Dieven met dieven vangen

The New York Times publiceerde afgelopen weekend een lang artikel over Clearview AI. De oprichter, de Australiër Hoan Ton-That, zocht al langer naar een klapper maar was niet verder gekomen dan een app waarmee je selfies van een Trump-kapsel kon voorzien. Ton-That maakte ook een site waar je al je vrienden videolinks kon sturen; moest je wel even al je contacten uit je chatprogramma’s met de site delen.

Toen volgende een lumineus idee. Ton-That verdiepte zich in kunstmatige intelligentie en algoritmes, leerde hoe je sites kon leegtrekken (scrapen), en verzamelde wat startkapitaal. Hij bouwde een programma dat overal foto’s jatte en die opsloeg in een database, waarbij elke foto werd voorzien van de naam van de geportretteerde, plus de locatie, plaats en tijd van de opname. Ton-That verzamelde een fikse stapel, en liet er gezichtsherkenning op los.

Lang wist-ie niet wat ermee kon aanvangen. Toen wist hij Peter Thiel voor zijn project te interesseren. Thiel is de extreemrechtse mede-oprichter van Paypal, een van de eerste investeerders in Facebook, en de oprichter van Palantir, die veel opsporingssoftware maakt voor de CIA, en voor banken plus andere financiële dienstverleners.

Na wat vallen en opstaan wist Ton-That een paar politiediensten in de Verenigde Staten te interesseren, meestal via iemand die hij eerst zelf had gescout. Inmiddels beschikte hij over een database met 3 miljard gezichten. Hij vroeg zo’n detective om een paar foto’s van mensen die ze zochten, wist hem te imponeren met de resultaten, de diender pleitte bij de baas, en hoppa, weer een klant. Inmiddels doet Clearview zaken met lokale politiediensten, de FBI en Homeland Security.

Het klinkt als een succesverhaal, maar er zijn een paar probleempjes. De software van Clearview is nooit getest door een onafhankelijke instantie die de werking ervan onderzoekt, en bijvoorbeeld controleert hoeveel vals-positieven het programma genereert. Ook heeft de politie in de VS amper regels over het inzetten van gezichtsherkenning, zeker niet via derden; in steeds meer Amerikaanse steden en staten raakt gezichtsherkenning juist zeer omstreden. Maar Clearview opereert onder de radar, onder meer omdat er geen sprake is van openbare aanbesteding.

Erger: Clearview blijkt te kunnen meekijken met de zoekopdrachten, en die in specifieke gevallen zelf te manipuleren, zoals de journalist van de NY Times ontdekte. Vanwege het ontbreken van elke vorm van audit is tevens volslagen onduidelijk hoe secuur al die toch tamelijk kwetsbare data zijn opgeslagen.

Voorts mogen de politiediensten foto’s van verdachten niet naar derden sturen om die te verwerken, en mag Clearview die al helemaal niet aan zijn database toevoegen (wat het wel doet). Het ergste: Clearview heeft zijn aanvankelijke database van 3 miljard portretten simpelweg gejat. De politiediensten die Clearview gebruiken, maken zich derhalve schuldig aan heling.

Update, 9 februari: Afgelopen week werd bekend dat zowel LinkedIn als Facebook hebben geëist dat Clearview AI stopt met het stelen en opslaan van foto’s van hun gebruikers.

[Beeld: teguhjatipras, Wikimedia]

Van de sloot het moeras in

In de strijd tegen nepnieuws helpen feitencontroles amper, temeer daar het verschil tussen ‘echt’ en ‘nep’ vaak een kwestie van interpretatie is, je ook rond ‘echt’ nieuws makkelijk fakeberichten kunt fabriceren, en losse feiten combineren ook nepnieuws kan opleveren.

Hoogleraar computerbeveiliging Bart Jacobs stelde daarom in iBestuur Online een nieuwe aanpak voor: authenticatie. Wanneer overheidspartijen, nieuwsorganisaties, bedrijven en online platforms hun berichten voortaan digitaal ondertekenen, weet je als lezer dat er niet met de inhoud is gerommeld.

Jacobs stelt een vorm van getrapte authenticatie voor. De journalist stuurt een ondertekend verslag naar de krant, die daar na een check van de handtekening een nieuwsbericht van maakt, dat ook weer wordt ondertekend. De lezer kan zich dan door een eigen controle ervan vergewissen dat dit ‘authentiek’ nieuws is.

