Sinds de jaren zeventig weten we hoe het moet. Academici schreven de principes op, beleidsmakers knikten instemmend, de industrie beloofde beterschap. En toch: computers zijn vandaag de dag niet veiliger dan vijftig jaar geleden. Sterker nog, de kwetsbaarheden stapelen zich op. De kans dat een organisatie getroffen wordt door een cyberincident? 1 op 8.
Waarom lukt het niet om beveiliging vanaf het begin mee te nemen in het ontwerp? Die vraag liet Bibi van den Berg, hoogleraar Cybersecurity Governance aan de Universiteit Leiden, niet los. Samen met collega Christina Del Real, Assistant Professor in Cyber Crisis aan het Institute of Security and Global Affairs van de Universiteit Leiden, dook ze de archieven in. Wat ze vond, presenteerde ze tijdens haar keynote op de ONE Conference: een geschiedenis van verkeerde prikkels, botsende belangen en een Silicon Valley-cultuur die snelheid heilig verklaart.
Terug naar de oorsprong
“We zeiden: laten we gewoon alles lezen wat er ooit over security by design is geschreven”, vertelt de Van den Berg. Het werd een archeologische speurtocht door decennia aan literatuur. Het doel: de oorsprong vinden van security by design, dat vage en onduidelijke concept waar iedereen over praat maar dat niemand echt lijkt te kunnen definiëren.
En dat blijkt niet zo gek. Er waren meerdere gesprekken gaande over security by design, in verschillende werelden. Academici hadden hun eigen verhaal. De industrie het hare. Beleidsmakers weer een ander. Vaak praatten ze niet eens duidelijk, laat staan met elkaar. Maar uit al die gesprekken kwamen wel lessen naar voren.
De academici: vanaf 1970 glashelder
Begin jaren zeventig, toen computernetwerken net ontstonden, was het voor wetenschappers een no-brainer. Vergelijk het met het bouwen van een huis: je plaatst toch ook vanaf het begin sloten op de deuren? Computerscientists realiseerden zich direct dat als je computers aan een netwerk koppelt, en als je daarin vitale informatie opslaat en deelt met andere computers via netwerken, dat dat dan natuurlijk veilig moet zijn, legt de hoogleraar uit.
Ze formuleerden simpele principes. Houd je software zo eenvoudig mogelijk – elke regel code kan immers een kwetsbaarheid bevatten. Geef gebruikers alleen toegang tot wat ze écht nodig hebben, niet tot het hele systeem.
In de jaren tachtig gingen ze verder. Ze ontwikkelden formele modellen om te bewijzen wanneer software daadwerkelijk veilig is. In de jaren negentig volgden regels voor secure software engineering. “En toen realiseerden ze zich: het gaat niet alleen om code. Het gaat ook om mensen. Hoe gebruiken zij software? Wat hebben ze nodig? Hoe zijn ze bedraad? User-centered security was geboren”, zegt Van den Berg. De kennis was er dus al vroeg, maar wat betekende dat voor de praktijk de afgelopen vijftig jaar?
De industrie: beveiliging als verdienmodel
“In die jaren zeventig deed de industrie precies nog helemaal niks met security by design. Pas in de jaren tachtig begonnen bedrijven nerveus te worden. Ze verkochten producten met gaten erin, en dat begon op te vallen.”
Hun oplossing was briljant – althans, vanuit commercieel perspectief. “Oh, we kunnen dat wel verhelpen, maar dan door het verkopen van add-ons die beveiligingsproblemen oplossen”, beschrijft Van den Berg de redenering. Virusscanners, firewalls, endpoint protection: het werd allemaal verkocht als oplossing voor problemen die je ook gewoon vanaf het begin had kunnen voorkomen. En zo ontstond een heel businessmodel rond het repareren van onveilige software.
Begin deze eeuw deed Microsoft iets opmerkelijks. Bill Gates schreef een pamflet waarin hij stelde dat de industrie zich moest schamen. “Het is eigenlijk nogal beschamend dat we in de industrie producten maken die niet inherent veilig zijn, dus dat moeten we oplossen”, citeert de hoogleraar hem. Microsoft ontwikkelde trustworthy computing en een security development lifecycle. “En ja, het is wel enigszins ironisch dat dit uitgerekend van Microsoft kwam”, erkent Van den Berg.
Beleidsmakers: langzaam wakker
Ook beleidsmakers kwamen in beweging. In de jaren tachtig ontwikkelde het Amerikaanse leger het Orange Book: een standaard die beschreef waaraan computersystemen moesten voldoen. De reden was glashelder. Gevoelige data werden opgeslagen en gedeeld via computernetwerken. Daar moest dus iets mee.
