de IT-Auditor nummer 4 | 2013 de IT-Auditor nummer 4 | 2013 5de IT-Auditor nummer 4 | 2013

inte

rview

IntervIeW Met PrOF. Dr. Ir. jAn vAn Den Berg

De onzin van virtueel

Iemand die 23 keer de rotterdamse mara-thon heeft gelopen, laat zich niet afschrik-ken door een stortbui. jan van den Berg arriveert met fiets en in regenpak op de afgesproken interviewlocatie in rotterdam. Als fysicus schreef hij ooit een proefschrift dat naar eigen zeggen ‘geen mens kon lezen’, en na academische omzwervingen langs onder andere de erasmus Universi-teit, waar hij aan de wieg stond van de opleiding Informatica & economie, is de cirkel nu rond en is hij terug in Delft. Met een kersverse benoeming als Full Professor Cybersecurity op zak en een grote ambitie. reden om te praten.

ED RIDDERBEEKX

je benoeming lijkt wat in de luwte te hebben plaatsgevonden, we konden geen persbericht vinden.‘Dat komt een beetje door de zomerperi-ode. Zo’n benoeming gaat via allerlei schij-ven en was op 9 juli eindelijk definitief. Delft wil zich duidelijk profileren op het gebied van cybersecurity, maar mijn benoeming heeft toch wat tijd gekost. Ik verwacht dat er nog wel wat meer publici-teit volgt rond mijn inaugurele rede, die voor 13 december gepland staat. Ik vond het eigenlijk wel prima zo, laat me eerst maar even wennen aan het idee van hoogleraar zijn.’

Wat is het verschil met de leerstoel Cybersecurity die Michel van eeten in Delft bekleedt?‘De omschrijving en invulling daarvan zijn anders. Michel is lid van de Cybersecurity Raad, het adviesorgaan dat adviseert op strategisch niveau over CS-vraagstukken. Daarin zitten drie mensen uit de academi-sche wereld waaronder Michel, en een aantal vertegenwoordigers uit het bedrijfsleven en de overheid. Op basis daarvan heeft Michel een heel sterke cybersecurity-signatuur gekregen, zijn invalshoek daarbij is in eerste instantie economisch.’

Wat is jouw invalshoek?‘Dat zijn er eigenlijk twee. Op de eerste plaats is er een holistische view, die gericht is op de vraag: “wat zijn cyber-space en cybersecurity in hun volle com-plexiteit eigenlijk? Waar hebben we het over?” En daarnaast, om deelproblemen op te kunnen lossen, is een reductionisti-sche view nodig. Ik heb heel veel nage-dacht over die holistische invalshoek. Je wordt hoogleraar cybersecurity, en dat is mooi, maar what the hell are we talking about? Cybersecurity is security van cyberspace, dus moet je eerst bepalen

wat cyberspace eigenlijk is. We hebben een nieuwe wereld gecreëerd, een man-made global nervous system dat geba-seerd is op de mogelijkheden van inter-net en dat een enorme hoeveelheid activiteiten mogelijk maakt. Het begon traditioneel met het uitwisselen van infor-matie, maar toen zijn we veel meer gaan doen. We voerden transacties via internet uit, e-commerce kreeg vorm, we bestuur-den processen en fysieke infrastructuur op afstand, remote control. En tegenwoor-dig is ook het sociale domein onderdeel van cyberspace, we participeren in social media en communities, want je vrienden zijn er ook. En het gaat door, tot aan cyberwarfare toe, the 5th battlefield. Deze cyberspace-activiteiten zijn gebaseerd op een basisverzameling van digitale proces-sen: data & information processing, data & information exchange en data & informa-tion storage, aangestuurd door miljoenen gebruikers en enablers. En wat veel mensen vergeten: we hebben heel veel zaken aan dat systeem gedelegeerd, het neemt autonome beslissingen. “Virtueel” is mijns inziens een fout begrip voor het karakteriseren van cyberspace. Het is een echte space. Cyberspace is het vijfde domein. De vraag is dan: “hoe gaan we dat allemaal in goede banen leiden?”’

‘Vijftien jaar geleden spraken we over infor-matiebeveiliging met termen als confiden-tiality, integrity, availability, het bekende CIA. Eigenlijk schrok ik toen ik me reali-seerde dat dat nog steeds zo’n prominente rol lijkt te hebben als referentiekader. Het is zó archaïsch.’

