Cognitieve vooroordelen: verborgen zwakte van onze verdediging
- Cognitieve bias speelt ook in IT een rol, bijvoorbeeld in de gedachte dat nieuw altijd beter is
- In cybersecurity kan dat voor risico's zorgen: het onderbuikgevoel kan de overhand krijgen bij risico-inschatting
- Zo beperk je de risico's van cognitieve bias in cybersecurity
- Lees ook: Deze vier securitylessen trekt het NCSC uit een jaar oorlog in Oekraïne
Shutterstock
Aan het begin van de oorlog in Oekraïne waren velen bang dat er in één keer een piek in nieuwe malware zou ontstaan, die ook organisaties in andere landen zou raken. Dat bleek niet helemaal het geval: er was wel een toename, maar die was geleidelijk. Dat de voorspelling niet uitkwam, is niet vreemd, vindt Hanah-Marie Darley, Head of Threat Research bij securitybedrijf Darktrace. Deze werd volgens haar gedaan vanwege cognitieve vooroordelen, die een risico vormen voor adequate cybersecurity.
Onder cognitieve vooroordelen verstaan we de manier waarop een specifiek persoon gebeurtenissen, feiten en andere mensen ziet, legt Darley uit tijdens de European Women in Tech-conferentie op 28 en 29 juni. Darley werkt tegenwoordig in security, maar heeft een achtergrond in psychologie. De zienswijze van mensen is volgens haar gebaseerd op de ervaringen en overtuigingen van de persoon in kwestie, wat betekent dat deze lang niet altijd strookt met de werkelijkheid.
Een goed voorbeeld is het debat over vliegen of met de auto reizen, vertelt ze. “Eén op de drie mensen heeft vliegangst. Maar we zitten bijna allemaal op dagelijkse basis in de auto, of je die nu zelf bestuurt of dat je een taxi neemt. Dat terwijl het risico op een ongeluk veel groter is in de auto dan met het vliegtuig. Toch voelt dat niet zo.” De beslissing om met de auto op vakantie te gaan, omdat je bang bent om te vliegen dus geen rationele, maar toch maken diverse mensen hem wel, als gevolg van de cognitieve vooroordelen.
Cognitieve vooroordelen hebben niet alleen impact op dit soort beslissingen, maar op allerlei beslissingen. Ze vormen de basis voor bijvoorbeeld groepsdenken – waardoor je vaak liever vertrouwt op de beslissing van een grote groep dan op die van een enkel persoon – en ‘confirmation bias’, waardoor je geneigd bent vooral informatie te geloven die je eigen overtuigingen bevestigen.
Wat is de échte dreiging?
Ook binnen de IT spelen cognitieve vooroordelen met regelmaat een rol, stelt Darley. Denk aan de gedachtegang dat nieuwe producten altijd beter zijn of dat we bijvoorbeeld softwareontwikkelaars en CTO’s automatisch het voornaamwoord ‘hem’ toekennen, terwijl dit natuurlijk helemaal geen mannen hoeven te zijn. Onze eigen ervaringen en overtuigingen zorgen er (onbewust) voor dat we hiervan uitgaan, ongeacht of het waar is of niet.
Maar dat kan ook voor flinke risico’s zorgen, zeker in cybersecurity. Binnen cybersecurity is namelijk vaak sprake van veel stress, wat ervoor zorgt dat een ander deel van je brein geactiveerd wordt. “Je dagelijkse beslissingen [gebaseerd op rationele logica, red.] worden op een andere plek in je brein gemaakt dan hetgeen je gebruikt als je in paniek bent”, verklaart Darley. Dat deel – wat we kennen van de vecht-/vlucht-reactie – draait veel meer op de cognitieve vooroordelen, omdat het heel snel beslissingen moet maken. Tijd om rationeel alle factoren af te wegen, is er dus niet. “Bij beveiligingsincidenten is de kans groot dat het bloed naar dat deel van je brein gaat en alle logica het raam uit gaat.”
Als het ‘onderbuikgevoel’ mee gaat spelen in het bepalen wat het grootste risico is voor een bedrijf, kun je tot de verkeerde conclusies komen. “Je hoort nu veel over ransomware, dus je denkt snel dat dit het grootste gevaar is. Dat kan zo zijn, maar misschien het verlies van data wel een veel groter risico voor jouw bedrijf”, legt Darley uit.
Zelfs onder securityexperts kan cognitieve bias een risico vormen, blijkt onder meer uit het voorbeeld over de oorlog in Oekraïne. En er zijn meer voorbeelden, zoals de focus op de Advanced Persistent Threats (APT’s), waarbij constante, verborgen en geavanceerde hackingtechnieken gebruikt worden om voor langere tijd toegang te krijgen tot een systeem. “Maar dat is heel ingewikkeld, waardoor slechts een klein deel van de organisaties daadwerkelijk doelwit is. Deze aanvallers doen aan spionage en besteden maanden of jaren aan technieken waarmee ze binnen kunnen komen. Dat gaan ze niet voor iedere organisatie inzetten”, verklaart de psycholoog en securityexpert. “Dus moet je op de hoogte zijn van APT-risico’s? Ja. Ga je er volgende week slachtoffer van worden? Waarschijnlijk niet. Dus het is niet het grootste risico voor jouw bedrijf en waarschijnlijk ook niet het eerste risico wat je aan wil pakken.”
Prioriteer en stel vragen
Simpel gezegd kunnen cognitieve vooroordelen er dus voor zorgen dat de focus op het verkeerde onderwerp gaat liggen, waardoor de daadwerkelijk grootste risico’s onderbelicht blijven en organisaties of individuen niet voldoende voorbereid zijn op zo’n risico. Maar van cognitieve vooroordelen ben je je niet zomaar bewust en ze zijn vaak niet zomaar weg te halen.
Hanah-Marie Darley
© Darktrace
Daarom is het van groot belang dat we ons bewust zijn van die vooroordelen en maatregelen nemen om de impact hiervan te beperken, beargumenteert Darley. Dat begint met het constant onder de loep leggen van de eigen aannames. “Trek al het bewijs in twijfel en valideer alles. Hoe valide is dit stuk bewijs? Wat gebruik ik precies om dat vast te stellen?” Op die manier wordt je gedwongen kritisch naar de situatie te kijken. Darley adviseert verder om theorieën rondom een enkele oplossing of een enkel onderwerp te vermijden en om zoveel mogelijk alternatieven voor oplossingen te analyseren.
AI als hulpmiddel
Daarnaast ziet zij veel mogelijkheden in kunstmatige intelligentie (AI). Dergelijke systemen kunnen beter kijken naar afwijkend gedrag en daardoor daadwerkelijke risico’s herkennen. Verder heeft een AI geen last van stress, wat betekent dat beslissingen altijd op basis van logica gemaakt worden.
Het risico is natuurlijk dat AI-systemen net zo goed bias kunnen hebben, wat zelfs met regelmaat voorkomt. “Dat kun je voorkomen door algoritmes altijd door meerderen te laten maken en nooit door één iemand. Dan heb je altijd meerdere zienswijzen die erin zijn opgenomen”, geeft Darley als oplossing. “En neem de output met een korreltje zout. Ga er niet vanuit dat een AI geen bias heeft. Bovendien: niemand heeft altijd gelijk. Jij niet, ik niet en de AI niet. Dus zorg ook dat je geen aanpak hebt dat op maar één oplossing of één algoritme vertrouwt. Eén van de beste aanpakken die je kunt inzetten is door meerdere oplossingen te gebruiken, zoals meerdere algoritmes.”
Reacties
Om een reactie achter te laten is een account vereist.
Inloggen Word abonnee