Enkele middelbare scholieren hielden er een – door de
ogen van een volwassene – vreemde hobby op na: ze schoten, tijdens de les, balpennen
in de plafonds van hun klaslokalen (zelf zeiden ze overigens “in het dak”;
kennelijk is dat onderscheid op die leeftijd nog niet evident). Speciaal voor
dit doel kochten ze elastiekjes en goedkope balpennen. Ze konden hun hobby
maandenlang ongestraft beoefenen. Hooguit verzocht af en toe een docent hen
vriendelijk om de projectielen te verwijderen. Dat deden de scholieren graag:
het leverde weer nieuwe munitie op.
Eén docent werd het op een gegeven moment te gortig. Hij
eiste dat de daders zich zouden melden. Dat gebeurde natuurlijk niet en dus
zette de docent een dwangmiddel in: zolang de dader niet bekend was mocht
niemand meer naar muziek luisteren in zijn les. (Ja, toen ik dat hoorde dacht
ik ook: “Huh? Naar muziek luisteren tijdens de les?!” Maar dat is een heel
andere discussie.) In mijn militaire diensttijd gold een verbod op collectieve
straffen, maar in het hedendaagse onderwijs kan dat kennelijk wél.
Om niet de hele klas de dupe van hun raketproeven te
laten zijn, dichtte het dubieuze duo een mailtje aan de docent waarin zij hun
daderschap opbiechtten. Ze vroegen ook om de muziekblokkade op te heffen en ze
gaven aan dat ze de consequenties van hun daden dapper onder ogen zouden zien.
Inmiddels mag de klas weer met oortjes in naar deze docent luisteren. Straf (en
de rekening voor herstel) zijn tot op heden uitgebleven; maar misschien is het
zwaard van Damocles, dat nu boven hun hoofden hangt, juist een heel effectieve
straf.
Enkele medewerkers van een bedrijf houden er een – door
de ogen van een informatiebeveiliger – vreemde gewoonte op na: ze vergrendelen
hun werkplek niet als ze weglopen. Ze kunnen dit al jarenlang ongestraft doen.
Hooguit wijst af en toe een collega hen op de verplichting om dat wel te doen.
De medewerkers wuiven die informatie weg met de opmerking: “We kunnen hier toch
zeker iedereen vertrouwen?”
Dat is slechts één voorbeeld van hoe je het gedrag van
scholieren kunt plotten op het gedrag van medewerkers op het gebied van
informatiebeveiliging. Er zijn talloze andere gedragingen die de beveiliging
van de organisatie schaden maar die door de ogen van medewerkers volstrekt
normaal zijn – zoals scholieren het lanceren van pennen kennelijk ook normaal
vinden. Een paar voorbeelden: wachtwoorden delen, interne informatie naar
buiten mailen en cloudtoepassingen zakelijk gebruiken (hoe erg dat is hangt
natuurlijk af van de regels die in een organisatie gelden).
Toch loopt de vergelijking tussen scholieren en
medewerkers mank. Het puberale gedrag komt voort uit baldadigheid, bravoure, nieuwsgierigheid,
het aftasten van grenzen en de intense aandrang om lol te trappen. Dat zie ik allemaal
niet zo gauw als drijfveren voor een medewerker die zich niet aan de
beveiligingsregels houdt. Daar waar de scholier zich bewust onverantwoord
gedraagt, daar doet de medewerker dat doorgaans onbewust – hij weet van de
prins geen kwaad.
Scholieren kun je met straf – of alleen al de dreiging,
zie Damocles – tot de orde roepen. Dat werkt als iemand weet dat hij iets doet
wat niet mag. Als je niet weet dat iets niet mag, dan voelt het – van beide
kanten – niet goed om bij overtreding sancties op te leggen. Ja, je wordt
geacht de wet en het beleid te kennen, maar de praktijk is weerbarstig. Wat in
zo’n geval wél werkt is uitleggen dat een regel is overtreden en waarom dat erg
is. Vaak schrikken mensen daarvan en schaamte is ook een veel voorkomende
reactie. Zo’n persoonlijke bewustwordingsactie zet meer zoden aan de dijk dan
een grote, brede campagne. Ja, die campagne is óók nodig, daar leg je de basis
mee. Nu is het de kunst om de persoonlijke aanpak in te zetten vóórdat iemand
de fout in gaat. Dat is geen taak voor informatiebeveiligers, maar voor
leidinggevenden. Die zitten namelijk dicht op de medewerkers en weten hoe zij
werken en wat ze ervoor nodig hebben. We moeten er dus voor zorgen dat managers
de regels kennen en begrijpen, zodat zij ze in hun teams kunnen en willen
uitdragen – en handhaven.
Ik heb de namen van de desbetreffende scholieren,
docenten en zelfs de school maar niet genoemd op deze historische datum, die
geheel in het teken van privacy staat.
En in de grote boze buitenwereld …
... vinden ook sommige hooggeplaatste functionarissen het
“te ongemakkelijk” om zich aan de regels te houden.
... ontvang je momenteel veel onnodige mailtjes over de
AVG.
... mailen veel huisartsen en psychologen onveilig met hun
patiënten.
... mag je ook na 24 mei nog gewoon fotograferen.
... lijkt bovenstaand artikel te algemeen te zijn:
sportverenigingen moeten zich druk maken over het publiceren van
evenementenfoto’s.
... verkopen Amerikaanse telecomproviders de
locatiegegevens van hun klanten in real-time.
... heeft Amazon een nieuw product: gezichtsherkenning.
... wordt een URL-verkorter ingezet als coinminer.
... zijn honderdduizenden netwerkapparaten in tientallen
landen geïnfecteerd met malware.
... gok je in Las Vegas niet alleen met je geld, maar ook
met je veiligheid.
... is ook een BMW kwetsbaar.
... maakt Eurojust zich zorgen over de toegang tot de
WHOIS-database ten gevolge van de AVG.