Als een dief in de nacht

 

Afbeelding via Unsplash

Het was er bochtig, heuvelachtig en bovenal pikkedonker. Ik had dan ook alle lampen aan de voorkant aan: dimlicht, groot licht én mistlicht (eigenlijk breedstralers). Uit het niets dook zij op. Een donker geklede vrouw die midden over de andere weghelft wandelde, de blik naar beneden gericht.

We waren al min of meer gewend aan vossen die in de nachtelijke Provence de weg overstaken, maar dit was van een andere orde. Je schrikt je wezenloos. Terwijl je hand reflexmatig naar de claxon gaat, schiet er van alles door je hoofd: wat doet die gek daar, wat een geluk dat ze op de andere weghelft liep, en die ene vraag die me nog dagen zou achtervolgen: hoe zou dit zijn afgelopen als ze wél op mijn weghelft was geweest?

Veel tijd om na te denken was er niet. Want van de andere kant kwam een auto aanrijden. Die moest gewaarschuwd worden! Daar heb je twee middelen voor: toeteren en seinen met je licht. Ik deed beide, en daarbij kwam weer een oude ergernis over de bediening van het groot licht in beeld: de hendel heeft geen duidelijke klik tussen seinen en groot licht vastzetten. Waardoor je dus vaak, als je wilt seinen, in plaats daarvan het groot licht vastzet. En daardoor gaat de boodschap verloren – alarmerend geknipper wordt dan irritante verblinding. Andere auto’s doen dat beter: daar trek je de hendel naar je toe om te seinen en duw je hem van je af om groot licht vast te zetten. Overigens had die andere automobilist toch wel begrepen dat er iets aan de hand was, want hij minderde vaart.

Er gebeuren altijd wel onverwachte dingen waar je met gepaste spoed op moet reageren. De ene keer vertrouw je op je reflexen (remmen voor een overstekend kind), de andere keer maak je een aantekening dat je er een keer naar moet kijken (een rammeltje in de auto). De gewenste reactietijd hangt af van twee aspecten. Het ene is de factor tijd: hoeveel tijd heb je om het onheil af te wenden, of om reeds opgelopen schade te herstellen? Het andere is de factor impact: hoe snel moet je reageren om de ongewenste gevolgen van een gebeurtenis te minimaliseren?

In de afgelopen dagen zagen we een gebeurtenis uit de categorie ‘spoed’: een storing in het Defensienetwerk NAFIN, waar niet alleen Defensie zelf, maar ook de rest van Nederland last van had. Eindhoven Airport (tevens een militaire vliegbasis) lag volledig stil, de communicatienetwerken van de zwaailichtsector vielen uit, gemeenten konden geen rijbewijzen uitgeven en burgers konden niet inloggen bij overheidsdiensten omdat DigiD niet beschikbaar was. Kortom: de impact (zelfs maatschappelijk) was groot en spoedig herstel was zeer gewenst. We willen natuurlijk met z’n allen weten wat deze storing veroorzaakte. De minister van Defensie meldde hierover: “De oorzaak van het probleem lag in de toegangsverlening tot het zogeheten Netherlands Armed Forces Integrated Network (NAFIN). Door een fout in de softwarecode is een probleem ontstaan in de tijdsynchronisatie op het netwerk. Hierdoor was het niet mogelijk om verbinding te maken met dit netwerk. Er is vooralsnog geen indicatie dat de storing is veroorzaakt door een kwaadwillende partij”.

Dat laatste werd al vrij snel geroepen, zó snel dat ik me in eerste instantie afvroeg of het niet eerder een bezweringsformule was dan de werkelijkheid. Maar nu ligt er een plausibel verhaal: componenten van het netwerk, die contact met elkaar wilden maken, kregen geen toegang omdat hun klokken niet gelijk liepen, zo interpreteer ik de ministeriële uitleg. Vergelijk het maar met een link die je krijgt als je ergens op “wachtwoord vergeten” hebt geklikt. Zo’n link heeft vaak een beperkte geldigheidsduur. Als er dan ergens een klok niet goed staat, dan zal zo’n link niet werken, hoe snel je er ook bij bent.

