Die vrijdagmiddag zouden ze zonnepanelen komen monteren, ijs en weder
dienende. Voor ijs was ik vorige week niet zo bang, maar in het weer had ik
minder vertrouwen. 's Ochtends tijdens het hardlopen wist ik het zeker: dat
wordt niks. Windkracht 5. Dan ga je toch niet met van die windvangers over een
schuin dak lopen? En het zou ook nog gaan regenen. Onze dakpannen zijn van
zichzelf al glad, kun je nagaan hoe glibberig het daar boven moet zijn als het
regent.
En toch kwamen ze. Binnen drie uur – inclusief koffiepauze – was de hele installatie, bestaande uit negen panelen op het schuine dak en vier op de garage, bedrijfsklaar. Twee mannen werkten buiten, een derde verzorgde de nodige aansluitingen binnenshuis. Ach, zeiden ze zelf, we hebben altijd wel onprettige weersomstandigheden: wind, regen, kou, maar ook al te veel zon is niet fijn.
En toch kwamen ze. Binnen drie uur – inclusief koffiepauze – was de hele installatie, bestaande uit negen panelen op het schuine dak en vier op de garage, bedrijfsklaar. Twee mannen werkten buiten, een derde verzorgde de nodige aansluitingen binnenshuis. Ach, zeiden ze zelf, we hebben altijd wel onprettige weersomstandigheden: wind, regen, kou, maar ook al te veel zon is niet fijn.
Het hangt maar net van je belevingswereld en je ervaring af hoe je met
risico’s omgaat. Risk appetite noemen
we dat: hoeveel ‘trek’ heb je in risico’s. Dat klinkt misschien wat raar, want
wie heeft er nou zin om eens lekker risico’s te nemen? Maar als je om je heen
kijkt zie je het constant gebeuren. Er zijn heel wat gevaarlijke sporten, net
nog fietste iemand door rood en die zonnepanelenmonteurs hadden volgens de norm
met valbeveiliging moeten werken maar liepen ‘gewoon’ los over het dak.
Bedrijven die in hoog tempo nieuwe producten in de markt willen zetten,
nemen doorgaans grotere risico’s dan bijvoorbeeld financiële instellingen.
Snelheid en doorwrochte deliberaties gaan nu eenmaal niet goed samen. Omdat het
mee-ontwerpen en het inbouwen van beveiliging extra tijd kost, wordt dat in sommige werelden achterwege
gelaten, of slechts rudimentair uitgevoerd. En ik ben ervan overtuigd dat er
vaak niet eens bij wordt stilgestaan, men denkt domweg niet aan beveiliging.
Zat voorbeelden hiervan vind je in het internet der dingen: van deurbel tot
waterkoker, van koelkast tot broodrooster – ze bestaan. Waarom? Omdat het kan.
De bruiningsgraad van je brood instellen en een seintje krijgen als het klaar
is: daar heb je een app voor. Of een smart
mirror in de badkamer, die je tijdens het scheren erover informeert dat je
brood klaar is.
Die ene connected toaster die
Google weet te vinden werkt via Bluetooth. Wat een afknapper. Waarom geen wifi?
Misschien gaat de fabrikant ervan uit dat je toch wel redelijk in de buurt
blijft, waardoor het kleine bereik van Bluetooth voldoet. Waarschijnlijker is
dat het kostenaspect de doorslag heeft gegeven: Bluetooth is goedkoper dan wifi. Maar je kunt erop wachten dat een volgende versie wél met wifi werkt.
Voeg daar een wifi-koffiezetapparaat (dat bestaat echt) aan toe en je kunt je
ontbijt alvast vanuit bed aanzetten. Maar wat jammer nou dat die
keukenapparatuurfabrikanten geen verstand hebben van netwerkbeveiliging en
daardoor waarschijnlijk een bres in jouw netwerk slaan. Terwijl je voordeur op
slot zit, zet je de achterdeur met een dergelijk apparaat wagenwijd open.
Vier voorbeelden van heat maps |
Risk appetite kun je mooi weergeven in een heat map. Dat is een matrix met langs de
ene as de waarschijnlijkheid dat een gebeurtenis zich voordoet en langs de
andere as de impact die dat heeft. De combinatie laag-laag resulteert doorgaans
in een groen vakje, terwijl zeer hoog-zeer hoog rood kleurt. Tussen deze
uitersten zitten nog een heleboel andere
vakjes die een kleur moeten krijgen en die hangt dus af van hoe je als
organisatie met risico’s wenst om te gaan. Zo ontstaat een plaatje dat
geleidelijk overgaat van de ‘koele’ groene gebieden (die weinig aandacht
vergen) naar de ‘hete’ rode zones waar je liever niet in terecht komt – en waar
je dus maatregelen voor treft. Het maken van zo’n heat map veronderstelt
natuurlijk wel dat je bewust over risico’s nadenkt. Ik heb het al eerder
gezegd: risico’s moet je niet lopen, maar nemen.
Ik kan op mijn smartphone zien dat onze zonnepanelen op dit moment 1,17
kW leveren. Ja, de installatie hangt aan ons wifi-netwerk. Ik heb vooraf
geïnformeerd naar de beveiliging van de installatie en de leverancier had een
redelijk goed antwoord van de producent klaarliggen. En voor de rest geldt ook
hier dat je keuzes moet maken: wat is die functionaliteit mij waard? Ja, ik wil
mijn installatie kunnen monitoren. De airco daarentegen hangt niet aan het
netwerk, die hoef ik niet zo nodig vanuit kantoor te kunnen bedienen. Een
tijdschakeling voldoet hier prima.
En in de grote boze buitenwereld …
... moet je oppassen dat je stofzuiger je niet bespioneert. Je
stofzuiger ja.
https://www.security.nl/posting/536989/LG-robotstofzuiger+kon+door+lek+op+afstand+worden+overgenomen
... kunnen mensen met een zeer lage risk
appetite hun Google-account nu supersterk beveiligen.
... zijn sommige apparaten juist wél veilig ontworpen.
... moeten de persoonsgegevens van domeinnaamhouders worden afgeschermd.
... kan privacywetgeving leiden tot inbreuken op je privacy.
... worden Rusland en Oekraïne geteisterd door de BadRabbit-ransomware.
... heeft BadRabbit ook al geleid tot vervelende false positive-incidenten.
... heeft inmiddels ook een gewone krant het nieuws opgepikt dat
periodieke wachtwoordwijzigingen uit de mode zijn.
... kan de warrant canary met
pensioen nu de gag order niet meer
automatisch wordt opgelegd als een Amerikaanse opsporingsinstantie
gebruikersgegevens opvraagt.
... zijn beveiligingsonderzoekers momenteel het doelwit van hackers.
... stuurt Windows 10 telemetrieberichten naar Microsoft.
... stappen veel organisaties niet over op Office 365, omdat ze
bedenkingen hebben bij de veiligheid ervan. Ook organisaties die wel willen
overstappen of dat al hebben gedaan zijn er niet gerust op.
... ziet ook de FBI risico’s in cloud computing.
... zijn natuurlijk ook beveiligingsapps niet foutloos.
Geen opmerkingen:
Een reactie posten