Cybersecurity is systeemdenken
De cyberdreiging blijft ook in 2024 groeien. Zowel de gecompliceerdheid maar vooral de complexiteit van digitale infrastructuren is eigenlijk te groot geworden. In de wetenschap kan iets gecompliceerd zijn, zonder dat het complex is. Een recept van een ingewikkeld gerecht kan gecompliceerd zijn, maar als dezelfde stappen worden doorlopen, zal de uitkomst altijd hetzelfde zijn. Ook een vliegtuig en onze stroomvoorziening zijn gecompliceerd maar prima veilig te maken. Complexiteit is echter anders en heeft éen of meer ‘emergente’ eigenschappen. Dat wil zeggen dat het gedrag op een hoger systeemniveau niet eenvoudig uit het gedrag op lagere systeemniveaus kan worden afgeleid. Daardoor is het veel lastiger tot zelfs onmogelijk om complexe systemen veilig te maken. Dat is precies de uitdaging bij cybersecurity: het mag best gecompliceerd zijn maar nooit complex worden, omdat het daardoor onvoorspelbaar wordt.
Complexiteit is lastig te meten
Complexiteit is afkomstig uit het Latijn: Com+ plectere = samenvlechten. Het ‘aaneenvoegen’ van verschillende onderdelen tot een geheel. Zodra echter één of meer onderdelen ‘emergent’ gedrag vertoont, is dat gedrag niet goed of makkelijk meer te meten. Dit kan gebeuren als onderdelen niet-lineair relaties hebben of het systeem vertoont evolutie of is adaptief en verandert in de tijd. Of het systeem heeft veel diversiteit of zelfs pad-afhankelijkheden: als iets zich via een bepaald pad ontwikkelt, kan het niet meer ongedaan worden gemaakt. Een complex systeem is dus divers met veel onvoorspelbare (terug-)koppelingen waardoor uitkomsten onvoorspelbaar worden.
De ‘Complex System Theory’ is een relatief jonge tak in de wetenschap die zich vooral richt om emergent gedrag te bestuderen. Het woord emergent komt van het Latijnse emergere: laten opduiken of opdoemen. Gedrag dat ‘komt bovendrijven’ als gedrag van een lager systeem. Emergent gedrag herkennen we bij het bestuderen van schijnbaar onvoorspelbaar gedrag van zwermen vogels. Pas kort geleden werd duidelijk dat het hele gedrag van de zwerm verklaard kan worden door drie basis regels waar elke vogel zich aan houdt en die betrekking hebben op het in de gaten houden van vogels er direct eromheen. Ook mensen vertonen emergent gedrag zoals het plaatsnemen in een bus of het uitsterven van applaus. Gedrag dat een volgende keer ook anders kan zijn bij dezelfde uitgangssituatie.
Veiligheid en complexiteit
Een complex systeem heeft lastig voorspelbare (terug-)koppelingen waardoor uitkomsten snel onvoorspelbaar kunnen worden. Daarom mag de wereld van cybersecurity best gecompliceerd zijn, maar elke complexiteit – eigenlijk onvoorspelbaarheid – moet zoveel mogelijk worden geëlimineerd. Veel onderdelen maakt een systeem wel ingewikkeld, maar nog niet gecompliceerd. Pas als er (te veel) diversiteit, niet-lineariteit of pad-afhankelijkheden ontstaan, wordt iets complex. En dat betekend dat elk subsysteem zich per definitie dus volledig voorspelbaar moet kunnen gedragen. Elke oorzaak levert dan een voorspelbaar gevolg op, ook op een hoger niveau.
Biologische systemen zijn per definitie emergent: de bodem, een ecosysteem, een menselijke gemeenschap, zelfs de biosfeer in zijn geheel, inclusief het klimaat. Dat maakt dat wij er nooit controle over kunnen krijgen. Dat betekent andersom dat in veiligheidsketens menselijk gedrag zoveel mogelijk moet worden geweerd. Dus ook systeemgedrag dat ‘menselijk lijkt’, zoals adaptie en evolutie. Immers dan kan een systeem – onmerkbaar in de tijd – ander, niet verwacht gedrag vertonen en daardoor nieuwe en zelfs onbekende onveiligheden creëren. In dat kader is het gebruik van kunstmatige intelligentie in veiligheidssystemen ongewenst. Enerzijds willen we er onduidelijk of onbekend gedrag mee ontdekken, anderzijds kan het zelf nieuwe gevaren binnen het systeem creëren.
