De zwakste schakel

 

Afbeelding via Pixabay

“We can’t make humans that much better.” Is dat een uitspraak van een buitenaards, al dan niet goddelijk wezen, dat gelaten vaststelt dat de mens ‘af’ is en dat we het met het huidige model moeten doen? Is Generatie Z (de ‘Zoomers’) ons eindstation en is die letter derhalve allesbehalve toeval?

Onzin. Het is een uitspraak van iemand op een beveiligingsconferentie en heeft betrekking op de rol van de mens in de strijd tegen digitale misdaad. Je weet wel, phishing en zo. De strekking van het verhaal was dat we al zóveel energie hebben gestopt in het opkrikken van het beveiligingsbewustzijn van onze collega’s, vrienden, familieleden en wildvreemden, dat die klus nu wel klaar is – beter dan dit wordt het niet.

Dat is natuurlijk niet waar. Althans, niet helemaal. We moeten sowieso door blijven gaan met onze missie omdat er nog steeds nieuwe mensen bij komen. En die nieuwe mensen moeten al op jonge leeftijd leren hoe ze zich veilig door de digitale wereld kunnen bewegen – door hún wereld, want Generatie Z wordt zo ongeveer met een smartphone in de hand geboren. Daar hoort speciale aandacht voor privacy bij. Dat zeg ik niet omdat vandaag de Europese dag van de privacy is, maar omdat het zo gemakkelijk is om geheel eigenhandig je privacy op te geven, en dan ook nog eens zonder dat je dat heel bewust doet. De knop ‘ja doe maar’ is altijd groter en mooier dan de ‘nee’-knop als je mag kiezen of een site cookies mag opslaan, of een app met je adresboek mag ‘synchroniseren’ (een schaamteloos eufemisme voor kopiëren), of ze je locatie mogen gebruiken. ‘Ja’ is het makkelijke antwoord, ‘nee’ levert je extra werk op terwijl je nú aan de slag wilt met die site of met die app.

Overigens valt het reuze mee met dat extra werk. Als je bij een cookie-melding aangeeft dat je de instellingen wilt aanpassen, dan staan die instellingen – als het goed is – standaard op ‘uit’. Je hoeft dan alleen nog op ‘instellingen opslaan’ te klikken, zonder al die instellingen na te lopen. Maar pas op: ook hier verschijnt vaak nog een verleidelijke knop waar ‘alles toestaan’ op staat, naast een veel minder opvallend linkje om de gekozen instellingen op te slaan. Bovendien zie je bij sommige instellingen ook nog een aparte instelling, die ‘gerechtvaardigd/legitiem belang’ heet en standaard aan staat (of niet eens kán worden uitgezet). Die term tussen aanhalingstekens komt uit de AVG, waarin gerechtvaardigd belang één van de grondslagen voor het verwerken van persoonsgegevens is. Bedrijven vinden direct marketing vaak een gerechtvaardigd belang (“anders kunnen we geen geld verdienen”), maar daar lijken de geleerden het nog niet over eens te zijn. Verreweg het prettigst vind ik sites die behalve ‘accepteer alles’ ook de optie ‘accepteer niets’ aanbieden.

Sommige mensen zijn wél helemaal klaar met voor beveiliging en privacy. Dat zijn de mensen die noch willen, noch kunnen meedoen. Cybercriminelen hebben het vaak op ouderen voorzien, maar het is veel te gemakkelijk om te beweren dat de voor awareness-activiteiten verloren groep alleen door bejaarden wordt bevolkt. Mijn moeder is 88 en bijzonder alert op digitale gekkigheid (“Patrick, wat moet ik hiermee?” is een regelmatig terugkerende tekst in WhatsApp, met daarbij een afbeelding van een scherm waarop een keuze moet worden gemaakt). Wat dat betreft kunnen de generaties A tot en met Z nog het nodige van haar leren. Maar aan de meeste totaalweigeraars valt niet veel eer te behalen. Overigens ken ik er daar bijzonder weinig van, maar dat is misschien omdat ze zich buiten mijn bubbel bevinden.

Van diezelfde conferentie heb ik nog een ander citaat meegebracht, dat mooi aansluit bij het eerste: “Mensen zijn niet de zwakste schakel, maar de meest kwetsbare”. Kijk, dat is een uitspraak naar mijn hart. Je kunt het een individu niet aanrekenen dat de techniek nog onvoldoende in staat is om ons te beschermen tegen digitaal ongerief. De mens is op tweeërlei manieren kwetsbaar: enerzijds is hij – net als beveiligingssoftware – niet in staat om feilloos het kaf van het koren te scheiden, en anderzijds is het diezelfde mens die uiteindelijk het slachtoffer zal zijn. Want ook al gaat het in eerste instantie misschien om het hacken van een computer, uiteindelijk gaat het toch om de bestanden van of over mensen. Zelfs als het om bedrijfsspionage gaat, worden mensen geraakt, namelijk de mensen van wie de gestolen geheimen zijn.

Mensen zijn dus kwetsbaar, en veel beter wordt het niet, als je de beide citaten combineert. Ik weiger dit te accepteren, want afgezien van de totaalweigeraars kunnen we door voorlichting en overtuiging toch echt nog het nodige bereiken, dwars door alle generaties heen. Gewoon allemaal flink ons best doen.

 

En in de grote boze buitenwereld …

• interviewde een Deense krant Edward Snowden naar aanleiding van een klokkenluidersschandaal in Denemarken. (Als je op deze site cookies afwijst, moet je ze halverwege het artikel toch accepteren om de rest te kunnen lezen.)
• kwam een twaalf jaar oude ernstige kwetsbaarheid in Linux aan het licht.
• verscheen een nieuwe test van virusscanners voor Windows-thuisgebruikers.
• plundert deze Android-malware eerst je bankrekening en zet vervolgens je toestel terug naar fabrieksinstellingen.
• hebben nabestaanden vaak grote problemen om het digitale domein van hun dierbare te betreden.
• gaat het Witte Huis voor zero trust.
• klagen vier van de Verenigde Staten Google aan voor het zonder toestemming tracken van gebruikers.
• hebben ziekenhuizen een inhaalslag te maken op het gebied van informatiebeveiliging.
• kunnen ziekenhuizen daarvoor een beroep doen op ZORRO.
• bepleit de Autoriteit Persoonsgegevens het afschermen van persoonsgegevens in het Kadaster en het Handelsregister.
• koopt een bedrijf zero-days in mailprogramma’s op.
• stapt het laatste faxbolwerk over op beveiligde e-mail.