmatige intelligentie en moet 'de grondrechten, democratie, rechtsstaat en het milieu' beschermen tegen bepaalde AI-toepassingen. Systemen worden opgedeeld in risicoklassen: hoe hoger het risico, hoe strenger de vereisten.
Een aantal vergaande AI-toepassingen, zoals het ongericht opbouwen van databases met (beveiligings)beelden voor gezichtsherkenning, wordt verboden. Dit geldt ook voor systemen die punten geven of straffen voor bepaald gedrag.
Ook is het werkgevers of onderwijsinstellingen niet toegestaan om emoties te herkennen met kunstmatige intelligentie. Voor politiediensten geldt in sommige gevallen een uitzondering op de regels, bijvoorbeeld in de zoektocht naar slachtoffers of daders bij zware misdrijven.
Over de AI Act is de afgelopen dagen zeer intensief onderhandeld en is de eerste ter wereld in zijn soort. Verwacht wordt dat de wet pas op zijn vroegst in 2025 van kracht wordt. Het Europees Parlement moet nog over de wet stemmen.
Hoewel AI jaren wordt toegepast in onze maatschappij, heeft de komst van AI-tools als ChatGPT de urgentie van wetgeving enorm vergroot.
Alles bij de bron; NOS
De politie adviseert gebruikers van ChatGPT om nooit vertrouwelijke gegevens in de chatbot in te voeren, ook geen namen van personen. "Als je het niet op LinkedIn zou zetten, moet je het ook niet invoeren op ChatGPT. Want dat systeem traint zichzelf met de informatie die je invoert en voordat je het weet komt jouw informatie terug in teksten die gegenereerd zijn voor anderen", zegt Manon den Dunnen, Strategisch Specialist Digitaal bij de politie.
Volgens Manon zijn veel mensen ChatGPT gaan gebruiken als alternatief voor de zoekmachine. "Maar wat veel mensen zich niet realiseren: het is geen zoekmachine. ChatGPT is een taalmodel. Het is getraind op het genereren van teksten. Zie het als een slimme autocomplete die woord voor woord een tekst voor je genereert.”
Vorige maand werd bekend dat het kabinet aan een verbod werkt op het gebruik van ChatGPT en andere generatieve AI-software door rijksambtenaren. Aanleiding is een conceptvoorstel van de Autoriteit Persoonsgegevens en landsadvocaat Pels Rijcken dat niet gecontracteerde generatieve AI-toepassingen over het algemeen niet aantoonbaar aan de AVG en auteursrechtelijke wetgeving voldoen.
Alles bij de bron; Security
Amsterdam gebruikt veel algoritmen, bijvoorbeeld om nummerborden te scannen voor parkeercontroles of om de WOZ-waarde van woningen te berekenen. "Het gebruik van algoritmen ligt gevoelig", aldus de Rekenkamer. "Algoritmen kunnen grote invloed hebben op burgers en bedrijven. Er is bijvoorbeeld een risico op de inbreuk van privacy van burgers. En als er vooroordelen in een algoritme zitten, kan het algoritme discrimineren."
Volgens de Rekenkamer wil de gemeente de privacy van burgers goed beschermen als zij algoritmen gebruikt, maar slaagt het daar nog onvoldoende in. Zo zijn verplichte wettelijke controles om de privacy te beschermen onvoldoende uitgevoerd. Verder worden inwoners nog weinig persoonlijk geïnformeerd over wat de gemeente met hun gegevens doet.
Ook blijkt dat het beheerskader van de gemeente voor de toepassing van algoritmes geen aandacht heeft voor gevallen waarbij persoonsgegevens die zijn verzameld en/of verwerkt voor het ene doel, worden gebruikt voor een ander doel. "Daarbij is het belangrijk dat er wordt getoetst of de twee doelen wel voldoende bij elkaar aansluiten (of het nieuwe doel verenigbaar is met het oorspronkelijke doel)", zo laat de Rekenkamer weten.
Tevens vindt de Rekenkamer dat het beheerskader meer aandacht kan besteden aan dataminimalisatie, proportionaliteit en subsidiariteit. De gemeente Amsterdam heeft aangegeven de conclusies van de Rekenkamer over te nemen en zal de gedane aanbevelingen implementeren.
Alles bij de bron; Security
Het expertisecentrum online misbruik Offlimits vreest onterechte veroordelingen van burgers als client-side scanning wordt ingevoerd om de chatberichten van burgers te controleren zoals de Europese Commissie wil.
Volgens Offlimits zorgt het voorstel van de Europese Commissie ervoor dat alle afbeeldingen onderschept kunnen worden, juist ook wanneer er geen problematische situatie is. Vervolgens worden de afbeeldingen door vele mensen bekeken om te analyseren. "Daarmee wordt er onnodig een enorme inbreuk gepleegd op de privacy van het kind. Het voorstel heeft dus geen rekening gehouden met de diversiteit van de redenen om naaktbeelden te delen, noch het feit dat veel materiaal vrijwilliger gedeeld wordt."
