 |
| Afbeelding via Pixabay |
Ondanks
dat ik, bij leven en welzijn – en gelijkblijvende regelgeving – over tien jaar
al ruim een half jaar van mijn pensioen hoor te genieten, voel ik me nog steeds
zo jong dat ik post van het pensioenfonds emotieloos archiveer. Er heerst een
vaag besef dat ik meer interesse voor mijn financiële toekomst zou moeten
hebben, maar tegelijkertijd ook berusting; enerzijds vanuit het algemene gevoel
dat het bij ons goed geregeld is, anderzijds omdat het nu waarschijnlijk toch
te laat is om nog extra maatregelen te treffen, zou ik dat willen.
Een
poos geleden sprak ik met een vakgenoot over de betrokkenheid van
niet-vakgenoten bij het onderwerp informatiebeveiliging. Of liever: over het
gebrek aan betrokkenheid. De ander maakte een treffende vergelijking (bedankt
Hugo!): zou je geïnteresseerd naar een pensioenadviseur luisteren, of zou je
denken: hier heb je mijn geld, doe er de juiste dingen mee?
Ai, daar
heb je me. Ik heb nog nooit met een pensioenadviseur gepraat. Vanaf mijn 25e
wordt pensioenpremie op mijn salaris ingehouden en het pensioenfonds laat me
regelmatig weten hoe ik ervoor sta. Als ik op de normale leeftijd met pensioen
ga krijg ik maandelijks zo-en-zoveel geld, als ik het loodje leg krijgen mijn
nabestaanden ook nog wat, dat soort informatie. Ik werp er een vluchtige blik
op, denk hooguit: “Zo!” en ga over tot de orde van de dag. Ik zeg dus vrij
letterlijk: hier heb je mijn geld, doe er de juiste dingen mee.
Zouden
pensioenadviseurs wel eens verzuchten dat de mensen veel te weinig interesse in
hun pensioen tonen? Dat het toch in hun eigen belang zou zijn om zich erin te
verdiepen en de juiste maatregelen te treffen? En dat maar weinig mensen zo
verstandig zijn om zich daar al op jonge leeftijd om te bekommeren? Als ik nu
nog een aanvulling op mijn pensioen zou moeten regelen, dan zou dat
waarschijnlijk onbetaalbaar zijn. Begin je er echter in je jonge jaren aan, dan
kun je je inleg over vele jaren uitsmeren.
Informatiebeveiligers
verzuchten in ieder geval wél regelmatig dat de mensen te weinig interesse in
hun beveiliging tonen. Ze leven in de vage hoop dat het vast wel min of meer
goed geregeld zal zijn. De internetaansluiting thuis kost geld, dan zal de
provider toch wel een veilig modem hebben geleverd? En die wifi-koppeling van
je vaatwasser, wasdroger en airco van een gerenommeerd merk, dat zit toch ook
wel snor? De apps op je telefoon en de websites die je bezoekt hebben allemaal
een privacybeleid, dan hoef je je daar toch ook niet druk om te maken? Dat zijn
allemaal aannames waarmee we onszelf, áls we er al bij stilstaan, in slaap
sussen.
Maar
de werkelijkheid is weerbarstiger. Een apparaat is relatief veilig als het de
laatste update heeft gehad, waarin de fabrikant de hem bekende fouten heeft
hersteld. Heb je die update niet, dan heeft jouw apparaat zwakheden die door
aanvallers kunnen worden benut. Op je laptop en je telefoon kun je vrij
gemakkelijk regelen dat je steeds over de laatste updates beschikt, door alles
automatisch te laten gebeuren. Je moet dan natuurlijk nog wel, als een
programma of app je vraagt om iets te doen om de update te effectueren, dat ook
echt doen hè.
Ook
op het werk komen we nog mensen tegen die denken dat die lui van het
securityteam het wel regelen. Tot op zekere hoogte klopt dat ook: we schrijven
namelijk op wat je moet doen en laten om de boel veilig te houden. Dat noemen
we beleid, standaarden, voorschriften – geef het maar een naam. Daarna is het
echter aan degenen die verantwoordelijk zijn voor hun stukje van die boel, om
die verantwoordelijkheid óók te nemen voor het aspect informatiebeveiliging (en
privacy, en continuity). En dus in een vroeg stadium al na te denken over wat
al die regelgeving betekent voor hun werkveld én daar ook echt iets mee te
doen.
Ik
weet het, dit is gemakkelijker gezegd dan gedaan. Ook mijn apparaten thuis
voelen zich verwaarloosd. Het is namelijk best wel een klus om daar wat aan te
doen, waardoor je je gemakkelijk kunt verschuilen achter het argument “nu even
niet, kost teveel tijd”. Maar soms moet je die tijd gewoon maken. Weet je wat?
Volgende week heb ik vrij, maar we gaan niet weg. Bij deze beloof ik onze
slimme apparaten dat ik zal nagaan of er iets te updaten valt (dat is nog maar
de vraag) en als dat zo is, dat ik dat dan ook doe.
Het
zou zoveel makkelijker zijn als veel meer apparaten een automatische update
zouden doen. Dan hoef je ook niet uit te zoeken waar je zo’n update vandaan
moet halen en hoe je hem moet installeren. Ik denk dat menige niet-ICT’er
vooral voor dat laatste terugschrikt. Het is dus te hopen dat fabrikanten er
meer aan gaan doen om ons hierbij te helpen. De Europese Cyber Resilience Act
gaat hen daartoe dwingen. We willen security by design: neem het van
begin af aan mee en schenk er gedurende de gehele levensduur van het product
aandacht aan.
Nu nog pension by design…
Volgende week
komt er geen verse Security (b)log.
En in de grote boze buitenwereld …
- kunnen fabrikanten hun producten laten cybercertificeren.
- hebben ook fabrikanten van beveiligingsspullen wel eens moeite met updaten.
- gaat dit lange maar boeiende verhaal over hoe scammers de auteur erin luisden.
- betaalden Amerikanen vorig jaar in totaal tien miljard dollar aan scammers.
- begrijpt BMW de gevolgen van een datalek niet zo goed.
- is het niet handig om je privémail voor het werk te gebruiken.
- is adverteren zonder tracking niet meer te doen.
- ben je als bedrijf verantwoordelijk voor wat je chatbot uitkraamt.
- kan phishing ook als tweetrapsraket plaatsvinden.
- mogen stoute landen geen gebruik meer maken van ChatGPT.
- staat deze batterijenfabriek momenteel onder hoogspanning.
- is twintig procent van de Britse kinderen cybercrimineel.
- verbiedt het Europese Hof het verzwakken van end-to-end encryptie.
Geen opmerkingen:
Een reactie posten