CONGRES De rol van de mens bij De mens wordt, met al z’n onvermijdelijke fouten, dikwijls aangewezen als de zwakke schakel in de cyberweerbaarheid van een organisatie. Moet je de mens weerbaarder maken of een zelfsturend systeem aan de knoppen zetten? De meningen verschillen. TEKST: tom reijner BEELD: shutterstock A ls een organisatie in de problemen komt door een cyberaanval, komen IT- specialisten meteen in actie. Liever zorgen we ervoor dat cyberaanvallen afgewend worden. Medewerkers worden vaak aangewezen als de probleemveroorzakers. Fouten maken is immers menselijk, maar bij een cyberaanval of datalek kan zoiets zeer grote gevolgen hebben. De rol van de mens binnen cybersecurity en weerbaarheid ligt daarom steeds meer onder een vergrootglas. Moet je de competenties van medewerkers versterken door (verplichte) bijscholing, of moet je de menselijke factor uitschakelen met de inzet van autonome systemen? Autonome systemen Voor Berry Vetjens, marktdirecteur ICT, Strategy and Policy bij TNO, is die vraag inmiddels eenvoudig te beantwoorden. Samen met collega-onderzoekers publiceerde hij vorig jaar oktober een position paper over de noodzaak van zelfhandelende en sturende systemen die de taken van de mens, bijvoorbeeld in een Security Operations Center van een organisatie, grotendeels kunnen overnemen, veelal op basis van kunstmatige intelligentie. Volgens hem hebben we, gezien alle dreigingen, geen 30 iBestuur 51, juli 2024 keus. “Kwaadwillende personen hebben AI-systemen volledig omarmd en vormen daarmee een enorme bedreiging. We moeten met hen de strijd aangaan, of we dat nu willen of niet.” Daarbij kampen we met een tekort aan cyber- en IT-experts, dat de sector echt parten speelt. Vetjens: “Dat is structureel. Niet alleen in Nederland, maar wereldwijd. Dat lost zich niet zomaar op, dus zul je moeten kijken hoe je deze cruciale processen minder afhankelijk maakt van mensen.” Gradaties Het beoogde systeem kan gevaren, zoals een grootschalige hackpoging, in een vroeg stadium detecteren. Vetjens vertelt hoe zo’n zelfdenkend systeem kan werken. “Je hebt hierin een aantal gradaties: je hebt het inschatten van gevaar en vervolgens de vraag wat we erraan gaan doen. Die detectie zou je, in het meest extreme geval, volledig kunnen overlaten aan een zelfdenkend en autonoom systeem. Het systeem bepaalt vervolgens wat de beste strategie is om de dreiging te neutraliseren. Maar je kan er ook voor kiezen om de menselijke factor bij deze stappen te behouden, wellicht in een soort toezichthoudende rol. Het is dan ook een beetje trial and error,” aldus de TNO-directeur. “We moeten stapsgewijs onderzoeken hoe we deze autonome systemen kunnen inzetten, wat we verantwoord vinden en
31 Online Touch Home