Ik vrees dat zoiets ons van de sloot het moeras in helpt. Jacobs levert zelf een tegenargument: ‘Stel: er verschijnt een video online waarin premier Mark Rutte zich extreem negatief uitlaat over de islam. [Als] de opgedoken video geen handtekening van de Rijksoverheid heeft, kan die terstond als onecht aangemerkt worden.’

Stel dat het niet een video met Rutte betreft, maar eentje waarin minister Stef Blok zegt dat hij ‘geen enkel multicultureel land in de wereld kent waar mensen vreedzaam met elkaar leven’ en  Suriname een ‘failed state’ noemt. Die video mist dan een handtekening van het ministerie, hij is alleen getekend door iemand die aanwezig was bij Bloks toespraak – een naamloze getuige, getrapt gecertificeerd door het medium dat de opname kreeg toegespeeld. Fake, zegt het ministerie dan, want ‘niet door ons getekend’. Jacobs negeert zo het machtsargument: niet alle handtekeningen hebben evenveel gewicht.

En wat als De Telegraaf systematisch alle bijdragen van Wierd Duk zou ondertekenen, wat de krant uiteraard in zekere zin al doet, simpelweg door ze te publiceren? Wordt Duks berichtgeving daar betrouwbaarder van?

Bovenal onderkent Jacobs niet dat veel mensen die hun nieuws online lezen – en dat geldt zeker voor nieuws op Facebook – vaak niet eens letten op de bron ervan. Ze verspreiden nieuws dat hun aandacht trok, dat in hun straatje past, of waarmee ze anderen denken uit te dagen. The Guardian volgde kort voor de Britse verkiezingen een paar dagen achtereen alles wat een uiteenlopende selectie mensen online deed. Ze deelden artikelen die ze niet hadden gelezen, reageerden fel op nieuws dat ze hadden overgeslagen, en een vrouw die hoofdzakelijk genuanceerde krantenartikelen las, herpostte vooral raillerende berichten die ze elders aantrof.

Nieuws lezen is tegenwoordig vaak geen informatiegaring meer, geen zucht naar inzicht, maar een call to arms: een oproep om zieltjes te winnen en de rijen te sluiten. Tegenover zo’n manier van nieuwsconsumptie is een gecertificeerde handtekening weinig meer dan een zwaktebod.

[Beeld: Needpix]

Plundering van dna-databases

DNADer Spiegel onthulde vorige week dat bedrijven die voor apothekers recepten verwerken – zodat zij die netjes bij zorgverzekeraars kunnen factureren – stiekem meer doen. De tussenbedrijven bewerken al die patiëntgegevens verder, en verkopen die aan farmaceutische bedrijven. De gebruiken ze dan weer om hun pillen en poeders te promoten bij artsen, om zo hun voorschrijfgedrag te beïnvloeden.

Grote techbedrijven azen al jaren op medische data. Via het Britse NHS kreeg DeepMind, een AI-project van Google, toegang tot 1,6 miljoen patiëntgegevens van drie Londense ziekenhuizen, inclusief de dossiers tot vijf jaar terug. DeepMind maakte een mooie app. Mitsen en maren werden in acht genomen, regels afgesproken, er werd vastgelegd wat Google wel en niet met de patiëntgegevens mocht doen. De app beviel, en er kwamen meer functies en toepassingen. Dat mondde uit in een systeem voor het beheren van patiëntengegevens: Streams, een krachtig elektronisch patiëntendossier.

Eind vorig jaar kondigde Google eenzijdig af dat het de dienst herstructureerde en bij een nieuwe divisie van Google zou onderbrengen: DeepMind Health. Die app, waarvan de gegevens nooit door Google zelf gebruikt zouden worden, is nu een Google product geworden. De NHS had geen keus meer: hun patiëntendata zitten in de app en zijn bij Google geparkeerd.

Er wordt al jaren voor gewaarschuwd: medische gegevens genieten een hoge graad van bescherming, maar zodra die gegevens het medisch domein verlaten, vervalt die extra waarborg. Dan wordt het handel – net als de rest van onze gegevens dat zijn.

