Independent. Dynamic. Involved.
nlen

De Alomtegenwoordige Stad en het internet van alles

Door Jan van Kollenburg.

In al het rumoer over de nieuwe digitale wereld komt regelmatig het idee van de Alomtegenwoordige Stad, ook wel the Ubiquitous city of Smart City genoemd, terug. Het idee is gebaseerd op een gecombineerde inzet van Informatie Technologie, sociale media en things on the internet, waarbij fysieke grenzen vervangen worden door zo veel mogelijk alles met alles te verbinden. Het is ook het idee dat elke inwoner elke dienst overal en altijd kan krijgen via elk intelligent met internet verbonden apparaat. Vooral in Zuid-Korea is dit concept concreet opgepakt .
Stel je de volgende wereld voor: Een veelheid aan apparaten in je huis geeft informatie door en wordt beheerd vanaf je consoles (PC, tablet, smartphone, smart-TV, game-console, smart watch). Je werk kun je vanaf elke plaats uitvoeren waar je een internetverbinding hebt. Alle formele contact met de overheid verloopt via digitale authenticatie, mogelijk vanaf elk “smart” apparaat. Op basis van je GPS locatie bied diezelfde overheid je alleen waarschuwingen als dat voor je huidige locatie van belang is. In plaats van wegenbelasting of tolwegen, kun je tijd en prijs van vervoer plannen zoals je nu al kan zoeken naar het goedkoopste vliegticket. Er zijn overal algemene kantoorgebouwen die algemene faciliteiten bieden, te huur per uur, dag, week of wat de tijdelijke behoefte ook is.

Maar let op: Wie is de baas over je consoles? Als je een Android smartphone hebt, dan is in veel communicatie Google de eigenaar en jij zelf slechts een toegelaten gebruiker. Idem voor Apple, Microsoft. Stel dat je je tablet verkoopt: een reset van het apparaat laat kruimels achter van persoonlijke informatie.

En ook: Landen, lokale overheden en bedrijven willen zelf de volle vrucht plukken van de voorzieningen die zij bieden. Zij zullen dan ook juridisch en praktisch niet toelaten dat mensen van buiten hun stad of land de resources gebruiken zonder belasting te betalen, lokale werkgelegenheid te creëren of bij te dragen aan de winst. China, Rusland en de VS zullen eisen dat zij wel alle informatie krijgen, maar dat informatie over hen ontoegankelijk is voor de andere landen. Het “steden aller landen, verenigt u” is dan ook vooralsnog een onvervulbaar idee.

Dit neemt niet weg dat onderdelen van dit idee van de Alomtegenwoordige Stad er al zijn en toe zullen nemen. De term is echter te utopisch. Een geschikter richtpunt is The Internet of Everything. Deze geeft een technische werkelijkheid aan, die niet gebonden is aan idealen, maar aan mogelijkheden en feiten. Dit tijdperk van the internet of everything heeft twee aardverschuivingen veroorzaakt, waar nog lang niet iedereen zich bewust van is:
1. We leven in het post-Jericho tijdperk van de-perimeterisatie waarin over open netwerken samengewerkt en zaken gedaan wordt in en tussen organisaties.
2. We leven in het tijdperk van consumerisatie waarin de realiteit is geworden dat een veelheid aan apparaten waar de organisatie geen enkele controle over heeft communiceren met jouw ICT voorzieningen.

Dit betekent dat je niet bezig zou moeten zijn om het allesomvattende plan te maken waarin jouw informatie van achter jouw firewall alleen met door jou gecontroleerde apparaten benaderbaar is. Wie zijn ICT conform de oude werkelijkheid inricht, zal steeds meer de aansluiting met de nieuwe werkelijkheid verliezen! In de nieuwe werkelijkheid leven BYOD en BYOI: Bring Your Own Device en Bring Your Own Identity. Wie dat niet verwelkomt, verliest zijn klandizie.

Begrijp het verschil tussen houderschap (wie mag de informatie gebruiken) en eigenaarschap (wie mag toegang tot de informatie toekennen aan de houders en ook weer ontnemen). Als je met dit begrip gaat beslissen welke nieuwe apparaten, tools, gadgets je gaat aanschaffen en gebruiken, dan let je er niet alleen op dat het bruikbaar is (dat is het belang van de houder) maar ook dat jij de baas bent over de informatie (als eigenaar).

• Voor de certificaten die je gebruikt ben je houder, maar ben je ook eigenaar? Laat daarom het uitgangspunt zijn dat certificaten die je gebruikt voor jouw informatie (waarvan jij eigenaar bent) aan de sleutelbos van jouw CA hangen: self-issued certificaten in plaats van commerciële certificaten van een publieke CA.
• Van een bedrijfsauto is het bedrijf de eigenaar en de werknemer de houder. Het bedrijf moet dus een override kunnen doen van het houderschap van de auto. Vroeger was dat een kwestie van de sleutel en de papieren inleveren, maar met de huidige smart cars die volgestopt zijn met internet-connected electronica is dat een complexere zaak. Als je voor de aanschaf je hiervan bewust bent, verklein je aanzienlijk het risico later met een deels onbruikbaar eigendom te zitten.
• Ben je eigenaar of houder van je Android smartphone? Vergis je niet in hoeveel informatie standaard over de server van Google met certificaten van Google gaat. Buit de mogelijkheden uit om eigenaarschap waar dat kan naar je toe te trekken, bijvoorbeeld door middel van een policy op de smartphone enkel apps toe te laten van je eigen app store. Er zijn inmiddels diverse leveranciers die middels extra beveiligde apps toegang tot je data in de cloud bieden zonder dat er informatie gemorst wordt naar andere apps of naar Google/Apple/Microsoft.

Een goede producent van “smart devices” ontwikkelt deze op basis van privacy by design. Dit concept betekent dat al vanaf het moment dat het apparaat ontwikkeld wordt, rekening gehouden wordt met privacy aspecten. Denk bijvoorbeeld aan het recht om je persoonlijke gegevens echt te kunnen wissen. In de consumenten electronica is dit nog veel te weinig toegepast. Daar waar dit wel het geval is, is dit een belangrijk pluspunt van het apparaat.

Tenslotte: verlies de bruikbaarheid niet uit het oog. Bruikbaarheid hoeft helemaal niet ten koste te gaan van beveiliging. Als jouw klant houder moet zijn van vijf sleutels van jou, is het waarschijnlijk in de praktijk geen klant meer van jou. Er zijn doorontwikkelde SSO (Single Sign On) oplossingen die op een intelligente manier de identiteit van de bezoeker bepalen, gebaseerd op attributen die deels automatisch bepaald kunnen worden (attribute based access control). Op deze manier wordt het aantal sleutels beperkt tot wat gezien de context van de attributen nodig is beperkt.

Bewustzijn van deze principes is de sleutel tot de best mogelijke keuzes. Volmaakt zal het nooit worden en dat hoeft ook niet. Beter resultaat bereiken op de best mogelijke manier dan geen resultaat omdat het niet aan al je eisen kon voldoen. Zolang je jezelf van de principes bewust bent, maak je je compromissen ook bewust. Alleen dan kun je ongewenste gevolgen zo veel als mogelijk mitigeren.

Bronnen:
https://en.wikipedia.org/wiki/Ubiquitous_city
http://urbact.eu/fileadmin/Projects/REDIS/events_media/magdeburg_Kwon_110408.pdf
https://collaboration.opengroup.org/jericho/vision_wp.pdf