Over dark cockpits en zero trust
Dark Cockpit is een luchtvaartconcept en betekent dat als alles in orde is en werkt zoals gepland en er, behalve instrumentverlichting, geen ander licht brandt. Je valt de piloot alleen lastig als er iets misgaat en inclusief de vermelding van de ‘rootcause’ van het probleem. Dit concept ontstond jaren tachtig toen het dashboard van vliegtuigen zo uitgebreid werd, dat de mens niet meer in staat bleek al die instrumenten te overzien. Dark cockpit is een ‘overlappende’ techniek, gebaseerd op de filosofie slechts informatie te verstrekken die direct is gerelateerd aan de actuele taak van een piloot. Deze ‘display by exception readout’ toont alleen een verschil tussen de werkelijke parameterwaarde versus de voorspelde waarde en de eerst verlangde actie. Bij brand in een motor gaan normaal gesproken vele alarmbellen af, die (vaak) allemaal het gevolg zijn van die ene gebeurtenis, maar slechts één actie van de piloot verlangen: (goedkeuring voor) het activeren van het brandblussysteem van die motor.
Donker als zwarte zwanen
Het concept van de dark cockpit zien we tegenwoordig op meer plaatsen waar systeem-management ingewikkeld wordt. Bespaar de energie van het management opdat zij optimaal kunnen presteren wanneer dat nodig is. Waarom vergaderen om te horen dat alles op schema ligt? Waarom overleg als het project op schema ligt? Deze praktijk heet ook wel Management by Exceptie (MbE). Een praktijk die bestuurders of werknemers in staat stelt onafhankelijker te werken en hen alleen te betrekken bij specifieke kwesties of ‘uitzonderingen‘ op normale operaties. In combinatie met Generative Artificial Intelligence (AI) wordt MbE een krachtig hulpmiddel voor zowel het optimaliseren van IT-operaties als de management overhead te minimaliseren. Zolang alles volgens planning verloopt, is geen directe actie vereist.
Echter systemen zijn altijd zelfsturend binnen de grenzen die zijn bepaald op de informatie en data die zij (kunnen) overzien. Uitdaging is altijd of de ontwerper alle mogelijke fouten en bugs die zouden kunnen optreden en tot handelen dwingen, heeft kunnen overzien: je weet nooit wat je niet weet, of kunt bedenken. De metafoor van zwarte zwanen: omdat in het westen nog nooit iemand een zwarte zwaan had gezien, bestonden die dus (!) niet. Tot een Nederlandse ontdekkingsreiziger in 1697 er één in Australië tegenkwam. De term ‘Zwarte Zwaan’ wordt sindsdien gebruikt voor onvoorziene gebeurtenissen en is door Nassim Talib in 2001 als theorie ontwikkeld. Talib definieert in zijn monografie “Silent Risk” het probleem wiskundig als “gedegenereerde metaprobabiliteit”, de essentie van de filosofie achter Bayesiaanse statistiek. De kansberekening van hypotheses: bewijsbare kansen dat iets mis kan gaan.
Donker is goed, totdat Murphy voorbij komt
De wet van Murphy stelt: “Alles wat fout kan gaan, zal fout gaan, en meestal op het slechtst mogelijke moment.” Vernoemd naar de Amerikaanse lucht- en ruimtevaartingenieur Edward A. Murphy Jr. na de analyse van enkele mislukte rakettesten rond 1949. Zijn frustratie bij versnellingstesten over een riemtransducer die niet goed functioneerde vanwege een menselijke fout in de bedrading van de rekstrookbruggen, zorgde ervoor dat hij opmerkte: “Als er een manier is om het verkeerd te doen, zal hij het doen” – verwijzend naar de technicus die de bruggen in het Lab verkeerd had aangesloten. Deze wet werd beroemd omdat hij daarna werd gebruikt in trainingsfilms van de Amerikaanse marine: ‘als een onderdeel verkeerd kan worden geïnstalleerd, zal iemand het ooit op die manier installeren’.
Deze onzekerheid – de we ook kennen van de montage van IKEA meubelen – zien we momenteel ook bij de zelfrijdende auto. Hoe fail-safe kun je techniek maken om bij onverwachte storingen of gebeurtenissen, toch in de meest veilige toestand terug te vallen. Het nooit verkeerd doen. Vergelijkbaar met de zero-trust ontwikkeling: niets vertrouwen dat niet actueel en actief is gecontroleerd. Het hoofdconcept achter het zero trust-beveiligingsmodel is “nooit vertrouwen, altijd verifiëren”, wat betekent dat gebruikers en apparaten nooit standaard vertrouwd mogen worden, zelfs niet als ze verbonden zijn met een netwerk met toestemming, zoals een bedrijfs-LAN, en zelfs als ze eerder geverifieerd zijn.
Wie controleert het zero-trust systeem?
