'Als je nu door je telefoon scrolt, tel je misschien wel meer dan honderd apps,’ zegt Gadyatskaya. 'Maar hoeveel weten we eigenlijk over de bedrijven die ze maken? Kunnen we ze vertrouwen? Stelen ze niet zomaar je gegevens? Tegenwoordig hebben we alles op onze telefoons staan: contactgegevens, foto's en persoonlijke informatie. 'Veel van deze apps hebben toegang tot die data en je hebt geen idee wat ze ermee doen.'

Computersystemen zijn beter in het scannen van software en geven sneller een waarschuwing als er iets niet klopt. Op een mobiele telefoon is dat veel moeilijker te controleren. 'Als cybersecurity-experts proberen we de apps met malware (software met kwaadaardige bedoelingen, red.) te identificeren om vervolgens onze apparaten beter te beschermen.' Maar dat is bijna een onmogelijke taak, want er bestaan miljoenen apps. 'We moeten dus kijken hoe we gemakkelijk onderscheid kunnen maken tussen de malafide en de betrouwbare apps.'

Malafide gedrag van software is lastig te definiëren

Er bestaan al machinelearning-technieken om malware mee op te sporen, maar die zijn allesbehalve perfect. 'Ze kunnen wel aangeven dat een app malware bevat, maar niet precies waarom.' Dat is niet zo gek, want het is erg moeilijk om te definiëren wat malafide gedrag is. 'Wat malware vaak doet, is persoonlijke gegevens stelen en die naar een externe server sturen. Maar dat is ook wat apps als Facebook doen.'

Het is bijna onmogelijk om nieuwe software telkens vanaf nul te schrijven.

Dat grijze gebied maakt het zelfs voor een getrainde data-analist moeilijk om een onderscheid te maken. 'Het is lastig, maar dat maakt het onderzoeksprobleem juist ook zo interessant.' Om de tekortkomingen van de bestaande machine learning aan te pakken, werken Olga en een team van experts aan verklaarbare AI-oplossingen. 'We willen een manier vinden waarop de AI niet alleen aangeeft welke apps malafide zijn, maar ook waarom.'

Bibliotheken voor codes

Niet alleen apps kunnen malware bevatten, ook codes in bibliotheken om software te delen kunnen besmet zijn. 'Er is een heel populair platform waar programmeurs codes delen, genaamd GitHub. Het is een database waar je alles kan vinden om software te bouwen. En het is niet alleen voor de kleine gebruikers, zelfs de grootste cybersecurity-bedrijven zitten erop.' Omdat software steeds ingewikkelder wordt, is het bijna onmogelijk om nieuwe software telkens vanaf nul te schrijven. 'Daarom moeten we die bibliotheken gebruiken en pakketten die anderen hebben gemaakt.’

Gadyatskaya onderzocht of bepaalde codes op het platform soms ook malware bevatten. 'Om te controleren hoe veilig de digitale infrastructuur van je bedrijf is, kun je de dienst inhuren van pentesters, zogenaamde 'legale hackers'. Door te proberen in je systemen te komen, kunnen zij zien waar de kwetsbaarheden zitten en die oplossen. Ook Universiteit Leiden doet dat af en toe.

Groot nieuws in de cybersecuritywereld

Handmatig hacken kost tegenwoordig te veel tijd, dus pentesters hebben veel hulpmiddelen en software nodig. 'Ze moeten op zoek naar exploitcodes waarmee ze de klant kunnen laten zien dat de zwakke plekken in hun digitale infrastructuur wel degelijk gevaarlijk zijn. Sommige van die exploitcodes hebben ze zelf, maar andere moeten ze uit bibliotheken als GitHub halen. Wij ontdekten dat onder de 50.000 gebruikers die deze exploitcodes delen op GitHub, er een aanzienlijk deel malafide codes deelt. Die vallen dan de pentesters aan.' Gadyatskaya's bevindingen waren groot nieuws in de cybersecuritywereld. 'Ze werden overal gedeeld als waarschuwing.'

We willen een internationaal gerenommeerde beveiligingsgroep worden.

Om meer van dergelijk belangrijk onderzoek te kunnen doen, stellen Gadyatskaya en haar collega's een Leidse cybersecuritygroep samen. 'Ik ben hier drie jaar geleden begonnen. Kort daarna kwam ook Nele Mentens erbij en nu heeft de groep nog twee universitaire docenten aangenomen. We werken eraan om een internationaal gerenommeerde beveiligingsgroep te worden.'

Niet alleen voor jongens

Als lid van het bestuur van RISE Junior , hoopt Gadyatskaya dat ze meer meisjes kan inspireren om ook een studie of carrière in cybersecurity te overwegen. 'Je ziet over het algemeen nog steeds minder vrouwen in mijn vakgebied. Het kan voor meisjes moeilijk zijn om te ontdekken dat ze cybersecurity leuk vinden. Als ik met studenten praat over een scriptie in de cybersecurity of stage lopen, denken ze vaak: 'Ik ben niet zo'n gozer in een hoodie die kan hacken. Dit is niets voor mij.' Na evenementen en introducties ontdekken sommige studenten dat het juist een heel dynamisch veld is en dat hacken heel cool kan zijn. En het gaat niet om hacken alleen, het is een veld waar een hoop vaardigheden nodig zijn. Ik hoop dat meer meisjes zullen ontdekken hoe interessant en leuk deze baan is.'

Tekst: Inge van Dijck