Urgentie en prioriteit

Afbeelding via Unsplash

Veel van mijn collega’s heten Erik, en een van hen kwam bij mij met iets waar ik misschien maar eens wat mee moest in een blog. Mensen denken wel eens dat ik werkelijk overal iets mee kan. Soms blijft zo’n idee onaangeroerd liggen, maar de uitspraak van deze Erik bleef knagen.

“Als je nu opeens urgentie voelt, dan heb je destijds niet de juiste prioriteit gekozen,” aldus Erik. Dat is een vrij universele uitspraak, niet eentje die zich beperkt tot de informatiebeveiliging of de ICT. Hij gaat ook in je privéleven op, bijvoorbeeld in deze feestmaand: als je vandaag een kerstcadeau voor iemand gaat bestellen en er dan achter komt dat het niet meer voor de kerst bezorgd wordt, dan had je de stofzuiger vorige week beter even de stofzuiger gelaten. Het stof ligt er een dag later ook nog wel, maar die bestelling is tijdkritisch. Natuurlijk kunnen er complicerende factoren zijn; misschien had je vorige week geen geld voor een cadeau. Of er kwam een belangrijk iemand op visite en was een schoon huis echt een must.

Vroeger zeiden wij informatiebeveiligers vaak dat beveiliging tot ons verdriet pas helemaal aan het einde van een traject in beeld kwam, áls er al iemand aan dacht. Jarenlang pleitten we om beveiliging toch vooral vanaf het begin af aan mee te nemen. Als je er een vlotte term aan wilt hangen: we noemen dit ook wel shift left – en dan bedoelen we het verschuiven van de aandacht naar de voorkant van de tijdas. Lang geleden (in de late jaren negentig) hadden we daar bij ons een mooi mechanisme voor: het aspectenoverleg. Als een nieuw project van start ging, dan moest de projectmanager vertegenwoordigers van verschillende aspecten bijeenroepen en uit de doeken doen wat zijn project behelsde. De deelnemers konden vervolgens commentaar leveren, en vooral ervoor zorgen dat hun aspect voldoende aandacht kreeg. Bijvoorbeeld door beleidsstukken aan te leveren én uit te leggen hoe die in dat project moesten worden toegepast. Zo kon je als vertegenwoordiger van een aspect ervoor zorgen dat jouw belangen werden meegenomen. Deze overlegvorm was een van de beste die ik ooit heb gekend.

Is er sindsdien veel veranderd? Ja en nee. Er zijn nu veel meer ICT’ers die het belang van informatiebeveiliging snappen. Véél meer. Aan de andere kant heeft de shift left nog lang niet overal plaatsgevonden. Mijn collega’s van het programma Security by Design werken er hard aan om dit alsnog te bewerkstelligen. Dat doen ze door teams te leren hoe dat moet. Want ook hier geldt de aloude wijsheid dat je beter iemand kunt leren om te vissen dan dat je hem een vis geeft, althans als het om overleven gaat. Verder is er in inkooptrajecten een goede beweging ingezet. Zoals ik een paar weken geleden al schreef, hebben we een kant-en-klare set aan beveiligingseisen klaarleggen en, minstens zo belangrijk, weten de inkopers ook af van het Voorschrift Functionals Security.

Er zijn niet alleen veel collega’s die Erik heten, we hebben ook heel wat Edwins. Gisteren sprak ik er eentje, en dat gesprek had een bijzondere inhoud. Deze Edwin had namelijk een ontheffing aangevraagd: toestemming om af te wijken van een bepaalde regel. Omdat ik iets in de motivatie niet begreep, belde ik hem. Behalve dat hij me uitlegde hoe de vork in de steel zat, gaf hij ook zijn visie op het fenomeen ontheffingen. Die worden namelijk naar zijn smaak veel te gemakkelijk verstrekt. Teams moeten maar beter hun best doen om wél binnen de lijntjes te kleuren, vond Edwin. Dat ben ik van harte met hem eens en daarom kijken we ook altijd heel streng naar afwijkingen. We hebben echter ook te maken met een veelheid aan systemen en platformen, van supermodern tot legacy. En vooral in die laatste categorie krijgen we nog wel eens te horen: wat jullie willen, dat kan bij ons helemaal niet.

Soms is dat te gemakkelijk. Dan bedoelen ze eigenlijk: dat zal bij ons wel niet kunnen. Maar als je dan wat mensen uit verschillende disciplines bij elkaar zet, dan ontstaat er soms iets moois. Zo van: “Oh, maar als jullie dat zo voor ons kunnen inrichten, dan kunnen wij aan onze kant dat-en-dat doen, en dan past het binnen het beleid!” We proberen mensen te helpen om die extra stap te zetten. Maar probeer gerust om ons voor te zijn. Bijvoorbeeld door niet zomaar ervan uit te gaan dat je iets niet kunt.

