Briljant mislukt

 

Afbeelding via Pixabay

Nee, deze week stond ik niet alweer een presentatie te geven. Deze week nam ik een warm bad in de presentaties van anderen, tijdens de door gepassioneerde collega’s georganiseerde Liefde voor je VAKweek. Drie dagen lang waren er verhalen en workshops van en door voornamelijk collega’s. En een klein aantal externe sprekers (plus de geweldige Lucas de Man als gastheer).

In het programma trok één externe spreker meteen mijn aandacht: prof. dr. Paul Iske, CFO (Chief Failure Officer, “directeur Mislukkingen”) van het Instituut voor Briljante Mislukkingen (IvBM). Ik was benieuwd wat dat zou kunnen zijn, een briljante mislukking. En ik verwachtte de nodige humor. Die was er wel degelijk, maar de boodschap van Iske was bloedserieus: sommige dingen lopen nu eenmaal anders dan bedoeld, terwijl de mensen die er vol overgave aan werken niets te verwijten valt. En daar valt veel van te leren. Mislukkingen zijn normaal, leert Iske ons.

Onze directie heeft live on stage als twintigste organisatie de Universele Verklaring van het Recht Briljant te Mislukken ondertekend. Die verklaring kent vijf artikelen, waarvan de beide eerste de goede naam, psychologische veiligheid en het recht op persoonlijke evolutie regelen. De volgende twee geven je het recht op proberen en op vergeving, relativering en lering als een poging om iets te bewerkstelligen mocht mislukken. Het laatste artikel geeft vorm aan het universele van de verklaring: iedereen mag briljant mislukken, ongeacht wie en wat je bent. De verklaring definieert een briljante mislukking als “een poging om waarde te creëren, waarbij geen vermijdbare of verwijtbare fouten zijn gemaakt en desondanks het oorspronkelijk gewenste resultaat niet is behaald: er is geleerd en de leerervaringen worden gedeeld”. Doel van de verklaring is om “de waardering voor deze rechten en vrijheden te bevorderen, en door vooruitstrevende maatregelen deze rechten algemeen en daadwerkelijk te doen erkennen en toepassen”.

Het leek zo’n briljant idee, maar om de een of andere reden is het toch mislukt. Het IvBM geeft ons zestien handvatten om van onze fouten te leren, de zogenaamde archetypen (“universele lessen, patronen of leermomenten”).  Ik noem er een paar. Als je te maken hebt met ‘de gloeilamp’, dan ben je aan het experimenteren, en werk je via trial & error naar de oplossing toe, net als bij het maken  van de allereerste levensvatbare gloeilamp. Bij “de bananenschil” heb je te maken met ongelukken, die in een klein hoekje zitten. Zoals bij de magnetrons van AEG, die na een update dachten dat ze een stoomoven waren. En bij “de lege plek aan tafel” heb je niet alle relevante partijen bij je project betrokken. Dat gebeurde bij de zingende weg in Friesland, waar een ribbelpatroon op het wegdek ervoor moest zorgen dat automobilisten zich aan de maximum snelheid hielden, door als beloning het Friese volkslied te laten weerklinken. Hier was men vergeten dat omwonenden dit misschien een minder goed idee zouden vinden.

Na zo’n presentatie ga je je vanzelf afvragen of je in je eigen omgevingen ook briljante mislukkingen ziet. Ik kan – om, eh, veiligheidsredenen – bevestigen noch ontkennen dat ik ze in mijn dagelijkse werk tegenkom. Ik kan het wel dichter bij mezelf zoeken, en dat is best spannend. Vooral om erover te schrijven. Maar vooruit, we hebben die verklaring getekend, er kan mij dus niets overkomen.

