English version: scroll down

Het menselijk lichaam leeft niet in een steriele omgeving. Integendeel, het is een rijk ecosysteem waarin bacteriën, virussen en micro-organismen voortdurend met elkaar in wisselwerking staan. Sommigen zijn nuttig, anderen potentieel schadelijk en toch functioneert het geheel zonder alles eerst buiten te sluiten. De kracht zit niet in isolatie, maar in het vermogen om onderscheid te maken tussen wat past en wat verstoort. Het immuunsysteem herkent geen namen of identiteiten, maar reageert op patronen, gedrag en afwijkingen van wat als normaal wordt ervaren.

Wat zich in het lichaam afspeelt, begint steeds meer te lijken op wat er in het digitale domein gebeurt. Het internet ontwikkelt zich tot een ecosysteem waarin uiteenlopende entiteiten naast elkaar bestaan en met elkaar interacteren. Mensen zijn daarin niet langer dominant; een groeiend deel van de activiteit wordt uitgevoerd door autonome agents die zelfstandig opereren. Deze bots bewegen zich moeiteloos tussen legitieme en kwaadaardige handelingen, waardoor een grijs gebied ontstaat waarin intentie moeilijk te duiden is. Volledige controle is daarmee een illusie geworden, net zoals volledige uitsluiting dat is.

Wie zich niet kan verdedigen, kan in zo’n omgeving nauwelijks nog functioneren. Net als in de natuur draait het daarom niet om het elimineren van alles wat potentieel schadelijk is, maar om het ontwikkelen van immuniteit. Het vermogen om te herkennen wat thuishoort en wat niet, wordt bepalend voor overleving. Zijn virussen als het ware ‘hackers’ die een cel binnendringen en daar de besturing overnemen, bots zijn net als bacteriën ‘kleine’ beestjes die zich in korte tijd exponentieel vermenigvuldigen zodra ze een ingang hebben gevonden. Daarmee verschuift de uitdaging van het sluiten van de poort naar het begrijpen van wat zich eenmaal binnen afspeelt.

De illusie van digitale identiteit

Het internet heeft een kantelpunt bereikt, niet omdat het aantal gebruikers blijft groeien, maar omdat de aard van die gebruikers verandert. Een aanzienlijk deel van het verkeer bestaat inmiddels uit bots die opereren met intenties die niet direct zichtbaar zijn. Wat zich aan de andere kant bevindt, is steeds minder een mens met een hulpmiddel en steeds vaker een autonome entiteit die leert, zich aanpast en zich kan voordoen als iets anders. Daarmee vervaagt het onderscheid tussen echt en onecht, tussen gebruiker en instrument. Tussen immaterieel en zelfstandig levend. 

Onze digitale infrastructuur is nog altijd gebaseerd op het idee dat identiteit vast te stellen en te vertrouwen is. Gebruikersnamen, wachtwoorden, tokens en API-keys zijn gebouwd rond de vraag of iemand is wie hij zegt dat hij is. In een wereld waarin identiteiten eenvoudig te kopiëren, te stelen of te simuleren zijn, verliest die vraag haar betekenis. Wat resteert is gedrag en de mate waarin dat gedrag consistent en verklaarbaar is binnen de context waarin het plaatsvindt. Vertrouwen wordt daarmee geen gegeven meer, maar een continu proces van verificatie.

Wat bij je aanklopt, kan zich telkens opnieuw uitvinden en aanpassen aan de omstandigheden. Het kan geloofwaardig lijken, zich correct gedragen en toch een andere intentie hebben dan het laat zien. De klassieke metafoor van de wolf in schaapskleren krijgt daarmee een nieuwe dimensie, omdat de wolf zich niet alleen vermomt, maar zich ook voortdurend kan herscheppen. Op machinesnelheid en op schaal wordt vertrouwen daarmee iets vluchtigs, iets dat telkens opnieuw moet worden opgebouwd en bevestigd.

Wat de natuur ons allang heeft geleerd

De ironie is dat dit geen nieuw probleem is, maar een bekende realiteit in een andere context. Het menselijk lichaam functioneert al miljoenen jaren in een omgeving waarin niet alles te vertrouwen is en waarin indringers voortdurend aanwezig zijn. We leven in een wereld met veel goede bacteriën en enkele slechte, die we moeten vermijden. Het natuurlijke systeem functioneert omdat het niet afhankelijk is van vaste identiteiten, maar van dynamische herkenning. Wat afwijkend gedrag vertoont, wordt gesignaleerd en, indien nodig, gecorrigeerd of verwijderd. Het systeem leert en past zich aan op basis van ervaring.

Het internet begint steeds meer op zo’n ‘levend’ systeem te lijken, waarin interactie de norm is en stabiliteit voortkomt uit adaptiviteit. Het is geen statisch netwerk meer waarin regels eenmalig worden vastgesteld, maar een dynamische omgeving waarin gedrag continu wordt geëvalueerd. In zo’n wereld verliest de vraag naar identiteit haar centrale positie en maakt plaats voor de vraag naar intentie en consistentie. Dat vraagt om een andere manier van denken over veiligheid, waarin niet de toegang centraal staat, maar het gedrag voor en vooral ná die toegang.

