Einde inhoudsopgave
Privacyrecht is code (R&P nr. ICT1) 2010/4.11
4.11. Privacybedreigingsontologie
drs. J.J.F.M. Borking, datum 26-05-2010
- Datum
26-05-2010
- Auteur
drs. J.J.F.M. Borking
- JCDI
JCDI:ADS581240:1
- Vakgebied(en)
Civiel recht algemeen (V)
Voetnoten
Voetnoten
Fritsch, 2007, p. 8.
Gellman, 2002.
Feiten, 2009.
Sotoodeh, 2007, p. 27.
Feigenbaum, e.a.,2007, p. 65-71: 'Semantic Web: a highly interconnected network of data that could be easily accessed and understood by any desktop or handheld machine'.
Uschold & Gruninger, 2005, p. 58-64.
Maedche, 2002, p. 11.
OWL staat voor Web Ontology Language.
Feigenbaum, e.a., 2007, p. 69: 'Each piece of data and any link that connects two pieces of data, is identified by a unique name called a Universal Resource Identifier or URI.'
Hogben, 2003, p. 2; 'So XML schema for example is an informal ontology but it does not have a formai relationship to the world as semantics and therefore XML schemas fall short of what can be achieved by implementing a mom rigorous semantic framework.'
Sotoodeh, 2007, p. 3: 'Interoperability issues arise when such technologies need to share information. Interoperability generally comes in three aspects: (1) technical: compatibility of message formats (2) semantic: terminology and definitions, and (3) organizational: practices and procedures'.
Little & Rogova, 2006, p. 2.
Sotoodeh, 2007, p. 13.
Little & Rogova, 2006, p. 3.
Continuant: een entiteit dat een continue bestaan heeft en door de tijden heen blijft bestaan ondanks de verschillende veranderingen die optreden (bijv. Een menselijk orgaan, een nationale staat, een leger); SNAP: snapshot ontology.
Occurrent: een vier-dimensionaal bestanddeel dat louter binnen de tijd gebeurt en zichzelf openbaart gedurende een bepaalde tijdsperiode (bijvoorbeeld een gedachte proces, het vuren van een wapen, een militaire oefening); SPAN: spanning time ontology.
Von Kutschera &.Breitkopf, 1971, p. 49.
Little & Rogova, 2006, p. 3.
Little & Rogova, 2006, p. 5.
Little & Rogova, 2006, p. 5: 'Viable threats exist when all three elements (intent, capability, opportunity) are present and foren a tri-partite whole via relations of foundational dependence. Potential threats exist when at least one essenbal part (and its corresponding relations) is missing'.
Little & Rogova, 2006, p. 4.
Voor privacybedreigingen kunnen privacy enhancing technologies (PET) worden ingezet.
Privacy Enhancing Technology for Webbased Services (PET-Web), 'The primary objective is to devise a framework for facilitating the development of the next generation of privacy enhancing technologies in largescale web-based services', Projectno. 180069/S10, Oslo 2007.
Vidalis & Jones, 2005, p. 3.