Iets vergelijkbaars is gaande met biometrische gegevens: vingerafdrukken en dna. Voor politiediensten gelden strengen regels. Ze mogen zulk materiaal niet zomaar afnemen, er moet een gerede verdenking tegen iemand bestaan. Maar intussen delen mensen hun biometrische gegevens zelf links en rechts uit. Soms verplicht: sommige werkgevers eisen dat hun personeel zichzelf met een vingerafdruk identificeert eer ze het bedrijfspand binnen mogen. Soms vrijwillig: de duimafdruk waarmee je je telefoon tegenwoordig kunt ontsluiten. En soms nieuwsgierig: honderdduizenden mensen hebben hun wangslijm opgestuurd naar sites als Ancestry of 23andMe, om zo meer te weten te komen over hun genetische achtergrond.

Al die vormen van opslag van genetische data missen de hoge mate bescherming die ze in het medische of juridische domein genieten. En warempel: politiediensten proberen zich nu toegang te verschaffen tot zulke data. Vorige maand was er een baanbrekende uitspraak in een Amerikaanse zaak. De politie wilde alle miljoen dna-profielen van GEDmatch doorzoeken, en kreeg toestemming van de rechter. Nul restricties, weg extra bescherming: voor de draad ermee.

De volgende stap is evident. Ook onze biometrische gegevens zullen handel worden, en buiten ons medeweten worden verkocht – aan farmaceuten en verzekeraars, verrijkt en wel.

[Beeld: fragment Needpix]

Een achterdeur in Whatsapp

Mensen doen soms een envelop om hun e-mailtje of hun appje, zodat alleen zijzelf en de geadresseerden dat kunnen lezen. Omdat inbraken op andermens’ berichtenverkeer akelige consequenties kunnen hebben en mensen aan hun privacy hechten, bouwen applicatiebouwers zulke versleuteling vaker in. Whatsapp versleutelt automatisch alle berichten, net als Signal en Telegram; ook Facebook Messenger wil versleuteling tot standaard verheffen.

Evenredig aan de behoefte van gebruikers aan veiligheid en versleuteling groeit de wens van overheden om achterdeurtjes in te bouwen: wegen om die encryptie te breken. Zonder die achterdeurtjes zou de overheid machteloos staan tegen criminelen, is het verhaal. Al in 1988 fileerde Intel-techneut Timothy C. May die retoriek: hij destilleerde de doembeelden van toen en noemde die, met een klassieke verwijzing, de Vier Ruiters van de Infocalyps: terroristen, pedofielen, drugsdealers en witwassers.

Minister Grapperhaus van Justitie en Veiligheid bepleitte onlangs in navolging van zijn Amerikaanse collega William Barr dat internetplatforms de sleutels van hun gebruikers aan justitie moesten kunnen overhandigen, om opsporingsdiensten toegang te verschaffen tot berichten- en chatverkeer. Heel Bijbelvast legde Grapperhaus de nadruk op kinderporno als argument om zijn ‘sleutelrecht’ op te eisen: ‘Wat ik graag zou willen is met grote internetpartijen om de tafel en zeggen: luister, we gaan het nu zo regelen dat wij in ieder geval als er sprake is van verdacht verkeer toch een toegang kunnen krijgen om te kunnen zien wat zich er precies afspeelt.’

Hoe Grapperhaus zich dat precies voorstelde, zei hij er niet bij, maar achterdeurtjes in de software van die ‘grote internetpartijen’ lijken de logische optie. Immers: als encryptie automatisch geregeld wordt, is er sowieso geen sleutel die je bij gebruikers kunt opeisen, nog los van het feit dat de grondwet bepaalt dat mensen nooit aan hun eigen veroordeling hoeven mee te werken en zwijgrecht hebben.

Grapperhaus is naïef. Zodra softwarebedrijven van iedere gebruiker een ‘masterkey’ moeten bijhouden, maakt dat hun platform een magneet voor hackers, en dus: onbetrouwbaar voor gebruikers en riskant voor investeerders. Begin 2016 erkende het kabinet zelfs dat sterke encryptie van groot belang was voor de veiligheid en soliditeit van internet. Het slot op mijn deur (en mijn communicatie) is bedoeld om iedereen buitenshuis te houden, overheid en criminelen gelijk: dat is juist het nut van een deur met een slot erop.

