Die ochtend werd Rik wakker, draaide zich om in bed en greep toen snel de rand van het bed vast, want hij voelde G-krachten die er in werkelijkheid helemaal niet konden zijn, hij lag immers in bed. Rik was duizelig, en niet zo’n beetje ook. Later die dag begonnen z’n darmen ook nog op te spelen, en wel aan beide uiteinden, als je snapt wat ik bedoel. Het werd een beroerde zondag.
Omdat Rik de volgende ochtend nog steeds duizelig was, belde hij met de
huisarts. Die vertelde wat Rik ook al had gelezen: deze symptomen kúnnen duiden
op covid. Testen dus, was het devies. En zo belde Rik naar de coronatestlijn
van de GGD. Na het opdreunen van BSN, geboortedatum en nog meer
persoonsgegevens kreeg hij te horen dat hij zich nog die middag kon laten
testen. “Alleen nog even een paar vragen: bent u verkouden? Hoest u? Hebt u
koorts? Benauwdheid? Verlies van reuk en/of smaak? Nee, allemaal niet? Dan kan
ik helaas geen afspraak voor u maken, het spijt me.” “Ja maar, de huisarts…”. “Sorry
meneer, ik kan niets voor u doen.” Een typisch geval van computer says ‘no’.
En toch kreeg Rik even later een bevestigingsmail voor zijn afspraak.
Oh, die dame heeft zeker over haar hart gestreken en de afspraak alsnog
doorgedrukt, dacht hij. En dus liet hij zich later die dag naar de teststraat
brengen. De portier kon Rik echter niet vinden in de computer. Daar deden ze verder
niet moeilijk over, alleen: zonder haakje in de computer konden ze nergens
testgegevens aan ophangen. Of Rik dus even ter plekke naar de coronalijn wilde
bellen voor een nieuwe afspraak. Maar dan mocht hij er wel even tussendoor, hij
was er nu toch. En dus belde Rik andermaal. De afgezegde afspraak was nog
zichtbaar, en dus moest Rik met de billen bloot. De dame aan de andere kant was
vriendelijk, doch onverbiddelijk: duizeligheid kwam niet voor op haar lijstje
en dus kon ze geen afspraak maken. Nee, aan de huisarts hadden ze daar geen
boodschap. En ook niet aan het feit dan vanaf 1 december zelfs mensen zonder
klachten getest mochten worden.
Rik had het bijna opgegeven, maar toen kreeg hij een ingeving. “En wat
als ik nu een hoestaanval krijg?” “Dan,” antwoordde de GGD’ster na een lichte
aarzeling, “maak ik nu een afspraak voor u.” En dus hoestte Rik voor de vorm
een paar keer in zijn telefoon. Vijf minuten later wroette iemand met een
wattenstaafje in Riks hersenen (die stokjes zijn zó lang hè) en keelholte en de
volgende ochtend wist hij dat hij geen corona had.
In de informatiebeveiliging werken we met white- en blacklists,
tegenwoordig ook wel allow- en denylists genoemd. Op de eerste staat
wat wel mag, op de tweede wat niet mag. Afhankelijk van hoe je het inricht, mag
iets wat op geen enkele lijst staat standaard niet of juist wel. Een voorbeeld
hiervan is de wijze waarop wij met onze zakelijke werkplek het internet
betreden. We mogen overal naar toe, behalve naar sites die in bepaalde
categorieën vallen, zoals gokken, porno en bestandsuitwisseling. Die
categorieën – en daarmee alle sites die erin vallen – staan op de blacklist.
Soms komt het echter voor dat een medewerker een goede, zakelijke reden heeft
om tóch een geblackliste site te bezoeken. Dan kan hij een verzoek indienen;
als dat positief wordt beoordeeld, dan komt die site op de whitelist. Andersom
kan ook: als bekend wordt dat een site, die normaliter bona fide is, door een
hack opeens malware verspreid, dan wordt die site tijdelijk op de blacklist
gezet en kan niemand er meer bij.
In tegenstelling tot het coronatestgebeuren kennen wij dus wél
uitzonderingen en ontheffingen. En dat is ook goed zo. Je kunt geen organisatie
runnen en daarbij in alle gevallen star aan de regeltjes vasthouden. Als iemand
een erg goede reden heeft om van de regels af te wijken, dan moet dat kunnen.
Met een risicoanalyse bepaal je of het verantwoord is om een uitzondering te
maken. Dat is lang niet altijd een dik rapport; soms is het gewoon een instant
afweging op basis van professional
judgement, een andere keer gaat het helemaal tot aan de directeur of nog
hogerop. Uiteraard hebben die managers dan wel goede informatie nodig. En dat
beseffen ze zelf natuurlijk ook; laatst mailde zo iemand: “Gelet op jullie
adviezen, in de veronderstelling dat de adviseurs hier meer verstand van hebben
dan ik (daar is ook niet heel veel voor nodig), in het besef van de urgentie,
geef ik toestemming”.
De GGD had Rik heus wel zonder vals voorwendsel willen testen, maar dat
kon de computer domweg niet aan: er moest iets worden aangevinkt en
duizeligheid kwam niet voor in het lijstje (waarom niet eigenlijk?). Soms word
je niet gestuit door starre regels, maar door starre programma’s. Een vakje
‘overige’ doet dan wonderen.
En in de grote boze buitenwereld …
- wist een Nederlandse journalist zich kinderlijk eenvoudig toegang te verschaffen tot een videoconferentie van Europese defensieministers.
- leidde dit incident tot Kamervragen.
- is niet alleen de beveiliging van je eigen systemen van belang, maar ook van die van je leveranciers en providers.
- heeft zelfs het Vaticaan te maken met cyberaanvallen.
- heeft de EU richtlijnen voor het beveiligen van het internet der dingen gepubliceerd. Het gaat me niet zozeer om de inhoud van het rapport (dat is meer iets voor de liefhebbers), maar om het langzaam doorsijpelende besef dat er nog heel wat te winnen valt bij het beveiligen van IoT-devices.
- staan er neppe Minecraft mods in Google Play, die maar één doel hebben: advertenties tonen.
- luistert je robotstofzuiger je nu ook al af. Met z’n ogen.
- maken ook criminelen dankbaar gebruik van de diensten van Google.
- is iedereen even vatbaar voor internetfraude.
Geen opmerkingen:
Een reactie posten