WC-rol

 

Afbeelding via Pixabay

Na twee jaar gaan we weer mondjesmaat naar kantoor. En daar had zich een verandering voltrokken die je niet had zien aankomen. Er waren nieuwe toiletrolhouders geïnstalleerd.

Even voor kantoorloze lezers: zo’n houder is niet het eenvoudige dingetje dat bij jou en bij mij thuis hangt, maar een gesloten doos met een gleuf onderaan de voorkant. In de doos zitten twee rollen boven elkaar en het papier komt door de gleuf naar buiten. Althans, dat is de bedoeling. Maar daar gaat het bij deze nieuwe dingen nou precies mis. De rollen ondervinden teveel wrijving. Als je aan het papier trekt, dan scheurt het af – binnen in de houder. Waardoor je iedere keer opnieuw op zoek moet naar het begin door je vinger in de houder te steken en de rol moeizaam rond te draaien – vaak meerdere keren – tot je het uiteinde van het papier te pakken hebt. En dan voorzichtig trekken, want voor je het weet scheurt het wéér af. Soms heb je opeens de uiteinden van beide rollen te pakken en ervaar je de luxe van dubbellaags wc-papier.

Er is een fabrikant die deze dingen maakt. Niet zomaar uit het niets, maar volgens een ontwerp. Ze maken er eerst eens eentje, of een handjevol: de prototypes. Die worden getest, er komen een paar kinderziektes aan het licht, het ontwerp wordt aangepast, er komt een nieuw prototype en uiteindelijk (na misschien nog een paar iteraties) is de houder rijp voor productie.

Waar ging het bij dit product zo vreselijk mis? Hebben ze alleen onder laboratoriumomstandigheden getest? Is niemand op het idee gekomen om een prototype aan de muur te schroeven, er twee rollen wc-papier in te doen, op de pot te gaan zitten en volgens de een of andere Europese norm dan wel naar behoefte papier te gebruiken? Kortom, is er geen veldtest gedaan?

Maar ook aan onze kant ging het mis. Het zal wel een rijksbrede aanbesteding zijn geweest. Daarbij wordt gekeken welke offerte, die aan de vooraf opgestelde eisen voldoet, de goedkoopste oplossing biedt. Misschien zijn de inkopers vergeten om als eis op te nemen dat het papier er soepel uit moet komen. En ik vraag me af hoe de acceptatietest is uitgevoerd.

Jaren geleden hebben we een softwarepakket aangeschaft om ons information security management system (ISMS) te beheren. Het leek een geweldig product en we gingen met een paar man op cursus bij de fabrikant. We zagen een product met een heldere structuur en we konden alle oefenopdrachten soepeltjes uitvoeren. En toen moesten we het product in onze organisatie implementeren. Het lukte maar niet om onze inrichting te verenigen met die van het product. Ik heb toen zelfs nog het datamodel van het product ge-reverse-engineered*, met andere woorden: ik heb uitgetekend hoe het product in elkaar zat. Vervolgens hebben we geprobeerd om onze organisatie en onze werkwijze hierop te plotten. We hebben een paar keer de fabrikant erbij gehaald en na zo’n consult dachten we telkens dat we het hadden gevonden. Uiteindelijk hebben we het opgegeven en tot op de dag van vandaag werken we met de oude, vertrouwde spreadsheets.

Daar is overigens niets mis mee. Op een conferentie vroeg een spreker eens wie er allemaal Excel gebruikte voor dit soort dingen. Talrijke handen gingen omhoog en daar werd besmuikt bij gelachen. Tegelijkertijd golfde een gevoel van opluchting door de zaal omdat in één klap duidelijk werd dat het helemaal niet ongebruikelijk was om zo te werken. Soms heb je nu eenmaal functionele behoeftes die je niet goed kunt uitdrukken in eisen en wensen en waar je om die reden geen inkooptraject voor kunt starten. Je gaat dan zelf wat knutselen of je leent iets wat ze elders hebben gemaakt. Qua beheer is dit overigens een nachtmerrie: als zo’n zelfgemaakte tool ingeburgerd raakt en de maker ervan is niet meer beschikbaar, dan heb je een probleem.

Ik heb zelf ook zoiets in elkaar geknutseld. En om mijn collega’s niet met de handen in het haar te laten zitten als ik onder de tram mocht komen, heb ik daar een technische handleiding bij gemaakt, die precies beschrijft hoe het er onder motorkap van mijn spreadsheet aan toe gaat. Of ze daar ook mee uit de voeten kunnen, moet op het uur U blijken. Want we zijn natuurlijk veel te druk om zoiets te testen. Bovendien weet niemand waar de handleiding staat. Ruimte voor verbetering dus. Hoe zit dat eigenlijk bij jou? Is de continuïteit van de belangrijke hulpmiddelen van jouw team gewaarborgd?

