Brain-computer interfaces (BCI's) bieden mensen een nieuwe manier om met technologie om te gaan, maar ze brengen ook aanzienlijke risico's met zich mee. Zoals we eerder hebben opgemerkt, is elke nieuwe technologie ook een nieuwe kans voor hackers, en het komende tijdperk van BCI's is daarop geen uitzondering.
Het idee om een BCI te hacken klinkt als sciencefiction, want op het eerste gezicht lijkt het erop dat hackers uw gedachten kunnen lezen. Wat als het eerste teken dat u bent gehackt een vreemde stem in uw hoofd is? Of dat uw diepste gedachten ergens op een prikbord op internet geplaatst worden?
In werkelijkheid is de informatie die door BCI's wordt verzameld veel minder geavanceerd dan volledig gevormde gedachten. Desalniettemin werpen BCI's enkele beveiligingsproblemen op. In dit artikel gaan we deze onderzoeken.
Uw gedachten lezen?
De eerste golf BCI's bereikt nu de markt en de reeks toepassingen waarvoor ze worden ingezet, is zeker indrukwekkend. Sommige van deze systemen bieden gebruikers een manier om hun stressniveaus te meten en vast te leggen, apps te besturen en hun emoties te volgen. Op medisch gebied zijn BCI’s ook veelbelovend: medische onderzoekers gebruiken ze om mensen met ruggenmergletsel te helpen verlamde ledematen te bewegen en een verloren tastzin te herstellen.
Het is echter belangrijk om te erkennen dat deze systemen niet letterlijk de gedachten van hun gebruikers "lezen". Hersenscantechnologie is nog ver verwijderd van het omzetten van elektrische fluctuaties naar semantische inhoud. In plaats daarvan kijken deze systemen naar de totale activiteit in relatief grote delen van de hersenen. Met andere woorden, en ondanks veel speculatie op dit gebied, zal waarschijnlijk binnenkort niemand uw gedachten stelen.
Waardevolle informatie
Dit wil niet zeggen dat de informatie die BCI's verzamelen niet waardevol is. Hoewel het detailniveau dat beschikbaar is voor degenen die BCI's maken - en dus voor hackers - veel minder is dan volledig gevormde gedachten, kan het nog steeds lucratief zijn in de verkeerde handen. Onderzoekers hebben bijvoorbeeld al aangetoond dat BCI's kunnen worden gebruikt om mensen ertoe te brengen informatie van hun pincode vrij te geven of hun religieuze overtuigingen of het gebrek daaraan bekend te maken.
Als we dat toepassen op de wereld van online reputaties, die in het internettijdperk goud waard zijn, is het gemakkelijk in te zien hoe een aanval tegen een spraakmakend persoon extreem gevaarlijk kan zijn als het aankomt op het ruïneren van een professionele reputatie die over vele jaren is opgebouwd. Vanuit dit perspectief bekeken, kan BCI-manipulatie ernstige gevolgen hebben voor de echte wereld.
Andere aanvalsvormen blijven speculatief, maar in de nabije toekomst haalbaar. Als bijvoorbeeld BCI's uiteindelijk worden gebruikt om voertuigen te besturen (zoals wordt onderzocht door het Amerikaanse leger), dan zijn de gevolgen als deze gehackt worden zeer ernstig. Evenzo hebben onderzoekers kwaadaardige externe stimuli geïdentificeerd als een van de potentieel meest schadelijke aanvallen die op BCI's kunnen worden gebruikt - door gebruikers bepaalde stukjes inhoud te tonen om bijvoorbeeld hun reactie te peilen.
Misschien wel het belangrijkste stuk gegevens dat van een BCI kan worden gestolen, heeft betrekking op de beveiliging zelf. Onderzoekers van de Israëlische Ben-Gurion Universiteit van de Negev schreven in een recent artikel over de mogelijkheid om gegevens over hersenactiviteit die zijn verzameld uit BCI's te gebruiken als een veilige vorm van biometrische authenticatie. In tegenstelling tot een vingerafdruk, zeggen ze, zijn hersengolven onzichtbaar en daarom buitengewoon moeilijk te vervalsen.
De ironie hier is dat, als BCI's een populaire manier worden om gebruikers in beveiligde systemen te authentiseren, hackers die onze gedachten stelen het minste is waar we ons zorgen over hoeven te maken. In plaats daarvan kan een gehackte BCI cybercriminelen toegang geven tot de rest van ons online leven.
Veiligheid en privacy
Veel fabrikanten van BCI's nemen de beveiliging van deze apparaten serieus. Ze erkennen dat BCI's een beveiligingssysteem met meerdere niveaus nodig hebben om ze veilig te houden, en een systeem dat alles beveiligt, van het draadloze signaal dat uit de hersengolflezer komt tot de server waarop deze gegevens zijn opgeslagen.
Helaas, en zoals we hebben gezien met het IoT, hebben we nog geen cybersecurity-systemen ontwikkeld die dit kunnen. Versleuteling is bijvoorbeeld nog steeds niet een gegeven in IoT-apparaten, omdat veel simpelweg niet over de rekenkracht beschikken die nodig is om dit snel uit te voeren. Het idee dat BCI's dat zullen kunnen, gezien de enorm complexere gegevens die ze delen, is een beetje moeilijk te geloven.
Sterker nog, de introductie van de eerste generatie BCI's heeft velen in de cyberbeveiligingsindustrie bezorgd gemaakt, omdat we nog niet hebben geleerd hoe we adequaat kunnen werken met de systemen die we al hebben. Gebruikers voelen zich ongemakkelijk als Facebook, informatie over hen verzamelt, ondanks dat de gemiddelde Facebook-sessie 10 minuten duurt. Stelt u zich de verontwaardiging voor als deze zelfde bedrijven 24 uur per dag rechtstreeks informatie uit uw gedachten zouden verzamelen.
Vanwege deze reden is het niet zozeer de technische beveiliging van BCI's die het meest zorgwekkend zijn - aangezien deze apparaten zich ontwikkelen, zullen ook de beveiligingssystemen die zijn ontworpen om ze te beschermen, toenemen. Het is eerder het feit dat we nog geen systeem hebben om te beoordelen welke gegevens rechtmatig via deze apparaten kunnen worden verzameld, en om gebruikers hiervan op de hoogte te stellen.
Kortom
Het stellen van de vraag waarmee we begonnen zijn, is om de plank een beetje mis te slaan. De gevaren van BCI's zijn niet dat hackers kunnen binnendringen en uw diepste donkerste geheimen kunnen stelen. Het is dat wanneer deze apparaten eindelijk de reguliere consumentenmarkten bereiken, ze waarschijnlijk verbonden zullen zijn met technische ecosystemen die zijn gebouwd door Google, Facebook en Apple. Aangezien alle drie de bedrijven het grootste deel van hun inkomsten uit advertenties halen, is het niet moeilijk voor te stellen dat deze BCI's zullen worden gebruikt om gegevens te verzamelen met het doel op adverteren.
Misschien moeten we de vraag dan omdraaien. Als ethische hackers erin slagen de plannen en gedachten van technische leiders te stelen, bewijzen ze ons misschien allemaal een dienst.