Pensioen

 

Afbeelding via Pixabay

Ondanks dat ik, bij leven en welzijn – en gelijkblijvende regelgeving – over tien jaar al ruim een half jaar van mijn pensioen hoor te genieten, voel ik me nog steeds zo jong dat ik post van het pensioenfonds emotieloos archiveer. Er heerst een vaag besef dat ik meer interesse voor mijn financiële toekomst zou moeten hebben, maar tegelijkertijd ook berusting; enerzijds vanuit het algemene gevoel dat het bij ons goed geregeld is, anderzijds omdat het nu waarschijnlijk toch te laat is om nog extra maatregelen te treffen, zou ik dat willen.

Een poos geleden sprak ik met een vakgenoot over de betrokkenheid van niet-vakgenoten bij het onderwerp informatiebeveiliging. Of liever: over het gebrek aan betrokkenheid. De ander maakte een treffende vergelijking (bedankt Hugo!): zou je geïnteresseerd naar een pensioenadviseur luisteren, of zou je denken: hier heb je mijn geld, doe er de juiste dingen mee?

Ai, daar heb je me. Ik heb nog nooit met een pensioenadviseur gepraat. Vanaf mijn 25^e wordt pensioenpremie op mijn salaris ingehouden en het pensioenfonds laat me regelmatig weten hoe ik ervoor sta. Als ik op de normale leeftijd met pensioen ga krijg ik maandelijks zo-en-zoveel geld, als ik het loodje leg krijgen mijn nabestaanden ook nog wat, dat soort informatie. Ik werp er een vluchtige blik op, denk hooguit: “Zo!” en ga over tot de orde van de dag. Ik zeg dus vrij letterlijk: hier heb je mijn geld, doe er de juiste dingen mee.

Zouden pensioenadviseurs wel eens verzuchten dat de mensen veel te weinig interesse in hun pensioen tonen? Dat het toch in hun eigen belang zou zijn om zich erin te verdiepen en de juiste maatregelen te treffen? En dat maar weinig mensen zo verstandig zijn om zich daar al op jonge leeftijd om te bekommeren? Als ik nu nog een aanvulling op mijn pensioen zou moeten regelen, dan zou dat waarschijnlijk onbetaalbaar zijn. Begin je er echter in je jonge jaren aan, dan kun je je inleg over vele jaren uitsmeren.

Informatiebeveiligers verzuchten in ieder geval wél regelmatig dat de mensen te weinig interesse in hun beveiliging tonen. Ze leven in de vage hoop dat het vast wel min of meer goed geregeld zal zijn. De internetaansluiting thuis kost geld, dan zal de provider toch wel een veilig modem hebben geleverd? En die wifi-koppeling van je vaatwasser, wasdroger en airco van een gerenommeerd merk, dat zit toch ook wel snor? De apps op je telefoon en de websites die je bezoekt hebben allemaal een privacybeleid, dan hoef je je daar toch ook niet druk om te maken? Dat zijn allemaal aannames waarmee we onszelf, áls we er al bij stilstaan, in slaap sussen.

Maar de werkelijkheid is weerbarstiger. Een apparaat is relatief veilig als het de laatste update heeft gehad, waarin de fabrikant de hem bekende fouten heeft hersteld. Heb je die update niet, dan heeft jouw apparaat zwakheden die door aanvallers kunnen worden benut. Op je laptop en je telefoon kun je vrij gemakkelijk regelen dat je steeds over de laatste updates beschikt, door alles automatisch te laten gebeuren. Je moet dan natuurlijk nog wel, als een programma of app je vraagt om iets te doen om de update te effectueren, dat ook echt doen hè.

Ook op het werk komen we nog mensen tegen die denken dat die lui van het securityteam het wel regelen. Tot op zekere hoogte klopt dat ook: we schrijven namelijk op wat je moet doen en laten om de boel veilig te houden. Dat noemen we beleid, standaarden, voorschriften – geef het maar een naam. Daarna is het echter aan degenen die verantwoordelijk zijn voor hun stukje van die boel, om die verantwoordelijkheid óók te nemen voor het aspect informatiebeveiliging (en privacy, en continuity). En dus in een vroeg stadium al na te denken over wat al die regelgeving betekent voor hun werkveld én daar ook echt iets mee te doen.

Ik weet het, dit is gemakkelijker gezegd dan gedaan. Ook mijn apparaten thuis voelen zich verwaarloosd. Het is namelijk best wel een klus om daar wat aan te doen, waardoor je je gemakkelijk kunt verschuilen achter het argument “nu even niet, kost teveel tijd”. Maar soms moet je die tijd gewoon maken. Weet je wat? Volgende week heb ik vrij, maar we gaan niet weg. Bij deze beloof ik onze slimme apparaten dat ik zal nagaan of er iets te updaten valt (dat is nog maar de vraag) en als dat zo is, dat ik dat dan ook doe.

