AI, OT en kokosnoten besproken op Dutch IT Security Day

Op Dutch IT Security Day stond als eerste een ervaringsdeskundige op het programma: Mimoent Haddouti, partner in het Advisory Cybersecurity team van PwC Nederland. Ze zit daar sinds november 2023 en daarvoor bekleedde ze 22 jaar lang verschillende rollen, zoals CISO, binnen de Rabobank. “Nu ga ik mijn ervaring en deskundigheid delen met andere organisaties en teruggeven aan de maatschappij en het onderwijs.”

Als je kijkt naar de kans dat een cyberaanval plaatsvindt, dan zie het gevaar: 1 op de 5 is weleens gehackt, 1 op de 8.000 bedrijven krijgt te maken met een brand en 1 op 250 wordt het slachtoffer van een inbraak. En dat is logisch, vertelt Haddouti, want cybercrime? Dat is een businesscase. “Het levert heel veel geld op, maar ook maatregelen nemen en schade herstellen kosten heel veel geld.”

Bedrijven als kokosnoten

Ze vertelt dat te veel bedrijven nog een kokosnoot zijn: de buitenkant is hard en moeilijk doordringbaar. Maar eenmaal binnen kunnen criminelen overal bij. De oplossing is een IT-omgeving opdelen in laagjes, zodat de laterale beweging wordt vertraagd. Maar het verbeteren van de IT-omgeving is deel één, ook moet er worden gekeken naar mensen en processen om risico’s te verminderen.

“Zijn mensen het probleem of de oplossing? Totdat alles is overgenomen door robots spelen mensen een belangrijke rol in het tegenhouden van aanvallen. Ze zijn onderdeel van de oplossing en daarom moet je werken aan awareness.” Naast interne awareness heeft Haddouti ook meegewerkt aan een cybergame voor kinderen, waarbij de gamers cyberagents worden die aanvallen helpen oplossen. Inmiddels is de game zelfs internationaal.

AI in cybersecurity

De tweede spreker van de Dutch IT Security Day sprak over het onderwerp dat nog steeds aan ieders lippen ligt: AI. Toch is het niet nieuw, volgens die spreker, Erik Westhovens, oprichter van Ransomwared. De technologie wordt al twintig jaar gebruikt. “Maar nu hoef je geen powershell te leren om te ontdekken welk incident heeft plaatsgevonden: je doet de hele brei aan code ChatGPT en dan legt die uit wat er is gebeurd.”

Ransomwared is een bedrijf dat AI op dagelijkse basis toepast, vertelt Westhovens. Bij een on-boarding ontdekt het bedrijf regelmatig dat hackers al binnen zitten. Maar je hebt geen CoPilot (specifieke AI-tooling van Microsoft dat 9k per jaar kost – red.) nodig, aldus Westhovens. Je kunt met Microsoft Defender AI al laten scannen op anonieme IP’s, zodat hackers die een inlog of wachtwoord hebben achterhaald niet alsnog kunnen binnenkomen.

De rol van de mens

Hoewel de mens volgens Westhovens in de voorzienbare toekomst een rol blijft spelen in cybersecurity, voorkomt AI dat hackers een voorsprong krijgen. “De human factor gaat een kleinere rol spelen”, aldus Westhovens en dat is noodzakelijk omdat een mens nooit altijd aan kan staan. En altijd paraat staan wordt steeds belangrijker, aangezien de tijd tussen een hack en de daadwerkelijke aanval steeds korter wordt.

AI gaat er dus voor zorgen dat SOC-medewerkers een break kunnen nemen. “AI reageert binnen dertig seconden of in het ergste geval binnen zestig seconden. En AI slaapt nooit, is nooit afwezig en staat altijd paraat. Als een melding komt, dan grijpt AI direct in.” Er ontstaat door AI een autonomous SOC dat niet alleen hackers kan opsporen maar ook in staat is om bijvoorbeeld een device in isolatie te zetten.

Meer focus op de rol van de mens

Toch is het niet alleen belangrijk om te snappen hoe wij als mensen werken met AI, maar blijft het belangrijk dat we snappen hoe mensen met elkaar omgaan, zo bleek uit de derde keynote door Patrick Versteeg. Hij is CISO bij Viterra, een bedrijf met 22.000 medewerkers met 400 locaties waar hij met 30 mensen verantwoordelijk is voor cybersecurity. Maar voor hij dit team aanstuurde, had hij “met mijn bèta-achtergrond iets te leren over hoe ik communiceer met mensen zoals u en ik.”

Tot die tijd ontwikkelde hij zich als expert in cybersecurity en behaalde alle certificeringen die er bestaan op dit vlak. Alleen, niet IQ of kennis, maar het EQ en hoe je met mensen omgaat, bleek de sleutel tot een succesvolle carrière. Daarom verdiepte hij zich in de dramadriehoek waarin hij tot dan toe gevangen zat. De driehoek van vervolger (persecutor), redder (rescuer) en slachtoffer (victim).

Slachtoffers denken ‘arme ik’

Om te schetsen waarom het niet werkt, omschrijft hij een situatie waarin hij zich als slachtoffer opstelde. Hij dacht ‘arme ik’, hij voelde zich machteloos in de e-mailruzie die hij had met zijn collega. In een andere functie stelde hij zich op als de vervolger, de persecutor, die altijd aan anderen vertelt wat ze niet goed doen. Ook daar werd hij ontslagen. Na het derde ontslag dacht hij zichzelf: hmmm, misschien ben ik het wel.