Dat zo’n slot opsporing bemoeilijkt, is geen doorslaggevend argument: opsporing is altijd moeilijk, en hoort dat in zekere zin zelfs te zijn. Want transparantie eisen van burgers, en eenvoudige toegang tot hun communicatie, is aanzienlijk enger. Grapperhaus kan beter een voorbeeld nemen aan zijn partijgenoot Hans Franken: die beschouwde encryptie als de moderne variant van het aloude briefgeheim, en dus als grondwettelijk recht.

[Beeld: Needpix]

Quantum, qubits en crypto

Ian Hughes op Flicker, https://www.flickr.com/photos/epredator/40239193864Afgelopen week maakte Google bekend een werkende quantumcomputer te hebben gebouwd. Anders dan ‘gewone’ computers werken die niet met bits (die alleen ‘uit’ of ‘aan’ kunnen staan, oftewel op 0 of 1), maar met qubits. Dat zijn bits die in tegelijkertijd 0 én 1 kunnen zijn (‘superpositie’).

Dat verschaft ze vreemde eigenschappen: zo kunnen ze niet worden gekopieerd, en staan ze onderling altijd in relatie. Als de waarde van qubit A bekend wordt (en daarmee zijn superpositie vervalt), heeft dat subiet effect op qubit B, ook als dat zich elders bevindt. Hoogleraar Stephanie Wehner, die in Delft aan de ontwikkeling van een quantum-internet werkt, legt het graag (en altijd geestig) uit.

De strijd wie de eerste serieuze quantumcomputer kon presenteren, is al langer bezig; wie de eerste slag binnenhaalt, krijgt een boel prestige. Het werd dus Google. Het bedrijf meldde triomfantelijk dat Sycamore, zoals het zijn exemplaar heeft gedoopt, een reeks sommen 1,5 miljard keer sneller oploste dan gewone supercomputers kunnen. Op dat record valt overigens wel iets af te dingen: Google koos uiteraard een opdracht die exact was toegesneden op Sycamores expertise. Voed het ding een ander lastig probleem en hij bakt er waarschijnlijk weinig van: Sycamore is in zekere zin nog een one trick pony.

De grote belofte van dit type computers is dat ze als simulatie gebruikt kunnen worden, bijvoorbeeld om medicijnen te testen: een virtueel model van het menselijk lichaam is, in combinatie met de verschillende verschijningsvormen van een ziekte, het potentiële geneesmiddel waarnaar onderzoek wordt gedaan en de bijwerkingen van dat medicijn, dusdanig complex dat zelfs de verenigde computers van een heel datacenter zoiets momenteel niet aankunnen. Mogelijk lukt dat straks wel met quantumcomputers.

Maar terwijl de quantumcomputer prachtige vergezichten biedt, schopt-ie andere dingen onderuit. Het ding zuipt bijvoorbeeld schrikbarend veel energie, terwijl de energiezucht van onze huidige, ‘ouderwetse’ datacenters al de pan uit rijst. En terwijl quantumcrypto uit de aard der zaak onkraakbaar is – wie zulke berichten probeert af te luisteren, verandert de boodschap zonder pardon en krijgt bijgevolg niets dan gibberish – maakt invoering van de quantumcomputer de oude vertrouwde vormen van versleuteling eenvoudiger te kraken. Niet dat PGP en blockchain nu meteen ‘kapot’ of nutteloos zijn, maar we moeten er wel rekening mee houden dat zulke vormen van beveiliging op termijn minder solide worden.

Resteert een ander, en al ouder probleem: quantumcomputers zijn met grote inspanning van wetenschappers op tal van universiteiten bedacht, ontwikkeld en beetje bij beetje opgebouwd. En weer gaat een commercieel bedrijf er met de jackpot – en alle glorie – vandoor. Ze plukken wel de vruchten der wetenschap maar, belastingmijders als ze zijn, weigeren daaraan mee te betalen.

[Beeld: Ian Hughes op Flicker, 50 qubit quantum compture; origineel hier.]