Alle hierboven besproken privacyrisicoanalyses beschrijven op verschillende manieren hoe de privacyrisico's herkend kunnen worden en om de sterkte van de beschermingsmechanismen in het systeem te meten. Dit leidt tot een niet-limitatieve lijst van privacyrisico's zonder een redelijke zekerheid dat alle voor het systeem relevante privacyrisico's in kaart zijn gebracht. Dit gebrek aan voldoende 'volledigheid' kan ertoe leiden dat de mogelijk te nemen tegenmaatregelen hun beoogde doel geheel of gedeeltelijk zouden kunnen missen. Fritsch stelt, dat in de verschillende risicoanalyse methoden de classificatie van privacyrisico's en de hieraan gerelateerde kosten niet op een overtuigende manier is uitgevoerd.1 Bovendien zijn de privacyrisico's in de bestaande literatuur niet goed gedefmieerd.2
Welke methode leidt dan wel tot een gestructureerd en nauwkeuriger overzicht van de privacybedreigingen? Feiten adviseert dat bij een beveiligingsanalyse eerst het bedreigingsmodel moet worden doorzien: "Understand your threat model...if you don't have a clear threat model then you won't be able to think analytically about how to proceed. The threat model is the starling point of any security analysis."3
Om vanuit het kennisdomein 'bedreiging' een bedreigingsmodel te ontwikkelen is een ontologische benadering noodzakelijk.4 Een ontologie kan beschreven worden als een formele hiërarchische gestructureerde en gedetailleerde beschrijving (vaak in de vorm van een beslissingsboomstructuur) van tussen experts gedeelde kennis over een bepaald kennisgebied. De ontologie heeft de bedoeling een abstract conceptueel model te creëren, dat kan worden geïmplementeerd in online semantic web5 of in offline informatiesystemen en (semi)automatisch kan worden toegepast.6 Maedche definieert het als volgt: "an ontology refers to an engineering artifact, constituted by a specific vocabulary used to describe a certain reality, plus a set of explicit assumptions regarding the intended meaning of the vocabulary".7 De rigoureuze manier waarop een bepaalde werkelijkheid in een ontologie gedetailleerd in een data taal (bijvoorbeeld OWL)8 wordt beschreven, lijkt op een woordenboek. In dit woordenboek worden alle toelaatbare concepten die in een bepaalde applicatie kunnen gebruikt, opgesomd waarbij aangegeven wordt welke mogelijke relaties er bestaan tussen de verschillende concepten, de zgn: 'Resource Description Framework' (RDF).9 Een ontologie kan gezien worden als een model van de werkelijkheid voor een computer.10
Zo kunnen bijvoorbeeld de privacyontologieën, gebaseerd op de EU privacy-richtlijnen, na implementatie in informatiesystemen dienen als de ruggengraat voor dataverkeer over privacyvoorkeuren, voor het vergelijken van privacybeleid tussen verschillende organisaties, het uitwisselen van PII's en de automatische behandeling van persoonsgegevens in databanken overeenkomstig de voorkeuren van de persoon in kwestie of de wettelijke normen.
Ontologieën zorgen voor modellen die door informatiesystemen te 'begrijpen' (`vocabulaires') zijn. Deze vocabulaires zijn interoperabel en universeel toepasbaar11 in heterogene toepassingen. Een e-mail in een bepaalde databank is ook een e-mail in een andere databank. Om binnen een kennisgebied gezamenlijk aanvaarde ontologieën te krijgen, is de inbreng van niet-technisch geschoolde deskundigen van groot belang om de juiste interpretatie van de gebruikte concepten in te ontwikkelen ontologieën te bewerkstelligen. Zo dienen in de bescherming van persoonsgegevens deskundige juristen in discussie te treden met de ontologiebouwers over hun interpretatie van de privacywetgeving. Ontologieën dienen zodanig gestandaardiseerd te worden, dat zij in verschillende applicaties kunnen worden toegepast, herbruikbaar zijn en met elkaar in onderling verband staan. Bovendien dienen ontologieën zodanige logische en interfererende regels op te leveren dat deze over de gehele linie in heterogene informatieverzamelingen kunnen worden gebruikt.
