Pacemakers, de RPA edition

Een blogpost is never Done, ongeacht uw definitie daarvan.
[Let alone well done; wij hebben toch liever à point.]

U las al over pacemakers als controls, óók in uw administratieve (en andere! organisatie)systemen.
U las nog niet over de rol die Robotic Process Automation daarbij kan vervullen.

Waar het bij RPA over gaat, is het vangen van bestaande transactiepatronen voor, inderdaad, het aloude straight through processen. Al vier jaar bekende bezwaren: 1. het oude straight-through werkte ook al niet, 2. het kost banen.
2. is debunked, want (?) 1., en nu want-2: RPA, met alle ‘intelligentie’, werd ingezet als simpel vervangertje, oude-patronen-ophoester van wat in het verleden gebeurde. Ja, de meest advanced (quod non?) vormen deden wel wat aan drift in de patronen maar het blééf begripsloos op een symbolisch vlak. I.e., alles boven pure betekenisloze data reproduceren/construeren bleef achterwege. Waardoor op het niveau van ‘systeem’ in cyber-zin, dus niet #ditchcyber maar echt (als hier en https://en.wikipedia.org/wiki/Complex_system), niet aangepast raakte. Om maar te zwijgen van de ‘gewone’ stationaire RPA die steeds verder weg raakt(e) van de vereiste variëteit (zie weer deze).

Maar dat betekent niet dat de RPA-‘technologie’ niet uitstekend (dubbele ontkenning, ha eindelijk kan ik er weer een infietsen; gebrek aan bewijs is geen bewijs van gebrek maar andersom wel of zo, springt dan in m’n hoofd) dienst kan doen bij het zelflerende-vangrailsidee van hieronder (ten derde male); onderin.
Bijvoorbeeld door RPA in te zetten als controller (‘dat intelligentieniveau kan RPA best aan, (want) Excel ook wel’ en dat soort tussenwerpingen – no worries RCs, er zijn zat REs die zo ver niet komen en zelfs een draaitabel alleen als woord kennen) met beperkte bevoegdheid om, als er échte uitzonderingen zijn of als de massa van afwijkingen een te apart gedrag vertoont, navraag te doen bij een expert; een echte IT-auditor bij voorbeeld/uitstek.
De crux zit ‘m natuurlijk in dat ‘massa van afwijkingen’ en ‘te‘ apart. Wat is massa genoeg, wat is te?

[Intermezziaal: gedachte aan ‘branching’ van transactiestroompatronen à la boomtakken, geïnspireerd door weer een onderzoek, catheterisatie deze keer #fraaieplaatjes. Oh nee, in ieder geval combi met Sanky-diagrammen (als hier) anders geeft iedere (officieel goedkeurde OR(lazy evauation) feitelijk geïmplementeerde ..!) nieuwe systeemfunctionaliteit een leren-vanaf-scratch fase – leren van het RPA-systeem dat leerde als hier.]

Hier komt alweer een (gebrek aan?) kennis over statistiek en met name kansverdelingen (u denkt gelijk: momentgenererende functies, of bent u zo’n RE als boven?), non-lineaire regressieanalyse and the like. Zijn we toch weer terug bij m’n oude lament over het gebrek aan symbolisch (kunnen) redeneren in ‘moderne’ technologie.
[Alsof ik wel een sneller paard voor m’n wagen kon inspannen maar niet eventjes een sterkere en opgeladen battery pack in m’n hybride (sic) kan leggen; dat zou achteruitgang zijn! Oh.]
Kunnen we niet een labelling pool opzetten, net zoals de (alle?) data voor LLPs van vandaag door humans worden getagd?
[Afgezien van de humans die hun handenarbeid dan weer schijnen uit te besteden aan “AI”-systemen zie boven over recursie]
Maar dan alleen voor accountants bijvoorbeeld, of IT’ers die zich met logging bezighouden. De eersten, toch massaal werkloos (??) wegens RPA, toch, de laatsten zijn met een kaarsje te zoeken omdat er zo veel ‘plat’ rails- en geautomatiseerd toezicht is – zie wederom hier en zo héél weinig gebeurt met logging in the first place. Althans, véél te weinig ten opzichte van de plaats die het ooit had. Vandaar dat bij uitstek dé plek waar de data-overwhelm van de afgelopen twee decennia toesloeg – nauwelijks een splinter opslag beschikbaar t.o.v. het benodigde, maar onverwerkbaar veel om kaas van te kunnen maken – nog steeds zo weinig vooruitgang is. Tsja, ‘positief‘ gebruik van data in warehouses (weten we het nog?), data lakes en zo, dat is er want levert geld op (oh ja? wat is de ROI ..? ooit bepaald?), versus het voorkomen van negatieve dingen

Maar nevertheless … RPA for pacemaker control regulation (als inregeling), het zou toch wat moeten kunnen helpen! Het Gaat Beginnen, als we op operationeel niveau (level 0 process automation als pacemaker controls) en nu op tactisch niveau (level 1 process automation, van de control functie) RPA kunnen inzetten. Dan nog level 2/3/…/∞ en dan zijn we in de buurt van ASI.