Veiligheid begint met authenticatie
Voor robuuste cybersecurity van de 21ste eeuw moet je niet alleen het netwerk beveiligen, maar ook de Endpoints en de toegang tot gezamenlijke Clouds. Ook moet de identiteit van gebruikers die toegang hebben tot het netwerk, applicaties en informatiesystemen worden gevalideerd. En het gedrag van elk subsysteem in het geheel moet vanzelfsprekend bekend en voorspelbaar zijn. Maar het vertrekpunt is toch precies te weten wie de gebruikers en andere functionele ‘aanwezigen’ in het systeem zijn, kunnen zijn en mogen zijn.
Veilige authenticatie is de eerste stap om gebruikers en derden een informatiesysteem binnen te laten komen. Het authenticatieproces moet niet centraal maar het liefst decentraal, encrypted, biometrisch en al op mobiele devices van de gebruikers plaatsvinden. Opdat, vóór iemand überhaupt enige toegang wordt verleend, al eenduidige en verifieerbare authenticatie heeft plaatsgevonden. Door dit ook nog per authenticatie, in de tijd onveranderlijk in een blockchain vast te leggen, kan geen hacker meer achteraf niet onwelgevallige detectie, tijdstip en/of registratie verwijderen. Zoals Digicorp Labs dat momenteel met DGMV-ID op de markt brengt.
Veiligheid is eindpunten kennen
In een informatiesysteem zijn de eindpunten het meest kwetsbaar. Zo is een printer een papieren output van een digitaal informatiesysteem waar heel veel informatie vaak ongezien het systeem kan worden uitgesmokkeld. Maar ook onverwacht toegang kan bieden aan hackers. Ook USB-sticks, attachments in emails en zelfs gelinkte files naar sociale media zijn exit-points van een informatie systeem. Eindpunten zijn vaak kwetsbare plekken waar men ‘ongezien’ en ‘onverwacht’ een systeem binnen kan glippen. Daarom zijn edge-devices in een decentraal netwerk belangrijke veiligheidsborgen.
Met informatie-diodes – licht gebaseerde data-overdracht via leds – kan eenrichtingverkeer worden gerealiseerd; data kan er wel in maar niet uit. Of andersom. Soms maken eenvoudige ontwerp-uitgangspunten een systeem wel iets meer gecompliceerd, maar vele malen minder complex. En daar zit nu juist de winst. In elke systeembenadering kijken we naar de oorzaak-gevolg relaties. Elke oorzaak levert een voorspelbaar gevolg op, mits we het systeem kunnen opsplitsen in goed gedefinieerde en voorspelbare subsystemen.
Tenslotte de cloud . . .
De cloud is natuurlijk het mooiste hapje van de hele digitale hackerswereld. Daar ligt alle data waar hackers zo verlekkerd naar kijken. Die je kan stelen, maar ook gijzelen, beschadigen of zelfs vernietigen. Zoals de oude kluizen zoals banken vroeger hadden. Eenmaal binnen, ligt alle data voor het oprapen. Daarom zien we her en der ook een teruggang ‘uit’ de cloud. Hemelse data weer terugbrengen naar veilige, bekende nodes op aarde, waar cruciale data ook nog eens fysiek verspreid over nodes kan worden opgeslagen. De nieuwe Web3 wereld: grids, nodes en endpoints en gecontroleerde peer-to-peer communicatie op basis van individuele authenticatie en zero-knowledge communicatie.
Apple heeft een trend ingezet om privacygevoelige data zoals medische gegevens niet meer in iCloud op te slaan maar direct op storage-chips op telefoon of watch. Gevoelige data niet meer centraal maar decentraal bewaren in per device encrypted formaat. Als je die wilt hebben, moet je weer per persoon gewoon gaan zakkenrollen om individuele data te stelen. Waarmee de inspanning om data te stelen vele malen groter, en dus oninteressanter wordt voor het dievengilde.
Ook decentrale werking als eindpunt in een woning – de slimme meterkast – wordt een realistische oplossing. Je huis als je eigen decentrale datacenter in alle privacy achter je eigen voordeur. Je eigen huis-cloud waarmee je gelinked bent met de smart city waar je woont. Je huis een eigen IP-adres waarmee slimme communicatie met straat, wijk en gemeente mogelijk wordt. En tegelijkertijd een extra beschermingslaag tegen cyber-aanvallen mogelijk wordt. Zoals data-diodes met gescheiden in- en uitgang en je personlijke datakluis achter je eigen voordeur. Net zoals vroeger met papieren informatie: decentraal, in eigen huis en kluis en niet inzichtelijk voor centrale organisaties.
Photo by Ricky Esquivel