Voor Jurriaan Krielaart, directeur Emerging Technologies bij MarkLogic, is het zo klaar als een klontje. Laat die hele corona-app maar zitten en kies in plaats daarvan voor een robuuste dataomgeving, waar vanuit de overheid flexibel en makkelijk nieuwe vraagstukken kan invoeren. Zo los je niet alleen de problemen van gisteren, maar ook van (over)morgen op.
Dit vertelt Krielaart in een interview met Computable. Verkeerde aannames op het gebied van veiligheid zijn volgens hen de reden dat de corona-app nog geen werkelijkheid is geworden. De experts die de app ontwikkelen doen het namelijk voorkomen alsof een centrale database niet te beveiligen is tegen misbruik van data en privacyschending. Maar die techniek bestaat al jaren, aldus Krielaart. ‘Bedrijven als Schiphol, ABN Amro, DHL en het ministerie van Binnenlandse Zaken werken al met goed beveiligde centrale databases. Het is daarom essentieel dat er in de discussie rond de corona-app een omslag plaatsvindt in het denken over de beveiliging. Het gaat niet om het beveiligen van de app, maar om het beveiligen van de data.’ De app fungeert hierbij enkel als praktisch hulpmiddel om data te benaderen en is niet de database zelf, benadrukt hij. Data moeten volgens hem op zo’n manier beveiligd worden dat alles in kaart wordt gebracht. Wie de data benadert, op welk moment iemand de data benadert en de controlefunctie dat alleen relevante mensen toegang krijgen tot deze data.
Als voorbeeld van hoe het niet moet, noemt Krielaart het datalek bij het donorregister. ‘Tenenkrommend dat mensen nog steeds op een dusdanige manier omgaan met data. Je moet gewoon zorgen dat de data te allen tijde beveiligd en encrypted zijn en dat mensen alleen bij de data kunnen komen als ze de juiste credentials hebben.’ Als je data centraal opslaat, zijn er volgens hem geen ingewikkelde discussies meer nodig over de beveiliging van een app. Het hele idee van VWS om een appathon te houden om tot een corona-app te komen, noemt hij een blunder. ‘Je bouwt niet even snel binnen een korte tijd een app met encryptie. De app zal er dan ook niet komen.’
Obamacare
Nederland kan volgens Krielaart veel leren van Obamacare in de VS, waar MarkLogic een grote rol bij heeft gespeeld. ‘Obamacare is van de federale regering, terwijl gezondheidszorg in de VS juist op het niveau van de staten wordt geregeld.’ Alle benodigde informatie is centraal opgeslagen, hierdoor zie je in de Obamacare-app gelijk wat je als inwoner van een staat gaat betalen voor je zorgverzekering. Aan de achterkant wordt vervolgens uitgerekend wat Obamacare betaalt. Centraal hierbij is dat de data van individuele verzekerden geanonimiseerd zijn. Hierdoor, en door het koppelen van data, kan de overheid Obamacare aanbieden, zonder dat informatie is te hergebruiken. De app en website hebben namelijk toegang tot centraal opgeslagen data die goed beveiligd zijn.’ Krielaart geeft aan dat zeventien miljoen huishoudens zich het afgelopen jaar hebben opgegeven voor de verzekering en dat dit in totaal zo’n 55 tot zestig miljoen Amerikanen betreft. De data waren overigens eerst lokaal opgeslagen binnen de overheidsinstantie, vorig jaar is dit gemigreerd naar de AWS-cloud van de overheid.
Achterhaalde kennis in discussie corona-app
Terug naar de corona-app. Krielaart ziet vooral hoe de betrokken experts met adviezen strooien die goed aansluiten bij de publieke opinie, maar tevens getuigen van een ‘zorgwekkend gebrek aan kennis op het gebied van datamanagement’. MarkLogic heeft zich bewust niet gemengd in de stoelendans om het leveren van een app. ‘Wij zijn geen app-bouwers, dus het kwam niet in ons op om ons ermee te bemoeien’, aldus de directeur. ‘Maar gaandeweg werd pijnlijk duidelijk dat de discussie over datamanagement en privacywaarborgen op achterhaalde kennis is gebaseerd.’
De positieve kant van het verhaal is de publieke aandacht die er nu is voor datamanagement. ‘Die belangstelling is goed, maar vertel dan wel het juiste verhaal. Als ik experts hoor beweren dat het veilig versleutelen van data een uiterst complex probleem is dat eerst moet worden ontworpen en jarenlang getest, dan denk ik dat ze wel een paar cruciale ontwikkelingen hebben gemist.’
