Aanbevelenswaard, dit: Bruce Schneier’s A Hacker’s Mind. Onderstaande een bespreking zijnde tevens een vorm van samenvatting. Als u denkt hee Bruce heeft het anders nooit zo over audits dan zijn die stukjes juist mijn bijdrage. Als u denkt dit is opiniërend of erger, dan hebt u juist Bruce’s mening/content te pakken..! Here we go:
Na inmiddels een reeks van boeken over informatiebeveiliging, van cryptografie tot het waarom van stelsels van controls, is Bruce Schneier terug met A Hacker’s Mind, met een urgente boodschap dit keer. Over de risico’s van het hacken van code (stelsels van regels!) en de rol van AI daarin, voor … zowat alles wat ons dierbaar is aan waarheid en feiten, en maatschappelijke structuren en waarden als vrijheid en menselijke waardigheid.
Schneier begint met een aantal handvatten voor het beter ontwerpen van regels in software, of in andere structuren zoals controls, regelgeving, wetgeving, of instituties en maatschappelijke inrichting. Dat is allemaal code! Zijn regels gaan over het voorkomen van vulnerabilities, het detecteren en het oplossen van hacks. Klinkt bekend. En vooral het voorkomen ervan krijgt aandacht. Security by design… Het wordt wat minder met zijn aanwijzingen als het gaat om het inherent oplossen van hackbaarheid; daar is de wereld ook nog nauwelijks (bewust) mee bezig.
Het boek begint dan al ‘toepassingen’ van AI tussen de regels (van het boek, tsja) te vlechten. Want daar gaat het boek óók en uiteindelijk vooral over: AI kan mooie dingen brengen, maar als we niet uitkijken, zijn de slechte toepassingen eerder en die kunnen de goede toepassingen zeer wel pre-emptief onmogelijk maken. Hoe, dat komt vooral richting het eind van het boek steeds verder naar voren.
Maar voor deze diepe analyse van de dreiging van AI-voor-slechte-doeleinden (ook dat is al een positie maar wie niet kiest, is behalve slachtoffer ook mededader bij omissie), geeft Schneier een exposé over de vele methoden om te eigen bate door (stelsels van) controls te navigeren of ze te omzeilen – dát zijn hacks. Zo oud als de weg naar Rome of meer nog zo oud als de mens. Die hacks variëren van operationeel niveau tot meer strategische ‘ingrepen’, in termen van de ons bekende bon mots:
- Een stelsel van controls is als een spinnenweb: de kleine vliegjes worden gevangen, de grote vliegen er dwars doorheen – want kunnen de beste advocaten betalen om ofwel op Foutje Bedankt te spelen ofwel te overdonderen met ‘alternatieve’ interpretaties van de regels. Denk aan het recente onderzoek over anti-witwasmaatregelen: Het hielp niks. Maar we moeten wel betalingen boven €100,= gaan monitoren; u bent dan verdachte tot uw onschuld is bewezen.
- Iedereen is te koop – wie al geld of macht heeft, kan de beste advocaten betalen op de meest onbedoelde geitenpaadjes (over het hoofd geziene ‘functionaliteit’) te vinden; tegen de intenties of de ‘principles’ van de regelgeving en wetgeving in. Het hele Cum-Ex-gebeuren past hier prima bij. Stick to the little rules, then you can break the big ones, en hiding in plain sight als je de boel leegplukt, passen hier ook bij.
En wie de media beheerst, kan welke ophef dan ook wel snel genoeg uit het nieuws krijgen. Zand erover. Of lezen we dagelijks in de krant (huh? papier?) of andere media wie er nu weer is veroordeeld wegens de Panama Papers onthullingen? - De gouden regel: wie het goud heeft, bepaalt de regels – het makkelijkst is de wetgevers te kopen om de ‘benodigde’ aanpassingen en uitzonderingen in regelgeving en wetgeving te krijgen. Bij dat eerste: Er bestaat nog geen oplossing tegen regulatory capture. Bij dat laatste: Wie denk dat dat alleen over de Grote Plas een probleem is, kan beter leren analyseren hoe onze wetgeving in elkaar zit. Lobbyisten sponsoren politieke partijen en actiegroepen (pro en contra gevestigde belangen om de schijn op te houden!) dat het een lieve lust heeft, en maken de politiek inhoudelijk afhankelijk van deskundigen die ook niet on-afhankelijk zijn.
Waaroverheen op alle niveaus ook nog gewoonterecht geldt: Doe bovenstaande met voldoende aplomb en speel de vermoorde onschuld, en het misbruik wordt getolereerd en daarna gewoon, usance, en dan de norm of jurisprudentie.
Eerder had Schneier reeds Liars and Outliers, over hoe het normaal is dat steeds groter wordende groepen mensen, de mensheid, steeds meer en steeds hardere regels nodig heeft om de enkeling die zich er niet aan wil houden, in het gareel te houden. Die enkeling kan het ook niet helpen; het zit in de aard van het beestje (vertellen ook alle religies en levenswijsheden), en dat is nodig ook want anders versteent de boel en dat is slecht voor de hele mensheid; ontwikkeling moet er zijn.
