‘We willen de relatie tussen fysieke en cyberdreigingen in kaart brengen'
Big data en cyberveiligheid spelen een steeds grotere rol bij technische risicoanalyses. Mariëlle Stoelinga, hoogleraar Kwantitatieve Risicoanalyse in Softwaresystemen aan de Radboud Universiteit Nijmegen, probeert big-data-analyses en cyberdreigingen te integreren in risicomodellen. ‘De risico’s van fysieke en cyberdreigingen zijn nu niet goed tegen elkaar af te wegen.’
Het is niet moeilijk om grote rampen aan te wijzen die zijn terug te voeren op kleine technische misrekeningen. Zo was de explosie van de spaceshuttle Challenger het gevolg van een rubberen ring met beperktere temperatuurtoleranties dan gedacht. En in augustus 2013 leidde een programmeerfout ertoe dat een elektriciteitscentrale in de Amerikaanse staat Ohio zichzelf uitschakelde, waarna een hele reeks van systeemgevolgen binnen enkele uren de sluiting van 256 centrales veroorzaakte. Tientallen miljoenen mensen en bedrijven in de Verenigde Staten en Canada kwamen daardoor zonder stroom te zitten.
Het voorkomen van dit soort calamiteiten is een goede reden om vooraf aan risicoanalyse te doen, maar niet de enige. Door de risico’s in kaart te brengen, de kans erop te bepalen en de gevolgen in te schatten, is technologie ook efficiënter te beheren. Zo’n analyse kan dan bijvoorbeeld leiden tot preventief onderhoud of tot het beter ontwerpen van systemen. Die Amerikaanse stroomstoring zou namelijk nooit zo wijdverspreid zijn geraakt als het systeem expliciet was ontworpen om het uitvallen van één centrale te doorstaan. Nu zorgde een kleine misser voor een sneeuwbaleffect in het netwerk.
Het vakgebied rond technische risicoanalyses maakt een sterke groei door. Prof.dr. Mariëlle Stoelinga, onlangs benoemd tot hoogleraar Kwantitatieve Risicoanalyse in Softwaresystemen aan de Radboud Universiteit Nijmegen, ziet daarvoor ruwweg drie oorzaken. ‘Systemen worden steeds complexer’, zegt Stoelinga, die ook wetenschappelijk directeur is van de masteropleiding Risicomanagement aan de Universiteit Twente. ‘Je kunt niet innoveren zonder risico’s te nemen – denk aan zelfrijdende auto’s die verongelukken en aan drones die het vliegverkeer hinderen – maar je wilt de veiligheid wel waarborgen. Daarnaast hebben mensen minder tolerantie voor risico’s, hoewel de veiligheid de afgelopen decennia al aanzienlijk is verbeterd. De maatschappij is veiliger geworden en dat willen we zo houden. Wat ook nog speelt, is dat we met steeds meer grote installaties zitten waarvan de veroudering ons noopt tot de analyse of we de levensduur moeten verlengen of ze juist moeten stilleggen.’
Hackers
De toepasbaarheid van risicoanalyse is breed, van zelfrijdende auto’s en operatierobots tot chemische fabrieken en civiele constructies als tunnels en bruggen. ‘Het leuke van dit vak is dat het zo multidisciplinair is’, zegt Stoelinga opgetogen. ‘Enerzijds komt er veel kennis bij kijken van specifieke vakgebieden, anderzijds ontwikkel je analysemethoden die breed toepasbaar zijn.’
Nu zie je vaak dat een cybermaatregel met negatieve gevolgen voor de fysieke veiligheid onmiddellijk terzijde wordt geschoven, omdat de risico’s niet goed tegen elkaar zijn af te wegen en het fysieke domein dan altijd voorrang krijgt.
Twee ontwikkelingen in het ICT-domein hebben een grote invloed op vrijwel alle technische systemen: big data en cyberveiligheid. Sensoren zitten tegenwoordig overal in en leveren hoeveelheden geevens die voor mensen niet meer zijn te analyseren. Bovendien is elk systeem verbonden met internet, soms zelfs zonder dat de eigenaren het weten. Big data levert informatie voor betere analyses; hackers voeren de dreiging juist op.
