Afbeelding via Pixabay |
Een jeugdig familielid heeft momenteel een moeizame verhouding met het
testwezen. Als brave scholier doet hij tweemaal per week een zelftest en deze week
was het raak: twee streepjes.
Het gezin was even in rep en roer, want dit hadden ze in twee jaar
corona nog niet meegemaakt. Welke maatregelen moeten er allemaal getroffen
worden? Wie moeten er ingelicht worden? En vooral gauw de officiële test bij de
GGD regelen! Nou, dat laatste was een heel gedoe: de GGD zat vol en hij werd doorverwezen
naar een commerciële teststraat een stad verderop. Daar kon hij gek genoeg op
dezelfde dag nog terecht, wanneer hij maar wilde. Toen hij daar geweest was,
werd duidelijk waarom deze teststraat misschien wat minder populair was: ze
voerden een sneltest uit en dat deden ze erg slordig. De uitslag was negatief,
maar dat vertrouwde deze jongeman niet en daarom deed hij thuis ook nog een
zelftest. Hé, ook negatief!
De volgende ochtend voor de zekerheid nog maar een zelftest gedaan. En
wat denk je: positief! Dat gezin wist even niet meer waar ze aan toe waren. De
geraadpleegde assistente van de huisarts adviseerde, na het aanhoren van het
relaas, om toch maar nog een test bij de GGD zelf te doen. Met de kanttekening
dat zelftests zelden een false positive
geven, met andere woorden: ga er maar
van uit dat je corona hebt. ’s Avonds kon de patiënt – die gelukkig slechts
milde klachten had – terecht bij de GGD op ruim een halfuur rijden van zijn
woonplaats. De uitslag liet een etmaal op zich wachten. Niemand was verbaasd
dat die positief was.
Als ICT’er heb ik moeite met dergelijke inconsistenties. Hoewel, ik heb
lang geleden al geleerd dat zelfs computers niet altijd consequent zijn. Dertig
jaar geleden programmeerde ik in COBOL op het mainframe. Eén van de
programma’s, die ik onder mijn hoede had, was het zogenaamde dagwerk, dat – gek
genoeg – ’s nachts werd gedraaid (het was batchverwerking; alle invoer van die
dag werd ’s nachts in bulk verwerkt). Op een zekere dag ging ’s avonds laat de
telefoon: het dagwerk was vastgelopen. Iets dergelijks was lang daarvoor ook al
eens gebeurd en toen heb ik, samen met een collega, de hele nacht op kantoor
gezeten om de fout op te lossen (nee jongelui, je kon toen nog niet thuis
werken). Daar had ik deze keer niet zoveel zin in en daarom zei ik tegen de
operator dat hij de verwerking gewoon opnieuw moest starten. Nooit meer iets
van gehoord.
In ons beveiligingsbeleid staat dat beveiligingsfuncties van een systeem
moeten worden getest, ook na aanpassingen aan dat systeem. Desgevraagd mompelen
de mensen die dit zouden moeten doen dat systemen uiteraard worden getest, maar
slechts zelden beamen ze volmondig dat ze daarbij expliciet aandacht besteden
aan de beveiligingsfuncties. Dat is ook lastig: ze hebben vaak te maken met
complexe systemen van diverse leveranciers. Verreweg de meeste van die systemen
hebben beveiliging niet als primaire taak; beveiligingsfuncties worden vaak met
de verfoeide term ‘non-functionals’ aangeduid. Beste mensen, zonder beveiliging
zouden de meeste informatiesystemen niet eens kunnen functioneren, omdat we ze
niet zouden kunnen vertrouwen! Beveiliging is dus zo functioneel als maar wat,
al zij het, toegegeven, ondergeschikt aan de taken waarvoor het systeem is
gebouwd.
Dat testen is echt wel nodig. Je moet je ervan vergewissen dat jouw
processen en gegevens veilig zijn voor nieuwsgierige, doch niet-geautoriseerde
collega’s, voor hackers, voor criminelen en voor spionnen. Soms volstaat een
zelftest, soms moet je een formele test laten doen die in feite een
gesimuleerde hackaanval is. Daarvoor gebruiken we mooie termen als attack & penetration test (aanvallen
en binnendringen) of het kortere penetratietest
(wat dan weer wordt afgekort tot pentest).
Dergelijke tests moeten bij ons verplicht worden uitgevoerd bij alle systemen
die aan het internet hangen. We hebben zelf pentesters in dienst, maar we
hebben ook contracten met externe partijen die dit werk voor ons doen. Bij het
inhuren van pentesters is het goed om naar de reputatie van zowel hun werkgever
als van de personen zelf te kijken. Je wilt immers niet dat deze ethische
hackers iets over het hoofd zien wat door een criminele hacker kan worden
misbruikt.
Testen is geen binaire bezigheid: een negatieve uitslag betekent niet
per definitie dat er niets aan de hand is en een positieve uitslag kan ook wel
eens een vergissing zijn. En dan is het ook nog eens zo dat een negatieve
uitslag positief wordt ontvangen en een positieve uitslag slecht nieuws is. Wie
heeft dat nou weer verzonnen?
En in de grote boze buitenwereld …
- is het bij de GGD nog steeds slecht gesteld met privacybescherming.
- heeft de Belgische Gegevensbeschermingsautoriteit de advertentie-industrie op de vingers getikt.
- kunnen je persoonsgegevens zelfs via een lettertype lekken, en dat mag niet.
- is een Duitse oliedistributeur lamgelegd door cybercriminelen. (artikel in het Duits)
- ligt inmiddels ook een Nederlandse olieterminal plat.
- horen we nooit zoveel over malware voor de Mac, maar deze soort heeft een hele evolutie doorgemaakt.
- was er nóg een opvallend bericht over Mac-malware.
- vierden Spectre en Meldown alweer hun vierde verjaardag.
- zit cybercriminaliteit nog steeds in de lift.
- lopen de Olympische Spelen (uiteraard) kans op cyberaanvallen.
- worden sporters, journalisten en andere bezoekers aan China gewaarschuwd voor digitale spionage door het gastland.
- werd alweer een platform voor de handel in cryptovaluta beroofd.
- spreken forensische instituten voortaan wereldwijd dezelfde cybertaal.
- worden cybercriminelen steeds slimmer en rijker.
- kun je natuurlijk je laptop uit het raam gooien als de politie op de stoep staat.
Geen opmerkingen:
Een reactie posten