Het concept van zero trust komt van het Russische spreekwoord: ‘vertrouw, maar verifieer’. De meeste Amerikanen hoorden voor het eerst van de uitdrukking toen Ronald Reagan deze ‘als grap’ tegen Michail Gorbatsjov uitsprak: noch de VS, noch de Sovjets vertrouwden elkaar immers ook maar in het minst. John Kindervag nam in 2009 deze uitspraak over voor de veiligheidswereld: vertrouw nooit iemand en verifieer altijd. In de Zero Trust-architectuur is het niet voldoende om vertrouwen tot stand te brengen zodra een gebruiker zijn identiteit heeft geverifieerd. Ook dient voortdurend te worden geïnspecteerd of er geen abnormaal gebruikersgedrag of verdachte gebruikersactiviteit plaatsvindt.
Maar net als het Dark cockpit concept geldt bij het zero-trust concept: ‘quis custodiet ipsos custodes? Oftewel wie controleert de controleur? In onze digitaliserende – en daardoor steeds virtueler wordende – wereld een steeds groter aandachtspunt. Niet alleen sterke identiteitsverificatie – wie mag wat – maar ook controle of het controlerende systeem nog steeds goed functioneert. Een onderdeel van procesgerichte kwaliteitsborging, waar ik eerder blogs aan wijdde: een proces is slechts te vertrouwen als het proces zelf ook continu wordt gecontroleerd en geverifieerd. In de geautomatiseerde productie vaak gerealiseerd door regelmatig ‘testproducten’ in het proces te initiëren: een ‘Proof of Work’ die elk apart en afzonderlijk door derden wordt gecontroleerd.
Blockchain-based Zero Trust Cybersecurity
Vanuit gegevensbescherming worden steeds vaker zero-trust principes toegepast, waarbij elk verzoek om toegang tot gegevens dynamisch moet worden geauthenticeerd en de minst bevoorrechte toegang tot bronnen moet worden gegarandeerd. Hoewel het zero trust proces zelf ook door regelmatige testen moet worden gecontroleerd, dient ook elke transactie te worden vastgelegd en terug-volgbaar te zijn. In de blog ‘Proof of Work: de ingebouwde audit’, beschrijf ik hoe hiervoor in toenemende mate de blockchain techniek op prima wijze kan worden gebruikt. Eenmaal weggeschreven data is niet te veranderen of te verwijderen, zeker niet als deze via unieke digitale vingerprints van hash en timestamp zijn weggeschreven.
In de gedistribueerde blockchain wordt het ‘Proof of Work’ gerealiseerd door een consensus mechanisme. De basis om de blockchain (ook) voor financiële transacties te gebruiken: hierdoor kan double spending bij peer-to-peer transacties worden voorkomen. Satoshi, de ontdekker van de blockchain en creator van bitcoin, vond met zijn PoW-concept de meest simpele manier voor digitale transparantie. Zijn bedachte digitale munt Bitcoin is zo simpel dat hij het in zijn whitepaper in slechts zes zinnen uitlegt. Het combineert ‘geld + boekhouding + verificatie door derden’ in één enkel software gebaseerd product. De combinatie van boekhouding én digitale transparantie én op nutsvoorzieningen gebaseerde garanties maakt blockchain een ideaal platform voor digitale transacties en digitale tokens.
Het concept van Blockchain-enabled Zero Trust Cybersecurity zien we opkomen: niet alleen zero-trust maar ook continue procescontrole en -registratie van dat zero-trust systeem zelf. Deze vorm van security kan niet alleen verdachte online transacties detecteren maar ook verbindingen isoleren en de toegang van de gebruiker beperken. Controle van de controleur, waarbij elke transactie en afwijking onwisbaar wordt vastgelegd en altijd terugvindbaar blijft. Full Stack Observability (FSO) om het systeem een grotere operationele veerkracht – resiliency – te geven. Het opzetten van FSO is complex, maar maakt systemen inherent veilig, betrouwbaar en – vooral – achteraf nazoekbaar. Het black-box principe: de grootste angst van elke hacker en fraudeur die immers niet alleen ongemerkt maar ook niet-navolgbaar hun ‘werk’ willen doen.
Photo by Vlad Sabila on Unsplash
——————— Translated bu ChatGPT ———————
From Dark Cockpit to Zero Trust
Dark Cockpit is an aviation concept meaning that everything is in order and functioning as planned, with no lights on in the cockpit except for instrument lighting. The pilot is only alerted when something goes wrong, and the root cause of the problem is provided immediately. This concept emerged in the 1980s when airplane dashboards became so complex that it was impossible for humans to monitor all the instruments effectively. Dark cockpit is an ‘overlapping’ technique, based on the philosophy of providing only information directly related to the pilot’s current task. This “display by exception readout” shows only the difference between the actual parameter value and the predicted value, along with the first required action. For instance, in the event of an engine fire, multiple alarms might go off, all stemming from the same incident, but requiring only one action from the pilot: approval to activate the engine’s fire suppression system.
