Zelftest

 

Afbeelding via Pixabay

Een jeugdig familielid heeft momenteel een moeizame verhouding met het testwezen. Als brave scholier doet hij tweemaal per week een zelftest en deze week was het raak: twee streepjes.

Het gezin was even in rep en roer, want dit hadden ze in twee jaar corona nog niet meegemaakt. Welke maatregelen moeten er allemaal getroffen worden? Wie moeten er ingelicht worden? En vooral gauw de officiële test bij de GGD regelen! Nou, dat laatste was een heel gedoe: de GGD zat vol en hij werd doorverwezen naar een commerciële teststraat een stad verderop. Daar kon hij gek genoeg op dezelfde dag nog terecht, wanneer hij maar wilde. Toen hij daar geweest was, werd duidelijk waarom deze teststraat misschien wat minder populair was: ze voerden een sneltest uit en dat deden ze erg slordig. De uitslag was negatief, maar dat vertrouwde deze jongeman niet en daarom deed hij thuis ook nog een zelftest. Hé, ook negatief!

De volgende ochtend voor de zekerheid nog maar een zelftest gedaan. En wat denk je: positief! Dat gezin wist even niet meer waar ze aan toe waren. De geraadpleegde assistente van de huisarts adviseerde, na het aanhoren van het relaas, om toch maar nog een test bij de GGD zelf te doen. Met de kanttekening dat zelftests zelden een false positive  geven, met andere woorden: ga er maar van uit dat je corona hebt. ’s Avonds kon de patiënt – die gelukkig slechts milde klachten had – terecht bij de GGD op ruim een halfuur rijden van zijn woonplaats. De uitslag liet een etmaal op zich wachten. Niemand was verbaasd dat die positief was.

Als ICT’er heb ik moeite met dergelijke inconsistenties. Hoewel, ik heb lang geleden al geleerd dat zelfs computers niet altijd consequent zijn. Dertig jaar geleden programmeerde ik in COBOL op het mainframe. Eén van de programma’s, die ik onder mijn hoede had, was het zogenaamde dagwerk, dat – gek genoeg – ’s nachts werd gedraaid (het was batchverwerking; alle invoer van die dag werd ’s nachts in bulk verwerkt). Op een zekere dag ging ’s avonds laat de telefoon: het dagwerk was vastgelopen. Iets dergelijks was lang daarvoor ook al eens gebeurd en toen heb ik, samen met een collega, de hele nacht op kantoor gezeten om de fout op te lossen (nee jongelui, je kon toen nog niet thuis werken). Daar had ik deze keer niet zoveel zin in en daarom zei ik tegen de operator dat hij de verwerking gewoon opnieuw moest starten. Nooit meer iets van gehoord.

In ons beveiligingsbeleid staat dat beveiligingsfuncties van een systeem moeten worden getest, ook na aanpassingen aan dat systeem. Desgevraagd mompelen de mensen die dit zouden moeten doen dat systemen uiteraard worden getest, maar slechts zelden beamen ze volmondig dat ze daarbij expliciet aandacht besteden aan de beveiligingsfuncties. Dat is ook lastig: ze hebben vaak te maken met complexe systemen van diverse leveranciers. Verreweg de meeste van die systemen hebben beveiliging niet als primaire taak; beveiligingsfuncties worden vaak met de verfoeide term ‘non-functionals’ aangeduid. Beste mensen, zonder beveiliging zouden de meeste informatiesystemen niet eens kunnen functioneren, omdat we ze niet zouden kunnen vertrouwen! Beveiliging is dus zo functioneel als maar wat, al zij het, toegegeven, ondergeschikt aan de taken waarvoor het systeem is gebouwd.

Dat testen is echt wel nodig. Je moet je ervan vergewissen dat jouw processen en gegevens veilig zijn voor nieuwsgierige, doch niet-geautoriseerde collega’s, voor hackers, voor criminelen en voor spionnen. Soms volstaat een zelftest, soms moet je een formele test laten doen die in feite een gesimuleerde hackaanval is. Daarvoor gebruiken we mooie termen als attack & penetration test (aanvallen en binnendringen) of het kortere penetratietest (wat dan weer wordt afgekort tot pentest). Dergelijke tests moeten bij ons verplicht worden uitgevoerd bij alle systemen die aan het internet hangen. We hebben zelf pentesters in dienst, maar we hebben ook contracten met externe partijen die dit werk voor ons doen. Bij het inhuren van pentesters is het goed om naar de reputatie van zowel hun werkgever als van de personen zelf te kijken. Je wilt immers niet dat deze ethische hackers iets over het hoofd zien wat door een criminele hacker kan worden misbruikt.

Testen is geen binaire bezigheid: een negatieve uitslag betekent niet per definitie dat er niets aan de hand is en een positieve uitslag kan ook wel eens een vergissing zijn. En dan is het ook nog eens zo dat een negatieve uitslag positief wordt ontvangen en een positieve uitslag slecht nieuws is. Wie heeft dat nou weer verzonnen?

 

En in de grote boze buitenwereld …

• is het bij de GGD nog steeds slecht gesteld met privacybescherming.
• heeft de Belgische Gegevensbeschermingsautoriteit de advertentie-industrie op de vingers getikt.
• kunnen je persoonsgegevens zelfs via een lettertype lekken, en dat mag niet.
• is een Duitse oliedistributeur lamgelegd door cybercriminelen. (artikel in het Duits)
• ligt inmiddels ook een Nederlandse olieterminal plat.
• horen we nooit zoveel over malware voor de Mac, maar deze soort heeft een hele evolutie doorgemaakt.
• was er nóg een opvallend bericht over Mac-malware.
• vierden Spectre en Meldown alweer hun vierde verjaardag.
• zit cybercriminaliteit nog steeds in de lift.
• lopen de Olympische Spelen (uiteraard) kans op cyberaanvallen.
• worden sporters, journalisten en andere bezoekers aan China gewaarschuwd voor digitale spionage door het gastland.
• werd alweer een platform voor de handel in cryptovaluta beroofd.
• spreken forensische instituten voortaan wereldwijd dezelfde cybertaal.
• worden cybercriminelen steeds slimmer en rijker.
• kun je natuurlijk je laptop uit het raam gooien als de politie op de stoep staat.