Hij ging op onderzoek naar sociale intelligentie en hoe de dramadriehoek omgezet kan worden naar de empower dynamic, die bestaat uit de creator, coach en challenger. De challenger is iemand die bijvoorbeeld niet continu zegt wat er verkeerd is, maar de ander juist vragen stelt als een sparringpartner om er samen beter uit te komen. Het verschil is dat je open, nieuwsgierig bent en toegewijd bent aan leren, in plaats van dat je negatief, gesloten en toegewijd bent om je gelijk te krijgen.

De dynamiek tussen IT en OT

De vierde keynote maakte ons bewust van een andere dynamiek die nog niet aanbod was gekomen, maar die ook heel erg belangrijk is in cybersecurity, namelijk operational technology (OT). Fred Streefland, CEO/CTO bij Secior, vertelt over de houding tegenover OT-security: “Het idee is dat het of noodzakelijk of nutteloos is. Vaak wordt OT-security erbij gedaan en vaak als nutteloos wordt bestempeld.”

Volgens Streefland is OT-security alleen noodzakelijk. Hij schetst daarvoor het beeld van de aanval op de Deense kritieke infrastructuur. Door een kwetsbaarheid in de energiesector werden 22 organisaties uit die infrastructuur tegelijkertijd aangevallen en uiteindelijk vielen deze organisaties uit. “This is serious sh*t”, aldus Streefland. “Als je IT-omgeving wordt gehackt, dan heb je als je pech hebt een paar weken hoofdpijn, maar als OT gehackt wordt dan kost het mensenlevens.”

Wat is OT?

Onder OT vallen bijvoorbeeld pompen, kleppen in pompen, sensoren, PLC, remote terminal units, wat Siemens en Schneider Electric verkopen. Koeling van datacenters valt er bijvoorbeeld onder. Het verschil met IT is ook dat IT-systemen erop gericht zijn dat ze om de paar jaar vervangen worden, terwijl OT soms wel twintig tot dertig jaar mee moet gaan. En door de lange levensduur is het duidelijk waarom OT nu extra aandacht verdient.

“OT is ontwikkeld om continu betrouwbaar en robuust te zijn. Maar het is nooit ontwikkeld om verbonden te zijn met het internet”, vertelt Streefland. Ook, zegt hij, zijn het vaak goede redenen dat OT verbonden wordt met het internet, maar daardoor wordt OT-security steeds belangrijker. Daarbij is de eerste stap om zicht te krijgen op blindspots, want organisaties hebben soms helemaal geen idee welke assets onderdeel zijn van de organisatie.

Koeling, power en distributie

OT is overigens niet alleen te vinden in de fabriek, maar is ook van toepassing in een datacenter. “Ik heb het niet over servers en racks, maar apparaten die draaien om het datacenter draaiende te houden. Bijvoorbeeld power en distributie, koelingssystemen en rook-en-vuurdetectie.” Of neem een schip, die bestaat voor tachtig procent uit OT. Als die wordt gehackt, dan ligt het schip stil.

“Maar er is hoop”, aldus Streefland. De hoop is NIS2, vertelt hij. “Ik ben van mening dat NIS2 echt gaat helpen om het bewustzijn van OT-security te verhogen, als het maar niet wordt ingeschoten als een afvinklijstje. Om bedrijven hierbij te helpen, heeft zijn bedrijf een nieuwe tool ontwikkeld, zodat bedrijven een nulmeting kunnen doen. “Het geeft je een beeld waar je nu staat en wat je moet doen om cyberweerbaar te worden.”

Heb je respect voor jezelf, je klanten en je medewerkers?

“Ik durf het bijna niet te zeggen, maar NIS2 is zo basaal. Als je het nu nog niet op orde hebt, dan ben ik verbaasd dat je nog niet gehackt bent”, zegt Versteeg tijdens de paneldiscussie. Westhovens vult aan: “Als je respect hebt voor jezelf, je klant en je medewerkers, dan ga je aan de slag met NIS2. Wacht er niet mee, maar begin gewoon.” Streefland: “NIS2 is heel basaal, maar het is ook een handvat. Je hebt de keuze: hoe goed wil je zijn?”

Toch komt Westhovens nog steeds bedrijven tegen die denken dat er bij hen niets te halen valt. Streefland is het daarmee eens: “Ik zie het al jaren elke keer opnieuw. Bedrijven die de risico’s bagatelliseren en denken dat ze veilig zijn. Versteeg: “Maar dan kijk ik drie man in de ogen via een facetimeverbinding die compleet verslagen erbij zitten, al hun werk kwijt zijn. Je hebt daarom als bestuurder de sociale verplichting om te zorgen voor je mensen en dat doe je ook met cybersecurity.”

De vraag blijft natuurlijk wie cybersecurity gaat doen in de toekomst. Worden de securityspecialisten vervangen door AI? Stijn Brattinga, Supervisor, Field Sales Engineering at Jamf, die ook deelnam aan het panel denkt van niet. “Data kan door AI wel geanalyseerd en gesorteerd worden, maar de mens wordt niet helemaal vervangen.” Westhovens is het hiermee eens: “We zijn erg ver, maar de human touch blijft nodig.”

Door: Anne van den Berg