Mens versus machine?

Bibi: “Tien jaar is voor een domein als cyberspace eigenlijk te lang. Daarvoor gaan de ontwikkelingen simpelweg te snel en zijn de veranderingen te groot. Ik kijk daarom vaak nog maar een jaar of twee vooruit.”

Diederik: “Interessant dat je dat zegt: wij hebben het NCSC Cyberkompas ook bijgesteld naar twee jaar.”

Statelijke actoren en dreiging door content

Bibi: “Het is heel lastig te voorspellen welke nieuwe ontwikkelingen er rondom cyberspace optreden, en welke veiligheidsvraagstukken die ontwikkelingen oproepen. Zo stond Facebook tien jaar geleden nog in de kinderschoenen en hadden we niet kunnen voorzien dat statelijke actoren op grote schaal social media zouden misbruiken om verkiezingen in andere landen te beïnvloeden. De wijze van inmenging in de Amerikaanse presidentsverkiezingen van 2016 heeft iedereen verrast, zelfs de meeste experts. Alle ingrediënten waren al jaren aanwezig, maar niemand had voorzien dat ze door statelijke actoren op deze schaal en met deze impact zouden worden ingezet. Dreiging van statelijke actoren staat nu met stip op nummer 1.”

Diederik: “Ook de aard van de dreiging is veranderd. Cybersecurity is met name gericht op het beschermen van systemen, terwijl het probleem van statelijke dreigingen, naast sabotage en spionage, ook op het niveau van content zit. We hebben bijvoorbeeld nog geen systemen die deepfakes en gemanipuleerde teksten kunnen herkennen. Daar is dus werk aan de winkel.”

Bibi: “Door de complexiteit van veiligheidsrisico’s in cyberspace denken mensen vaak dat het een soort Wilde Westen is. En dat het eerder slechter wordt dan beter. Zowel individuele gebruikers als groepen, organisaties en statelijke actoren bekijken wat de grenzen in cyberspace zijn. Hoever kunnen we gaan? De grenzen van vrijheid van meningsuiting worden opgerekt, maar ook die van privacy en gegevensbescherming. Zelfs rondom oorlog en vrede.”

Robotisering / Mens of machine?

Diederik: “Een andere belangrijke trend is robotisering van werk- en productieprocessen. Daardoor komt de mens steeds verder af te staan van het proces en verliest hij er de controle over. Analoge alternatieven voor bepaalde processen verdwijnen, omdat onderhoud te veel geld kost. Als zich dan een storing of incident voordoet, zijn er geen alternatieven en weet niemand meer wat hij moet doen. Zo was er een paar jaar geleden een grote elektriciteitsstoring in Oekraïne, waarschijnlijk door een hackaanval. Doordat ze daar nog werken met oude systemen, konden ze dat handmatig oplossen: ze stuurden gewoon een hele groep mensen op pad om handmatig schakelaars om te zetten. Dat kan in Nederland steeds minder.”

Bibi: “Dit is waarom ik dit thema zo interessant vind. We hebben vijftien jaar geleden alles wat we maar konden verzinnen aan het internet gehangen vanuit efficiëntie overwegingen. Gas, water, licht, infrastructuur, zorg, banken, noem maar op. Inmiddels zijn we erachter dat efficiëntie ook een prijs heeft, namelijk veiligheid. Zo heeft Rijkswaterstaat een aantal jaar geleden heel veel kunnen bezuinigen door brug- en sluitwachters te vervangen door een computersysteem. Maar als Rijkswaterstaat bruggen en sluizen op afstand kan bedienen, kunnen anderen dat ook. Dat die veiligheidsrisico’s er zijn, wordt niet altijd snel genoeg erkend. Dat gebeurt niet alleen in Nederland, maar ook op andere plekken.”

Diederik: “Het automatiseren van bruggen en sluizen betekent ook dat een mens niet meer ziet wat er voorbij komt varen. Er wordt dus minder gemonitord en gesignaleerd. Dat kunnen we uiteindelijk ook wel weer technisch oplossen, maar daar is van tevoren wellicht te beperkt over nagedacht.”

De categorie ‘Oeps!’

