De zeventienjarige Stach wil koning worden. De ministers, die sinds het
overlijden van de vorige koning de scepter zwaaien, geven hem zeven schier
onmogelijke opdrachten, die hij allemaal tot een goed einde moet brengen om de
geambieerde functie te krijgen. De zevende en vóórlaatste opdracht (de ministers
smokkelen er nog een opdracht 4a tussen) behelst het verslaan van de tovenaar
van Ekilibrië. Die tovenaar, Pantaar geheten, belt iedere avond aan bij een willekeurig
huis in deze stad en vraagt om een aalmoes. Als de bewoner hem afscheept met
iets dat niet echt belangrijk voor hem is, dan kiest Pantaar zelf een tweede
aalmoes. Op die manier zijn al kinderen, grote sommen geld en favoriete
knuffels verdwenen.
Veel Ekilibrianen bezitten een hond. Zij proberen zich uit alle macht
aan hun huisdier te hechten. Als Pantaar dan op een slechte dag bij het baasje
aanbelt, dan staat deze zijn hond af, die hij speciaal voor dit doel heeft
aangeschaft. Dat werkt echter alleen als er een echte band met de viervoeter is
gegroeid, anders kiest de tovenaar alsnog zelf zijn aalmoes (en de hond gaat
ook mee).
Je kunt dit allemaal nalezen in het bekroonde boek De koning van Katoren van Jan Terlouw uit 1971. Aanrader!
Voortaan verschijnt iedere woensdag (want laten we het niet overdrijven)
op een onvoorspelbare plek een informatiebeveiliger, die je verzoekt om een
maatregel te treffen die het digitale leven een stukje veiliger maakt. Dat mag
zowel privé als zakelijk zijn. Voor de een hebben we het dan bijvoorbeeld over
het afschaffen van het verderfelijke één-wachtwoord-voor-alles-beleid, met de
ander praten we misschien over het inrichten van security monitoring voor het
systeem waarvoor hij verantwoordelijk is. Zolang de maatregel maar flink zoden
aan de dijk zet, is alles prima. Als de informatiebeveiliger echter van mening
is dat je een flutmaatregel kiest, dan mag hij je zelf een maatregel opleggen. En
reken maar dat hij dan een stevige maatregel kiest!
Om jezelf te beschermen tegen een drastische, door iemand anders
opgelegde maatregel, zou je jezelf gedrag kunnen aanleren waarvan je weet dat
het geen toonbeeld van beveiligingshygiëne is – je schaft als het ware een
Ekilibriaanse hond aan. Als de informatiebeveiliger dan bij jou langskomt, dan
help je dát gedrag om zeep, waardoor je voorkomt dat de beveiliger zelf een
maatregel kiest. De beveiliger trapt daar echter alleen in als je het slechte
gedrag echt normaal bent gaan vinden – als je je aan je hond gehecht hebt.
Gelukkig klinkt dit idee zo stom dat niemand het in z’n hoofd zal halen om het
daadwerkelijk uit te voeren.
Soms merk ik als informatiebeveiliger ook wel eens dat men een bepaalde
maatregel alleen voor de Bühne treft. Dan lijkt het alsof men goed bezig en er
heel druk mee is, maar in werkelijkheid is het slechts een doekje voor het
bloeden. Dat is jammer. De energie die daarin wordt gestoken, kan beter besteed
worden. Voor mijn part zelfs aan iets heel anders dan aan beveiliging. Als
diegene dan maar bij de volgende gelegenheid wél iets oppakt wat de beveiliging
serieus verbetert. Want anders komt Pantaar langs en kiest hij zelf een
maatregel…
(Dat laatste is natuurlijk niet echt waar, want de verantwoordelijkheid
voor informatiebeveiliging en de bijbehorende maatregelen ligt in de lijn. Als
informatiebeveiligers zijn we slechts adviseurs, en geen boze tovenaars die
bepalen wat een team moet doen. Natuurlijk doe je er als manager altijd goed
aan om een open oor voor je adviseurs te hebben.)
De tovenaar uit het boek had overigens de beste bedoelingen. Als hij z’n
werk niet goed deed, zou de stad Ekilibrië namelijk vergaan: de aalmoezen waren
offers om dat te voorkomen. Hij deed het dus niet uit bitterheid, eigenbelang
of slechtheid. Nee, hij was constant bezig met het redden van de stad. Dat
wisten de inwoners niet; Stach kwam erachter door met Pantaar te praten.
Beveiligingsadviseurs worden ook wel eens gezien als lastige wezens met een
eigen doel, maar geloof me: ook wij doen ons werk in het belang van de
organisatie.
En in de grote boze buitenwereld …
... kon je via je Apple Watch worden afgeluisterd.
... luisteren Google-medewerkers soms naar wat je tegen je slimme
luidspreker zegt.
... liet een Mac-programma voor videoconferencing hackers via je webcam
meekijken.
... heeft deze ransomware het gemunt op NAS-systemen van een specifiek
merk. Meteen even gecheckt: voor mijn eigen NAS is een virusscanner
beschikbaar.
... kan ook een vrijwilligersorganisatie zich goed voorbereiden op een
ransomeware-aanval.
... dankt Microsoft langzaam wachtwoorden af als authenticatiemiddel.
... moet je niet zomaar alles geloven wat je online leest, bijvoorbeeld
over gehackte smart-tv’s.
... heeft de Amerikaanse kustwacht ‘cybersecurity best practices’ voor
de commerciële scheepvaart gedeeld. Dan denk je: wat goed van ze! Maar de tips
zijn wel heel erg basic en totaal niet toegespitst op de scheepvaart.
... vertelt deze informatiebeveiliger en CEO wat CEO’s moeten doen aan
cybersecurity.
... legt dit stappenplan uit wat je moet doen als je account gehackt is.
... kun je in Rotterdam naar een tentoonstelling over malware.
... krijgt British Airways een vette AVG-boete.
... wist een onderzoeksjournalist te achterhalen wie er achter de
Gandcrab ransomware-as-a-service zit.
Dat is dezelfde persoon die onlangs met pensioen ging omdat hij zijn schaapjes
op het droge heeft.
... betaal je gratis wifi in hotels met je veiligheid.
... waren het deze keer toch niet de Chinezen.
... kan een wachtwoordresetfunctie een handige Achilleshiel vormen.
Geen opmerkingen:
Een reactie posten