Leven met digitale bacteriën
Het menselijk lichaam leeft niet in een steriele omgeving. Integendeel, het is een rijk ecosysteem waarin bacteriën, virussen en micro-organismen voortdurend met elkaar in wisselwerking staan. Sommigen zijn nuttig, anderen potentieel schadelijk en toch functioneert het geheel zonder alles eerst buiten te sluiten. De kracht zit niet in isolatie, maar in het vermogen om onderscheid te maken tussen wat past en wat verstoort. Het immuunsysteem herkent geen namen of identiteiten, maar reageert op patronen, gedrag en afwijkingen van wat als normaal wordt ervaren, zo schrijft Hans Timmerman (foto) in deze blog.
Wat zich in het lichaam afspeelt, begint steeds meer te lijken op wat er in het digitale domein gebeurt. Het internet ontwikkelt zich tot een ecosysteem waarin uiteenlopende entiteiten naast elkaar bestaan en met elkaar interacteren. Mensen zijn daarin niet langer dominant; een groeiend deel van de activiteit wordt uitgevoerd door autonome agents die zelfstandig opereren. Deze bots bewegen zich moeiteloos tussen legitieme en kwaadaardige handelingen, waardoor een grijs gebied ontstaat waarin intentie moeilijk te duiden is. Volledige controle is daarmee een illusie geworden, net zoals volledige uitsluiting dat is.
Wie zich niet kan verdedigen, kan in zo’n omgeving nauwelijks nog functioneren. Net als in de natuur draait het daarom niet om het elimineren van alles wat potentieel schadelijk is, maar om het ontwikkelen van immuniteit. Het vermogen om te herkennen wat thuishoort en wat niet, wordt bepalend voor overleving. Zijn virussen als het ware ‘hackers’ die een cel binnendringen en daar de besturing overnemen, bots zijn net als bacteriën ‘kleine’ beestjes die zich in korte tijd exponentieel vermenigvuldigen zodra ze een ingang hebben gevonden. Daarmee verschuift de uitdaging van het sluiten van de poort naar het begrijpen van wat zich eenmaal binnen afspeelt.
De illusie van digitale identiteit
Het internet heeft een kantelpunt bereikt, niet omdat het aantal gebruikers blijft groeien, maar omdat de aard van die gebruikers verandert. Een aanzienlijk deel van het verkeer bestaat inmiddels uit bots die opereren met intenties die niet direct zichtbaar zijn. Wat zich aan de andere kant bevindt, is steeds minder een mens met een hulpmiddel en steeds vaker een autonome entiteit die leert, zich aanpast en zich kan voordoen als iets anders. Daarmee vervaagt het onderscheid tussen echt en onecht, tussen gebruiker en instrument. Tussen immaterieel en zelfstandig levend.
Onze digitale infrastructuur is nog altijd gebaseerd op het idee dat identiteit vast te stellen en te vertrouwen is. Gebruikersnamen, wachtwoorden, tokens en API-keys zijn gebouwd rond de vraag of iemand is wie hij zegt dat hij is. In een wereld waarin identiteiten eenvoudig te kopiëren, te stelen of te simuleren zijn, verliest die vraag haar betekenis. Wat resteert is gedrag en de mate waarin dat gedrag consistent en verklaarbaar is binnen de context waarin het plaatsvindt. Vertrouwen wordt daarmee geen gegeven meer, maar een continu proces van verificatie.
Wat bij je aanklopt, kan zich telkens opnieuw uitvinden en aanpassen aan de omstandigheden. Het kan geloofwaardig lijken, zich correct gedragen en toch een andere intentie hebben dan het laat zien. De klassieke metafoor van de wolf in schaapskleren krijgt daarmee een nieuwe dimensie, omdat de wolf zich niet alleen vermomt, maar zich ook voortdurend kan herscheppen. Op machinesnelheid en op schaal wordt vertrouwen daarmee iets vluchtigs, iets dat telkens opnieuw moet worden opgebouwd en bevestigd.
Wat de natuur ons allang heeft geleerd
De ironie is dat dit geen nieuw probleem is, maar een bekende realiteit in een andere context. Het menselijk lichaam functioneert al miljoenen jaren in een omgeving waarin niet alles te vertrouwen is en waarin indringers voortdurend aanwezig zijn. We leven in een wereld met veel goede bacteriën en enkele slechte, die we moeten vermijden. Het natuurlijke systeem functioneert omdat het niet afhankelijk is van vaste identiteiten, maar van dynamische herkenning. Wat afwijkend gedrag vertoont, wordt gesignaleerd en, indien nodig, gecorrigeerd of verwijderd. Het systeem leert en past zich aan op basis van ervaring.