Ik sluit even; zijpaden te over…
For your viewing pleasure:
[Extreem aardige muurschildering links recent herontdekt en gerestaureerd, aardig interieur, maar don’t go there for het eten en al helemaal niet voor de service; Nancy]

Pacemakers voor control

Even een neerpennen (‘pen’? iig geheugendump) over een ideetje, uiteraard in de vorm van een vraag:
Hoe ‘werken’ pacemakers (inclusief ICDs) als controls; hoe ze zó scherp te houden dat ze zowel de requisite complexity buiten de Happy Flow (HF) toelaten, als de al te grote ruis signaleren en terugduwen naar redelijke bandbreedte?
Niet schrikken van de elliptische omschrijving. Ook voor RE’s kan het nog wel duidelijk worden, als ik langzaam typ hieronder.
[Met in en na de tekst inmiddels een reeks Edited to add]

Trouwe lezers herinneren zich nog dat ik de requisite complexity naar voren haalde om het punt van control ≠ 100% Sigma-loos (nul sigma dus; handig voor degenen die alleen de termen denken te kennen maar de statistiek erachter niet kennen) nog eens duidelijk te maken. Requisite complexity: de noodzaak voor een intern ‘systeem’ om ten minste evenveel variëteit te moeten kunnen handlen als de omgeving heeft. Anders is er variëteit in de omgeving(sdata) die het systeem niet aankan.

Zoald altijd al duidelijk was: Overstandaardisatie intern, leidt tot grote botsingen. Zeker in informatiesystemenland – de klassieke invulling daarvan, klassiek ofwel sinds de Sumeriërs-t/m-de-Romeinen ofwel sinds pak ‘m beet de jaren ’80 – gold immers: het systeem is een afbeelding van de werkelijkheid. Ja, een model is een versimpelde weergave van de werkelijkheid om die werkelijkheid te kunnen bestuderen en hopelijk te begrijpen maar per definitie tekortschietend om normatieve uitspraken mee te doen. Nee Jurgen, toch niet altijd weer die verwijzingen naar de politiek Ja hoor wél zie de header bovenaan m’n blog.

De werkelijkheid vatten – ja dat is wat we zien bij (visualisering voor) process mining: de HF van ooit bedoelde geïdealiseerde eenvoudige transactiestromen wordt links er rechts ingehaald door een zekere / flinke / forse hoeveelheid afwijking omdat nu eenmaal zo goed (en soms kwaad) als mogelijk de (in de) werkelijk(heid) gedane transacties te vatten in een meestal toch wat te knellend, alleen versimpeld denken toelatend, al te geïdealiseerd top-down ontworpen systeem. Nog afgezien van de spreadsheets en majeure Waldorf-systemen met ‘een’, ‘twee’ en ‘drie’ in een numeriek veld, of 3.14-als-tekstveld, waar gewone getallen (met ‘=’, zonder ”’) hadden moeten staan. Da’s regelrechte dataontegriteit. Die vaak wordt afgedwongen omdat anders het systeem onacceptabel strak staat ingeregeld – quod non vaak, maar da’s een ander onderwerp: gebruikers die heel andere dingen blijken te willen van een systeem dan de officiële (detail)specs anders is het onacceptabel dus doe nou maar wat de gebruikers willen = hun input inkloppen ongeacht de resultaten want dat is hun pakkie-an niet. En het systeem is er voor de gebruikers, die moeten hun werk kunnen doen, kwijtkunnen in het systeem! Als dan de omgeving ruis afdwingt, so be it, het interne systeem (in brede zin; de gehele organisatie) moet dat aankunnen of (XOR) als fremdkörper worden bevroren en geïsoleerd door de omgeving; Einde Oefening.
[Ja hier hoort nog een stuk bij over Bestuurlijke Informatievoorziening als tweede (derde?) control-loop bovenop de operationele processen; dat vertoog loopt verder analoog dus is ter uwer invulling.]

Maar wel in process mining dus: helemaal ‘dicht’ op de HF krijg je het niet, nooit, en dat is maar goed ook, want enige flex is dus nodig. In de interimcontrole zal dan toch wel een kwalitatieve inschatting volgen over het ruisniveau?
Vergelijkbaar met:

  • Een al te mooi hartritmepatroon is niet goed want gaat stuk als er een ietsje aanpassing nodig is – een modicum Ruis muss sein;
  • Als de aandelenkoersen/financiële markten en parameters té stabiel zijn/stijgen (te kleine variatie) en iedereen elkaar op de schouder klopt omdat ‘we’ ‘het’ nu eindelijk beheersen, wees dan maar voorbereid op een grote correctie en een chaotische periode (Taleb). Inderdaad, borne out door Inflatie – de EU dacht die onder controle te hebben maar eigenlijk te dicht rond de nullijn en zie de explosie;
  • Een wijkagent zal heus geen Zero Tolerance toepassen, dat werkt niet. Een verkeerd geparkeerde auto – die kent ‘ie en hij weet dat die zo weer weg is. Maar wanneer komt de Openbare Orde in het gedrang en moet er even een vingertje worden geheven, sussend of deëscalerend worden opgetreden ..? Als het uit de hand loopt, gaat het mis;
  • Een verf(blikjes)fabriek of uw pastasaus wordt op de lopende band vervaardigd, met in de ingrediëntenmix en vullingsgraad (ja inderdaad, dat is de ℮ van environnement not environment bij de inhoudsopgave) altijd net een beetje variatie;
  • ‘Punctuated equilibria’ (Dennet);
  • Turbulentie is een onopgelost issue: Waar begint verstoring, waar gaat het over in (chaotische) turbulentie?
  • Evolutie … een te lage mutatiegraad maakt kwetsbaar voor mutaties in de omgeving. Diversiteit is Rijkdom – dat geldt sowieso, ook geestelijk – en biedt mogelijkheid tot aanpassen; de graad van diversiteit (is er zoiets, dat alle mogelijke verdelingen kan karakteriseren?) biedt de kans de tijd de selectie te doen (à la Dawkins, dus niet dat de less fit afvallen maar crowded out worden door de sterkeren, in veel minder tijd dan vaak gedacht ..!), de populatie die te traag is, haalt het niet. Maar ja, hoe beschrijf je de optimale mutatiegraad?
  • Identity & Access Management. Excuus – IA Governance want als het geen Governance heet, bent u niet Belangrijk of zo; zie dan hier. Op enig moment is controle nodig op de feitelijk uitstaande (dus openstaande niet uit staande, oh wat is taal toch prachtig) user-IDs en autorisaties want ondanks controles bij inschrijving (en uitschrijving, hopelijk), zál ruis optreden die zo ideaal is voor kwaadwillende lieden.
  • Idem in database-land, waar ondanks buitengewoon goed sluitende integrity controls (zeker deze; waarom kennen zo weinig IT’ers ze?) toch een cumulatieve ‘vervuiling’ van 3-10% per jaar (jawel) doorsnee is. Zie boven over afgedwongen, geforceerde, doorbreking van perfecte functionaliteit;
  • Een zekere VerkeersCentrale in NederLand heeft de meetlussen in de snelwegen onder beheer en merkte dat er ongeveer elke twee weken, ongeveer vijf minuten, ‘s nachts plots redelijk druk verkeer was (werd gemeten…) dat 200km/u reed. Waarop een Machine Learning-oplossing werd geïmplementeerd (we spreken over 15 jaar geleden…) die de foute signalen leerde redelijkerwijs te corrigeren. You hear me, pacemaker?
  • Etc. Ja voorbeelden te over uit allerlei ongerelateerde (quod non) hoeken.
  • Dit lijstje zelf is een voorbeeld van niet-perfecte analogieën – het gaat immers over diverse niveaus van abstractie en vooral over diverse niveaus van complexiteit… – dus dat is lekker recursief. En dat geldt voor mijn blogposts in het algemeen: De ene is best redelijk compleet, afgesloten, de andere is aan het begin en eind flink open ended.