De nieuwe horigheid

Foto: Wendy Wei op Pexels (fragment)Big data rukken op: het verzamelen van informatie, om daar vervolgens algoritmes op los te laten die tot beter onderbouwde beslissingen zouden komen dan wijzelf. Er gaat van alles mis bij al die mooie technologische dromen. Zo wordt de informatie in kwestie bepaald niet altijd netjes verzameld. Veel datasporen worden aan mensen onttrokken zonder dat wij daar weet van hebben, laat staan dat we grip hebben op wat er vervolgens mee gebeurt.

Intussen hebben de beslissingen die uit die algoritmes komen rollen – gewoonlijk heel soft als ‘suggesties’, ‘aanwijzingen’ of ‘indicaties’ betitteld – geregeld zeer verstrekkende gevolgen. U komt helaas niet in aanmerking voor een lening bij ons. Of: uw auto lijkt ons te duur voor uw inkomen. Wij denken op grond van uw profiel dat wij uw sollicitatie afwijzen. De Belastingdienst zet uw toeslag voor kinderopvang stop, want u lijkt ons een fraudegeval. Of Jeugdzorg ziet ‘signalen’ van ‘vermoedens van’ kindermishandeling, en zet een vlaggetje bij uw gezin.

Nu willen de entrepreneurs ook de kunsten in. Journalist en programmamaker Jaïr Tchong beschreef de plannen die het Belgische PXL-Music vorige week op een congres van de Vereniging Nederlandse Poppodia en Festivals presenteerde. Prachtige vergezichten, werkelijk waar: op grond van de data van bezoekers (hun Google-gebruik, waar ze kwamen, waar ze naar luisterden, wat ze verder zoal deden) en de gegevens van zalen zelf (hoeveel mensen kunnen erin, hoeveel kaarten verkopen ze bij elk optreden) hoopt PXL-Music de zaalprogrammeurs te kunnen voorspellen welke acts tot volle zalen leiden en welke acts ze beter niet kunnen boeken. Naïef-optimistisch meldde de spreker dat podia zo minder missers zouden hebben, en dan dus fijn meer geld zouden overhouden voor experimenten.

Tchong zag het al voor zich.

Wie had, met zo’n algoritme in de hand, in ’s hemelsnaam ooit het prille Nirvana geboekt? En was het niet raar dat podia én bezoekers voor deze vermeende, gladgestreken slimheid al hun data moesten afstaan aan een bedrijfje dat hen vervolgens wilde aansturen en daar een verdienmodel op wilde bouwen?

Denk aan hoe restaurantsite Iens, ooit begonnen als een ‘handige’ beslishulp voor wie buiten de deur wilde eten, gaandeweg dictatoriale trekjes kreeg. Zo verdwenen restaurants met uitmuntende reviews miraculeus in de krochten van Iens wanneer ze Iens geen reclamegeld betaalden. ‘Maffiapraktijken,’ oordeelden de restauranthouders terecht.

Ik realiseerde me dat er een droom aan gruzels lag. Ooit beloofde internet de middle man overbodig te maken: je kon voortaan je muziek rechtstreeks bij je favoriete artiest kopen, zelf je reis boeken, of een boek uit de VS importeren. Veel tussenhandelaren zijn inmiddels verdwenen. Maar nu wordt er, beetje bij beetje, een bovenlaag van handelaars in big data gemetseld, die zelfstandige bedrijven – inclusief hun klanten – horig tracht te maken.

[Beeld: © Wendy Wei, foto op Pexels, fragment]

Gijzeling – geen oorlog

BoekomslagHet is oorlog, maar niemand die het ziet, waarin Huib Modderkolk aantoont hoe inlichtingen- en geheime diensten in een digitale strijd zijn verwikkeld en ondertussen zowat alles en iedereen hacken, is een subliem boek. Hij laat gedetailleerd zien hoe spionage en sabotage verweven zijn geraakt. De enige kanttekening die ik heb, is dat hij steevast de oorlogsmetafoor inzet in zijn poging om de hele zwik voor de leek begrijpelijk te maken.

Begrippen als koude oorlog, wapenwedloop, escalatie en afschrikking, aanval en verdediging klinken vertrouwd, en lijken een nuttig kader te bieden. Maar ze ontnemen ons het zicht op wat dit moderne wapengekletter zo radicaal anders maakt, en laat ons de verkeerde ‘oplossingen’ suggereren. Naar aanleiding van de documentaire Zero Days (2016), die liet zien dat geheime diensten vet betalen voor exploits om andermens’ systemen te kunnen binnendringen en manipuleren, werd geopperd dat een non-proliferatieverdrag voor beveiligingslekken een oplossing kon zijn. Heus: wie dat voorstelt, begrijpt niets van het probleem.

