Voorafgaand hieraan sprak Mirna Bognar, lid van de ISACA NL Review Board, met Peter over zijn werk aan de Hogeschool. Wat volgde was een levendig gesprek vol herkenning voor beiden over security pathways, shared risk management en Peters streven naar een ‘shared mental model’ in ketens. Maar ook over cyber shame, nieuwe visies op security en riskmanagement en over de Cyber Security Index die Peter met zijn studenten wil opzetten.
OVER PETER
Mirna: ‘Laten we beginnen met een introductie. Wie is Peter?’
Peter glimlacht: ‘Ik heb altijd het kind in mij levend gehouden: de attitude van een nieuwsgierige, intelligente tienjarige, die de wereld ziet als een complex maaruitdagend avontuur. Ik heb verder een multiculturele achtergrond. Mijn opa studeerde aan de Technische Universiteit in Bandung. Mijn vader heeft me heel vroeg op de weg gebracht van da Vinci’s homo universalis, de generieke wetenschapper, vanuit de oorspronkelijke traditie van wetenschap: de wetenschapper die geinteresseerd is zowel in kunst, sport, spel, theater als in alle takken van de boom van kennis.’ Hij herkent zich verder veel in hoe de Franse wis- en natuurkundige Blaise Pascal zichzelf omschreef. ‘Aan de ene kant ben ik net als Pascal geïnteresseerd in de l’esprit de géométrie’. Ik probeer de wereld ook te begrijpen via de mathematische kant, via de wiskunde. Ik kon vroeger bijvoorbeeld helemaal opgaan in schaken. Maar dan dacht ik ook wel weer meteen: ‘Wat heb je er eigenlijk aan?’. Dan komt de menswetenschapper in mij naar boven, die meer de betekenis zoekt, de diepgang. Dat is de l’esprit de finesse van Pascal. Beiden hebben me mijn hele leven geïntrigeerd.’’
Ik werkte bij cognitieve psychologie. Samen met de faculteit wiskunde met o.a. Jan Treur en anderen zetten deze twee faculteiten vanaf de jaren ’90 AI op de kaart bij de Vrije Universiteit in Amsterdam. ‘Dit was nog in de tijd dat we vooral dachten het hele brein te modeleren met de generieke AI, zegt hij. ‘Sindsdien heb ik me gespecialiseerd in besluitvorming en vergissen en beslissen, in vraagstukken rond menselijk falen en systeemergonomie, in vragen rondom de regel en de realiteit. Of dat nou op juridisch vlak is, in de engineering, cognitive science of in de sociologie. Bij de VU en TU Delft heb ik ontdekt hoe het co-creëren en het in kaart brengen van ‘security pathways’ een heel belangrijke lijn is.’
OVER DE HAAGSE HOGESCHOOL EN HET CYBERSECURITY LIVING LAB
Mirna: ‘Wat biedt de omgeving van de Haagse Hogeschool jou, met deze achtergrond, zodat je je vrij kunt ontplooien?’
Peter: ‘Net als Stanley Hall, de aartsvader van de American Psychological Association, geloof ik dat wetenschappers absoluut vrij moeten zijn om hun potentie volledig te kunnen ontwikkelen. En vrij zijn om hun mening te uiten. Soms kan dit op een klein specifiek gebied zijn. Soms kan het breed zijn. Maar we moeten omgevingen hebben waarin vrije wetenschap mogelijk is.’ Bij de Haagse heb ik ruimte gekregen om vrije toegepaste wetenschap te ontwikkelen voor risk management en cybersecurity.
Peter is hierbij geïnteresseerd in twee wetenschappelijke benaderingen. Aan de ene kant die van Descartes. ‘Descartes zei: ‘Pas als je iets weet, dan kun je het maken.’ Je focust dus op de deductie, op de theorievorming en de methode. Aan de andere kant is daar Vico. Hij zei: ‘Pas als je iets gemaakt hebt, dan weet je iets.’ Precies omgekeerd dus. Die spanning vind ik interessant en heel belangrijk.
