'De neiging is om te investeren in de digitale wapenwedloop'
Cyberbeveiliging zoals het nu gaat is ‘een beetje alsof je autorijdt door alleen in de achteruitkijkspiegel te kijken'.
Cyberaanvallen evolueren continu, dus moet de verdediging dat ook doen. Helaas zijn de investeringen van organisaties vaak statisch, ‘een beetje alsof je autorijdt door alleen in de achteruitkijkspiegel te kijken’, vindt Sander Zeijlemaker. Vorige week promoveerde hij aan de Radboud Universiteit met een onderzoek naar een dynamischere aanpak, die werkt met simulaties. ‘De best werkende oplossingen blijken niet altijd de meest voor de hand liggende te zijn.’
AL Waarom is de huidige aanpak van cyberbeveiliging alsof er alleen in de achteruitkijkspiegel wordt gekeken?
‘Het digitaal beveiligen van een organisatie is dynamisch en complex. De aanvallen ontwikkelen zich altijd: nieuwe methodes, nieuwe zwakheden. Maar standaarden of raamwerken om de verdediging op orde te krijgen zijn gebaseerd op normen uit het verleden. Met simulaties is het mogelijk om veel sneller te kijken naar wat er anders kan.’
Hoe zorgt dat voor verbetering?
‘Als mensen een besluit nemen over een moeilijk onderwerp dan maken ze een voorstelling van hoe ze de wereld zien. Op basis daarvan nemen ze een besluit. Maar omdat de wereld zo complex is, zien we niet altijd de neveneffecten van deze besluiten. Met een simulatie probeer je daarvan mensen bewust te maken.’
‘Als er bijvoorbeeld een securitymaatregel wordt genomen dan zal die onder meer gevolgen hebben op hardwareniveau, voor leveranciers en voor het personeel en dan heb je ineens een heel divers palet aan bedrijfskundige vraagstukken om te begrijpen. Deze complexe vraagstukken kun je wel met een simulatie aan.’
Voor deze aanpak moet men alle factoren in kaart brengen. Kan dat in het complexe geval van cybersecurity?
‘Laat ik het zo zeggen: volgens mij ben ik een heel eind gekomen bij dit onderzoek. Wat ik altijd doe is bij elkaar gaan zitten met bestuurders, managers en experts en dan vraag ik de groep: hoe zit jullie securitywereld in elkaar? Welke zorgen en welke factoren zijn relevant? Zo krijg je een gedragen consensus over het probleem. Want ken je het voorbeeld van de blinde mannen die een olifant proberen te tekenen?’
Waar we weinig zicht op hebben, is op zeldzame situaties en op de lange termijn
Leg het vooral uit.
‘Een groep blinde mannen probeert een olifant te tekenen, maar omdat die olifant zo groot is, voelen ze maar een deel. De één voelt de slurf en denkt dat het een slang is, de ander pakt een oor en zegt ‘ik heb iets van een vlieger vast’ en weer een ander voelt het been en zegt: ik sta tegen een flatgebouw. Niemand heeft door dat het een olifant is. Cybersecurity is mijn olifant. Mensen hebben een goed overzicht van de korte termijn. Waar we weinig zicht op hebben, is op zeldzame situaties en op de lange termijn. Het verslechteren van cybersecurity kan een project op de lange termijn zijn. Iedere dag 5 procent tekortkomen kun je lang volhouden voordat er significante problemen naar boven komen. Het probleem is dat die pas zichtbaar worden als de aanvaller al binnen is.’
Deze aanpak, systeemdynamica, wordt al gebruikt bij medisch onderzoek en duurzaamheid?
‘Ja. Wat ik een hele mooie vind is En-ROADS van Climate Interactive, wat is bedoeld om het effect van klimaatbeleid te bepalen. Als we voor klimaatakkoorden bij elkaar komen, bijvoorbeeld. Maar de techniek wordt nog nauwelijks gebruikt op securitygebied.’
Organisaties zullen hiervoor wel goed hun data moeten bijhouden.
‘Soms moet je datapunten inderdaad bijstellen of actualiseren, maar dat zijn parameters binnen het model dus dat is een beperkte inspanning. En soms moet je een stukje backtesting doen: wat het model voorspelt, klopt dat?’
En de toekomst is niet te voorspellen.
‘Ik kan niet aangeven welke aanvallen met welke technieken wanneer gaan plaatsvinden. Wat ik wel kan, is het verval van capabilities of de ontwikkeling van incidenten in kaart brengen.’
Kan dat bijvoorbeeld ook voor iets als de recente Log4j-kwetsbaarheden?
‘Het kenmerk daarvan is dat heel veel hardware en software gebruik maakt van Log4j. In een simulatie kun je meenemen wat het betekent als er zo’n aanval komt die overal bij kan – er waren honeypots die 1.000 aanvallen per seconde maten op het moment dat de kwetsbaarheid bekend werd. Wat betekent dat voor de organisatie? Hoe wordt die geraakt? Ik doe vaak gevoeligheidsanalyses en dan simuleer ik een patroon van een paar honderd willekeurige aanvallen. Ik kan de simulatie instellen op basis van het getroffen veiligheidsniveau. Dan kun je als-dan-simulaties doen, om uit te vinden wat er gebeurt als er op verschillende onderdelen verbeteringen worden doorgevoerd. Het zal geld kosten, maar zorgt het ervoor dat het aantal incidenten omlaag gaat?’
Wat komt er zoal uit?
‘Een heel interessant inzicht is bijvoorbeeld dat de best werkende oplossingen niet altijd de meest voor de hand liggende blijken te zijn. De neiging is om met de wapenwedloop mee te gaan en te investeren in techniek en meer mensen. Maar het is beter om te leren van aanvallen, te begrijpen wat je in huis hebt en na te bootsen, bijvoorbeeld met pentesten. En investeren in bewustzijn, niet alleen op operationeel maar ook op besluitvormend niveau. Wat zijn de consequenties van onze prioriteiten? Op die manier kunnen simulaties de bestaande methodes aanvullen.’
Plaats als eerste een reactie
U moet ingelogd zijn om een reactie te kunnen plaatsen.