Niet alleen overheden of hun steelse subdivisies kunnen essentiële infrastructuur hacken. Ook een vasthoudende puber ergens op een zolderkamertje kan KPN platleggen, zoals Modderkolk aantoont. Non-proliferatie is gebaseerd op bovenstatelijke controles, op internationaal recht en dito verdragen, op sancties, op traceerbare goederen, op voor de buitenwereld zichtbare proeven, op identificeerbare fabrieken en installaties. Dat alles ontbreekt te enen male bij digitale spionage en sabotage.

Staten doen er op dit vlak niet meer toe, evenmin als hun klassieke tegenstrevers: politieke cellen, guerrilla of terrorisme. Iedereen kan zich, met enige kennis en volharding, een bereik verwerven waarop staten meenden een monopolie te hebben. De situatie is veel grilliger: we kampen nu ook met mensen die voor de lol een bedrijf of land willen platleggen.

Geheime diensten zoeken naar zero day exploits, beveiligingslekken die nog niet bekend zijn, en dus niet gedicht; die hopen ze te kunnen gebruiken om tegenstanders te hacken. Het grote probleem: zodra zo’n dienst een veiligheidslek vindt, heeft die er geen enkel belang meer bij dat het lek wordt gerepareerd. Dit in de volle wetenschap dat ditzelfde lek ook door anderen kan worden uitgebuit, en dan haar eigen burgers, bedrijven en instellingen kan treffen. Met publieke gelden en onder het motto dat zij het landsbelang verdedigen, cultiveren onze veiligheidsdiensten zodoende, o ironie, de kwetsbaarheid van onze eigen burgers en instellingen.

Zo had de Amerikaanse NSA voor eigen gebruik een aardige collectie van zero day exploits verzameld. De NSA werd gehackt, de exploits belandden op straat, Rusland ging ermee aan de haal en zette die in de Oekraïne in, waar het ME.Docs-virus het land platlegde en zelfs doden maakte (Modderkolk beschrijft de kwestie).

De conclusie die Modderkolk niet trekt, is deze: elke geheime dienst die een exploit geheimhoudt, zet daarmee de veiligheid van haar eigen burgers moedwillig op het spel.

Gezichtsverlies

Wordt je paspoort gejat, dan komt daar geheid ellende van. Maar je kunt een nieuw exemplaar aanvragen. Hopelijk word je al doende niet het slachtoffer van identiteitsfraude: met de nasleep daarvan kun je nog jaren zoet zijn. Denk aan mobieltjes die op jouw naam zijn aangeschaft, onterechte bekeuringen, valselijk afgesloten leningen.

Met biometrische gegevens ligt het anders. Zijn je gezichtsscan of je vingerafdrukken in verkeerde handen beland, dan ben je voorgoed de pineut, je kunt geen andere facie of vingers aanvragen. Voor de rest van je leven kunnen jouw onuitwisbare kenmerken door derden worden misbruikt.

Daarom was de ontdekking van security-experts eerder deze maand zo onthutsend. Biostar 2, een biometrisch beveiligingssysteem waarin miljoenen gebruikers zijn opgeslagen, is zo lek als een mandje. De experts ontdekten onbeveiligde Biostar 2-servers, en zagen dat de gegevens van gebruikers er onversleuteld waren opgeslagen: namen, wachtwoorden, woonadressen, gezichtsscans, vingerafdrukken, rangen, toegangscodes – de hele rataplan. Het betrof ruim 27 miljoen records. De experts konden de data uitlezen, wissen, of veranderen. Ze konden zelfs valse gebruikers aanmaken, compleet met vingerafdrukken en gezichtsscan.

Biostar 2, eigendom van Suprema, is onderdeel van het beveiligingssysteem AEOS, dat door 5700 organisaties in 83 landen wordt gebruikt. Die organisaties variëren van sportclubs tot overheidsinstanties, van de Londense politie tot banken, van defensiebedrijven tot – o ironie – een identiteitspasjesfabrikant.

