Symptoombestrijding

 

Afbeelding via Pixabay

Het is de perfecte tijd van het jaar om verkouden te worden. In de coronatijd hebben we dit jaarlijkse ritueel overgeslagen, want doordat je weinig contact met andere mensen had en bijna nergens kwam, had je ook weinig kans om een verkoudheidsvirus tegen het lijf te lopen. Maar dit jaar doet ook mijn gezin weer ‘gewoon’ mee.

Hoe onschuldig zo’n verkoudheid ook is voor verder gezonde mensen, we weten allemaal dat je er knap beroerd van kunt zijn. Je trekt dan al gauw de medicijnkast open om verlichting te vinden. Neusspray, hoestsiroop, paracetamol – ze staan allemaal paraat om je klachten te verlichten. Plus nog wat huismiddeltjes, zoals stomen, thee met honing drinken of waterijsjes likken.

Wat zo jammer is aan al die middeltjes, is dat ze alleen de symptomen van de ziekte bestrijden. Door de neusspray kun je een poosje vrijer ademen, het ijsje verdooft je keel een beetje en de paracetamol helpt tegen pijn en koorts. Op thuisarts.nl wordt paracetamol trouwens doodgezwegen op de pagina over verkoudheid (“Medicijnen zijn bij verkoudheid niet nodig”). Volledig ten overvloede: het bovenstaande is geen medisch advies.

Waarom bestaat er geen medicijn of vaccin tegen een ziekte die zoveel voorkomt en veel ongemak geeft? Lijkt me een goudmijntje voor de farmaceutische industrie. Maar wat blijkt: er zijn zo ontiegelijk veel virussen waarvan je verkouden kunt worden, dat er geen kruid tegen gewassen is. Bovendien muteren ze snel; een vandaag ontwikkeld vaccin is morgen waardeloos. Overigens wordt er wel degelijk onderzoek gedaan, vooral omdat mensen met astma erg ziek kunnen worden van een verkoudheid.

Natuurlijk vindt symptoombestrijding ook buiten het medische domein plaats. Bijvoorbeeld in mijn eigen vak. Om nog even dicht bij de verkoudheid te blijven: wat dacht je van een virusscanner? Die verlicht de klachten die we van virussen hebben. Niet zoals neusspray bij een verkoudheid, maar preventief: je wordt besmet of je wordt het niet. De verlichting zit ‘m in het aantal besmettingen waar je mee te maken krijgt. Maar het fenomeen computervirussen an sich wordt er niet door bestreden. Juist daarom is het belangrijk om zoveel mogelijk ICT-middelen te voorzien van zo’n digitaal mondkapje.

De stap van symptoombestrijding naar placebowerking is niet zo groot. Als ik een zere keel heb en daarom een raketje eet, dan voel ik me bijna verplicht om een poosje minder pijn te voelen, terwijl mijn verstand echt twijfelt aan het effect. Dat is onschuldig, maar het wordt kwalijk als ik denk dat zo’n ijsje ook de oplossing is voor bijvoorbeeld hevige, aanhoudende buikpijn. Voor sommige kwalen moet je nou eenmaal toch naar de dokter.

Ook in de informatiebeveiliging zijn er tal van placebo’s. Zo wordt de veiligheid van een systeem echt niet beter door het uitvoeren van een risicoanalyse. Pas als je iets doet met de uitkomsten van die analyse, namelijk door maatregelen te treffen, kun je risico’s verkleinen. Een andere vorm van risicobehandeling is risicoacceptatie, maar het moge duidelijk zijn dat je daar niks beter van wordt – hoe legitiem zo’n acceptatie ook kan zijn.

Het voldoen aan regelgeving is er nog zo eentje. Nogal wat organisaties doen allerlei dingen omdat het nou eenmaal moet, terwijl nog geen enkele computer ooit veiliger is geworden doordat iemand een verplicht document heeft geschreven. Pas als de inhoud van dat document gaat leven kunnen we vooruitgang boeken. Helaas stopt het vaak bij het afhechten van een document – maar de auditor zal trots op ons zijn! (Waarschijnlijk – hopelijk! – doe ik nu een bevriende beroepsgroep te kort met deze opmerking.) Ja, ik doe ook allerlei verplichte nummers, maar dan steeds vanuit mijn gedrevenheid om de beveiliging te optimaliseren. Dat ik daardoor ook ergens een groen vinkje op een checklist haal, is mooi meegenomen maar mag niet het doel zijn.

Om verkouden te worden, heb je een virus nodig. Je wordt niet verkouden van op de tocht zitten of  met natte haren naar buiten gaan. Net zo min gaat het bij een computer mis door potentiële risico’s. Je hebt pas een probleem als een risico zich daadwerkelijk manifesteert. Maar net zoals ik wat meer afstand houd van een snotterend gezinslid, zo helpt een lijst van voor jouw systemen relevante risico’s bij het ontlopen ervan.

 

En in de grote boze buitenwereld …

• telde Google vorig jaar ruim dubbel zoveel zero-day exploits als het jaar ervoor.
• kan ook een virusscanner besmet raken.
• trof de politie bij criminelen ruim zeven miljoen e-mailadressen aan, bedoeld voor phishing.
• had Facebook een geheim project om Snapchat-verkeer te onderscheppen.
• verzon Telegram een bizarre actie om ‘gratis’ premium abonnementen weg te geven.
• wordt China vaak genoemd in de context van cyberaanvallen.
• wantrouwt China nu ook westerse spullen (of ze nemen wraak).
• kunnen we allemaal iets leren van de ransomware-aanval op de British Library.
• wordt een Brits nucleair bedrijf vervolgd wegens vermeende IT-security-overtredingen.
• certificeert de Duitse overheid nu ook videovergaderdiensten.
• heeft de Europese Raad ingestemd met de Europese digitale identiteit.