Security met stip bovenaan


Paul Ostendorf
Tekst Paul Ostendorf
De plaats die cyberveiligheid verdient. Bovenaan in ieder ICT-lijstje. Maar zover is het nog lang niet. Informatieverwerking raakt steeds dieper verweven met ons dagelijks leven. En voorlopig komt daar geen eind aan. Zowel voor het individu, als de samenleving en de economie is informatie van onschatbare waarde. En daarom is digitale beveiliging zo mogelijk van nog groter belang. Helaas is de perfecte oplossing een illusie. Wat je moet weten als hacker is online beschikbaar en nog gratis ook. De handel in phishing tools bloeit als nooit tevoren. Er is meer malware dan we weten. En met ransomware wordt nog altijd grof geld verdiend. Dat zijn echter bekende security problemen. En omdat we ze kennen, weten we er ook raad mee. En toch doen we er te weinig aan. Omdat we er onvoldoende geld voor uittrekken en niet goed samenwerken.

Beveiliging is geen product
De belangrijkste les in security: beveiliging is een proces en geen product! Het maakt niet uit hoeveel geld je uitgeeft. Goede beveiliging is niet iets wat je kunt kopen. Weliswaar zijn er vele producten en diensten die kunnen helpen bij het beveiligen van gegevens, software en apparatuur. Maar beveiligen is in de eerste plaats een manier van denken en handelen. Proactief. Een weg die je bewandelt. Een reis die begint met een bewustwordingsproces dat wordt ondersteund met de juiste middelen. En ja, goed opgeleide medewerkers die alles weten van de nieuwste methoden en technieken spelen daarbij een sleutelrol.

Digitale ongelijkheid
Alleen preventie is niet voldoende. Veel bedrijven ontdekken pas dat ze gehackt zijn als de gegevens op straat liggen of hun computers gegijzeld. De speltheorie leert ons dat er hier sprake is van incomplete informatie. Hackers en veiligheidsdiensten weten meer van beveiliging en lekken dan slachtoffers en benutten die voorsprong. Zij investeren in ruime mate in mensen en middelen om aan de benodigde informatie te komen. Maar veiligheidsdiensten zijn zelf ook regelmatig slachtoffer van een tekort schietende security - ironisch genoeg - en daardoor komt gevoelige informatie vroeg of laat op straat te liggen. Hackers zijn er dan als de kippen bij. Om die reden is het ook vragen om problemen als veiligheidsdiensten met de wet in de hand bedrijven kunnen verplichten om achterdeurtjes in hun systemen te bouwen. Dat is verreweg het slechtste idee aller tijden.

Waarom slaan bedrijven niet de handen ineen? Waarom richten ze niet zelf één groot Cyber Security Centre op waar de broodnodige informatie met alle betrokkenen wordt gedeeld. Met name met de leveranciers van ICT-systemen zodat die de lekken zo snel mogelijk kunnen dichten.
Kwantummechanica
Kwantummechanica is zowel een zegen als een vloek voor informatietechnologie. Het maakt kwantumcomputers mogelijk die werken met qubits. De kwantummechanische versie van klassieke databits. Ze functioneren op basis van begrippen uit de kwantummechanica zoals verstrengeling en superpositie. Daar heb je helemaal niets aan voor tekstverwerking of browsen. Maar het is het ei van Columbus als het gaat over oplossen van problemen met een hoge complexiteitsgraad. Zoals bijvoorbeeld het ontbinden van grote getallen in priemfactoren. Het zwaard van Damocles dat boven ons hangt. De beveiliging van informatiestromen gebeurt namelijk vaak met een techniek die staat of valt met de moeilijkheid om grote getallen in priemfactoren te ontbinden. Klassieke computers hebben daar een eeuwigheid voor nodig en daarom zijn versleutelde gegevens veilig. Maar een krachtige (lees: veel qubits) kwantumcomputer ontcijfert alles in een oogwenk. Dat maakt de bestaande encryptie in één klap waardeloos.

Gelukkig biedt diezelfde kwantummechanica ook de mogelijkheid van kwantumcryptografie. Een versleutelingstechniek die volgens wetenschappers niet is te verslaan. Iets dat volgens mij ook geldt voor het menselijk vernuft, maar dat terzijde. Data die met deze versleuteling wordt verzonden, is tijdens transport niet af te luisteren zonder dat de ontvangende partij dit direct detecteert. Maar bij aankomst moeten de gegevens opgeslagen worden. Dan vervalt iedere kwantum ‘zekerheid’ en wordt de ontvangende computer zelf ineens een aantrekkelijk doelwit. Dat zou ik als een security risk willen bestempelen.

Gedachten lezen
Onderzoekers maken gebruik van computers om fMRI scans van de visuele cortex te interpreteren. Een proefpersoon krijgt een afbeelding van een handgeschreven letter te zien en een neuraal netwerk moet door het interpreteren van de fMRI data van de visuele cortex dat beeld reproduceren. Onmogelijk? Nou, het werkt anders wel en het is met de nieuwste doorbraak (Deep Generative Multiview Model) nog akelig nauwkeurig ook. Computers die ‘meekijken’ in je hoofd? Dat is nog eens een uitdaging voor iedereen die zich met security bezighoudt.

Een donker geheim in het hart van A.I.
Het begon met simpele patroonherkenning. Maar al gauw kon je met kunstmatige intelligentie gezichten met feilloze precisie herkennen. De nieuwste algoritmen draaien hun hand niet om voor gezichtsuitdrukkingen en emoties. Empathische computers, wie had dacht gedacht? Het beste pokerface voldoet niet langer. Een A.I. kijkt ook naar hartslag, temperatuur, transpiratie, ademhaling, pupilgrootte, saccade en noem maar op. Niemand weet precies hoe de nieuwste A.I. algoritmen doen wat ze doen. Dat is behoorlijk eng. Want hoe gaan we om met machines die zowel onvoorspelbaar - we weten immers niet hoe ze werken - als meedogenloos rationeel zijn? A.I. is een tikkende security bom!

Neuronet
Mens v.s. machine is nog altijd een fascinerend onderwerp voor spannende films maar de werkelijkheid zal dichter bij mens machine liggen. Eens zullen we onze hersenen koppelen met computers. Een chip in ons hoofd die ons in staat stelt draadloos te communiceren met computers of met elkaar. Daar is dan geen mobieltje meer voor nodig. Een soort digitale telepathie. Of we implanteren een chip in ons hoofd om onze cognitieve vaardigheden te versterken. Dat moment is dichterbij dan menigeen denkt. Neuralink, het nieuwste zakelijke speeltje van Elon Musk, is een initiatief dat de koppeling tussen brein en computer onderzoekt. Als dit realiteit wordt zal het dramatische gevolgen hebben voor onze mentale privacy, cognitieve vrijheid, geestelijke integriteit en uiteraard onze psychische consistentie. Bent u er nog? Over security risks gesproken!

Kat en muis
Digitale veiligheid zal altijd een kat-en-muis-spel blijven. Maar de katten en de muizen moeten wel steeds slimmer worden om het spel goed te kunnen spelen. Een doorsnee kat en een gewone muis bakken er niets van. Daardoor blijven er uiteindelijk geen katten en muizen over om met elkaar te spelen. Het wordt te moeilijk voor ze. Is dat geruststellend? Nee, want we gaan gebruik maken van A.I. om ons te wapenen tegen de digitale gevaren. Dus straks speelt de ene A.I. tegen de andere A.I. En we weten nu al wie er dan wint.