Het falen van de voordeur

Traditionele beveiliging is lange tijd gericht geweest op het bewaken van de toegang, alsof het internet een gebouw is met een duidelijke ingang. Authenticatie, loginprocedures en toegangscontrole vormen de eerste verdedigingslinie, maar die lijn blijkt steeds minder relevant. Moderne aanvallen vinden hun weg via routes die niet als ingang worden gezien, via API’s, backend-processen en interacties die op het eerste gezicht legitiem lijken. Ze gedragen zich volgens de regels en maken gebruik van dezelfde mechanismen als toegestane gebruikers.

Daarmee ontstaat een paradox waarin correct gedrag geen garantie meer is voor goede intenties. Als een entiteit zich houdt aan alle gestelde regels, maar dat doet met een ander doel dan waarvoor die regels bedoeld zijn, hoe onderscheid je dan nog het verschil? De voordeur blijft gesloten, terwijl de activiteit zich elders afspeelt, buiten het zicht van traditionele controlemechanismen. Beveiliging verschuift daarmee van het controleren van toegang naar het begrijpen van gedrag.

Digitale weerbaarheid als immuunsysteem

In een eerdere blog beschreef ik al dat digitale weerbaarheid begint waar soevereiniteit ophoudt. Wat toen nog impliciet was, wordt nu steeds zichtbaarder. Systemen moeten niet alleen bepalen wie er binnenkomt, maar vooral wat er gebeurt nadat die toegang is verkregen. Dat vraagt om een benadering die meer lijkt op een immuunsysteem dan op een slot op de deur.

Een dergelijk systeem bestaat uit lagen die elkaar aanvullen en versterken, waarbij identiteit slechts één van de factoren is. Gedrag, context en respons vormen samen een dynamisch geheel waarin afwijkingen worden herkend en geadresseerd. Reacties hoeven niet altijd te bestaan uit blokkeren; vertragen of isoleren kan effectiever zijn in het blootleggen van intenties. Het systeem wordt daarmee niet alleen verdedigend, maar ook lerend en adaptief.

Van “zero trust” naar “no permanent trust”

Concepten als Zero Trust markeren een belangrijke stap, omdat ze het idee loslaten dat vertrouwen vanzelfsprekend is. Tegelijkertijd blijven ze vaak impliciet uitgaan van een moment waarop vertrouwen kan worden vastgesteld. De werkelijkheid laat zien dat zo’n moment niet bestaat, omdat omstandigheden continu veranderen en gedrag zich aanpast. Vertrouwen is daarmee geen status, maar een tijdelijk oordeel dat voortdurend moet worden herzien. En net zoals eerdere ‘besmettingen’ en vaccinatie ons immuunsysteem leert om binnendringers vroegtijdig te herkennen, zou digitale vaccinatie een oplossingsrichting kunnen zijn: hoe herken je bekende ‘foute’ bots die jouw ecosysteem zijn binnengedrongen?

Elke interactie met een bot draagt bij aan het oordeel ‘goed’ of ‘fout’ en kan een gerichte afweer starten. Dat maakt veiligheid minder een kwestie van regels en meer van interpretatie, minder van afsluiten en meer van herkennen en begrijpen wat jouw ecosysteem is binnengekomen. Het vermogen om patronen te herkennen en afwijkingen te duiden wordt daarmee belangrijker dan het strikt handhaven van grenzen. Digitale vaccinatie zou wel eens een heel nieuw vakgebied kunnen worden.

Photo by Monstera Production

————————— Translated with ChatGPT  —————————

Living with Digital Bacteria

The human body does not exist in a sterile environment. On the contrary, it is a rich ecosystem in which bacteria, viruses, and microorganisms continuously interact with one another. Some are beneficial, others potentially harmful, and yet the system functions without excluding everything in advance. Its strength lies not in isolation, but in the ability to distinguish between what belongs and what disrupts. The immune system does not recognize names or identities, but responds to patterns, behavior, and deviations from what is considered normal.

What happens within the body increasingly mirrors what is unfolding in the digital domain. The internet is evolving into an ecosystem in which different entities coexist and interact. Humans are no longer dominant; a growing share of activity is carried out by autonomous agents operating independently. These bots move effortlessly between legitimate and malicious actions, creating a grey area where intent is difficult to determine. Complete control has become an illusion, just as complete exclusion is.

Those who cannot defend themselves can hardly function in such an environment. As in nature, survival is not about eliminating everything that may be harmful, but about developing immunity. The ability to recognize what belongs and what does not becomes decisive. If viruses can be seen as “hackers” that enter a cell and take over control, then bots resemble bacteria—small entities capable of multiplying exponentially once they find a way in. The challenge therefore shifts from closing the gate to understanding what happens after entry.

