Deze week kwam Evernote in het nieuws met een opmerkelijke wijziging in hun privacybeleid. Evernote is een populaire app om aantekeningen te maken, te beheren en er slim in te zoeken. Er staat dus heel veel informatie in, die ongetwijfeld voor een deel vertrouwelijk is. De wijziging in het beleid houdt in dat medewerkers van het bedrijf jouw aantekeningen mogen lezen. Mensen van vlees en bloed dus. We waren er min of meer aan gewend dat alles wat we online doen door de machtige analysemachines van bijvoorbeeld Google worden gejaagd. Dat doen ze niet alleen om onze “gebruikservaring te optimaliseren”, maar natuurlijk ook om ons op maat gesneden advertenties voor te kunnen schotelen. Google wordt niet voor niets door sommigen smalend een advertentiebedrijf genoemd.
Maar goed, doorgaans zijn het dus slimme algoritmes die ons emotieloos binnenstebuiten keren. Dat maakt het voor het gevoel minder erg: je hoeft zo’n machine nooit onder ogen te komen en je te schamen voor wat je gedaan hebt en zij gaat ook niet over je roddelen. Maar bij Evernote gaan dus echte mensen naar je aantekeningen kijken. Waarom? Omdat ze nieuwe machine learning tools hebben. Om te controleren of die tools goed werken moeten medewerkers sommige aantekeningen lezen. Ze zien dan of de tools conform verwachting werken.
Ik denk dan: had dat niet in een testomgeving gekund? Met fake data? Zo deden we dat in de vorige eeuw, met zorgvuldig samengestelde testgegevens. Kwam er een functionele wijziging in de programmatuur, dan zorgde je ervoor dat je ook nieuwe testrecords maakte zodat de nieuwe tak geraakt werd. Tegenwoordig lijkt testen met productiegegevens steeds vaker de norm te zijn. “Testgegevens maken is niet meer te doen”, heet het dan. Vanwege de complex- en massaliteit. Oké, maar anonimiseer die productiegegevens dan tenminste. Is ook al moeilijk, omdat zomaar in het wilde weg vernachelen van velden ertoe leidt dat verwijzingen naar andere bestanden niet meer werken (de referentiële integriteit is dan doorbroken). Je kunt dus niet zo maar anonimiseren, dat moet met beleid. En dat kost tijd en geld en ligt dus lastig.
De wereld heeft kennisgemaakt met de bedoelingen van Evernote doordat ze erover gecommuniceerd hebben. Mij bekruipt echter het angstige gevoel dat andere partijen soortgelijke dingen doen. Misschien op basis van een juridische formulering die al lang ergens in hun ellenlange voorwaarden – die je geaccepteerd hebt! – staat. En ik wil ook niet uitsluiten dat dergelijke praktijken her en der stiekem plaatsvinden. Als individuele consument-gebruiker ga je doorgaans sowieso niet eerst eens uitgebreid onderzoeken hoe een dienstverlener met jouw gegevens omgaat – al helemaal niet als het om een ‘gratis’ dienst gaat. Je gebruikt de dienst as is omdat hij zo handig is. Zeg eens eerlijk: weet jij van alle apps op je smartphone wat ze met je gegevens doen? Of ze die bijvoorbeeld in de cloud opslaan, om maar eens wat te noemen? Dat kan relevant zijn als je een app zakelijk gebruikt en je bedrijf het gebruik van de publieke cloud verbiedt. Ik kan je uit ervaring vertellen dat het knap lastig kan zijn om erachter te komen of een app gegevens lokaal of in de cloud opslaat (al is een juichend “synchroniseert over al je apparaten!” een goede hint). Evernote is zo’n toepassing die alles in de cloud zet. Alleen gebruikers van de betaalde versie kunnen ervoor kiezen om een aantekening uitsluitend lokaal op te slaan. Terzijde: Evernote is bezig met een overstap van hun eigen datacenter naar Google Cloud.
De aankondiging van Evernote over het grasduinen in aantekeningen bleef bepaald niet onopgemerkt. Een storm van kritiek brak los. Gisteren probeerde de CEO de zaak nog te sussen door in een blog uit te leggen wat er wel en niet zou veranderen. Maar nog diezelfde dag volgde een bericht waarin de communicatie-afdeling (!) liet weten dat de wijziging voorlopig van de baan is. De machine learning technologies komen wel beschikbaar voor klanten, maar menselijk meelezen gebeurt alleen op basis van opt-in. De komende maanden gaat het bedrijf hard nadenken over zijn privacybeleid.
Deze storm is dus even geluwd, maar de algemene ontwikkeling is onomkeerbaar. Ik wens je een gelukkig 1984.
De volgende Security (b)log verschijnt op 13 januari 2017.
En in de grote boze buitenwereld …
... geven we onze gegevens ook gewoon vrijwillig uit handen.
http://www.gartner.com/newsroom/id/3545018
... hoeft een skimmer (waarmee criminelen je bankpas kopiëren) niet per se heel klein te zijn.
https://twitter.com/Grifter801/status/808787317884329984/photo/1 [animated GIF]
... zorgt de nieuwe Wet computercriminaliteit voor verdeeldheid.
http://www.volkskrant.nl/binnenland/hoe-ver-mag-politie-gaan-in-nieuwe-hackwet~a4432881
... bezwijken SOC's onder de grote hoeveelheid data die ze te verwerken krijgen.
http://www.securityweek.com/socs-suffer-under-volume-data-alerts-report
... worstelen SOC's ook nog eens met het classificeren van bedreigingen.
https://www.helpnetsecurity.com/2016/12/13/soc-managers-triage-threats/
... kun je waarschuwingsschermen ook al niet meer zomaar vertrouwen.
https://hotforsecurity.bitdefender.com/blog/scammers-can-trick-microsoft-edge-into-displaying-fake-security-warnings-17315.html
... zijn dit de basisbeginselen voor het beveiligen van je wifi-netwerk.
https://www.grahamcluley.com/how-to-secure-your-wi-fi-network-the-basic-version/
... is dit de versie voor gevorderde thuisnetwerkbeheerders.
https://www.grahamcluley.com/how-secure-wi-fi-network-advanced/
... kwam de IT van de Australische belastingdienst knarsend tot stilstand.
http://www.smh.com.au/national/public-service/thousands-of-public-servants-sit-idle-as-atos-it-melts-down-20161213-gt9xfd.html
... is het nu officieel: een cyberaanval kan de samenleving ontwrichten.
https://www.security.nl/posting/496316/Onderzoek%3A+Cyberaanval+kan+samenleving+ontwrichten
... neemt de politie een cybercrime-aangifte wel degelijk serieus, zegt de minister.
https://www.security.nl/posting/496419/Van+der+Steur%3A+Politie+neemt+aangiften+cybercrime+serieus
... promoot de Duitse overheid na de bekendmaking van de mega-hack bij Yahoo het gebruik van Duitse e-maildiensten.
https://www.security.nl/posting/496464/Duitsland+promoot+eigen+e-maildiensten+na+Yahoo-hack
... kun je nu ook van ransomware afkomen door je vrienden te besmetten.
http://webwereld.nl/security/95676-ransomware-besmet-je-vrienden-en-krijg-je-data-terug
Geen opmerkingen:
Een reactie posten