Het zou zoveel makkelijker zijn als veel meer apparaten een automatische update zouden doen. Dan hoef je ook niet uit te zoeken waar je zo’n update vandaan moet halen en hoe je hem moet installeren. Ik denk dat menige niet-ICT’er vooral voor dat laatste terugschrikt. Het is dus te hopen dat fabrikanten er meer aan gaan doen om ons hierbij te helpen. De Europese Cyber Resilience Act gaat hen daartoe dwingen. We willen security by design: neem het van begin af aan mee en schenk er gedurende de gehele levensduur van het product aandacht aan.

Nu nog pension by design…

Volgende week komt er geen verse Security (b)log.

 

En in de grote boze buitenwereld …

• kunnen fabrikanten hun producten laten cybercertificeren.
• hebben ook fabrikanten van beveiligingsspullen wel eens moeite met updaten.
• gaat dit lange maar boeiende verhaal over hoe scammers de auteur erin luisden.
• betaalden Amerikanen vorig jaar in totaal tien miljard dollar aan scammers.
• begrijpt BMW de gevolgen van een datalek niet zo goed.
• is het niet handig om je privémail voor het werk te gebruiken.
• is adverteren zonder tracking niet meer te doen.
• ben je als bedrijf verantwoordelijk voor wat je chatbot uitkraamt.
• kan phishing ook als tweetrapsraket plaatsvinden.
• mogen stoute landen geen gebruik meer maken van ChatGPT.
• staat deze batterijenfabriek momenteel onder hoogspanning.
• is twintig procent van de Britse kinderen cybercrimineel.
• verbiedt het Europese Hof het verzwakken van end-to-end encryptie.

Kafka verkeerd

 

Afbeelding via Pixabay

Afgelopen zomer ben ik in landen geweest, waarvan ik de taal niet machtig ben. In sommige landen kon ik zelfs het schrift niet lezen. In een van die landen kocht ik een rugzak, waar een kaartje aan hing. “ATTENTION!”, stond op de voorkant. Maar de achterkant was bedrukt met tekens waar ik geen chocola van kon maken.

Dankzij de wondere techniek van Google Lens kon ik achterhalen waar mijn aandacht zo dringend voor werd gevraagd. Er staat dat de rugzak kan verkleuren, dat ik wassen en strijken moet vermijden, dat ik “accessoires zoals sluitingen, haken, knopen, metalen fittingen, riemriemen, gespen en ringen” op de juiste manier moet gebruiken omdat ze anders kapot kunnen gaan, en ten slotte dat het product geen bescherming aan de inhoud biedt bij een val of stoot; men is vooral bezorgd om mijn precisie-instrumenten, edelmetalen en breekbare voorwerpen.

Een paar maanden geleden vroeg ik je in de Security (b)log of je de roman Der Prozess van Franz Kafka kent. Ik neem aan dat je hem inmiddels hebt gelezen. En dan herken je in de tekst van dat rugzakkaartje wellicht een kafkaësk trekje: je moet de accessoires van de rugzak op de juiste manier gebruiken, maar er staat niet bij wat de juiste manier is. Een rugzak is voor mij sowieso al een ding waarbij ik me wel eens afvraag waar dat riempje of die lus voor bedoeld is, laat staan dat ik weet hoe ik het ding op de juiste manier moet gebruiken. En dat ik iets moet ‘vermijden’ vind ik ook knap vaag – wat als ik het toch doe? Toegegeven, ik zou niet op het idee komen om een rugzak te strijken, maar mijn vorige rugzak belandde met enige regelmaat in de wasmachine (en dat overleefde hij).

Ik ga je nu verder niet doorzagen over Kafka. Nee, ik ga Kafka op z’n kop zetten. In zijn roman moet je je aan regels houden die je niet kent en als je die regels overtreedt, dan word je gestraft. Kafka op z’n kop is als je de regels maar al te goed kent en tegelijkertijd weet dat, als je je eraan houdt, vroeg of laat iets zal gebeuren wat zeer nadelig voor je is. Wat zou je doen als er een wet kwam die voorschreef dat je in de bebouwde kom met een auto minimaal 100 km/h diende te rijden (50 km/h in een woonerf)? Ga je je daaraan houden, terwijl je zeker weet dat je in het beste geval in het ziekenhuis zult eindigen, of neem je, uit puur lijfsbehoud, voor lief dat je beboet wordt?