Nou werd ik hier, nu nog op de observatie wegens 1e bullet met als potentiële (sic) oplossing tegen nog onduidelijke (statistisch bijzondere; heb ik weer) oorzaak een pacemaker, getriggerd om na te denken:

Is het concept ‘pacemakers’ ook inzetbaar in de vorm van controls die a. signaleren waar de Happy Flow al te zeer wordt gemeden en b. automatisch bijsturen tot weer een redelijke bandbreedte ruis rond de HF is hersteld?

Idem voor ‘cyber’ oftewel gewone informatiebeveiliging, dat mensenwerk is en dus evenzoveel meer gevoelig voor ‘afwijkend’ gedrag.

Met flankerend nog vragen die al eerder naar voren kwamen; wat is ‘al te zeer gemeden’, wat is ‘redelijke bandbreedte ruis’; hoe voorkomen we Der Totalen Micromanagement met ‘cameratoezicht’ op alle individuele HF-afwijkingen of zelfs individuele transacties; hoe voorkomen we door te schieten onder de n sigma, n to be defined op een of andere manier? Hoe wordt in de process mining het modelleren-om-inzicht-te-verkrijgen afgezet tegenover (?) het versimpelde model dat de resulterende plaatjes zijn?

Maar toch. De pacemaker als vangrails? Op enige afstand van de rijstrook/rijstroken; stippellijntjes daartussen en doorgetrokken lijnen op de flanken met hopelijk duurzame ribbels om de gebruiker (Tesla-chauffeur) wakker te maken en als het echt uit de band dreigt te lopen de vangrails als achtervang. Niet de rails die millimeter-knellend treinen in de band houden – als die, requisite complexity, door de ‘data entry’ gebruikers meer dan die paar mm worden gedwongen af te wijken, is het een train crash. Een ‘brittle’ systeem, dat; de integriteit verkruimelt bij een klein push’je.
Ja er zijn ook andere, meer traditionele types pacemakers, die continu pulsen, micromanagend, dwingend. Dat gaat sowieso niet werken buiten (niet Uber maar) überTayloristische besturing.

Nee, die vergelijking maakte ik al eerder, en klopt dus niet helemaal. We willen een soort hologram-vangrails; fysiek/operationeel niet permanent aanwezig, totdat het nodig blijkt en dan wel ‘fysiek’ zachtjes terug-nudgend.
De verffabriek heeft dat al, vanouds; de bewaking en terugsturing. Als hier. Vanzelfsprekend. Zó vanzelfsprekend dat ‘we’ het in administratieve ‘productiepijplijnen’ lees transactieverwerkende systemen à la uw SAP-met-spreadsheets, alweer al te veel zijn vergeten. ‘Managen’ is de controller zijn. Hoe ‘managen’ de meeste managers / controllers / welke naam u ze nog geven wilt, de transacties van hun afdeling? ‘Niet’ is wat kort door de bocht in het algemeen (hetgeen ik zo kwalificeer omdat de meeste lezers mijn opinie terzake wel kennen), ‘niet als zo’n soepel (feedback)proces’ toch wel heel vaak…

Of weet u hoe we ‘redelijke bandbreedte ruis’ nader kunnen definiëren en ‘operationaliseren’ (lelijke uitdrukking)? Ja, materialiteit, maar daar zitten toch nog wel meer aspecten in de mix die de discussie te veel verwarren! (een percentage zegt niks; de samenhang tussen allerlei detail-materialiteiten is heel anders dan bij de decompositie van totale post naar deel-materialiteiten aan bod kan komen, etc. – bepaald belangrijk om Statistiek en Kansrekening (twee verschillende kanten van de zaak!) nog eens op te halen. Bayesiaans of probablistisch? Als dat u niks zegt, heb ik slecht nieuws voor u.

En wat is ‘maximaal toegestane afwijking’ in een patch-proces, in IAM, in netwerkverkeer?
En wat is voldoende ruimte laten in het systeem (em toezicht, niet alles gelijk met continuous development dichtplakken met dikke pleisters?

Of werkt de hele analogie niet en gieten we toch gewoon de transactie-, logging-, etc.etc-schreef (zn, ad 2.) in beton?

Of denkt u ‘leuk idee, pacemakers, ik weet wel hoe dat uitwerkt’? Dan gaarne overleg!