Wat gaan we maken? Wat levert dat op? Waneer weet je iets echt? In de weg hiernaartoe ontdekken wij nieuwe punten en vindt innovatie plaats. Wetenschap is een weg. En ik blijf daarin verankerd in de empirie. Ik ben en blijf altijd een empirische wetenschapper. Ik vind het belangrijk om conclusies te trekken, om voorspellingen te doen, op basis van data. En ja, we hebben nu een Cyber Security Living Lab, waar we de vrijheid en de gelegenheid krijgen om te innoveren op basis van data.’
OVER HOE PETER HET GAAT DOEN
Mirna: ‘Aan de ene kant hebben we in cybersecurity en informatiebeveiliging, risk management regelgeving en best practises, standaarden en frameworks. Er is veel houvast. Maar de vraag is Hoe moeten we dat toepassen, hoe werkt de regel en mens samen?’
Peter: ‘Het vraagstuk van mensen en omgeving is voor mij een diepe ader in alles wat ik doe. Ook bij het antwoord op deze vraag. Dat komt eigenlijk voort uit de benadering van William James. Zijn opvatting in de psychologie kan ik heel erg navolgen. Hij heeft het ‘functioneel interactionisme’ geïntroduceerd.’
Hij legt uit: ‘Functioneel interactionisme houdt in dat de mens als biologisch systeem door interactie met de omgeving pas tot zijn functionaliteit komt. Een mens heeft geen vast geheugen voor regels zoals een computer. Het geheugen wordt bij de mens steedster plekke opnieuw gemaakt in interactie met de omgeving. En de mens heeft daarbij een beperkte selectieve waarneming en ook die waarneming wordt ter plekke door interactie gecreëerd. De mens kan pas tot zijn volledige wording komen in voortdurende interactie met een omgeving. Regels moeten elke keer door de mens functioneel gemaakt worden in de context waarin dit toegepast wordt.’
Peter vertelt over zijn eerdere werk met avatars en virtuele coaches. ‘Het verbaasde me om te zien, hoe ouderen dit razendsnel oppakken, als je de juiste ambient omgeving, de juiste ubiquitus omgeving hebt, die de mens antropomorfisch benadert. Zoals dit eigenlijk ook in de natuur gaat: de mens past met zijn biologische systeem in de natuur, voelt herkenning, ziet ook schoonheid. Het is dan alsof de mens herkent: deze omgeving begrijpt mij. In zulke omgevingen kan de mens functioneren, regels toepassen en tot leven komen. Regels zijn er uiteindelijk voor de mens en niet omgekeerd: we moeten managen op het feitelijke risico, op de realiteit, en niet alleen op regels. Risico’s, ook cyber risico’s, kun je meten.’
OVER WEERBAARHEID IN DE KETEN EN RISICO MANAGEMENT
Het gaat eigenlijk om adaptatie, zegt Peter. ‘De mate waarin je als systeem weerbaar kunt zijn, is de mate waarin je kunt adapteren aan veranderende omgevingen en de mate waarin je die adaptatie, metaplastisch weer kan sturen op hogere niveaus.’ Dat klinkt abstract maar in ons werk maken we dat heel concreet door specifieke cyber risico’s uit te werken met adaptieve netwerkmodellen.
Mirna: ‘En dat eigenlijk in context te zetten, hè? Ook in cybersecurity gaat het erom dat je niet verlamd raakt. De mens is een weerbaar systeem. Cybersecurity practitioners moeten de kans krijgen om de contexten te leren en om te oefenen in een veilige omgeving om hen zo beter equipt te maken voor de werkelijkheid.’
Peter: ‘Precies, een weerbaarheid waarbij je niet uit angst gaat vallen en weer opstaan. Maar waar vallen en opstaan er gewoon bij hoort, zoals kinderen dat ook doen en weer verder spelen. We moeten dus zo’n soort weerbaarheid krijgen. Ik zie in cyber veel ‘cyber shame’ en ‘cyber paranoia’ ontstaan, met zoveel stress en zero trust. Dat is een bepaalde opvatting over resilience die niet de mijne zal zijn. Ik denk niet dat het in de keten zo zal werken. Het hoort er ook bij hoe wij technologie hebben ontworpen.’