The Illusion of Digital Identity

The internet has reached a tipping point, not because the number of users keeps growing, but because the nature of those users is changing. A significant portion of traffic now consists of bots operating with intentions that are not immediately visible. What sits on the other side is increasingly not a human using a tool, but an autonomous entity that learns, adapts, and can impersonate something else. The distinction between real and artificial, between user and instrument, begins to blur.

Our digital infrastructure, however, is still built on the assumption that identity can be established and trusted. Usernames, passwords, tokens, and API keys are all designed to answer the question of whether someone is who they claim to be. In a world where identities can easily be copied, stolen, or simulated, that question loses its meaning. What remains is behavior, and the extent to which that behavior is consistent and explainable within its context. Trust is no longer a given, but a continuous process of verification.

What approaches your system can continuously reinvent itself, adapting to circumstances and appearing increasingly credible. It may behave correctly and still pursue a different intent than it suggests. The classic metaphor of the wolf in sheep’s clothing takes on a new dimension, as the wolf not only disguises itself but constantly reshapes its appearance. At machine speed and scale, trust becomes something fleeting—something that must be rebuilt and reassessed with every interaction.

What Nature Has Always Taught Us

The irony is that this is not a new problem, but a familiar reality in another domain. The human body has functioned for millions of years in an environment where not everything can be trusted and where intruders are always present. Yet the system does not collapse, because it does not depend on fixed identities, but on dynamic recognition. Deviating behavior is detected and, when necessary, corrected or removed. The system learns and adapts based on experience.

The internet is beginning to resemble such a system, where interaction is constant and stability emerges from adaptability. It is no longer a static network in which rules are defined once, but a dynamic environment in which behavior is continuously evaluated. In such a world, identity loses its central role, giving way to intent and consistency. This requires a different way of thinking about security, where access is no longer the primary concern, but behaviour before and especial áfter that access.

The Failure of the Front Door

For a long time, traditional security has focused on guarding access, as if the internet were a building with a clearly defined entrance. Authentication, login procedures, and access control form the first line of defense, yet this line is becoming increasingly irrelevant. Modern attacks no longer come through the front door, but through routes not designed as entry points—APIs, backend processes, and interactions that appear legitimate.

These interactions follow the rules and use the same mechanisms as authorized users. This creates a paradox in which correct behavior no longer guarantees good intent. If an entity complies with all defined rules, yet does so with a different purpose, how can intent still be distinguished? The front door remains closed while activity unfolds elsewhere, beyond the reach of traditional controls. Security shifts from controlling access to understanding behavior.

Digital Resilience as an Immune System

In an earlier reflection, I described how digital resilience begins where sovereignty ends. What was implicit then is now becoming increasingly visible. Systems must not only determine who enters, but especially what happens after access is granted. This requires an approach that resembles an immune system rather than a lock on the door.

Such a system consists of layers that reinforce one another, where identity is only one factor among others. Behavior, context, and response form a dynamic whole in which deviations are recognized and addressed. Responses do not always have to involve blocking; slowing down or isolating activity can be more effective in exposing intent. The system thus becomes not only defensive, but also adaptive and learning.

From “Zero Trust” to “No Permanent Trust”

Concepts like Zero Trust mark an important step, as they abandon the idea that trust is implicit. Yet they often still assume that trust can be established at a certain moment. Reality shows that such a moment does not exist, as circumstances continuously change and behavior adapts. Trust is therefore not a state, but a temporary judgment that must constantly be reassessed.

Each interaction contributes to that judgment and can either reinforce or undermine it. Security becomes less about enforcing rules and more about interpretation—less about exclusion and more about recognition and understanding. The ability to detect patterns and interpret deviations becomes more important than strictly enforcing predefined boundaries.

Living with Digital Bacteria

The comparison with bacteria and viruses is more than a metaphor; it is a way to understand the reality of the digital domain. We operate in an environment where not everything can be controlled and where presence does not automatically imply permission. Yet this does not have to be a threat, as long as the system can respond, learn, and adapt. Stability emerges not from rigidity, but from flexibility.

For digital systems, this means shifting focus from exclusion to coexistence, from blocking to managing. Bots will always be part of the ecosystem, just as microorganisms are part of nature. The question is not how to keep them out entirely, but how to prevent them from disrupting the system. That requires a mindset in which uncertainty is not a problem to eliminate, but a condition to work with.

In the end, one question remains. If identity is fluid, behavior can be manipulated, and intent remains hidden, the traditional question of who someone is loses its meaning. What replaces it is a continuous process of verification and interpretation—not merely as a technical exercise, but as a fundamental design principle for everything digital. That may well be the defining challenge of the next phase of the internet.

#DigitalIdentity, #CyberSecurity, #AIAgents, #ZeroTrust, #DigitalResilience, #CyberDefense, #APIsecurity, #AIsecurity