[ Edited to add: ]
Enige gedachten inzake patronen:
Shannon’s signaaltheorie zal, uit de losse pols ingeschat, wel te veel op nauwkeurige ruisvermijding zijn gericht. Een ‘dB’-meetlat is sowieso te grof; misschien dat veeldimensionele Fourier-transformatie kan helpen maar I doubt it; te veel focus op signaal en te weinig op de ruis die daar integraal onderdeel van is.
En een tussenstap zou kunnen liggen in een categorisering [ Normaal het moet niet minder ruis worden; monnikenprocessie | Afwijkend maar stabiel gezond | (Abnormaal op het randje maar gezond) | Dit is niet normaal meer en kan niet gezond zijn; carnavalsstoet | Chaotisch ]
Want ik was boven vergeten te wijzen op de systeemgedragcategorieën Simpel < Gecompliceerd < Complex waarbij ons hart (ons interne SAP?? mag toch hopen van niet ...) ten minste Gecompliceerd is, en/maar hopelijk niet te veel meer. Hierbij aansluitend past een stuk – dat eigenlijk een bibliotheek aan proefschriften verdient – Een massa (à la Canetti) tendeert naar de grootste gemene deler die snel omlaag duikt naar iets absoluut simpels, stupide, asymptotisch. Terwijl we voor de complexe omgeving de tegenlijkertijd mushroomende kleinste (?) gemene veelvoud (optimaal gebruik van diversiteit) zouden willen kunnen benutten!

Niet vergeten als hint: It is not necessary to change. Survival is not mandatory. (W. Edwards Deming).

[ Edited to add: ]
Oh, en natuurlijk kan een pacemaker prima met AI worden ingeregeld om ook relatief-bizarre maar nabij-chaotische patronen te kunnen reproduceren, als die soort van default zijn voor betreffende persoon – voor wie een standaardpatroon te weird / ongezond zou zijn.

In ieder geval voor uw viewing pleasure:
[Ja hoor eens, niet iedereen heeft dezelfde vakantiefoto’s… Dijon, een hoekje van een veel grotere winkel]

Hacking a hacker’s mind; een boekbespreking

Aanbevelenswaard, dit: Bruce Schneier’s A Hacker’s Mind. Onderstaande een bespreking zijnde tevens een vorm van samenvatting. Als u denkt hee Bruce heeft het anders nooit zo over audits dan zijn die stukjes juist mijn bijdrage. Als u denkt dit is opiniërend of erger, dan hebt u juist Bruce’s mening/content te pakken..! Here we go:

Na inmiddels een reeks van boeken over informatiebeveiliging, van cryptografie tot het waarom van stelsels van controls, is Bruce Schneier terug met A Hacker’s Mind, met een urgente boodschap dit keer. Over de risico’s van het hacken van code (stelsels van regels!) en de rol van AI daarin, voor … zowat alles wat ons dierbaar is aan waarheid en feiten, en maatschappelijke structuren en waarden als vrijheid en menselijke waardigheid.
Schneier begint met een aantal handvatten voor het beter ontwerpen van regels in software, of in andere structuren zoals controls, regelgeving, wetgeving, of instituties en maatschappelijke inrichting. Dat is allemaal code! Zijn regels gaan over het voorkomen van vulnerabilities, het detecteren en het oplossen van hacks. Klinkt bekend. En vooral het voorkomen ervan krijgt aandacht. Security by design… Het wordt wat minder met zijn aanwijzingen als het gaat om het inherent oplossen van hackbaarheid; daar is de wereld ook nog nauwelijks (bewust) mee bezig.
Het boek begint dan al ‘toepassingen’ van AI tussen de regels (van het boek, tsja) te vlechten. Want daar gaat het boek óók en uiteindelijk vooral over: AI kan mooie dingen brengen, maar als we niet uitkijken, zijn de slechte toepassingen eerder en die kunnen de goede toepassingen zeer wel pre-emptief onmogelijk maken. Hoe, dat komt vooral richting het eind van het boek steeds verder naar voren.

Maar voor deze diepe analyse van de dreiging van AI-voor-slechte-doeleinden (ook dat is al een positie maar wie niet kiest, is behalve slachtoffer ook mededader bij omissie), geeft Schneier een exposé over de vele methoden om te eigen bate door (stelsels van) controls te navigeren of ze te omzeilen – dát zijn hacks. Zo oud als de weg naar Rome of meer nog zo oud als de mens. Die hacks variëren van operationeel niveau tot meer strategische ‘ingrepen’, in termen van de ons bekende bon mots:

  • Een stelsel van controls is als een spinnenweb: de kleine vliegjes worden gevangen, de grote vliegen er dwars doorheen – want kunnen de beste advocaten betalen om ofwel op Foutje Bedankt te spelen ofwel te overdonderen met ‘alternatieve’ interpretaties van de regels. Denk aan het recente onderzoek over anti-witwasmaatregelen: Het hielp niks. Maar we moeten wel betalingen boven €100,= gaan monitoren; u bent dan verdachte tot uw onschuld is bewezen.
  • Iedereen is te koop – wie al geld of macht heeft, kan de beste advocaten betalen op de meest onbedoelde geitenpaadjes (over het hoofd geziene ‘functionaliteit’) te vinden; tegen de intenties of de ‘principles’ van de regelgeving en wetgeving in. Het hele Cum-Ex-gebeuren past hier prima bij. Stick to the little rules, then you can break the big ones, en hiding in plain sight als je de boel leegplukt, passen hier ook bij.
    En wie de media beheerst, kan welke ophef dan ook wel snel genoeg uit het nieuws krijgen. Zand erover. Of lezen we dagelijks in de krant (huh? papier?) of andere media wie er nu weer is veroordeeld wegens de Panama Papers onthullingen?
  • De gouden regel: wie het goud heeft, bepaalt de regels – het makkelijkst is de wetgevers te kopen om de ‘benodigde’ aanpassingen en uitzonderingen in regelgeving en wetgeving te krijgen. Bij dat eerste: Er bestaat nog geen oplossing tegen regulatory capture. Bij dat laatste: Wie denk dat dat alleen over de Grote Plas een probleem is, kan beter leren analyseren hoe onze wetgeving in elkaar zit. Lobbyisten sponsoren politieke partijen en actiegroepen (pro en contra gevestigde belangen om de schijn op te houden!) dat het een lieve lust heeft, en maken de politiek inhoudelijk afhankelijk van deskundigen die ook niet on-afhankelijk zijn.

