Wendbaar en ‘in control’ blijven in de risicosamenleving: de toepassing van Artificial Intelligence in een risicomanagementsysteem.

Risicobeheersing is relevanter dan ooit. Nog nooit in de geschiedenis is men zo bewust geweest van alle risico’s waar we aan blootgesteld worden.

---

De opkomst van de risicosamenleving en haar digitale veiligheid

Wanneer men tegenwoordig denkt aan het concept ‘veiligheid’, dan is dit onlosmakelijk verbonden met het concept ‘risico’. Veiligheid staat namelijk gelijk aan de perceptie of men gevaar loopt. Het was de socioloog Ulrich Beck (1992) die als eerste deze link legde tussen veiligheid en de perceptie van risico’s. Hij stelde zelfs dat onze huidige samenleving getypeerd kan worden als een ‘risicosamenleving’. Hij wijst op twee belangrijke trends die onze risicosamenleving kenmerken.

Ten eerste stelt hij dat modernisering onze samenleving een hoop voorspoed en welvaart heeft gebracht. Echter, deze voorspoed heeft tevens tot gevolg dat wij worden blootgesteld aan vele nieuwe risico’s. Zo heeft de digitalisering van de samenleving veel nieuwe kansen geboden op vooruitgang, maar creëert deze tegelijkertijd ook nieuwe cyberrisico’s. Veiligheidsregio’s weten dat veel risico’s in de omgeving zijn ‘verborgen’, doordat de omvang, aard en ernst van cyberrisico’s niet goed in beeld zijn (IFV, 2019). Boutellier (2005) stelt dat politieke sturing daardoor minder is gaan draaien om ideologische tegenstellingen, maar meer om vormen van expertkennis. De dreiging en de beheersing van cyberrisico’s is een steeds belangrijker thema in de politiek geworden.

Ten tweede stelt Beck (1999) dat de burger zich door de modernisering tegelijkertijd steeds bewuster is geworden van deze risico’s en dreigingen. Dit komt onder meer door technologische ontwikkelingen die ons beter in staat stellen om cyberrisico’s te duiden en te voorspellen. Mensen willen zich zoveel mogelijk weren tegen deze waargenomen dreigingen en passen zich aan om deze cyberrisico’s af te zwakken of te verdelen. Voorbeelden hiervan zijn de klimaatmodellen van de IPCC en de pogingen om klimaatverandering tegen te gaan met duurzaamheidstrategieën. Verder kan de opkomst van technologieën zoals Artificial Intelligence (AI) ondersteuning bieden bij het herkennen van cyberdreigingen (Gartner, 2020b). Burgers zijn zich nog nooit zo bewust geweest van het bestaan van risico’s en lijken niet meer bereid deze te dragen (van der Woude, M. & van Sliedregt, E.: 2007).

De digitalisering van de samenleving heeft significante effecten op de huidige risicosamenleving. Aan de ene kant plukken organisaties de vruchten van de mogelijkheden die digitalisering met zich meebrengt. Aan de andere kant worstelen ze ook met nieuwe en onvoorziene risico’s die hierdoor zijn ontstaan. Het is dus niet verwonderlijk dat de Nationaal Coördinator Terrorismebestrijding en Veiligheid (2020) digitale veiligheid zelfs een randvoorwaarde noemt voor het functioneren van de nieuwe digitale maatschappij.

Een ISMS geeft op efficiënte wijze sturing aan risicomanagement van een organisatie

Op organisatieniveau moeten spelers in de publieke sector methoden ontwikkelen en toepassen om zich te kunnen blijven wapenen tegen gebeurtenissen in de risicosamenleving, door middel van risicomanagement. Dit moet met rust, beleid en overzicht gebeuren. Het is daarbij essentieel dat cyberrisicomanagement in lijn is met de organisatiestrategie en dat het de organisatiedoelen ondersteunt. Om cyberrisicomanagement zo effectief mogelijk te laten verlopen kan een Information Security Management System (ISMS) worden opgezet. Dit is een procesgerichte benadering voor informatiebeveiliging, waarin het risicobeheersproces centraal staat. Het doel van het ISMS is om continu te blijven beoordelen of beveiligingsmaatregelen passend en effectief zijn en of deze bijgesteld moeten worden (IBD, 2019). Dit maakt het ISMS een onmisbaar gereedschap voor een organisatie haar risicomanagement.