Little en Rogova12 hebben voor de Amerikaanse Luchtmacht een algemene bedreigingsontologie ontwikkeld. In de door hen geconcipieerde logische ontologische structuur van de bedreigingen worden de complexe objecten van bedreiging op metaniveau als geïntegreerde gehelen (wholes) gezien, waarbij is aangegeven hoe deze gehelen en hun attributen zich tot elkaar verhouden, hoe ze elkaar in processen en gebeurtenissen beïnvloeden, welke mogelijkheden zij bezitten en wat hun kwetsbaarheid is. Het doel is om de relaties tussen verschillende entiteiten, gebeurtenissen en relevant gedrag te begrijpen en te kunnen interpreteren.13 Zij benadrukken het belang van het gebruik van mereotopologie. Mereotopologie is een combinatie van de mereologie, de combinatie van de logica van delen en deelrelaties, met de topologie, die de logica van de ruimtelijke omvang/reikwijdte en de onderlinge verbondenheid betreft. Mereotopologie wordt aangewend voor een formele ontologische taal om op een metaniveau de grote hoeveelheid complexe ontologische (deel)elementen met elkaar te verbinden 14 Deze situatie doet zich onder meer voor bij het in kaart brengen van privacybedreigingen. In de mereotopologie wordt het belang van het onderkennen van de complexe relaties tussen objecten, eigenschappen, attributen, ruimten, tijdstippen benadrukt. Andere continue bestaande (zgn. Continuant of SNAP)15 en in een bepaald tijdvak opkomende en zich ontwikkelende (zgn. Occurrent of SPAN)16 elementen zijn hier tevens van belang. Door de verschillende ruimtelijke- en tijdsrelatievormen (in een bedreigingsveld) te onderkennen,
kunnen mathematisch de bedreigingen en de kwetsbaarheden beter worden gemodelleerd en het grote aantal relatiemogelijkheden beter worden ontrafeld. Bovendien verschaft de mereotopologie het middel om bij bedreigingen formeel de verschillende complexe deel-geheel relaties te beschrijven waarin de van elkaar afhankelijke relationele (foundational dependence) elementen zoals voornemen (intent), middelen (capability) en gelegenheid/omstandigheid (opportunity) een grote rol spelen. Als er een van deze elementen aantoonbaar is, bestaan de andere elementen volgens Little & Rogova ook op het metaniveau in de gehelen.
Bij deze ontologie wordt gebruik gemaakt van de volgende mereologische zinsconstanten als 'bouwstenen' (primitives),17 te weten:
is noodzakelijk dat;
is een deel van;
afhankelijkheid van.
Bijvoorbeeld: x is een deel van y, dat kan dan betekenen: x is of een deel van y of x = y. Het in deze ontologie belangrijke sleutelbegrip: verbondenheid van delen van gehelen die over de tijd en ruimte verspreid zijn (als ware het in een kwantum veld), wordt als volgt gedefinieerd: als x y overlapt, dan is x verbonden met y. Het is evenwel mogelijk dat x wel verbonden is met y maar dat x geen enkel deel van y overlapt. Er is dan sprake van aanrakingspunt of externe verbinding.
Het eveneens hier belangrijke principe van monotoniciteit wordt als volgt gedefinieerd: als een bepaald object x een deel is van een bepaald object y, dan is alles wat verbonden is met x, ook verbonden met y.18 Het concept van het overbruggend beginsel van monotoniciteit impliceert dat de mereologische overlapping een vorm van verbinding is. Deze relatievormen zijn van belang om bedreigingen en kwetsbaarheden te modelleren, omdat hiermee een voldoende decompositie van bedreigingsbestanddelen kan worden bereikt, waarbij alle relevante relaties tussen ruimtelijke en tijdsgebonden entiteiten aan bod komen.
Naast deze mereotopologische relaties wordt ook aandacht besteed aan de relaties die onafhankelijke ruimtelijke bestanddelen verbinden met hun tijds-gebonden processen, zoals: participatie, uitvoering, geduld en relaties die afhankelijke ruimtelijke bestanddelen verbinden met tijdsgebonden processen, als ook het realiseren van een bedreiging, en relaties die processen verbinden met hun onafhankelijke entiteiten of met hun afhankelijke eigenschappen zoals betrokkenheid in plaats van deelneming.
