Bromvlieg

 

Afbeelding via Pixabay

“Dikke bromvlieg optimistisch over 160^e poging om door het raam heen te beuken”, meldde de satirische website DeSpeld deze week. Op sommige momenten voel ik een grote verwantschap met dat insect.

Heb je dat ook wel eens, dat iets wat voor jou zonneklaar is door een ander niet wordt begrepen? Dat je er niet bij kunt dat ze dat niet snappen? Ik zit trouwens ook wel eens aan de andere kant hoor, bijvoorbeeld als de kinderen pret hebben om “Hey Marco, prima!” en ik geërgerd vraag waar ze het in hemelsnaam over hebben (Google maar als je het per se wilt weten).

Als ik echter aan de verbaasde kant van snappen-ze-dat-nou-echt-niet sta, dan is het toch een ander verhaal. En dan is het de kunst om professioneel te reageren, of het nou in je privéleven of in je werk is. Een voorbeeld van dat eerste heb ik tweemaal meegemaakt toen de kinderen op de middelbare school kwamen en daar wiskunde kregen. Ik hielp ze wel eens met wiskunde, en bij het behandelen van eenvoudige vergelijkingen kwam ik erachter dat ze geen flauw idee hadden wat een variabele nou eigenlijk is. Hun glazige blikken toen ik zei: “Als je nou eens 2 invult voor x…” spraken boekdelen. Dan moet je jezelf even resetten, in de stand ‘back to basics’ gaan en woorden vinden om iets uit te leggen wat voor jou volledig vanzelfsprekend is. In de tussentijd vraag ik me dan overigens wel af hoe het kan dat zoiets de docent kennelijk totaal ontgaat. Het helpt trouwens als je zo’n situatie eerder hebt meegemaakt – bij het tweede kind herkende ik snel wat er aan de hand was en was ik niet eens meer verbaasd.

Maar vooral in mijn werk voel ik me soms wel eens als de bromvlieg, die probeert om door dubbelglas heen te beuken. Wat dan niet helpt, is een extra aanloop nemen en in volle vaart opnieuw tegen die ruit opknallen. Die vlieg snapt dat niet. Ik wel. En daarom ga ik op zoek naar een ander raam, dat misschien open staat. Dat kost weliswaar extra tijd en moeite, maar het biedt wel perspectief op het bereiken van mijn doel.

Je moet van beide kanten open staan voor dit verschijnsel. Gisteren zat ik in een overleg over hoe we met de BIO (Baseline Informatiebeveiliging Overheid) moeten omgaan in een bepaald project. Na een tijdje realiseerde ik me dat een van de deelnemers misschien helemaal niet weet wat die BIO inhoudt. Daarom heb ik het hem gevraagd. In dit geval was hij uitstekend op de hoogte, maar het kan ook voorkomen dat iemand helemaal afhaakt omdat hij niet weet waar je het over hebt. Aan de andere kant: als iemand over iets praat wat je niet kent, of een afkorting gebruikt die jou niks zegt, vraag er dan naar. Er bestaat immers maar één domme vraag: de vraag die niet werd gesteld.

Ik worstel al een tijdje met wachtwoorden. Om de haverklap kom ik collega’s tegen die – ongetwijfeld met de beste bedoelingen – onveilig met wachtwoorden omgaan. Het gaat daarbij meestal om wachtwoorden die worden gebruikt bij het testen van informatiesystemen en het ene systeem toegang moeten verschaffen tot het andere (bijvoorbeeld om gegevens op te halen). Die tests worden vaak geautomatiseerd uitgevoerd, soms in het holst van de nacht. Nou zijn er technieken om ervoor te zorgen dat die wachtwoorden in een digitale kluis staan, waar ze door het desbetreffende proces uit gehaald kunnen worden. Komt geen mens aan te pas. En geen mens kent die wachtwoorden, want ze zijn automatisch gegenereerd en daarna meteen versleuteld opgeslagen in die kluis. Klinkt degelijk, nietwaar?