Figuur 1: De vier fasen van de ISMS-cyclus worden doorgaans als Plan-Do-Check-Act omschreven

---

Om een ISMS op te zetten voeren organisaties een risicoanalyse uit binnen het gekozen kader. Het staat organisaties vrij om daarvoor een eigen methode te definiëren. Voor een goede uitvoering is het voornamelijk essentieel dat dezelfde methodiek consistent wordt toegepast. Een belangrijk denkmodel is bijvoorbeeld dat van Kaplan & Mikes (2012), waarin risico’s worden ingedeeld in strategische, preventieve en externe risico’s met cyber als een additionele categorie. Risico’s worden zo geclassificeerd en binnen de context van de organisatie gewogen. Dit helpt om te bepalen op welke manier ze beheerst moeten worden. Daarnaast zijn de ISO27005, NIST 800-30, COSO ERM 2017 en ISO31000 veelgebruikte raamwerken om de waarschijnlijkheid en impact van risico’s in beeld te krijgen en te mitigeren. Het geheel van alle activiteiten die ondernomen gaan worden om de risico’s te beheersen legt men vast in het informatiebeveiligingsplan. Dit wordt periodiek getoetst om te kijken of er correcties uitgevoerd moeten worden. Zo ontstaat er een leercyclus die ervoor zorgt dat een organisatie alert blijft om effectief te kunnen reageren op veranderingen in het risicolandschap.

Om het belang ervan te kunnen aantonen dat organisaties snel moeten kunnen sturen op veranderingen in het risicolandschap, hoeft men niet verder te kijken dan de actualiteit. COVID-19 heeft in een zeer korte tijd significante verstoringen veroorzaakt in onze samenleving. Gartner (2020a) wijst daarom op de nieuwe risico’s die worden veroorzaakt door deze pandemie. Ons werkende leven is door COVID-19 in rap tempo verder gedigitaliseerd. Deze ontwikkeling heeft het risicolandschap van overheden sterk beïnvloed. Zo is er bijvoorbeeld een sterke toename waar te nemen in transformaties van lokaal naar cloudopslaggebruik of in het gebruik van andere diensten van derde partijen. Daarnaast vallen veel werknemers door thuiswerken niet meer onder de gebruikelijke controlemaatregelen, waardoor kwetsbaarheden ontstaan en risico’s toenemen. Ten slotte is er geen zekerheid over de mate waarop deze situatie het ‘nieuwe normaal’ betreft. Er bestaat een kans dat organisaties over een jaar weer terug moeten veranderen als het coronavirus onder controle is.

Gezien het aantal cyberrisico’s en de complexiteit ervan lijkt het lastig om weerbaar te blijven in het dynamische risicolandschap. De opkomst van nieuwe technologieën, zoals AI, zou onze weerbaarheid kunnen versterken.

Wat is Artificial Intelligence?

Artificial Intelligence is een technologie die zich richt op het repliceren van menselijk gedrag door middel van slimme algoritmes. Belangrijkste randvoorwaarden voor het functioneren van een AI zijn de kwaliteit en kwantiteit van beschikbare data. Deze datasets worden vervolgens gebruikt voor het trainen van het AI-algoritme en het slimmer maken ervan. Onvoldoende data of data van onvoldoende kwaliteit kan als gevolg hebben dat de AI een bias of inaccurate output creëert. Wanneer we AI willen inzetten om organisaties weerbaarder te maken, bijvoorbeeld door middel van het integreren van AI binnen het ISMS, is het van belang om bias zo veel mogelijk te reduceren. Naast de vele organisaties die geavanceerde technologieën zoals AI inzetten, ziet ook de Europese Commissie hier de toegevoegde waarde van in. Zij investeert maar liefst 2.5 biljoen euro in het ontwikkelen van AI-capaciteiten in Europa als onderdeel van het Digital Europe Programme (ENISA, 2020).

Hoe kan Artificial Intelligence worden ingezet om een ISMS te verbeteren?