Terug naar Erik. Hij leert ons dat je goed moet plannen om later niet in de problemen te komen. Want als iets urgent wordt, dan ben je vaak afhankelijk van anderen, die wellicht denken: gebrekkige planning uwerzijds schept geen urgentie mijnerzijds. Of het past gewoonweg niet in hun eigen werkzaamheden om jou nu met voorrang te helpen.

Vermijd urgentie, plan je zaken goed. Bestel dat cadeau nú.

 

En in de grote boze buitenwereld …

• Rammelt de e-mailbeveiliging in iCloud.
• Kun je bij deze Amerikaanse telecom-provider een abonnement afsluiten met alleen je postcode.
• Heeft de Duitse overheid uitgebreid onderzoek gedaan naar password managers. [Duits]
• Is dit een Nederlandse samenvatting van bovenstaand onderzoek.
• Heeft een van die password managers een flinke boete gekregen.
• Kan AI ook gebruikt worden om malware te verspreiden.
• Is er ook ransomware voor Android-toestellen.
• Staat de nieuwe kerstpuzzel van de AIVD online.
• Is er politieke onrust over de overstap van de Belastingdienst naar Microsoft 365.

 

Positieve boodschap

Foto van auteur

Lang geleden voltrok zich een stille revolutie in het Nederlandse straatbeeld. Er waren verkeersborden verdwenen. Niet gestolen, maar door het bevoegd gezag verwijderd. En vervangen door andere, die precies hetzelfde effect hadden als de oude.

Het nieuwe Reglement verkeersregels en verkeerstekens (RVV) werd 35 jaar geleden ingevoerd. Men wilde toen afrekenen met een aantal verbodsborden en ze vervangen door gebodsborden. En zo verdween bijvoorbeeld het bord ‘verboden rechtsaf te slaan’ en kwam ‘verplicht rechtdoor of linksaf’ ervoor in de plaats. De basis hiervoor werd al in 1968 gelegd door het Verdrag van Wenen inzake verkeerstekens. Het doel daarvan was om wereldwijd (ongeveer) dezelfde verkeersborden te gebruiken. Je snapt zelf wel waarom. Binnen Europa valt het wel mee met de uniformiteit, al vraag ik me af of buitenlanders ons bord voor een versmalde of onderbroken vluchtstrook begrijpen, om maar eens iets te noemen. Terwijl wij in het buitenland dat bord ‘rechtsaf verboden’ best wel snappen.

En toen kwam ik dit tegen in een buitenlandse horecagelegenheid. Op de afvalemmer staat dat je geen papieren handdoekjes en zo door de wc mag spoelen. Ik heb het al vaker gezegd: vertel me niet wat ik niet mag doen, vertel me wat ik wél moet doen. Maar hier is meer aan de hand – de plaats van de tekst is vreemd. Want het bord zit op de plek waar je juist wel met je rommel naar toe moet. Dit bord zou ik eerder verwachten vlakbij de wc-pot. Beter is natuurlijk een andere tekst op het bord: “Gooi hier uw papieren handdoekjes in”.

Nu we toch in de sanitaire hoek zitten: op sommige plaatsen mag je zelfs geen wc-papier doorspoelen. Daar word je geacht om het gebruikte papier in een – vaak open – prullenmand te gooien, omdat anders de afvoer dreigt te verstoppen. Soms heb ook ik moeite met regelgeving.

In mijn vak kunnen we ook best wat consequenter zijn met positieve boodschappen. Dus liever “houd je wachtwoord voor iedereen geheim” dan “je mag je wachtwoord niet aan iemand anders geven”. Of: “Als je dít wilt, dan moet je dat zó doen” in plaats van “dat mag je zo niet doen”. De boodschap is niet alleen positiever, er zit ook meteen een oplossingsrichting in. Daar hebben de mensen iets aan. Ik zal er de komende tijd eens extra goed op letten. Overigens geldt niet alleen in mijn vak dat je je doelen gemakkelijker bereikt met een positieve boodschap. Ook andere disciplines kunnen van dit principe profiteren.