Nadat de security-experts Suprema waarschuwden, dichtte het bedrijf het gat op zijn servers. Maar Biostar slaat de gegevens nog immer onversleuteld op, zodat die nog altijd hoogst kwetsbaar zijn. En eigenlijk heeft een beveiligingsbedrijf dat zulke basale fouten maakt (‘Suprema: koploper in biometrie, beveiliging en identiteitscontroles’, pochen ze zelf), zichzelf volkomen gediskwalificeerd. Niemand zou nog zaken met ze moeten doen, en Suprema verdient een vette boete per blootgesteld record.

Zulke verhalen zijn reden tot grote zorg. Iemands gezichtsscan en vingerafdrukken zouden slechts bij hoge uitzondering mogen worden afgenomen, en uitsluitend onder stringente beveiliging worden opgeslagen, geraadpleegd of gedeeld. Elke fout die ermee wordt gemaakt is immers onherstelbaar, en levert levenslang risico’s op voor de benadeelden. Plus dat locaties er lek van worden: aangezien hackers nieuwe gebruikers konden aanmaken, kon feitelijk iedereen op die manier een met Biostar beveiligde locatie binnenlopen.

Misschien, zo opperen de security-experts, is betalen met je duimafdruk niet zo’n goed idee wanneer onze vingerafdrukken zo slecht beveiligd worden. Misschien moet je geen lid willen worden van een sportclub die een gezichtsscan wil als toegangscode. En misschien moeten we van overheden eisen dat ze biometrische gegevens zwaarder bewaken.

[Beeld: izusek/Getty Images/iStockphoto, via The Guardian]

‘Delen’ is helaas duurbetaald

Na de jubelverhalen over de deeleconomie kwamen de barsten. Uberchauffeurs lieten zien hoe absurd veel ze moesten werken om een karig loon bij elkaar te sprokkelen. Steden klaagden over ‘deelfietsen’ die als strooigoed op stoepen werden geplempt en als wrak werden achtergelaten. De rolkoffertoeristen die gezellig kwamen airbnb’en, dreven de prijs van woningen op, en legden beslag op de beschikbare woonruimte voor de vaste bevolking.

Delen bleek niet langer: gul zijn, uitlenen wat je zelf even niet nodig hebt, of samen iets onderhouden, maar: als bedrijf winst willen maken door andermens’ dienst te verhuren onder gratis gebruikmaking van de openbare ruimte en publieke voorzieningen, onderwijl de infrastructuur ontwrichtend.

Zo kreeg de deeleconomie de trekken van een zwerm sprinkhanen die, vermomd als hipsterbedrijfjes, op een stad neerdaalt. ‘De aanbieders van deze diensten hebben een buitengewoon agressieve aanpak,’ constateerde Marco te Brömmelstroet, docent stedelijke planning aan de Universiteit Amsterdam, eerder in NRC Handelsblad. ‘Ze willen zo snel mogelijk een marktaandeel verwerven.’

Hebben ze zo’n aandeel eenmaal in handen, dan gaan de prijzen prompt omhoog, zo liet Time afgelopen week in een grondig artikel zien. De ‘deelbedrijven’ zijn immers veelal opgericht met geld van durfinvesteerders, en die willen uiteindelijk rendement zien. Maar haast niemand maakt winst: Uber, de grootste ‘speler’ op dit terrein, leed het afgelopen kwartaal liefst 5,4 miljard dollar verlies en kampt met een dalende omzet.

De plannen worden van de weeromstuit wilder, want winst moet en zal er komen. Uber poogt zich momenteel in vijf landen binnen te wurmen op de markt van het openbaar vervoer. In sommige steden tracht het bedrijf zelfs het hele stadsvervoer op te kopen. (Intrigerend aspect: ze kijken daarbij in het bijzonder naar vervoer voor gehandicapten, waar inderdaad een markt braak ligt, al decennia achtereen. Gehandicapten als breekijzer: persoonlijk vind ik dat een nogal griezelig concept.)