Helaas zijn er teams die dit niet kunnen of willen toepassen. Die dan zeggen: wij willen het wachtwoord in klare taal hebben, dan stoppen we het wel in de password manager van ons team en dan kunnen we erbij als het nodig is. En dan ben ik toch even die bromvlieg die denkt: hoe kan het dat ze niet snappen dat wachtwoorden voor de koppeling tussen systemen niet bij ménsen bekend horen te zijn? Maar zo simpel ligt het natuurlijk nooit. Er zijn altijd wel goede redenen om het niet zus maar zo te doen. En als iets werkt, dan is er doorgaans weinig animo om daar iets aan te veranderen. Maar, zeg ik dan: zet je raampje open om de bromvlieg erdoor te laten. Dat levert een win/win-situatie op: vlieg blij, jij blij. En het wordt weer een stukje veiliger. Ook al is het ‘maar’ in de testomgeving. Die trouwens productie-like zou moeten zijn…

Volgende week verschijnt er geen Security (b)log.

 

En in de grote boze buitenwereld …

• mogen online platforms, zoals Google en Amazon, hun Europese gebruikers straks niet meer manipuleren.
• biedt Google ons binnenkort een soepelere cookiewall.
• trackt die iOS-app jou misschien toch nog gewoon.
• regel je privacy liefst voordat er kritische vragen komen.
• maakte men zich al in 1971 druk over de privacy-aspecten van computergebruik.
• kun je even geen datalekken melden.
• levert het vinden van zwaktes in de beveiliging van systemen een aardig zakcentje op.
• kan het ondoordacht invoeren van zero trust ertoe leiden dat beveiligingssystemen blind worden.
• waren patiëntendossiers, die in de cloud waren opgeslagen, door een DDoS-aanval urenlang onbereikbaar.

Wil niet kan niet

Afbeelding via Unsplash

Het motto van de in 2007 verschenen film K3 en de kattenprins luidt: kan niet bestaat niet. De Belgisch/Nederlandse meidengroep K3 heeft kinderen als doelgroep. Dat publiek roept thuis nog wel eens: “dat kan ik niet”. Maar als ze die film hebben gezien, dan kun je daar als ouder nog best wel lang gepast gebruik van maken.

Bij volwassenen kan dat wel eens wat moeilijker liggen. We zijn momenteel bezig met het invoeren van wat extra beveiligingsmaatregelen, die alle gebruikers raken. De ene maatregel houdt in dat je bij het opstarten van de laptop een extra code moet invoeren, de andere dat Webex (ons videovergadersysteem) wordt voorzien van multifactorauthenticatie (waarover later meer). Voor het beproeven van die extra opstartcode werd een pilotgroep in het leven geroepen. Dat heeft enkele uitgesproken reacties opgeleverd: Dat kan ik niet! Ik wil daar niet aan meedoen! Ik ga bijna met pensioen! Ik heb het geheugen van een goudvis, ik vergeet die code meteen weer! Ik heb hier geen tijd voor!

Hiernaast zie je de Kunnen/Willen-matrix van arbeidsdeskundige Hanneke Tijken. Die matrix verdeelt de mensheid heel overzichtelijk in vier groepen, op basis van of zij iets kunnen en of zij dat ook willen doen. Mensen, die bijvoorbeeld kunnen solderen en dat ook graag willen, kun je prima inzetten voor een soldeerklus. Als iemand wel kan solderen, maar daar geen zin in heeft, kun je hem misschien overtuigen om het toch maar te doen. Weer anderen, die het wel graag zouden willen doen, maar nog niet kunnen solderen, kun je een cursus laten volgen. Linksonder in de matrix heb je een probleem. Daar zitten de mensen die het niet kunnen en er ook totaal geen zin in hebben. Om deze mensen aan het solderen te krijgen, zou je een onevenredig grote inspanning moeten leveren. Daarom staat in dat kwadrant ietwat pessimistisch het woord ‘verloren’: als budget en tijd beperkt zijn, besteed die dan maar liever elders, is de boodschap.

Deze matrix kun je ook toepassen op informatiebeveiliging. Want ook daar hebben we te maken met mensen die iets wel of niet willen en mensen die iets wel of niet kunnen. Soms dénken mensen alleen dat ze iets niet kunnen, en het niet willen kan gebaseerd zijn op onvolledige informatie. Als je kunt uitleggen waarom iets nodig is, dan kun je die mensen daarmee over de streep trekken. Net zoals je mensen met een tip, truc of cursus iets kunt bijbrengen.

