Was jij vanochtend wel op
tijd wakker? Of heb je misschien je bus of trein gemist en stond je je toen
verdwaasd af te vragen hoe dat kon? Je hebt immers een vaste ochtendroutine
waarmee je op de automatische piloot door de badkamer via de kleerkast aan de
ontbijttafel belandt en na het tandenpoetsen op straat terechtkomt. Nee, er is
geen OV-staking. Jouw wekker loopt achter. Zes minuten maar liefst. Vergelijk
maar met je telefoon, die loopt wél goed.
Hoe ik weet dat jouw wekker
achterloopt? Heel veel Europese huishoudens, het mijne incluis, hebben dit probleem
momenteel. Het speelt bij alle klokken die op het stopcontact zijn aangesloten.
Die meten de tijd aan de hand van de frequentie van de wisselspanning, die
gewoonlijk vijftig Hertz is. Je wekker, oven en magnetron volgen allemaal het
ritme van het stopcontact. Maar dat is nu vestoord door een ruzie tussen Servië
en Kosovo, waardoor er minder stroom aan het Europese hoogspanningsnetwerk
wordt geleverd. En dat heeft dus kennelijk gevolgen voor de frequentie.
Als we het in de
informatiebeveiliging hebben over de integriteit van gegevens en processen, dan
houden we zelden rekening met de gevolgen van politieke conflicten aan de
andere kant van Europa. Integer betekent in deze context: juist en volledig.
Onze klokken geven niet meer de juiste tijd weer, de integriteit van onze
tijdmeting is dus aangetast. Waardoor je bijvoorbeeld je trein mist – en op het
station tot je verbazing constateert dat het later is dan je dacht.
Het is altijd vervelend om
er achter te komen dat je in je risicoanalyses totaal geen rekening hebt
gehouden met gebeurtenissen die in de praktijk tóch van invloed op je operatie
kunnen zijn. Gisteren hield Michel van Eeten van de TU Delft zijn gehoor op het
Security Bootcamp (een conferentie voor informatiebeveiligers) voor dat je
weliswaar probeert om risico’s te berekenen uit de kans op een gebeurtenis en
de schade die ontstaat als zo’n gebeurtenis zich voordoet, maar dat je vaak
eigenlijk niet weet hoe groot die kans en die potentiële schade zijn. Dat ben
ik slechts ten dele met hem eens. Vaak maken we slechts een inschatting, zonder
dat we proberen om kans en impact in getallen uit te drukken. We doen dan geen
kwantitatieve, maar een kwalitatieve risicoanalyse. En dan baseren we ons op
historische gegevens zoals die bijvoorbeeld worden weergegeven in het
jaarlijkse Cybersecuritybeeld Nederland. En die historische gegevens bieden
toch echt wel enige houvast bij het bepalen van welke dreigingen meer aandacht
behoeven dan andere.
De Delftse professor wil dat
we ons meer richten op de “achterkant”: we moeten meten welke maatregelen goed
werken en dáárin investeren. Middelen die niet werken moet je aan de kant
schuiven. Hij vergelijkt deze met homeopathische middelen, waarvan
wetenschappelijk is bewezen dat ze niet werken. Klopt, denk ik dan, maar soms
hebben die middelen wel een placebowerking, waardoor patiënten er toch baat bij
hebben. Ik denk dat we in de informatiebeveiliging ook wel de nodige
homeopathie toepassen. Je weet wel, van die maatregelen waarvan we elkaar
wijsmaken dat ze een nuttig effect op de beveiliging hebben. Zoals het
periodiek wijzigen van je wachtwoorden. Laten we de placebo’s onder de
beveiligingsmaatregelen koesteren en de rest uitbannen.
Die foute tijd heeft trouwens
geen directe gevolgen voor onze computers. Die synchroniseren hun klok niet aan
de hand van de netspanningsfrequentie, maar met speciaal voor dit doel
ingerichte tijdservers, die volgens het Network Time Protocol (NTP) werken. Een
dergelijke koppeling met een atoomklok is niet alleen weggelegd voor computers
in een rekencentrum. Jouw pc kan dat ook (en waarschijnlijk doet hij dat al).
Tijd is een belangrijke factor voor informatiesystemen, bijvoorbeeld vanwege de
gewenste volgorde waarin processen zich afspelen of omdat je exact wilt kunnen
vaststellen wanneer een bepaalde mutatie heeft plaatsgevonden.
Indirecte gevolgen die te
langzaam lopende klokken op informatiesystemen hebben kan ik zo een-twee-drie
niet bedenken, of het zou moeten zijn dat iemand die een tijdgevoelig proces
moet opstarten door zijn achterlopende wekker te laat op zijn werk arriveert.
Maar welke tijdgevoelige processen worden er tegenwoordig nog handmatig
gestart? Overigens ging afgelopen maandag wel op sommige plaatsen de
maandelijkse sirenetest de mist in door dit akkefietje. Ik heb helaas nog niet
kunnen achterhalen hoe dat precies in elkaar zit en waarom sommige sirenes het
wel deden, maar waarschijnlijk hebben we verschillend ingerichte centrales en
is er handmatig ingegrepen.
En in de grote boze buitenwereld …
... zijn hackers nu ook geïnteresseerd in Telegram-accounts.
... meldt de AIVD een
toename van digitale dreigingen.
... leert de overheid ons op
laagdrempelig niveau dat we het ze niet te makkelijk moeten maken op het gebied
van internetten, woninginbraak, heling en het gebruik van gestolen smartphones.
... gingen recente
DDoS-aanvallen gepaard met ingebouwde afpersboodschappen.
... belicht dit artikel de
nieuwe Wet op de inlichtingen- en veiligheidsdiensten (de “sleepwet”) van alle
kanten. Maar aan het einde weet je nog niet hoe het nu precies zit.
... bestaan er
wetenschappers die zich druk maken over de mogelijkheid dat buitenaardse wezens
ons malware toesturen.
... kunnen we natuurlijk ook
terughacken richting ruimte.
... adviseert Apple zijn gebruikers
over het herkennen van Apple-gerelateerde phishing.
... is de wijze waarop je
gebruikers vertelt dat ze een zwak wachtwoord hebben gekozen belangrijk.
... gaan niet alle
gebruikers van de Amazon-cloud handig om met de beveiligingsinstellingen.
... heeft de Amerikaanse
rechter lange gevangenisstraffen opgelegd aan twee Russen voor hack-aanvallen
op de financiële wereld.
... vind je hier een handige
waslijst met tips om je cryptovaluta te beschermen.
... wil de Britse
privacywaakhond dat winkels geen onveilige IoT-apparaten verkopen. Kansloos,
helaas.
... krijgt Windows 10 een
extra veilige (maar ook erg beperkte) versie.
Geen opmerkingen:
Een reactie posten