Aanslagen 9/11
Om de ontwikkelingen op het gebied van datamanagement te duiden, verwijst Krielaart naar de geschiedenis van zijn bedrijf. MarkLogic werd in 2001 opgericht in de nasleep van de aanslagen in de VS op 9/11. Defensie en inlichtingendiensten realiseerden zich dat ze verbanden moesten kunnen leggen tussen een veelheid aan databronnen, om toekomstige aanslagen te voorkomen. Krielaart: ‘Voor dat doel hebben we een nieuwe technologie ontwikkeld, die onder meer elk stukje informatie afzonderlijk beveiligt. De encryptie, en de regels omtrent wie er toegang heeft tot een brokje informatie, zijn de kern van het datamanagement.’
Hij geeft aan dat het belangrijk is dat je encryptie uitvoert op data die opgeslagen zijn, maar ook dat data tijdens de verzending voorzien is van encryptie. Hij noemt deze twee elementen essentieel om data op het allerhoogste niveau te beveiligen. Vervolgens zijn sleutels mee te geven aan de data, wat betekent dat diegene die de database beheert, geen toegang heeft tot de data zelf. Administrators (externen) kunnen wel de data beheren, maar kunnen dus geen toegang krijgen tot de achterliggende data. Hetzelfde kan gerealiseerd worden voor data scientists. Hierbij kunnen mensen modelleren zonder dat zij inzicht hebben in de data zelf. Andere belangrijke aspecten van een goed beveiligde, centrale database is volgens Krielaart data-governance (wie benadert de data, heeft die persoon rechten om die data te benaderen en wat doet die persoon met die data?) en data-lineage. Dit laatste beschrijft wat er met data gebeurt in bedrijfsprocessen- en systemen.
Kortom, MarkLogic en andere bedrijven doen volgens Krielaart al twintig jaar wat nu tijdens een coronacrisis ineens als sciencefiction aan het grote publiek wordt voorgeschoteld. ‘Dat is een compleet verkeerd beeld. Big data analytics onder maximale veiligheidsgaranties is al jaren mogelijk met bestaande technologie, ook in Nederland, en ook in tijden van corona.’
Amateuristisch gedoe
‘Er worden nu beslissingen genomen die zeer ingrijpend zullen zijn voor de gehele Nederlandse bevolking, op basis van onkunde’, zegt Krielaart. ‘Ik wil niet pretenderen de wijsheid in pacht te hebben. Het bouwen van zo’n app is niet waar wij goed in zijn. Daar komen technologieën bij kijken waar wij niet in thuis zijn, zoals bluetooth proximity. Maar daar zit het probleem niet. Wat mij stuit dat de publieke opinie is dat je data niet centraal moet opslaan. Hier moet je van weg, je moet het juist wél centraal opslaan.’
Aanpassen Telecomwet kwalijk middel
Krielaart heeft ook kritiek op het aanpassen van de Telecomwet om zo toegang te krijgen tot anonieme data van telecomproviders, om hiermee de wetenschappelijke behoefte van het RIVM te vervullen. ‘Als dat gaat gebeuren, zijn we veel verder van huis. Ik denk dan: sla het centraal op voor maximaal vier weken, de incubatietijd van corona is namelijk zo’n 21 dagen. Vervolgens mogen alleen de juiste mensen met de juiste insteek bij de data kunnen.’
Krielaart wil benadrukken dat hij geen rol wil spelen in het bouwen van een corona-app. Zijn doel is dat er onder de juiste voorwaarden een discussie wordt gevoerd. Als de discussie verandert en centrale regie wordt wel het uitgangspunt, dan wil MarkLogic hier graag aan meewerken.
De oorspronkelijke vraagstelling ten tijde dat de discussie rondom de Corona-app speelde is nooit goed gesteld: de vraagarticulatie is eendimensionaal aangevlogen: we willen een app! (puur ICT gericht). De minister noemde wel dat het als extra instrument bij het bron- en contactonderzoek hoorde, maar de analyse daarvan heb ik nooit gezien. Stel dat je die vraag wel goed zou beantwoorden en ICT zou een rol kunnen spelen in de daadwerkelijke gevalideerde vraag, en een app zou daar een rol in kunnen spelen, blijft de vraag welke eisen je stelt aan een app en de daar achter liggende ICT-infrastructuur,
Zowel de data als de app hebben drie aspecten die relevant zijn in de discussie:
– werking (doelmatigheid)
– veiligheid (rechtmatigheid)
– privacy (rechtmatigheid)
Er zijn nog legio andere aspecten die je zou kunnen beschouwen (schaalbaarheid, beheerbaarheid, etc…) maar omwille van de discussie laat ik die hier weg.