De Security (b)log bestaat inmiddels dertien jaar; binnenkort verschijnt de vijfhonderdste aflevering. In alle bescheidenheid mag ik stellen dat het een succes is, en het management deelt die mening. Cijfers, commentaren en spontane schouderklopjes bij de koffieautomaat onderbouwen dat. In 2016 vonden we dat het zonde was om al dit moois voor onszelf te houden en ging de blog extern (op Blogspot en LinkedIn). Bovendien is er sinds twee jaar is er ook een Engelstalige versie – we hebben steeds meer niet-Nederlandstalige collega’s en bovendien mag de hele wereld meegenieten, nietwaar? Als ik op de cijfers van Google Analytics en LinkedIn mag afgaan, dan blijft het bereik van de externe publicaties zwaar achter bij de interne versie. Daar moet ik bij vertellen dat die cijfers wat lastig te interpreteren zijn: op Blogspot (een dienst van Google) zie ik soms onwaarschijnlijke aantallen lezers uit verre landen, en LinkedIn geeft cijfers voor ‘impressies’ en ‘weergaven’ die ver uit elkaar liggen. Een handjevol vaste lezers steekt daar iedere week een duim op (bedankt!), aangevuld met een wisselend maar bescheiden publiek. Nou ben ik zelf ook niet iemand die bij alles z’n waardering uit, maar als je aan de ontvangende kant staat, dan is het toch wel prettig om enige feedback te krijgen. Maar alleen als je het stuk ook echt goed vindt hè.

Op de leeromgeving van het IvBM, BriMis, kun je je eigen project toetsen aan de archetypen. Als ik mijn externe blog daar doorheen haal, dan komen er drie bovendrijven. Als eerste ‘de rechterhersenhelft’: “Sommige mensen zijn onvoorspelbaar en/of niet consequent in hun reacties en beslissingen en dat introduceert een extra graad van onzekerheid.” Dat zijn de stille lezers. De tweede, ‘de huid van de beer’, geeft onder andere aan dat je aanpak ook in andere omstandigheden moet werken. Dat slaat op de externe publicatie. En ten slotte is daar ‘de junk’: “het niet-kunnen-of-willen-stoppensyndroom”. Dat ben ik. En misschien heb ik ook nog te maken met ‘de lege plek aan tafel’, want ik heb amper zicht op het externe publiek. Bovendien bestaat dat publiek waarschijnlijk voornamelijk uit vakgenoten, terwijl mijn eigenlijke doelgroep ‘de gewone mens’ is. Help mij vooruit, beste lezer, door mij feedback te geven én door mensen in je omgeving op de Security (b)log te attenderen. Alvast bedankt!

De komende twee weken verschijnt er geen Security (b)log.

 

En in de grote boze buitenwereld …

• omschrijft hier iemand passkeys als briljante mislukking.
• hoef je in Windows 11 niet per se een Microsoft-account te gebruiken.
• speelt een ransomware-bende voor de lol ook met de straatlantaarns van de aangevallen gemeente.
• is er nu ook eenvoudige, goedkope ransomware op de markt, gericht op MKB-slachtoffers.
• kunnen apps waarmee je je locatie met anderen deelt natuurlijk ook een fout bevatten.
• lezen we de laatste tijd wekelijks wel iets over acties van statelijke actoren.
• richten die statelijke actoren zich steeds vaker op edge-tools.
• konden de Chinezen vijf jaar lang rondneuzen bij Volkswagen.
• hoor je met deze tool als je computer gegevens naar Google stuurt.

Misdaad

 

Afbeelding via Pixabay

Vorige week stond ik, zoals je in de vorige Security (b)log kon lezen, voor een groep meiden van de middelbare school. Deze week was ik gevraagd voor een volgende generatie: de Young IT-Auditors van Belastingdienst, Douane en FIOD, die de jaarlijkse YIA-dag het thema cybersecurity hadden gegeven. Dat “young” bleek overigens niet zozeer op de leeftijd van de deelnemers te slaan, maar op hoe lang ze in het auditors-vak zitten. En laat ik het zo zeggen: dit publiek was nog bekend met Facebook. Gelukkig had ik mijn presentatie niet afgestemd op een al te jeugdig publiek (-;

In deze Utrechtse zaal had ik het onder andere over actuele ontwikkelingen. De laatste tijd lees ik steeds meer zorgelijke verhalen uit Amerika over misselijke criminele activiteiten. Zoals dit relaas. Een vrouw wordt gebeld door haar zoon, die vertelt dat hij een verkeersongeluk heeft gehad en dat hij de telefoon overhandigt aan een politieagent, die haar meer zal vertellen. De agent zegt dat haar zoon het ongeluk, waarbij een zwangere vrouw gewond is geraakt, heeft veroorzaakt en dat hij daarom in hechtenis wordt genomen. Hij kondigt aan dat een ingeschakelde advocaat haar zal bellen over de verdere gang van zaken.

