Spelen met wc-papier

 

Afbeelding via Pixabay

Als je net aan het eten bent en een beetje een tere ziel hebt, dan bewaar je deze blog beter voor na het eten. Hij heeft namelijk een, eh, sanitaire insteek. Ik probeer het zo netjes mogelijk te houden.

Zo’n vijf jaar geleden verscheen cabaretier Kasper van der Laan bij De slimste mens en bij De wereld draait door. Hij deed daar een interessante suggestie om wc-papier te besparen. Als je je billen afveegt, ga je door totdat je een schoon papiertje ziet, zo begint zijn betoog. Maar, aldus Van der Laan, dan wáren je billen dus al schoon. Je had één veegronde eerder kunnen stoppen. De grote vraag is nu: durf je het erop te gokken? Zo van, “ik denk dat ik het wel heb”, in de woorden van de komiek. Herinner je je nog de plotselinge, ongegronde vrees dat tijdens de corona-pandemie het wc-papier op zou raken? Misschien waren er toen wat meer mensen die het gedachtenexperiment van Van der Laan in praktijk brachten.

Het gebruik van wc-papier is – als ik het een beetje ruim neem – een soort beveiligingsmaatregel. Het behoedt je voor remsporen, huidirritatie en nare luchtjes. Dat roept meteen de vraag op hoe andere diersoorten daarmee omgaan, met name met dat tweede risico (het eerste speelt daar niet en aan het derde zullen ze wel niet zo zwaar tillen). Maar kom, laat ik niet afdwalen. Wat Van der Laan hier deed, was een onvervalste risicoanalyse. En met het oog op de zomervakantie, waarin menigeen met een rol wc-papier onder de arm naar een al dan niet prettige camping-wc moet, en anderen hotelpapier in diverse kwaliteiten zullen ontmoeten, is het dringend noodzakelijk om dit nader uit te werken.

De basisformule voor risicoanalyses luidt: risico = kans × schade. In deze toilet-case spelen we met de kans: als je doorgaat totdat je een schoon papiertje produceert, dan is de kans op een remspoor praktisch nul. Breng je het hierboven beschreven idee in praktijk, dan is die kans in ieder geval groter dan nul. Maar hoeveel groter? Dat is lastig te bepalen, want je hebt nog met een andere variabele te maken: de, eh, output. Als die altijd van dezelfde kwaliteit zou zijn, dan zou je het na een aantal keer wel weten: na zoveel keer vegen is het klaar, dus ik kan overgaan op zoveel keer minus één. Maar we weten allemaal dat onze biologische output heel verschillend kan zijn. Bijvoorbeeld door wat je hebt gegeten, door een ander klimaat of doordat je ziek of zenuwachtig bent. De kans op een verkeerde inschatting, en daarmee ook de kans dat het risico zich manifesteert (realiteit wordt), is variabel.

Het inschatten van de kans op een gebeurtenis, die de informatiebeveiliging schaadt, is op zichzelf al lastig. Meestal doen we een kwalitatieve risicoanalyse, wat betekent dat we termen als laag, midden en hoog gebruiken. De tegenhanger is de kwantitatieve risicoanalyse, waarbij met getallen wordt gerekend – bijvoorbeeld met statistische gegevens voor de kans en met bedragen voor de schade. Bij al deze analyses is de kans geen vast gegeven, net zo min als in het sanitaire voorbeeld. Meestal doen we echter stiekem alsof dat wel het geval is. En ik denk dat dat bij kwantitatieve analyses geen probleem hoeft te zijn, want in de gehanteerde termen als hoog en laag is al de nodige marge ingebouwd.

Zit je echter in een situatie waarin het alle kanten op kan gaan met de kans, dan zul je moeten uitgaan van de worst case. Dat heeft misschien tot gevolg dat de maatregelen, die je treft om het risico het hoofd te bieden, voor een deel van de tijd, ‘te goed’ zijn. We streven immers niet naar maximale, maar naar optimale beveiliging – niet te weinig, maar ook niet te veel. Als je ergens 30 km/h mag rijden omdat er aan de weg wordt gewerkt dan is dat prima, maar als er op dat moment niemand aan het werk is, dan voelt die maatregel onnodig streng.

