“Ja maar, hoevéél risico’s kun je dan aan? En wie loopt er eigenlijk
risico?” Deze vragen stelde een lezer van de vorige Security (b)log, die over risk appetite oftewel risicobereidheid
ging. In die blog legde ik uit hoe we deze materie vaktechnisch benaderen. Maar
die lezer heeft kennelijk behoefte aan een meer filosofische benadering van het
vraagstuk. Ik zet voor de gelegenheid mijn bèta-pet af en probeer hoe een
gamma-petje mij staat.
De vaktechnische aanpak kwam erop neer dat je de kans op een bepaalde
gebeurtenis in een diagram (de heatmap) uitzet tegen de gevolgen die het
daadwerkelijk plaatsvinden van die gebeurtenis heeft (“het manifest worden van
de dreiging” noemen we dat als we sjiek willen doen). De term ‘heatmap’ is
interessant als je hem letterlijk neemt: hittekaart – hoeveel hitte voel je bij
een bepaald risico? En wat vind je nog comfortabel? Als het in huis te warm
wordt, dan zet je de thermostaat een graadje lager, en als je het buiten te
warm hebt, dan zoek je de schaduw op; wordt het nog heter, dan duik je het
zwembad in. Woon je ergens waar het structureel te warm voor je is, dan kun je
overwegen om naar een koelere plek op aarde te verhuizen.
Risicomanagement kent vier opties om risico’s te behandelen: maatregelen
treffen om de risico’s te verkleinen (“risico’s mitigeren” in sjiek-spraak),
accepteren, vermijden en verzekeren. In bovenstaand voorbeeld (waarin het
risico oververhitting is) zijn het draaien aan de thermostaat, het opzoeken van
de schaduw en de plons in het zwembad voorbeelden van mitigerende maatregelen. Ga
je verhuizen, dan vermijd je het risico. Je kunt ook in een hoekje gaan zitten
zweten, dan accepteer je het risico – en ga je ervan uit dat je, mocht je daadwerkelijk
oververhit raken, de schade kunt beperken en herstellen (dat is een belangrijk
uitgangspunt bij risicoacceptatie!). Je kunt je niet verzekeren tegen
oververhitting. De ziektekostenverzekering dekt alleen het risico dat je
failliet gaat door medische kosten die hoger zijn dan je zelf kunt dragen.
Tegen sommige risico’s kun je je dus niet verzekeren, al zijn wij
Nederlanders wel wereldkampioen verzekeren. Je kunt geen fiets, mobieltje of
bril meer kopen zonder dat daar een verzekering bij wordt aangeboden. Vraag je
je wel eens af of het niet goedkoper is om je níet te verzekeren? Hoe groot is
de kans dat je fiets wordt gestolen als je haar alleen thuis, achter het hek
van je kantoor en in bewaakte fietsenstallingen stalt? Hoe duur was je
mobieltje en na hoeveel maanden uitgespaarde verzekeringspremie heb je het geld
voor een nieuw exemplaar bij elkaar gespaard? Iets spannender: durf je een
hoger eigen risico op je ziektekostenverzekering te nemen? Historische gegevens
spelen daarbij uiteraard een rol: maak je jaar in jaar uit hoge kosten, dan ben
je per saldo goedkoper uit met een hogere premie. Ben je zo gezond als een vis,
dan kun je hopen dat dat zo blijft én je kunt redeneren dat de premie, die je
uitspaart door het extra eigen risico, de kosten dekt die je misschien (!) in
een bepaald jaar moet maken als toch je een keer pech hebt. Je kunt ook
vooruitkijken: zegt de tandarts dat je over een tijdje aan een kroon toe bent,
dan kun je ervoor kiezen om dán wel tandartskosten mee te verzekeren.
Hoeveel risico’s je aankunt is dus, behalve de uitkomst van een koele
rekensom met een heatmap, ook – en misschien vooral – een kwestie van gevoel,
én van inzicht in je situatie. Als je gewoon bang bent voor gebeurtenissen die
je schade kunnen berokkenen, of als je weinig geld of andere resources hebt om
ontstane schade te herstellen, dan zul je je tamelijk risicomijdend opstellen.
Mensen met een yolo-mentaliteit (you only live once) zullen juist meer en
hogere risico’s nemen. Overigens doen die mensen er wel goed aan om toch ook met
een schuin oog naar hun portemonnee te kijken.
Dan nog de vraag wie er eigenlijk risico loopt. Nou, primair natuurlijk degene
die met de gebakken peren zit als het misgaat. Op het gebied van
informatiebeveiliging hebben we het dan bijvoorbeeld over een gegevenseigenaar
wiens gegevens foetsie zijn, of uitgelekt. Die eigenaar moet kosten maken om
terug te kunnen keren naar de correcte situatie en om zijn imago te herstellen.
Secundair kunnen ook derden risico lopen, bijvoorbeeld de mensen waarvan
gegevens kunnen uitlekken doordat een bedrijf, waarmee zij zaken doen, zijn
beveiliging niet op orde heeft of er een losse privacy-moraal op nahoudt. Deze (potentiële)
slachtoffers kunnen zelf amper mitigerende maatregelen treffen. Zij kunnen het
risico accepteren of vermijden. In die laatste categorie zie je de laatste tijd
steeds meer mensen afscheid nemen van diensten van Facebook en Google. Hoewel
ook dat natuurlijk weer risico’s met zich meebrengt…
En in de grote boze buitenwereld …
... maakt Facebook misbruik van het telefoonnummer dat je aan hen gaf
voor beveiligingsdoeleinden.
... belooft Facebook (weer eens) beterschap. Ze gaan zelfs focussen op
privacy!
... mogen cookiemuren op websites je niet tegenhouden.
... is dat cookie-standpunt van de AP in juridische kringen omstreden.
... probeerde men ook al in vroeger tijden om communicatie te
beveiligen.
... moet je tegenwoordig nadenken over de beveiliging van je slimme
huis.
... mag je niet naïef zijn als het om digitale spionage gaat.
... vinden veel bedrijven beveiliging voor mobiele apparaten moeilijk.
... bewegen hackers juist langzaam weg van telefoons.
... is jouw random wachtwoord misschien toch niet zo uniek als je dacht.
... heeft de politie twee mannen aangehouden voor een hack op een
Apeldoornse mbo-school.
... hebben cybercriminelen het gemunt op jonge gamers.
... is het nog niet zo gemakkelijk om een betrouwbaar VPN te vinden.
... geven oude navigatiesystemen binnenkort verkeerde informatie.
Geen opmerkingen:
Een reactie posten