De drie biggetjes

Afbeelding via Pixabay

Er waren eens drie biggetjes, die de wijde wereld in trokken en daar elk een eigen huis bouwden. Het eerste biggetje maakte zich er gemakkelijk van af en bouwde een huis van stro. Het tweede bouwde een wat steviger houten huis, terwijl het derde zich uitsloofde en een solide stenen huis metselde.

Je kent dit sprookje waarschijnlijk wel, maar voor de volledigheid maak ik het nog even af. De grote boze wolf had trek in een karbonaadje en blies het huisje van stro omver, waarna hij de bewoner verslond. Na een tijdje had hij weer honger en belde hij aan bij het houten huis. De bewoner zag via z'n slimme deurbel wie er voor de deur stond en deed niet open. De wolf haalde heel diep adem en wist ook dit bouwsel omver te blazen. Ook biggetje nummer twee werd met huid en haar verorberd. En zoals dat in sprookjes nu eenmaal gaat, was niet lang daarna ook het derde huis aan de beurt. De bewoner, die de wolf al via z'n beveiligingscamera's had zien aankomen, deed natuurlijk niet open. Toen de wolf merkte dat hij dit stevige huis onmogelijk omver kon blazen, klom hij op het dak en liet zich door de schoorsteen naar beneden glijden. Het biggetje was zich echter bewust van deze kwetsbaarheid en had maatregelen getroffen: onderaan de schoorsteen stond een pan kokend water klaar. Wolf erin, deksel erop, en het biggetje leefde nog lang en gelukkig.

De wolf en de drie biggetjes is een Engels sprookje uit de 19e eeuw en heeft een duidelijke boodschap: wie goed z'n best doet, komt beter uit de strijd. Ik verbaas me altijd over de gruwelijkheden waarmee sprookjesschrijvers destijds kinderen bestookten, maar het zal wel de tijdgeest geweest zijn. Het sprookje gaat echter niet alleen over ijver, maar ook over bedreigingen. "Kijk uit, kinderen, er loeren allerlei gevaren op jullie! Hoe beter je je daartegen wapent, hoe groter de kans dat je er zonder kleerscheuren van afkomt."

Ik ben parttime sprookjesverteller. Niet alleen elke vrijdagochtend, als ik deze blog schrijf, maar soms ook tijdens mijn andere werkzaamheden. Net als de onbekende bedenker van bovenstaand sprookje wijs ook ik mensen op bedreigingen en laat ik ze maatregelen implementeren om risico's te verkleinen. Meestal met zakelijke taal en een technische inslag, maar soms veroorloof ik me een verhaal om iets duidelijk te maken. Een van mijn favoriete verhalen is dat van Joost Tonino, voormalig officier van justitie te Amsterdam. Mr. Tonino had zijn met een virus besmette privécomputer als grofvuil op straat gezet, maar een taxichauffeur was de vuilniswagen voor en leverde de pc af bij Peter R. de Vries. Er bleken vertrouwelijke zakelijke gegevens én kinderporno op te staan. Einde carrière als OvJ. Dit verhaal vertel ik als we het tijdens risicoanalyses hebben over het onzorgvuldig weggooien van gegevensdragers. Maar ook in andere situaties haal ik er graag een anekdote of metafoor bij om iets uit te leggen.

Gisteren mocht ik aanschuiven bij een afdelings-MT om het over de naleving van bepaalde regels te hebben. Het ging erom dat die afdeling vaak verzoeken van een andere afdeling ontvangt om iets te doen wat strijdig is met het beveiligingsbeleid. Ze willen dan een ontheffing om dat toch voor elkaar te krijgen, omdat hun systeem anders niet kan functioneren. Als we hen erop wijzen hoe het eigenlijk moet, zeggen ze soms: "Dat kan niet op ons systeem!" Als ze echter de tijd nemen om er serieus naar te kijken, dan blijkt het wel degelijk te kunnen, al moeten ze er soms een beetje moeite voor te doen. Ach, het zijn net kinderen. Die roepen ook vaak dat ze iets niet kunnen, terwijl ze het nog nooit geprobeerd hebben. En als ze het dan, na wat aansporing, toch blijken te kunnen, zijn ze daar apetrots op.

En zo proberen informatiebeveiligers constant het gedrag van mensen zodanig te beïnvloeden dat ze binnen de lijntjes blijven kleuren. Dat gebeurt langs de formele weg - beleid, standaarden, instructies - maar ik zet liever in op bewustwording. Want als ik het voor elkaar krijg dat je begrijpt waarom je iets moet doen of laten, als je snapt dat jij of de organisatie anders risico's lopen, dan zul je eerder bereid zijn om de juiste afslag te nemen.

We zitten nog midden in de cybersecuritymaand. Er zijn dus nog steeds allerlei activiteiten onder de vlag van alert online gaande. Maak er gebruik van en laat zien dat je ook actief aan je beveiligingsbewustzijn werkt.

Met dank aan Wendie voor de inspiratie.

 

En in de grote boze buitenwereld …

• schakelt de politie Frans Bauer in voor de strijd tegen vriend-in-noodfraude.
• trappen ook jongeren in phishing.
• kan een crimineel je natuurlijk ook gewoon bellen en vragen om malware te installeren.
• maken criminelen misbruik van de energiecrisis.
• is het Centrum voor Veiligheid en Digitalisering in Apeldoorn geopend.
• controleren sociale media niet of je echt meerderjarig bent.
• vormt spyware in bepaalde landen een serieus probleem voor journalisten.
• geeft deze website tien lessen over hoe fraude werkt (maar die lessen doen het niet op mijn iPad).
• is de Belastingdienst bij sommige criminelen wél populair.
• moet het kabinet daar tekst en uitleg over geven aan de Tweede Kamer.
• log je met passkeys zonder wachtwoord in op websites.