Wat nu? Stem je je maatregelen af op wat zo’n beetje het gemiddelde is? Dan loop je het risico dat de maatregelen op sommige momenten te slap zijn. Hoe erg dat is, hangt af van de schade die dat veroorzaakt. Als de te verwachten schade acceptabel is, dan mag het best een tandje minder. Maar als die tijdelijke maximumsnelheid er niet alleen is om de wegwerkers te beschermen, maar ook omdat er een groot gat in de weg zit, ligt het toch weer anders.

In Japan hebben ze toiletten die wc-papier overbodig maken. Je wordt daar, vanuit de pot, schoongespoten en drooggeföhnd. En soms kun je via het bedieningspaneel zelfs een geluid afspelen, om bepaalde toileteuze geluiden te verbloemen. Ze hebben daar met alle risico’s rekening gehouden en slimme maatregelen geïmplementeerd.

De Security (b)log keert na de zomervakantie terug.

En in de grote boze buitenwereld …

• is er momenteel (vrijdag) een wereldwijde computerstoring door een foute update van een beveiligingsbedrijf.
• lees je hier een Amerikaans artikel over deze gebeurtenis.
• zijn er bovendien problemen in de Microsoft-cloud.
• is het een slecht idee om een verkeerslicht onbeveiligd aan het internet te koppelen.
• was de telefoon van de Trump-schutter binnen 40 minuten gekraakt.
• is uitgelekt welke telefoons Cellebrite allemaal kan kraken.
• deelden de Amerikaanse posterijen adresgegevens van hun klanten met advertentie- en techbedrijven.
• voorziet de Autoriteit Persoonsgegevens een rat race rondom kunstmatige intelligentie.
• wordt een vergissing van € 29.000 in uw nadeel hersteld.
• moet je je beveiliging ook op orde hebben als je Hackney heet.
• zijn veel overheidsdomeinen nog onvoldoende veilig.

 

Ik zie, ik zie wat jij niet ziet

 

Afbeelding via Pixabay

Het was een warme dinsdagmiddag in zo’n zomer die maar niet wil losbarsten. Dan pak je wat je pakken kunt, en dus zaten ze in hun  Utrechtse achtertuin te genieten van die ene mooie dag. Plots werd de rust wreed verstoord door geschreeuw en gebonk op de tuinpoort. Verschrikt sprongen ze op.

Door de spleten in de poort zagen ze stukjes van een vrouw die verwilderd uit haar ogen keek. “Laat me erin, dit is mijn huis!”, krijste ze. Nou, dat gingen ze maar even niet doen. Uitleggen dat de vrouw toch echt bij het verkeerde huis, ja zelfs in de verkeerde straat stond, had geen effect op deze dame, die duidelijk onder invloed van het een en ander verkeerde. Ze bleef maar op de poort bonken. Nou klinkt ‘poort’ erg solide, maar in feite was het een constructie van waaibomenhout die aan inferieure scharnieren hing, en de rechtmatige eigenaren vreesden dat die niet meer heel lang stand zou houden.

Hoogste tijd op de politie te bellen. Die was snel ter plaatse, zoals dat in hun jargon zo mooi heet, en ze begrepen al gauw dat ze de persoon in kwestie maar het beste konden meenemen, want in de huidige staat was er geen land mee te bezeilen. Ze propten haar achterin de auto en reden weg. Het werd weer rustig in de straat.

De buurtbewoners waren natuurlijk zowel geschrokken als nieuwsgierig. De meesten waren niet thuis toen dit gebeurde, of aan het stofzuigen, waardoor ze niks hadden gehoord. De overburen hadden een beveiligingscamera. Zou daar iets op te zien zijn? Bingo! Het stond er allemaal op. Toen de vrouw kwam aanlopen, keek ze zelfs even recht in de camera. Ook de politieactie was prachtig in beeld gebracht. Het filmpje werd gedeeld in de buurtappgroep – niet voor de sensatie, maar uit het besef dat die dame binnen de kortste keren weer vrij zou rondlopen, en dat de straat dan toch graag voorbereid zou willen zijn.