Betekent dat dat we alles wat we weten over informatiebeveiliging moeten los-laten en moeten komen tot een herdefi-nitie van het begrip?‘Ja, dat is essentieel. Voor CIA hadden we frameworks, maar in feite zijn die termen

IT Auditor_13_04.indd 5 25/11/13 5:10 PM

de IT-Auditor nummer 4 | 20136

inte

rview

de IT-Auditor nummer 4 | 2013de IT-Auditor nummer 4 | 2013

heel abstract. Je kunt cyberspace zien als een verzameling domeinen, zoals gezond-heidszorg, finance, procestechnologie, flood defence, enzovoorts. Als je het hebt over CIA en breaches van CIA, dan gaat het over CIA in de context van het domein. In procesbesturing is confidentiality mis-schien niet zo belangrijk, maar integrity en availability zijn dat wel. Bij het elektronisch patiëntendossier is dat grotendeels andersom. Bij het managen van risico’s moet je dus in staat zijn om per domein of subdomein aan te geven wat daar de risi-cocontext is, en daarin schieten de oude frameworks tekort.’

Maar is dat echt fundamenteel anders dan wat we doen of deden? Contextuele risico-analyse?‘CIA is heel technology driven. Er zit geen semantiek in. Ik heb twee fundamentele

bezwaren tegen die klassieke benadering van informatiebeveiliging en risk manage-ment frameworks, waar ook auditors mee werken, zoals ISO27000. Op de eerste plaats is het low level, zonder context, een soort universeel toepasbaar model. Het is te generiek. Ik denk dat je de risicocontext veel specifieker per domein moet maken: wat zijn per domein acceptabele risico’s? Dat is een discussie waard. En mijn tweede bezwaar is dat die frameworks uitgaan van individuele organisaties. In cyberspace is dat een fundamenteel ver-keerd uitgangspunt, cyberspace is inter-connected space. In de Cybersecurity Council werd ik laatst gevraagd mee te denken over PAS 55, ook zo’n standaard. Ik heb er vluchtig naar gekeken en dacht: weer zo’n raamwerk dat organisaties cen-traal stelt. Hey guys, de sector moet cen-traal staan! Het betalingsverkeer in Neder-land is zo’n sector, of de gezondheidszorg, of de dijkbewaking. Je moet komen met een analyse van cyberactiviteiten in dat domein, en dat als uitgangspunt nemen, en niet starten vanuit een zogenaamd universeel framework voor een individuele

entiteit. Pas dan kun je acceptabele risico-niveaus definiëren.’‘Ik hanteer graag het bow tie-model voor risk management in cyberspace. Je hebt te maken met een enorm scala aan bedreigin-gen. Die kunnen leiden tot een incident, die op de “knoop” van de vlinderdas op een hoop zijn gegooid. En die incidenten kunnen op hun beurt weer leiden tot een groot aantal verschillende impacts. De eerste belangrijke stap is te snappen hoe in cyberspace een bedreiging uiteindelijk als incident een impact kan hebben. Vervol-gens voer je een discussie, maatschappelijk of per domein, wat een acceptabele impact is, om daar je maatregelenset op af te stem-men. Het probleem is dat we niet eens het begin van een idee hebben wat accepta-bele risico’s in cyberspace zijn. Het risico van overstroming in de kustprovincies vinden we acceptabel als we het terug

kunnen brengen naar “eens in de 10.000 jaar”. Maar als je aan minister Opstelten vraagt hoe dat zit in Cyberspace krijg je een antwoord als “het moet veiliger!” Daar kun je niets mee, dat is niet de goede formule-ring. Neem het elektronisch patiëntendos-sier. Natuurlijk gaan daar breaches in plaats-vinden, de vraag is hoeveel breaches acceptabel zijn. Wat is het restrisico dat we in cyberspace willen accepteren? Het ant-woord daarop is niet gemakkelijk, maar we moeten wel met die vraag aan de slag.’