Het internet begint steeds meer op zo’n ‘levend’ systeem te lijken, waarin interactie de norm is en stabiliteit voortkomt uit adaptiviteit. Het is geen statisch netwerk meer waarin regels eenmalig worden vastgesteld, maar een dynamische omgeving waarin gedrag continu wordt geëvalueerd. In zo’n wereld verliest de vraag naar identiteit haar centrale positie en maakt plaats voor de vraag naar intentie en consistentie. Dat vraagt om een andere manier van denken over veiligheid, waarin niet de toegang centraal staat, maar het gedrag voor en vooral ná die toegang.
Het falen van de voordeur
Traditionele beveiliging is lange tijd gericht geweest op het bewaken van de toegang, alsof het internet een gebouw is met een duidelijke ingang. Authenticatie, loginprocedures en toegangscontrole vormen de eerste verdedigingslinie, maar die lijn blijkt steeds minder relevant. Moderne aanvallen vinden hun weg via routes die niet als ingang worden gezien, via API’s, backend-processen en interacties die op het eerste gezicht legitiem lijken. Ze gedragen zich volgens de regels en maken gebruik van dezelfde mechanismen als toegestane gebruikers.
Daarmee ontstaat een paradox waarin correct gedrag geen garantie meer is voor goede intenties. Als een entiteit zich houdt aan alle gestelde regels, maar dat doet met een ander doel dan waarvoor die regels bedoeld zijn, hoe onderscheid je dan nog het verschil? De voordeur blijft gesloten, terwijl de activiteit zich elders afspeelt, buiten het zicht van traditionele controlemechanismen. Beveiliging verschuift daarmee van het controleren van toegang naar het begrijpen van gedrag.
Digitale weerbaarheid als immuunsysteem
In een eerdere blog beschreef ik al dat digitale weerbaarheid begint waar soevereiniteit ophoudt. Wat toen nog impliciet was, wordt nu steeds zichtbaarder. Systemen moeten niet alleen bepalen wie er binnenkomt, maar vooral wat er gebeurt nadat die toegang is verkregen. Dat vraagt om een benadering die meer lijkt op een immuunsysteem dan op een slot op de deur.
Een dergelijk systeem bestaat uit lagen die elkaar aanvullen en versterken, waarbij identiteit slechts één van de factoren is. Gedrag, context en respons vormen samen een dynamisch geheel waarin afwijkingen worden herkend en geadresseerd. Reacties hoeven niet altijd te bestaan uit blokkeren; vertragen of isoleren kan effectiever zijn in het blootleggen van intenties. Het systeem wordt daarmee niet alleen verdedigend, maar ook lerend en adaptief.
Van “zero trust” naar “no permanent trust”
Concepten als Zero Trust markeren een belangrijke stap, omdat ze het idee loslaten dat vertrouwen vanzelfsprekend is. Tegelijkertijd blijven ze vaak impliciet uitgaan van een moment waarop vertrouwen kan worden vastgesteld. De werkelijkheid laat zien dat zo’n moment niet bestaat, omdat omstandigheden continu veranderen en gedrag zich aanpast. Vertrouwen is daarmee geen status, maar een tijdelijk oordeel dat voortdurend moet worden herzien. En net zoals eerdere ‘besmettingen’ en vaccinatie ons immuunsysteem leert om binnendringers vroegtijdig te herkennen, zou digitale vaccinatie een oplossingsrichting kunnen zijn: hoe herken je bekende ‘foute’ bots die jouw ecosysteem zijn binnengedrongen?
Elke interactie met een bot draagt bij aan het oordeel ‘goed’ of ‘fout’ en kan een gerichte afweer starten. Dat maakt veiligheid minder een kwestie van regels en meer van interpretatie, minder van afsluiten en meer van herkennen en begrijpen wat jouw ecosysteem is binnengekomen. Het vermogen om patronen te herkennen en afwijkingen te duiden wordt daarmee belangrijker dan het strikt handhaven van grenzen. Digitale vaccinatie zou wel eens een heel nieuw vakgebied kunnen worden.
Door: Hans Timmerman
