Cognitieve bias – oftewel cognitieve vooroordelen – kunnen een risico vormen binnen cybersecurity: het onderbuikgevoel kan de overhand krijgen bij risico-inschatting. De focus gaat dan op het verkeerde onderwerp liggen, waardoor de daadwerkelijk grootste risico’s onderbelicht blijven en organisaties of individuen niet voldoende voorbereid zijn op zo’n risico.
Deze waarschuwing komt van Hanah-Marie Darley, Head of Threat Research bij securitybedrijf Darktrace, bij haar presentatie tijdens de conferentie ‘European Women in Technology‘. Darley heeft een achtergrond in psychologie en zet deze in om teams te begeleiden. Ze werkte bijna tien jaar als specialist op het gebied van bedreigingsinformatie en geopolitiek analist.
Cognitieve vooroordelen en het nemen van beslissingen
Cognitieve vooroordelen hebben niet alleen impact op dit soort beslissingen, maar op allerlei beslissingen. Ze vormen de basis voor bijvoorbeeld groepsdenken – waardoor je vaak liever vertrouwt op de beslissing van een grote groep dan op die van een enkel persoon – en ‘confirmation bias’, waardoor je geneigd bent vooral informatie te geloven die je eigen overtuigingen bevestigen.
Ook binnen de IT spelen cognitieve vooroordelen met regelmaat een rol, stelt Darley. Denk aan de gedachtegang dat nieuwe producten altijd beter zijn of dat we bijvoorbeeld softwareontwikkelaars en CTO’s automatisch het voornaamwoord ‘hem’ toekennen, terwijl dit natuurlijk helemaal geen mannen hoeven te zijn. Onze eigen ervaringen en overtuigingen zorgen er (onbewust) voor dat we hiervan uitgaan, ongeacht of het waar is of niet.
Maar dat kan ook voor flinke risico’s zorgen, zeker in cybersecurity. Binnen cybersecurity is namelijk vaak sprake van veel stress, wat ervoor zorgt dat een ander deel van je brein geactiveerd wordt. “Je dagelijkse beslissingen [gebaseerd op rationele logica, red.] worden op een andere plek in je brein gemaakt dan hetgeen je gebruikt als je in paniek bent”, verklaart Darley. Dat deel – wat we kennen van de vecht-/vlucht-reactie – draait veel meer op de cognitieve vooroordelen, omdat het heel snel beslissingen moet maken. Tijd om rationeel alle factoren af te wegen, is er dus niet. “Bij beveiligingsincidenten is de kans groot dat het bloed naar dat deel van je brein gaat en alle logica het raam uit gaat.”
Vertrouw niet op je onderbuik
Als het ‘onderbuikgevoel’ mee gaat spelen in het bepalen wat het grootste risico is voor een bedrijf, kun je tot de verkeerde conclusies komen. “Je hoort nu veel over ransomware, dus je denkt snel dat dit het grootste gevaar is. Dat kan zo zijn, maar misschien het verlies van data wel een veel groter risico voor jouw bedrijf”, legt Darley uit. Maar ook onder securityexperts kan cognitieve bias een risico vormen.
Aan het begin van de oorlog in Oekraïne waren velen bang dat er in één keer een piek in nieuwe malware zou ontstaan, die ook organisaties in andere landen zou raken. Dat bleek niet helemaal het geval: er was wel een toename, maar die was geleidelijk. Of neem de focus op de Advanced Persistent Threats (APT’s), waarbij constante, verborgen en geavanceerde hackingtechnieken gebruikt worden om voor langere tijd toegang te krijgen tot een systeem. “Maar dat is heel ingewikkeld, waardoor slechts een klein deel van de organisaties daadwerkelijk doelwit is. Deze aanvallers doen aan spionage en besteden maanden of jaren aan technieken waarmee ze binnen kunnen komen. Dat gaan ze niet voor iedere organisatie inzetten”, verklaart de psycholoog en securityexpert. “Dus moet je op de hoogte zijn van APT-risico’s? Ja. Ga je er volgende week slachtoffer van worden? Waarschijnlijk niet. Dus het is niet het grootste risico voor jouw bedrijf en waarschijnlijk ook niet het eerste risico wat je aan wil pakken.”
Prioriteer en stel vragen
Simpel gezegd kunnen cognitieve vooroordelen er dus voor zorgen dat de focus op het verkeerde onderwerp gaat liggen, waardoor de daadwerkelijk grootste risico’s onderbelicht blijven en organisaties of individuen niet voldoende voorbereid zijn op zo’n risico. Maar van cognitieve vooroordelen ben je je niet zomaar bewust en ze zijn vaak niet zomaar weg te halen.
Daarom is het van groot belang dat we ons bewust zijn van die vooroordelen en maatregelen nemen om de impact hiervan te beperken, beargumenteert Darley. Dat begint met het constant onder de loep leggen van de eigen aannames. “Trek al het bewijs in twijfel en valideer alles. Hoe valide is dit stuk bewijs? Wat gebruik ik precies om dat vast te stellen?” Op die manier wordt je gedwongen kritisch naar de situatie te kijken. Darley adviseert verder om theorieën rondom een enkele oplossing of een enkel onderwerp te vermijden en om zoveel mogelijk alternatieven voor oplossingen te analyseren.
AI-systemen kunnen beter kijken naar afwijkend gedrag
Daarnaast ziet zij veel mogelijkheden in kunstmatige intelligentie (AI). Dergelijke systemen kunnen beter kijken naar afwijkend gedrag en daardoor daadwerkelijke risico’s herkennen. Verder heeft een AI geen last van stress, wat betekent dat beslissingen altijd op basis van logica gemaakt worden.
Het risico is natuurlijk dat AI-systemen net zo goed bias kunnen hebben, wat zelfs met regelmaat voorkomt. “Dat kun je voorkomen door algoritmes altijd door meerderen te laten maken en nooit door één iemand. Dan heb je altijd meerdere zienswijzen die erin zijn opgenomen”, geeft Darley als oplossing. “En neem de output met een korreltje zout. Ga er niet vanuit dat een AI geen bias heeft. Bovendien: niemand heeft altijd gelijk. Jij niet, ik niet en de AI niet. Dus zorg ook dat je geen aanpak hebt dat op maar één oplossing of één algoritme vertrouwt. Eén van de beste aanpakken die je kunt inzetten is door meerdere oplossingen te gebruiken, zoals meerdere algoritmes.”
Dit artikel werd eerder gepubliceerd bij onze collega’s van AG Connect