Even later belt die advocaat. Zoonlief zit diep in de nesten, maar het is mogelijk om hem op borgtocht vrij te krijgen. Als moeder $ 15.000 in contanten meegeeft aan een koerier die de advocaat regelt, dan hoeft haar oogappel niet in de cel te overnachten. En bij de bank moest ze maar niet vertellen waar het geld voor is, want dan zouden ze daar moeilijk gaan doen. Zo gezegd, zo gedaan.

In werkelijkheid werd die moeder helemaal niet door haar zoon gebeld. Het was een deepfake, waarbij met kunstmatige intelligentie op basis van een bestaande geluidsopname (met dank aan social media) een nieuwe tekst met dezelfde stem werd gefabriceerd. De moeder hoorde dus wel de stem van haar zoon, maar die tekst had hij zelf nooit uitgesproken. Dat de telefoon gauw aan de agent werd overgedragen was nodig om geen gesprek tussen moeder en zoon te laten ontstaan. En die advocaat, die even later belde, was natuurlijk helemaal geen advocaat, maar net zo’n crimineel als de nepagent.

In bovenstaand verhaal zien we een aantal elementen terug uit de theorieën van Robert Cialdini en Ian Mann*. Cialdini zegt dat mensen autoriteiten gehoorzamen. Nu vraag ik me af in hoeverre die vlieger in Nederland opgaat, maar in veel landen zal men inderdaad snel geloven dat men inderdaad te maken heeft met een gezagsdrager, ook al is het maar aan de telefoon. Een kwestie van de juiste toon aanslaan. Mann vertelt ons dat mensen goedgelovig zijn. Dat kan twee kanten op werken. Enerzijds wil je graag de beloning ontvangen die een Afrikaanse prins je in het vooruitzicht stelt als je hem helpt bij het vrijmaken van een bijzonder goed gevulde bankrekening, anderzijds schiet je natuurlijk in de stress als het erop lijkt dat je kind in de penarie zit en geloof je al gauw wat allerlei figuren je vertellen. Bovendien, zo zegt Mann, maakt bewust onbekwaam ook volgzaam: als je van jezelf weet dat je van bepaalde zaken (zoals een arrestatie) geen verstand hebt, dan volg je gemakkelijk iemand die op z’n minst uitstraalt dat hij op dat vlak deskundig is.

In een ander verhaal werd iemand gebeld door de FBI, met de mededeling dat zij het slachtoffer was geworden van identiteitsdiefstal. Omdat onder haar naam gefraudeerd was, zouden haar banktegoeden bevroren worden. Om er toch voor te zorgen dat ze een poosje vooruit kon, bood de behulpzame agent aan om een flink deel van het spaargeld op een veilige rekening te zetten, die buiten de inbeslagname zou blijven. Ook dat geld moest in contanten worden aangeleverd en je raadt het al: foetsie. En er was helemaal geen sprake van identiteitsdiefstal.

In deze zaak speelde ICT helemaal geen rol, maar de crimineel deed wel alsof daar de bron van de ellende lag, want echte identiteitsdiefstal wordt nu eenmaal gefaciliteerd door ICT. Ook de volgende zaak had geen ICT-achtergrond, maar dat had gemakkelijk gekund: een 81-jarige Amerikaan werd afgeperst, en toen de door de crimineel bestelde Über voorreed om “een pakje” (met het geld) op te halen, schoot hij de chauffeuse dood, in de veronderstelling dat zij in het complot zat.

Mocht je ooit in zo’n onwerkelijke situatie terechtkomen, probeer dan niet te handelen vanuit je emotie. Negeer instructies om niemand erbij te betrekken, maar vraag juist hulp aan een vertrouwd iemand. Wees alert als het opeens over geld gaat; probeer je zoon eerst maar eens te bellen om te checken of hij écht een ongeluk heeft gehad. Sommigen vinden het misschien wat eng, maar in ons gezin kunnen we, met wederzijds goedvinden, in een app zien waar iedereen is. Dat kan je in zo’n situatie enorm helpen.

