Voor zover ik kan nagaan,
was het publiek van de Security (b)log van vorige week groter en diverser dan
gemiddeld. De titel was toen ‘Zoekt en men zal u vinden’ en het ging over het
feit dat de meest gebruikte zoekmachines méér met je zoekopdracht doen dan
alleen maar zoekresultaten opleveren. Jouw zoekopdrachten worden te gelde
gemaakt en kunnen daarnaast tot heuse datalekken leiden.
Kennelijk dus een onderwerp
dat aanspreekt. Grappig, want dit wisten we stilletjes toch allang? We houden
ons alleen soms Oost-Indisch blind, want tja, gebruiksgemak. Pas als je er
redelijk gemakkelijk te hanteren alternatieven bij noemt, die bovendien een
vergelijkbare gebruikservaring geven, zijn gebruikers – jij en ik – mogelijk
bereid om ons los te weken uit onze soms wat roestige gewoontes.
Eerder deze week was ik bij
een bijeenkomst waar we probeerden in de toekomst te kijken. Wat zijn de
belangrijkste ontwikkelingen op security-gebied voor de komende jaren? Ik
opperde dat het prima is dat wij als informatie-beveiligers al jaren roepen dat
bewustzijn bij de gebruikers – onze zo gekoesterde zwakste schakel – van
cruciaal belang is, maar dat het beter beveiligen van ICT-middelen meer zoden
aan de dijk zet. Er is nu eenmaal een grens aan wat je de gemiddelde gebruiker
kunt leren. Ik heb dat hier al eens eerder genoteerd, maar in deze sessie was
het leuk om het instemmende geknik live gade te slaan. In overheidskringen,
waar men dit inmiddels ook heeft opgemerkt, wordt gezegd dat we aan de
vooravond van het post-awarenesstijdperk
staan.
Maar hoe krijg je de
industrie zover dat ze intrinsiek veilige hard- en software gaan leveren?
Misschien via wetgeving: je mag jouw producten en diensten alleen in de EU –
denk groot – aanbieden als ze aantoonbaar een bepaald minimaal beveiligingsniveau
hebben. Vroeger bestond het keurmerk Goedgekeurd
door de Nederlandse Vereniging van Huisvrouwen, dat je op
schoonmaakmiddelen en zo aantrof. We willen iets dergelijks, maar dan wellicht
uitgegeven door ENISA (het beveiligingsagentschap van de EU), werd op die
bijeenkomst geopperd.
Eleganter is het natuurlijk
als wetgeving overbodig wordt doordat de markt zichzelf reguleert of, nóg
mooier, doordat producenten goede beveiliging als unique selling point gaan waarderen: hun producten verkopen beter omdat
ze wél goed beveiligd zijn. Dat ‘unique’ moet natuurlijk niet te lang duren;
andere producenten moeten met hun onveilige rommel blijven zitten en daardoor
óf uit de markt verdwijnen, óf hun producten rap aanpassen. Voorwaarde voor dit
mechanisme is natuurlijk wel dat de veilige producten niet of nauwelijks
duurder mogen zijn, want de meeste consumenten en – hopelijk in mindere mate –
bedrijven zullen security voorlopig nog niet als unique buying reason zien (ze blijven nog even Oost-Indisch blind).
Als lichtend voorbeeld voor
dit alles dook vorig jaar een veilige, schappelijk geprijsde gloeilamp van Ikea
op, die je met je smartphone kunt bedienen. (Vroeger dachten we ook dat een
tv-afstandsbediening alleen voor oude mensen nuttig zou zijn, ik ga me dus maar
niet afvragen waarom je een connected
lamp zou moeten willen hebben.) Ikea toont met dit verlichtingssysteem (de
aanduiding ‘gloeilamp’ doet het product te kort) aan dat het gewoon kán – een
veilig, betaalbaar IoT-device maken. Ik heb het even gecheckt, het spul is nog
steeds te koop. Alleen jammer dat Ikea zelf geen gewag maakt van de
mee-ontworpen beveiliging. Zouden de Zweden hun tijd zó ver vooruit zijn dat ze
het niet noemenswaardig vinden, want normaal?
Al in 1993 verscheen in The New Yorker de beroemde cartoon met
twee hondjes die voor een beeldscherm zitten en tegen elkaar zeggen: “On the
internet, nobody knows you’re a dog.” Er is inmiddels een nieuwe variant: “On
the internet of things, nobody knows you’re fridge.” Inderdaad, in deze cartoon
zijn de hondjes vervangen door een kloeke koelkast, als symbool voor alle
IoT-devices die nu al onderdeel uitmaken van onze digitale wereld.
Ik wil graag met je
afspreken dat we, als we spullen kopen die een ip-adres hebben, erop letten of
die spullen afdoende beveiligd zijn. En dat we ons niet laten verblinden door
alle handige eigenschappen van zo’n apparaat. En voor de fabrikanten onder
jullie: maak veilige producten en gebruik dat als verkoopargument!
En in de grote boze buitenwereld …
... kan het stopzetten van je krantenabonnement tijdens je vakantie ook
al riskant zijn.
... kun je natuurlijk ook
een superjacht hacken.
... waren de
USB-ventilatortjes, die journalisten cadeau kregen via de goody bag van de
Trump-Kim-top in Singapore, waarschijnlijk geen Trojaanse paarden.
... kunnen sommige
app-ontwikkelaars jouw Gmail lezen. En daar heb je zelf toestemming voor
gegeven.
... kun je dat meelezen ook
gewoon voorkomen.
... wordt cybersecurity een
verplicht vak bij ICT-opleidingen in het MBO. Maar waarom alleen daar?
... kan de cloud je veiliger
maken, mits je met beide benen stevig op de grond staat.
... trekken populaire games
malware aan.
... sturen sommige
Samsung-telefoons willekeurige foto’s die jij hebt gemaakt naar willekeurige
mensen.
... heeft de staat
Californië nu ook AVG-achtige wetgeving.
... bejubelt dit interview
Mikko Hyppönen, een van de belangrijkste persoonlijkheden in de
informatiebeveiliging.
... reconstrueert dit
artikel de cyberaanval die een jaar geleden heel Oekraïne platlegde.
... helpt dit NCSC-document
je bij het ontwikkelen van veilige software.
Geen opmerkingen:
Een reactie posten