Ondanks een hartstochtelijk pleidooi van cybersecurity-goeroe Mikko Hypponen zetten chief information security officers (ciso’s) nog maar weinig artificiële intelligentie (ai) en machine learning (ml) in de cybersecurity-strategie van hun organisatie. Dat is één conclusie tijdens de netwerklunch ‘Masters in Cybersec 2022’ die in Brussel plaatsvond tijdens de vakbeurs Cybersec Europe 2022. In de discussie stonden twee onderwerpen centraal: leiderschap in combinatie met strategie en de toekomst van data.
Ongeveer veertig ceo’s, cio’s en ciso’s woonden de netwerklunch bij die Jaarbeurs organiseerde tijdens Cybersec Europe. De opzet was zowel vermakelijk als smakelijk. In twee aparte rondes werd er geluncht en gediscussieerd over de twee onderwerpen in cybersecurity. Mikko Hypponen introduceerde en duidde beide onderwerpen en sloot uiteraard nog af met een wrap-up. De middag werd begeleid door Wim de Vilder. Aan elke tafel een gastheer die na elke discussie kort verslag deed. Deze tafelhosts waren Bart Claes, Jan Guldentops, Ulrich Seldeslachts, Marc Vael en Peter Witsenburg.
Businessproject
Het eerste onderwerp, leiderschap in combinatie met strategie, was gelijk voer voor discussie. Per tafel kwam er werkelijk een pallet aan bevindingen en adviezen. Deze gingen van het realiseren van een plan B en plan C in cybersecurity, tot aan het herkennen van de persona’s om weerbaarheid te bevorderen. Hypponen wilde graag nog één bevinding uitlichten die voor hem zelf ook een eyeopener was. ‘Een ict-project bestaat niet, het is altijd een businessproject.’
Ook was er aandacht voor corporate governance in combinatie met een cybersecurity-assessment en werd er serieus stil gestaan bij – hoe kan het anders? – securitybewustzijn. Want hoewel er altijd iemand eindverantwoordelijk is, is iedereen in een organisatie verantwoordelijk voor de cybersecurity. Een mooie afsluiter van de eerste ronde en tijd voor een tafelswitch.
Geld terug verdienen
Met een nieuwe tafelbezetting trapte Hypponen het tweede onderwerp bij de netwerklunch af. Hoe ziet de toekomst van data eruit? ‘Data is de nieuwe olie’, klinkt het bijna afgezaagd. ‘Toch kan je het beter met uranium vergelijken. Nog niet zo lang geleden waren oliemaatschappijen de topbedrijven van de wereld. Nu is dat er nog maar één, de rest van de top vijf zijn allemaal databedrijven’, verwijst Hypponen naar Microsoft, Google, Apple en Amazon. Deze organisaties weten zoveel geld met data te verdienen, dat zij de dominantste bedrijven ter wereld zijn geworden. ‘Wist je bijvoorbeeld dat Google jaarlijks vijftien miljard dollar aan Apple betaalt, alleen maar om ervoor te zorgen dat hun zoekmachine default in Safari wordt meegenomen? Dat geld verdienen ze ergens terug.’
Daarmee zijn data niet alleen een middel, volgens Hypponen is het een aansprakelijkheid geworden. Hij schetst de aanwezige ciso’s een toekomst waar menigeen nog even aan moet wennen. ‘Storage, computing en bandbreedte, ze zullen in de toekomst gratis of zo goed als gratis worden aangeboden. Waarom? Om data te verzamelen.’ En met al die data moet je iets. Of genuanceerder gezegd: je kunt er iets mee. Hypponen gooit een balletje op: ‘Denk eens aan machine learning, wat dit in de toekomst kan gaan betekenen.’ Hypponen rondt zijn visionair-speech dan ook af met de vraag wat de aanwezige ciso’s nu al met machine learning doen. Het antwoord volgt pas na de tweede gang.
Verrast opkijken
De enthousiaste en geïnteresseerde vraag leverde echter niet het gewenste antwoord voor Hypponen op, want van de aanwezige ciso’s zet een enkeling op dit moment maar machine learning in. Enthousiaster wordt er gereageerd op het implementeren van artificial intelligence in cybersecurity, al heerst er nog niet echt een honger voor ai. De meeste ciso’s hebben ai het komende jaar op de planning staan, toch is Hypponen enigszins teleurgesteld over dit resultaat. Hij roept op om ai structureel op de planning te zetten en wel vijf jaar vooruit te plannen. Menig ciso kijkt even verrast op naar de securitygoeroe.
Uiteindelijk blijkt menig aanwezige ciso te dromen van intelligente automation. Voor Hypponen de kans om in zijn wrap-up nog maar een keer de waarde van data erbij te halen. Althans, de waarde… ‘Veel bedrijven erkennen dat data waardevol is, maar ze benoemen nooit hoeveel het ze waard is totdat ze gehackt worden.’ Hij schetst een beeld hoe ai ons kan helpen met beveiligen, maar wijst ook op het feit dat cybercriminelen ai en machine learning gaan inzetten om aanvallen te plaatsen. ‘De meeste aanvallen gebeuren nu nog handmatig’, rondt hij af. ‘Zodra cybercriminelen artificiële intelligentie en machine learning gaan inzetten kunnen zij geautomatiseerd gaan aanvallen.’ Als take-away wil hij de aanwezige ciso’s dan ook dit doemscenario meegeven, vergezelt van de oproep om zo snel mogelijk ai en ml in te gaan zetten in hun cybersecurity.