Als ik in die straat zou wonen, dan zou ik die informatie ook willen hebben. Je wilt toch je gezin en je eigendommen beschermen, nietwaar. Ik zou dan ook, als gewone burger, niet aarzelen om de beelden te delen met belanghebbenden. Maar vanuit mijn vak vraag ik me tegelijkertijd af: mag dat eigenlijk wel? Hoe zit dat met de privacy? Ook mensen die iets verkeerds doen hebben daar recht op. De Algemene Verordening Gegevensbescherming (AVG) is Europese wetgeving die onze privacy reguleert. Ieder land heeft een AVG-toezichthouder; in Nederland is dat de Autoriteit Persoonsgegevens (AP). De AP is de perfecte bron om op zoek te gaan naar het antwoord op mijn vraag.

Je mag beelden, waarop personen herkenbaar in beeld zijn, niet zonder hun toestemming delen, lees ik daar. Dus niet op internet zetten en ook niet delen via social media. Maar er geldt wel een uitzondering voor persoonlijk of huishoudelijk gebruik: “De voorwaarde hierbij is dat deze persoon de foto’s en filmpjes privé houdt of hooguit in een zeer beperkte kring deelt. Bijvoorbeeld in een kleine appgroep.” Dat van die ‘kleine appgroep’ is een beetje vreemd, want elk lid van die groep zou de beelden verder kunnen verspreiden. Misschien zie je ze wel terug op Dumpert.

Er speelt nog meer. Je mag ‘eigenlijk’ ook niet de openbare weg filmen. Want dat betekent een aantasting van de privacy van elke passant. Nou snappen ze bij de AP best dat het soms niet anders kan dan dat je camera een stukje van de straat meefilmt. Maar ook dan gelden er regels. De meest voor de hand liggende: zoom zoveel mogelijk in op je eigendommen, met andere woorden: maak de schending van de regels zo klein mogelijk. Beelden bewaren hoeft eigenlijk ook niet, maar daar lijken geen concrete regels voor te zijn, want de AP zegt hierover:  “Verwijder de beelden zodra u die niet meer nodig heeft. Bijvoorbeeld na 24 uur.” Ook moet je mensen informeren over je camera en de beelden goed beveiligen – want als je gehackt wordt, dan heb je een datalek.

Er zit een dubbele moraal in de regel dat je de openbare ruimte niet mag filmen. Want als er bij jou in de straat iets gebeurt, dan wil de politie maar wat graag de beelden van jouw ‘illegale’ camera hebben – ze kunnen die beelden zelfs vorderen, met andere woorden: je bent verplicht om ze af te staan. Het mag dus niet, maar als je het toch doet, dan helpt dat misschien bij de bestrijding van misdaad.

 

En in de grote boze buitenwereld …

• is het niet handig om een waarschuwing voor een hack uit te laten zien als phishing.
• zijn AI-bedrijven een goudmijn voor hackers.
• zou MFA geen optie moeten zijn.
• heeft internationale politiesamenwerking geleid tot het neerhalen van een botfarm die Russische propaganda verspreidde.
• heeft Europol samengewerkt met private partijen om het criminele gebruik van een pentesttool aan te pakken.
• keert Google voortaan veel hogere bedragen uit voor gemelde kwetsbaarheden.
• moeten ook testaccounts sterke wachtwoorden hebben [artikel bevat reclame, maar het is toch interessant].
• is de AI Act van kracht geworden.
• maken wereldwijd driekwart van alle handelssites en -apps gebruik van dark patterns.
• krijg je niet zomaar altijd de schade door bankhelpdeskfraude vergoed.

 

Criminaliteit vanuit het holodeck

 

Afbeelding via Pixabay

Je loopt door een gang die eruit ziet als alle andere gangen, maar uiteindelijk sta je voor die ene deur. Met dat typische geluid zoeft  ze open en je betreedt de ruimte erachter. Maar nee, je bent helemaal niet meer in een ruimte. Je staat in een weelderig bos, hoort vogels fluiten en een beekje kabbelen.  En dat terwijl je toch echt niet naar buiten bent gelopen, om de eenvoudige reden dat je aan boord van een ruimteschip bent.