Maar rond 2000 realiseerden beleidsmakers zich dat er te weinig gebeurde. De academici hadden de kennis, de industrie had de middelen, maar in de praktijk kwam er maar weinig van de grond. “Ze werden een beetje gefrustreerd en keken naar de industrie en naar de wetenschappers en vroegen: waar zijn jullie allemaal? Waarom gebeurt er niets?” vertelt Van den Berg.
Dus deden beleidsmakers wat ze konden. Ze begonnen security by design op te nemen in strategieën. De eerste EU-cybersecuritystrategie begin deze eeuw noemde het al: dingen moeten vanaf het begin veilig zijn, niet achteraf gerepareerd. Geen afterthought, maar vooraf nadenken. Dat klinkt logisch. Maar tot 2013 bleef het bij vermeldingen in beleidsdocumenten.
Daarna veranderde de toon. Overheden stapten over naar regelgeving. “Laten we het in wetgeving vastleggen, laten we tegen mensen zeggen: jullie moeten het beter maken, want we kunnen niet accepteren dat het is zoals het is”, aldus Van den Berg. De industrie zou aan bepaalde standaarden moeten voldoen. Punt.
Drie redenen waarom het niet werkt
Goed, dus de academici wisten het al vijftig jaar. De industrie werkte er begin deze eeuw aan. Beleidsmakers maakten er sinds 2013 wetgeving van. En toch: waarom is alles nog steeds kapot?
Van den Berg noemt drie factoren. Eén: de cultuur van Silicon Valley. Go fast and break things. Innoveer, race naar de markt, wees de eerste. “Het kost veel tijd en moeite om dingen veilig te maken, om echt door te denken hoe je dingen veilig kunt maken”, legt Van den Berg uit. Die tijd heb je niet als snelheid het devies is. Security by design en move fast? Dat gaat niet samen. Diametraal tegengesteld, zelfs.
Twee: beveiliging-als-add-on is geld waard. Veel partijen verdienen er goed aan om achteraf problemen op te lossen. Dat is gewoon de realiteit, zegt Van den Berg. En die realiteit maakt het moeilijk om erbovenuit te komen.
Drie: het is ingewikkeld. Echt ingewikkeld. “Alles in cyberspace is met elkaar verbonden, deze realiteit is gecompliceerd omdat het geopolitiek is, omdat het mondiaal is, omdat er verschillende eisen zijn aan wetgeving in verschillende landen”, somt ze op. “Het is een enorme puinhoop.”
Maar – en dit is cruciaal – dat betekent niet dat we het moeten accepteren.
Simpel maken is de kunst
Van den Berg gelooft dat het beter kan. Hoe? Door breder te kijken. Niet alleen naar de techniek, maar ook naar gedrag. Naar hoe mensen werken. Naar wat ze nodig hebben. Gedragswetenschappen en rechtswetenschap hebben daar waardevolle inzichten over.
Neem het principe van eenvoud. Dat stond al in de jaren zeventig tussen de principes: zo min mogelijk regels code. Maar eenvoud gaat verder. Het gaat ook om design. “De meeste mensen willen een rechte lijn zien als ze software gebruiken. Iets simpels dat gewoon werkt”, zegt Van den Berg.
Wat krijgen ze? Software volgepropt met features. “We geven ze constant een puinhoop vol met toeters en bellen, allerlei extra opties. En al die opties bieden mogelijkheden om fouten te maken.”
Reden voor al die onnodige functionaliteit? Onderzoek van de Universiteit Twente noemt dit ‘I-methodology’. Ontwerpers zijn vaak experts die zichzelf als gemiddelde gebruiker zien. “Laten we deze toeters en bellen toevoegen, want als ik een eindgebruiker was, zou ik dat geweldig en heel noodzakelijk vinden”, beschrijft Van den Berg de denkfout.
Neem macro’s in Word. “Waarom moeten er macro’s in Word?” vraagt Van den Berg zich af. “Er is één gebruiker wereldwijd die macro’s belangrijk vindt. Een super user. En de rest van ons vindt macro’s eigenlijk helemaal niet relevant. En het is wel een wide open hole. Haal het weg. Zet het uit.”
Haar advies: schrap features. Maak apps eenvoudiger. En kies voor apps boven platforms.
