vrijdag 3 november 2017

Beveiliging voor eerlijke mensen

“Security for the honest people.” Deze uitdrukking hoorde ik een poos geleden op een conferentie. Ik herinner me nog dat er besmuikt werd gelachen in de zaal, de lach der herkenning. Het ging over beveiligingsmaatregelen die “lief” zijn, die zich richten op – of zo je wilt: tegen – gebruikers die de beste bedoelingen hebben maar soms de fout in gaan. Deze maatregelen werken zoals de aai over de bol van een kind met de liefdevol uitgesproken vermaning: “De volgende keer beter opletten hè.”

Eerlijke mensen verdienen goede beveiliging. We proberen ze aan alle kanten ruim in bubbeltjesplastic in de pakken om ze te beschermen tegen de ruwe buitenwereld die het internet soms kan zijn. “Soms kan zijn”, want laten we wel wezen: ook het internet is meestal lief en eerlijk. Anders was het nooit geworden wat het al jaren is: je beste vriend, een alwetende vraagbaak en een winkel die het voorstellingsvermogen van je grootouders ver te boven gaat. Maar er zijn dus ook van die momenten dat het internet zich van je afkeert. Je hebt geshopt bij de firma List & Bedrog, je hebt een virus opgepikt of iemand is met jouw identiteit aan de haal gegaan. Dat zijn slechts voorbeelden, want er kan nog veel meer misgaan.

Veel bedrijven verdienen een goede boterham aan beveiliging voor eerlijke mensen. Ze verkopen virusscanners, VPN-software of houden de reputatie van webwinkels in de gaten. Dat zijn stuk voor stuk zinvolle toepassingen. Soms wordt bij de marketing ervan ook een aardige dosis FUD ingezet: fear, uncertainty & doubt – ze maken je bang en onzeker, waardoor je gaat twijfelen aan je veiligheid en vervolgens hun producten koopt. Ik gebruik thuis een gratis virusscanner van een respectabele fabrikant. Maar omdat gratis nu eenmaal niet bestaat, serveert dat programma regelmatig pop-ups die roepen dat het één of ander niet veilig is. En laat dat bedrijf daar nu nét een handig product voor hebben. Nee, niet gratis. Het is voor de leek moeilijk om te doorgronden of hij inderdaad hals over kop dat product moet aanschaffen of dat het bangmakerij is.

Jarenlang riepen informatiebeveiligers in koor dat de grootste bedreiging van binnenuit komt. Medewerkers die te weinig beveiligingsbewustzijn hadden vormden een groot gevaar, evenals beheerders die misbruik zouden kunnen maken van hun verregaande autorisaties. Dit geroep is met de introductie van het voorvoegsel cyber verstomd – onze aandacht is verlegd naar externe dreigers, van cybercrimineel tot aan statelijke actoren aan toe. Gevolg: we zijn tegenwoordig vooral bezig met security against the dishonest people. Althans, daar ligt de focus, dat gebied staat in de schijnwerpers.

We mogen de hardwerkende, goedbedoelende medewerker niet uit het oog verliezen, want het zijn natuurlijk de eerlijke mensen die last hebben van de oneerlijke mensen. Dat geldt niet alleen in de informatiebeveiliging, maar ook voor de rest van het leven. Lieve maatregelen die op de gebruiker zijn gericht, zoals het in quarantaine zetten van besmette bestanden, zijn daarvoor niet voldoende. Er zijn ook agressievere maatregelen nodig: malafide sites uit de lucht laten halen, aangifte doen bij geconstateerde misstanden, maar vooral: intensief samenwerken. Door informatie met elkaar te delen staan bedrijven en overheden sterker in hun schoenen. Gebeurt dat ook nog eens op mondiale basis, zoals bijvoorbeeld het NCSC dat voor ons doet, dan moet het toch mogelijk zijn om flinke klappen uit te delen. Ik heb echter niet de illusie dat we alle ellende kunnen uitbannen. De politie bestaat al heel lang maar er wordt nog steeds gemoord en gestolen. Waar wel beduidend minder dan wanneer ze er niet zouden zijn.

En in de grote boze buitenwereld …


... onderbouwt de statistiek toch nog steeds de stelling dat de meeste bedreigingen van binnenuit komen.

... onthoudt je trui straks je wachtwoord.

... legt de AIVD uit hoe het nou écht zit met de sleepwet. Volgens hen dan.

... wil Mozilla de certificaten van PKIoverheid niet meer vertrouwen. En dat komt door de sleepwet.

... heeft de buitenlandse pers ons gestuntel met de e-mailbeveiliging van politici opgepikt.

... lag in Londen een USB-stick op straat met daarop heel veel informatie over de beveiliging van luchthaven Heathrow.

... keert je autoverzekering niet uit als je brokken maakt met een zelfrijdende auto die je niet hebt gepatcht.

... heeft de politiek opeens (na een tv-uitzending) aandacht voor gehackte IoT-devices.

... kan de DigiD-app je paspoort uitlezen.

... kon iedereen jouw energieverbruik inzien.

... zitten er gaten in de emmers van de Amazon-cloud, waardoor gegevens van Australiërs uitlekten.

... was de Google-cloud juist te strak ingesteld, waardoor bestanden niet meer toegankelijk waren.

... moet je nooit vertrouwen op wat je op andermans scherm ziet als het om geld gaat.



Geen opmerkingen:

Een reactie posten