Goed genoeg

Een paar nachten geleden droomde ik een nieuw woord: jova. In mijn droom doorzocht ik tevergeefs alle woordenboeken van de wereld om erachter te komen wat dit woord betekende. En toch wist ik opeens wat de betekenis ervan was: ‘goed genoeg’. In termen van rapportcijfers betekende dat: geen zes, maar een zeven.

Honderd procent veiligheid bestaat niet, dat mag algemeen bekend zijn. Noch in het echte leven, noch in ons digitale bestaan zullen wij ooit helemaal veilig zijn voor mensen met serieus kwade bedoelingen (terroristen en cyber-criminelen) of voor mensen die stommiteiten begaan (verkeershufters en gebruikers die overal maar op klikken). Maar we kunnen er wél naar streven om ons ‘goed genoeg’ te beveiligen. Jova.

Laat ik bij mijn leest blijven en me beperken tot digitale veiligheid. Hoe doe je dat, goed genoeg beveiligen? ‘Goed genoeg’ houdt een beperking van twee kanten in: je wilt geen zes, maar het hoeft ook geen acht te zijn. Een zesje is niet effectief, een acht is vaak onhaalbaar bij gebrek aan middelen,  mens- en wilskracht. Dat we niet naar een acht streven kan een hele geruststelling zijn voor bijvoorbeeld project- en lijnmanagers die niet zo’n zin hebben in een boel extra werk dat schijnbaar niets oplevert (de gehate term ‘non-functionals’ ligt hier op de loer). Tegelijkertijd kan het hen helpen om in de meewerkstand te komen, omdat het allemaal wel meevalt.

Het inkaderen aan de bovenkant is dus vrij gemakkelijk. Nu moet je nog ervoor zorgen dat het resultaat niet ondermaats blijft en daardoor onvoldoende bijdraagt aan de beveiliging. In de techniek hebben we daar allemaal mooie spullen voor die, mits op de juiste wijze geconfigureerd en bediend, met gemak een zeven moeten kunnen scoren. Ik focus dan ook graag even op de hiervoor al genoemde mensen die stommiteiten begaan. Dat is overigens niet onaardig bedoeld (hoewel ik voor verkeershufters graag een uitzondering maak): als je bij Maslow in de leerfase ‘onbewust onbekwaam’ zit, dan kun je er immers ook niets aan doen. En laten we eerlijk zijn: iedereen begaat wel eens een stommiteit, zelfs als je ‘(on)bewust bekwaam’ bent.

Ik maak veel mensen mee die zich onbewust op het grensvlak tussen ‘bewust onbekwaam’ en ‘bewust bekwaam’ bevinden. Dat uit zich bijvoorbeeld in vragen als: ik denk dat dit mailtje niet deugt, klopt dat? Als ze zo’n vraag stellen dan weten ze eigenlijk al dat ze gelijk hebben, maar ze durven nog niet helemaal op hun eigen bekwaamheid te vertrouwen. Deze mensen geef ik altijd graag een steuntje in de rug door ze een pluim te geven voor hun oplettendheid. Dit zijn de mensen die we van een zes naar een zeven kunnen tillen. En iemand met een zeven kan andere ‘zesjes’ vervolgens ook weer op weg helpen. Je hoeft zeker geen informatiebeveiliger te zijn om bij te dragen aan de bewustwording bij het brede publiek. Als je het eenmaal zelf snapt: zegt het voort!

En dat allemaal onder het motto: laten we streven naar een zeven.

Natuurlijk heb ik, toen ik weer bij bewustzijn was, gegoogeld op jova. Ik vond een plaats in Servië met 21 inwoners (dat is drie keer zeven!), een kruidenier in Herstal en de padvinders van Gentbrugge. Wij zijn ook padvinders, in de letterlijke betekenis van het woord: we zoeken het pad naar beveiliging die jova is.

En in de grote boze buitenwereld …

... kun je Bluetooth nog steeds beter uitzetten op momenten dat je het niet gebruikt.

https://www.helpnetsecurity.com/2017/09/13/blueborne/

https://www.security.nl/posting/531031/Overheden+adviseren+Bluetooth+uit+te+zetten+bij+ontbreken+patch

... komt er extra geld voor cyberveiligheid (gelekt uit de miljoenennota).

https://www.nu.nl/politiek/4922630/kabinet-maakt-25-miljoen-euro-extra-vrij-cyberveiligheid.html

... heeft politievlogger Jan-Willem een klacht aan zijn broek gekregen voor het lekken van privacygevoelige politiegegevens.

https://www.volkskrant.nl/4516525

... blijft privégebruik van zakelijke spullen een lastig onderwerp.

https://blog.iusmentis.com/2017/09/13/oh-baas-mag-toch-meegluren-priveberichten-op-werk/

... zullen de opsporingsdiensten niet zo blij zijn met een paar nieuwe features in iOS 11.

https://nakedsecurity.sophos.com/2017/09/12/new-ios11-features-create-fresh-headaches-for-law-enforcement/

... mogen Amerikaanse overheidsdiensten geen producten meer gebruiken van het Russische beveiligingsbedrijf Kaspersky.

https://www.nrc.nl/nieuws/2017/09/14/cyberveiligheid-vs-verbieden-anti-virussoftware-kaspersky-voor-overheden-12994165-a1573399

... steekt de Duitse overheid ondertussen de loftrompet over Kaspersky.

http://www.focus.de/digital/computer/unternehmen-bsi-lobt-nach-us-vorwuerfen-vertrauensvolle-zusammenarbeit-mit-kaspersky_id_7593541.html [Duits]

 ... spreekt Mikko Hypponen over de stand van de beveiliging in 2038.

https://youtu.be/abJ3VoZMeBk

... kan kunstmatige intelligentie vaak nog niet uitleggen hoe haar beslissingen tot stand komen.

https://blog.iusmentis.com/2017/09/15/uitlegbaarheid-ai-uitspraken/

... is kunstmatige intelligentie ook handig voor hackers.

http://gizmodo.com/hackers-have-already-started-to-weaponize-artificial-in-1797688425

... heeft viervijfde van de jongeren zijn smartphone nog niet boefproof gemaakt.

https://corporate.kpn.com/kpn-actueel/nieuwsberichten-1/79-van-de-jongeren-heeft-smartphone-niet-beveiligd-tegen-diefstal.htm

... adviseert het NIST om het verplicht periodiek wijzigen van wachtwoorden af te schaffen.

https://www.darkreading.com/endpoint/why-relaxing-our-password-policies-might-actually-bolster-user-safety/a/d-id/1329826

... is het niet echt moeilijk om DMARC te implementeren en daarmee phishing tegen te werken.

https://martechtoday.com/email-marketers-top-level-guide-dmarc-best-anti-phishing-tool-203645

... word je aan de voordeur – jouw voordeur – opgelicht.

https://www.security.nl/posting/531249/Honderden+mensen+opgelicht+via+zogenaamde+betaal-apps