Mirna verwijst naar Erik Hollnagel en zijn resilience engineering met de vier eigenschappen om weerbare systemen te ontwikkelen: het vermogen om te monitoren, te reageren, te leren en te anticiperen. Mirna: ‘Hij past het toe op het systeem, of het nou een mens is, een IT-systeem of een hele organisatie. Hoe zie je dat in de keten? Hoe maak je een keten van systemen resilient?’
Peter: ‘ENISA heeft daar suggesties voor. We zijn een keten, niemand is alleen. Er is een hele oude les van Edward Tenner: zodra je technologie introduceert op een systeem van mens en regels, dan is er een illusie dat we iets gemaakt hebben en dat het zo wel blijft. Maar dat is niet zo. Dan krijg je een tegenreactie. Er ontstaat iets in een keten. Bijvoorbeeld, terwijl wij AI gebruiken om onze assets te beschermen, gebruiken hackers AI om hun attacks te verbeteren.’
Risico transformeert zich in de keten en techniek speelt daar een belangrijke rol, vat Peter samen. ‘Je kunt iets bedenken en daarna denken dat het risico weg is, maar op een subtielere manier komt risico dan weer terug. Door technologie zijn we verbonden. Die interconnectedness maakt dat we afhankelijk zijn van dingen. In mijn model van cyberweerbaarheid, probeer ik te zeggen: doordat we door technologie verbonden zijn, zijn we ook kwetsbaarder. In een keten hebben we een keten gemaakt waardoor wij ook kwetsbaarder zijn. Zelfs extra kwetsbaar, doordat we erg geïndividualiseerd zijn. Die cascade risico’s kunnen er zijn, omdat er nog onvoldoende een shared mental model is in de keten, omdat er geen shared approach is, geen gezamenlijke benadering, omdat we niet voldoende aligned zijn.
OVER DE ROL VAN TECHNIEK, AI EN DATA
‘Zelfs over risico wordt door velen anders gedacht. In mijn lectoraat wil ik laten zien: in het veld van cybersecurity risico’s kun je ketenweerbaarheid berekenen en met onze modellen, het werk van Jan Treur en mijzelf, voorspellen. We zijn verbonden door technologie, we hebben een nieuwe werkelijkheid gecreëerd. Voorspellen van technologische consequenties, die onbedoeld zijn, van die toekomstige effecten van technologie, moet je ook meenemen in je risico assessment.’
Peter vervolgt: ‘En met behulp van network oriented modellen kunnen we gaan voorspellen. Wat gebeurt er als een gerenommeerd technologiebedrijf iets over het hoofd ziet op het gebied van cybersecurity? Terwijl we een artikel hierover hadden ingestuurd, kwam Crowdstrike en dat bewees meteen de temporele validiteit van ons werk. We lieten zien dat de vraag naar adequate backups steeds groter wordt. Dat hadden we voorspeld, maar we willen verder gaan. Wij willen die modellen nu gebruiken op basis van real time data.’
Bij aansprakelijkheid voor een cyberattack wordt nu in veel situaties een beroep gedaan op overmacht, gaat Peter verder. ‘Maar wat als we dat wel kunnen voorspellen? We willen datagedreven cybersecurity in de keten realiseren. Er is echter nog een gebrek aan data in cybersecurity om dat goed te kunnen doen.’
Mirna: ‘We moeten dus naar een meer dynamisch risicomanagement en ook data over cybersecurity incidenten gebruiken om te leren en verbeteren.’
Peter vertelt dat hij zich dan soms voelt als Francis Bacon in de 15e of 16e eeuw: ‘Hij was de man die zei, we moeten niet oeverloos theoreticeren hoe de werkelijkheid er uit ziet. In veel situaties hebben we data nodig om snel, duidelijke en precieze uitspraken te kunnen doen. Je kunt wel allerlei theorieën hebben over hoeveel tanden een paard heeft, maar het makkelijkste is, om toch gewoon de bek van het paard open te trekken en te tellen. Er zijn wel 900 frameworks in cyberrisk, maar geen van die modellen is echt voldoende empirisch onderbouwd. Data moet je kunnen waarnemen (empirisch), moeten herhaalbaar zijn en toegankelijk zijn voor wetenschappers. Zonder dit soort data zal het veld van cyber risk management falen.’
