Wat is echt? Cyberweerbaarheid en de mens als sterkste schakel

Aan de snelle ontwikkeling van technologie zijn we inmiddels gewend. Geldt dat ook voor cybercrime? Criminelen nemen ict-beveiliging steeds vaker en intensiever onder vuur. Niet zelden worden medewerkers gemanipuleerd. Het helpt wanneer we de risico’s onder ogen komen. Een gesprek met bestuurders over onzekerheid omarmen en de veranderende rol van de factor mens bij cyberweerbaarheid.

Sinds de ict-systemen van veel organisaties in 2017 gegijzeld werden met het Petya- en WannaCry-virus en in 2019 zelfs de gehele ict van containerbedrijf Maersk werd vernietigd, is veel geïnvesteerd in cyber security ^{[i] [ii]}. Ook de onderwijssector heeft de nodige aanvallen achter de rug: de hack bij Universiteit Maastricht in 2019 en bij ROC Mondriaan in 2021, de cyberaanval bij TU Eindhoven en de DDoS-aanval op SURF in 2025 . Het is de nieuwe realiteit.

Emotionele manipulatie en mentale cyberweerbaarheid

Inmiddels zijn alle stappen voor diefstal van data of een ransomware-aanval met cryptovaluta te koop op het darkweb. Het bedrijfsmodel van criminele organisaties als DarkSide is gebaseerd op afpersing met gijzelsoftware^[iii]. Barrières om geld te verdienen aan cybercrime verkleinen en deze vorm van criminaliteit raakt ook steeds vaker verweven met traditionele vormen van criminaliteit^[iv].

Cybercriminelen gebruiken in toenemende mate AI. Bijvoorbeeld voor het emotioneel manipuleren van de slachtoffers. Ze spelen in op onder meer achterdocht, impulsiviteit, nieuwsgierigheid, en behulpzaamheid van slachtoffers. Zo zijn we inmiddels op technisch vlak verwikkeld in een ratrace met criminelen, waarin de factor mens regelmatig wordt bestempeld als de zwakste schakel ten behoeve van cyverweerbaarheid

De wetmatige dual use van technologie en morele cyberweerbaarheid

Nieuwe technologie, zoals alle innovatie, kan zowel ten goede als ten slechte worden ingezet, ofwel hier is sprake van dual use. Voor de Utrechtse hoogleraar prof. dr. Beatrice de Graaf is dit niet optioneel maar eerder een wetmatigheid. Ook de drukpers, televisie en sociale media werden én worden gebruikt voor criminele of terroristische doeleinden. Technologie en markten kennen immers in de basis geen moraal of ethiek. Het zijn mensen die bepalen hoe en waarvoor techniek wordt ingezet.

Voor wat betreft de ethische kant van technologie, moeten we de dialoog blijven voeren, aldus Patrick Groothuis, bestuurder bij TU Eindhoven (TU/e). “Elke nieuwe technologie heeft ethische vraagstukken, en daar móet je naar kijken. Dat geven we onze studenten ook mee in hun opleiding hier. Het lijkt me bijvoorbeeld een no go om een AI-model te trainen op basis van louter data die we ethisch 100 procent in orde vinden, dat zou de uiteindelijke kwaliteit van het model sterk beïnvloeden. De vraag is dus hoever je kunt gaan qua ethische ingrepen, zonder de technologie teveel te beperken. Die dialoog moeten we met elkaar voeren. Daarbij moeten we voor ogen houden dat via het darkweb telkens weer nieuwe tools aangeboden zullen worden waarop ethiek geen grip heeft. Dit is een realiteit waarmee we moeten leren leven.”

Als we de snelle ontwikkelingen van de techniek én de snelle ontwikkelingen van cybercrime met elkaar combineren, stappen we een onbekende wereld binnen. Dat vraagt om aanpassingsvermogen. Het is immers gissen hoe snel de ontwikkelingen van machine learning en AI gaan. Hans Biemans, bestuurder van Rijksuniversiteit Groningen (RUG) zegt daarover: “Als we kijken naar quantumcomputing en AI dan is de toekomst ongewis. Waar ik vertrouwen in heb, is dat we in deze ratrace met criminelen als onderwijsinstellingen gemeenschappelijk blijven optrekken.”

Echt of niet?