De minister van Justitie en Veiligheid mengde zich met een opvallende uitspraak in de discussie: “Wen er maar aan”, was zijn veel geciteerde mening. Onder dit ministerie vallen ook de NCTV (Nationaal Coördinator Terrorisme en Veiligheid) en het NCSC (National Cyber Security Centrum), dus het is niet zomaar iemand die dit zegt. Moeten we ons zorgen maken over deze uitspraak? Sommigen vinden van wel, omdat het zou betekenen dat men op hoog niveau de ernst van de situatie niet inziet. Zelf denk ik: joh, we zijn er allang aan gewend, want er gaat wel vaker iets fout en dan wordt het gewoon hersteld. Echter: de meeste incidenten hebben niet zo’n grote impact. Ik kan wel een paar scenario’s in bijvoorbeeld onze eigen organisaties bedenken, waar we wat meer moeite mee zouden hebben. En die dus ook zouden kunnen leiden tot maatschappelijke impact. En daar willen we liever niet aan wennen.

De NAFIN-storing was eigenlijk al verholpen, maar vanochtend (vrijdag) bleek dat de Koninklijke Marechaussee nog steeds met problemen kampt. Mocht je een dezer dagen gaan vliegen, vergeet dan vooral je paspoort niet. Want een noodpaspoort zit er even niet in.

 

En in de grote boze buitenwereld …

• hebben veel lezers van dit artikel een mening over de NAFIN-problemen.
• was premier Schoof niet zo onder de indruk van de grote storing.
• heeft de luchthaven van Seattle waarschijnlijk wél last van een cyberaanval.
• geeft deze journalist een ooggetuigenverslag van de situatie in Seattle.
• crashen iPhones en iPads als je vier specifieke tekens achter elkaar typt.
• heeft Frankrijk de baas van Telegram gearresteerd.
• is de baas van Signal geïnterviewd in het kader van de tiende verjaardag van de chat-app.
• is het altijd jammer als een goedbedoelde actie sterk op phishing lijkt.
• kun je deze beveiligingscamera maar beter weggooien.
• verkocht een bankmedewerker gegevens van klanten aan criminelen.
• ziet Ierland steeds meer WhatsApp-hacks (en dat kan hier ook gebeuren).

Alarm in het zwembad

 

Afbeelding via Pixabay

Vroeger verdronken er in Frankrijk jaarlijks 100 tot 150 kinderen. Een aanzienlijk deel van deze tragische ongevallen gebeurde in privézwembaden. Daarom kwam er in 2004 wetgeving, die veiligheidsmaatregelen voorschreef. Het aantal jaarlijkse verdrinkingen in privézwembaden liep hierdoor terug naar 20-50.

Franse privézwembaden moeten tegenwoordig een omheining, afdekking of alarmsysteem hebben. In de vakantie kregen wij met dat laatste te maken, dat bedoeld was om ouders te alarmeren als een kind in het water valt. De eigenares van het huis had ons uitgelegd hoe het werkte: het ene knopje op de afstandsbediening ingedrukt houden, dan het andere indrukken et voilà, het alarm stond uit en je kon zwemmen.

In het begin vergaten we wel eens om het alarm uit te zetten. Als je dan in het water sprong, werd je even later getrakteerd op luid gepiep. Dan moest snel iemand die afstandsbediening erbij pakken en op de knopjes drukken. Al gauw bleek dat dit niet goed werkte: pas na diverse pogingen zweeg het alarm. Het was onduidelijk waar dat door kwam. Op de afstandsbediening ging wel een lampje branden, dus kennelijk waren de batterijen nog goed. De knopjes waren zacht en voelden vaag aan, waardoor je de neiging had om steeds harder te drukken. Misschien was daardoor in de loop der jaren het printplaatje onder de knoppen beschadigd geraakt. Hoe dan ook, dit kon zo niet langer.

