vrijdag 27 januari 2017

Leugens

Feiten. Alternatieve feiten. Het niet met de feiten eens zijn, dat is het voorlopige dieptepunt dat we vanuit Amerika over ons heen kregen.

Hebben we in de informatiebeveiliging ook te maken met leugens? Jazeker. Nou ja, dat ligt natuurlijk genuanceerder. Je hebt hele leugens, halve leugens, leugens vanuit de overtuiging dat je de waarheid spreekt, leugens uit gemakzucht en dan is er ook nog zoiets als de onvolledige waarheid. Misschien mis ik nog wat gradaties, ik ben geen expert op dat gebied (echt waar).

Leveranciers hebben de neiging om hun producten zo rooskleurig mogelijk voor de dag te laten komen. Als je over de Infosecuritybeurs loopt, dan zie je daar uitsluitend geweldige producten aangeprezen worden. Maar net als voor ‘gewone’ ICT-producten geldt ook voor beveiligingsproducten dat ze complex en dus vaak moeilijk vooraf tot in alle finesses te doorgronden zijn. Die complexiteit, waar behalve de klant ook de verkoper mee te kampen heeft, maakt misschien dat die laatste soms een vraag met ja beantwoordt zonder zeker te weten of dat wel klopt. Daarnaast hebben we ook te maken met vapourware: een product of functionaliteit dat/die weliswaar in de glimmende folder staat, maar in het echt nog helemaal niet bestaat – en misschien alleen maar wordt gebouwd als blijkt dat er vraag naar is. Marktonderzoek per brochure.

De producten bevatten natuurlijk fouten, vooral als het software betreft. Dat staat niet in het mooie marketing-materiaal, maar in de kleine lettertjes staat ongetwijfeld een “daar-kunnen-wij-ook-niets-aan-doen”-clausule. De folders zelf bevatten dus niet de volledige waarheid. Extra zuur is het als er beveiligingsgerelateerde fouten in beveiligingsproducten zitten. Het is al vaker voorgekomen dat virusscanners een onderdeel van zichzelf als vijandig zien en daardoor de hele computer laten vastlopen. Volgens een actueel bericht hebben onderzoekers tweehonderd kwetsbaarheden gevonden in de producten van één beveiligingsleverancier*. Au.

De klanten van deze leveranciers liegen vooral zichzelf voor. “Dit product zal al onze problemen oplossen!” Waarop baseren ze zo’n hoopvolle uitspraak? Ze willen graag geloven wat de brochures en de verkopers zeggen, ze hebben een demo gezien en de account manager op bezoek gehad. Als het product geïnstalleerd en de rekening betaald is, dan komt die klant er soms achter dat het product toch niet zo naadloos op zijn infrastructuur aansluit, dat sommige functies misschien wat vreemd in elkaar zitten en nét niet aansluiten op de in zijn organisatie gehanteerde processen en terminologie.

Gebruikers zijn de grootste leugenaars. Dagelijks vinken zij aan dat ze de gebruiksvoorwaarden hebben gelezen en ermee instemmen. Het liegen gaat ze zo gemakkelijk af omdat ze niet tegen een mens liegen, maar tegen een scherm. Daar doe je niemand kwaad mee. Of misschien toch wel? Ja, namelijk jezelf. Je liegt dat je de voorwaarden hebt gelezen, maar je zet wél het vinkje dat je ermee akkoord gaat. Later kom je er misschien achter dat daar een bepaling in staat waar je het helemaal niet mee eens bent, bijvoorbeeld dat jouw gegevens in de cloud worden opgeslagen en vanaf dat moment eigendom zijn van de cloudleverancier. Je wordt verleid om te liegen omdat het doorgaans onmogelijke teksten zijn en het wordt je ook erg gemakkelijk gemaakt om te liegen. Een enkele leverancier wil nog wel een dappere doch halfbakken poging wagen om je aan het lezen te zetten door de OK-knop pas vrij te geven als je helemaal naar beneden hebt gescrold. Maar over het algemeen verdenk ik leveranciers ervan dat ze het expres onmogelijk en onwerkbaar maken om goed geïnformeerd in te stemmen met hun voorwaarden. Misschien moeten wij gebruikers er maar eens toe overgaan om onze eigen gebruiksvoorwaarden op te stellen, waar die leveranciers dan mee moeten instemmen als ze willen dat wij hun spullen gebruiken. Wee hun gebeente als we ze dan op leugens betrappen!