Data heeft de neiging te ontstaan, in gebruik genomen te worden en uiteindelijk kan data vernietigd worden. Je zou dan een visualisatie kunnen maken waar de data ontstaat, waar die word gebruikt en waar die uiteindelijk niet meer bestaat. Bij elke stap in de werking van de app in combinatie met de achterliggende ICT-infrastructuur, bepaal je of het oorspronkelijke doel van de oplossing een bijdrage levert aan de vraagstelling (werking) en of elke stap zich houdt aan de veiligheid- en privacy-eisen.
Ik ben het eens met de auteur dat een centrale database vandaag de dag goed te beveiligen is. Dus vanuit een veiligheidsoptiek is dat een go. Waar men steeds bang voor is, is de het feit dat de overheid in een centrale database data verzameld en daar niet netjes mee omgaat en dan komen we bij het privacy speelveld. Op zich zijn de uitgangspunten in de privacy wetgeving redelijk te toetsen aan elke casus (doel, alternatief, proportionaliteit, etc….), wat edoch ontbreekt is een beleidskader waar de oplossing aan moet voldoen. Op het gebied van veiligheid (wat natuurlijk al een jaar of 40 bestaat als vakgebied) is al beleid bekend en implementatieleidraden beschikbaar. Dat maakt het een stuk makkelijker. De privacy wereld zal beleid en implementatieleidraden moeten gaan opstellen. Nu denkt elke rechtgeaarde privacy functionaris dat ze lukraak uitspraken te kunnen doen over de werking van de ICT, zonder enig besef te (willen) hebben van de doelmatigheid van oplossing. Hoe concreter en realistischer je de eisen en wensen stelt van een aspect van een oplossing, hoe minder discussie we hebben tijdens het ontwikkelen ervan. Overigens pleit ik er wel voor om het beleid en implementatieleidraden gezamenlijk (dus met oplossingsontwikkelaars) op te stellen. Gebrek aan kennis en ervaring kan dan snel worden aangevuld en een behoorlijke hoeveelheid realisme is echt key om tot kwalitatief goede oplossingen te komen.
Dhr. Krielaart maakt een aantal goede opmerkingen en onderbouwt zijn standpunt dat een centrale database goed is op een aannemelijke manier.
Daar kunnen een aantal andere ‘experts’ nog een puntje aan zuigen.
CPT,
Verschillende storage oplossingen bieden de mogelijkheid tot het scheiden van data en de metadata. En je kunt de data versleuteld opslaan, waarbij je zelf de sleutels beheerd. Vanuit eigen portfolio adviseer ik je daar graag over want technisch zijn er inderdaad niet zoveel problemen. Organisatorisch liggen er wat uitdagingen zoals een classificatie van de data bij inname met een fijnmazig ‘Need to Know’ principe (IRMA?) en het ‘alleen de juiste mensen met de juiste insteek kunnen bij de data’ blijft voor een Juvenalis dilemma in de governance zorgen zoals recentelijke uitspraak van de rechtbank in Den Haag al liet zien. Privacy garanties zijn namelijk alleen mogelijk als dit organisatorisch ook goed ingeregeld is.
Uiteraard kan elk DBMS worden gehackt. Er bestaan altijd wel vulnerabilities:
https://nvd.nist.gov/vuln/search/results?form_type=Basic&results_type=overview&query=MarkLogic&search_type=all
MarkLogic is nu nog een niche-player in de global DBMS markt, maar zodra het aantal klanten toeneemt, zullen ook de vulnerabilities toenemen, omdat de interesse van hackers toeneemt.
Met het beheer van databases is het in de praktijk meestal zo dat er geen strikte scheiding is tussen DB-owner (SYSTEM, SYS, etc) en schema-owner. Ik ken niet veel bedrijven waar de server en/of database omgeving gehard is, omdat de competentie om zoiets uit te voeren, betrekkelijk zeldzaam is. Meestal wordt er begonnen met strikte procedures voor key- en certificatenbeheer en komt er na een tijdje de klad in. Je ziet ook vaak dat de security keys na installatie nog op de default waarde staan, waardoor het relatief makkelijk is om passwords van DB users te achterhalen.
Verder is encryptie geen beveiliging voor hacks die netjes via de application layer plaatsvinden.
Samengevat: om alle security features van een DBMS optimaal te benutten, moet ook de beheerorganisatie haar werk serieus nemen. En daar schort het bij de overheid en haar partners nog wel eens aan.