 |
| Foto: auteur |
Lang geleden, ergens in de jaren tachtig van de vorige eeuw, was ik met mijn ouders op vakantie in Italië. We bezochten er veel plaatsen, waaronder Padua. Daar wilden we een eeuwenoud universiteitsgebouw bezichtigen, maar het ging net op slot. De vriendelijke sleutelbewaarder gebaarde dat we hem wel mochten vergezellen op zijn sluitronde. En zo kwam het dat we even later voor het spreekgestoelte van Leonardo da Vinci stonden.
Ben
jij ook wel eens ergens geweest waar het voelde alsof je daar niet mocht zijn,
maar dat het wel een magisch moment was? Dat had ik toen, en dat had ik deze
week weer, toen ik op kantoor een kopje theewater wilde tappen. De automaat
toonde een rode streep, geen goed teken. Op het scherm stonden niet de
gebruikelijke opties voor de gekste soorten koffie, maar keuzemogelijkheden als
“op afstand bediende maatregelen” en “ingrediëntenbeheer”. En linksboven stond
het belangrijkste: “machinebeheerder”. Met daarnaast een “log uit”-icoontje. We
waren dus ingelogd als beheerder.
Laat
me even speculeren over wat hier gebeurd zou kunnen zijn. De automaat had een
storing, getuige het rode licht (bij de automaat ernaast gloeide die streep
wit). De onderhoudsmonteur was erbij gehaald, maar kon de storing niet meteen
verhelpen. Het leek trouwens even alsof er alleen van alles moest worden
bijgevuld, maar er was meer aan de hand; de onderste melding op het scherm luidde
weliswaar “middelste molen leeg”, maar die bak zat toch echt barstensvol
koffiebonen. Dus die monteur moet weggegaan zijn om onderdelen te halen en had
verzuimd om uit te loggen.
Collega’s
uit mijn overleg stonden er glunderend naar te kijken. Dat je nou net tegen
zoiets aanliep terwijl je een security officer te gast had, dat was toch wel
mooi. Dat zie ik wel vaker, dat mensen besmuikt lachen bij zoiets, en een
plaatsvervangende schaamte voelen – iemand heeft zich niet aan de regels
gehouden en een security officer heeft hem op heterdaad betrapt. Oei, nu zwaait
er wat!
Koffieautomaten
vallen ruim buiten mijn jurisdictie, maar ik kan dit voorbeeld natuurlijk wel
aangrijpen om het algemene probleem voor het voetlicht te brengen. En dat is
niet zozeer dat mensen wel eens vergeten hun werkplek te vergrendelen – dat
snap je zelf ook wel – maar meer het algemene beeld dat security niet altijd top
of mind is. Terwijl dat wel zou moeten.
Laatst
zat ik in een gesprek over AI. Het ging erover dat je in je vraagstelling geen
persoonsgegevens mag meegeven; dat je dus bijvoorbeeld niet een complete brief
erin mag stoppen met het verzoek die te analyseren. Een manager vertelde dat
een van zijn medewerkers naar hem toe was gekomen met een briljant idee: “Ik
vraag AI gewoon om de persoonsgegevens er eerst uit te halen!” De medewerker
werd heengezonden met de opdracht om eens héél goed na te denken over wat hij
net had gezegd. Hopelijk is hij inmiddels tot het inzicht gekomen dat je niet
aan Koekiemonster moet vragen om de koekjes veilig op te bergen voordat hij de
koekjestrommel gaat afwassen.
Kijk, dat je niet mijn beroepsdeformatie hebt en over bijna alles in termen van risico’s denkt, dat snap ik. Maar een bepaald niveau van basishygiëne mag ik toch wel verwachten, of niet soms? Je hoeft geen Leonardo te zijn, maar wees ook geen Koekiemonster.
En in de grote boze buitenwereld …
- vormen browser extensions een serieus probleem.
- investeert het kabinet in security bij het MKB.
- waarschuwt het NCSC indringend voor de risico’s die het AI-model Mythos met zich meebrengt.
- heeftde concurrent ook een AI-model dat te gevaarlijk is voor brede verspreiding.
- zijn je gegevens nu ook al via booking.com gelekt.
- zijn de Cyberbeveiligingswet en de Wet weerbaarheid kritieke entiteiten aangenomen door de Tweede Kamer.
- kun je vishing nu ook al aan AI overlaten.
- vreest de chief privacy officer van Logius voor Amerikaanse inmenging in DigiD.
- gaat onze nationale privacywaakhond preventief controleren bij ICT-leveranciers.
- doet weer eens een vals sms-bericht over een pakketje de ronde.
