Kan åpne data true nasjonens sikkerhet?

Pentagons forskningsenhet DARPA ber om bidrag til et nytt prosjekt.

Kan åpne data true nasjonens sikkerhet?
Pentagons forskningsavdeling DARPA ber amerikanske bedrifter bidra til et prosjekt for å verne mot misbruk av åpne og kommersielle data til å true USAs nasjonale sikkerhet. Bilde: GlowImages / Alamy/All Over Press

Det er i dag alminnelig anerkjent at avanserte analyseverktøy anvendt på store mengder åpne data kan utgjøre en trussel mot personvernet. Anonymiserte personlige profiler hentet fra ulike typer digitale spor kan «de-anonymiseres» ved hjelp av for eksempel åpne offentlige registre, og danne utgangspunkt for en svært detaljert kartlegging av personlige styrker og svakheter.

Hvis enkeltindivider kan trues gjennom analyse av åpne data, er det rimelig å stille seg spørsmål om hvorvidt det samme gjelder for organisasjoner og bedrifter.

Pentagons forskningsenhet DARPA går enda lenger: De spørs seg om ikke åpne data kan misbrukes til å true USAs nasjonale sikkerhet. I et åpent anbud ber de om bidrag fra privat sektor for å utvikle verktøy til å kartlegge risiko og avverge farer: Defense Against National Vulnerabilities in Public Data.

Det første beviset på de-anonymisering av store mengder anonymiserte bruker data fra en digital tjeneste kom så tidlig som i 2009.

Deltakerne i det årets «Netflix Grand Prize» skulle utvikle algoritmer som var bedre enn Netflix’ egne til å spå hvilke filmer brukerne ville være mest tilbøyelige til å se. Konkurransedeltakerne fikk utlevert anonymiserte brukerdata. Det viste seg at med tilgang til noen svært få tilleggsdata hentet fra åpne kilder, kunne man de-anonymisere alle brukerdataene. Feltene som manglet i de anonymiserte dataene kunne fylles ut med helt korrekt personinformasjon for samtlige av de over 500 000 abonnentene i den anonymiserte brukerdatabasen.

Utleveringen av de anonymiserte brukerdataene til konkurransedeltakerne måtte følgelig oppfattes som et brudd på personvernet som Netflix lover å overholde for alle sine abonnenter. Det er et grovt avtalebrudd å utlevere brukernes personopplysninger.

Netflix utlyste likevel en oppfølger til konkurransen med en tilsvarende utlevering av anonymiserte persondata.

De mottok da en formell henvendelse fra USAs konkurransetilsyn FTC (Federal Trade Commission) med spørsmål om hvordan de hadde tenkt å oppfylle sine personvernforpliktelser. Samtidig fikk de slengt mot seg et søksmål fra bekymrede kunder. Advokatene kom fram til et forlik: Netflix avlyste konkurransen i 2010, og ideen om kommende konkurranser ble begravet for godt. (Se bloggen til Neil Hunt, produktsjef i Netflix.)

Forskningen som lå til grunn for de-anonymiseringen av Netflix-dataene ble publisert allerede i 2008: Robust De-anonymization of Large Datasets.

I DARPAs anbudsinnbydelse beskrives målet slik:

– Undersøke trusselen til den nasjonale sikkerheten som utgjøres av offentlige data som er tilgjengelig for salg eller gjennom åpne kilder… Utvikle et rammeverk og verktøy for å måle hvordan offentlige data kan true den nasjonale sikkerheten, og for å verne mot ondsinnet bruk av offentlige data mot nasjonale interesser.

DARPA stiller spørsmålet om hvorvidt en gruppe med «beskjedne økonomiske ressurser» kan være i stand til å utgjøre en trussel på nasjonalt nivå bare med utgangspunkt i offentlige data. En del av anbudet går ut på å kartlegge allment tilgjengelige datakilder som kan tenkes misbrukt, som nettsteder, forbrukerdata, sosiale medier, geografiske informasjonssystemer med mer. En annen del dreier seg om ressurser som kan tenkes misbrukt til ondsinnet analyse, for eksempel Amazons nettskytjeneste EC2.

DARPA ber videre om en prototyp på et system som automatisk kan hente inn data fra et stort antall kilder, og automatisk melde tilbake om risikonivået knyttet til ulike datasamlinger.

Et endelig mål beskrives slik:

– Innføre, i et tilnærmet sanntidsmiljø, et verktøy som kontinuerlige overvåker åpne datakilder, måler sårbarhetsnivåer og tilbyr defensive mottiltak. Utvikle verktøy som kan anvendes i både privat og offentlig virksomhet til å verne mot trusler som stammer fra data som er allment tilgjengelig fra offentlige eller kommersielle aktører.

Det går fram av anbudet at man også er interessert i å innlemme slike verktøy i «forsvarsentiteter» som hæren, marinen og luftforsvaret, slik at disse ikke skal kunne kartlegges og profileres med tanke på å avsløre svakheter.

Anbudet åpner 26. august. Bidrag må leveres innen 25. september.

Les mer om: