03 september 2024

Over dark cockpits en zero trust

Dark Cockpit is een luchtvaartconcept en betekent dat als alles in orde is en werkt zoals gepland en er, behalve instrumentverlichting, geen ander licht brandt. Je valt de piloot alleen lastig als er iets misgaat en inclusief de vermelding van de ‘rootcause’ van het probleem. Dit concept ontstond jaren tachtig toen het dashboard van vliegtuigen zo uitgebreid werd, dat de mens niet meer in staat bleek al die instrumenten te overzien. Dark cockpit is een ‘overlappende’ techniek, gebaseerd op de filosofie slechts informatie te verstrekken die direct is gerelateerd aan de actuele taak van een piloot. Deze ‘display by exception readout’ toont alleen een ​​verschil tussen de werkelijke parameterwaarde versus de voorspelde waarde en de eerst verlangde actie. Bij brand in een motor gaan normaal gesproken vele alarmbellen af, die (vaak) allemaal het gevolg zijn van die ene gebeurtenis, maar slechts één actie van de piloot verlangen: (goedkeuring voor) het activeren van het brandblussysteem van die motor.

Over dark cockpits en zero trust image

Donker als zwarte zwanen

Het concept van de dark cockpit zien we tegenwoordig op meer plaatsen waar systeem-management ingewikkeld wordt. Bespaar de energie van het management opdat zij optimaal kunnen presteren wanneer dat nodig is. Waarom vergaderen om te horen dat alles op schema ligt? Waarom overleg als het project op schema ligt? Deze praktijk heet ook wel Management by Exceptie (MbE). Een praktijk die bestuurders of werknemers in staat stelt onafhankelijker te werken en hen alleen te betrekken bij specifieke kwesties of ‘uitzonderingen‘ op normale operaties. In combinatie met Generative Artificial Intelligence (AI) wordt MbE een krachtig hulpmiddel voor zowel het optimaliseren van IT-operaties als de management overhead te minimaliseren. Zolang alles volgens planning verloopt, is geen directe actie vereist.

Echter systemen zijn altijd zelfsturend binnen de grenzen die zijn bepaald op de informatie en data die zij (kunnen) overzien. Uitdaging is altijd of de ontwerper alle mogelijke fouten en bugs die zouden kunnen optreden en tot handelen dwingen, heeft kunnen overzien: je weet nooit wat je niet weet, of kunt bedenken. De metafoor van zwarte zwanen: omdat in het westen nog nooit iemand een zwarte zwaan had gezien, bestonden die dus (!) niet. Tot een Nederlandse ontdekkingsreiziger in 1697 er één in Australië tegenkwam. De term ‘Zwarte Zwaan’ wordt sindsdien gebruikt voor onvoorziene gebeurtenissen en is door Nassim Talib in 2001 als theorie ontwikkeld. Talib definieert in zijn monografie “Silent Risk” het probleem wiskundig als “gedegenereerde metaprobabiliteit”, de essentie van de filosofie achter Bayesiaanse statistiek. De kansberekening van hypotheses: bewijsbare kansen dat iets mis kan gaan.

Donker is goed, totdat Murphy voorbij komt

De wet van Murphy stelt: “Alles wat fout kan gaan, zal fout gaan, en meestal op het slechtst mogelijke moment.” Vernoemd naar de Amerikaanse lucht- en ruimtevaartingenieur Edward A. Murphy Jr. na de analyse van enkele mislukte rakettesten rond 1949. Zijn frustratie bij versnellingstesten over een riemtransducer die niet goed functioneerde vanwege een menselijke fout in de bedrading van de rekstrookbruggen, zorgde ervoor dat hij opmerkte: “Als er een manier is om het verkeerd te doen, zal hij het doen” – verwijzend naar de technicus die de bruggen in het Lab verkeerd had aangesloten. Deze wet werd beroemd omdat hij daarna werd gebruikt in trainingsfilms van de Amerikaanse marine: ‘als een onderdeel verkeerd kan worden geïnstalleerd, zal iemand het ooit op die manier installeren’.

Deze onzekerheid – de we ook kennen van de montage van IKEA meubelen – zien we momenteel ook bij de zelfrijdende auto. Hoe fail-safe kun je techniek maken om bij onverwachte storingen of gebeurtenissen, toch in de meest veilige toestand terug te vallen. Het nooit verkeerd doen. Vergelijkbaar met de zero-trust ontwikkeling: niets vertrouwen dat niet actueel en actief is gecontroleerd. Het hoofdconcept achter het zero trust-beveiligingsmodel is “nooit vertrouwen, altijd verifiëren”, wat betekent dat gebruikers en apparaten nooit standaard vertrouwd mogen worden, zelfs niet als ze verbonden zijn met een netwerk met toestemming, zoals een bedrijfs-LAN, en zelfs als ze eerder geverifieerd zijn.

Wie controleert het zero-trust systeem?

Het concept van zero trust komt van het Russische spreekwoord: ‘vertrouw, maar verifieer’. De meeste Amerikanen hoorden voor het eerst van de uitdrukking toen Ronald Reagan deze ‘als grap’ tegen Michail Gorbatsjov uitsprak: noch de VS, noch de Sovjets vertrouwden elkaar immers ook maar in het minst. John Kindervag nam in 2009 deze uitspraak over voor de veiligheidswereld: vertrouw nooit iemand en verifieer altijd. In de Zero Trust-architectuur is het niet voldoende om vertrouwen tot stand te brengen zodra een gebruiker zijn identiteit heeft geverifieerd. Ook dient voortdurend te worden geïnspecteerd of er geen abnormaal gebruikersgedrag of verdachte gebruikersactiviteit plaatsvindt.

Maar net als het Dark cockpit concept geldt bij het zero-trust concept: ‘quis custodiet ipsos custodes? Oftewel wie controleert de controleur? In onze digitaliserende – en daardoor steeds virtueler wordende – wereld een steeds groter aandachtspunt. Niet alleen sterke identiteitsverificatie – wie mag wat – maar ook controle of het controlerende systeem nog steeds goed functioneert. Een onderdeel van procesgerichte kwaliteitsborging, waar ik eerder blogs aan wijdde: een proces is slechts te vertrouwen als het proces zelf ook continu wordt gecontroleerd en geverifieerd. In de geautomatiseerde productie vaak gerealiseerd door regelmatig ‘testproducten’ in het proces te initiëren: een ‘Proof of Work’ die elk apart en afzonderlijk door derden wordt gecontroleerd.

Blockchain-based Zero Trust Cybersecurity

Vanuit gegevensbescherming worden steeds vaker zero-trust principes toegepast, waarbij elk verzoek om toegang tot gegevens dynamisch moet worden geauthenticeerd en de minst bevoorrechte toegang tot bronnen moet worden gegarandeerd. Hoewel het zero trust proces zelf ook door regelmatige testen moet worden gecontroleerd, dient ook elke transactie te worden vastgelegd en terug-volgbaar te zijn. In de blog ‘Proof of Work: de ingebouwde audit’, beschrijf ik hoe hiervoor in toenemende mate de blockchain techniek op prima wijze kan worden gebruikt. Eenmaal weggeschreven data is niet te veranderen of te verwijderen, zeker niet als deze via unieke digitale vingerprints van hash en timestamp zijn weggeschreven.

In de gedistribueerde blockchain wordt het ‘Proof of Work’ gerealiseerd door een consensus mechanisme. De basis om de blockchain (ook) voor financiële transacties te gebruiken: hierdoor kan double spending bij peer-to-peer transacties worden voorkomen. Satoshi, de ontdekker van de blockchain en creator van bitcoin, vond met zijn PoW-concept de meest simpele manier voor digitale transparantie. Zijn bedachte digitale munt Bitcoin is zo simpel dat hij het in zijn whitepaper in slechts zes zinnen uitlegt. Het combineert ‘geld + boekhouding + verificatie door derden’ in één enkel software gebaseerd product. De combinatie van boekhouding én digitale transparantie én op nutsvoorzieningen gebaseerde garanties maakt blockchain een ideaal platform voor digitale transacties en digitale tokens.

Het concept van Blockchain-enabled Zero Trust Cybersecurity zien we opkomen: niet alleen zero-trust maar ook continue procescontrole en -registratie van dat zero-trust systeem zelf. Deze vorm van security kan niet alleen verdachte online transacties detecteren maar ook verbindingen isoleren en de toegang van de gebruiker beperken. Controle van de controleur, waarbij elke transactie en afwijking onwisbaar wordt vastgelegd en altijd terugvindbaar blijft. Full Stack Observability (FSO) om het systeem een grotere operationele veerkracht – resiliency – te geven. Het opzetten van FSO is complex, maar maakt systemen inherent veilig, betrouwbaar en – vooral – achteraf nazoekbaar. Het black-box principe: de grootste angst van elke hacker en fraudeur die immers niet alleen ongemerkt maar ook niet-navolgbaar hun ‘werk’ willen doen.

Door: Hans Timmerman (foto)

Axians 12/11/2024 t/m 26/11/2024 BN+BW