Waaroverheen op alle niveaus ook nog gewoonterecht geldt: Doe bovenstaande met voldoende aplomb en speel de vermoorde onschuld, en het misbruik wordt getolereerd en daarna gewoon, usance, en dan de norm of jurisprudentie.
Eerder had Schneier reeds Liars and Outliers, over hoe het normaal is dat steeds groter wordende groepen mensen, de mensheid, steeds meer en steeds hardere regels nodig heeft om de enkeling die zich er niet aan wil houden, in het gareel te houden. Die enkeling kan het ook niet helpen; het zit in de aard van het beestje (vertellen ook alle religies en levenswijsheden), en dat is nodig ook want anders versteent de boel en dat is slecht voor de hele mensheid; ontwikkeling moet er zijn.

Dat is geen probleem als de regels voldoende ontwikkelingsruimte bieden (principle-based zijn) en voor iedereen gelden, zonder uitzondering. Aan die laatste voorwaarde wordt dus steeds minder voldaan. En als het dan de beeldbepalende lieden zijn die bovenstaande mechanismen blijken te gebruiken voor pure zelfverrijking op het onbeschofte af, of überhaupt over ‘geitenpaadjes’ praten … Quod licet Jovi, ultimo licet bovi, toch? Bovendien toont Schneier dat het (terug?)hacken van bureaucratie soms nodig is om iets nuttigs te kunnen doen.
Laten we dan als auditors vooral blijven aandringen op nóg meer regeltjes om de kleine jongens (M/V, maar meestal M, nog) te pakken? Ook al roepen we te pas en te onpas ‘principle-based’, de roep om verduidelijking tot pietlut-regeltjes volgt steevast, waarna de principles worden vergeten want die zijn niet vinkbaar en zeker niet van evidence van compliance te voorzien. De ‘boosdoeners’ volgen toch de letter van de wet?

Denk daar nog eens aan als u alweer eens wordt gevraagd om een stelsel van controls te helpen ontwikkelen, of te toetsen. Compliance vervalt al te snel tot window dressing.
Waar Schneier duidelijk over is: Dit alles is zou oud als de mensheid. Waar Schneier over doorgaat: Met de komst van AI wordt de balans wel heel scheef. Al het bovenstaande is zo oneindig veel sneller en gemakkelijker te doen met AI-middelen. Ja, die zijn nog vrij dom maar kunnen al zo veel – dus weest gewaarschuwd als de versnelling in AI-ontwikkeling, van gewone ML/ANI langs AGI naar ASI doorontwikkelt. Nu reeds blijkt ChapGPT-3 à -4 heel fraaie teksten op te kunnen hoesten over van alles en nog wat, én de grootst mogelijke onzin, woke of juist bedroevend-reactionaire fantasieën als feiten te kunnen presenteren. Uitstekend bruikbaar voor beïnvloeding van de publieke opinie, nietwaar? Toen een mogendheid ten Oosten van de EU de Amerikaanse verkiezingen beïnvloedde via Facebook- en andere individueel gepersonificeerde biased artikelen en posts, was daar al veel ophef over die wegebde toen de bevoordeelde partij won en de media daarmee meebogen.

Dat was nog kinderspel met wat vandaag de dag aan beïnvloeding mogelijk is (gebleken) met verwrongen of verzonnen feiten, statistieken en modellen, onderdrukte tegengeluiden et al. De mecha-nismen die vanouds bestonden om hier tegenin te gaan, zoals wetshandhaving zonder aanzien des persoons, democratische besluitvorming over waar we als maatschappij heen willen, etc. – door de hoge snelheid van verandering én door de onmogelijkheid van objectieve en vrije (sic) nieuwsgaring, loopt die steeds verder achter de feiten aan.
Wat zal resten, is een minieme elite die de middelen beheerst. Ter eigen (geld)winst, onder het mom van het beste voor iedereen. Iedereen behalve die elite, die hoeft zich nooit aan de regels te houden; zie boven. Voor iedereen anders: Eenieder wordt geacht fysiek én geestelijk zich te voegen naar wat anderen bepalen. Hetgeen wat dat betreft vijf jaar geleden nog een schande, een outrage was toen het in China gebeurde, wordt hier om de dag als nieuwe Europese wetten voorgesteld.
Schneier zal het als Amerikaan niet zo snel letterlijk noemen, maar doorschemeren laat hij het wel: Als het zo doorgaat, rest slechts de opstand, de revolutie van de tot slaaf gemaakten – dat zijn allen behalve de minieme elite; als u dit leest dus inclusief u en ik. Tot zover het boek.

