Round Table: Innovatie in cybersecurity en de impact van wet- en regelgeving
In het statige Kasteel De Hooge Vuursche te Baarn organiseerde Cylance – in samenwerking met Executive-People – een geslaagde Round Table over innovatie in cybersecurity. De discussie spitste zich daarbij op meerdere momenten toe op de vraag in hoeverre wet en regelgeving vanuit Europa en onze eigen overheid een rol speelt – dan wel móet spelen – bij dit soort innovatieve technologische ontwikkelingen, die ons allemaal raken.
Gastheer Paul van der Wilk is sinds januari 2018 Sales Director Benelux bij Cylance, een Amerikaanse cybersecurity-startup, die bij de bestrijding van malware een geheel andere aanpak hanteert dan tot nu toe gebruikelijk: niet reactief maar proactief, op basis van een slim model dat volop gebruikmaakt van AI-technologie (Artificial Intelligence). Zijn CEO, Stuart McClure, voelde zich in 2012 – werkzaam als CTO bij Intel McAfee – steeds meer CAO (Chief Apology Officer) dan CTO, vertelt hij tijdens zijn welkomstwoord. Want alles wat ze daar – en ook in de rest van de antivirusindustrie – deden, was reactief, dat wil zeggen gebaseerd op het kunnen tegenhouden van de virussen die men al kent, terwijl nieuwe malware alleen achteraf onschadelijk gemaakt kan worden. “Maar de heilige graal in deze markt zit natuurlijk in het voorkómen. Kijk naar de gezondheidszorg, ook daar hanteert men liever prebiotica dan antibiotica.”
Op zoek naar die heilige graal startte McClure in 2012 zijn eigen bedrijf, gebaseerd op de gedachte: als we nu het gedrag van virussen en andere malware eens in algemene zin gaan analyseren, en we maken daar een slim model van, dan kunnen we wellicht niet alleen de bestaande en bekende problemen tegenhouden, maar ook de onbekende zaken. “Want we baseren ons tenslotte op het analyseren van het gedrág!”, onderstreept Van der Wilk. “Dat is waar Cylance voor staat, dat is zoals wij denken dat de toekomst van antivirus en antimalware eruit gaat zien, en dat is in een notendop de reden dat ik voor dit bedrijf heb gekozen en hier vanavond uw gastheer mag zijn.”
AI en zelflerende systemen dé oplossing?
De gespreksleiding is in handen van cybersecurityspecialist Mary-Jo de Leeuw, die voor deze Round Table een aantal stellingen heeft geformuleerd, maar daaraan vooraf de andere deelnemers aan tafel (elf in getal, een geschakeerd gezelschap van IT-deskundigen uit zowel de aanbieders- als de gebruikerswereld) eerst gelegenheid wil geven te reflecteren op de woorden Van der Wilk.
Er ontstaat direct een levendige discussie, die begint bij een vergelijking tussen ons eigen zelflerende afweersysteem en hetgeen Cylance nastreeft met zijn creatie van, zoals een van de deelnemers het omschrijft: een op basis van AI zelflerend afweersysteem voor informatiesystemen. “Want dát heb je nodig om ook te kunnen anticiperen op nieuwe dreigingen die nog niet bekend zijn.” “Zijn die op AI gebaseerde zelflerende systemen dan ook meteen dé oplossing voor alle andere problemen waar we tegenaan lopen op cybersecurity gebied?”, vraagt De Leeuw.
“Als je het over technologie hebt en over innovatie”, klinkt het aan de overkant van de tafel, “dan gaat het al heel snel over slimme toepassingen en het inbouwen van intelligentie, maar ik geloof niet dat het daarom gaat. Het gaat om heel andere dingen. Dingen als: economie, politiek en prijs-prestatie. In mijn optiek zijn dat de dingen waar het écht om gaat.” Deze opmerking blijkt de opmaat naar een discussie over een onderwerp dat een groot deel van de rest van de rondetafel-bijeenkomst zal beheersen, namelijk de rol van de politiek en wet- en regelgeving in deze context.
Leidt regelgeving tot innovatie?
Er komt een voorbeeld ter tafel over de auto-industrie in de VS, die in de jaren zestig wereldwijd leidend was, maar heel onveilige auto’s maakte en niet genegen was daar íets aan te doen, want dan werden die auto’s alleen maar duurder en minder verkocht. Regeringen in Europa grepen toen in, want die wilden wél veiliger auto’s en begonnen veiligheidseisen te stellen, zoals veiligheidsgordels, dubbele remsystemen en kooiconstructies. En door die eisen die in de jaren daarna steeds verder werden aangescherpt, werd de Europese auto-industrie uiteindelijk wereldwijd marktleider en zakte de Amerikaanse auto-industrie voor een groot deel in elkaar.