Impliceert dat ook dat we ons meer moeten richten op robuustheid, meer op detectieve en repressieve maatregelen in plaats van op preventieve controls?‘Dat is een goed punt. In mijn eigen research wil ik graag sterk focussen op monitoring en analytics. Preventieve maatregelen zijn belangrijk, maar zullen deels falen. Betere monitoring en detectie zijn een andere manier. Om dat te illustreren zeg ik tegen mijn studenten: “Kijk maar naar wat de NSA doet. Dat is toch geweldig?” We vinden het heel gewoon dat we voortdurend een beeld hebben van alle files die in Nederland staan

om daarop beslissingen te baseren in ons verplaatsingsgedrag. Maar in cyberspace hebben we het gewoon laten gebeuren dat we geen idee meer hebben van wat er aan de gang is. Het Nationaal Cybersecurity Center komt eens per halfjaar met een beeld hoe het er in de BV Nederland voor staat op het gebied van cybersecurity. Pardon? Ik wil dat twentyfour-seven weten! Natuurlijk, de NSA doet dat volstrekt intransparant en ondemocratisch, en ik begrijp de privacy issues. Maar als we cyberspace een belang-rijke wereld vinden moet je weten wat daarin gebeurt. Vrijheid-blijheid gaat daarbij niet werken, er moeten spelregels zijn en bij overtreding van die regels moet je kunnen optreden. Dat is de uitdaging van dit vakge-bied: hoe gaan we daarvoor zorgen? Hoe gaan we leren dat te doen?’

en de reductionistische view?‘Een reductionistische aanpak heb je nodig om deeloplossingen te bepalen die bijdra-gen aan beheersing van het geheel. Data analytics is bijvoorbeeld heel interessant. Welke patronen kun je ontdekken? Ik ben bezig met Advanced Persistent Threats en hoe je die kunt detecteren. Die zitten heel slim in elkaar met een combinatie van aan-valstechnieken. Je moet reductionistisch denken om detectiesystemen te ontwer-pen die daarop afgestemd zijn, en dat is heel lastig. Anderen zijn op hun eigen manier reductionistisch bezig, bijvoorbeeld met secure software design, en ook dat is ongelooflijk moeilijk. Belangrijk is dat we snappen hoe die deeloplossingen kunnen bijdragen aan beheersing van het totaal.’

‘Het is fascinerend wat er in vijftien jaar is gebeurd. Enablers in cyberspace zijn niet alleen commerciële partijen en overheden, maar ook alle actieve gebruikers van het systeem. Als je daarover nadenkt, is cyber-space een krank-zin-nig ding dat we heel normaal zijn gaan vinden. In feite ben je knettergek dat je een systeem creëert waaraan twee miljard-plus gebruikers zitten te klooien. Maar we hebben dat samen gedaan. En zonder veel acht te slaan op solide ontwerpprincipes. Sterker nog: we weten niet precies welke principes dat zouden moeten zijn. We zijn in paniek over Diginotar en schrikken ons lam dat er iets misgaat, maar we moeten ons realiseren

‘Cyberspace is een krankzinnig ding dat we heel normaal zijn gaan vinden’

IT Auditor_13_04.indd 6 25/11/13 5:10 PM

de IT-Auditor nummer 4 | 2013 de IT-Auditor nummer 4 | 2013 7de IT-Auditor nummer 4 | 2013

dat we voldoende opportunities hebben laten liggen om het beter beheersbaar te maken. Wat we nodig hebben zijn metho-dologieën die cyberspace beheersbaar maken in safety en security.’

Wat ga je doen in Delft? Hoeveel vrij-heidsgraden heb je om je visie in de aca-demische praktijk te gaan brengen?‘Ik voel ongelooflijk veel vrijheid. Misschien heeft dat te maken met “het land der blin-den” of zo. We zijn bezig met het opzetten van de Cybersecurity Academy, in het kader van The Hague City of Justice. Ik probeer daar met een onderwijsprogramma actief

aan bij te dragen en het boeiende is dat we het heel vernieuwend willen aanpakken. De mensen van CSA steunen me in mijn visie en vinden die tamelijk uniek. Ik wil een holistische approach. Als we mensen willen

opleiden die echt succesvol zijn in cyberse-curity, dan moeten we een eigen jargon en semantiek ontwikkelen. We gaan bij elkaar zitten om een gemeenschappelijk kader te maken, waarbinnen we naar oplossingen

gaan zoeken. De ontologie moet op zijn plek staan. Het gaat om een unifying view, dat is de basis. Ik heb specifiek gevraagd: zijn jullie het daarmee eens? Dit wil ik, maar willen jullie het ook? Ik voel me gesterkt bij

het idee dat heel veel mensen zeggen: this is the way to go. Ik wil geen roepende in de woestijn zijn. Het mooiste compliment was dat CSA-mensen zeiden: “ik zou zelf die opleiding willen volgen”.’