De afdronk zou dan ook kunnen zijn: Ik mis concrete handvatten. Nou ja, wellicht wordt u door lezing uitgedaagd om eens een keertje verder te kijken dan ‘concrete handvatten’, het gaat in het leven niet alleen om afvinkbare regeltjes.
Maar Schneier biedt bovendien dus wel degelijk handvatten om in ieder geval de hackbaarheid te doorzien en in het klein te zorgen voor goede regels: gebruik die dan ook! Denk na over de regeltjes die al te gemakkelijk klakkeloos over te nemen standaarden geven. Waarom staan die regels er; wat zouden ze moeten bereiken en hoe? En dieper: Doe zelf ook eens aan secure coding van control frameworks. Let ook op wie erop achteruit gaat (of niet kan profiteren): dat zijn degenen die gaan hacken, ook al hebben ze geen enkele noodzaak aan ‘nog meer’ – vrijheid en menselijke waardigheid van anderen be damned.
Ook in min of meer reguliere audits valt een hoop winst te halen door in te zien dat de risico-analyses om te bepalen wat wel wél gaan checken en waar we lichter overheen kijken (jawel, nota vaktechniek bene!), best wat scherper kunnen. Durf eens te kijken naar hogere niveaus van control objectives…
Schneier presenteert een en ander op een gemakkelijk leesbare maar feitelijke toon, en alle genoemde hacks en feiten zijn, hem te doen gebruikelijk, prima te checken. En hij veroordeelt niet; geeft hooguit her en der een lichte ecce homo.
Het is al met al een nuttig, lezenswaardig boek. Om de handvatten en om de aanzet tot overpeinzing.

For your viewing pleasure:

[Hot Nancy]

51%-attacking democracy

Suddenly, the similarities dawned on me, between latter-day ‘democratic’ governments and the blockchain’s 51%-attack ideas.

  • A 51%-attack on a blockchain is that when (not if) one controls 51% (as in: a majority) of the votes needed to ‘certifiy’ a certain transaction on the blockchain, you basically have captured Truth decisions and can change transactions at will, because you will agree with yourself (51% of votes have it) that your alterations are valid.
    If you need more info on how blockchain (voting) works: here.
  • A 51% attack on democracy would be where some party/potentate is able to coax a majority of voters, or rather of their representatives, into believing that their well is best served by following the Leader. This will protect the Leader from recourse against the (indicative for all) morally and ethically utterly unjust, fraudulent, unconstitutional and like decisions (in absentio or not), acts and speech acts (including flat-out lying, bullying, threats et al.), and goat trailing through just and equitable law (where they should be the penultimate protectors of that!), since no-one is able to stop him (not her, in general; exceptions apply). All the things a proper government (morale) and constitutional structure should systemically protect against. The ones to stop him, best serve themselves by not protesting; they profit. And they can’t be replaced quickly since that would require them to (majority)vote against themselves and even then. And in due time, the loss of systemic protection will be written into law. Look around the world; through the explosion of near-timefree communications, the bug has spread at record pace, on all continents.

Yes, that is the definition of mob rule. In the former case, at least a true majority (though probably commandeered by a handful) might benefit. In the latter, the voters are ousted of their constitutional powers to correct. I.e., democracy isn’t anymore, dictatorship remains.

Solutions?
Not many. Revolution (in its post-1789 understanding*) is one. But not a structural solution as such, only making room for a possible one – what comes after?
* Since before, it was the natural turn of events over the centuries that were recognised to be the wheel of fortune turning over types of governments as well. Democracy being (one of?) the most decrepid form of organising societies, remember?
And pointing out to the compliant accomplices that their benefits are all too temporal and they’re just pawns, e.g., by pointing to this (title) and explaining that it may not be their children but they themselves at whim’s notice, but these are too stupid (no less derogatory word needed) to understand.

It’s more the inherent flaw of democracy, as decried by all men (sic) of mind that considered it, throughout (the ages of) humanity. We’re back at ☐ one. When even the most thoughtful spirits of mankind haven’t been able to solve this, what can we do?
Apart from studying Bruce’s latest (at time of this writing), at least. Book review of this, here above (in Dutch).
And what solutions do blockchain thinkers have against 51%-attacks? We might learn.

Nikigai – How to four-way Venn and find your optimal life

… Yes dear reader that isn’t misspelled. Traditional Ikigai charts are incomplete as they aren’t proper four-way Venn diagrams.
Because the latter require all overlaps to be in the pic. Like, 4-way, all 3-way, and all 2-way overlaps. The latter, a Problem.

Behold:

Where you can fill in the ‘…’ to your liking. And then find ways to move all that you just entered, towards the middle. Preferably over the ‘paid’ wing(s) if you can, or over the others, if you prefer to keep something strictly as a hobby.

But do note the lack of labelling of many (overlap) areas; those are the ones not (depicted or labelable now that I used it that is a word) in the original.

Have fun!

Yup, once again. Since today’s that date.

As an intermission: Would you know which is which, of the above/below …?
And then, there’s continental differences …

[Since it’s today’s date, I thought to flip it and not be original just for one day… nevertheless, the day deserves some sillyness in particular in current circumstances. See also the two previous Today’s Date posts.]

First up, the Elk:
elk-06
Servus Canadensis, the wapiti indeed. Next up, the Elk: Continue reading “Yup, once again. Since today’s that date.”

Latest physical → cyber ..?

Just when one thought that the War in the cyberzz would be fought with all the conventional tricks of wiperware and integrity corruption (i.e., dis- and mis-information, dirty patches), there pops up [yesterday] a news item about Alexander* using EW/flare pods as ‘co-payload’. As determined by e.g., GW Herbert.

Now, at what pace would we see this tactic be deployed also in cyberspace [if that exists] ..?

Why wouldn’t a payload as dropped into/onto some network, not only use legit UIDs for further reconnaissance, priv escalation et al., but also create fake ‘innocious’ accounts that would at some point be ‘found out’ and removed, only to declare the network fully safe again? So that the real payload could fly on to its target. Should be doable. May not be extremely difficult to create some new defenses against, but hey, another piece to the arsenal ..? Another piece of defense you need to build (or at least design) to be ready when certain stuff hits the fan?