De Europese Commissie wil bekend en onbekend misbruikmateriaal detecteren, alsmede grooming. Voor onbekend materiaal en grooming zouden AI-systemen de inhoud van chatberichten moeten controleren. Gedetecteerd materiaal wordt vervolgens naar een Europees centrum doorgesteuurd. Demissionair minister Yesilgöz van Justitie en Veiligheid stelde eerder tegenover de Tweede Kamer dat deze AI-systemen nog niet betrouwbaar zijn. Nederland kan wel instemmen met detectie van bekend materiaal, maar de inzet van AI-systemen noemde Yesilgöz disproportioneel.
Deze week werd er door Europese ministers over het voorstel van client-side scanning onderhandeld. De NOS meldt dat EU-voorzitter Spanje een aangepaste versie heeft gepresenteerd, waarbij AI-systemen voorlopig niet worden ingezet totdat de technologie beter werkt. De inzet zou later alsnog mogelijk zijn zonder het wetgevingsproces opnieuw te hoeven doorlopen.
Alles bij de bron; Security
Ze heeft een hekel aan de herfst. Het kost steeds meer moeite om uit bed te komen en ze komt haar appartement nauwelijks meer uit. Ze hangt voornamelijk op de bank en streamt wat video’s. Ze zou eigenlijk meer moeten bellen en chatten, maar wat als iemand dan vraagt hoe het met haar gaat? Dan maar even niks. Sensoren in haar telefoon geven aan dat ze al dagen nauwelijks actief is en dat ze veel in het donker zit. Gps vertelt dat ze niet buiten is geweest. In de microfoon klinkt haar stem mat en volgens het logboek maakt ze nauwelijks contact. Een getraind AI-netwerk trekt uit al die gegevens de conclusie dat ze mogelijk afglijdt naar een depressie.
Klinkt dat als sciencefiction? Niet voor de ontwikkelaars van ‘digital phenotyping’ of ‘personal sensing’; een continue meting op afstand van individueel gedrag aan de hand van data van persoonlijke gadgets zoals smartphones en gezondheidshorloges.
Feit is dat surveillance via smartphones al voor diverse gedragsproblemen wordt uitgeprobeerd zoals verslaving, autisme, posttraumatische stress, schizofrenie, stemmingsstoornissen, slaapproblemen en suïcidepreventie. En de lijst is langer.
Promovendus Karin Bogdanova baseert zich op de zorgethiek van Joan Tronto die de vier pijlers van zorg definieerde: reactievermogen, verantwoordelijkheid, oplettendheid en vakbekwaamheid.
Als antropoloog op het gebied van wetenschap en technologie ontwikkelt Bogdanova zelf geen AI-applicaties maar werkt ze aan een kader voor de toepassing van AI in de psychiatrie.
“Ik ben er geen tegenstander van. Ook al weet ik dat er veel te doen is over privacy, autonomie van patiënten en het geven van toestemming voor het gebruik van data. Waar ik me wel tegen verzet is het idee dat de interpretatie van telefoondata een objectieve maat zou zijn voor gedrag, of dat AI de crisis in de geestelijke gezondheidszorg zou kunnen oplossen.”
Bogdanova ziet ook ideeën die wel tot positieve sociale veranderingen kunnen leiden. Een voorbeeld is de verbeterde toegang tot psychiatrische hulp voor patiënten in nood. “In plaats van een jaar te moeten wachten voor een persoon met suicidale gedachten kan digital phenotyping helpen vaststellen dat er haast bij is en snel een afspraak maken met een professional. Je kunt je voorstellen dat de patiënt een app opent die, op basis van geïnterpreteerd gedrag, directe toegang geeft tot de zorgverlener en de starre zorginfrastructuur omzeilt.”
Nu informatietechnologie in rap tempo de zorg verandert, is het volgens Bodanova hoog tijd om na te denken over de richting van de verandering. “Krijgen patiënten wel zeggenschap over hun eigen gegevens, wat wordt de rol van verpleegkundigen, en hoe komt een diagnose tot stand? Over die vragen moeten we goed nadenken voordat allerlei persoonlijke gegevens in het zorgsysteem opgenomen worden. Want ik denk wel dat dat gaat gebeuren.”
Alles bij de bron; Delta-TU-Delft
De KNVB wil met slimme technologie het gedrag van supporters voorspellen en beïnvloeden. Daarnaast verwacht de voetbalbond dat door de komst van de digitale meldplicht die vaker zal worden opgelegd. Dat staat in een nieuw rapport met de titel 'Ons voetbal is van iedereen - Plan van aanpak 2023-2025', waarmee de voetbalbond racisme en discriminatie in voetbalstadions wil aanpakken (pdf).
Zo wil de KNVB discriminerende en kwetsende spreekkoren in stadions bestrijden met slimme technologie. Zo zijn bedrijven gevraagd om 'passende technische oplossingen' te ontwikkelen die vroegtijdig signalen en uitingen van discriminatie en racisme vastleggen. Inmiddels zijn verschillende oplossingen al getest in stadions met publiek. De oplossingen die de KNVB noemt zijn onder andere gericht op het voorspellen en beïnvloeden van het gedrag van supporters.
