promotie Elisa Costante
  • Onderzoek
  • 31/03/2015

Gebruik persoonlijke data door sites direct in beeld

Providers maken er geen geheim van hoe hun websites je persoonlijke informatie benutten - dat staat altijd in de ‘privacy policy’ op de website. Maar vrijwel niemand leest die. Daarom ontwikkelde TU/e-promovenda Elisa Costante algoritmes die de privacy policy analyseren en direct de ‘privacykosten’ berekenen die een website van de bezoeker vraagt. Ook ontwikkelde ze een tool die abnormaal gedrag detecteert in databases met persoonlijke gegevens, om misbruik van die data te voorkomen.

door

Het werk van Costante (faculteit Wiskunde & Informatica) is beschikbaar als prototype en kan ingebouwd worden in webbrowsers. Die waarschuwen dan bij websitebezoek vooraf in welke mate de website persoonlijke gegevens van bezoekers gebruikt. De tool geeft de websites een cijfer tussen 0 en 1, waarbij 0 staat voor ‘geen privacykosten’. Een bedrijf als Google komt erg hoog uit, weet de onderzoeker: "Google slaat elke zoekopdracht van je op, wanneer je die gedaan hebt, waar en vanaf welk apparaat. Het is best angstaanjagend."

Voor de berekening van het privacycijfer kijkt de Italiaanse onderzoeker onder meer naar de gevoeligheid van de gegevens en hoe lang ze opgeslagen worden. Haar algoritmes houden bovendien rekening met het feit dat veel webdiensten bestaan uit een koppeling van meerdere andere webdiensten, die elk hun eigen privacypolicy hebben. Denk bijvoorbeeld aan een reiswebsite, die gebruik maakt van hotelwebsites, autohuurwebsites, en Google Maps. De tool van Costante werkt in stappen: eerst kijkt hij naar de compleetheid qua onderwerpen van de privacypolicy, dan naar de betekenis ervan, en vervolgens naar de ernst van het gebruik van de data door de provider.

Costante nam voor haar promotieonderzoek de hele cyclus van online dataverkeer onder de loep om oplossingen te bedenken voor zwakke punten. Zo blijkt dat de databases waar providers persoonlijke gegevens opslaan, niet goed beveiligd zijn. Ze hebben wel een toegangscontrole -wie mag binnen, en wat mag die zien-, maar ze houden niet in de gaten wat toegelaten gebruikers doen als ze eenmaal binnen zijn. De promovenda ontwikkelde daarom een tool die nauwkeurig het gedrag van gebruikers in beeld brengt. Vervolgens monitort ze alle handelingen, om afwijkend gedrag tijdig op te sporen.

Datadiefstal zoals bij Sony, waar een paar jaar terug de gegevens van 77 miljoen Playstationspelers werden gestolen, kunnen met haar tool veel eerder worden gestopt, vertelt de TU/e-onderzoeker. Dat bespaart die bedrijven miljoenenschades en reputatieschade.

Er waren al eerder pogingen om een dergelijke tool te maken, maar dit is de eerste die heel weinig valse alarmen geeft en het dataverkeer niet merkbaar vertraagt. Het bedrijf SecurityMatters, een spin-off van de TU/e en de Universiteit Twente, gaat de resultaten van Costante’s werk dan ook aanbieden als product, bijvoorbeeld aan banken.

Costante promoveert vandaag, dinsdag 31 maart, op haar proefschrift getiteld ‘Privacy throughout the data cycle’. Haar eerste begeleider is Milan Petkovic, hoogleraar Secure Data Management. De promotieplechtigheid begint om 16.00 uur in collegezaal 5 in het Auditorium.

Bron: Persteam TU/e

Lees meer over Costante's onderzoek in de proefschriftrubriek '4 brandende vragen' in Cursor 15, die komende donderdag verschijnt.

Elisa Costante. Foto | Bart van Overbeeke

Deel dit artikel