Bij simultaanschaken neemt één schaker het gelijktijdig op tegen een aantal andere spelers. Die andere spelers zitten meestal in carré-opstelling achter tafels met hun schaakbord voor zich. De simultaanschaker loopt de hele tijd rondjes langs alle borden. Als hij bij een bord arriveert, moet de bijbehorende speler zijn zet doen. De simultaanspeler doet een tegenzet en loopt door naar het volgende bord. In 2011 vestigde de Iraanse schaakgrootmeester Ehsan Ghaem Maghami het wereldrecord simultaanschaken door maar liefst 604 partijen tegelijk te spelen. Daarvan won hij er 580. Houd dat beeld even vast.
De Baseline Informatiebeveiliging Overheid (BIO) is een lange lijst aan
maatregelen die in onze ICT-diensten geïmplementeerd moeten zijn. Om na te gaan
of dat ook daadwerkelijk zo is, bezoeken we – gewapend met een Excel-bestand
waar de BIO in staat – de teams die deze diensten onder hun hoede hebben. Per
regel noteren we of en hoe de maatregel geïmplementeerd is (het ‘hoe’ is
belangrijk voor audits en bij veranderende omstandigheden). Op deze wijze
voeren we een gap-analyse uit: we
speuren naar de tekortkomingen. Als informatiebeveiliger treed je daarbij op
als facilitator, die de maatregelen toelicht en in de spreadsheet noteert wat
de inhoudelijk deskundigen roepen. Waar nodig worden ze daarbij door de facilitator
uitgedaagd om scherper over de maatregel na te denken.
Nou hebben sommige teams meerdere diensten onder hun hoede. Dat betekent
dat we zo’n team ook meerdere keren moeten ‘lastigvallen’ met een gap-analyse. Weliswaar
heb je dan meestal te maken met andere mensen (van de desbetreffende subteams),
maar een teammanager ziet met lede ogen aan hoe heel wat uren van zijn mensen
worden opgeslurpt.
Bij een zo’n team heb ik onlangs een gap-analyse voor een ICT-dienst
afgerond. Nog vier te gaan bij dat team; een hele belasting dus. Toen kwam de
vraag of we de resterende analyses niet zouden kunnen combineren. Ik zag het
meteen voor me: we zouden een potje simultaanschaak gaan spelen! Maar dan
natuurlijk niet tégen elkaar, maar mét elkaar. We gingen drie van de vier
resterende diensten doen, want de contactpersoon voor de laatste dienst was met
vakantie.
Dit voornemen vergde wel wat aanpassingen aan de werkwijze. Een
enkelvoudige gap-analyse doen we tegenwoordig vrij soepel online, maar daar zou
deze exercitie te complex voor zijn, dat was wel duidelijk. We moesten dus naar
kantoor. Daarvoor hadden we toestemming van onze afdelingshoofden nodig, en een
ruimte waar we conform de coronaregels bijeen konden zijn. Gisteren vond de
eerste sessie plaats.
Als facilitator kun je niet vier spreadsheets bijhouden, net zoals de
simultaanschaker niet zelf alle schaakborden meesjouwt. Daarom werd afgesproken
dat de deelnemers dat zelf zouden doen; voor elke ICT-dienst vulde de deelnemer
dus zelf zijn sheet in. Mijn eigen laptop was aan een groot beeldscherm
gekoppeld, zodat de deelnemers gemakkelijk konden zien waar we gebleven waren.
Na de gebruikelijke toelichting, die in zo’n eerste sessie altijd even wat tijd
kost, konden we van start met het echte werk. Ik lichtte de eerste maatregel
toe en vroeg vervolgens aan de eerste deelnemer of die voor zijn dienst was
ingeregeld. Nadat we allebei tevreden waren kon ik door naar de tweede
deelnemer en daarna naar de derde. Vervolgens deden we hetzelfde spelletje met
de tweede maatregel, enzovoorts. Soms overlegden de deelnemers ook met elkaar,
of bracht de een de ander op een idee. Kortom, er was mooie interactie.
We zullen, net als bij gewone gap-analyses, nog een of twee sessies
nodig hebben om de boel af te ronden, gewoon omdat het zo veel is. Ik kijk
ernaar uit. Voor het eerst zeiden deelnemers na afloop van een BIO gap-analyse
dat ze het leuk en interessant vonden. Meestal wordt de BIO toch als een moetje
gezien – in tegenstelling overigens tot risicoanalyses, die we op soortgelijke
wijze doen en die veel vaker positief gewaardeerd worden. Overigens helpen
beide analyses een team om hun diensten beter te beveiligen. En daar doen we
het natuurlijk voor; niet louter om een spreadsheet in te kleuren.
De overtreffende trap van simultaanschaken is blind simultaanschaken.
Daarbij mag de simultaanschaker de borden niet zien en hij moet dus alles in
zijn hoofd doen. Het wereldrecord staat op naam van de in Oezbekistan geboren
Amerikaanse grootmeester Timur Gareyev, die in 2016 maar liefst 48 partijen in
zijn hoofd speelde en er daar 35 van won. Ik heb trouwens niet de ambitie om
welke analyses dan ook blind uit te gaan voeren.
De Security
(b)log keert na de zomervakantie terug.
En in de grote boze buitenwereld …
- richten veel spear phishing attacks zich tegenwoordig juist op lagere medewerkers.
- gaan beveiliging en gebruikerservaring hand in hand.
- jeuken de handen van de AIVD-baas om harder op te kunnen treden tegen cyberaanvallen.
- heeft het Israëlische ministerie van Defensie invallen gedaan bij de NSO Group, die spyware levert aan regeringen en onlangs in opspraak kwam door de Pegasus-affaire.
- voelt de NSO Group ook de hete adem van de rest de wereld in haar nek en heeft zij besloten om tijdelijk niet aan bepaalde landen te leveren.
- maakt president Biden werk van de bescherming van kritische infrastructuur tegen cyberaanvallen.
- zou een cyberaanval wel eens tot een echte oorlog kunnen leiden, zegt Biden.
- wordt geavanceerde malware – net als allerlei andere dure software – gekraakt, waardoor ook minder slimme hackers er gebruik van kunnen maken.
- maakt Google nu nog meer werk van bug hunting.
- maken leveranciers van beveiligingsproducten helaas ook fouten.
- geeft de NSA beveiligingsadviezen die in de praktijk door weinig mensen zullen worden opgevolgd.
- is dit nog zo’n goedbedoeld NSA-advies.
- vindt in Nederland momenteel veel bankhelpdeskfraude plaats.