De collega’s, van wie bovenstaande citaten afkomstig zijn, zitten in ieder geval niet in het kwadrant rechtsboven. Je ziet zowel niet kunnen-uitspraken als niet willen-uitspraken. Bij sommige uitspraken zou je kunnen vermoeden dat ze en niet kunnen, en niet willen. Maar ik wil niemand op basis van een vaag vermoeden als verloren beschouwen. Ik maak me al jaren sterk om iedereen binnenboord te houden. En juist met de aanstaande wijzigingen is dat van groot belang, want die gaan toch echt door.

Waar sta jij in die matrix? Vooral voor de mensen linksboven wil ik graag uitleggen wat er aan de hand is. De eerste aanpassing, de extra opstartcode, is nodig omdat uit onderzoek is gebleken dat de beveiliging van onze laptops toch niet zo goed is als we jarenlang dachten. Dat wordt met deze aanpassing hersteld, zodat onze zakelijke gegevens óók veilig zijn als jouw laptop door verlies of diefstal in verkeerde handen terechtkomt. De tweede aanpassing heeft ermee te maken dat we binnenkort via Webex niet alleen videovergaderen, maar er ook mee gaan chatten, bestanden delen en whiteboards volkliederen. Videovergaderen is vluchtig: wat je daar hoort en ziet is meteen weer weg. Chats, gedeelde bestanden en whiteboards worden echter opgeslagen, en wel buiten ons eigen datacenter. We moeten extra maatregelen treffen om de vertrouwelijkheid van die informatie te waarborgen. We willen zeker weten dat jij het bent als iemand met jou user-id wil inloggen en dat doen we dus met multifactorauthenticatie: de eerste factor is je wachtwoord, de tweede is een app op een mobiel apparaat, die steeds weer nieuwe codes genereert. Bij het inloggen moet je de code invoeren die de app op dat moment toont. Elders lopen die codes op een systeem mee en zo kan vergeleken worden of bij het inloggen een code wordt gebruikt die overeenkomt met de code op jouw apparaat. Op deze wijze log je in op basis van iets wat je weet (je wachtwoord) en iets wat je hebt (het mobiele apparaat met de aan jou gekoppelde app): multifactor! Het totale proces van controleren of jij het ook echt bent, heet authenticatie.

De pilot heeft ook positieve reacties opgeleverd. De mooiste vind ik deze: “Het is me erg meegevallen, het duurde maar vijf minuutjes!” En ik verwacht eigenlijk dat de grootste groep gebruikers straks gewoon een keer zucht en het daarna voor lief neemt.

Ten slotte nog een inspirerende uitsmijter. Op het gemeentehuis van Vaals kun je de volgende Latijnse spreuk lezen:  nil volentibus arduum. Dat betekent zoveel als: niets is te moeilijk voor hen die willen.

 

En in de grote boze buitenwereld …

• heeft John Oliver kennelijk de Security (b)log van vorige week gelezen en een programma over de handel in onze gegevens gemaakt.
• is Duitsland positief over een nieuwe Google-knop waarmee je alle cookies kunt afwijzen.
• heeft de Belastingdienst een fikse privacyboete gekregen voor het bijhouden van een zwarte lijst.
• kunnen je gegevens en processen in de cloud zomaar even niet beschikbaar zijn.
• verplicht een ‘Bestel nu’-knop je nergens toe.
• kaapt deze malware jouw telefoontje naar de klantenservice van je bank.
• heeft het Europese Parlement ingestemd met nieuwe regels voor gegevensuitwisseling met landen buiten de EU.
• willen ook chat-apps steeds weer geüpdatet worden.
• bood een Duitse hostingprovider zijn klanten een waardebon van twintig euro voor het verlies van gegevens.
• liggen je Legoblokjes mogelijk op straat.

 

Cookies

 

Afbeelding via Pixabay

American chocolate chip cookies vind ik erg lekker. Grote stukjes chocola in een knapperig koekje gaan er bij mij in als, eh, zoete koek (maar wel met mate natuurlijk). Een heel ander verhaal wordt het als je de eerste drie woorden weglaat: dan blijven cookies over en die associeer ik eerder met lastige vliegen dan met een lekkernij.