AI wordt in het cybersecuritydomein al industrie-breed ingezet voor het herkennen van en waarschuwen voor malwareaanvallen of phishing. Daarnaast kan AI helpen bij het identificeren van abnormaal gedrag en het bijhouden en voorspellen van cyberrisico’s in een veranderlijk dreigingslandschap. Dit kan worden gerealiseerd door middel van ‘predictive analytics’ en het is mogelijk om deze methode te combineren met een GRC-tooling. Zo zien we dat AI in toenemende mate wordt ingezet bij digitale transformaties om het risicomanagement van bedrijfsprocessen slimmer en sneller te maken.

Cybersecurityrisico’s nemen bijna dagelijks toe en aanvallers zetten in toenemende mate geavanceerde technologieën als AI in, om in te breken bij systemen en hierdoor waardevolle data buit te maken. Om deze vormen van aanvallen bij te houden zullen verdedigers ook gebruik moeten gaan maken van AI. Dit benadrukt de urgentie voor organisaties om dergelijke technologieën in te zetten om informatiesystemen goed te beveiligen. Er zijn hierbij tal van mogelijkheden. Dit kan bijvoorbeeld door de inzet van ‘AI-agents’ tijdens het pentesten. Daarnaast kan AI een bijdrage leveren aan een Intrusion Detection System bij het vroegtijdig signaleren of voorspellen van cyberaanvallen. Ook kunnen ‘supervised learning models’ gebruikt worden bij analyseren van netwerkverkeer, het monitoren van firewalls of het classificeren van data. Zo levert AI al een bijdrage aan veel bestaande verdedigingsmechanismen van een organisatie, zodat de organisatie opgewassen is tegen de toenemende dreigingen.

Ook binnen het ISMS kan AI veel toevoegen. Bijvoorbeeld bij het automatiseren van standaardactiviteiten en het voorspellen van risico’s. Dit helpt bij het borgen van informatiebeveiliging, wat cruciaal is binnen het veiligheidsdomein. AI zou het risicoanalyseproces in sommige gevallen automatisch kunnen laten verlopen. Verder zou de toepassing van AI het ISMS naar een meer monitorende functie binnen de organisatie kunnen sturen. Daarnaast kan AI een rol spelen bij het voorspellen van incidenten. Op basis van kansberekeningen kan AI abnormale activiteiten verbinden aan risico’s en het dreigingsniveau inschatten. Dit ‘smart cyber riskmanagement’ helpt bij het prioriteren van mitigatie-acties om risicomanagement efficiënter en effectiever te laten verlopen. Hierbij is het wel van belang dat de besluitvorming van de AI over deze risicoprofielen transparant en verklaarbaar blijft. Voornamelijk als de AI-output zal worden gebruikt voor Risk en Compliance-activiteiten, zoals audits. Er zal altijd een menselijk oog op moeten worden geworpen om mogelijke technische fouten in het algoritme te ontdekken.

Slot

Nog nooit in de geschiedenis is men zich zo bewust geweest van risico’s als nu. Daarnaast ontstaan er dagelijks nieuwe risico’s waar de samenleving aan blootgesteld wordt. Daarnaast moeten ook organisaties in het publieke domein manieren vinden om zich te blijven beschermen tegen het snel veranderende risicolandschap. Een efficiënte manier om dit te bereiken is de toepassing van een ISMS. Het ISMS introduceert een cyclisch informatiebeveiligingsproces waarmee een organisatie haar informatiebeveiliging periodiek herziet en aanpast. Het risico-analyseproces staat hierin centraal en het is aan elke organisatie zelf om een methodiek uit te kiezen die hierin uitgevoerd wordt. Door het periodiek uitvoeren van risicoanalyses kan een organisatie haar controlemaatregelen herzien en monitoren of deze nog wel effectief zijn. De effectiviteit van een ISMS kan vergroot worden door toepassing van automatisering met AI. Het gebruik van AI binnen cybersecurity en risicomanagement neemt tegenwoordig sterk toe. De technologie kan ook veel toevoegen aan een ISMS. Dit komt doordat AI versterking kan bieden aan veel functies van het ISMS, door middel van predictive analytics of smart cyber riskmanagement. Met name de combinatie van een ISMS met de aanvulling van AI zorgt ervoor dat organisaties in het veiligheidsdomein hun digitale weerbaarheid ook op lange termijn zullen blijven borgen.