*) Reverse engineering houdt in dat je kijkt hoe iets werkt en daaruit afleidt hoe het is ontworpen.

 

En in de grote boze buitenwereld …

• biedt dit artikel een zeldzaam inkijkje in de onderhandelingen tussen de Mediamarkt en de criminelen die de systemen van de winkelketen gegijzeld hadden.
• heeft ransomware maar weinig tijd nodig om veel bestanden te versleutelen.
• werft hackersbende LAPSUS$ medewerkers van grote bedrijven om hen toegang tot het bedrijfsnetwerk te verschaffen.
• is een tiener mogelijk het brein achter LAPSUS$.
• heeft de Londense politie (een deel van) deze hackersbende opgerold.
• becijfert de FBI de schade door cybercrime op meer dan 6,9 miljard dollar.
• moet je je kinderen (en desnoods jezelf) aansporen om een paar instellingen in TikTok aan te passen.
• roept president Biden Amerikaanse bedrijven op om zich te beschermen tegen Russische cyberaanvallen.
• mogen Britse soldaten WhatsApp niet meer gebruiken, uit vrees voor Russische hackers.
• acht het NCSC het mogelijk dat de Nederlandse digitale weerbaarheid op de proef wordt gesteld naar aanleiding van de oorlog in Oekraïne.
• zijn banken nog vaak coulant als klanten zijn benadeeld door fraude middels phishing, maar er zijn grenzen.
• trapt gelukkig niet iedereen in de trucs van criminelen.
• helpt het Britse NCSC programmeurs met een toolkit om veilig te programmeren.

 

Container

 

Afbeelding via Pixabay

Een poosje geleden hadden we Corrie, Dudley en Eunice op bezoek. Het waren ongenode gasten die nogal hoog van de toren bliezen. Eunice vermoordde zelfs vier mensen, alleen al in Nederland. Samen met Dudley doodde deze storm nog meer mensen in de ons omringende landen.

Op een van deze winderige dagen werd bij ons in de straat de oranje container geleegd. Daar gaat PMD-afval in: plastic en metalen verpakkingen en drinkpakken. Aan de zijkant van de vuilniswagen zit een grijparm, die twee containers tegelijk kan optillen en ze dan op de kop boven een opening in de bovenkant van de wagen houdt. Bij normale weersomstandigheden valt het afval netjes in de wagen. Nu waaiden talrijke stukjes plastic, waarop de wind meer vat had dan de zwaartekracht, door de straat.

We hebben ook een blauwe container. Daar gaat oud papier in en hij wordt op dezelfde manier geleegd als de oranje container. Wat als die toevallig op de afvalkalender had gestaan? Hadden dan allerlei papieren met mijn naam erop op straat gelegen? Niet zo’n fijne gedachte. We hebben dan misschien niets te verbergen, in de zin van: we doen geen onoorbare dingen, maar er zijn genoeg dingen die anderen geen snars aangaan.

Vroeger haalden we alles waar persoonlijke gegevens op stonden door de papiervernietiger. Dat apparaat ging op een gegeven moment stuk en in diezelfde tijd droogde ook de stroom papieren bescheiden behoorlijk op. Tante Pos deed ons huis maar nog sporadisch aan; haar werk werd grotendeels overgenomen door e-mail en downloadportalen. Kortom, de papiervernietiger werd niet vervangen en het – inmiddels dus tamelijk schaarse – oud papier met onze gegevens erop gaat ‘gewoon’ in de kliko. En dat gaat, denk ik, altijd goed. Tenzij er zo’n Dudley langskomt. Of iemand op zoek is naar informatie over ons en de container induikt. In het Engels spreken ze dan liefkozend over dumpster diving.

Als informatieverwerkende organisatie kun je het je niet veroorloven om je papierafval aan de straat te zetten of door de harmonie te laten ophalen. Daar zou vroeg of laat geheid gedoe van komen. Desnoods alleen al vanwege het feit dát er papier met persoonsgegevens tussen je afval zit – de verdere informatie hoeft niet eens brisant te zijn om daar de krant mee te halen. Dergelijke organisaties hebben contracten met bedrijven die het oud papier op verantwoorde wijze afvoeren en vernietigen.

