 |
| Afbeelding via Pixabay |
Weet
je nog dat kasteel waar ik vorige week over schreef? Waar ze niemand vertrouwden, omdat ze ervan
uitgingen dat de vijand al binnen de muren van het kasteel zat? Ik ben eens in
de omgeving gaan rondlopen, en wat blijkt? Een eindje verderop staat nog een
kasteel. En daar doen ze het helemaal anders.
Nog
niet zo lang geleden hoorde ik op een congres de uitspraak: we moeten van ‘low
trust, high tolerance’ naar ‘high trust, low tolerance’. Typisch zo’n uitspraak
waarbij de zaal instemmend gromt, zonder nog precies te begrijpen wat dit
betekent. Ik schrijf dat soort uitspraken dan op, om er later over na te denken.
Het schrijven van een blog is een uitstekende manier om zo’n ei uit te broeden.
Riemen vast, beste lezer, want ik weet op dit punt nog niet waar het verhaal
heen gaat.
Die
uitspraak bevat de veronderstelling dat veel organisaties werken vanuit een
soort niet-vertrouwen (dat is iets anders dan wantrouwen), zo’n beetje als in
het kasteel van vorige week. Daarom gelden er veel regels waar je je aan moet
houden, want uit jezelf doe je waarschijnlijk niet het goede, zo is de gedachte.
Niet omdat je het niet wilt, maar omdat je het allemaal niet kunt weten. Omdat
er zoveel regels zijn, is het erg moeilijk om je overal aan te houden. Alleen
al omdat je niet alle regels kent, maar ook omdat sommige regels niet werkbaar
zijn, of omdat het soms niet uitkomt. Je weet wel, dat woordje ‘eigenlijk’. Als
dat valt, dan weet je al dat er om een regel heen gewerkt gaat worden. De
kasteelheer weet dat ook, en ziet daarom veel door de vingers: hij is erg
tolerant, zolang de regels maar niet doelbewust en met kwade bedoelingen worden
overtreden.
De
uitspraak uit de tweede alinea impliceert dat die houding niet goed is, want
tja, we ‘moeten’ immers naar dat andere model: veel vertrouwen, lage
tolerantie. Deze kasteelheer gaat ervan uit dat iedereen die voor hem werkt
zelf heel goed snapt wat wel en niet kan, omdat veel dingen nou eenmaal voor de
hand liggen. Als je ergens naar binnen gaat, dan sluit je de deur achter je.
Niet alleen omdat het anders tocht, maar ook omdat er anders misschien iemand
naar binnen glipt die daar niet hoort te zijn. Als je de juwelen van de
kasteelvrouwe beheert, dan snap je vast wel dat het niet de bedoeling is om ze
voor een avondje aan je vriendin uit te lenen. Er zijn dus veel minder formele
regels, maar wee je gebeente als je het vertrouwen beschaamt en ze erachter
komen. Dan zit je binnen de kortste keren op water en brood in de kerker. Er is
maar weinig tolerantie.
Ken
je de roman Der Prozess van Franz Kafka? Dat verhaal draait om Josef K.,
die gearresteerd en uiteindelijk veroordeeld wordt zonder ooit geweten te
hebben waarom. Kennelijk heeft hij gezondigd tegen regels, die hij niet kende –
niet kon kennen. In zo’n kafkaëske situatie zou je wel eens gemakkelijk terecht
kunnen komen als we op basis van ‘high trust, low tolerance’ werken. Geen fijne
plek om te wonen, dat kasteel.
Wat
te denken van een middenweg? Ik noem het ‘some trust, some tolerance’. Het zal
vast wel zo zijn dat we wat teveel regels hebben, die toch niemand kent. Iedere
burger wordt geacht de wet te kennen, zo heet het. Maar hoe realistisch is dat,
als je het letterlijk neemt? Je weet toch ook zonder kennis van wetboeken dat
je geen autobanden mag leksteken? Net zo zijn er tal van beveiligingsregels
waar je je toch wel aan houdt. Of waar wat meer tolerantie geen kwaad kan. Ik
erger me er steeds weer aan als de app, waarin ik het lesrooster van mijn
dochter kan zien, me eruit gooit als ik eens een paar weken niet in die app heb
gekeken. Dan moet ik opnieuw inloggen, en dan is het altijd even zoeken hoe dat
ook alweer werkt, want het gaat anders dan elders (voor collega-ouders: ik heb
het over Somtoday). Hoe spannend is nou helemaal wat er in die app staat? Laat
hem toch lekker meeliften op de beveiliging van mijn telefoon. Zelfs de app van
mijn bank is makkelijker (na een eerste strenge toelatingsprocedure).
We
kunnen dus waarschijnlijk toe met wat minder regels, maar we moeten ook leren
om minder tolerant te zijn. Het gebeurt nog te vaak dat iemand iets doet op een
manier waarvan hij donders goed weet dat het zo niet hoort, maar het –
uiteraard met de beste bedoelingen, daar twijfel ik niet aan – toch op die
wijze voor elkaar bokst. Het werkt weliswaar, maar er kleven te grote risico’s
aan, die mogelijk over het hoofd zijn gezien. Tolerantie moet je dan ook niet
nemen, die moet je krijgen. Van degene die de verantwoordelijkheid draagt.
Een
nieuw kasteel dus, op gepaste afstand van dat van Kafka. Met bewoners die zich
in alle redelijkheid houden aan regels die vooral regelen wat niet voor
iedereen voor de hand ligt. Dat werkt overigens alleen voor mensen. Voor
systemen houden we toch maar liever vast aan zero trust.
Volgende
week verschijnt er geen Security (b)log.
En in de grote boze buitenwereld …
- heeft een ransomware-bende haar slachtoffer bij de autoriteiten aangegeven.
- is er een mapping gemaakt tussen NIS2, ISO27002 en de BIO.
- woont de peetvader van alle hackers in India.
- heeft de Duitse cybersecurity-organisatie BSI haar rapport over de ontwikkeling van quantumcomputers geactualiseerd. [DUITS]
- is de tweede podcast van het Team High Tech Crime uit.
- steelt deze malware je cryptomunten via foto’s op je Android-telefoon.
- is het goed om een ad-blocker te gebruiken.
- adviseert de Autoriteit Persoonsgegevens negatief op de ‘datasurveillancewet’.
- mogen ambtenaren straks geen ChatGPT meer gebruiken.
- is een alarmcentrale voor ouderen in nood platgelegd door een cyberaanval.
Geen opmerkingen:
Een reactie posten