De overheid heeft geprobeerd om in een sneltreinvaart apps te laten ontwikkelen om het coronavirus te bestrijden. Afgelopen weekend waren er demo’s van de apps en werd broncode vrijgegeven. De tussentijdse conclusie is dat er geen goede kandidaat tussen zit. Tijd voor een nieuwe ronde.
Voordat we terugvallen in de mening dat de overheid en IT niet samengaan: deze keer is het in de basis goed aangepakt. De overheid heeft het hele proces namelijk open gehouden. Afgelopen weekend werd een zogenaamde Appathon gehouden, waardoor iedereen mee kon kijken via livestreams (dag 1, dag 2). Zeven geselecteerde partijen hebben dit weekend zitten crunchen om tot demo’s te komen van wat zij kunnen aanbieden. Ook werd er broncode vrijgegeven door de meeste partijen zodat privacy- en beveiligingsorganisaties konden nagaan of de burger zijn privacy en beveiliging ook gewaarborgd is.
Dit alles verdient in de eerste plaats een pluim, want nooit eerder koos de overheid voor zo’n open route. Toch moeten we de conclusie trekken dat de zeven apps die nu in ontwikkeling zijn het vooralsnog allemaal niet gaan worden. De apps schieten te kort, de privacy is niet gewaarborgd, de beveiliging afwezig of ze missen gewoon essentiële features.
De zeven partijen
Over de geselecteerde zeven partijen loopt ook nog enige discussie waar de overheid de komende dagen duidelijkheid in zal moeten geven. Er werd gekozen voor Accenture, Capgemini, Covid19 (een bestaande app), DDT Consortium, Deus, ITO en Sia Partners.
Het kabinet liet eerder over deze partijen weten: “‘De apps van deze zeven teams sluiten volgens experts het best aan bij het werkproces van de GGD voor het doen van bron- en contactonderzoek en voldoen tegelijkertijd aan eisen die zijn gesteld op onder andere het gebied van privacy, data- en informatieveiligheid en gebruikersgemak”.
De werkelijkheid lijkt echter anders te liggen. De overheid gebruikte 67 experts op het gebied van epidemiologie, medische expertise, privacy, informatiebeveiliging en technologie. Die 67 experts zijn verdeeld in 9 kleine teams waarin alle competenties aanwezig zijn en hebben een totaal van 63 voorstellen bekeken en beoordeeld. Daaruit zijn vervolgens de zeven geselecteerde partijen gekomen. Een groot aantal experts heeft inmiddels de media gezocht om te melden dat deze zeven partijen zeker niet in hun advies naar voren zijn gekomen. Ze voelen zich gepasseerd en willen niet de schijn wekken dat ze hierachter staan.
Hoe tot deze zeven partijen is gekomen is nu dus een beetje onduidelijk. Zijn ze op basis van de experts inderdaad de zeven beste initiatieven? Of heeft het kabinet bepaalde experts meer prioriteit toegekend dan de ander? Of heeft het kabinet ervoor gekozen om bepaalde partijen toe te voegen, omdat die vaker overheidsprojecten oppakken (zoals Accenture en Capgemini)? De meeste verontwaardiging is over Sia Partners. Zij kopiëren een app uit Singapore die privacy allesbehalve hoog in het vaandel heeft staan. Sia Partners is door meerdere expertgroepen afgeschoten, toch staat het bedrijf op de lijst. Hoe kan dat? Vragen, vragen, vragen…
Een van de initiatieven die ons ter oren is gekomen is van een coalitie van Fox-IT, Hackdefense Computest en Intermax. We hebben hun plan niet gezien, maar het feit dat ze met een app willen komen zou de overheid toe moeten juichen. Computest, Fox-IT en Hackdefense zijn bedrijven die teren op hun reputatie en imago als beveiligingsbedrijven. Als zij een onveilige app in de markt zetten hebben ze een gigantisch probleem. De kans dat dit gebeurt is dus zeer klein. Daarnaast heb je nog en bedrijf als Intermax dat gespecialiseerd is in hosting voor medische organisaties. Een bedrijf dat bekend is met ISO-certificeringen en beveiliging van data door de overheid gestelde normen.
Het doel van de apps
Het doel van de eerste app is kunnen traceren of je in contact bent gekomen met mensen die besmet zijn met corona. Zonder dat hiermee de privacy van mensen wordt aangetast. De tweede app moet in de gaten houden hoe de klachten zich ontwikkelen en medisch advies kunnen bieden. De overheid zou hoge eisen stellen, maar definieert deze vervolgens nergens. De overheid heeft wat eisen geformuleerd, maar die zijn over het algemeen erg oppervlakkig.