Een ontologie die wordt gebruikt voor een bedreigingsanalyse om een bedreiging te bestrijden, dient een onderscheid te maken tussen potentiële en levensvatbare c. q. uitvoerbare dreigingen. De aandacht bij de bedreigingsanalyse moet vooral gericht worden op de potentiële bedreigingen omdat deze bedreigingen nog niet (volledig) bestaan (in the state of becoming) 19 Het gevolg van deze benadering is dat als men de juiste middelen aanwendt kan de bedreiging worden verkleind of afgewend en voorkomen worden dat de bedreiging levensvatbaar20 en uitvoerbaar wordt (in the state of being).21 Om de bedreiging te verkleinen of in de kiem te smoren is preventief handelen noodzakelijk, bijvoorbeeld door technologie in te zetten.22 Daarbij is het noodzakelijk de kwetsbaarheden (zwakte) te begrijpen wanneer het gaat om intergerelateerde vormen van bedreiging die bestaan uit verschillende (deel)objecten die zijn verspreid over tijd en locatie en die op zichzelf onschuldig zijn, maar in combinatie een grote bedreiging en bij realisatie schade kunnen veroorzaken. Het klassieke voorbeeld is het afzonderlijk bezit van wielen, een motor, een stuur, een versnellingsbak etc. Het gaat om de combinatie. De bedreiging voor voetgangers ontstaat op het moment dat de onderlinge onderdelen gecombineerd worden om als een voertuig voor transport te gebruiken.
Handelen wanneer de state of becoming nog bestaat, is een van de redenen om binnen het kennisdomein privacybescherming privacy enhancing technologies (PET) in te zetten, omdat zolang de bedreiging zich nog niet volledig heeft ontvouwd, het een geschikte manier is om de privacybedreiging te matigen of zelfs in de kiem te smoren. Zo kan voorkomen worden, dat de bedreiging levensvatbaar en gerealiseerd wordt. Het gaat er met name om de gunstige omstandigheden voor de bedreiging uit te schakelen, want de relatie tussen bedreiging en doel wordt verbonden door de gunstige omstandigheden.
De door Little & Rogova ontwikkelde bedreigingsontologie, is in het PETWebproject23 toegepast bij de ontwikkeling van een privacybedreigingsontologie. Deze aanpak maakt het mogelijk de vele belangrijke elementen, hun onderlinge invloed en relaties die in privacywereld relevant zijn, weer te geven. Het resultaat levert een consistent en omvattend model op voor het inschatten van de mogelijke bedreigingen en hoe die bedreigingen zouden kunnen worden opgevangen. Bij het ontwerpen van informatiesystemen kunnen op grond van zo'n model beter onderbouwde beslissingen worden genomen en de gevolgen van de beslissingen voor de architectuur van het systeem beter worden ingeschat. Figuur 4.7 op de volgende bladzijde geeft schematisch de privacybedreigingsontologie weer. De bedreiging richt zich in dit model op de 'privacy objectives'. De verschillende bronnen voor de bedreiging leiden tot de `threat actor', die in de ontologie de metabeschrijving is van het `threat target' gecombineerd met de `threat agent'. Vidalis en Jones verstaan onder threat agent het individu of de groep dat een bedreiging kenbaar maakt of uitvoert.24 Drie met elkaar in verband staande elementen zijn conform de ontologie van Little & Rogova van belang om de threat agent te kunnen opsporen. De `threat agent' kan volgens het model zowel van binnen als van buiten de organisatie komen. In figuur 4.7 worden de elementen en hun intra- en interrelaties weergegeven. Deze zullen in paragraaf 4.12 worden toegelicht. Deze ontologische aanpak geeft een vollediger beeld dan de privacybedreigingsanalyses van Bellotti, Gaver, Neustaedter, Solove, en PISA, omdat het de bedreigingselementen in een elkaar beïnvloedende afhankelijkheidsrelatie in tijd en ruimte plaatst.
Figuur 4.7: PETWeb privacy bedreigingsontologie, Abie, 2007.
De lijn tussen Threat Target en Threat en tussen Threat en Threat agent geeft aan dat er een relatie bestaat tussen deze begrippen. De toelichting op dit model vindt hieronder in paragraaf 4.12 plaats.