Platforms zijn een ramp
Iedereen wil en biedt tegenwoordig platforms. Eén plek voor je mail, je agenda, je taken, je hele digitale leven. Microsoft doet het, Google doet het. Superhandig, toch?
Nee, zegt Van den Berg. Want alle data op één plek betekent één single point of failure. Als dat platform wordt gehackt, is alles weg. Bovendien zijn platforms helemaal niet zo gebruiksvriendelijk als ze lijken. “Je klikt jezelf helemaal suf”, aldus Van den Berg. “Het is gekmakend dat je de hele dag in zo’n platform zit en dan weer je agenda moet wegklikken om in je e-mail te kijken en andersom. Ik word er horendol van. Dit is hoe het niet moet.”
Apps zijn beter, betoogt ze. “Apps zijn eilanden. Een app heeft doorgaans één duidelijke functie. Als die app goed is ontworpen – en dat betekent: weinig features – is hij gebruiksvriendelijk.” Als voorbeeld noemt Van den Berg Signal, de versleutelde berichtenapp. “Signal heeft geen winstoogmerk. Signal is niet op de beurs. Geen onderdeel van iets groters. Ze willen ook niet opgekocht worden. En ze leveren één ding. En het ene ding wat ze leveren doen ze heel goed.” Dat is wat je wil, betoogt ze: focus, kwaliteit, geen onnodige toeters en bellen.
Daarnaast bieden apps natuurlijke vangrails. Van den Berg stelde het publiek op de ONE Conference een vraag: hoeveel mensen hebben ooit een e-mail gestuurd via hun bankapp? Eén persoon stak zijn hand op. De rest? Nee, natuurlijk niet. Want het komt niet in je op. Zo werkt ons brein. Je gebruikt je bankapp voor financiële zaken: saldo checken, betaling doen, hypotheek raadplegen. Niet voor mailen. Die gedachtegang beschermt je.
Van benign defaults naar technoregulering
Apps alleen zijn niet genoeg. Je moet ook nadenken over hoe je gebruikers helpt binnen die apps. De laatste jaren wordt veel gesproken over benign defaults: standaardinstellingen die gebruikers beschermen. Vaak wordt daar de aanname aan gekoppeld dat mensen dom zijn. Van den Berg gaat daar niet in mee. “Ik hou niet van dat argument. Ik denk dat de meeste mensen gewoon druk zijn, afgeleid, niet per se geïnteresseerd in beveiliging, en dingen willen gedaan krijgen. En beveiliging komt daar soms tussen.”
Dus moet je ze helpen. Met vangrails, met nudges, met een zetje in de goede richting. Een voorbeeld: een toggle switch die standaard uit staat, zodat mensen niet in de problemen komen. Geavanceerde gebruikers kunnen hem aanzetten als ze willen.
Maar Van den Berg gaat een stap verder. Technoregulering, noemt ze het. “Je kunt geen e-mail sturen met een bankapp. Dat kan niet. We hebben die functie niet toegevoegd.” Geen schakelaar die je kunt omzetten. Gewoon: onmogelijk gemaakt. Want als er een toggle is, zijn er altijd mensen die alles aanzetten – ook als ze die geavanceerde features helemaal niet nodig hebben.
Dus bouw het niet in. “Eindgebruikers zijn niet dom, ze zijn niet de zwakste schakel, ze zijn niet het probleem”, benadrukt Van den Berg. “Ze proberen gewoon hun werk gedaan te krijgen en wij moeten ze daarbij helpen in plaats van ze te hinderen.”
Kwestie van willen
Die principes – eenvoud, apps in plaats van platforms, technoregulering – zijn geen hogere wiskunde. Ze vragen vooral om een andere ontwerpfilosofie. Een filosofie die de gebruiker centraal stelt in plaats van de technologie. Die beveiliging vanaf het begin meeneemt in plaats van achteraf plakt.
Vijftig jaar geleden wisten we al hoe het moest. Vijftig jaar later zijn we er nog niet. De vraag is: accepteren we dat, of niet? “We geloven echt dat we niet in de valkuil kunnen stappen om te accepteren dat het is zoals het is”, zegt Van den Berg. “We moeten het beter doen.”
Dat is de kern. Het is moeilijk, ja. De prikkels zitten verkeerd, jazeker. De cultuur zit dwars, absoluut. Maar het alternatief – blijven doormodderen met onveilige systemen, met add-ons die problemen moeten oplossen die er niet hadden hoeven zijn – is geen optie.
Security by design is geen utopie. De principes liggen er al vijftig jaar. Het is nu aan ons om ze eindelijk toe te passen.