Terwijl dat nou juist heel belangrijk was. De EU heeft vorige week nog een toolbox gepubliceerd die lidstaten kunnen gebruiken. Dat je privacy moet waarborgen staat wat ons betreft buiten kijf. Als je dat niet doet, gaat niemand die app gebruiken en is het hele initiatief bij voorbaat kansloos.
Bluetooth
Het centraal opslaan van data en het actief gebruiken van GPS zijn daarmee uit den boze. Voor zover bekend kiezen alle apps daarom voor het gebruik van Bluetooth om de omgeving te scannen. De corona-apps zullen op je smartphone gaan scannen welke Bluetooth-apparaten allemaal in de buurt zijn en hun unieke identifier (een nummer/teken reeks die uniek is per toestel) zal lokaal worden opgeslagen op je smartphone. Hierdoor bouwt je smartphone een lijst op met apparaten waarbij het in de buurt is geweest. Zodra iemand besmet is met corona, zal die dit via de app aangeven en wordt zijn of haar unieke identifier anoniem naar een centrale server gestuurd. Deze centrale server verspreidt vervolgens een lijst met alle identifiers van besmette personen naar alle geïnstalleerde apps. Die apps kunnen dan lokaal de twee lijsten naast elkaar leggen en als er een match is, heeft iemand een verhoogde kans op besmetting en is twee weken quarantaine het dringende advies.
Al de apps lijken momenteel zelf dit Bluetooth tracking systeem te gaan bouwen. Dit is echter niet zo’n bijster goed plan. De technologie in een app stoppen als haastklus gaat er ongetwijfeld voor zorgen dat dit met stip op één de meest batterij slurpende app op je smartphone gaat worden. Dit soort technologie moet wel even doordacht worden. Als de smartphone recent niet heeft bewogen hoeft er bijvoorbeeld niet gemeten te worden. Ook is het beter om dit soort tracing niet op app-niveau maar op kernel- of besturingssysteemniveau te doen, waar het veel efficiënter kan. Tot slot zal dit op iPhones alleen werken wanneer de app op de voorgrond draait met het scherm aan. Zodra het scherm uit is of de app wordt weggedrukt naar de achtergrond stopt een iPhone met het verzenden van een Bluetooth-signaal. Wel blijft de iPhone signaal ontvangen. Een iPhone blijft alleen verzenden wanneer er sprake is van pairing, als je een apparaat echt koppelt aan je iPhone. Daarvan is hier geen sprake. Wat ons brengt op het volgende punt.
Technisch grootste misser
Waar de overheid op aan had moeten dringen is gebruik maken van het Apple/Google-initiatief. Apple en Google, normaliter grote concurrenten, werken samen om het Bluetooth-protocol op smartphones op een uniforme en betrouwbare manier beschikbaar te maken voor het anoniem traceren van mensen waarmee je in contact komt. Apple en Google kunnen op een dieper niveau dit ontwikkelen en zullen de gebruikservaring, accuduur en omgevingsvariabelen wel meenemen in hun initiatief, wat bij een haastklus als die van de overheid nu ongetwijfeld niet gebeurt. Ook hebben Apple en Google expliciet aangegeven te focussen op Bluetooth LE (low energy). Het is een variant van Bluetooth die weinig energie verbruikt en ook weinig bereik heeft (een paar meter), iets wat in dit geval een voordeel is. Met Bluetooth LE kan ook eenvoudig worden vastgesteld hoever een ander apparaat in de buurt is, wat op basis van de sterkte van het signaal gebeurt. Wel is dit ook weer afhankelijk of een smartphone in een broekzak of handtas zit, of er een muur tussen zit, want dat stoort het signaal weer. De vraag is nu of het type signaalstoring weer te detecteren is. Bijvoorbeeld of een broekzak, handtas of muur gedetecteerd kan worden door omgevingsvariabelen zoals beweging, lichtdetectie, gyroscoop te combineren met de toename en afname in signaal. Mogelijk is dit in combinatie met wat machine learning en AI beter af te leiden. Dit zijn vraagstukken waar Apple en Google een antwoord op proberen vinden. Ze zijn hier nu een aantal weken mee bezig en het moet binnenkort beschikbaar gaan komen.
Het feit dat Apple en Google er al weken voor nodig hebben bevestigt wat ons betreft dat het een complex verhaal is. Zeker als je het goed wil doen zonder dat je de gebruikservaring (accuduur) op een smartphone om zeep helpt. De zeven partijen van de overheid denken dit even in een weekje te kunnen doen. In onze optiek is het beter om het initiatief van Apple en Google te omarmen, dan heb je de zekerheid dat het goed gebeurt en eventueel in de komende weken nog verder wordt verbeterd. Geen van de zeven partijen heeft met een woord gesproken over deze technologie.