[These sort of perimeter defenses will also not work. ‘Perimeter‘… Note that any army that seriously tried, did conquer England – maybe not the other parts as much.]

* As all of you are very aware, the missile ‘name’ actually is Iskander. Which is the derogatory name all the peoples conquered by The Macedonian used and use. So, either they don’t know about this and feel proud [for that’s what such missile names commonly are chosen for] for a ridiculous reason, on their way to prove the name is used by the defeated, crushed; or they do know that with the name they side with the oppressed – not reflecting current mil actions – and the name reflects their instinct of the fate that they will lose big-time.
Or, in revenge for some field trip in Asia in the area where even Alexander did fail eventually, the trip that worked out the same as those that came after [and those that came after, in the 20th C, didn’t learn a thing from their precursors; even more stupid! See this book. But then again, those that came after in the 21st C, they were the really stupid not to have learned…], they chose the name in prep for regaining control in that (wider) area with a “If you insult us (?) with that slur, it will backfire on you” weapon. I’m getting away from the main subject of this post a bit, eh?

AutoAuto’s blijven een droom

Tsja, auto’s, ‘artificial intelligence’ en security: Het is het bekende verhaal. Nog steeds … Zijn er technologische of andere ontwikkelingen de afgelopen halve eeuw waarbij security-in-brede-zin nou eens echt vanaf het begin is meegenomen, of blijven we met alle OT-dingen om ons heen doorgaan met de put dempen, security er een beetje (sic) opschroeven als het al te laat is?
Bij auto’s is dat ook het geval. Met als complicatie dat we niet alleen snel de auto omvormen tot softwareplatform op wielen1, maar gelijk ook het geheel liefst zo volledig mogelijk zelfrijdend willen maken. Zelfrijdend, in de chaotische context die het wegverkeer is. De mogelijkheden en oplossingen kennen drie grote issues, die in een drieluik van hoofdstukken aan bod zullen komen: Wat kan de mens en wat kan de auto, potentieel; waarom pakken we het niet aan met centrale aansturing of coördinatie en; wat kunnen we dan wel – waar staan we nou eigenlijk met aai-oplossingen? Dit stuk, het zal niet verbazen, bestaat net als Gallia2 uit drie stukken.

Soort-van waarschuwing: Dit is een longread…

Deel 1: Goto HumanDriver Considered Dangerous

Hier pakken we dus de eerste vraag op. Met vooral aandacht voor een element uit het ‘system’ dat we of het nu homo ‘sapiens’ is of HAL, in de auto de functie heeft van Central Scrutiniser3: De Bestuurder. Wat kán die, hoe beslist die ..?

De meesten van u zullen het wel hebben meegekregen; het resultaat van een groot onderzoek van MIT4 over beslissingen die een Moral Machine zou moeten nemen om aan te sluiten bij wat wij mensen moreel handelen vinden. Nou ja, het ging eigenlijk alleen over een klein, bekend onderdeeltje van moreel redeneren, het trolley problem. Waarin de keuze moet worden gemaakt om een of meerdere mensen om te brengen, om een of (nog-)meerdere anderen te redden. Een besluit is verplicht, nietsdoen is een keuze voor een van beide alternatieven. [Al is onduidelijk wat de default instelling is in dit experiment…]

Uit het onderzoek kwam van alles naar voren – dat er over de wereld gezien culturele verschillen zijn in de statistisch ‘ideale’ keuzes. Dat het nogal uitmaakt wat er precies aan binaire alternatieven voorhanden is. Dat het uitmaakt wie je het vraagt; ja man/vrouw, jong/oud dat geeft allerlei verschillende maar moeilijk voorspelbare antwoorden. Dat was nog enigszins voorspelbaar. En dat de resultaten desondanks een zware bias hebben doordat de deelnemerspopulatie stevig leunde naar man, hoger opgeleid, welvarend en dus waarschijnlijk meer kosmopolitisch (en dus mogelijk minder religieus), en sowieso deelnemend. Dat soort beperkingen aan de representativiteit worden wel vermeld maar de impact op de resultaten niet (voldoende). Waarmee we dus niet weten of de resultaten bij voldoende biascorrectie wellicht grijs middelmatig vlees noch vis zouden zijn5. Zoals bij de debatten onder ethici over dit soort zaken: Er wordt fraai gedebatteerd en wat was het een interessante uitwisseling van argumenten en filosofische uitgangspunten – maar een eenduidige, snel beslisbare oplossing komt daar nooit uit. Als het probleem in de praktijk zo Onbeslisbaar6 lijkt, dan kunnen we misschien beter ophouden.

Morele Auto’s
Dat het onderzoek beperkt was (is) tot het trolley problem, maakt de resultaten nou ook niet bepaald geschikt voor praktijkgebruik bij bijvoorbeeld zelfrijdende Auto’s7. Die Auto’s zullen heus in veel situaties terechtkomen waar wel meer dan twee alternatieve wegen voorwaarts zijn. Dat er wordt geleerd van de praktijk, is niet noodzakelijkerwijs een oplossing, of beter. Neem het geval van de overstekende voetganger met fiets aan de hand – de Auto herkende dit te laat (als obstakel) om nog rustig te kunnen remmen. De Auto had geleerd om vooral niet te gemakkelijk tot remmen te beslissen omdat bumperklevers al zo vaak schade gaven aan de achterbumper; dan maar liever gewaagd om door te rijden tot het echt niet anders kan oftewel het te laat is voor een noodstop. Exit voetganger. Tsja, economische argumenten gaan nu eenmaal voor.