Maar dat verlies van Uber kunnen we, zoals wel vaker geldt bij multinationals, misschien beter met een hap zout nemen. Uber maakte afgelopen week een profijtelijk bedrijfsritje naar de Zuidas. Het bedrijf heeft haar ‘intellectueel eigendom’ van een brievenbusfirma op de Bermuda’s verhuisd naar een Nederlandse dochteronderneming. Die papieren operatie levert het bedrijf, zo hopen ze, een aftrekpost van 5,5 miljard dollar op. De vraag is of Nederlandse Belastingdienst die move accepteert, maar dat lukt vast: tal van andere multinationals gingen Uber voor.

Deelbedrijven wentelen de lasten van hun bedrijfsvoering af op hun werknemers., wonen hun omgeving uit, parasiteren op de infrastructuur die door overheden en burgers is opgebracht, en steken de winst met belastingtrucs in eigen zak. Delen is niet hip, en het tegendeel van duurzaam.

[Beeld: Uber-protest In Portland, januari 2015. Foto: Aaron Parecki, Wikimedia]

Machines zoals ik

Omslag boekLonden, begin jaren tachtig. Engeland verliest de Falklandoorlog verpletterend. Kort daarna stort het land zich onder Margaret Thatchers leiding in een Brexit avant la lettre. Mobiele telefoons zijn alom. Charlie, die zijn kostje bij elkaar scharrelt door via zijn computer op de beurs te handelen, stopt de erfenis van zijn ouders in de aanschaf van een van de eerste humanoïde AI’s: Adam.

Charlie vraagt zijn buurvrouw, Miranda samen met hem Adams karaktertrekken te programmeren. Deels omdat hij zo wil voorkomen dat hij Adam naar zijn eigenbeeld instelt, deels omdat een gezamenlijk project hem een goede tactiek lijkt om de banden met Miranda, op wie hij een oogje heeft, aan te trekken. En Alan Turing leeft nog: aan hem hebben we die wandelende robots te danken, net als de zelfrijdende auto’s die de straten vullen, en natuurlijk die eerste 25 Adams en Eva’s die in de handel gebracht werden.

Ian McEwans boek Machines Like Me is een pareltje. Charlie krijgt Miranda, maar ook Adam verlieft zich in haar, en begint haiku’s te schrijven om daaraan uiting te geven. Adam neemt de beurshandel van Charlie over en bouwt een armzalige 30 pond binnen een paar maanden uit tot ruim een ton. De eerste barst in de idylle: als Charlie op een dag de uitknop in Adams nek wil gebruiken, grijpt die zijn arm en breekt zijn hand. Via-via leert Charlie dat bijna al Adams soortgenoten hun uitknop onklaar hebben weten te maken.

Waarin hun Adam lijkt te verschillen van zijn AI-familieleden, is zijn gehechtheid en zijn levenslust. Er duiken verontrustende berichten op van andere Adams en Eva’s die zelfmoord hebben gepleegd, zichzelf doelbewust tot domme automaten hebben gereduceerd. Charlie en Miranda geloven – en ja, dat is een zelffelicitatie via een omweg – dat het de liefde is die Adam overeind houdt. Zij houden ook van hem.

Maar het schuurt. Terwijl Adam als volwaardig gezinslid functioneert, meent Charlie hem soms te kunnen commanderen; de gedachte dat hij Adams eigenaar is en hem beperkingen mag opleggen, blijft altijd op de achtergrond aanwezig. Miranda en Charlie verloven zich – Miranda’s vader weet niet zeker wie van de twee nieuwe mannen in haar leven de robot is en wie de mens.

Langzaam ontspoort de situatie. Adam, met zijn grote aanpassingsvermogen, blijkt uiteindelijk toch niet de bijna-mens die hij leek: enerzijds is zijn verstand en begrip groter, maar anderzijds zijn logica is meer rigide. Of misschien schuwt hij de morele consequenties van zijn inzichten gewoon minder dan Miranda en Charlie doen. Adam doet iets dat rechtvaardig is, maar Miranda ten gronde kan richten. Uit wanhoop maakt Charlie Adam defect. (Wat hem op een venijnige uitbrander van Alan Turing himself komt te staan.)

Machines Like Us is een subliem boek. McEwan werkt ons onvermogen uit om een brein te doorgronden dat ver boven ons staat, maar ook: hoe belangrijk schipperen is om onszelf en onze wereld overeind te houden. Zonder compromis zijn we nergens.