CYBERSECURITY STAAT OF VALT MET VEILIGE SOFTWARE

Gewapende conflicten, desinformatie, cybercriminaliteit, maatschappelijke polarisatie en milieurisico’s. Het zijn enkele van de bedreigingen waar de bedrijven en de samenleving mee te maken krijgen in 2025. Dat blijkt uit het Global Risks Report van het World Economic Forum. In een van deze risicogebieden werkt Bert Lagaisse, professor in Software Engineering op Campus Groep T, aan oplossingen. Als hoofd van het iDeas onderzoeksteam ontwikkelt hij methodes voor het detecteren en voorkomen van security en privacy problemen in zowel manuele als AI-gegenereerde code.

Door de snelle opmars van AI wordt hier en daar al het einde van de softwareontwikkelaar voorspeld. “Een groot misverstand”, vindt Bert. “Als we slimme systemen willen aansturen, integreren en beveiligen hebben we net méér software engineers en -ontwikkelaars nodig.” Daar knelt echter precies de schoen. Door een gebrek aan man- en vrouwkracht en het toenemend aantal softwareprojecten is er almaar minder tijd voor het schrijven en testen van veilige software. “Dat maakt onze bedrijven kwetsbaar, zeker nu de cyberbedreigingen steeds talrijker en gesofisticeerder worden”, aldus Bert.

DistriNet

Bert Lagaisse studeerde in 2003 af als licentiaat Informatica aan de KU Leuven en heeft de universiteit niet meer verlaten. Na zijn studie vervoegde hij DistriNet, een onderzoeksgroep die wereldfaam geniet op het gebied van veilige software en gedistribueerde systemen. Dat zijn softwaresystemen die opereren over meerdere individuele computers verbonden door een netwerk.

Bert kon onmiddellijk aan de slag als onderzoeker in Software Engineering & Enterprising en na zijn doctoraat in 2009 als postdoc researcher in Cloud & Security Middleware. Van meet af aan was Bert ook al actief in het onderwijs waar hij de practica uitwerkte over o.m. object-georiënteerde softwareontwikkeling, softwarearchitectuur en gedistribueerde systemen (meerdere individuele computers verbonden door een netwerk).

In 2013 sleepte Bert een Industrieel Onderzoeksmandaat (IOF) in de wacht bij DistriNet. Hij zette er een breed scala van onderzoekslijnen en -projecten op die resulteerden in twee spin-offs: Elimity, gespecialiseerd in ‘identity intelligence’ en toegangscontrole en Inmanta dat telecomoperatoren assisteert bij de overschakeling naar volledig geautomatiseerde netwerken en diensten.

Sinds 2022 is Bert hoofddocent op Campus Groep T. Hij is er de coördinator van de onderwijs- en onderzoekseenheid Elektronica-ICT en richtte er ook een nieuw onderzoeksteam op dat deel uitmaakt van DistriNet. Bij iDeas leidt hij een team van vier doctorandi die werken aan toepassingen van machine learning, deep learning en statistische methodes en visuele analyse voor het detecteren van beveiligingsproblemen.

Large Language Model

“Vandaag de dag worden softwareapplicaties systematisch te laat en ook nog eens onveilig opgeleverd”, vertelt Bert. “Om hieraan te verhelpen zijn al verschillende op AI gebaseerde methodes voorgesteld. Enerzijds heb je code reviews en tests ondersteund door AI-tools om kwetsbaarheden te detecteren en te voorspellen op basis van historische gegevens en statistieken over het softwareproject.

Anderzijds winnen de Large Language Models of LLM’s aan populariteit. Zij kunnen misschien wel voldoen aan de vraag naar meer productiviteit en efficiëntie maar waterdicht zijn ze niet. Dat komt omdat ze vaak getraind zijn met onveilige code uit datasets van bedenkelijke kwaliteit. Om je een idee te geven: 40% van de code afkomstig van AI-assistenten bevat fouten. Zolang het om gebruik in de huis-, tuin- en keukenomgeving gaat, kan het misschien nog door de beugel maar bij grote transacties en dataverkeer tussen bedrijven kunnen de gevolgen rampzalig zijn.”

Bedrijven als partners

Intensief contact met het werkveld loopt als een rode draad doorheen Berts academische carrière. Samenwerking met de industrie is ook de hoeksteen van iDeas’ onderzoeksstrategie. “Onze partners kun je in twee groepen verdelen”, vervolgt Bert. “Aan de ene kant zijn er de bouwers van online software-intensieve systemen bestaande uit SaaS (sofware-as-a-service), microservices, cloudapplicaties en IoT systemen.

Anderzijds heb je de test- en softwareconsultants en adviseurs inzake cybersecurity en agile software development. Ruim 20 bedrijven staan klaar om met ons samen te werken bij de ontwikkeling van AI-ondersteunde software.”

Opleiding

“Cybersecurity staat of valt met de beschikbaarheid van goed opgeleide software engineers en ontwikkelaars”, vindt Bert. “Dat zijn professionals met een brede, praktijkgerichte vorming en een sterke AI-basis die ook vertrouwd zijn met co-design van hardware ondersteuning voor actuele softwareproblemen. Het is onze taak en verantwoordelijkheid als ingenieursopleiders om bij te dragen tot een veilige en robuuste automatisering van de economie en de samenleving.”

Dat het Bert menens is, blijkt uit zijn onverdroten inzet als coördinator van de softwareleerlijn in de opleiding Elektronica-ICT op alle campussen van de Faculteit Industriële Ingenieurswetenschappen. Op Campus Groep T zet hij dan weer alle zeilen bij voor het versterken van cyberveilige en intelligente softwareontwikkeling in het curriculum. Het recente opleidingsonderdeel ‘Distributed Systems’ in de masteroptie ‘Cyberveilige Softwaresystemen’, neemt Bert alvast voor zijn rekening. Woorden wekken, voorbeelden strekken, dat geldt ook in de computerwereld.

- Yves Persoons