* Robert Cialdini, Influence: The psychology of Persuasion, 1984; Ian Mann, Hacking the human: Social Engineering Techniques and Security Countermeasures, 2008

 

En in de grote boze buitenwereld …

• werken deepfake-detectie-tools niet altijd accuraat.
• dreigen criminelen met de publicatie van een database waarin criminelen staan.
• hebben de Russen het voorzien op westerse infrastructuur.
• moet je natuurlijk wel het juiste doelwit uitzoeken.
• maken verkeerslichten ook al inbreuk op je privacy.
• krijgen telecom-medewerkers geld geboden om mee te werken aan sim-swapping.
• heeft een Britse computer het verkeerde echtpaar gescheiden.
• wordt er een Nederlandse ID-wallet ontwikkeld.

 

Girls Day

 

Afbeelding via Pixabay

Het was zo’n verregende donderdagochtend waarop je zelf voor de lichtpuntjes moet zorgen. Nou, dat kon, want ik was op weg om een bijzondere presentatie te geven. Onze personeelsmensen hadden de jaarlijkse Girls Day georganiseerd, voor 14- en 15-jarige meisjes van de naastgelegen middelbare school. Ik was de eerste mannelijke (en misschien ook wel de oudste) spreker in de geschiedenis van Girls Day. Eén ding was duidelijk: ik moest hier niet aankomen met een verhaal over hoe wij beveiliging plegen. Mijn verhaal moest over die meiden gaan.

Ik wilde de leerlingen iets laten zien over hun digitale voetafdruk. En dus vroeg ik een paar weken geleden de deelnemerslijst op en googelde de namen. Je had hun gezichten moeten zien toen ik dat vertelde! Grote ogen, angstige blikken uitwisselend met hun vriendinnen. Ik vertelde er meteen bij dat ik geen namen ging noemen en dat ik niks herkenbaars op het scherm zou zetten. Dat stelde ze enigszins gerust. Maar ik had wel hun volle aandacht.

Mijn zoektocht leverde aanvankelijk een vrij onschuldige oogst op: er zaten de nodige sportieve meisjes tussen, variërend van turnsters tot amazones (compleet met de naam van het paard). Van meer dan de helft was op deze manier niets te vinden. Een bepaald meisje gaf echter meer prijs. Ze had namelijk – waarschijnlijk onbedoeld – haar presentaties voor de driehoeksgesprekken openbaar gemaakt (driehoeksgesprekken zijn de moderne vorm van de ouderavond, waarbij de mentor, de ouders én de leerling om tafel zitten en de leerling zelf vertelt hoe het gaat). En zo weet ik dat deze leerling wel eens wat motivatie mist (tja, wie niet), op verschillende basisscholen heeft gezeten (iemand achterin de zaal haalde opgelucht adem: dit ben ik niet!), een klik heeft met docent X maar diens vak wel lastig vindt en de schoolfeesten leuk vindt. En nog een paar zaken die ik heb weggelaten omdat ze te persoonlijk zijn.

Deze leerlinge wilde waarschijnlijk niet de 13-in-een-dozijn Powerpointpresentatie geven, maar iets flitsenders. Dan kom je al gauw uit bij Prezi, waarmee je een heel dynamisch verhaal kunt maken. Alleen is het wel zo dat al je presentaties openbaar zijn als je de gratis versie gebruikt. Oeps. En oh ja, de match tussen docent X en het lastige vak kon ik maken doordat op de site van de school een lijst van alle docenten staat.

Dat ook andere mensen (vaak onbedoeld) informatie over jou prijsgeven, kon ik aantonen met Instagram. Ook daar zocht ik de namen op. Eén daarvan kwam drie keer voor. Welk account was van de leerling op mijn lijst? Ik doorzocht de lijsten met volgers en trof bij het tweede account een naam aan die ook op mijn namenlijst stond. Bingo! Vervolgens ging ik eens beter naar de volgers van dat account kijken. Daar stond een bedrijfsnaam tussen, die ook de achternaam van het meisje bevatte (fictief voorbeeld: Ballonkoning Jansen). Je mag dan gerust concluderen dat dit de vader of moeder van de leerlinge is. In de bio van dat bedrijfsaccount stonden ook de straat- en plaatsnaam genoemd. Maar geen huisnummer. Het was het soort bedrijf waarvan je kunt vermoeden dat het aan huis gevestigd is. Als ik dat bedrijf kon vinden, dan wist ik waar dit meisje woonde.