Dark and Black Swans
The concept of dark cockpit is now being applied in other areas where system management becomes complicated. The idea is to conserve management’s energy so they can perform optimally when necessary. Why hold meetings just to hear that everything is on track? Why consult if a project is proceeding as planned? This practice is also known as Management by Exception (MbE). It allows employees to work more independently and involves managers only in specific issues or ‘exceptions’ to normal operations. Combined with Generative Artificial Intelligence (AI), MbE becomes a powerful tool for both optimizing IT operations and minimizing management overhead. As long as everything is going according to plan, no direct action is required.
However, systems are always self-regulating within the limits set by the information and data they can access. The challenge is whether the designer has anticipated all possible errors and bugs that might occur and force action; you never know what you don’t know or can’t foresee. The metaphor of black swans illustrates this: because no one in the West had ever seen a black swan, it was assumed they didn’t exist—until a Dutch explorer encountered one in Australia in 1697. The term has since been used for unforeseen events, and Nassim Talib developed this concept into a theory in 2001. Talib mathematically defines the problem in his monograph “Silent Risk” as “degenerated metaprobability,” which is at the core of Bayesian statistical philosophy—the probability calculation of hypotheses: provable chances that something might go wrong.
Dark is Good Until Murphy Comes Along
Murphy’s Law states: “Anything that can go wrong, will go wrong, and usually at the worst possible moment.” Named after the American aerospace engineer Edward A. Murphy Jr., this law emerged after analyzing some failed rocket tests around 1949. Murphy’s frustration during acceleration tests over a belt transducer that malfunctioned due to human error in wiring strain gauge bridges led him to remark: “If there’s a way to do it wrong, he will”—referring to the technician who had wired the bridges incorrectly in the lab. This law became famous because it was later used in U.S. Navy training films: ‘if a part can be installed incorrectly, someone will eventually install it that way.’
We see this uncertainty today in the development of self-driving cars. How fail-safe can technology be made to ensure that, in the event of unexpected failures or incidents, it can still revert to the safest possible state? This is comparable to the zero-trust development: trust nothing that hasn’t been actively and currently verified. The main concept behind the zero-trust security model is “never trust, always verify,” meaning that users and devices should never be trusted by default, even if they are connected to a network with permission, like a corporate LAN, and even if they’ve been verified previously.
Who Watches the Zero Trust System?
The concept of zero trust comes from the Russian proverb: “trust, but verify.” Most Americans first heard this phrase when Ronald Reagan jokingly said it to Mikhail Gorbachev: neither the U.S. nor the Soviets trusted each other in the slightest. John Kindervag adapted this saying for the security world in 2009: never trust anyone, and always verify. In the Zero Trust architecture, it’s not enough to establish trust once a user has verified their identity. It’s also necessary to continually inspect for abnormal user behavior or suspicious activity.
But just like the dark cockpit concept, the zero-trust concept raises the question: “Quis custodiet ipsos custodes?”—Who watches the watchmen? In our increasingly digital—and therefore increasingly virtual—world, this is becoming a more significant concern. Not only must strong identity verification—who is allowed to do what—be in place, but it’s also necessary to check whether the control system itself is still functioning correctly. This is a part of process-oriented quality assurance, which I have covered in previous blogs: a process can only be trusted if the process itself is continuously monitored and verified. In automated production, this is often realized by regularly initiating ‘test products’ within the process: a ‘Proof of Work’ that is individually and independently verified by third parties.
Blockchain-based Zero Trust Cybersecurity
In data protection, zero-trust principles are increasingly being applied, where every request for data access must be dynamically authenticated, and the least privileged access to resources must be ensured. Although the zero-trust process itself must also be regularly tested, every transaction must be recorded and traceable. In the blog ‘Proof of Work: the Built-in Audit,’ I describe how blockchain technology can increasingly be used effectively for this purpose. Once data is recorded, it cannot be altered or deleted, especially if it’s recorded with unique digital fingerprints of hash and timestamp.
In the distributed blockchain, ‘Proof of Work’ is achieved through a consensus mechanism. This is the foundation for using blockchain (also) for financial transactions: it prevents double spending in peer-to-peer transactions. Satoshi, the discoverer of blockchain and creator of Bitcoin, found with his PoW concept the simplest way to ensure digital transparency. His digital currency Bitcoin is so simple that he explains it in just six sentences in his whitepaper. It combines ‘money + accounting + third-party verification’ into a single software-based product. The combination of accounting, digital transparency, and utility-based guarantees makes blockchain an ideal platform for digital transactions and digital tokens.
The concept of Blockchain-enabled Zero Trust Cybersecurity is emerging: not only zero-trust but also continuous process control and registration of the zero-trust system itself. This form of security can not only detect suspicious online transactions but also isolate connections and restrict user access. It’s about controlling the controller, where every transaction and deviation is indelibly recorded and always traceable. Full Stack Observability (FSO) gives the system greater operational resilience. Setting up FSO is complex but makes systems inherently secure, reliable, and—most importantly—auditable afterward. The Black box principle: the greatest fear of any hacker or fraudster who wants to work unnoticed and untraceably.
