Ik heb wel eens de veiligheid in de luchtvaart ten voorbeeld gesteld aan
informatiebeveiliging. In de burgerluchtvaart gaat het bij iedere vlucht om
veel mensenlevens en kostbare vliegtuigen. Dat zijn twee redenen die ieder voor
zich al genoeg gewicht in de schaal leggen om zwaar in te zetten op
beveiliging, zowel in het vliegtuig zelf als in de ondersteuning op de grond.
En ook de klanten – de passagiers – begrijpen het belang van veiligheid maar al
te goed. Safety zit in de genen van iedereen
die met luchtvaart te maken heeft. Informatiebeveiliging is nog niet zo ver.
Maar nu is er iets vreemds gaande in de luchtvaart. Zowel de Amerikaanse
als de Britse luchtvaartautoriteiten hebben een verbod ingesteld op het
meenemen van elektronica in de cabine van het vliegtuig als je vanuit bepaalde
landen in het Midden-Oosten naar de VS of het VK vliegt. Uitbreiding van het
verbod voor vluchten van en naar heel Europa is in door de Amerikanen de
ijskast gezet – uitdrukkelijk voorlopig. Het gaat daarbij om elektronica groter
dan een smartphone, en niet meenemen in de cabine betekent niet meenemen in de
handbagage. Je mag die apparatuur wel in het ruim vervoeren – in je ingecheckte
koffer dus. Want, zo is de gedachte, ruimbagage wordt veel strenger
gecontroleerd dan handbagage waardoor de kans groter is dat een eventuele bom gevonden
wordt. Maar je kunt je apparaat ook afgeven bij de gate, waarna alle daar
ingezamelde apparaten in een doos gaan die in het ruim wordt gezet, op dezelfde
manier waarop ook buggy’s en rolstoelen, die je tot het laatste moment wilt
gebruiken, worden ingeladen. En dan geldt het voordeel van de strengere scan
dus niet.
Safety reageert op incidenten. Sinds Richard Read in 2001 probeerde
American Airlines vlucht 63 van Parijs naar Miami met explosieven in zijn
schoenen neer te halen, sta je vaak op je sokken in de rij voor de
veiligheidscontrole. En nadat in 2006 een plot werd ontdekt om diverse
vliegtuigen te laten neerstorten met behulp van vloeibare explosieven, werden
alle flesjes groter dan honderd milliliter uit de cabine verbannen. En nu is
men dus bang voor bommen in laptops, tablets en zelfs e-readers.
Waarom is dat niet alleen ontzettend vervelend voor de passagiers, maar
ook vreemd? Omdat al die apparaten reeds potentiële explosieven bevatten,
namelijk de accu. De lithium-ion-batterijen die tegenwoordig worden toegepast
kunnen spontaan ontbranden en exploderen door interne kortsluiting. Een laagje
isolerend materiaal van slechts 24 micrometer moet dat voorkomen, maar dat gaat
dus wel eens mis. Er zijn genoeg verhalen bekend van spontaan in de fik vliegende smartphones en
laptops.
En nu komt het: als zoiets in de cabine van een vliegtuig gebeurt, “dan
gooit de stewardess dat apparaat in een emmer water”(citaat van een piloot). Water
is een effectief middel om een kleine lithiumbrand te doven. Maar als zo’n
brand in het vrachtruim ontstaat, dan kan niemand erbij om de brand te blussen.
En als er dan zo’n hele doos lithiumhoudende apparaten staat die elkaar
letterlijk kunnen aansteken, dan kan dat gemakkelijk uitlopen op een
allesverwoestende brand. Dat betekent dat deze beveiligingsmaatregel een nieuw
risico introduceert. En dat nieuwe risico zou wel eens groter kunnen zijn dan
het risico dat men wil bestrijden. Terwijl je ook nog eens vraagtekens moet
zetten bij de effectiviteit van de getroffen maatregel.
Wat we ook vinden van deze maatregel, we zullen er vanuit de
informatiebeveiliging op moeten inspelen. Kernpunt daarbij is voor ons dat je
op vliegreis de fysieke controle over je zakelijke apparatuur verliest. Die
apparatuur zou kunnen verdwijnen of ze zou ingezien of zelfs gemanipuleerd
kunnen worden. Over die laatste twee hoeven wij ons gelukkig niet zo druk te
maken omdat onze apparatuur afdoende beveiligd is. Die beveiliging staat of
valt wel met het gedrag van de gebruiker. Een wachtwoordbriefje in je laptoptas
was altijd al een dom idee en als je je apparatuur moet afgeven blijft het een
dom idee. Overigens kan het je nog wel overkomen dat je na aankomst op je
bestemming bij de grenscontrole wordt gevraagd om je apparaat te ontgrendelen. Daar
kun je weinig tegen doen: als je weigert, dan wordt je afgevoerd naar een
eenzaam kamertje en uiteindelijk geef je je wachtwoord toch wel prijs.
Ondertussen stelt luchtvaartmaatschappij Emirates tablets beschikbaar
aan haar passagiers. En daar mag je je eigen USB-stick in steken zodat je toch
aan die belangrijke zakelijke documenten kunt werken. Sympathiek, maar vanuit
beveiligingsoptiek is het een slecht idee om daar gebruik van te maken. Je weet
niet wat zo’n apparaat met je bestanden en met je stick doet. Leun achterover
en kijk wat het in-flight entertaiment
system te bieden heeft.
En in de grote boze
buitenwereld …
... heeft Europol vijftig (!) tips gepubliceerd die je helpen te
voorkomen dat je het slachtoffer wordt van fraude bij online winkelen.
... moet je even opletten als je gratis wifi aanbiedt.
... lees je in het
Cybersecuritybeeld Nederland 2017 wat de stand van het land is.
... staat met deze app òf je fiets, òf je telefoon op slot.
... kun je je Functionaris Gegevensbescherming van binnen of van buiten
de eigen organisatie halen. Aan beide opties kleven voor- en nadelen.
... moest Honda een autofabriek sluiten vanwege een
ransomware-besmetting.
... kan ransomware knap duur uitpakken.
... vindt de Britse politie dat je een potentiële terrorist bent als jet
het dark web bezoekt. Wat de auteur
hier niet noemt (waarschijnlijk omdat hij het bij zijn publiek bekend
veronderstelt) is dat netwerken zoals het Tor-netwerk van oorsprong heel nobele
doelen dient, zoals bescherming van mensenrechtenactivisten in landen waar
mensenrechten niet vanzelfsprekend zijn.
... wis je op deze manier een Android-toestel voordat je het weg doet.
... wil het Europees Parlement dat cryptografie voor iedereen veilig
blijft.
... toont deze wereldbol live virusbesmettingen.
... beschrijft dit artikel hoe je "alle" online-accounts kunt
voorzien van tweefactor-authenticatie.
Geen opmerkingen:
Een reactie posten