Met behulp van Brain Computer Interfaces (BCI) hun je met je hersenen, in plaats van door spierbeweging, een apparaat besturen. Oorspronkelijk is deze techniek ontwikkeld voor mensen met een zware lichamelijke handicap. Zo kunnen zij met behulp van BCI bijvoorbeeld een email schrijven. Maar tegenwoordig wordt deze techniek ook gebruikt voor games, neurofeedback (om je hersenen te trainen) en zelfs neuromarketing (om de mate van interesse in en aantrekkelijkheid van een product te bepalen). Daar blijken bepaalde risico’s aan te zitten.

Hoe werkt BCI? Door een aantal elektroden op je hoofd te plaatsen (meestal een stuk of 20, maar er zijn al varianten op de markt met 2 elektroden die lijken op een koptelefoon) kunnen verschillende soorten hersengolven gemeten worden. Zo’n hersengolf geeft een indicatie van je alertheid, gespannenheid of concentratie.

Daarnaast kunnen zogenaamde ERP’s (Event Related Potentials) gemeten worden. Een ERP is een onderbewuste reactie van je hersenen op een gebeurtenis (ook wel stimulus genoemd). Hersenen reageren anders op een foto van een bekende dan op een foto van een onbekende, en dit is aan de ERP te zien. Ditzelfde geldt ook als je gevraagd wordt om aan een bepaalde letter te denken, terwijl verschillende letters op een beeldscherm voorbij flitsen. Dit principe wordt gebruikt door speciale software die letters projecteert en ERPs herkent om een email te schrijven zonder te bewegen.

Op een recent seminar vertelde Ivan Martinovic, een security onderzoeker uit Oxford, dat hier ook een aantal risico’s aan kleven. Ivan en zijn team lieten zien dat door de juiste stimuli te gebruiken, je met BCI een betere schatting kunt maken van iemands adres, geboortemaand, of de eerste cijfer van zijn PIN code.

Deze stimuli zouden verstopt kunnen worden in verder legitieme neurogame of neurofeedback applicatie. Door de stimuli slim te kiezen (of het ontwerp van de neurogame hier specifiek voor te ontwikkelen) hoeven ze niet speciaal als vreemd herkenbaar te zijn binnen de applicatie. Daarnaast bestaat wellicht de mogelijkheid om de afbeeldingen zo kort te tonen dat ze niet eens bewust waargenomen worden.

Zo zou dus, zonder dat je het zelf door hebt, deze game je hersenen kunnen ‘afluisteren’. En zou je in theorie je PIN code kunnen verraden. Voor de duidelijkheid: op dit moment is het slechts een theoretische mogelijkheid, en is het zeker niet zo dat alle vier cijfers van je PIN code met zekerheid te achterhalen zijn.

Maar stel dat de techniek zich verder ontwikkeld. Is hier dan wat aan te doen? Aan het ERP signaal kun je niet zien of het een reactie is op een goede of slechte stimulus op het beeldscherm. Daar kun je dus niet op filteren. Een soort firewall in de BCI zelf heeft dus weinig zin. Je moet dus de applicatie zelf controleren op deze verborgen, ongewenste, stimuli. Het kan echter heel goed zijn dat de neurogame tijdens installatie nog brandschoon is maar pas later geïnfecteerd wordt door dit soort malware. Een soort neurovirus dus.

Technieken vergelijkbaar aan virusscanners zijn wellicht toepasbaar, met alle voor en nadelen van dien. Maar ik ben benieuwd naar andere oplossingsrichtingen.

(Bedoelen ze dit nu met een “Taste of your mind“?)