‘CIA als referentiekader is zó archaïsch’

IT Auditor_13_04.indd 7 25/11/13 5:10 PM

de IT-Auditor nummer 4 | 20138

inte

rview

de IT-Auditor nummer 4 | 2013

‘Er komt een geaccrediteerd Masterpro-gramma. De pilot daarvan start in januari, en officieel gaan we in september 2014 van start. Kijk, de wereld van techniek en policy lopen momenteel uit elkaar. Ik wil dat mensen opgeleid worden en van beide weten. Je kunt geen fatsoenlijk beleid ont-werpen als je geen flauw idee hebt van hoe de techniek in elkaar zit. En andersom kun je geen goede technische oplossing bouwen als je niets weet van wettelijke en maatschappelijke kaders. Dat moet bij elkaar gebracht worden. Je moet over je vakgebied heenkijken, anders gaan we de problematiek van cybersecurity niet oplos-sen. Als jij beleidskaders voor cyberspace gaat maken, prima, maar dan moet je

weten hoe het OSI-model werkt, wat een digitale handtekening precies is, hoe https in elkaar zit. En als techneut moet je de maatschappelijke context van de domei-nen in cyberspace kennen, anders ben je dolend. Die werelden moeten bij elkaar komen.’

je praat over security maar ook over safety. Leg eens uit?‘Safety heeft te maken met unintentional threats, security met intentional threats. Jij zit nog erg in de traditionele betekenis van security, je denkt aan CIA. Maar safety en security in cyberspace heeft veel meer dimensies. Als social media gebruikt worden om anderen lastig te vallen, cyber-bullying

of stalking, dan is ook dat een risico dat door cyberspace wordt opgeworpen en aan-dacht verdient. Hetzelfde geldt bijvoor-beeld voor vraagstukken rondom het gebruik van het internet in het onderwijs en bij studie. Dat is juist mijn argumentatie om mensen aan boord te krijgen en een groot draagvlak te creëren voor cybersecurity-vraagstukken. Het gaat immers ook om sociale, emotionele, en psychologische risico’s. Ik zie dat echt heel breed. We hebben het niet over een economisch pro-bleem alleen in termen van financiële risico’s. In hoeverre laten we cyberspace een deel van ons leven zijn en hoe beheer-sen we het dan? Laten we studenten ertoe aanzetten over dat soort vraagstukken na te denken.’

en de It-auditors?‘We hebben informatiebeveiliging naar cyberspace getrokken en nu moeten we naar een framework waarmee we met ver-stand naar die nieuwe wereld kunnen kijken. Ook auditors zouden dat moeten doen. Ik denk dat je er niet aan ontkomt dat je auditors per domein krijgt, die snappen hoe in dat specifieke domein de wereld in elkaar zit en de techniek werkt. Daar moeten auditing frameworks en toetsings-kaders op afgestemd worden. Je moet van het idee af dat je als auditor de hele wereld aankan en universeel kunt auditen, dat gaat niet lukken. Ook in de opleiding zal je moeten differentiëren, en niet moeten steunen op een universeel toepasbare methodologie.’

Wat mogen we verwachten van je inau-gurele rede?‘Ik zoek nog naar een titel, maar de essentie van het verhaal kan ik samenvatten in één vraag: “ Waar hebben we het in godsnaam over?”’

Naschrift redactie:De titel van Jan van den Berg’s inaugu-rele rede is er inmiddels wel. Op 13 december zal Jan zijn ambt van hoogle-raar aanvaarden met de oratie: Real Cyber Security : Virtually impossible? Deze academische plechtigheid is open-baar en zal plaatsvinden om 15.00 uur in de Aula (Auditorium/3e etage), Mekel-weg 5, te Delft. ■

IT Auditor_13_04.indd 8 25/11/13 5:10 PM