Bibi: “Er wordt veel overheidsbeleid gemaakt gericht op kwaadwillende, intentionele dreigingen, zoals cybercrime en statelijke inmenging. Maar we zien ook in toenemende mate incidenten in de categorie ‘oeps!’. Dan ligt een heel systeem eruit door een menselijke fout of een systeemfout. Dit is het gevolg van hoe complex we de wereld hebben gemaakt. Daar zullen we gezamenlijk aan moeten wennen, dit blijft gebeuren.”

Diederik: “Honderd procent veiligheid bestaat niet.”

Bibi: “Hoe groot het probleem van menselijke fouten en technisch falen is, werd tot voor kort niet gestructureerd in kaart gebracht. Daarom zijn wij op de universiteit bezig met het opzetten van een monitor. Onze voorlopige conclusie: het is geen onaanzienlijk probleem.”

Diederik: “Vanuit het NCSC zijn we daar heel blij mee. We moeten dit soort dingen echt weten. Onze middelen en mankracht zijn beperkt, daarom is een goede samenwerking met wetenschap en bedrijfsleven essentieel. Hier komen bijvoorbeeld een product als het Cyberkompas uit voort. Deze tool helpt organisaties te bepalen met welke factoren zij rekening moeten houden bij de inrichting van hun cybersecurity.”

Samenwerking

Bibi: “Als zich een incident voordoet, is er veel samenwerking en gevoel van urgentie. Maar we moeten ook kijken naar hoe organisaties op structurele wijze omgaan met cybersecurity. Veel bedrijven in Nederland hebben wel een Chief Information Security Officer (CISO), maar de securityafdeling wordt vaak gezien als een stel vervelende horzels. Mensen die zich binnen de organisatie druk maken over veiligheid belemmeren vaak in de ogen van werknemers het primaire proces, zoals het leveren van een dienst of het verkopen van een product. Ze zeggen steeds wat er niet mag of kan. Maar veiligheid hoort eigenlijk tot in de haarvaten van de organisatie en bij elke handeling een natuurlijk onderdeel te zijn. De CISO moet daarom ook onderdeel zijn van de board, anders heeft het geen enkele zin en blijft cyber security de status van vervelende add-on houden.”

Diederik: “De CISO heeft legitimering nodig. De AVG heeft ervoor gezorgd dat de Data Protection Officer serieus wordt genomen binnen organisaties. Zoiets zou op dit thema ook kunnen helpen. Vanuit het NCSC bieden we CISO's de juiste handvatten om die rol te versterken. Zo hebben we recent een blog over informatiebeveiliging gepubliceerd en brengen we regelmatig allerlei adviezen, factsheets en white papers uit.”

De eindgebruiker en de EU

Diederik: “Nog iets wat niet klopt: de eindgebruiker wordt verantwoordelijk gehouden als iets niet goed werkt. Als je een boormachine koopt, zitten daar allerlei keurmerken aan. Die vliegt niet zomaar in de fik.”

Bibi: “Maar als je een app downloadt, zijn die garanties er niet vanzelf. Als je een router, zonnepaneel of babyfoon koopt die zo lek is als een mandje, zeggen we: domme eindgebruiker. Dan had je het wachtwoord maar moeten veranderen en betere spullen moeten kopen. Maar waarom mogen producten zonder veiligheidskeurmerk op het terrein van software de markt op? Het lijkt soms wel dat er een groot incident nodig is om de boel wakker te schudden. Dat wil je natuurlijk niet. Er is meer aandacht nodig vanuit de politiek.”

“Op Europees niveau zien we gelukkig beweging ten aanzien van regulering. En dat heeft effect. Want wat de EU als wet- en regelgeving ontwikkelt, wordt vaak internationaal opgepakt als wereldstandaard. Bijvoorbeeld social media bedrijven die EU regels globaal toepassen op het gebied van privacy en gegevensbescherming. In dit geval ligt oplossing niet in technologie maar in daadkrachtig openbaar bestuur. The Brussels Effect noemen we dat. Het is misschien een onbedoeld effect van reguleren van de Europese markt, maar daar moet je gebruik van maken. Juist op dit vlak heeft de EU wereldmacht.”