Wie audit de auditor?

Beëdigen is het bekrachtigen van een functie door de afname van een eed of belofte. Hiermee is de persoon zich nadrukkelijk bewust van een bijzondere positie in de samenleving. We kennen de eed voor volksvertegenwoordigers en bestuurders. Maar ook de beroepseed voor notarissen, accountants of artsen (Hippocrates). Een plechtige verklaring dat men iets zal doen (of laten) of (niet) gedaan heeft. Op deze wijze kunnen we als maatschappij bepaalde beroepen1) en functies waarborgen geven. Ook voor archivarissen geldt een beëdiging: als vertrouwenspersoon en auditor de echtheid van documenten en geschriften vaststellen.
Digitaal auditen

Digitale auditing staat voor het gebruik van ICT bij accountantscontrole. Zowel het auditen mét ICT als het auditen van die ICT zélf. ICT is nog steeds een hulpmiddel om de kwaliteit en snelheid van auditen te vergroten op basis van elektronisch ontsloten data. Door de groeiende vastlegging van digitale data is digitaal auditen feitelijk een ‘sine qua non’ geworden: de mens kan die hoeveelheid data niet meer overzien en handmatig controleren. De IT-audit wordt digitaal uitgevoerd: het beoordelen van én de automatisering van de organisatie én de organisatie van de automatisering.

Digitale systemen auditen zichzelf steeds vaker. Hoe zelf-controlerend kan en moet een systeem zijn om de juistheid van transacties te verifiëren, opdat er redelijke zekerheid is dat transacties goed zijn uitgevoerd? Elke industrie kent het ontwerpprincipe van inherent veilige systemen, dat naast ‘selfchecking’ ook ‘failsafe’ is. Als een proces niet op de juiste wijze verder kan, valt het stil in een veilige stand. Het principe van gevaren vermijden in plaats van ze te beheersen. Blockchain-techniek maakt zelfcontrole zelfs inherent veilig: administreren gebaseerd op principes van cryptografie, decentralisatie en consensus zorgen voor vertrouwen in elke transactie.

Audit de auditor

Blockchain gebaseerde platformen auditen direct alle transacties, omdat door consensus het systeem de oorsprong van alle in omloop zijnde gegevens kent. En gebruikers in staat stelt om rechtstreeks met elkaar transacties uit te voeren, zonder een vertrouwde derde instantie. Maar hoe is de juiste werking van een transactie zelf gegarandeerd? Daar zien we het gebruik van smart contracts opkomen, die op een net zo ‘onaanpasbare wijze’ als de blockchain zelf, vastgestelde processen uitvoeren. Met de komst van ‘onfeilbare’ systemen verdwijnt dus de inhoudelijke auditfunctie zelf, maar de veel lastiger ‘audit de auditor’-functie komt hiervoor in de plaats.

Hoe kan men de geloofwaardigheid van wettelijke controles garanderen? Zodra er werkelijk fraude plaatsvindt, is de weg naar de rechter de juiste weg. Maar hoe weet men of de audit correct was? Hoe weet men dat er geen fraude was? Hoe weet men dat de kwaliteit van de uitkomst voldoende is en blijft? Hier zien we de opkomst van kunstmatige intelligentie (AI). Het bedrijf Certik is een blockchain-beveiligingstechnologiebedrijf en pionier op het gebied van blockchain-beveiliging. In 2018 opgericht door hoogleraren van Yale en Columbia University met als doel de web3-wereld te beveiligen Het gebruikt geavanceerde formele verificatietechnologie voor slimme contracten en blockchains. Het beschermt en bewaakt blockchain-protocollen en slimme contracten door gebruik te maken van de beste kunstmatige intelligentie (AI)-technologie.

Web3 security

Hoe veilig nieuwe techniek en systemen ook zijn, net als bij het auditproces is controle van die inherente veiligheid op zich een nieuw, complexer vraagstuk. Welke scams, hacks en fraude zijn in die nieuwe, veiliger wereld toch nog mogelijk? Een nieuwe wetenschap waar enorm veel research plaatsvindt, ontwikkelt zich razendsnel. Immers degene die het best de (nog) verborgen gevaren kent, kan zich het best beschermen in deze nieuwe virtuele wereld. Beveiliging is ook geen taak maar een continu on-going proces. De ironie van veiliger processen is dat áls het een keer misgaat, de gevolgen veel catastrofaler worden. Denk aan de veelvoudige veiligheid bij vliegtuigen: één van de meest veilige vervoersmiddelen. Maar als het misgaat, gaat het ook goed mis.