Een ander punt waar de slimme technologie bij moet helpen is het opschalen en valideren van persoonsgebonden toegang. "Waardoor betaald voetbalclubs precies kunnen weten wie er in hun stadion zit"
Alles bij de bron; Security
Onderzoekers hebben verschillende kwetsbaarheden in de Terrestrial Trunked Radio (TETRA) standaard ontdekt, die wereldwijd gebruikt wordt door hulpdiensten zoals het Nederlandse C2000, alsmede militaire communicatie en de vitale infrastructuur.
Het gaat onder andere om een 'backdoor' in het algoritme voor het versleutelen van radioverkeer...
...De kwetsbaarheden die onderzoekers van securitybedrijf Midnight Blue ontdekten, en de naam TETRA:BURST kregen, maken het mogelijk voor aanvallers om versleutelde berichten te ontsleutelen en valse berichten te injecteren. Het gaat onder andere om een 'cryptografische achterdeur' in het TEA1-algoritme dat veel gebruikt wordt in de vitale infrastructuur. "Deze backdoor doorbreekt alle beveiliging van het algoritme, en maakt ontsleuteling en manipulatie van radioverkeer mogelijk", zegt Carlo Meijer van Midnight Blue.
Volgens Meijer kunnen aanvallers via de backdoor niet alleen radiocommunicatie van private beveiligingsdiensten van havens, vliegvelden en spoorwegen onderscheppen, maar kunnen ze ook dataverkeer injecteren dat gebruikt wordt voor monitoring of voor de aansturing van industriële apparatuur. "Dit kan een aanvaller potentieel gevaarlijke acties uit laten voeren, zoals het openen van schakelaars in elektrische verdeelstations of het manipuleren van spoorwegsignaleringsberichten."
Het beveiligingslek, aangeduid als CVE-2022-24402, zorgt ervoor dat de originele 80-bit key wordt teruggebracht naar een sleutellengte die binnen enkele minuten op "consumentenhardware" is te kraken.
Alles bij de bron; Security
Als organisaties voor hun bedrijfsvoering kunstmatige intelligentie en algoritmes gebruiken, moeten ze uitleggen waarom ze dat doen. Daarvoor pleit de Autoriteit Persoonsgegevens.
Het gaat daarbij om bedrijven en overheden die "serieus persoonsgegevens verwerken" en die AI-systemen of algoritmes gebruiken die grote impact kunnen hebben op de levens van burgers.
De Autoriteit Persoonsgegevens (AP) zegt dat de komst van AI-chatbots en een gebrekkig inzicht in bestaande algoritmes de grootste risico's vormen. Denk daarbij aan risico's op discriminatie, kansenongelijkheid, misleiding en gebrek aan transparantie en uitleg over algoritmes.
Bijna alle organisaties in Nederland werken inmiddels met algoritmes. "Veel klanten betekent veel data van klanten in je bestanden", zegt AP-voorzitter Aleid Wolfsen. het toeslagenschandaal is het bekendste voorbeeld van een algoritme dat burgers benadeelde. Maar onlangs gingen ook DUO en het UWV ook met algoritmes de fout in.
Wolfsen denkt dat AI en algoritmes nuttig kunnen zijn, maar dat we de risico's niet moeten negeren.
Alles bij de bron; NU
De inzet van algoritmes voor monitoring van het betalingsverkeer is niet zonder risico's en kan tot een 'chilling effect' leiden, zo stelt de Autoriteit Persoonsgegevens (AP) in de eerste 'Rapportage Algoritmerisico’s Nederland'.
Sinds het begin van dit jaar houdt de AP ook toezicht op het gebruik van algoritmes. In de vandaag verschenen rapportage worden de risico's van algoritmes besproken en de gevolgen die dit voor de maatschappij kunnen hebben.
Het gaat dan ook om het gebruik van algoritmes om het betalingsverkeer te monitoren. Het demissionaire kabinet presenteerde vorig jaar plannen om alle particuliere transacties boven de 100 euro gezamenlijk door banken te monitoren.
Privacy First sprak van een 'bancair sleepnet' en ook volgens de AP is dit niet zonder risico's. "Waar algoritmes ingezet worden om ongebruikelijke patronen te herkennen, bestaat ook snel het risico dat bias kan resulteren in ongewenste discriminerende effecten."
Een mogelijk gevolg is ook het optreden van een 'chilling effect'. Dit is het verschijnsel dat mensen hun gedrag aanpassen wanneer ze het gevoel krijgen in hun grondrechten te worden aangetast. Ongeacht of dit echt zo is. Ook bij het gebruik van algoritmes voor gemeentelijke sociale voorzieningen en rechtshandhaving ziet de toezichthouder de nodige risico's.
"Algoritmes en AI kunnen geweldig nuttig zijn, maar brengen ook risico’s met zich mee. Bijvoorbeeld het risico op discriminatie, oneerlijke uitkomsten, misleiding en gebrek aan transparantie en uitlegbaarheid", zegt AP-voorzitter Aleid Wolfsen.
Alles bij de bron; Security