Onlangs had ik een afspraak vanwege het eerste lustrum van de interne Security (b)log, om half negen ’s ochtends. Mijn gesprekspartner kwam te laat. Eén van de oorzaken: een gekanteld kippentransport. Ik ben nogal visueel ingesteld en zie dat tafereel dan ook onmiddellijk voor mijn geestesoog: overal kippenbloed op het zwarte asfalt, ontredderd rondlopend overlevend pluimvee tussen de verenchaos, auto’s die vooraan in de file staan en de ruitenwissers aanzetten om hun besmeurde voorruiten schoon te vegen. Dat soort dingen. “Misschien kun je dat ongeluk wel in je blog verwerken”, zei hij nog.
Hoe koppel je gekantelde kippen aan security? Zou dit als metafoor voor het een of ander kunnen dienen? Laten we eens naar oorzaak en gevolg kijken. Ik vond een studie van de Stichting Wetenschappelijk Onderzoek Verkeersveiligheid (SWOV) uit 1997 die in de samenvatting het volgende stelt:
Uit de literatuur over het kantelmechanisme bij vrachtwagens komt naar voren dat vrachtwagens voornamelijk problemen met kantelen ondervinden als zij een hoog zwaartepunt hebben (volle belading) en dan of met hoge snelheid door bochten rijden, of plotseling moeten uitwijken. De problemen nemen bovendien toe als de voertuigen geleed zijn, een groot aangrijpingsvlak voor dwarswind hebben, en een minder goed afgestemd remsysteem.
Bij de factoren die bij kantelen een rol spelen, zijn 'hoge snelheid', 'ontwijken' en 'bochten' oververtegenwoordigd. Ook harde wind is een belangrijke oorzaak van kantelen. Bij voertuigen met gevaarlijke stoffen is de kans op vervolgschade groot.
Acht jaar later kwam een quick scan van de Stichting Incident Management Vrachtauto's (STIMVA) tot de volgende conclusie:
Een groot deel (59%) van de oorzaken van vrachtauto-ongevallen wordt in de CMV dossiers beschreven als zijnde een handelingen en/of de toestand van de vrachtautochauffeur. Dit wordt min of meer ondersteund door het feit dat 67% van de gekantelde vrachtauto’s op een rechte weg kantelt (waarom de chauffeur zo handelde wordt echter niet duidelijk uit de dossiers).
Het oudere rapport heeft het dus over mechanica, het nieuwere stuk – dat niet specifiek over kantelen gaat maar over ongevallen in het algemeen – kijkt vooral naar de chauffeur.
Wat kantelkippen voor de snelweg zijn, dat zijn beveiligingsincidenten voor de ICT. De geplette kippen komen bijvoorbeeld overeen met vernietigde gegevens, de loslopende kippen zijn bedrijfsgegevens die zich op een plek bevinden waar ze niet zouden moeten zijn, bijvoorbeeld in handen van hackers.
Het is logisch dat een vrachtwagen met een hoog zwaartepunt gemakkelijker kantelt. Dat hoge zwaartepunt vertaalt zich voor ons in de 'hoge' gevoeligheid van gegevens: gegevens die een hogere waarde hebben in termen van beschikbaarheid, integriteit of vertrouwelijkheid gaan gepaard met een hoger risico bij ongelukken – de impact is sowieso groter, en misschien ook wel de kans dát er iets gebeurt, als het gaat om gegevens die een derde misschien zou willen hebben. Het risico berekenen we nog steeds uit kans maal impact.
Dat een vrachtauto die te snel een bocht in rijdt of plotseling uitwijkt gemakkelijker kantelt dan eentje die op z'n dooie akkertje binnen de bebouwde kom rijdt, is ook begrijpelijk. ICT-projecten gaan ook wel eens te snel. Er is dan – nee, men néémt dan geen tijd om de beveiliging goed in te richten. Als je informatiebeveiliging niet van begin af aan mee-ontwerpt, dan komt het nooit meer helemaal goed.
Als we het over “handelingen en/of de toestand van de chauffeur” hebben, dan denk ik aan zaken als spelen met de telefoon, vermoeid- en gezondheid en dronkenschap. Dat zijn geen dingen die een prominente rol spelen bij beveiligingsincidenten. Andersoortige handelingen of nagelaten handelingen zijn echter juist heel vaak aanleiding voor gekanteld verkeer op de digitale snelweg. Ondoordacht gebruik van vreemde USB-sticks, downloads uit foute bronnen, het negeren van voorschriften, het afdoen van het aspect beveiliging als non-functional requirement en die term vervolgens vertalen in ‘niet belangrijk’ voor het project – het zijn slechts voorbeelden.
Aan die chauffeur kan ik iets doen door hem bewust te maken van bepaalde risico’s. Het hoge zwaartepunt (van bepaalde gegevens) kun je niet veranderen, maar als je je er bewust van bent, dan kun je voorzichtiger rijden en soms misschien een andere route kiezen.
... bevat de komende update van het jarige Windows 10 verbeteringen op beveiligingsgebied.
... zijn miljoenen Android-telefoons besmet met een Trojaans paard.
... willen phishers je met onscherpe afbeeldingen verleiden tot het prijsgeven van je wachtwoord.
... zijn de EU en de VS het eens over een nieuwe versie van het Privacy Shield. We weten helaas nog niet welke wijzigingen zijn verwerkt.
... gaan de Amerikaanse autoriteiten straks jouw social media-accounts bekijken als je hun land wilt bezoeken.
... ontwikkelt Apple technologie waarmee het maken van opnames met een iPhone in 'verboden gebieden', bijvoorbeeld tijdens een concert, kan worden geblokkeerd.
... kun je een vingerafdrukprothese gebruiken om bij biometrische toegangssystemen niet je echte vingerafdruk achter te hoeven laten.
... wil het Cloud Signature Consortium een nieuwe, open standaard voor digitale handtekeningen in het leven roepen. Het toepassen van digitale handtekeningen moet gemakkelijker worden.
... waarschuwt deze kennelijk goedaardige ransomware voor het ondoordacht downloaden van "random shit".
... moet ransomware natuurlijk ook gebètatest worden.
... heeft de Brexit gevolgen voor ICT-contracten en dan vooral als het om het verwerken van persoonsgegevens gaat.
... haalt Google de SMS-code uit de tweefactorauthenticatie.
... zijn veel mensen zich niet bewust van de risico's van 'onbekende vrienden' op social media.
Geen opmerkingen:
Een reactie posten