Creatieve oplossingen

 

Afbeelding via Pixabay

Professor Barabas was zo vriendelijk om zijn teletijdmachine aan mij uit te lenen. Ik neem je mee naar de jaren negentig van de vorige eeuw en we landen op het Walterboscomplex in Apeldoorn, destijds de enige locatie in deze plaats waar wij kantoor hielden. De beide hoge torens waren er nog niet, en de ondergrondse gangen evenmin – als je van het ene gebouw naar het andere wilde, dan moest je buitenom.

Het bedrijfsrestaurant, dat toen nog gewoon kantine mocht heten, stond op de plek waar nu toren H staat, naast gebouw G. De kantine had een tegelvloer en een schrootjesplafond; de schrootjes zaten een centimeter uit elkaar en daarboven zat zwart doek. Op een zeker moment werd dat plafond vervangen door een strak, gesloten plafond. Het zag er fris uit, maar had een vervelende bijwerking: de akoestiek van de kantine was enorm verslechterd. In de oude situatie werd het geluid deels geabsorbeerd door het open plafond, nu werd alles weerkaatst. De kantine was erg rumoerig geworden en dat was bepaald niet prettig.

Een tijdje later werd de vloer voorzien van tapijttegels. Ik weet eigenlijk niet of dat een akoestische maatregel was of dat deze aanpassing sowieso in de planning zat, maar ik heb altijd het vermoeden gehad dat men hiermee de aangerichte schade wilde compenseren. Het probleem, dat werd veroorzaakt door de aanpassing van het plafond, werd op de vloer opgelost. En het werkte. Alleen: hoe handig is dat, tapijttegels in een kantine? Gemorste tomatensoep op een tegelvloer is geen probleem. Op tapijt wordt het een lelijke vlek.

Terug naar het recente verleden. Afgelopen zomer was het soms erg warm. Zo warm, dat de apparatuur in een technische ruimte op onze verdieping het erg benauwd kreeg. Dergelijke ruimtes zijn voorzien van extra toegangsbeveiliging – alleen met de juiste autorisatie op je pas kun je de deur openen. Maar omdat smeltende apparatuur ook niet zo’n goed idee was, had men een mobiele airco laten aanrukken en die in de deuropening gezet. De warme lucht uit de technische ruimte werd de kantoorruimte ingeblazen. Probleem opgelost. Toch?

Aanhangers van out-of-the-boxdenken vinden die tapijttegels en die airco misschien geweldig. Ikzelf neig er toch meer naar om problemen daar op te lossen waar ze ontstaan. Slechte akoestiek door een gesloten plafond? Doe iets aan het plafond. Oververhitte technische ruimte? Zorg voor koeling in die ruimte. Zeker als een outside-the-boxoplossing (dat schijnt beter Engels te zijn) vervelende bijwerkingen heeft, zoals een vlekkerige vloer in de kantine. Of wat dacht je van het doorbreken van de beveiliging van een technische ruimte, in combinatie met het nog wat verder opstoken van een kantoorruimte waarin het toch al behoorlijk warm was?

Als de ideale oplossing niet snel beschikbaar is, dan snap ik dat voor een alternatief wordt gekozen. Maar als je daarmee nieuwe risico’s introduceert, dan moet je daar compenserende maatregelen tegenoverstellen. Ooit, op dat oude Walterboscomplex, werd het ook een keer te heet. Toen werden de deuren van het rekencentrum opengezet, en bij iedere deur werd een beveiliger neergezet. Bij de open deur op onze etage zat niemand. Dat ze dat nou net moesten doen op de plek waar het securityteam zit…

Soms ontkom je er niet aan om problemen ergens anders dan bij de bron op te lossen. Stel, jouw organisatie wil gegevens in de cloud zetten. Maar omdat dat toch de computer van iemand anders is, zie je ongeautoriseerde toegang tot jouw gegevens als risico, onder andere door die fijne Amerikaanse wetgeving én het feit dat je bijna per definitie zaken doet met de VS als je naar de cloud gaat. Dan kun je maar één ding doen: je gegevens zodanig beschermen, dat iemand die er de hand op weet te leggen er niks aan heeft. Versleutelen dus, en wel zodanig dat niemand behalve jouw organisatie de sleutel heeft. Als de cloudleverancier de sleutel niet heeft, kan hij hem ook niet afgeven, al wordt een overheid of opsporingsdienst nog zo boos.

Zelf je sleutel beheren maakt de zaak een stuk complexer en dan krijg je ook nog eens minder waar voor je geld, omdat de cloudleverancier bepaalde functionaliteit niet kan leveren, doordat hij de gegevens niet kan lezen (te denken valt aan allerlei statistieken die best interessant zouden kunnen zijn voor jouw organisatie). Als je het allemaal zelf doet en minder functies krijgt, zal dat wel in de prijs schelen, hoor ik je denken. Klopt, maar dan precies de verkeerde kant op: het wordt schrikbarend duurder, hebben we in een recente aanbesteding ervaren.

Nog even over dat Walterbos. Dat schrijf je dus zo. En niet Walter Bos, of zelfs (echt gezien!) Wouter Bos (voormalig staatssecretaris en later minister van Financiën). Meneer Walter was notaris te Apeldoorn en liet een bos aanleggen. Dat werd dus het Walterbos. De naastgelegen school hanteert de spelling Walterbosch, maar wij stoppen bij de s.

Mogelijk verschijnen er de komende weken geen of minder Security (b)logs in verband met een conferentie en vrije dagen/vakantie.

En in de grote boze buitenwereld …

• doen de grote cloudleveranciers onder politieke druk meer aan security.
• heeft Apple stiekem jouw privacy-instellingen aangepast.
• kun je niet alles zorgeloos verspreiden wat ChatGPT je influistert.
• moeten beleidsmakers misschien eens op dienstreis naar China, om daar te leren hoe we niet met biometrie willen omgaan.
• geeft Facebook toe aan de druk van regeringen en ziet desinformatie door de vingers.
• heeft (uitgerekend) TikTok een desinformatienetwerk blootgelegd.
• doet datzelfde TikTok niets tegen een account dat willekeurige mensen doxt.
• zijn bezorgrobots ook heel handig voor de politie, want ze filmen hun omgeving non-stop.
• toont Bing Chat giftige advertenties.
• is een zero day-kwetsbaarheid een dringende aanleiding om je software te updaten.
• zijn sommige zero day’s erg veel geld waard.
• bepleiten sommige Europese landen het toestaan van spyware op telefoons van journalisten.
• moet je als cybercrimineel natuurlijk wel je eigen informatiebeveiliging op orde hebben.
• heeft de Oekraïense overheid een rapport over de cybertactiek van Rusland gepubliceerd.