Peter vervolgt: ‘Er zijn veel gegevens van cybersecurity incidenten met alleen data ex post facto, data achteraf. Daarmee kunnen geen valide wetenschappelijke conlusies worden getrokken. Veel cybersecurity data is bovendien niet toegankelijk of herhaalbaar. Willen we meer weerbaar zijn in de keten, dan moeten we shared riskmanagement hebben, shared intelligence op basis van shared data. Je bent samen verantwoordelijk voor de veiligheid in de hele pathway. Dan is data nodig van: vóór, tijdens en nà incidenten in de keten.
Als voorbeeld laat Peter zien wat hij met zijn vakgroep heeft gedaan bij een ziekenhuis in het veld van safety en security. ‘Ons doel was om een hele clinical pathway van een patiënt in kaart te brengen en met co-creatie opnieuw in te richten. Dus dat wil zeggen van thuis met de apparatuur, via de wijkverpleging, naar het ziekenhuis, naar de specialisten en weer terug. Met front end engineering, zodat het safe en secure is. Dan heb je data nodig, die monitort, vóórdat er een incident of een hack plaatsvindt. Dan kun je voorspellen: als hier iets plaatsvindt in de keten, als ASML bijvoorbeeld gehackt wordt, dan weet je, nu gaat de dreiging naar het Erasmusziekenhuis.’
ACTIE IN HET CYBERSECURITY LIVING LAB
Peter benadrukt: ‘De tijd is nu. We moeten nu aan de bak, we moeten niet aarzelen. Aarzeling en uitstel is bij samenwerking vaak het geval als er te weinig vertrouwen is om te samenwerken. Maar de tijd om de kat uit de boom te kijken is voorbij. We moeten de koppen bij elkaar steken en opnieuw ketens in kaart brengen want de cascade risico’s zijn te groot. Het is een illusie om te denken dat je als organisatie in je eentje je eigen cyberweerheid kan realiseren. We zullen moeten leren om informatie te delen. Dat betekent dat we een SOC (Security Operations Center, red.) bouwen, die shared en federated is. Met hulp van, Pinewood en Infinity zijn we dit nu aan het doen en we willen andere bedrijven zoals bijvoorbeeld FOX IT daarbij betrekken.’
Peter wijst naar de ruimte achter hem, waarin studenten bezig zijn om een SOC/SIEM te bouwen. ‘Studenten kunnen gewoon zien wat de real time applicatieomgeving is, terwijl ze het leren. En ik kan dus ook transfer of knowledge experimenten doen. Ik kan testen wat de kennis waard is in de realiteit. Dat is een heel belangrijk vraagstuk. Er is in het veld van cybersecurity heel weinig data over wat wij leren in de heat of action. We willen weten wat de realiteit is van de regels en wat de voorspellingen waard zijn op het moment dat een trend waarheid wordt.’
Peter verwijst naar de helix van kennisadaptatie in het Cybersecurity Living Lab, een toepassing van het eerdere werk van Carayannis and Campbell. ‘Dit houdt in: om cyber security kennis te laten doordringen in de samenleving heb je een voortdurende adaptatie nodig van 1) wetenschap en universiteiten, 2) burgers, 3) overheidsinstanties en 4) het bedrijfsleven. Wat we gaan meemaken: we gaan opnieuw samenwerken, we gaan een plek vormen waarin die vier actoren samenkomen.
Mirna: ‘En dan kijken we wat werkt en wat niet werkt?’
Inderdaad. Een samenwerkingwaar we naar uitkijken hierbij als Cybersecurity Living Lab is die met de HUB in Eindhoven. ‘We gaan kijken of we onze educational research SOCs aan elkaar kunnen koppelen, om real time data te sharen en bedrijven beter te laten samenwerken, zodat we op basis van data in de keten de veiligheid meer kunnen voorspellen en garanderen. Dan gaan we ook kijken waar AI nu al ingezet kan worden en waar bijna.’