De advertentie- en marketingbranche – en vooral haar opdrachtgevers – hebben ook recht op een goed belegde boterham. Want wij gebruiken met z’n allen allerlei ‘gratis’ diensten op het internet, maar de leveranciers van die diensten kunnen natuurlijk ook niet leven van lucht. Ze verdienen geld door hun diensten vergezeld te doen gaan van reclame. Dat moeten we ze dus ook gunnen. Om die reclame te organiseren worden cookies gebruikt. Zo’n cookie is een bestand dat op jouw computer of mobiel apparaat wordt gezet en dat informatie vastlegt over het contact met jou; met andere woorden, de relatie tussen jouw gedrag en jouw apparaat wordt vastgelegd.

Helaas worden er ook minder frisse praktijken toegepast om nóg meer geld te verdienen. Om hier meer over te weten te komen had ik een gesprek met collega Hans van Buuren, solution architect interaction en gespecialiseerd in dit onderwerp. De rode draad door ons gesprek was profilering. Het is voor adverteerders van groot belang dat ze begrijpen waar onze interesses en behoeftes liggen. Van een aanbieding op luiers word ik al jaren niet meer warm, maar als ik toevallig aan een nieuwe telefoon toe ben en je stuurt me een geweldige aanbieding, dan heb je mijn aandacht. Met andere woorden: ongerichte reclame levert veel minder omzet op dan een goed getimede advertentie aan het juiste adres.

Maar juist het profileren is wat ons vaak een wrange smaak in de mond geeft. ‘Ze’ weten erg veel van ons en die cookies zijn hardnekkig. De meesten van ons klikken bij een cookie-wall (de ‘muur’ die jou scheidt van de informatie die je wilt zien) sowieso snel op “ja doe maar” om verder te kunnen. Als je bij zo’n cookie-wall aangeeft dat je niet zomaar akkoord gaat, dan horen alle soorten cookies standaard uit te staan en kun je ze desgewenst stuk voor stuk aanzetten. Bovendien moet je de mogelijkheid hebben om achteraf op je besluit terug te komen. Je geeft geen eeuwigdurende toestemming aan zo’n website.

Tot zover is er nog niet zoveel aan de hand: je bezoekt webwinkel A, ze weten welke producten je hebt bekeken en spammen je de komende tijd met reclame voor soortgelijke producten. Maar vaak blijft het niet bij zo’n 1-op-1 relatie. Er is namelijk een levendige handel in profielen. Webwinkel A verkoopt dan informatie over jou aan andere partijen. Zodoende ontstaat een veel breder beeld van hetgeen jij online allemaal doet. Daarvoor worden ook zogenaamde third-party cookies gebruikt: die worden niet beheerd door webwinkel A, maar door een derde partij: advertentiebedrijven als Facebook en Google. Deze wat kruimelige cookies worden soms ergens verstopt, waardoor ze achterblijven als jij je cookies weggooit. Maar ze staan in een kwaad daglicht en daarom hebben al diverse browsers de third-party cookies in de ban gedaan, en zelfs Google stopt er dit jaar mee. Snijden ze zich daarmee in het eigen vlees? Nee hoor, ze hebben gewoon iets nieuws bedacht waardoor ze én hun eigen positie op de advertentiemarkt verstevigen, én geen last meer hebben van die vervelende privacywetgeving.

Niet alleen cookies zeggen iets over jou, maar ook de dingen die je op social media zet. Social media lezen dan ook alles wat jij schrijft en leggen allerlei verbanden. Dat gebeurt allemaal geautomatiseerd en wordt onder andere gebruikt om je met nieuwe informatie te voeden die in jouw straatje past. Op die manier kun je verslaafd raken aan zo’n medium – ze bevestigen jouw gedrag en worden daardoor je beste vriend. Dat kan vervolgens ook tot tunnelvisie leiden. Dat zie je bijvoorbeeld bij complotdenkers, die steeds maar meer soortgelijke informatie krijgen voorgeschoteld en dan vast komen te zitten in een bepaald beeld.

