 |
| Afbeelding via Unsplash |
“De zwakste schakel in de beveiliging van IT bevindt zich altijd tussen het beeldscherm en de leuning van de bureaustoel,” meldde iemand met een knipoog in de commentaren onder mijn vorige blog. Die ging erover dat WhatsApp- en Signal-accounts waren gehackt via hun eigenaren. Daar lijnrecht tegenover staat een uitspraak van een voormalig algemeen directeur van onze organisatie: “De mens is de sterkste schakel in de beveiliging.” Hoe verhouden deze uitspraken zich tot elkaar?
Dat
eerste citaat hoor je wel vaker. Het betekent zoveel als: de computergebruiker
tuint er met open ogen in, want hij snapt het allemaal niet. Sommigen durven
zelfs te spreken van ‘die domme eindgebruiker’. Dat laatste is sowieso niet
eerlijk: je kunt onmogelijk van elke medewerker verwachten dat hij of zij alle
ins en outs van cybercriminaliteit en informatiebeveiliging doorgrondt en op
elk moment van de dag alert is op verdachte situaties. Van domheid kan dus
bijna nooit sprake zijn (ik kom nog terug op dat ‘bijna’).
Een
ketting bestaat uit meerdere schakels. Volgens het oude gezegde bepaalt de
zwakste schakel hoe sterk de ketting in haar geheel is. In dat gezegde zit de
impliciete aanname besloten gaf dat er één schakel kan worden aangewezen die
het zwakst is. Maar wat als een andere schakel harder roest en zijn zwakke
broeder inhaalt? Dan is opeens een andere schakel de zwakste. Als er dan
spanning op de ketting komt te staan, dat breekt zij misschien wel op een heel
andere plek dan je had verwacht. Kortom: ik geloof niet zo in de zwakste
schakel. Waar ik wel in geloof, is een ketting die regelmatig onderhouden
wordt. Als een zwakke plek wordt gevonden, dan wordt die hersteld.
De
beveiligingsketting heeft twee soorten schakels: technische en menselijke. Ik
houd het hier simpeler dan andere modellen omdat ik niet meer dan dit nodig heb
om mijn punt te maken. Je zou het liefst willen dat de techniek in staat is om
alle kwaad en ongemak buiten de deur te houden. Onze mailfilters herkennen alle
phishing-aanvallen en gooien spam feilloos in de prullenbak. Alle
DDoS-aanvallen worden afgeweerd nog voordat ze jouw netwerk bereiken. En
hackers maken geen schijn van kans omdat alle inbraakpogingen genadeloos in de
kiem worden gesmoord.
We
weten allemaal dat het zo niet werkt. Want honderd procent beveiliging vanuit
de techniek is een illusie. Dat zou je niet geloven als je over een
beveiligingsbeurs loopt waar fabrikanten hun hard- en softwaresystemen aanprijzen.
Ze leken altijd al de perfecte beveiliging te verkopen, en sinds de opkomst van
AI is dat alleen maar ‘erger’ geworden. De praktijk is helaas anders: de
schakels van de ketting bevatten hier en daar wat roestplekjes. En weet je hoe
dat vooral komt? Doordat de schakels van een ketting langs elkaar schuren. Het
is niet zo dat één systeem alles beschermt; er is interactie. Daar kan het
misgaan. In de interactie tussen technische systemen, maar ook – vooral? – in
de interactie tussen technische en menselijke schakels. Even heel simpel
voorgesteld: als een systeem piept maar de mens de melding als irrelevant
afdoet, terwijl er toch echt iets aan de hand is, dan heb je een flinke
roestplek te pakken. Overigens is dat niet de enige reden waarom de techniek
ons niet volledig beschermt. Dat komt ook doordat de boeven steeds iets nieuws
bedenken. En ook doordat zelfs beveiligingssystemen domweg fouten bevatten, zoals
alle computersystemen.
Is de
mens dan wel de sterkste schakel? Toen ik die stelling destijds voor het
eerst hoorde, was ik verbaasd, want tja, de zwakste-schakel-theorie was toen
gemeengoed. Ik ben daar echter op teruggekomen. Tegenwoordig houd ik mijn
gehoor bij presentaties voor dat zij inderdaad de sterkste schakel zijn. De
gebruiker is mijn laatste verdedigingslinie – als alle technische systemen
gefaald hebben, dan is de mens het enige resterende redmiddel. Tenminste, bij
het soort ellende waar de gebruiker een rol in speelt. Bij een DDoS-aanval sta
je als eindgebruiker buiten spel, maar als we het over phishing hebben, dan ben
je juist superbelangrijk. Jouw inzicht kan het verschil maken tussen wel of
geen geslaagde ransomware-aanval, of tussen een intacte of een geplunderde
bankrekening. Daarom laat ik geen gelegenheid voorbijgaan om met mensen over
phishing te praten.
Van
domheid kan bijna nooit sprake zijn, schreef ik. Bijna. Dus soms wel? Ja. Het
komt namelijk voor dat mensen nattigheid voelen, dat ze bijvoorbeeld een
bepaald mailtje niet vertrouwen. En dan tóch op die link klikken of de bijlage
openen. Om te kijken wat er gebeurt. Omdat ze nieuwsgierig zijn. Of omdat ze
denken: ach, het zal wel niet. Dan ben je niet slim bezig. Hanteer nou maar die
eenvoudige regel: bij twijfel ga je uit van foute boel.
En in de grote boze buitenwereld …
- Zie je hier waar een geslaagde phishing-aanval (in dit geval per telefoon) toe kan leiden.
- Heeft een beveiligingsbedrijf een netwerk van Noord-Koreaanse infiltranten blootgelegd.
- Gebruiken hackers ook gewoon beheersoftware.
- Kon je in Perm gratis parkeren dankzij een DDoS-aanval.
- Kun je beter niet opscheppen over hardlopen op een boot.
- Beperken aanvallen op iPhones zich niet langer tot high-value targets.
- Word je misschien wel aangevallen door onzichtbare code.
- Appen Belgische ambtenaren voortaan met Beam.