“Rond internet kondigt zich nu iets dergelijks aan”, zegt de deelnemer die dit voorbeeld ten tonele voerde. “Die grote bedrijven in Silicon Valley die het internet hebben groot gemaakt, lijken niet bereid om het veiliger te maken om hun eigen omzetten niet in gevaar te brengen. Terwijl er in Europa politici opstaan die zeggen: internet leidt tot allerlei onzalige ontwikkelingen, dus wij gaan daar afspraken over maken en wet- en regelgeving voor opstellen – kijk ter vergelijking naar de reeds ingevoerde Europese GDPR/AVG-wetgeving ter bescherming van privacygevoelige gegevens – die uitdrukt hoe wij hier als maatschappij en als burger met die technologie willen omgaan. Regelgeving die de mens weer centraal stelt en niet de markt, zoals in de VS het geval is. En aan die waarneming wordt nu de voorspelling gekoppeld dat, net als in dat voorbeeld over de auto-industrie, over twintig jaar Europa de dominante markt zal zijn als het gaat om de internetveiligheid in de wereld, en dat de VS gewoon wegzakt op dat vlak.”
“Dus regelgeving leidt tot innovatie?”, vraagt zijn buurman. “Nou, wellicht wel, maar het leidt in ieder geval tot beheersing en tot afspraken om de technologie op een ordentelijke wijze ethisch te gebruiken.” Een ander vindt dat de zojuist gestelde vraag zelfs met een volmondig ‘ja!’ kan worden beantwoord. “In Nederland zie ik rond de invoering van de AVG, de Algemene Verordening Gegevensbescherming, heel veel innovatieve technologie ontstaan. Dat is een uiterst hot onderwerp op dit moment, met name bij de overheid.”
Europese wetgeving nodig?
Deze gedachtewisseling sluit qua thema goed aan op de eerste stelling van moderator Mary-Jo de Leeuw die luidt: Er is Europese wetgeving nodig voor de verantwoorde toepassing van innovaties zoals Big Data. Die stelling is mede ingegeven door Caroline Nagtegaal -Van Doorn, die in het Europees Parlement dit standpunt uitdraagt.
De Leeuw stelt vast dat grofweg 40 procent het eens en 60 procent het oneens is met deze stelling. “Wat mij stoort aan de deze stelling is dat hij gaat over Europese wetgeving”, zegt een van de tegenstanders. “En met zoveel lidstaten die het eens moeten worden, kom je bijna per definitie tot een hele gemiddelde oplossing, waarmee je geen innovaties aanjaagt. Als je innovaties wilt aanjagen, dan moet je je nek niet alleen durven, maar ook kúnnen uitsteken.”
Voorstanders van de stelling voeren praktijkvoorbeelden aan van dilemma’s die ontstaan indien opkomende innovaties in hun toepassing niet gereguleerd worden. De mens moet baas blijven over de machine, zeggen ze, en niet andersom. Eén van hen draagt het dilemma aan van het systeem dat straks, beschikkend over alle vonnissen uit het verleden, zelfstandig vonnis gaat wijzen op basis van die historische data. “Ik vermoed dat onze maatschappij daar middels wetgeving een stokje voor gaat steken en dat we afspreken dat dat vonniswijzen alleen door mensen mag worden gedaan.”
“Ik denk dat dat een momentopname is, dat willen we nú!”, klinkt het uit het andere kamp. “Maar de rechter op het voetbalveld heeft nu al de videoscheidsrechter. Dus waarom zouden we dat soort technologie bij de gewone rechter ook niet gaan gebruiken en de machine laten uitmaken wat het vonnis is voor sommige zaken? Voor een fietsendiefstal staat zoveel, et cetera.”
“Omdat, als je bijvoorbeeld in een land als Amerika die historische vonnis-informatie als input aan een algoritme voert, om op basis daarvan vonnis te wijzen, altijd 80 procent van de zwarten en maar 20 procent van de witten veroordeeld wordt”, luidt de riposte. “Die bias van het systeem zit in die historische data verborgen.”
Algoritmewaakhond hoog nodig?
Het begrip ‘algoritme’ kwam hier net voor het eerst voorbij, maar in de wereld van de technische innovaties neemt de discussie over toepassingen die op basis van algoritmes zelfstandig beslissingen nemen, hand over hand toe. Hier ter afsluiting daarom een korte impressie van de tweede stelling van De Leeuw ‘Een algoritmewaakhond is hoog nodig’, die aan de Cylance Round Table ook de nodige stof deed opwaaien.
De standpunten hierover zijn niet altijd even helder, maar een ruime meerderheid van de deelnemers lijkt een optreden van de overheid als algoritmewaakhond net een stap te ver. De meningen lopen uiteen van: ‘het heeft wel nut in bepaalde omstandigheden, maar als wij AI willen gebruiken om bepaalde optimalisaties te doen, dan moeten we daar niet in belemmerd worden, want dan belemmer je de innovatie’, tot: ‘het is vrijwel een onmogelijke opgave’, of botweg: ‘de overheid is er niet op uitgerust en kán dit helemaal niet’.
Wat er dan wel moet gebeuren? “Misschien kunnen we een algoritme schrijven dat de taken en de functies van die waakhond overneemt”, oppert een van de aanwezigen aan tafel.
