Toekomst cybersecurity: autonoom systeem van systemen

Afdoende beveiliging tegen cyber­aanvallen is alleen nog mogelijk door autonome systemen. De mens achter een scherm in een Security Operations Center (SOC) maakt plaats voor zelfdenkende en zelfhandelende systemen die aanvallen vroegtijdig kunnen detecteren en afslaan om onze digitale infrastructuur te beschermen. Wij voorzien een systeem van systemen waarin kunstmatige intelligentie (AI) de drijvende kracht is en schreven een position paper over dit onderwerp.

Taken mens vergaand overnemen

"In de race tegen kwaadwillenden in het digitale domein is de mens een complicerende factor. In Security Operations Centres, waar de computer- en netwerkactiviteiten in een organisatie worden gemonitord, zitten nog altijd vooral mensen aan de knoppen. Maar er komt zoveel op hen af dat we moeten gaan accepteren dat de securitysystemen autonoom gaan worden.

Dat gaat een stap verder dan automatiseren, want autonomie betekent dat machines stap voor stap ook afwegingstaken van mensen vergaand gaan overnemen", zegt Berry Vetjens, marktdirecteur ICT, Strategy and Policy van TNO.

Zelflerend en zelfherstellend

Het door TNO bedachte antwoord op het in aantal en intensiteit toenemende cyberaanvallen is ‘Athena’ gedoopt. Het gaat om een zelflerend en zelfherstellend systeem dat een breed scala aan beveiligingstaken tegelijk kan uitvoeren.

Neem een ransomware aanval op een groot energiebedrijf dat de interne systemen binnendringt en niet alleen de bedrijfsvoering dreigt plat te leggen, maar ook de energievoorziening aan honderdduizenden klanten.

Het beoogde Athena-systeem detecteert de inbraak in een zeer vroeg stadium, denkt razendsnel na welke maatregelen het meest effectief zijn om bedrijf, klanten en andere betrokken partijen te beschermen en weet de aanval af te slaan zonder dat de klant er ook maar iets van merkt en de bedrijfsprocessen intact zijn gebleven.

Systemen waar geen mens meer aan te pas komt

"Velen vinden het uit handen geven van steeds meer menselijk denken en handelen met AI aan autonome systemen zorgwekkend, maar de ongemakkelijke waarheid is dat dit niet doen specifiek op cybergebied misschien nog wel zorgwekkender is", zegt Berry.

"Grote bedrijven met kritische infrastructuren raken ervan doordrongen dat autonome cybersecurity onontkoombaar is. Het begint wellicht bij de koplopers op cybersecurity zoals de financiële instellingen, maar zal binnen afzienbare tijd ook in andere sectoren toepassing vinden. Denk aan kwetsbare domeinen als de zorg, hightech, maakindustrie, rijks- en lagere overheden en op termijn ook het mkb.

Systemen waar geen mens meer aan te pas komt zullen er komen en het is tijd dat wij met wetenschappelijke partners, bedrijfsleven en overheid deze systemen gaan ontwerpen. Er is geen tijd te verliezen."

Regels tijdens de wedstrijd veranderd

"We hebben de term schaakmat met een vraagteken als titel voor de paper gekozen omdat het een uiterst complexe wedstrijd is tegen onzichtbare en vaak ongrijpbare tegenstanders. Je schaakt als het ware tegen computers.

Twintig jaar na Deep Blue, de schaakcomputer van IBM die tegen Kasparov speelde, werd door Google-dochter DeepMind de schaakengine AlphaZero gelanceerd die door toepassing van AI en machine learning ongekende prestaties levert. Maar het programmeren van schaak- en andere spellen is in zekere zin eenvoudig omdat de spelregels vaststaan. Bij cybersecurity worden de regels tijdens de wedstrijd steeds veranderd en lappen onze tegenstanders de regels voortdurend aan hun laars. Dat maakt het allemaal zo complex."

We gaan verder dan ooit gedacht

Net als schakers komt het bij cybersecurity-operators aan op snelheid, het kunnen verwerken van steeds grotere hoeveelheden dynamische gegevens uit een groeiend aantal bronnen en precisie. De enorme hoeveelheid gegevens die nodig is om een aanval tijdig te kunnen detecteren en de snelheid om adequaat te kunnen reageren, is onderhand veel te groot voor het menselijk brein.

"Athena wordt revolutionair. We gaan daarmee verder dan we ooit gedacht hadden te zullen gaan. We hebben altijd het idee gehad dat er bij automatisering gezamenlijke besturing zou zijn door mens en computer. 'Human in the loop' maakt plaats voor 'human before the loop'. De mens ontwerpt het systeem dat vervolgens zelf nadenkt en handelt. Dat moet dan wel met de grootst mogelijke zorgvuldigheid gebeuren", aldus Berry.

Ethisch, juridisch en maatschappelijk

En dan gaat het volgens hem over veel meer dan technologie alleen, hoe ingewikkeld die op zich al is. Het systeem moet vanuit ethisch oogpunt voldoen aan hoge waarden die in samenspraak tussen deskundigen, beleidsmakers, belanghebbenden worden vastgesteld. Daarover moet ook verantwoording kunnen worden afgelegd. Het verwerken van veel data raakt de privacy van mensen.

Daarover moeten juridisch sluitende afspraken komen. Maatschappelijk spelen vraagstukken rond toegankelijkheid voor het mkb, de zorg en lokale overheden. Voorkomen moet worden dat alleen grote bedrijven zich autonome cybersecurity kunnen veroorloven. Ook het beleggen van wie waarvoor verantwoordelijk is vergt nog veel discussie.

Technologieën en belangen combineren

"Het ontwerpen van zo’n systeem van systemen ontwerpen is ontzettend complex. Je moet verschillende technologieën rond cybersecurity en AI combineren, juridische en ethische kwesties adresseren en de belangen van uiteenlopende publieke en private partijen samenbrengen. Met onze kennis op al die gebieden willen we hier de komende tijd duidelijk richting aan geven", besluit Berry.

Bron: TNO