Ik vroeg Hans of marketeers mensen zonder scrupules zijn. De gemiddelde marketeer is niet zo hard, maar ze realiseren zich ook lang niet altijd dat het aanbod “ik kan jou zestigduizend cookies verkopen” eigenlijk betekent dat er evenzoveel mensen over de toonbank gaan. Uiteindelijk gaat de opbrengst van de reclame toch boven de privacy van het individu. Nog een tip van Hans: met een adblocker in je browser houd je opdringerige advertenties buiten de deur.

Eens in de zoveel tijd gaan we over de grens boodschappen doen. In de Duitse supermarkt kopen we dan American chocolate chip cookies, made in the Netherlands. Maar dat weet verder niemand. Ook Google niet.

 

En in de grote boze buitenwereld …

• verblijdt Google ons met een privacy-gids voor Chrome.
• worstelen juristen met de term social media.
• praten de EU en de VS weer over de doorgifte van persoonsgegevens.
• horen ook (of liever: juist) ministers zich aan beveiligingsrichtlijnen te houden.
• geldt datzelfde ook voor burgemeesters.
• willen diverse politieke partijen dat het ministers verboden wordt om privé-mailaccounts te gebruiken.
• heeft de Duitse politie ‘s werelds grootste cybercrime-platform uit de lucht gehaald.
• zijn diverse woningcorporaties slachtoffer van ransomware-aanvallen geworden.
• werden twee Belgische luchthavens beboet wegens het temperaturen van reizigers.
• trappen nog steeds heel veel mensen in bankhelpdeskfraude.
• moet je slimme apparatuur vóór verkoop altijd resetten.
• wil de minister een proportionele toegang tot versleutelde gegevens voor opsporingsdiensten. Ik ben benieuwd hoe zo’n crypto-algoritme gaat begrijpen in welke situaties het ‘zwak’ moet worden.

 

 

Uitroeptekens

 

Afbeelding: ANWB

Tien jaar geleden schreef ik op vrijdag 13 januari iets over het fenomeen vrijdag de 13^e. Moet ik dan vandaag een ingenieuze 1-aprilgrap  bedenken? Nee, laat ik dat maar niet doen. Want ik kan wel lollig uit de hoek komen, maar het bedenken en uitvoeren van zo’n goeie grap laat ik toch graag aan anderen over. Zoals aan de HEMA, die vandaag de binnenstebuiten boxershort verkoopt: de onderbroek van vandaag én morgen.

U bent dus gewaarschuwd: het is 1 april. In het verkeer hebben we een speciaal verkeersbord om voor allerlei soorten gevaar te waarschuwen: de driehoek met rode rand en een stevig uitroepteken in het midden. Vroeger was dat trouwens geen uitroepteken, maar slechts een dikke verticale streep, zonder punt eronder – alsof het verboden was om een symbool te gebruiken dat iedereen gemakkelijk zou begrijpen. Net zoiets als dat tuinhekje dat waarschuwt voor overstekende treinen.

Maar dat allemaal terzijde, want zoals de titel aangeeft ga ik het vooral over uitroeptekens hebben. En dat heeft een reden. Ik deed namelijk onlangs een risicoanalyse en vroeg aan de aanwezigen welke maatregelen zij hadden getroffen om hun systeem tegen een bepaalde dreiging te beschermen. Weet je wat ze zeiden? We hebben er in de handleiding uitroeptekens bij gezet! Ik houd wel van dergelijke creativiteit. Men heeft kennelijk onderkend dat een bepaalde stap in de installatiehandleiding belangrijk is voor de beveiliging van het systeem en heeft daar aandacht voor gevraagd door het universele attentiesymbool te gebruiken. Terwijl dat simpele symbool, bestaande uit een streep en een punt, daar niet eens voor bedoeld is: volgens Van Dale is het slechts een “lees­te­ken dat ach­ter uitroepen, be­ve­len, aan­spra­ken en wen­sen­de zin­nen ge­plaatst wordt”. Oh wacht, misschien biedt “wensende zinnen” een kans. Ze bedoelen natuurlijk zinnen als “Van harte gefeliciteerd!”, maar als je “wensen” in een andere betekenis leest, dan kan deze ook: “Ik zou willen dat je hier de nodige aandacht aan besteedt!”