Eerder deze week onthulden de inlichtingendiensten dat Chinese staatshackers een netwerk van Defensie hebben gehackt. Ze konden binnenkomen via een bekende (!) kwetsbaarheid in beveiligingsapparatuur van Amerikaanse makelij. Iets blijven gebruiken met een bekende kwetsbaarheid is alsof je weet dat de linker koplamp van je auto het niet doet, maar toch in het donker gaat rijden – want zelf het lampje vervangen kan bij veel moderne auto’s niet meer, de garage is al dicht en je moet toch echt ergens naar toe. En die netwerkapparatuur blijf je net zo gebruiken, want tja, je hebt dat netwerk toch nodig en je kunt het niet zo een-twee-drie vervangen. Nog los van de vraag of een ander product dan wél helemaal veilig is.

Ik weet niet hoe ze erachter zijn gekomen dat China de boosdoener is; attributie van cyberaanvallen is een moeilijke zaak. Maar goed, in het Engelstalige rapport staat dat de diensten “with high confidence” hebben bepaald dat het China moet zijn geweest – spionnenpraat voor “we weten het eigenlijk wel zeker”. En het is niet de eerste keer dat het Westen in dit soort gevallen naar China wijst. We weten dus min of meer zeker dat China ons bespioneert.

Als een overheidsinstelling een dienst of product wil inkopen, dan moet ze de Aanbestedingswet 2012 volgen: gaat de waarde van de opdracht een bepaald bedrag te boven, dat moet een Europese aanbesteding worden uitgevoerd. Je kunt dus niet zomaar naar een leverancier stappen en je bestelling plaatsen. Je moet in een dik document omschrijven wat je nodig hebt en welke eisen je daaraan stelt. Je mag dat document niet “naar een bepaald product toe schrijven” door eisen op te nemen waarvan je weet dat alleen jouw favoriete product eraan voldoet. Bedrijven uit de hele EU mogen op zo’n aanbesteding inschrijven.

Stel, je bent een overheidsdienst en je wilt, laten we zeggen, mobieltjes aanschaffen. Er zijn Chinese mobieltjes op de markt die aan al jouw eisen voldoen en die bovendien goedkoper zijn dan de spullen van de concurrentie. De kans is groot dat Europese bedrijven, die inschrijven op jouw aanbesteding, die Chinese mobieltjes aanbieden. Door de scherpe prijsstelling word je gedwongen om in zee te gaan met dat bedrijf. De contractant is misschien niet veel meer dan een dozenschuiver, die de technische ondersteuning belegt bij de fabrikant. En voordat je het weet heb je niet alleen Chinese apparatuur in huis, maar ook de bijbehorende Chinezen. Zowel de apparatuur als de onderhoudsmonteur doen misschien wel dingen die niet in jouw eisenpakket stonden, maar wel in dat van de Chinese overheid.

Je hebt braaf aan alle regels voldaan, maar daarmee bij vol bewustzijn het paard van Troje binnengehaald. Dat is Kafka, maar dan andersom.

 

En in de grote boze buitenwereld …

• bestaan er bedenkingen rondom de Chinese scanners van de Douane.
• staat hier het nieuwsbericht over de hack bij Defensie.
• beluister je hier een radiofragment over de hack bij Defensie.
• vormen deepfakes een probleem voor identificatie op afstand.
• zal deepfake-criminaliteit Nederland niet overslaan.
• kun je natuurlijk ook een fietshelm hacken.
• ruziën een Zwitserse krant en een Amerikaans beveiligingsbedrijf (toevallig hetzelfde als van de gehackte Defensie-apparatuur) over een DDoS-aanval met tandenborstels.
• glipt er af en toe een valse app door de strenge controle van Apple.
• is BitLocker op sommige computers gemakkelijk te kraken als er geen pincode is ingesteld.
• hebben rijke landen meer last van ransomware.
• is de Belastingdienst nog niet klaar met de AVG.
• kun je beter geen aparte app voor het scannen van QR-codes gebruiken.
• hebben security-onderzoekers van over de hele wereld bedenkingen bij een VN-verdrag over cybercrime.
• mogen Nederlandse loodgieters niet meer adverteren bij Google.

Ingrediënten

 

Foto van auteur

Ingrediënten: witte bonen 61%, water, tomatenpuree 16%, suiker, zeezout, natuurazijn, maiszetmeel, natuurlijk kruidenaroma. Aldus het achteretiket van de pot die aan de voorkant ‘witte bonen in tomatensaus’ heet. Past dit product in een zoutarm dieet? Geen idee, want daar hoeft mijn gezondheid zich gelukkig niet druk om te maken. Maar als het ooit wel nodig zou worden, dan wil ik graag op het etiket van welk product dan ook lezen of er zout in zit, en liefst ook nog hoeveel.

Het is puur toeval dat ik net als vorige week wederom in de conserven zit – ik overweeg geen overstap naar die industrie, noch ben ik gevraagd om hun producten te promoten (eet vooral ook verse groente mensen!). Maar ik ben nu eenmaal van de metaforen, en zo’n pot groente blijkt dan een dankbaar object te zijn.

