Dan denk je dus dat je als oude rot in het vak alles al wel eens hebt gezien, en dan komt er opeens een type dreiging voorbij waarvan je tot dat moment niet besefte dat je er rekening mee hebt te houden. Of wist jij dat de vonken van je mobiele telefoon afspatten?
Ik dus ook niet. Heb het ook nog nooit waargenomen. En na wat leeswerk
is wel duidelijk dat “de vonken ervan afspatten” schromelijk overdreven is. Het
gaat om zogenaamde microvonkjes, die in een gewoon mobieltje in de elektronica
kunnen ontstaan. Google laat me in de steek als ik meer over microvonken wil
weten, maar ik weet nu wel opeens dat je uiterst nauwkeurige metaalbewerkingen
kunt uitvoeren met een techniek die microvonkfrezen heet. Dat is een klassiek
gevalletje websurfen: je zoekt iets op en drie muisklikken later zit je bij een
compleet ander onderwerp.
Die ieniemienievonkjes kunnen geen kwaad, maak ik op uit het blote feit
dat er voor de gewone googelaar niets over te vinden is. Geen gevaar dus, tenzij
je je in een explosieve omgeving bevindt, waar de kleinste vonk al tot een ramp
kan leiden. Die omgevingen kom je bijvoorbeeld tegen in de olie- en
gasindustrie, maar ook in het laadruim van een schip of in meel- en
suikersilo’s, waar zich stofexplosies kunnen voordoen. Als je in een dergelijke
omgeving moet werken en daar een smartphone bij nodig hebt, dan wil je er heel
graag eentje hebben met een minder opvliegend karakter. En die toestellen
bestaan. Ze voldoen aan de Europese ATEX 114-richtlijn (ATmosphères
EXplosibles) en dragen een officieel keurmerk. De ATEX-richtlijn kent een
aantal zones, die de wereld indeelt op basis van de kans dat er een explosief
gasmengsel of een explosiegevaarlijke stofwolk aanwezig is. Op basis daarvan
kun je bepalen welke smartphone je moet hebben. En die ga je niet vinden bij
Apple of Samsung. Het zijn speciale Android-toestellen met een stevig
prijskaartje. De meeste zien er ook heel stoer en robuust uit, zo van: als je
in een explosiegevaarlijke omgeving werkt, dan laat je je telefoon vast wel een
keertje vallen. Geen toestellen voor mensen die van verfijnd design houden.
Voor mij was dit de periodieke herinnering aan het feit dat je, als je
nadenkt over risico’s, verder moet kijken dan je neus lang is. We zijn geneigd
om na te denken over de bekende dreigingen en ons daartegen te wapenen. Dat
wordt ook in de hand gewerkt door risicoanalysemethodes die uitgaan van een
vaste lijst van dreigingen, zoals IRAM. Om daar enigszins een mouw aan te
passen vraag ik aan het begin van een risicoanalysesessie altijd aan de
aanwezige materiedeskundigen of zij op voorhand al risico’s kunnen noemen waar
ze wakker van liggen. Als die risico’s worden afgedekt door het
standaardlijstje is dat mooi, en anders loop je minder kans dat ze over het
hoofd worden gezien omdat iedereen zich heeft blindgestaard op dat lijstje.
Eerder deze week sprak ik een NCSC-expert op het gebied van
risicoanalyses. Hij hamerde erop dat je, als je probeert om de kans op een
gebeurtenis in te schatten, rekening moet houden met de actor achter die
gebeurtenis. Daarvoor moet je om te beginnen weten met wie je te maken zou
kunnen krijgen. Kijk je bijvoorbeeld naar de dreiging van een DDoS-aanval (die
je website platlegt), dan moet je je afvragen of jouw organisatie op de korrel
zou kunnen worden genomen door statelijke actoren en georganiseerde
criminaliteit, of dat je ‘slechts’ rekening hoeft te houden met verveelde pubers.
Bij elke potentiële actor moet je je drie dingen afvragen: over hoeveel geld
kan hij beschikken, hoeveel kennis heeft hij en hoe groot is zijn bereidheid om
de aanval uit te voeren. Dat geeft een beter beeld van de kans op een
gebeurtenis dan inschattingen op basis van… ja, van wat eigenlijk? Overigens
zie ik het als groot voordeel van de IRAM-methodiek dat je niet zelf hoeft na
te denken over de kans op een gebeurtenis, maar vooral focust op de maatregelen
die je tegen een dreiging hebt getroffen. Maar ja, dan ga je toch weer
inschatten hoe goed die maatregelen zijn. Nadenken over actoren kan daar echt
bij helpen.
En dan heb je opeens te maken met zo’n dreiging als explosiegevaar, die
op het eerste oog niets met ICT – en dus met informatiebeveiliging – te maken
heeft. Tot je beseft dat ICT-apparatuur daar wel degelijk een rol bij kan
spelen. Bij zo’n type dreiging is er geen actor in de zin van kwaadwillende. De
actor is hier de gebruiker, die zich ervan bewust moet zijn dat hij in een
risicovolle omgeving moet werken en daarom z’n privémobieltje thuis moet laten.
Om met een vrolijke noot af te sluiten nog het volgende. Toen ik me in
het ATEX-verhaal verdiepte, kwam ik onder andere terecht op de website van Vonk
bv, een bedrijf dat onder andere vonkvrije telefoons levert. Geinig.
En in de grote boze buitenwereld …
- waarschuwt de politie voor sms’jes over voicemailberichten waar een link in zit.
- trekt Microsoft ten strijde tegen bedrijven die cyberwapens leveren.
- wordt doxing strafbaar (als het aan de minister ligt).
- zijn de websites van REvil, de hackergroep achter de recente wereldwijde ransomware-aanval, uit de lucht.
- kun je rijk worden met een tip aan de Amerikaanse overheid over statelijke ransomwarebendes.
- zitten er een hoop juridische haken en ogen aan het betalen van losgeld na een ransomware-aanval.
- zijn er nog steeds problemen met de printspooler van Windows.
- helpt de EU het MKB om zich tegen cyberaanvallen te beschermen.
- wil Instagram een veilige omgeving creëren.
- werken politie en deurwaarders samen tegen online oplichting.
- werd LinkedIn gebruikt als aanvalsroute voor iPhones en iPads.
- kun je natuurlijk ook een laadpaal hacken.
- kon de gezichtsherkenning van Windows Hello worden omzeild.
Geen opmerkingen:
Een reactie posten