Dat is ook het gevaar in de groeiend veiliger virtuele wereld. We kunnen steeds beter controleren en dus garanderen dat alles goed gaat. Tot het – bewezen – één keer niet goed gaat. Beveiligings-professionals in de Web3-ruimte weten dat eenmalige audits geen garantie zijn voor veiligheid. Een dag na de audit kan kwetsbare code het project worden binnengebracht. Blockchain ecosystemen zijn anders dan de ons bekende applicatie en Web2 platformen. Er is veel meer verborgen complexiteit, zeker als projecten in verschillende ketens of crosschain zijn ontwikkeld. Door de grote decentrale impact kunnen simpele fouten tot catastrofale gevolgen leiden.  

Projecten in plaats van bedrijven

Blockchains zijn geen bedrijven maar communities die projecten uitvoeren. Elke community heeft een eigen cultuur en beveiligingsgemeenschap. Een eigen taal en kijk op de wereld. Dat maakt beveiliging in de Web3 wereld op dit moment zo complex. DAO’s kunnen uit drie personen bestaan, een heel ander perspectief dan onze bekende, georganiseerde bedrijven. Met een heel anders gedefinieerde beveiligingsruimte van ondernemingen dan we gewend zijn. Hoe brengt je de eigen interne bedrijfsveiligheid in balans met de veiligheid van een extern blockchainproject?

De fout is dat veel projecten ervan uitgaan dat ‘het wel veilig zal zijn’. We gebruiken immers encryptie; dus is het veilig. Dit onterechte gevoel geeft geen voeding aan een grote focus op veiligheid. En dat is de valkuil bij veel projecten die worden ontwikkeld. Weliswaar in het volle gezicht van het publiek, vrij te gebruiken voor iedereen, maar ontwikkeld met nog onvolwassen aandacht voor veiligheid. Veel projecten worden gemaakt tijdens hacketons of als bijbaantje van ontwikkelaars. Een vrije ruimte zonder vangrails, veiligheidsgordels, structuren en auditprocessen.

Meer volwassenheid nodig

Veel Web3 projecten zijn gekoppeld met de traditionele wereld, waardoor ook veiligheid een mengvorm van Web2 en Web3 wordt. Denk aan het gebruiken van NFT’s in een traditionele webapplicatie. Of een ingebouwde Web3 wallet in een browserextensie. We kunnen complexe financiële producten totaal anders dan ooit ontwikkelen. Dat maakt het fout-intensiever. Een makkelijker doelwit voor aanvallers. Omdat de blockchain niets vergeet, is de impact van hacks op een blockchain ook groter en onomkeerbaarder dan bij traditionele toepassingen.

Transparantie is één van de geweldige dingen van de blockchain-ruimte, maar je kunt niet zowel radicale transparantie als volledige veiligheid hebben. Dit werkt in een wereld waarin niemand kwaadaardig handelt. Die is er niet. Beveiligingsprofessionals kunnen blockchains niet meer negeren. De veiligheidsgemeenschap is daar nog relatief weinig bij betrokken geweest. Door de openheid van Web3 zullen projecten die gecompromitteerd zijn, doorgaans gedetailleerd worden beschreven. Vliegen is ook zo veilig geworden omdat de overheid openheid over ongelukken afdwong. Gelukkig heeft Web3 die openheid ingebouwd, waardoor ‘ongelukken’ die nog zeker veel zullen komen, voor iedereen ter lering beschikbaar komen. 

  1. Er is zelfs een lijst met alle beroepen die een erkenning van beroepskwalificaties vereisen. Dit betreft een minimum opleidingsniveau met gereglementeerde kwalificaties en beroepsregels opdat personen met gelijke opleidingstitels binnen de EU gelijke diensten kunnen verrichten (Richtlijn 2005/36/EG).

Photo by Dan Meyers on Unsplash