Column - De mens als sterkste schakel
Door Lex Borger 13 okt 2022
In bijna elk gesprek over cybersecurity komt het ter sprake: ‘De mens is de zwakste schakel’. Dit is een makkelijke uitspraak, maar het zet wel een toon die maakt dat de mens als weerloos wordt weggezet. Dit kan ook anders.
Vaak hebben we het over security in de context van maatregelen en kosten. We focussen ons daardoor snel op de meest efficiënte manier om de maatregel te implementeren en uit te voeren. We vergeten dat ze veilig gebruikt en beheerd moeten kunnen worden door mensen. Als een systeem lastig te gebruiken of te beheren is, wordt dit afgewenteld op ‘de zwakste schakel’. Fout geklikt op een link? Menselijke dwaling. Waar we op deze manier aan voorbij gaan is hoe krachtig die mens is. En wat zij of hij allemaal wél bijdraagt aan de beveiliging. Mensen kunnen veel meer bereiken dan systemen want, anders dan systemen, zijn mensen intelligent en ervaren zij emoties.
Intelligentie
Systemen werken op basis van programma’s en data. Ook voor AI (artificial intelligence) geldt dat. En dat heeft voordelen: ze werken secuurder dan mensen en ze hebben meer verwerkingscapaciteit. In de basis zijn systemen oerdom. Een systeem kan de mens helpen, maar een systeem kan ze niet analyseren. Omgekeerd kan wel, systeemanalist is een normale, goed beschreven functie. Mensen werken met de kennis en vaardigheden die ze hebben. Daarmee zijn ze weerbaarder, hebben ze meer flexibiliteit, en zijn ze bovenal creatiever. Een mens kan buiten gebaande paden denken en handelen. Verwacht dat alsjeblieft niet van systemen. Die worden ontworpen, gebouwd, gebruikt en misbruikt door mensen – want criminelen zijn ook maar mensen. Pas als systemen zo slim zijn als mensen zullen systemen slimmere systemen kunnen ontwerpen dan de mens dit kan doen. Dit noemen we de singulariteit. Zover zijn we nog lang niet, sommigen twijfelen of we daar ooit kunnen komen. Tot die tijd moeten we letten op de goede geschiktheid van systemen om gebruikt te worden door mensen.
Emotie
Emotie is iets wat systemen niet ervaren. Heel voorzichtig zijn er pogingen om emoties bij mensen te kunnen herkennen met AI, maar succesvol kun je het niet noemen. Bij cybersecurity benoemen we het risico dat emoties juist misbruikt worden om een aanval te doen, dat weer bijdraagt tot het idee dat emoties maar een teken van zwakte zijn. Het tegendeel is waar: door emoties staan we sterker. We gebruiken empathie om emoties bij anderen los te maken. Zodat ze ons sympathiek vinden, bijvoorbeeld. Dat helpt om begrijpelijk te communiceren en samen in actie te kunnen komen. Systemen hebben dit niet nodig, wie aan de knoppen zit heeft control en weet je niet hoe de knoppen werken, dan heb je pech. Emoties zetten mensen aan tot actie. Emoties beleven leidt tot productiviteit en stuurt veranderingen. Je ziet al snel dat je in een omgeving waar een grote verandering moet plaatsvinden dit beter lukt met een inspirerend leider dan met een strakke, zakelijke, directieve aansturing.
Emoties helpen mensen beslissingen nemen. Hoe vaak hebben we het niet over ons onderbuikgevoel? Als dat goed is, zijn we veel meer gemotiveerd om te beslissen voor een bepaald alternatief. De mens kan focussen op wat belangrijk is in het moment en met een beperkt overzicht. Systemen kunnen die focus alleen verleggen binnen geprogrammeerde paden. Ze kunnen niet werken met incomplete informatie. Wanneer systemen falen moeten mensen in actie komen om te handelen. Emotie helpt mensen gevaar zien. Zo heeft de evolutie ons gemaakt. We vermijden grote gevaren, omdat de angst gaat overheersen. Zo blijven we ongedeerd. Dit is allemaal heel nuttig in de oerwereld, maar de laatste paar duizend jaar staat dit aspect ons ook soms in de weg. Een aanvaller die onze sympathie kan winnen, die ons angstgevoel en/of onze perceptie van succes kan beïnvloeden, kan ons handelen sturen. Dan kunnen we onder druk verkeerde beslissingen gaan nemen.
Door de mens hierbij weg te zetten als zwakste schakel, sta je beïnvloeding toe. Door alternatief de mens intelligent en emotioneel in zijn kracht te zetten, creëren we een schakel die sterker is dan alle beveiligingssystemen. Hierbij helpt het hebben van bewustzijn van die kracht, en daar kunnen we mensen bij helpen. Zie dat als een versterking en niet als het tegengaan van een zwakte.
Lex Borger
security consultant bij Tesorion en oud-hoofdredacteur van iB-Magazine.
Lex is bereikbaar via lex.borger@tesorion.nl
Deze column verscheen in IB5-2022.