“Security for the honest people.” Deze uitdrukking hoorde ik een poos
geleden op een conferentie. Ik herinner me nog dat er besmuikt werd gelachen in
de zaal, de lach der herkenning. Het ging over beveiligingsmaatregelen die
“lief” zijn, die zich richten op – of zo je wilt: tegen – gebruikers die de
beste bedoelingen hebben maar soms de fout in gaan. Deze maatregelen werken
zoals de aai over de bol van een kind met de liefdevol uitgesproken vermaning:
“De volgende keer beter opletten hè.”
Eerlijke mensen verdienen goede beveiliging. We proberen ze aan alle
kanten ruim in bubbeltjesplastic in de pakken om ze te beschermen tegen de ruwe
buitenwereld die het internet soms kan zijn. “Soms kan zijn”, want laten we wel
wezen: ook het internet is meestal lief en eerlijk. Anders was het nooit
geworden wat het al jaren is: je beste vriend, een alwetende vraagbaak en een
winkel die het voorstellingsvermogen van je grootouders ver te boven gaat. Maar
er zijn dus ook van die momenten dat het internet zich van je afkeert. Je hebt
geshopt bij de firma List & Bedrog, je hebt een virus opgepikt of iemand is
met jouw identiteit aan de haal gegaan. Dat zijn slechts voorbeelden, want er
kan nog veel meer misgaan.
Veel bedrijven verdienen een goede boterham aan beveiliging voor
eerlijke mensen. Ze verkopen virusscanners, VPN-software of houden de reputatie
van webwinkels in de gaten. Dat zijn stuk voor stuk zinvolle toepassingen. Soms
wordt bij de marketing ervan ook een aardige dosis FUD ingezet: fear,
uncertainty & doubt – ze maken je bang en onzeker, waardoor je gaat
twijfelen aan je veiligheid en vervolgens hun producten koopt. Ik gebruik thuis
een gratis virusscanner van een respectabele fabrikant. Maar omdat gratis nu
eenmaal niet bestaat, serveert dat programma regelmatig pop-ups die roepen dat
het één of ander niet veilig is. En laat dat bedrijf daar nu nét een handig
product voor hebben. Nee, niet gratis. Het is voor de leek moeilijk om te
doorgronden of hij inderdaad hals over kop dat product moet aanschaffen of dat
het bangmakerij is.
Jarenlang riepen informatiebeveiligers in koor dat de grootste
bedreiging van binnenuit komt. Medewerkers die te weinig beveiligingsbewustzijn
hadden vormden een groot gevaar, evenals beheerders die misbruik zouden kunnen
maken van hun verregaande autorisaties. Dit geroep is met de introductie van
het voorvoegsel cyber verstomd – onze
aandacht is verlegd naar externe dreigers, van cybercrimineel tot aan
statelijke actoren aan toe. Gevolg: we zijn tegenwoordig vooral bezig met security against the dishonest people.
Althans, daar ligt de focus, dat gebied staat in de schijnwerpers.
We mogen de hardwerkende, goedbedoelende medewerker niet uit het oog
verliezen, want het zijn natuurlijk de eerlijke mensen die last hebben van de
oneerlijke mensen. Dat geldt niet alleen in de informatiebeveiliging, maar ook
voor de rest van het leven. Lieve maatregelen die op de gebruiker zijn gericht,
zoals het in quarantaine zetten van besmette bestanden, zijn daarvoor niet
voldoende. Er zijn ook agressievere maatregelen nodig: malafide sites uit de
lucht laten halen, aangifte doen bij geconstateerde misstanden, maar vooral: intensief
samenwerken. Door informatie met elkaar te delen staan bedrijven en overheden
sterker in hun schoenen. Gebeurt dat ook nog eens op mondiale basis, zoals
bijvoorbeeld het NCSC dat voor ons doet, dan moet het toch mogelijk zijn om
flinke klappen uit te delen. Ik heb echter niet de illusie dat we alle ellende
kunnen uitbannen. De politie bestaat al heel lang maar er wordt nog steeds
gemoord en gestolen. Waar wel beduidend minder dan wanneer ze er niet zouden
zijn.
En in de grote boze buitenwereld …
... onderbouwt de statistiek toch nog steeds de stelling dat de meeste
bedreigingen van binnenuit komen.
... onthoudt je trui straks je wachtwoord.
... legt de AIVD uit hoe het nou écht zit met de sleepwet. Volgens hen
dan.
... wil Mozilla de certificaten van PKIoverheid niet meer vertrouwen. En
dat komt door de sleepwet.
... heeft de buitenlandse pers ons gestuntel met de e-mailbeveiliging
van politici opgepikt.
... lag in Londen een USB-stick op straat met daarop heel veel
informatie over de beveiliging van luchthaven Heathrow.
... keert je autoverzekering niet uit als je brokken maakt met een
zelfrijdende auto die je niet hebt gepatcht.
... heeft de politiek opeens (na een tv-uitzending) aandacht voor
gehackte IoT-devices.
... kan de DigiD-app je paspoort uitlezen.
... kon iedereen jouw energieverbruik inzien.
... zitten er gaten in de emmers van de Amazon-cloud, waardoor gegevens
van Australiërs uitlekten.
https://www.security.nl/posting/537753/Privédata+50_000+Australiërs+via+open+Amazon+S3-bucket+gelekt
... was de Google-cloud juist te strak ingesteld, waardoor bestanden
niet meer toegankelijk waren.
... moet je nooit vertrouwen op wat je op andermans scherm ziet als het
om geld gaat.
Geen opmerkingen:
Een reactie posten