Met Google Streetview kun je virtueel door een straat wandelen. En de huizen bekijken. Toen ik voor de tweede keer door de bewuste straat liep en goed om me heen keek, had ik beet: bij een huis zag ik iets dat een duidelijke verwijzing naar het bedrijf was (in het fictieve voorbeeld zou er een ballonboog bij de voordeur hebben gestaan). Ik zei tegen de zaal: “Als de letters in je postcode AL zijn, dan gaat dit over jou”. Het bleef ijzig stil.

Nou en, denk je misschien. Maar bedenk: ik ben een van de good guys. Er loopt genoeg gespuis rond dat maar wat graag willen weten waar zo’n meisje woont. Met mijn kleine vingeroefening heb ik laten zien dat de oplossing vaak uit meerdere puzzelstukjes bestaat, die je op verschillende plekken kunt vinden. Ik heb mijn gehoor ook voorgehouden dat ik op dit gebied slechts een amateur ben, en met dit filmpje liet ik zien hoe anderen, die dit een beetje professioneel aanpakken, nog veel meer over je te weten kunnen komen.

De namenlijst heb ik uiteraard weggegooid. Wat blijft is de herinnering aan een bijzondere ochtend waarin ik een aantal jonge mensen hopelijk aan het denken heb gezet.

 

 En in de grote boze buitenwereld …

• heeft de zorg een raamwerk voor red teaming ontwikkeld.
• waarschuwde Apple inwoners in bijna de helft van alle landen over een geavanceerde spyware-aanval.
• kaapten hackers een tv-zender.
• kon iedereen lange tijd de afmeldcodes van duizenden alarmsystemen opvragen.
• voert Rusland een grote desinformatiecampagne om de Amerikaanse steun voor Oekraïne te ondergraven.
• jatten de Russen bovendien mail van de Amerikaanse overheid.
• hackt China ondertussen de Amerikaanse infrastructuur.
• lopen gebruikers van een meerdere types NAS van D-Link het risico dat kwaadwillenden inbreken.
• browse je bepaald niet privé in een incognitovenster van Google.
• is het altijd lastig als hardware een kwetsbaarheid bevat.
• is ransomware soms niet meer dan een potje blufpoker.
• ontstaan veel datalekken door cyberaanvallen.
• kun je nu gemakkelijk checken of je écht een medewerker van de bank aan de telefoon hebt.

Vlagvertoon

 

Foto van auteur

Ken je het programma Science of Stupid van National Geographic? Dat is een soort Lachen om home video’s, maar dan met wetenschappelijke uitleg waaróm iemand zo pijnlijk op z’n snufferd terechtkwam. Een educatief-amusant programma, zeg maar.

Ik moest aan dat programma denken toen ik gisteren het tafereel hierboven zag. Een plaatselijk hotel, waar ons team zich had teruggetrokken om de te volgen koers te bespreken, heeft een vlaggenmast bovenop een puntdak geplaatst. Gaaf, zo’n vlag op het hoogste punt van je gebouw, maar hebben ze er ook aan gedacht dat zo’n vlag wel eens gehesen en gestreken moet worden? Of hebben ze dat pas achteraf bedacht? En toen een ladder gekocht, die te kort bleek te zijn?

De bovenste ladder lijkt aan één haak te hangen, die door het dak steekt. Die haak zit iets boven het midden van de ladder, waardoor hij wel eens een mooi draaipunt zou kunnen worden als iemand bovenaan staat. Maar gelukkig zit de ladder boven nog vast met een touw. Of nee, toch niet: dat is het touw van de vlag. Omdat die ladder te kort is, hebben ze er nog eentje gekocht en die als het ware in de andere geschoven. Mooi: als de ene beweegt, dan beweegt de andere mee. De onderste ladder hangt ook aan zo’n haak, en – als dat het enige bevestigingspunt is, wat ik niet weet – dan kan ook deze ladder leuk gaan kantelen als zij aan de bovenkant wordt belast. Al met al zou ik niet graag verantwoordelijk zijn voor deze vlag. Overigens betwijfel ik of zij met militaire precisie iedere dag bij zonsopkomst wordt gehesen en bij zonsondergang weer wordt gestreken.

