13 juli 2009

IBM heeft software ontwikkeld die op schermniveau gevoelige data herkent en maskeert. Het voordeel is dat het gegevens beschermt uit een grote hoeveelheid verschillende systemen. De software onderschept de datastroom naar het scherm en 'ziet' deze als een afbeelding. Het systeem herkent de aanwezigheid van geclassificeerde informatie door onder andere OCR (Optical Character Recognition). Daarna controleert het of de persoon die is ingelogd, wel recht heeft op het inzien van de gegevens. Indien nodig worden deze op het scherm afgedekt. Het systeem heet Masking Gateway for Enterprises (MAGEN). Het voorkomt dat onbevoegden toegang krijgen tot informatie die in systemen is opgenomen en waartoe de betreffende medewerker geen toegang toe heeft. Ook kan het helpen bij uitbesteding van het onderhoud aan systemen met gevoelige data. MAGEN geeft de medewerkers van de betreffende diensteverlener wel toegang tot de systemen maar voorkomt dat deze de informatie kunnen misbruiken. De grote innovatie aan het systeem is juist het optische element. Feitelijk neemt de software een foto van de scherminformatie, en herkent de verschillende velden die in het vervolg eventueel gefilterd kunnen worden. Beheerders kunnen van tevoren regels instellen welke data voor wie verborgen moet blijven, en vanaf dat moment wordt alle data die op zo'n manier grafisch wordt weergegeven eruit gelicht en gemaskeerd.

Zo kan het bijvoorbeeld dat een medewerker van een callcenter wel de naam en adres van een klant op zijn scherm krijgt, maar bijvoorbeeld niet de creditcardgegevens. Andere voorbeelden van applicaties kun je vinden in de verzekeringsbranche en de zorg. In plaats van die gegevens ziet de gebruiker een uitgewist veld, of een veld met willekeurige karakters. Het is niet het enige project op het gebied van privacy waar IBM mee bezig is. Het bedrijf werkt ook aan homomorfische encryptie, het wijzigen van versleutelde gegevens zonder dat ze hoeven worden ontsleuteld. MAGEN is voorlopig alleen nog maar een proof of concept, dus het duurt nog wel even voordat het daadwerkelijk terugkomt in een product. 'MAGEN works at the screen level by ‘catching’ the information before it hits the screen, analyzing the screen content, and then masking those details that need to be hidden from the person logged in. The major novelty lies in architecting a single system that handles a wide range of scenarios in a centralized and unified manner', zo stelt IBM's Sara Porat van IBM's Haifa Research Lab hier. 'MAGEN does not change the software program or the data — it filters the information before it ever reaches the PC screen — and does not force companies to create modified copies of electronic records where information is masked, scrambled, or eliminated'. Porat geeft een 'example of a MAGEN application a healthcare firm that outsources customer service and claims processing functions to a third-party. Although private medical information in the patient records can’t be shared with the contractors, customer service representatives need access to patient records.  In these kinds of cases, MAGEN can hide private information so that it never appears on the agents’ screens. Or, it can partially hide data, such as for the screens of call center customer service representatives, who only need enough identifying data to access, confirm or update an account'. IBM is niet de eerste leverancier die dit soort gegevensmaskeringstechnologie ontwikkelt: Camouflauge Software, Oracle en DataGuise, bijvoobeeld, verkopen alle dit soort tools om gegevens onzichtbaar te maken. Maar Porat zegt dat IBM's 'approach is different in that it doesn't make copies of the data and remove certain elements of it depending on who will be viewing it and their user rights to the data'. 'MAGEN provides a common solution for all applications, regardless of their operating system and communication protocols', zo zegt Tamar Domany, project leider in het Haifa Lab. 'The solution is completely generic and can be used with any data, any application, and for different levels of authorization. The enterprise application continues to run on a main server, and a MAGEN server is added to the network either remotely or locally — it makes no difference. The MAGEN server provides a console where the administrator can configure rules about which screen information should be filtered, how it should be filtered, and for whom'.