Met name de integratie van cyberdreigingen in risicomodellen staat nog in de kinderschoenen, stelt Stoelinga. ‘De relatie tussen fysieke en cyberdreigingen willen we in kaart brengen. Door de risicomodellen die voor beide bestaan te combineren in één model kunnen we er voor zorgen dat ze integraal zijn te bekijken. Nu zie je vaak, zeker in technische omgevingen, dat een cybermaatregel met negatieve gevolgen voor de fysieke veiligheid onmiddellijk terzijde wordt geschoven, omdat de risico’s niet goed tegen elkaar zijn af te wegen en het fysieke domein dan altijd voorrang krijgt.’
Levend systeem
Om het beeldend te maken, hanteert Stoelinga het voorbeeld van een extra slot op de voordeur: dat is goed tegen inbrekers, maar vormt een extra barrière voor ontsnapping in geval van brand. Wie puur denkt in termen van brandveiligheid, besluit dat slot niet te plaatsen: liever wat spullen gestolen dan omkomen in het vuur. Een integrale afweging leidt allicht tot een compromis in de vorm van een draaiknop op het slot in plaats van een sleutel. De inbraakveiligheid is daarmee fors verhoogd, terwijl de extra barrière in geval van brand minimaal is.
Om de betrouwbaarheid van systemen te verhogen, moet je ze of beter ontwerpen, of beter onderhouden, of de context veranderen waarin ze worden gebruikt.
Een van de concrete onderzoeken die Stoelinga momenteel onder handen heeft, is onderhoud aan het spoor. De afgelopen vier jaar werkte haar onderzoeksgroep aan modellen die mogelijke fouten in talloze componenten logisch aan elkaar knopen. Dat leidt tot beter inzicht in cruciale componenten binnen het systeem. Managers kunnen dan besluiten tot maatregelen, bijvoorbeeld de installatie van sensoren om die componenten te monitoren, of extra preventief onderhoud. ‘Om de betrouwbaarheid van systemen te verhogen, moet je ze of beter ontwerpen, of beter onderhouden, of de context veranderen waarin ze worden gebruikt. Meestal zal het een combinatie van alle drie zijn. De vraag is dan wat de optimale combinatie is’, legt Stoelinga uit.
Inmiddels is een vervolgproject van start gegaan dat het spooronderhoud moet optimaliseren door de modellen met big data te combineren. Aan gegevens geen gebrek; er is data beschikbaar over belasting door goederentreinen, temperatuurverschillen, remgedrag, vormen van bochten, noem maar op. De kunst is al die data in één bruikbaar model te krijgen. Daarbij geldt uiteraard: hoe complexer het model, hoe dieper het inzicht, maar hoe lastiger het is om te bouwen.
Het spoor is bovendien een voorbeeld van een levend systeem, dat continu om nieuwe analyse vraagt. Er worden immers voortdurend wijzigingen aangebracht en nieuwe componenten toegevoegd, zoals het Europese spoorbeveiligingssysteem ERTMS. Door de uitrol daarvan, die als het meezit over enkele jaren begint, zal het door Stoelinga en haar groep ontwikkelde model ongetwijfeld geheel op de schop moeten – nog los van de cyberveiligheidsvragen die ERTMS met zich meebrengt.
Wachtwoorden
De uitdaging is om overzicht te houden over alle modellen, big-data-analyses en cyberdreigingen. Dat kan onder meer met simulaties, kleinschalige experimenten en continue monitoring of de voorspelde waarden kloppen. Uiteindelijk gaat het erom dat de wetenschappers met voldoende overtuiging de resultaten kunnen presenteren aan beleidmakers. Vertrouwen speelt dan een doorslaggevende rol, want degenen die de knopen doorhakken, hebben zelf maar een globaal begrip van de onderliggende modellen. ‘De essentie van risicoanalyse is dat je vertelt: als dit gebeurt, zijn dit de consequenties’, zegt Stoelinga. ‘Bijvoorbeeld: als je op die plek een woonwijk bouwt, moet je rekening houden met eens in de duizend jaar een grote overstroming. Let wel, alleen aan dat ene getal heb je nog weinig. Je moet ook aangeven welke aannames eraan ten grondslag liggen.’
En als de technische risicoanalyse in orde is, is er ook nog de menselijke factor om rekening mee te houden. Op elk systeem een wachtwoord zetten dat de gebruiker wekelijks moet veranderen, is theoretisch een goed idee, maar de praktijk leert dat mensen daarop reageren door gemakkelijke wachtwoorden te kiezen of het op een geeltje aan hun monitor te hangen. Om maar aan te geven: je kunt de technische risicoanalyse nog zo piekfijn in orde hebben, de mens houdt altijd het laatste woord.
Tekst: Christian Jongeneel
Beeld: © Thea van den Heuvel/DAPh