Deze column staat in Het Financieele Dagblad van 7 januari 2021 onder de titel ‘Ook in biotech is cybersecurity een levensgroot risico’. Volg deze link voor mijn eerdere FD columns.

Illustratie: Hein de Kort voor Het Financieele Dagblad

In het kort
* DNA kun je, net als software, opslaan, printen en hacken
* Risico’s cybersecurity in biotech zijn juist in coronatijd zeer groot
* Reguleren staat helaas nog in de kinderschoenen

Hoe meer we te weten komen over genetica, des te meer lijkt de code van ons leven zich als computercode te gedragen. DNA, RNA en de andere bouwstenen van levenden organismen lenen zich, net als software, ook goed voor hacking, goed- en kwaadschiks.

Het eerste wereldwijd geaccepteerde coronavaccin van BioNTech en Pfizer hackt de standaardbeveiliging van ons immuunsysteem met een iets aangepast molecuul, een Nobelprijswaardige biohack die alles wegheeft van de phishing e-mail die uw firewall en spamfilter weet te omzeilen.

Maar naarmate de werelden van biologie en computers inniger vervlochten raken, doemen welbekende risico’s van cybersecurity en specifieke nieuwe cyberrisico’s op in de biotechnologie. Denk aan de informatieveiligheid van DNA-databanken, bescherming van privacy, betrouwbaarheid van communicatie van DNA-sequenties tussen ontwikkelaars, labs en andere stakeholders, maar ook aan het aanpassen van de code van het leven, per ongeluk of met kwade intenties.

Dit roept een vrij fundamentele vraag op: hoe beschermen wij de code van het leven? Weliswaar nemen volwassen pharma- en biotechbedrijven dit risico uit welbegrepen eigenbelang serieus, toch staat het denken over en reguleren van cyberbiosecurity in de kinderschoenen, ook in sectoren als de zorg, landbouw, maakindustrie en defensie. Juist in tijden van corona is de noodzaak om daaraan te werken existentieel.

‘Het roept een vrij fundamentele vraag op: hoe beschermen wij de code van het leven?’

Waar de digitale taal van computers is opgebouwd uit enen en nullen, bestaan bijna alle codes van het leven op aarde uit combinaties van de vier DNA-letters A, C, G en T of U. En net als software, laat ook DNA zich lezen, schrijven, vervaardigen met een DNA-printer of opslaan op een usb-stick. En kun je DNA gebruiken als opslagmedium, zoals een start-up in 2019 lukte voor de gehele encyclopedie Wikipedia. Grote IT-bedrijven als Microsoft investeren gretig in die mogelijkheden. Tel daarbij innovaties in kunstmatige intelligentie en kwantumcomputing op, en we staan aan de vooravond van een cyberbiotechnische samenleving.

Vervlechting
De fascinerende integratie van bio- en informatietechnologie is al decennia bekend en voer voor Nobelprijzen, maar de vervlechting tussen die werelden neemt in rap tempo toe, vooral middenin een wereldwijde pandemie. Dat geldt ook voor de waardeketen van vaccinaties, van de allereerste ontwikkeling op moleculair niveau tot de registratie van al die miljarden prikken.

Zo bestaat het BioNTech/Pfizer-vaccin, in de kern, uit een digitale code van slechts 4284 tekens, die de farmaceutische codekoks naar een DNA-printer sturen die van de digitale code echte moleculen brouwen. Na verdere bewerking komt het brouwsel zowaar in het vaccin terecht, mede met behulp van mRNA-moleculen. De prefix m staat voor ‘messenger’, en de razend slimme biohack van wat ooit computercode was bestaat eruit, dat deze moleculen weliswaar lichaamsvreemd zijn, maar toch in staat om ons immuunsysteem te verleiden – net zoals een gespoofde phishing e-mail toch in uw inbox terecht komt.

De broncode van het vaccin heeft de Wereldgezondheidsorganisatie op haar website gepubliceerd. Aan de hand daarvan heeft internetondernemer en homo universalis Bert Hubert het vaccin op berthub.eu knap ontrafeld. Overigens publiceerde Hubert daar eerder de broncode van een echt mens: kennelijk bestaan wij uit slechts 750 megabyte aan informatie, waarmee iedere mens ongeveer evenveel inhoud heeft als een CD met de muziek van Frans Bauer, maar dat terzijde.

Aanvallen
De wereld van vlees en bloed, en van bits en bytes, smelten steeds meer samen. Dat betekent niet alleen dat innovatieve biohacks levens redden, maar ook dat welbekende cybersecurity-risico’s van de informatiesamenleving ook de risico’s van de biotechnologie worden.

Na de ontwikkelingsfase, komen we verderop in de vaccinatiewaardeketen IT-beveiligingsissues tegen als veilige communicatie van DNA (tussen organisaties maar ook bij biologische inbrenging), bescherming van intellectueel eigendom en persoonsgegevens. Vraagstukken die al decennia voor hoofdbrekens zorgen in de digitale wereld.

Sinds de start van de pandemie nemen cyberaanvallen, met name ransomware in de zorg, explosief toe, volgens sommige bronnen met 800%. En op 9 december maakt het Europees Medisch Agentschap (EMA) wereldkundig dat de documentatie rondom het BioNTech/Pfizer-vaccin uit haar systemen was ontfutseld.

Nog zorgwekkender zijn de voor biotech specifieke kopzorgen, vooral als de veiligheid van het productieproces van syntetische DNA door een beveiligingsincident onbewust of doelbewust door kwaadwillenden wordt aangetast, waardoor de DNA-code verandert met desastreuze gevolgen: dat kan medicijnen ineffectief of schadelijk maken, of zelfs een nieuw dodelijk virus de wereld inslingeren. Cyberbiosecurity kan dus nog crucialer zijn dan cybersecurity, omdat je niet zozeer met digitaal vuur speelt, maar met de bron van het leven zelf.

‘De coronapandemie leidt ertoe dat alle investeringen en aandacht uitgaan naar de ontwikkeling van een vaccin, en niet naar cyberbiosecurity’

Somber beeld
Recent schetsen experts als beveiligingsguru Bruce Schneier en bioloog Larissa Rudenko, en cryptografe en biomedicus Siguna Müller in een lezenswaardig wetenschappelijk overzichtsartikel, een somber beeld van de staat van cyberbiosecurity. Als belangrijkste obstakels signaleren zij het ontbreken van expertise en marktprikkels voor cyberbiosecurity bij het biotech-mkb (liever een product snel op de markt, dan compleet veilig), onbegrip bij wetgevers en het ontbreken van een multidisciplinaire beleidsdiscussie (biologen en IT-beveiligers praten niet met elkaar). Alweer een parallel: tien jaar geleden signaleerden velen, net als ik, bij de totstandkoming van Nederlands eerste cybersecurity-strategie precies dezelfde hardnekkige problemen. Bovendien leidt de coronapandemie ertoe dat alle investeringen en aandacht naar de ontwikkeling van een vaccin gaan, en niet naar cyberbiosecurity.

De vertraging vanwege Corona is nog begrijpelijk, maar laten we de fouten van het cybersecurityverleden niet herhalen. Vooral nu alles en iedereen snapt hoezeer wij en onze samenleving afhankelijk zijn van veilige computer- en genetische code.