Dat was eigenlijk al duidelijk toen bleek dat Auto’s veel defensiever reden dan mensen; er was kennelijk nogal wat te processen aan informatie en better be safe than sorry – voor de Auto’s en de verzekeringsmaatschappij … Hetgeen overigens de ruimte schiep (schept?) voor fervente Automobilisten om dan nog veel meer plezier te beleven aan hun hobby, maar dat terzijde8. Post scriptum: De Auto’s zullen dus langzaam rijden, ook al om een andere reden9 – zie ook 75.
Continue reading “AutoAuto’s blijven een droom”

Eindeloos projectfalen

[English version below]
U vergat te leren. Dus ging uw project de mist in.

[Dit is een repost-plus-een-beetje van 2018. Omdat er kennelijk niets, naar boven afgerond nul [uitzonderingen daargelaten; oprechte felicitaties] veranderd is in de loop der jaren. Decennia. Hoewel er met ‘Agile’ wel ietsje voortgang is bereikt, hier en daar daar sprints [sprintjes; geen manier om een marathon van een infrastructuurvernieuwing te bereiken, overigens] als micro-projectjes kunnen gelden.]
[Merk tevens op dat waar ‘project’ wordt genoemd, ook ‘programma’ kan worden gelezen.]

Aan alle project-gerelateerde functionarissen: Deed u wel de Evaluatie aan het eind van uw vorige project? Serieus?? Uitgebreid en diepgaand genoeg om potentieel nuttige informatie over ups en downs en near-misses en hoe die laatste twee te voorkomen te hebben voor toekomstige projecten? Echt? In al uw vorige projecten?
‘Ja’ is nogal ongeloofwaardig.

En, waar eindigde die informatie in projecten die u later deed?

Nergenshuizen, ongetwijfeld. Alleen in de projectmanagementtechnieken en -methoden die in de opzet- en planningsfase extreem veel detail vragen (deze is daarbij het lezen, stukbestuderen waard) komt het nog weleens voor.
Daar lezen we soms (niet eens altijd) nog wel eens een vage notie van het meenemen van het geleerde uit vorige projecten (een beetje zoals hier).
Maar dat zijn uitzonderingen. In standaarden met tonnen aan detail. En dan wordt lessen meenemen alleen aangeduid in de inleiding. Als u dat al volgt.

Gewoonlijk – weest eerlijk! – … zelfs dat niet echt. Pino of NePino. Tsja maar dan, zoals op de lagere school tot en met ‘woordjes leren’…:

Lessons will be repeated until they are learned.

Jawel, zelfs indien (sic; als niet wanneer) auditors uw project management aan de start van een project checken om te bepalen of de opzet succes überhaupt mogelijk laat – en ze mee blijven lopen met de projectuitvoering om passend risicomanagement en -control in het project aangaande project governance [don’t get me started], voortgang, en de andere helft van het auditwerk: de kwaliteit van de deliverables richting de oorspronkelijke doelstellingen,
zelfs dan wordt daarbij nooit achtgeslagen op toezicht dat de juiste en toepasselijke lessen die uit vorige projecten zouden moeten zijn geleerd, worden meegenomen. Dus zowel de voorkoombare fouten, vergissingen en onachtzaamheden als de succesvolle risicoreducerende acties. Áls u auditors dat wel deden en doen: mijn hoogachting. Die dus op nul blijft hangen.

Simpele conclusie: Om uw toekomstige projecten een kansje te geven succesvol te zijn, zijn de lessen uit het verleden verplicht te worden meegenomen aan en vanaf de start.

En eis dan ook van auditors dat ze daar toezicht op houden; mede bijvoorbeeld door auditors de schuld te geven van projectfalen als ze risico’s en voorkoombare fouten niet tijdig [dus aan en vanaf de start] signaleren en laten oplossen.
[Waarbij terzijde dat de ooit niet zo serieus genomen Gateway Reviews bij overheidsprogramma’s in potentie invulling gaven aan zulk toezicht. Wellicht niet juist gericht en met niet de volle omvang en diepgang, maar toch.]

Nu dan, om u op te vrolijken:

[Is ook een visie; Porto]

Eternal project failure

You failed to learn. You’ll fail your projects.

[This, as a repost from 2018. Since nothing seems to have changed; exceptions excepted [true congrats]. Though with ‘Agile’ [the schmagile; more on that in later posts] things have improved just a little, here and there, as sprints might be considered micro-projects..?]
[Note, too, that wherever ‘project’ is mentioned, ‘program’ certainly applies as well.]

To all project management related types: Did you do your Lessons learned session at the end of your last project? In earnest? Extensively and deep enough to be potentially useful in future projects? Seriously? In all your previous projects?
Experience and statistics don’t agree with any Yes.

And, where did the lessons learned show up in the projects you did later?

Nowhere, I guess. Only where project set-up standards require the most excruciating detail in planning and activities – the kind that no-one will follow in practice (this is strongly recommended to be studies to pieces, as illumination). There, we sometimes (not even always) encounter some vague reference to do include past projects’ learnings (bit like this).
But that’s the exception. In the full-detail standards. Qua guideline at the outset.

Common practice (be honest) … not so much. Pino or NePino. Well, …

Lessons will be repeated until they are learned.

Yes, even if (sic) auditors check on your project management at the start, to see that the project is well set up to achieve the objectives – and auditors stick along with project execution to track proper risk control in the project re project governance, progress, and the other half of audit work the deliverables – hardly ever does that cover checking that all the right and applicable (…) lessons learned from past projects (both the preventable errors/slip-ups and the successful risk mitigation actions) are in fact included in this new project under study. If you auditor did do this, than congrats and hats off to you!

Simple conclusion: To greatly enhance your future projects’ chance of success, include past learnings in earnests.
And require auditors to do the same when they audit projects, e.g., by putting the blame on auditors when projects fail at known, mitigatable risks, for their lack of due and timely advice.

[Edited to add: Which may tie in easily with the ‘required’ (by me) project pre-mortem analysis as per this.

Now, to cheer up:

[Use your Vision; Porto]

Maverisk / Étoiles du Nord