Wat voor papier geldt, geldt in nog grotere mate voor computerbestanden. Onlangs stuurde een collega mij een krantenknipsel uit 1983, waarin een commentator van de Leeuwarder Courant onder het kopje ‘Privacy-praat’ verzuchtte dat het toch merkwaardig is “hoe dat privacy-begrip telkens weer opduikt als het gaat om computerbestanden op persoonlijke nummers en nauwelijks als het gaat om kaartenbakken met dezelfde gegevens op alfabet”. Maar deze schrijver had het al vroeg goed begrepen: “In de praktijk kan het anders zijn, omdat het mogelijk is computergegevens snel door te spelen”. En in grote omvang, kun je daar gerust aan toevoegen.

In 2004 zette officier van justitie Joost Tonino zijn oude computer, die het vanwege een virusbesmetting niet meer deed, op straat bij het grof vuil. En natuurlijk nam iemand dat apparaat mee voordat de vuilniswagen langskwam en hij kreeg het apparaat gewoon aan de praat. De computer stond bol van de vertrouwelijke informatie, die haar weg naar Peter R. de Vries vond. Een schandaal was geboren. Trouw schreef hierover: “Zelden is een ambtenaar – een magistraat nog wel – door de politiek in het openbaar zo afgedroogd als gisteren de Amsterdamse officier van justitie Joost Tonino.” Had hij die Leeuwarder Courant maar gelezen… (Tonino was ongeveer 17 toen het artikel verscheen, dus het hád gekund.)

Als brave burger zul je niet zo snel te maken krijgen met dumpster diving. Heb je echter iets op je kerfstok, dan zou het zo maar kunnen dat de politie erg geïnteresseerd raakt in je blauwe container. Maar, afhankelijk van wat je hebt uitgevreten, is je computer waarschijnlijk veel interessanter voor ze. In het krantenknipsel staat trouwens ook nog: “Wie niets te verbergen heeft hoeft niet bang te zijn, dat hij in zo’n computerbestand voorkomt, en dat gegevens van het ene bestand tegen die van het andere worden gelegd.” Die vlieger gaat al lang niet meer op: iedereen heeft iets te verbergen, iedereen staat in talloze bestanden en als computers iets goed kunnen, dan is het wel gegevens met elkaar in verband brengen. Dat stukje kwam eigenlijk net een jaar te vroeg in de krant.

 

En in de grote boze buitenwereld …

• zijn twee mannen opgepakt voor de handel in persoonlijke gegevens van duizenden mensen.
• geeft de overheid inzage in het delen van persoonsgegevens.
• bevatte gelekte broncode van Samsung duizenden geheime sleutels en wachtwoorden.
• vindt Oekraïne dat de Russische staatshackers overschat worden.
• is nu ook de Duitse overheid klaar met de antivirussoftware van het Russische Kaspersky.
• verscheen een rapport over de (on)veiligheid van mobiele apparatuur in 2021.
• raakte deze ondernemer veel geld kwijt door een mailtje van de ‘bellastingdienst’.
• strijdt de FBI met tips tegen helpdeskfraude.
• heeft Zoom diverse belangrijke privacyrisico’s verholpen.
• onderzoekt de overheid in hoeverre ze chatdiensten kan en wil tappen.
• zijn er privacyzorgen omtrent coronatests.
• denkt je magnetron na een software-update dat hij een stoomoven is.

 

Colportage

Afbeelding via Pixabay

Colporteur is zo’n lekker ouderwets woord waarbij je, als je het niet kent, gemakkelijk aan criminele activiteiten zou kunnen denken. Althans, zo’n klank heeft het voor mijn gevoel. Maar nee: colporteren is in beginsel een eerbiedwaardige activiteit, waarbij de beoefenaar langs de huizen trekt om een product of dienst te verkopen. Van Dale noemt als (waarschijnlijk uitgestorven) voorbeelden de encyclopedieëncolporteur en de stofzuigercolporteur. De daar eveneens genoemde energiecolporteur is echter springlevend en dat gaat er niet altijd even fris aan toe. Ik heb wel meegemaakt dat zo iemand zich presenteert als vertegenwoordiger van ‘de energiemaatschappij’ en daarmee suggereert dat je al klant bij hem bent.

Bij onze deurbel prijkt een bescheiden bordje met de tekst: “TIP – Wij kopen alleen spullen en diensten waar we zelf om hebben gevraagd.” Dat weerhoudt de meeste colporteurs ervan om aan te bellen. En verkopers, die de euvele moed hebben om dat tóch te doen, vragen we vriendelijk of ze het bordje misschien hebben gemist. Een enkeling liegt dan nog dat hij helemaal niets wil slijten, de meesten druipen echter onder het stamelen van excuses af.