Kan dat wel, een uitroepteken als beveiligingsmaatregel? Ach, het zal allicht helpen. Maar het is natuurlijk een illusie dat zo’n karakter op zichzelf de veiligheid van een systeem zou kunnen bevorderen. Als een maatregel belangrijk is – of dat nu met beveiliging te maken heeft of met iets anders – dan moet je ervoor zorgen dat je zeker weet dat die maatregel geïmplementeerd is en werkt. De goede werking ervan monitor je, zodat er ergens een alarm afgaat als er iets mis is. Dat signaal wordt vervolgens geautomatiseerd of door een mens beoordeeld en zo nodig wordt er actie ondernomen.

Als alle zinnen in een tekst uitroeptekens bevatten, dan gaat de attentiewaarde ervan al gauw verloren! Net als bij die collega, die álle mailtjes met de markering ‘urgent’ verstuurt! Bovendien wekt het irritatie! Oké, je snapt mijn punt: teveel alarmpjes zijn niet goed omdat een mens nu eenmaal focus nodig heeft, waar bepaalde symbolen bij kunnen helpen, tenzij het er teveel worden. Het kan niet zo zijn dat álles superbelangrijk is. Om diezelfde reden werken wij bij een risicoanalyse met een boodschappenlijstje. Aan het einde van zo’n analyse krijg je natuurlijk een overzicht van alle risico’s met de bijbehorende zwaarte (in vijf stappen van ‘zeer laag’ tot ‘zeer hoog’), maar je krijgt ook een apart lijstje waar alleen de hoge en zeer hoge risico’s op staan. Want daar hoort je aandacht naar uit te gaan.

Het uitroepteken is ook een gewild object in wachtwoorden. We worden vaak gedwongen om naast hoofd- en kleine letters en cijfers ook ‘speciale tekens’ te gebruiken. Steek even je hand op als jouw wachtwoord voor zo’n account eindigt met een uitroepteken. Ah, ik zie het al: heel veel handen. In 2017 kopte de Washington Post boven een artikel: “You added ‘!’ or ‘1’ to your password, thinking this made it strong. Science says no.” Ondanks dat het artikel al vijf jaar oud is, zijn de tips nog steeds actueel. Een belangrijk kenmerk van een goed wachtwoord is dat het niet voor de hand ligt. Een uitroepteken aan het eind is voorspelbaar. Psst… in een wachtwoord mag je uitroepteken ook in het midden staan! Maar natuurlijk laat jij je wachtwoorden door een password manager genereren en die weet dat soort dingen.

Ondertussen zit ik hier onbedoeld naar kerstmuziek te luisteren. Sky Radio heeft z’n 1-aprilgrap namelijk een bijzondere twist gegeven. Gisteren kondigden ze aan dat ze ons vanwege de sneeuwval zouden trakteren op een soort inhaal-witte kerst. En dan denk je dus: haha, leuk, daar trap ik niet in. Maar ik zit nu dus serieus naar Last Christmas van Wham! te luisteren. Dat uitroepteken hoort trouwens gewoon bij de naam van de band.

 

En in de grote boze buitenwereld …

• kun je het niet uitvoeren van monitoring moeilijk wijten aan het desbetreffende systeem.
• zijn Europese instellingen niet goed voorbereid op grote cyberaanvallen.
• worden gehackte e-mailaccounts van de politie en overheidsdiensten gebruikt om in de VS persoonsgegevens op te vragen bij tech-bedrijven.
• vecht een Oekraïense IT’er met toetsenbord en muis tegen de Russen.
• vindt Google dat de dominantie van Microsoft bij de Amerikaanse overheid een bedreiging voor de veiligheid is.
• echoot Log4j nog na in VMWare Horizon servers.
• maakten criminelen honderden miljoenen buit bij een online game.
• is het onverstandig om wachtwoorden in een spreadsheet op te nemen.
• zijn wereldwijd 65 e-mailfraudeurs aangehouden in een internationale politie-operatie.
• betichten nepmails van Europol en de Koninklijke Marechaussee mensen van het bezit van kinderporno.
• moeten straks ook gratis diensten aan het consumentenrecht voldoen.
• gaat je Mercedes informatie over de weg delen met de overheid.