Eens in de zoveel tijd
steken wij de zaterdagse grens over en gaan we boodschappen doen in Duitsland.
In de plaatselijke megasupermarkt vindt dan altijd een bijzonder ritueel
plaats. Als je bij de kassa eindelijk aan de beurt bent, dan staat de caissière
even op om een nummer af te lezen van een plaatje dat onderaan elk winkelwagentje
is bevestigd. Dat nummer toetst ze vervolgens in op de kassa.
Het officiële verhaal is dat
op deze manier het gebruik van de wagentjes wordt gemonitord – dus hoe vaak elk
wagentje aan de beurt is. Ik geloof dat niet. Dat hoef je namelijk helemaal
niet te monitoren. Daar zijn wiskundige modellen voor. Simulaties. Je hebt n wagentjes die buiten in m rijen staan opgesteld. Je kunt dan
prima uitrekenen hoeveel wagentjes er bij een bepaalde drukte (aantal klanten
per uur) in gebruik zijn en of er een evenredige verdeling over alle wagentjes
is. Daarmee bespaar je tijd en de caissière hoeft die gymoefening niet meer te
doen.
Maar wat is dan de echte
reden voor het aanbrengen van nummerplaatjes en de bijbehorende
personeelsinstructie? Mijn theorie: door naar de onderkant van het wagentje te
kijken ziet de caissière automatisch of je niet ‘vergeten’ bent een artikel op
de band te leggen. Ze hebben daar namelijk geen hulpmiddelen voor als spiegels
of fresnel-lenzen (dat zijn die geribbelde schijfjes die in auto’s vaak worden
gebruikt als stoplichtkijker of als achteruitrijhulp voor bestelauto’s en die
je elders ook wel bij supermarktkassa’s ziet; je kunt er als het ware een
beetje mee om de hoek kijken). Zonder op te staan kunnen ze in die supermarkt
niet in je wagentje kijken.
Als mijn theorie klopt, dan
is er sprake van een geheime beveiligingsmaatregel. De klant weet niet dat het
een controlemaatregel is, maar – en dat is bijzonder – de controleur weet óók
niet dat hij deze controlemaatregel uitvoert. De maatregel moet ergens in de
hogere echelons van de organisatie bedacht zijn, compleet met de smoes.
Waarschijnlijk weet ook de filiaalmanager het niet eens maar is het een vondst
van het hoofdkantoor.
Hebben we in de
informatiebeveiliging ook zulke kafkaëske maatregelen? Laten wij ergens taak A
uitvoeren met de bedoeling dat daardoor ongemerkt taak B wordt uitgevoerd? Ik
zit daar nu al een tijdje over na te denken, maar ik weet geen voorbeelden
waarbij het management een maatregel heeft bedacht waarvan de uitvoerenden de
ware reden niet kennen. Maar misschien hebben ze het mij ook niet verteld.
Wat we wél hebben is wat je
bijvangst zou kunnen noemen. De virusscanner ziet al lang niet meer alleen
virussen, maar álle malware. Bij wijze van opfrisser: malware = malicious software (en dus is de
uitspraak ‘melwèr’, niet het vaak gehoorde ‘môlwèr’), ofwel kwaadaardige
programmatuur. De betekenis van ‘kwaadaardig’ hangt af van de context. Zoals
een collega onlangs zo mooi mailde: bepaalde tools noemen we hacktool als ze in handen zijn van een
kwaadwillende, maar het heet een security
assessment tool als een beveiliger ermee werkt. Als iemand in de logging
van de malwarescanner opduikt met een password
cracker of een network sniffer,
om maar eens iets te noemen, dan zie ik dat als een mogelijk
beveiligingsincident en maak er werk van. Leg maar eens uit waarom je die
spullen hebt.
Een andere vorm van
bijvangst vindt regelmatig plaats bij het scannen van mail. Een content scanner ziet erop toe dat we
geen mail naar buiten sturen die malware of andere ongewenste inhoud bevat. In
bepaalde gevallen kun je er via de content scanner achter komen dat iemand
probeert om iets naar buiten te mailen waarvan je je moet afvragen of dat wel
verstandig is. Ook dat middel geeft dus handvatten om medewerkers aan te
spreken op gedrag dat mogelijk in strijd is met de regels, terwijl dat niet per
se de reden is geweest voor de aanschaf van dat middel.
Omdat we slechts zo af en
toe naar die Duitse supermarkt gaan, slaan we veel boodschappen in. Daar zitten
ook volumineuze zaken als wc-papier en keukenrollen bij. Daarom rijden we niet
met één, maar met twee wagentjes door de winkel. Maar we leggen wel alles in
één keer op de band. Leidt dat tot stress bij de caissières omdat ze
ongetwijfeld slechts één invoerveld voor het nummer van het wagentje hebben?
Nee hoor, ze knipperen niet eens met hun ogen, ondanks dat je nog wel eens
hoort dat Duitsers gewoonlijk vrij strak in de uitvoering van regels zitten.
Voor mij des te meer indicatie dat hier iets anders aan de hand is dan ze ons
willen doen geloven.
En in de grote boze buitenwereld …
... zit je altijd een beetje
op Facebook, ook al heb je geen account. Met dank aan je vrienden.
... loopt Estland voorop met
de digitale samenleving, maar nu hebben ze toch even een fors probleem. En er
is een link met een Nederlands bedrijf.
... moet je even je beveiligings- en pricacy-instellingen in iOS 11
checken.
... kun je je naaktfoto’s
naar Facebook sturen als je bang bent dat ze uitlekken.
... maken phishers graag
gebruik van homografen.
... heeft een
Twitter-employee op zijn laatste werkdag het account van Donald Trump uitgezet.
... raakte nog iemand een
social media-account kwijt, maar dan door phishing.
... is phishing volgens
Google de belangrijkste route om accounts te kapen.
... geeft de wet niets om
data.
... hoor je niet zoveel over
kwetsbaarheden in Linux, maar nu is er toch iets aan de hand met USB-sticks.
... waarschuwt de politie
voor malafide webshops die willen profiteren van de feestdagen.
... willen de Amerikaanse
luchtvaartautoriteiten meer biometrische gegevens van reizigers verzamelen.
... krijgt ‘Hollandse
wolkenlucht’ langzaam een heel andere betekenis.
Geen opmerkingen:
Een reactie posten