Vroeger – voor de pandemie – werd je in de weken na deelname aan een conferentie of bezoek aan een beurs nog wel eens gebeld door daar aanwezige bedrijven die probeerden om jouw bezoek te gelde te maken. Tegenwoordig lijkt die activiteit losgekoppeld te zijn van enig evenement. Wat vooral opvalt, is dat ik met enige regelmaat word gebeld vanuit Nederlandse vaste telefoonnummers (bijvoorbeeld uit 020 of 074), waar dan steevast een Engelssprekende medewerker van een bedrijf uit mijn branche achter zit, die zijn producten of diensten wil pitchen of een informatieve bijeenkomst wil organiseren. Ik wimpel ze altijd af met de mededeling dat ik niet over contacten met leveranciers ga en dat ze hun en mijn tijd verspillen door met mij te praten. En als ze vragen bij wie ze dan wel moeten zijn, krijgen ze te horen dat ik die informatie niet mag verstrekken.

Kom op zeg, als je écht bij dat bedrijf werkt (het zijn altijd bedrijven waar ik op z’n minst van heb gehoord), dan ben je ook in staat om de juiste ingang te vinden. Dan hoef je niet LinkedIn-profielen af te struinen op zoek naar een interessante prooi. Want bij sommige van deze contactpogingen, die overigens ook vaak via e-mail verlopen, herken ik letterlijk elementen uit mijn LinkedIn-profiel. Ik heb dat profiel zojuist aangescherpt. Er stond al jaren in dat je alleen vriendjes mag worden als je mij eerder in het echt hebt ontmoet of als je een collega bent. Nu heb ik daar expliciet bij gezet dat ik de uitnodiging anders afwijs, en de reden daarvoor staat er ook bij: LinkedIn wordt nogal eens gebruikt voor phishing. Dan wil iemand eerst connectie te maken, om je daarna subtiel uit te horen. Misschien is hij niet eens geïnteresseerd in jou, maar in je contacten. Of hij gebruikt de connectie met jou om bij zijn échte doelwit goed voor de dag te komen: als iemand je een uitnodiging stuurt, dan zet LinkedIn daar heel handig bij welke contacten je gemeen hebt met de nieuwkomer. Dat kan je het (soms valse) gevoel geven dat iemand betrouwbaar is.

Ook dit soort contactpogingen zie ik regelmatig: “Hi Patrick, I’m working with Senior IT leaders on a Private Online Roundtable surrounding Security, IoT and Transformation to name a couple of topics. Our directors would love your expertise, I would like to offer you a complimentary invitation to join us in June! Can I send the agenda please?” Ze doen er in zo’n tekstje alles aan om jou belangrijk te maken: Senior IT leaders, Private Roundtable, our directors. De jongedame die me deze uitnodiging vanuit Londen stuurde, heeft in haar profiel als functie staan: Connecting IT Leaders together across the Benelux region. Teksten als “Jij en ik zitten allebei in de informatiebeveiliging, zullen we linken?” zijn ook heel gebruikelijk. En een zeer ruime negentig procent van al deze contactpogingen zal gewoon legitiem zijn, daar twijfel ik niet aan. Maar om die fractie mogelijk foute contacten buiten de deur te houden, én omdat ik er weinig mee te winnen heb, wijs ik ze af. Daarmee bescherm ik niet alleen mezelf, maar ook mijn contacten. En dat zouden meer mensen moeten doen.

Een paar mensen hebben zojuist een contactverzoek van mij ontvangen. Want terwijl ik naar de inkomende contactverzoeken zat te kijken, toonde LinkedIn natuurlijk ook een heleboel mensen “die u misschien kent”. Als je daar doorheen scrolt, denk je soms toch onwillekeurig: “Hé, had ik die nog niet?”

  

En in de grote boze buitenwereld …

• kun je malware tegenwoordig ook detecteren aan de hand van elektromagnetische golven.
• ontdekte een onderzoeker een ernstige kwetsbaarheid in Linux, die ook gevolgen heeft voor Android.
• heeft de politie acht (!) jongelui opgepakt wegens het middels bankhelpdeskfraude oplichten van een bejaarde Apeldoorner.
• vallen Oekraïense hackers alleen militaire doelen in Rusland aan, zeggen ze.
• kun je natuurlijk ook slimme speakers hacken, en daardoor worden ook andere apparaten en diensten kwetsbaar.
• wil de overheid ons weer eens aan een digitaal paspoort helpen.
• krijgen nieuwe auto’s een paar verplichte snufjes waar privacyvragen over worden gesteld.
• worden ook Kamervragen gesteld naar aanleiding van het privacyrapport over Microsoft Teams, OneDrive en SharePoint.
• volgen tal van Nederlandse websites je ook zonder cookies.
• kun je nu nalezen waarom de antivirussoftware van het Russische bedrijf Kaspersky Lab in 2018 door de overheid in de ban werd gedaan.