Onvoorstelbaar

Een smalle, meanderende beek aan de rand van het dorp, waar ik opgroeide, markeert de grens met Duitsland. Als kind ging ik daar vaak met vriendjes spelen. Met onze rubberen laarzen aan konden we gemakkelijk in de beek staan; het water kwam amper boven je enkels uit. Er was daar ook een brug, vanwaar een pad naar een gehucht aan Duitse zijde met dezelfde naam als ons dorp leidde. Spelen op de grens maakte het een beetje spannend. Anders dan nu mocht je niet zomaar de grens oversteken, en al helemaal niet bij zo’n onbewaakte grensovergang. Als omwonende kon je in het statige pand van de plaatselijke brigade van de Koninklijke Marechaussee een grenskaart voor ‘klein grensverkeer’ krijgen. Ik mocht daarmee oversteken tussen grenspaal 193 en 205.

De beek loopt eigenlijk achter
 het witte huis langs.

Toen in juli van dit jaar het water steeg en de rampspoed in Limburg, België en Duitsland via de tv onze huiskamers binnensijpelde, zag ik ergens een foto van mijn dorp. Ook daar was de beek buiten zijn oevers getreden en de naastgelegen straat stond blank.

Eerder deze week was ik in mijn dromen terug in het dorp. Alleen was daar aan het einde van de weg nu geen beek, maar de zee. Er stond een hotel en er waren Aziatische toeristen. Verderop waren de contouren van een grote brug zichtbaar.

Met de zee zal het op die plek in het echt niet zo’n vaart lopen – het dorp ligt aan de voet van de Vaalserberg. Maar dat dat lieflijke beekje ooit zijn bedding te krap zou vinden, dat had ik ook niet verwacht. (Terwijl Wikipedia mij nu leert dat dit in vroeger tijden juist vaak gebeurde en dat het dorp daar misschien wel z’n naam aan dankt.)

Ik heb al vaak risicoanalyses begeleid bij teams die een technisch platform beheren, zoals Windows of het mainframe (ik noem deze slechts als voorbeeld voor technische platforms, niet omdat het onderstaande verhaal erover gaat). Daarbij maken we gebruik van een lijst van allerlei standaard dreigingen, zoals menselijke fouten, virussen, DDoS-aanvallen en uitval van een datacenter. De deskundigen van dat team moeten inschatten in hoeverre hun systeem kwetsbaar is voor zo’n dreiging. Speelt de dreiging een rol in hun context? Welke maatregelen zijn er geïmplementeerd?

Het gebeurt dan wel eens dat men zich een beeld van een dreiging vormt, dat beeld projecteert op het eigen platform en dan voorzichtig mompelt: “Neu, dat speelt bij ons niet zo. Je zou wel daar-en-daar aan kunnen denken, maar daar is zoveel kennis en/of inspanning voor nodig, dat zien we niet zo gauw gebeuren.” En dan zijn er ook nog allerlei maatregelen geëffectueerd, weliswaar niet specifiek op die dreiging gericht, maar wel bijdragend aan de bestrijding ervan. Prima geregeld, zou je denken: de dreiging is niet aannemelijk én er zijn maatregelen tegen.

En dan moet ik dus aan die overstroming denken. Ik heb daar toch een paar decennia lang gewoond, zij het hogerop in het dorp. En nooit zien aankomen dat die beek ooit buiten z’n oevers zou treden (oevers is eigenlijk al een groot woord). Nee, dat soort dingen gebeuren elders, maar toch niet hier?

Het is niet altijd gemakkelijk om te bepalen in hoeverre een dreiging, die op een lijst staat, op jouw systeem van toepassing is. Over het algemeen varen we hierin blind op wat de beheerders te vertellen hebben. Soms daag ik ze echter uit om iets verder te denken, en dat levert wel eens een oh-wacht-eens-even-momentje op: ja, als je het zó bekijkt, dan zou dat-en-dat wel eens mis kunnen gaan.

Ik zeg wel eens – met een mengeling van gepaste trots en zelfspot – dat ik word betaald om doem te denken. Dat mag misschien klinken als een verkapt excuus voor een wat ver doordravende fantasie, maar soms helpt het wel om ook de anderen net iets verder te laten kijken. Ik hoop dat de mensen in mijn dorp dat ook tijdig hebben gedaan.

En in de grote boze buitenwereld …

• schaft Microsoft het wachtwoord af.
• stelt een beveiligingsbedrijf gratis de decryptiesleutel beschikbaar aan slachtoffers van de ransomware van REvil.
• zag Apple zich genoodzaakt om updates uit te brengen die geen enkele nieuwe functionaliteit bevatten.
• gaat WhatsApp nu ook je back-up zodanig versleutelen dat alleen jij erbij kunt.
• ligt het Privacy Shield toch echt in de prullenbak, ook al hanteren Amerikaanse bedrijven het nog steeds.
• is het hoger onderwijs ‘digitaal kwetsbaar’.
• doet Rusland niets tegen ransomware-bendes.
• informeert de overheid voortaan álle bedrijven over digitale dreigingen, niet meer alleen de bedrijven die cruciaal zijn voor Nederland.
• zijn smartphonecamera’s ingrijpender dan politiecamera’s.