Wel heeft de overheid aangegeven dat apps makkelijker aanpasbar moeten zijn om technologie er later aan toe te voegen. Bijvoorbeeld om een Nederlandse corona-app te koppelen aan Europese tegenhangers, maar mogelijk ook voor het toevoegen van de Apple/Google-technologie.
Broncode-analyses
Vijf van de zeven apps hebben tussentijds de broncode vrijgegeven zodat experts hier een blik op kunnen werpen. KPMG heeft in opdracht van het Ministerie van VWS onderzoek gedaan naar de betrouwbaarheid en beveiliging van de broncode van de apps. KPMG heeft de beschikking gekregen over de broncode van zes van de zeven apps. De analyse is scherp en duidelijk: KPMG heeft veel zwaktes gevonden, maar eigenlijk zegt het antwoord op de eerste onderzoeksvraag al voldende. KPMG schrijft: “De ontwikkelaars van de applicaties hebben over het algemeen geen “secure coding” principes toegepast waardoor algemeen bekende en dus te verwachten beveiligingsmaatregelen niet zijn geïmplementeerd. Dit is ook van toepassing voor de achterliggende infrastructuur (misconfiguraties, verouderde software, beheerinterfaces exposed, etc.). Hierdoor ontstaan (ernstige) kwetsbaarheden die eenvoudig voorkomen hadden kunnen worden”.
Security by design is compleet overgeslagen. Geen controle van SSL-certificaten, slecht wachtwoordbeleid en geen authenticatie met API’s. Stuk voor stuk zaken die wel vereist zijn in een goede app. KPMG heeft alle bevindingen met de appmakers gedeeld, dus die kunnen hun to-do-lijst weer wat langer maken.
Beoordelingen van experts na het weekend
Zondag mochten de zeven partijen hun vooruitgang over het weekend demonsteren, wat ze bereikt hebben tijdens de Appathon. De experts waren nog niet echt overtuigd. Er is zeker vooruitgang geboekt, zeker op het gebied van de gebruiksvriendelijkheid van de app. De privacy en beveiliging is in veel apps echter nog niet goed geregeld en daar zijn nog teveel zorgen over.
Voorlopige conclusie
De voorlopige conclusie is dat alle ontwikkelingen nog in een beginstadium staan. Uiteindelijk moeten ze waarschijnlijk alsnog het Apple/Google initiatief omarmen. Al is het maar vanwege de beperkte Bluetooth functionaliteit op iPhones. Qua beveiliging zijn er nog heel veel hordes te nemen.
Tot slot gaat de overheid ook niet vrijuit, want er moeten veel duidelijkere eisen gesteld worden zoals welke features een app wel en niet moet hebben. Zo verzamelen sommige apps nu telefoonnummers van gebruikers voor een contactmoment bij besmetting, maar dat lijkt ons overbodig. Een huisarts of ziekenhuis zal de persoon testen op corona en heeft die gegevens dan al. Verder heeft de overheid aangegeven de app niet te willen verplichten, dus we krijgen ook geen praktijken zoals in China dat je alleen met een goedkeuring van de app naar buiten mag.
Ons advies is uithuilen en opnieuw beginnen om schade aan publieke opinie te beperken
De overheid kan het beste lering trekken uit de afgelopen dagen, de zeven partijen bedanken voor hun inzet en een tweede ronde introduceren. In die tweede ronde kunnen een aantal van de zeven partijen door, maar er zou ook ruimte moeten zijn voor nieuwe partijen. Er zijn een hoop initiatieven afgewezen die door experts beter zijn beoordeeld.
Wat ons betreft is de publieke opinie de voornaamste reden om nu iedereen te bedanken en een tweede ronde te starten. Je moet als overheid nu een signaal uitzenden dat dit, met alle respect, “broddelwerk” niet gelanceerd kan en gaat worden. Als de overheid serieuze stappen voorwaarts zet met apps waarop zoveel kritiek is, vanuit de expertgroep, vanuit beveiligingsbedrijven, vanuit privacy-organisaties, dan gaan een hoop Nederlanders de app simpelweg niet gebruiken. Dit terwijl het RIVM heeft gezegd dat minimaal 60 procent van de Nederlanders, liefst meer, de app moeten gebruiken om effectief te zijn.
De situatie is zoals die is. In een ideale situatie zou je de app binnen een paar weken presenteren, maar je kan beter nog twee of drie maanden uittrekken en zorgen dat de app echt goed is, dat de meeste experts zich kunnen vinden in de techniek en privacy, dan over drie weken een app presenteren die niemand gaat gebruiken. Natuurlijk zal nooit iedereen tevreden zijn. Er zijn bedrijfsbelangen bij gemoeid en sommige privacy organisaties zijn altijd tegen. Op dit moment is de kritiek echter te groot om hiermee door te gaan.
8 uur geleden