Meestal zal het je een biet wezen wat er behalve witte bonen en tomatensaus nog meer in een pot witte bonen in tomatensaus zit, behalve als je een specifieke reden hebt, zoals een doktersadvies. En dan ben je blij dat het allemaal op het etiket staat.

En wat blijkt nou? Met ICT is het net zo. Zolang alles goed gaat, boeit het niemand welke programmeertaal, welk framework en welke libraries er zijn gebruikt, welke open source-componenten erin zitten of op welk platform het systeem draait. Maar als plotseling begint rond te zoemen dat een bepaald, breed gebruikt ingrediënt een ernstige kwetsbaarheid bevat, dan wil je opeens heel graag weten of dat ingrediënt in jouw systemen voorkomt. Want je wilt zo nodig overstappen op een zoutarm dieet, of je wilt het zeezout vervangen door gewoon keukenzout, of misschien moet je wel – al dan niet tijdelijk – overstappen op sperziebonen.

Wat voor levensmiddelen het etiket is, dat is voor ICT de SBOM: de Software Bill of Materials, de lijst van componenten die in het product zijn verwerkt. Toen in december 2021 bekend werd dat Log4j een ernstige kwetsbaarheid bevatte, was de wereld in rep en roer. Log4j is namelijk zo’n soort zout, dat in heel veel producten wordt gebruikt. Als je op een dag hoort dat er verontreinigd zout is gebruikt, dan wil je als fabrikant meteen weten welke van jouw producten dat zout bevatten, zodat je de juiste producten uit de supermarkten kunt terughalen en je productieproces kunt stoppen totdat je over een lading schoon zout kunt beschikken.

Nou kwam mij ter ore dat de beheerders van sommige systemen ervan uitgaan dat Security wel weet welke componenten in welk product zitten, en bij hen alarm slaat als er iets aan de hand is met zo’n component. Maar zo werkt het natuurlijk niet. De Nederlandse Voedsel- en Warenautoriteit weet ook niet in welke producten de conservenfabriek zout verwerkt. Ze kunnen alleen alarm slaan als er een slechte batch is geleverd. Het is dan aan de fabrikant om na te gaan in welke producten dat zout kan zijn terechtgekomen en de juiste maatregelen te treffen. Bij ons, in de ICT, is het net zo. Security weet als er iets mis is, maar de beheerder moet weten of zijn systeem daardoor wordt geraakt en of hij in actie moet komen. Natuurlijk zal er bij grote toestanden altijd coördinatie plaatsvinden, maar je blijft wel verantwoordelijk voor je eigen systeem.

Het is de oplettende lezer wellicht opgevallen dat ik het hierboven steeds over systemen en producten heb, terwijl de s in SBOM toch voor software staat. Maar waarom zou je een ingrediëntenlijst beperken tot software? Ook hardwarecomponenten kunnen kwetsbaar zijn, zoals Meltdown en Spectre, allebei kwetsbaarheden in bepaalde CPU’s, in 2018 pijnlijk duidelijk maakten. Je wilt dan natuurlijk wel weten of jij apparatuur hebt waar de kwetsbare processoren in zitten. Nou, gelukkig bestaat ook zoiets als de HBOM: de Hardware Bill of Materials. Liefst zou je daar alle componenten in terug willen zien, tot op het kleinste chipje. Ik weet alleen niet of fabrikanten daar met alle plezier aan willen meewerken, want de concurrenten lezen natuurlijk mee. Dat hoeft niet per se een probleem te zijn, als je erop aankunt dat de fabrikant zelf zijn BOM’en op orde heeft én daar ook zijn klantenbestand aan heeft gekoppeld én ook de communicatie goed is ingericht. Dat kun je allemaal contractueel afspreken. In je CBOM.

 

En in de grote boze buitenwereld …

• kun je AI natuurlijk ook gebruiken om biologische wapens te maken.
• jat AI artikelen van journalisten.
• is het tijd om af te rekenen met deepfakes.
• leidde een hack tot het per ongeluk vrijlaten van een moordverdachte.
• vrezen grote bedrijven de AI Act, maar Europa houdt de poot stijf.
• probeert een Indiaas hackbedrijf wereldwijd via rechters negatieve publicaties te voorkomen.
• schuilt er een risico in .lnk-bestanden.
• werkt een update soms averechts.
• is er gedoe over verificatie door LinkedIn (en dat leidt tot discussie in de commentaren onder dit
• stukje).
• doe je er goed aan om een familiewachtwoord af te spreken, in de strijd tegen deepfakes.
• haalt Nederland de deadline voor de NIS2 niet.