Gelukkig was er een alternatief. In de garage hing een magneetje, waarmee je even de alarmkast in het zwembad moest aanraken om het alarm uit te schakelen. Dat werkte feilloos en heeft ons voor heel wat gepiep behoed. Al ging het soms toch nog mis, want als een kwartier lang niemand in het zwembad was geweest, dan werd het alarm automatisch geactiveerd. Als je daar niet aan dacht bij de volgende verkoelende duik, dan had je alsnog prijs.

Wat ook niet echt hielp, waren de lampjes op het alarm. Het waren er twee: het ene rood, het andere groen. Als het groene lampje brandde, mocht je niet zwemmen, en bij rood wel. Vanuit het alarm geredeneerd snap ik het wel: als de beveiliging aan staat, is het zwembad beveiligd, en dus brandt het groene lampje. Alarm uit staat voor onveilig, dus rood. Maar vanuit de gebruiker gezien is dat niet handig, want die steekt doorgaans de weg over bij groen licht.

Nou was het niet zo dat bij een (vals) alarm meteen een bezorgde buurman op de stoep stond. Die woonde namelijk ruim buiten gehoorafstand. Maar hoe zou dit er in een dichter bebouwde omgeving aan toegaan? Dan zal vast niet bij het eerste piepje de hele buurt uitrukken met zwemringen en reddingshaken. Pas als het gepiep aanhoudt zal een licht geïrriteerde buurman wellicht een kijkje komen nemen. Maar is het dan niet al te laat?

En toch blijkt de wetgeving behoorlijk effectief te zijn. Ik denk dat een stevig hekwerk met kindveilige sluiting het beste werkt – preventieve maatregelen voorkómen ellende, terwijl detectieve maatregelen slechts signaleren dat er een (mogelijk) probleem is. Voorkomen is beter dan genezen; niet in het zwembad kunnen vallen is beter dan er half verzopen uit gevist moeten worden.

Ik kan hier nu een gewiekste link naar mijn vakgebied leggen, maar je snapt het zelf ook wel. Een phishingmailtje automatisch weggooien voordat het in je inbox belandt, veroorzaakt minder gedoe dan puin ruimen nadat je tóch op die link hebt geklikt. Toegang tot een malafide website blokkeren is effectiever dan moeten reageren op een malware-besmetting. Gegevens, die je eigenlijk toch niet nodig hebt, niet aan je klant vragen, is sympathieker dan aan je klant te moeten melden dat die gegevens zijn uitgelekt – ja, soms is iets niet doen ook een maatregel.

Natuurlijk is dit geen diskwalificatie van al die beveiligingssystemen die signaleren dat er mogelijk iets mis is. Die hebben we óók hard nodig. Defense in depth houdt in dat je bescherming in laagjes opbouwt. Als iemand het zwembadpoortje open heeft laten staan, dan kan zo’n alarmsysteem alsnog veel verdriet voorkomen. Net zoals het hartstikke belangrijk is dat jij phishing herkent en correct behandelt  – voor als de systemen aan de voorkant toch een keer zo’n mailtje doorlaten. Toch jammer dat de Franse wetgeving slechts één maatregel vereist.

 

En in de grote boze buitenwereld …

• is het een slecht idee om wachtwoorden in je browser op te slaan.
• kun je natuurlijk ook de versnellingen van dure racefietsen hacken.
• zijn huis-, tuin- en keukenrobots ook al niet veilig voor hackers.
• zijn er nog steeds programmeurs die hardcoded wachtwoorden een goed idee vinden.
• was het misschien toch niet zo’n goed idee om al onze zonnepanelen aan het internet te hangen.
• waarschuwt de Autoriteit Persoonsgegevens voor incidenten met kunstmatige intelligentie.
• is elektronische apparatuur voortaan taboe in de ministerraad.
• legt de premier zelf het belang van deze maatregel uit.
• plundert deze Android-malware je bankrekening met behulp van je fysieke bankpas.