Het grote gevaar van de huidige technologische ontwikkelingen is, dat nieuwe technieken steeds overtuigender worden. Waar tien jaar geleden de phishing mails nog duidelijk te herkennen waren aan een e-mail niet zonder één foutloze zin, waarin de lachwekkende erfenis van een Afrikaanse prins werd aangekondigd, worden tegenwoordig berichten verstuurd die niet zomaar direct herkenbaar zijn als phishing.  

Margot van de Starre, bestuurder van Universiteit Utrecht vat de uitdaging als volgt samen: “Stemmen kunnen al heel succesvol worden nagebootst en je – letterlijk alles – laten zeggen. De mogelijkheden om dit ook met live bewegend beeld te doen zullen binnen een aantal jaar gebruiksrijp zijn. Hoe zien we straks nog het verschil tussen echt en nep?”

Dit toekomstbeeld introduceert het groeiende belang van de factor mens. Gerard van Assem, bestuurder van Hogeschool Utrecht, deelt hierover een herkenbaar gevoel: “De toekomst met AI en deepfakes vind ik heel spannend. Het is bijna niet te bedenken wat voor consequenties dit kan hebben omdat de kernvraag straks zal zijn: ‘Hoe weet je of iets echt is?’. Dat is eigenlijk de samenvatting van alles dat er omheen hangt. Als je niet oppast, geeft dat een enorm gevoel van onbehagen. We zijn zo verknocht aan al die apparaten en aan het internet, daar vullen we een groot deel van onze dag mee. Op het moment dat het grootste deel van de dag eruit bestaat, dat je niet meer zeker kan weten of wat je ziet of hoort echt is… Ik zie dat als enorme uitdaging.”

Paradigmashift? Nep tenzij…

Natuurlijk hebben we altijd moeten leven met een bepaalde mate van onzekerheid, maar met name het feit dat dankzij technologie een valse boodschap niet langer zomaar van echt te onderscheiden is, vergroot het belang van de factor mens.

“Misschien komen we zelfs wel in een fase terecht dat je het uitgangspunt omdraait, dat je ervan uitgaat dat het niet klopt tenzij het een soort echtheidsstempel heeft van een bepaalde autoriteit waar je informatie kunt toetsen,” zegt Van Assem “Het klinkt een beetje als science fiction. Hier over nadenken vind ik erg interessant en leuk, misschien moeten we er een vak van maken! Met papier hebben we dat natuurlijk al meegemaakt met bijvoorbeeld geld en paspoorten met daarin de watermerken en de imprints. Ik ben heel nieuwsgierig waar dat naar toe gaat.”

Wie weet krijg jij, of krijgt je collega, binnenkort wel een deepfake videocall waarin een directeur opdracht geeft om een frauduleuze handeling te verrichten. Door kunstmatige intelligentie kunnen dergelijke nepvideo’s zo gecreëerd worden dat je niet kunt herkennen of deze echt is of niet. Het overkwam een medewerker in Japan, die werd getricked en stuurde 20 miljoen Britse ponden richting criminelen.

Tussenfase: context als kompas voor cyberweerbaarheid

We belanden in een fase waarin context in hoge mate bepalend is om een bericht juist te beoordelen, ongeacht wat onze rol is in de samenleving of in een organisatie, ongeacht ons opleidingsniveau of de studierichting.

Een goed voorbeeld daarvan is de liefdesbaby van de Amerikaanse presidentskandidaten Harris en Trump. Dankzij de context weten we dat het niet echt was.

Beeldvorming, oordeelsvorming en besluitvaardigheid worden de belangrijkste vaardigheden om de op AI gebaseerde criminele verleidingen te verslaan. De mens wordt daarmee de sterkste schakel in plaats van de zwakste als het gaat om cyberweerbaarheid. Daarbij hoort ook causaal denken. Is dit een betrouwbare afzender? Is dit een logische boodschap van deze afzender? Is het een logische vorm of kanaal? Hoe kan ik dit verifiëren? Hoe moet ik hierop reageren? Wat zijn de consequenties van mijn reactie? 

Of het trainen van deze vaardigheden een vak moet worden zoals Van Assem voorstelt, is het overwegen waard? Het beoordelingsvermogen van cyberweerbaarheid is in elk geval een vaardigheid die bij iedereen getraind moet worden.

“Deze tussenfase waarin we nu zitten, lijkt me het meest ingewikkeld”, zegt Van Assem (HU). “Hoe wij als bestuurders onze rol daarin zien, vind ik een mooie vraag.”

 Dit artikel is geschreven door John Strijker, voormalig CISO Hogeschool Utrecht en Rijksuniversiteit Groningen