Werken nieuwe wetten rondom cybersecurity daadwerkelijk? Hoe goed verdedigen bedrijven zich nu tegen malware en aanvallen? Professor Michel van Eeten van de Technische Universiteit Delft weet dat door te meten. “We kijken heel causaal en empirisch naar securityvraagstukken”, vertelt hij.

Veel van het werk binnen cybersecurity richt zich op het ontwikkelen van bijvoorbeeld nieuwe detectietechnieken of nieuwe cryptografie. Van Eeten focust zich met zijn team op een ander deel van het wetenschappelijk onderzoek: empirische cybersecurity. “Wij meten hoe problemen zich ontwikkelen, wie daarbij betrokken is, wat de effecten van interventies zijn en welke factoren problemen groter of kleiner maken.”

Verleden

Het balletje kwam in de beginjaren van het nieuwe millennium aan het rollen. Van Eeten kwam werk van Ross Anderson van de University of Cambridge tegen, rondom wat hij ‘economics of information security’ noemde. Volgens hem was het meeste wat er binnen security gebeurt namelijk niet het gevolg van ontwerpfouten, maar van gedragsprikkels. “Voor heel veel problemen die er waren, zijn best wel technologische oplossingen beschikbaar, maar die worden heel vaak niet gebruikt. Bijvoorbeeld omdat de schade van de problemen bij andere partijen terecht komt. Het draait dus allemaal om gedragseconomische prikkels: wie draagt de lusten en wie draagt de lasten van security -of de afwezigheid daarvan?”