 |
| Afbeelding via Unsplash |
Op
Schiphol mag je waterflesje gewoon mee door de security. In Houston moet je je
schoenen uitdoen. In Vancouver moet je het zakje met vloeistoffen uit je
handbagage halen, en in Honolulu moet ook al je elektronica uit de tas. In
tegenstelling tot elders moet je rolkoffertje in Tokyo juist niet in een bakje,
maar los worden doorgelicht. In Singapore mag je met je EU-paspoort naar de
snellere rij, met doe-het-zelf paspoortcontrole. En in Dubai moet ook je
horloge af. En de ijzeren rookworst – tja, dat is een geval apart.
Ik heb
deze zomer een flinke reis gemaakt met mijn gezin. En dan moet je nogal eens
door de molen van de vliegveldcontroles heen voordat je in je stoel zit.
Eerlijk gezegd weet ik niet of ik hierboven de juiste regels aan de juiste
vliegvelden heb toegedicht; alleen Schiphol en Singapore weet ik nog zeker.
Waar het om gaat is dat er nogal wat verschillen zijn. En daardoor weet je als
gelegenheidsvlieger nooit waar je aan toe bent. Wat moet er allemaal los op de
band? Mag ik m’n schoenen aanhouden? Ga ik aan de andere kant iets vergeten,
doordat alles verspreid is? En dat onder de vaak norse blikken van het
controlerend personeel (er zijn gelukkig ook uitzonderingen) en de druk van de
reizigers achter je, die óók snel door deze hel willen en hun kousenvoeten weer
willen schoeien, hun broek weer met hun riem willen vastzetten en hun rugzak
willen omhangen.
Hoe
makkelijk zou het toch zijn als de procedures en regels overal hetzelfde waren.
Als je vooraf wist waar je aan toe bent. Ik moet dáár mijn paspoort laten zien,
dáár willen ze de instapkaart inspecteren, ik hoef m’n schoenen niet uit te
trekken en ik hoef niets uit te pakken. Wel de broekriem af, want een metalen
gesp laat het poortje afgaan. Dat soort eenvoudige regels, die je al bij het
boeken van je vlucht krijgt voorgeschoteld, zouden de doorstroming op menig
vliegveld kunnen bevorderen en de reizigersstress kunnen verminderen. Hetzelfde
geldt overigens voor zaken die niet aan security gerelateerd zijn, zoals
hoeveel handbagage er nou precies mee mag (dat verschil op z’n minst per
vliegtuigmaatschappij, type vliegtuig en de geboekte klasse), de
incheckprocedure en de stoeltoewijzing: soms vooraf zelf kiezen tegen (forse)
betaling, soms bij het inchecken nog aan passen, soms word je als gezin
schijnbaar opzettelijk over het hele vliegtuig verdeeld (had je maar stoelen
moeten kopen).
Hoe
doen we het wat dat betreft in de informatiebeveiliging? Weet je als gebruiker
vooraf altijd precies waar je aan toe bent? Of word je daar ook steeds door
andere regels verrast? Laat ik gemakshalve bij mezelf beginnen. Het zal je niet
verbazen dat ik zelden tegen onverwachte regeltjes oploop. Ik kén de
regelgeving, heb er vaak zelf aan bijgedragen. Als ik ergens niet verder kom,
snap ik waarom dat zo is en weet ik wat me te doen staat. Maar nu jij, als
‘gewone’ gebruiker (als in: geen security-professional). Je maakt gebruik van
verschillende systemen. Bij het ene hoef je helemaal niet in te loggen, bij het
volgende gebeurt dat vanzelf (single sign-on), bij weer een ander systeem moet
je inloggen met je Windows-wachtwoord en dan zijn er ook nog systemen waarvoor
je een apart wachtwoord hebt. Bij systemen, waarmee je dagelijks werkt, weet je
het wel. Maar als je ergens maar sporadisch komt, vind je het misschien wel
vreemd als om je Windows-wachtwoord wordt gevraagd. Is dat wel pluis? Ja, het
is pluis, voor zover het een intern systeem of een interne applicatie betreft.
Kort uitgelegd: ze zijn aangesloten op de gebruikers-administratie van Windows
(de zogeheten Active Directory), vandaar dat ze om je Windows-wachtwoord
vragen. Als een extern systeem om je Windows-wachtwoord vraagt, dan is dat
natuurlijk niet pluis! Het lastige is dan weer dat je soms niet weet of een
systeem intern of extern is. Bijvoorbeeld bij die app die je voor je werk
gebruikt.
Soms
wil je naar een website en mag je daar niet heen. Andere mag je gewoon
bezoeken. Daar zit een systeem van categorieën achter. Onze leverancier struint
het hele internet af en stopt elke website in een of meerdere categorieën, bijvoorbeeld
government, education, gambling of pornography. Als organisatie stel je in
welke categorieën je wilt blokkeren. Als normale internetgebruiker zul je niet
vaak tegen blokkades aanlopen; voor gokken of porno, en nog een paar andere
categorieën, moet je echter elders zijn.
Wellicht
zijn er meer situaties waarin je denkt: dat zou wel wat eenduidiger mogen. Daar
ben ik benieuwd naar.
Bij
het scannen van mijn handbagage op Schiphol zei de controleur: “Ik heb nu iets
gezien wat ik nog nooit eerder heb gezien. Het lijkt wel een ijzeren
rookworst.” De koffer moest natuurlijk open en de boosdoener kwam aan het licht:
een telefoonhouder voor op het dashboard van de huurauto. Die houder bestaat
uit een plateau, waar de eigenlijke houder met een zuignap op staat. Het geheel
staat los op het dashboard en moet natuurlijk voldoende gewicht hebben om niet
te gaan schuiven. Daarom zit er een U-vormig gewicht in. Dat er dus op de scan
uitziet als een ijzeren rookworst.
En in de grote boze buitenwereld …
- hebben Wit-Russische hackers tien jaar lang buitenlandse diplomaten bespied.
- hebben onderzoekers stiekem honderd uur lang over de schouders van hackers meegekeken.
- zijn de gegevens van miljoenen Britse kiezers gehackt.
- heeft de Noord-Ierse politie per ongeluk haar complete personeelsbestand online gezet.
- stellen de meeste DDoS-aanvallen niks voor.
- heeft James Bond er weer een nieuwe manier bij om je te bespioneren.
- werkt gezichtsherkenning in tv-series beter dan in het echt.
Geen opmerkingen:
Een reactie posten