'Toen ik voor het eerst de analyse van Herley en van Oorschot over de wetenschappelijke tekortkomingen in beveiligingsonderzoek las, viel het me op hoe goed hun kritiek overeenkomt met mijn eigen ervaringen uit de praktijk. En ik ben zelf geen onderzoeker, dat moet wel gezegd worden. Herley en van Oorschot laten zien dat veel van wat we traditioneel zien als "goede beveiligingsprincipes" gebaseerd is op beweringen die niet falsifieerbaar zijn, oftewel dat we ze niet echt wetenschappelijk kunnen toetsen (Herley & van Oorschot, 2018). De bewering "om veilig te zijn moet je X doen en Y gebruiken" klinkt eenvoudig. Maar zoals Herley en van Oorschot opmerken, weten organisaties zelden of nooit of X en Y echt noodzakelijk zijn, omdat niemand de toekomst kan voorspellen of weet welke technieken de aanvaller morgen zal gebruiken. (science-se...ag-jan2018, PDF)
Dit perspectief is essentieel. De cybersecuritybranche zit vol regels die meer voortleven uit traditie dan uit bewijs. Een treffend voorbeeld zijn wachtwoordregels. Jarenlang hielden organisaties vast aan complexiteitseisen, speciale tekens, cijfers en hoofdletters, ondanks dat latere empirische studies lieten zien dat deze eisen niet tot sterkere wachtwoorden leiden. Herley en van Oorschot wijzen hier juist op, hoe een hele sector beleid opstelde zonder te meten of het effect had (Herley & van Oorschot, 2018). Onderzoekers zoals Bonneau (2012), die meer dan 70 miljoen echte wachtwoorden analyseerden, toonden aan dat gebruikers in de praktijk willekeur vermijden en voorspelbare patronen creëren. Het waren niet de controles die faalden, maar de mensen. En die faalden niet door onwetendheid, maar omdat regels botsen met menselijk gedrag en cognitieve beperkingen. (science-se...ag-jan2018, PDF)
Hier ligt volgens mij de grootste uitdaging van cybersecurity als we echt veilige digitale ecosystemen willen bouwen. We proberen logische systemen te bouwen, maar geven die aan mensen die niet logisch functioneren. We schrijven rationele beleidsdocumenten, maar implementeren die in organisaties die worden geleid door tijdsdruk, stress, concurrentiedruk en cultuur. Het is niet de technologie die beveiliging moeilijk maakt, maar het menselijke aspect.
McLean (2018) maakt een interessante opmerking door te stellen dat beveiliging wel wetenschappelijk kan zijn, zolang we uitgaan van empirisch toetsbare voorspellingen. Als we bijvoorbeeld kunnen meten hoe snel een specifieke machine een bepaalde hash kraakt, kunnen we wetenschappelijk valide uitspraken doen over doorbraakcapaciteit (McLean, 2018). Naar mijn mening heeft hij daar gelijk in. Onder gecontroleerde en duidelijk gedefinieerde omstandigheden kunnen we zeer precieze metingen doen. (msp2018030006, PDF)
Maar beveiliging is zelden gecontroleerd. Het speelt zich af in complexe digitale ecosystemen waar gebruikers improviseren, aanvallers nieuwe methoden bedenken die inspelen op die improvisatie, leveranciers updates uitrollen, cybersecurity-niveau laag is en organisaties sneller veranderen dan we ondergoed wisselen. Dit web van technologie, cultuur, gedrag, psychologie en economische drijfveren staat ver af van de laboratoriumomgeving waar modellen werken.
Daarom kom ik steeds terug bij cyberpsychologie en de mens centraal. Hoe geavanceerd onze technische oplossingen ook zijn, ze zullen falen door menselijk gedrag als we niet ontwerpen voor mensen en hun werkelijkheid en dagelijks leven. Dit wordt keer op keer bevestigd in onderzoek naar veilig gedrag en succesfactoren in veilige digitale ecosystemen. Mensen nemen shortcuts bij hoge cognitieve belasting, als workflows botsen met beveiligingseisen of als technologie als obstakel voelt in plaats van ondersteuning (Furnell & Clarke, 2012). De mens is geen wrijving in het systeem, ze is het systeem.
Hoe bouwen we dan digitale ecosystemen die zowel wetenschappelijk onderbouwd als menselijk draaglijk zijn? Het korte antwoord is:door meetbaarheid (bewijs), een holistische benadering (allrisk) en acceptatie van "goed genoeg" (proportionaliteit).
De meest robuuste en volwassen organisaties die ik tegenkom zijn niet degenen met de meeste controles, dikste beleidsdocumenten of meest geavanceerde beveiligingsproducten. Het zijn de organisaties die gedrag meten, systemen als sociotechnisch beschouwen, accepteren dat beveiliging nooit perfect wordt en daarom inzetten op continuïteit, veerkracht en culturele volwassenheid. Ze werken bijna als onderzoekers: ze testen hypothesen, meten uitkomsten en passen de koers aan als de werkelijkheid verandert.
Dit sluit volledig aan bij wat Herley en van Oorschot vragen: beveiliging moet gekoppeld worden aan echte, observeerbare uitkomsten, niet aan abstracte aannames (Herley & van Oorschot, 2018). Het dreigingslandschap verandert, digitale ecosystemen veranderen, gebruikersgedrag verandert. Daarom moeten ook meetmethoden voor beveiliging veranderen. In dat proces ontstaat echte wetenschappelijkheid. (science-se...ag-jan2018, PDF)
Voor mij hangt dit ook samen met concurrentiekracht en bedrijfskritische veerkracht. Een bedrijf dat niet kan meten hoe snel het incidenten detecteert, hoe vaak gebruikers fouten maken, hoe lang herstel duurt of hoe effectief beveiligingsmaatregelen zijn, navigeert in het duister. Het maakt niet uit welke frameworks gevolgd worden of hoeveel er in technologie geïnvesteerd wordt. Wat niet gemeten wordt, kan niet verbeterd worden, en wat niet verbetert wordt snel een zwakke schakel.
Daarom geloof ik dat de toekomst van beveiliging niet draait om perfectie, maar om duurzame beveiliging. Duurzame technologie. Duurzaam gedrag. Duurzame processen. Duurzame cultuur. Duurzame concurrentiekracht. Systemen die "goed genoeg" zijn, niet omdat we genoegen nemen met middelmatigheid, maar omdat we bouwen voor de realiteit en niet het ideaal.
Want in werkelijkheid is cybersecurity geen framework, norm of standaard. Het is ook geen zwart-wit strijd tussen aanval en verdediging, ook al belanden we daar makkelijk in. Nee, cybersecurity is een dans tussen mensen, technologie en organisaties in synchronisatie en harmonie. Pas als we dat accepteren kunnen we digitale ecosystemen bouwen die echt werken. Echte veiligheid en zekerheid als een DNA.
Bronvermelding
Bonneau, J. (2012).De wetenschap van het raden: analyse van een geanonimiseerd corpus van 70 miljoen wachtwoorden. 2012 IEEE Symposium on Security and Privacy, 538–552.
Furnell, S., & Clarke, N. (2012).Kracht aan de mensen? De groeiende erkenning van menselijke aspecten van beveiliging. Computers & Security, 31(8), 983–988.
Herley, C., & van Oorschot, P. C. (2018).Wetenschap van beveiliging: theorie en meting combineren om het observeerbare te weerspiegelen. IEEE Security & Privacy, 16(1), 12–22.
McLean, J. (2018).Over de wetenschap van beveiliging. IEEE Security & Privacy, 16(3), 6–8
'