Een deel van de lezers zal nu precies begrijpen waar ik het over heb, het andere deel blijft hopelijk ook nieuwsgierig verder lezen. Voor die laatste groep even een toelichting: je bent aan boord van een ruimteschip uit Star Trek, de nog steeds populaire science fictionserie uit diep in de vorige eeuw, waar ze in de 24^e eeuw over het holodeck beschikken: een ruimte waarin hologrammen en krachtvelden simulaties genereren van mensen, voorwerpen en omgevingen. Het ziet, voelt, klinkt en ruikt allemaal totaal realistisch en je kunt ook alles gewoon vastpakken. De holodecks worden vooral gebruikt voor recreatie en voor trainingsdoeleinden. De gesimuleerde omgeving kan veel groter lijken dan de ruimte die het holodeck inneemt. Daarom kun je uren door dat bos wandelen. Maar je kunt net zo goed in een virtueel café gaan zitten of een potje tennissen.

In de jaren tachtig, toen het holodeck opdook in Star Trek, was dit een staaltje virtual reality avant la lettre. Pas in het decennium daarna kwamen er op grote schaal consumentenversies van VR-headsets – je weet wel, die skibrillen met ingebouwde beeldschermen en liefst ook speakers aan de zijkant, die je onderdompelen in een soms angstaanjagend realistische illusie. Je moet het een keer ervaren om het te begrijpen.

Zoals wel vaker gebeurt met uitvindingen die de mensheid vooruit helpen, heeft ook de technologie om virtuele werkelijkheden (een contradictio in terminis als je het mij vraagt) te creëren kwalijke toepassingen gekregen. Want tegenwoordig hebben we kunstmatige intelligentie (ook al zo’n term met ingebouwde tegenstelling; meestal zeggen we trouwens AI, van artificial intelligence). AI wordt door cybercriminelen gebruikt om hun slachtoffers een valse realiteit voor te spiegelen. Zoals bij die moeder waar ik het laatst over had, die toch echt dacht haar zoon aan de telefoon te horen zeggen dat hij een ongeluk had gehad. Je hoeft niet altijd een complete omgeving als in een holodeck op te tuigen om iemand ergens in te laten geloven. Soms is het gewoon een kwestie van laten zien, horen, voelen of ruiken wat in een bepaalde context past. En daar zijn criminelen bijzonder handig in.
Ik noem dat AI-criminaliteit.

Als je de artikelen in de rubriek En in de grote boze buitenwereld… hieronder regelmatig leest, dan zie je daar de laatste tijd veel gebeurtenissen langskomen die AI-criminaliteit zullen bevorderen: een Brit die zich – als hij in het Lagerhuis wordt gekozen – helemaal door AI wil laten aansturen, een student die AI heeft toegepast om te spieken, ‘intelligente’ tandenborstels en andere huishoudelijke apparatuur, en vooral niet te vergeten AI-functies die steeds meer standaard worden ingebouwd in alledaagse software.

Kun je straks nog vals van echt onderscheiden? Is je waarneming wel volledig? Reeds in het tijdperk van de chemische fotografie (fotorolletje, donkere kamer, chemicaliën) werd de waarheid geweld aangedaan door foto’s te retoucheren. Vaak om ze fraaier te maken, maar er zijn ook groepsfoto’s van hotemetoten van de Sovjet-Unie bekend waarop in ongenade gevallen kameraden weggepoetst zijn. Die zijn gecanceld, zouden we tegenwoordig zeggen. Bij digitale foto’s is fotoshoppen een fluitje van een cent. En je hebt vast wel eens portretten gezien waar bij werd gezegd dat ze door AI zijn gegenereerd. Had je die informatie niet gekregen, dan zou je waarschijnlijk gedacht hebben dat je naar een echte mens zat te kijken. En zo gaat het ook met geluid: de crimineel bemachtigt een opname waarop iemand iets zegt en vervolgens kan zijn AI-toepassing dezelfde stem iets anders laten zeggen. Overigens kan dit ook analoog: in presentaties laat ik vaak een filmpje zien waarop je de acteur Morgan Freeman denkt te zien en te horen – het optische deel is inderdaad met AI gemaakt, maar de stem is ‘gewoon’ door een stemacteur ge-deep-faked.

Virtual reality en artificial intelligence vormen een vruchtbaar koppel. Zet je hun afkortingen achter elkaar, dan krijg je vrai. Dat is het Franse woord voor waarheid of werkelijkheid. Bizar, nietwaar?

 

En in de grote boze buitenwereld …

… had ik deze keer vanwege een vrije dag helaas geen tijd om deze rubriek te vullen.