Dat is geen probleem als de regels voldoende ontwikkelingsruimte bieden (principle-based zijn) en voor iedereen gelden, zonder uitzondering. Aan die laatste voorwaarde wordt dus steeds minder voldaan. En als het dan de beeldbepalende lieden zijn die bovenstaande mechanismen blijken te gebruiken voor pure zelfverrijking op het onbeschofte af, of überhaupt over ‘geitenpaadjes’ praten … Quod licet Jovi, ultimo licet bovi, toch? Bovendien toont Schneier dat het (terug?)hacken van bureaucratie soms nodig is om iets nuttigs te kunnen doen.
Laten we dan als auditors vooral blijven aandringen op nóg meer regeltjes om de kleine jongens (M/V, maar meestal M, nog) te pakken? Ook al roepen we te pas en te onpas ‘principle-based’, de roep om verduidelijking tot pietlut-regeltjes volgt steevast, waarna de principles worden vergeten want die zijn niet vinkbaar en zeker niet van evidence van compliance te voorzien. De ‘boosdoeners’ volgen toch de letter van de wet?
Denk daar nog eens aan als u alweer eens wordt gevraagd om een stelsel van controls te helpen ontwikkelen, of te toetsen. Compliance vervalt al te snel tot window dressing.
Waar Schneier duidelijk over is: Dit alles is zou oud als de mensheid. Waar Schneier over doorgaat: Met de komst van AI wordt de balans wel heel scheef. Al het bovenstaande is zo oneindig veel sneller en gemakkelijker te doen met AI-middelen. Ja, die zijn nog vrij dom maar kunnen al zo veel – dus weest gewaarschuwd als de versnelling in AI-ontwikkeling, van gewone ML/ANI langs AGI naar ASI doorontwikkelt. Nu reeds blijkt ChapGPT-3 à -4 heel fraaie teksten op te kunnen hoesten over van alles en nog wat, én de grootst mogelijke onzin, woke of juist bedroevend-reactionaire fantasieën als feiten te kunnen presenteren. Uitstekend bruikbaar voor beïnvloeding van de publieke opinie, nietwaar? Toen een mogendheid ten Oosten van de EU de Amerikaanse verkiezingen beïnvloedde via Facebook- en andere individueel gepersonificeerde biased artikelen en posts, was daar al veel ophef over die wegebde toen de bevoordeelde partij won en de media daarmee meebogen.
Dat was nog kinderspel met wat vandaag de dag aan beïnvloeding mogelijk is (gebleken) met verwrongen of verzonnen feiten, statistieken en modellen, onderdrukte tegengeluiden et al. De mecha-nismen die vanouds bestonden om hier tegenin te gaan, zoals wetshandhaving zonder aanzien des persoons, democratische besluitvorming over waar we als maatschappij heen willen, etc. – door de hoge snelheid van verandering én door de onmogelijkheid van objectieve en vrije (sic) nieuwsgaring, loopt die steeds verder achter de feiten aan.
Wat zal resten, is een minieme elite die de middelen beheerst. Ter eigen (geld)winst, onder het mom van het beste voor iedereen. Iedereen behalve die elite, die hoeft zich nooit aan de regels te houden; zie boven. Voor iedereen anders: Eenieder wordt geacht fysiek én geestelijk zich te voegen naar wat anderen bepalen. Hetgeen wat dat betreft vijf jaar geleden nog een schande, een outrage was toen het in China gebeurde, wordt hier om de dag als nieuwe Europese wetten voorgesteld.
Schneier zal het als Amerikaan niet zo snel letterlijk noemen, maar doorschemeren laat hij het wel: Als het zo doorgaat, rest slechts de opstand, de revolutie van de tot slaaf gemaakten – dat zijn allen behalve de minieme elite; als u dit leest dus inclusief u en ik. Tot zover het boek.
De afdronk zou dan ook kunnen zijn: Ik mis concrete handvatten. Nou ja, wellicht wordt u door lezing uitgedaagd om eens een keertje verder te kijken dan ‘concrete handvatten’, het gaat in het leven niet alleen om afvinkbare regeltjes.
Maar Schneier biedt bovendien dus wel degelijk handvatten om in ieder geval de hackbaarheid te doorzien en in het klein te zorgen voor goede regels: gebruik die dan ook! Denk na over de regeltjes die al te gemakkelijk klakkeloos over te nemen standaarden geven. Waarom staan die regels er; wat zouden ze moeten bereiken en hoe? En dieper: Doe zelf ook eens aan secure coding van control frameworks. Let ook op wie erop achteruit gaat (of niet kan profiteren): dat zijn degenen die gaan hacken, ook al hebben ze geen enkele noodzaak aan ‘nog meer’ – vrijheid en menselijke waardigheid van anderen be damned.
Ook in min of meer reguliere audits valt een hoop winst te halen door in te zien dat de risico-analyses om te bepalen wat wel wél gaan checken en waar we lichter overheen kijken (jawel, nota vaktechniek bene!), best wat scherper kunnen. Durf eens te kijken naar hogere niveaus van control objectives…
Schneier presenteert een en ander op een gemakkelijk leesbare maar feitelijke toon, en alle genoemde hacks en feiten zijn, hem te doen gebruikelijk, prima te checken. En hij veroordeelt niet; geeft hooguit her en der een lichte ecce homo.
Het is al met al een nuttig, lezenswaardig boek. Om de handvatten en om de aanzet tot overpeinzing.
For your viewing pleasure:
[Hot Nancy]