De rol van de mens bij cyberveiligheid
De mens wordt, met al z’n onvermijdelijke fouten, dikwijls aangewezen als de zwakke schakel in de cyberweerbaarheid van een organisatie. Moet je de mens weerbaarder maken of een zelfsturend systeem aan de knoppen zetten? De meningen verschillen.
Door Tom Reijner
Beeld Shutterstock
Als een organisatie in de problemen komt door een cyberaanval, komen ITspecialisten meteen in actie. Liever zorgen we ervoor dat cyberaanvallen afgewend worden. Medewerkers worden vaak aangewezen als de probleemveroorzakers. Fouten maken is immers menselijk, maar bij een cyberaanval of datalek kan zoiets zeer grote gevolgen hebben. De rol van de mens binnen cybersecurity en weerbaarheid ligt daarom steeds meer onder een vergrootglas. Moet je de competenties van medewerkers versterken door (verplichte) bijscholing, of moet je de menselijke factor uitschakelen met de inzet van autonome systemen?
Autonome systemen
Voor Berry Vetjens, marktdirecteur ICT, Strategy and Policy bij TNO, is die vraag inmiddels eenvoudig te beantwoorden. Samen met collega-onderzoekers publiceerde hij vorig jaar oktober een position paper over de noodzaak van zelfhandelende en sturende systemen die de taken van de mens, bijvoorbeeld in een Security Operations Center van een organisatie, grotendeels kunnen overnemen, veelal op basis van kunstmatige intelligentie. Volgens hem hebben we, gezien alle dreigingen, geen keus.
“Kwaadwillende personen hebben AI-systemen volledig omarmd en vormen daarmee een enorme bedreiging. We moeten met hen de strijd aangaan, of we dat nu willen of niet.” Daarbij kampen we met een tekort aan cyber- en IT-experts, dat de sector echt parten speelt. Vetjens: “Dat is structureel. Niet alleen in Nederland, maar wereldwijd. Dat lost zich niet zomaar op, dus zul je moeten kijken hoe je deze cruciale processen minder afhankelijk maakt van mensen.”
“Mensen hebben vaak geen enkel idee wat er aan de achterkant van het digitale domein gebeurt”
Gradaties
Het beoogde systeem kan gevaren, zoals een grootschalige hackpoging, in een vroeg stadium detecteren. Vetjens vertelt hoe zo’n zelfdenkend systeem kan werken. “Je hebt hierin een aantal gradaties: je hebt het inschatten van gevaar en vervolgens de vraag wat we erraan gaan doen. Die detectie zou je, in het meest extreme geval, volledig kunnen overlaten aan een zelfdenkend en autonoom systeem. Het systeem bepaalt vervolgens wat de beste strategie is om de dreiging te neutraliseren. Maar je kan er ook voor kiezen om de menselijke factor bij deze stappen te behouden, wellicht in een soort toezichthoudende rol. Het is dan ook een beetje trial and error,” aldus de TNO-directeur.
“We moeten stapsgewijs onderzoeken hoe we deze autonome systemen kunnen inzetten, wat we verantwoord vinden en wat de rol van de mens hierin is. Ik wil deze niet bij voorbaat uitvlakken.”
Veilig gedrag
In deze TNO-visie komt de mens naar voren als de complicerende factor. Daar denkt Bart Pieters, adviseur informatiebeveiliging en privacy op het ministerie van Binnenlandse Zaken, anders over. Hij gelooft in een positieve benadering. “Als je medewerkers op het hart drukt dat ze de goede dingen kunnen doen, gaan ze daar ook naar handelen. Dan geef je hen vertrouwen.” Tegelijk, erkent Pieters, hebben mensen vaak geen enkel idee wat er aan de achterkant van het digitale domein allemaal met hun data gebeurt. “Het is goed als we daar verandering in brengen.”
“In het hoofdlijnenakkoord van het nieuwe kabinet wordt AI nauwelijks genoemd, laat staan cyberveiligheid”
Basisopleiding
Binnen CIO Rijk tuigt hij, met collega’s, momenteel een basisopleiding digitale weerbaarheid op. Het stimuleren van veilig gedrag is de sleutel: “We werken hier met gevoelige gegevens. Het is belangrijk dat medewerkers hiervan doordrongen zijn. Burgers en maatschappelijke organisaties verwachten dit ook van ons.” Voor Pieters is de mens de sterkste schakel. “De medewerkers maken de overheid. We hebben dus iedereen nodig om verdachte zaken, zoals het openen van phishing mails, te herkennen.” De basisopleiding is daarom ook verplicht. “Vrijblijvendheid werkt niet. Digitale weerbaarheid is zo belangrijk voor de organisatie dat dit aan de basis moet staan van elk proces dat je uitvoert.”
Wettelijke beperkingen
Hij denkt dat AI-systemen goed kunnen helpen, maar tegelijkertijd is hij er ook van overtuigd dat je er nooit helemaal op kunt vertrouwen. AI-systemen zullen het dus niet zomaar overnemen. “Ten eerste is technologie vaak voorspelbaar. De aanvallende partij kan door trial and error proberen erdoorheen te komen, omdat het een aantal verdedigingspatronen herkent. En ten tweede loop je tegen een aantal wettelijke beperkingen aan over geautomatiseerde besluitvorming. Daar zitten nu eenmaal grenzen aan.” Daaraan gekoppeld heb je de ethische kant, zegt hij. “We weten dat algoritmen bias met zich mee kunnen brengen. Het zijn immers mensen, met al hun vooroordelen, die deze algoritmen voeden.”
Vetjens pleit, tot slot, voor een maatschappelijk debat over cybersecurity en de inzet van AI. “Maar ik weet ook, realistisch gezien, dat dit ijdele hoop is. In het hoofdlijnenakkoord van het nieuwe kabinet wordt AI nauwelijks genoemd, laat staan cyberveiligheid. Terwijl we echt alle zeilen bij moeten zetten. We hebben geen tijd te verliezen.”