De verzuchting “We are out-Orwelling Orwell”, die je dezer dagen op social media tegenkomt als diskwalificatie van de termen uit de eerste alinea, is niet nieuw. Zij was bijvoorbeeld ook te horen toen het stadsbestuur van Philadelphia in 2006 aankondigde het niet-rokenbeleid streng te gaan handhaven. Wat wel nieuw is – denk ik – is dat Orwells boek 1984 door de uitvinding van de term ‘alternatieve feiten’ momenteel de bestsellerlijst van Amazon aanvoert.

*) http://www.forbes.com/sites/thomasbrewster/2017/01/25/trend-micro-security-exposed-200-flaws-hacked/#616bad2455d6

En in de grote boze buitenwereld …
... zijn de wachtwoorden van diverse hoge Amerikaanse regeringsfunctionarissen, waaronder de cyberadviseur van de president, gelekt. (Ik ben benieuwd naar de alternatieve feiten in deze kwestie.)
https://www.scmagazineuk.com/giuliani-and-top-trump-white-house-officials-hacked-passwords-leaked/article/632532/

... steekt de crypto-achterdeurtjesbeweging alweer de kop op in de Amerikaanse regering.
https://www.security.nl/posting/501031/EFF+bezorgd+over+encryptiestandpunt+Trump-minister

... hebben de meeste grote bedrijven wel een SOC, maar laat de volwassenheid ervan vaak te wensen over.
http://www.darkreading.com/cloud/soc-maturity-by-the-numbers/d/d-id/1327969

... roept de Australische regering politieke partijen op om zich te wapenen tegen buitenlandse cyberaanvallen. Gelukkig heeft Australië de beste beveiligingsexperts ter wereld, zegt de premier.
http://www.abc.net.au/news/2017-01-24/federal-government-to-brief-political-parties-on-cyber-security/8205934

... maakt déze leverancier van internet of things-spullen zich wél druk om beveiliging. [Link dient alleen ter illustratie, is niet bedoeld als reclame.]
https://www.feenstra.com/zorgelooswonen/publicaties/maak-uw-smart-home-hackproof

... experimenteert Estland met cyberdienstplicht.
http://hosted.ap.org/dynamic/stories/E/EU_ESTONIA_CYBERCONSCRIPTION?SITE=AP&SECTION=HOME&TEMPLATE=DEFAULT

... bewaarde Dropbox bestanden die gebruikers hadden weggegooid. Dat kwam door een bug (zeggen ze).
https://www.security.nl/posting/501132/Dropbox+bewaarde+door+gebruikers+verwijderde+bestanden

... zit het de overheid toch niet lekker dat beveiligingsbedrijf Fox-IT in Britse handen is gekomen.
https://www.security.nl/posting/501165/Overheid+wil+invloed+op+beveiligingsbedrijf+Fox-IT+uitoefenen

... kan CEO-fraude veel geld kosten.
https://www.security.nl/posting/501199/Amerikaanse+gemeente+verliest+566_000+dollar+door+ceo-fraude

... zijn ook HR-medewerkers niet veilig voor gerichte aanvallen.
https://www.security.nl/posting/501311/Cyberspionnen+bouwen+relatie+op+met+hr-medewerkers

... adviseerde een Amerikaanse provider zijn klanten om de naam van hun favoriete footballclub als wachtwoord voor hun wifi-netwerk in te stellen. Leuke reactie onder het artikel: dan wijzigen ze tenminste het default wachtwoord.
https://www.security.nl/posting/501221/Provider+adviseert+klanten+footballclub+als+wifi-wachtwoord

... kun je op een vergrendelde Windows 10-computer het klembord benaderen.
https://www.security.nl/posting/501302/Vergrendelscherm+Windows+10+geeft+toegang+tot+klembord

... worden IT'ers vaak ontslagen vanwege een security-incident.
http://webwereld.nl/carriere/96468-security-incident-vaak-reden-ontslag-it-er

... kun je je Twitter-account met een simpele instelling iets minder hackgevoelig maken.
http://www.govinfosecurity.com/blogs/hacker-issues-twitter-security-fail-warning-to-trump-p-2378

… staat hier een krachtig pleidooi om WhatsApp vaarwel te zeggen en voortaan Signal als messaging app te gebruiken.
https://decorrespondent.nl/5967/stap-jij-ook-vandaag-over-van-whatsapp-naar-signal-privacyweek/333549512010-0938f486

Gepost door op
Labels: , , , , ,

Geen opmerkingen:

Een reactie posten

Abonneren op: Reacties posten (Atom)