Gebeuren in ons vak ook dingen die Science of Stupid-waardig zijn? Jazeker. Het zijn lang niet altijd cybercriminelen die ervoor zorgen dat we in de problemen komen. Dat kunnen we ook prima zelf. Hoe vaak hebben we al niet gehoord over datalekken, veroorzaakt doordat organisaties hun cloudconfiguratie niet op orde hadden, waardoor iedereen bij de gegevens kon? En misschien heb je ook wel eens een mailtje verstuurd en je twee seconden later gerealiseerd dat de verkeerde naam in het aan-veld stond. We maken allemaal wel eens een fout, en dan ligt het aan de aard van de fout of hij impact heeft op onze beveiliging,  op de privacy van onze gegevens of zelfs op de bedrijfscontinuïteit.

Er zijn allerlei maatregelen om dergelijke fouten te voorkomen. Zo worden wijzigingen niet meteen in de productie-omgeving doorgevoerd, maar eerst in testomgeving. Daar kun je observeren of die wijziging precies doet wat zij moet doen – niet meer en niet minder. Daarna zorgt geautomatiseerde voortbrenging ervoor dat die wijziging exact zo naar productie gaat, en niet door een menselijke fout (vinkje verkeerd gezet, typfoutje gemaakt) alsnog wordt verknald. Je kunt ook een collega laten meekijken, volgens het bekende vier-ogenprincipe. Dat doen we zelfs als we notities schrijven, maar dan heet het review. Als ik iets opschrijf wat de techniek raakt, dan laat ik graag technische mensen controleren of ik geen onzin heb opgeschreven. Want dat ik het kan verzinnen betekent nog niet dat het ook uitvoerbaar is. Ik wil niet in een ivoren toren wonen.

In dat tv-programma zie je mensen die zelf een springschans hebben gebouwd en daar vervolgens met hun fiets op afstormen, om even later verbaasd te moeten constateren dat de landing minder sierlijk verloopt dan ze hadden verwacht. De voice-over geeft op licht spottende toon een verhandeling over zwaartepunten, de wetten van Newton en waarom deze operatie gedoemd was te mislukken. De boodschap is steevast: bestudeer éérst met welke natuurwetten je te maken hebt en pas daar je ontwerp en je beweging op aan. Dat moet je dan trouwens ook maar kunnen; het is niet iedereen gegeven om, eenmaal in de lucht, braaf zijn zwaartepunt recht boven de fiets te houden.

Vertaald naar mijn vak zou ik zeggen: kijk éérst naar wet- en regelgeving, en houd daar al tijdens ontwerp en bouw rekening mee (security/continuity/privacy by design). Moet het systeem later onderhouden worden, check ook dan waar je allemaal rekening mee hebt te houden, en handel ernaar. Dat vergt misschien wat oefening, net als bij een fietsstunt. Maar gelukkig hebben wij – in tegenstelling tot al die onfortuinlijke stunters – testomgevingen.

 

En in de grote boze buitenwereld …

• deelt Outlook informatie over jou met honderden partners (noot: dit artikel staat op de site van een concurrent van Outlook en maakt aan het eind reclame voor het eigen product, maar de inhoud lijkt mij toch de moeite waard).
• krijgt Microsoft er ook flink van langs in een Amerikaanse overheidsrapport.
• kan Microsoft Copilot veel vertrouwelijke informatie aan het licht brengen (sla ook hier de reclame maar over).
• wordt een ransomware-aanval veel duurder als ook de back-ups geraakt zijn (ook weer met reclame, maar vooruit).
• vertelt de hacker, die in z’n eentje Noord-Korea platlegde, hier zijn verhaal.
• doen criminelen zich voor als advocaten en spreken bedrijven aan op zogenaamd geschonden auteursrechten.
• geeft de Duitse overheid tips voor aanschaf en gebruik van slimme apparaten. [Duits]
• was er commotie over een achterdeur in een populair stukje open source software.