Mirna: ‘Het lijkt de juiste tijd. We hebben de computationele kracht, met AI, en we kunnen riskmanagement invullen met wiskunde, met de unknown unknowns. Maar er is een maatschappelijk belang van security maar ook van privacy. Hoe zie je de spanning tussen privacy en security in Nederland?’
Peter: ‘Je hebt data en metadata. Je kunt gelokaliseerd je privacy secure houden. De intelligentie over onveilige IP’s, onveilige hashes, onveilige files etcetera: die kun je delen. Daar is het groepsbelang, of zelfs het individuele belang van security groter, denk ik.’
Mirna: ‘Er is een manier om dat te doen, geanonimiseerd, geaggregeerd of afgeleid, met metadata, zodat je privacy respecteert met aandacht voor security en resilience.’
Peter: ‘Precies. Je kunt met behoud van privacy ontdekken of er op een individuele computer een onveilig IP-adres is of een onveilige file. Die informatie kun je delen. Dat is noodzakelijk voor degene die de file ontvangt en voor wie het nog gaat ontvangen.’
Mirna: ‘Data maakt een CISO homo resiliere?’
Peter knikt enthousiast en zegt: ‘We moeten opnieuw gaan nadenken over data. Ik ben empiricus en theoreticus. De realiteit betekent voor mij de risico’s, de context. De gelokaliseerde situatie waarin je die beslissingen tegenkomt. Tussen regel en realiteit zit een shared mental model. Je kunt daar een individueel model plaatsen, maar dat is een illusie, denk ik. Je kunt niet meer kunt doen alsof je alleen bent. De verbondenheid dringt daarop aan. We hebben AI nodig om de vele frameworks te interpreteren. We zijn bijvoorbeeld bezig om een chatbot te maken die mensen helpt om NIS2 te interpreteren. Met een gelocaliseerde en gepersonaliseerde roadmap, zodat je kunt zien hoever je bent.’
Peter: ‘Daarom onder anderewerk ik veel samen met Jan Treur. Je kunt op basis van de informatie die er nu is en met de beslissingen die je wilt gaan nemen, what-if-analyses gaan doen. Zo kun je zien wat er zal gaan gebeuren in de keten om bepaalde omstandigheden. Dat is een vorm van systeempredictie. Simulatie en gaming is daarbij heel belangrijk. We zijn bezig met simuleren, en we willen ook onze algoritmen in serious games brengen. Niet alleen om te trainen, maar ook om kennis te eliciteren en toegepast onderzoek te doen.’
TOT SLOT: CO-CREATIE EN JONGEREN IN RISK MANAGEMENT
Mirna: ‘Wat betekent dat voor een IT-auditor?
Peter lacht dat hij geen ‘Mieke-Telkamp-filosoof’ is. ‘We weten niet precies wat het ons gaat brengen. We weten wel de roadmap van NIS2 die wij moeten gaan. Wat het ons gaat brengen? Co-creatie.
Mirna: ‘Dus aandacht voor risicomanagement in de keten met gebruik van AI and data over cybersecurity and incidenten, voor de homo resiliere en voor communicatie en co-creatie in de keten.’
Voor gepromoveerd informaticus Mirna is Peters verhaal een feest der herkenning, maar ook verrassend. Mirna vraagt: ‘Wat vertel je aan jongeren tegenwoordig? Ze zijn goed in het beschermen van hun privacy. Weten veel van internet. Samenwerking, vertrouwen, de keten, wat is hun rol in de human computer interacties?’
Peter: ‘Een belangrijke vraag. De jeugd van nu is heel gevoelig en onzeker. Zij zijn onze toekomst. Nodig hen uit naar experimentele leer-werkomgevingen waar ze zien wat er speelt en wat de toekomst is. Ze kunnen en bouwen ontzettend veel. Er zit heel veel potentie in onze jeugd. Ik hoop via het Cybersecurity Living Lab hen een dynamische onderwijsomgeving te geven, die hen in contact brengt met hun behoefte aan autonomie, competentie, verbondenheid en doelgerichtheid. Zorgen dat ze ook een beetje zoals Vico gaan denken: doe iets waarvan je niet weet hoe het moet, maar begin!’