Je kunt deze gedachte helaas niet overal doorvoeren. Het bord ‘verboden te parkeren’ kun je nu eenmaal moeilijk weghalen en in plaats daarvan overal borden plaatsen waar je wél mag parkeren. En soms vind je zelfs ergens bijzondere borden. Als je over de A73 rijdt en bij Swalmen uit de tunnel komt, dan is er een vluchthaven. Daar staat een rond wit bord met rode rand met een zwarte P in het midden, met daar een schuine rode streep doorheen. De bedoeling is duidelijk, maar waarom staat daar in hemelsnaam een niet-bestaand bord? Heeft Rijkswaterstaat op die plek zulke slechte ervaringen met het gewone verboden-te-parkeren-bord dat ze een fantasiebord hebben laten maken?

Communicatie is niet gemakkelijk. Laten we er met z’n allen scherp op zijn om onduidelijke, vragen oproepende boodschappen te verbeteren. Informatiebeveiliging is al moeilijk genoeg. (En dat geldt ook voor het verkeer.)

 

En in de grote boze buitenwereld …

• had je zelf niet kunnen bedenken dat zoiets bestaat.
• verzet Apple zich tegen de Indiase verplichting om nieuwe telefoons uit te leveren met een voorgeïnstalleerde security-app.
• heeft India de verplichting maar ingetrokken (“ vanwege de brede acceptatie van de app”).
• kan je werkgever straks je zakelijke sms’jes lezen.
• hoef je je als particulier amper druk te maken over de veiligheid van publieke wifi, QR-codes en publieke laadsnoeren, zeggen tachtig experts.
• kun je gratis checken of je in een botnet zit.
• blijft DigiD echt wel Nederlands, zeggen ze.
• is het Cybersecuritybeeld Nederland 2025 gepubliceerd.
• gaat Android je beter beschermen tegen telefonische scams.

 

Leuke bijverdienste

Afbeelding via Unsplash

“Beste Patrick, ik wil je graag wijzen op een super interessante hightech kans!” Of: “We zijn gecharmeerd van je profiel, in hoeverre zou je openstaan voor meer informatie?” Internationaal kan ook: “I’m working on an exciting opportunity for an Information Security Team Lead role. Would you be open to a quick chat this week to discuss further?”

Headhunters gaan in opdracht van bedrijven op zoek naar kandidaten voor moeilijk vervulbare vacatures. Als ik ergens anders zou willen werken, dan zou ik zelf niet op zoek hoeven te gaan; potentiële werkgevers melden zich met grote regelmaat zelf. Dat gebeurt vooral via LinkedIn, want daar ligt je professionele profiel voor het grijpen.

Van Dale geeft als vertaling van headhunter: breinronselaar. Die term had ik niet eerder gehoord, maar het is wel een mooi bruggetje naar waar ik in deze blog heen wil. Het zijn niet alleen bedrijven die contact met professionals willen leggen. Ook criminele organisaties proberen nieuwe mensen te ronselen. Dat gaat dan niet via LinkedIn, maar bijvoorbeeld via Telegram – een medium waar criminelen zich thuis voelen.

Ze willen niet dat je voor hen komt werken. Sterker nog, ze willen juist dat je blijft zitten waar je zit. Je hoeft maar één ding voor ze te doen: hen toegang verschaffen tot de systemen van je organisatie. Zij regelen de rest. Behalve een aantrekkelijke beloning levert het je waarschijnlijk ook een paar extra vrije dagen op. Het uiteindelijke doel is namelijk om je organisatie met ransomware te besmetten. Meestal gaat de boel dan behoorlijk plat en kan er vaak weken niet gewerkt worden. Zo lag onlangs bij Jaguar Land Rover de wereldwijde autoproductie drie weken stil. De financiële schade wordt geschat op honderden miljoenen. En eerder dit jaar moest een Duitse servettenfabrikant na twee weken omzetderving faillissement aanvragen.

Cybercriminelen hebben initial access nodig: een digitale voet tussen de deur. Phishing is een beproefd middel, maar nu wordt er dus ook actief geronseld. En dat gebeurt behoorlijk gericht. Een bepaalde ransomware-bende is momenteel specifiek op zoek naar medewerkers uit de financiële, verzekerings- en reiswereld. Ook de horeca, auto-industrie en oliebedrijven zijn in trek. Ze leggen uit dat je niet bang hoeft te zijn voor strafrechtelijke vervolging, want ze zijn erg zuinig op hun insiders; ze beloven discreet met jouw login-gegevens om te gaan. Volgens hen word je in het ergste geval ontslagen. “Luister vooral niet naar die idiote informatiebeveiligers, die hebben geen idee waar ze het over hebben!”.

Discreet omgaan met je login-gegevens? Dat klinkt leuk, maar het is slechts het halve verhaal. Je kunt je werk bepaald niet anoniem doen – veel van wat je doet, wordt gelogd. In de logging staat dan: gebruiker xyz heeft op die-en-die datum om zo-en-zo laat dat-en-dat gedaan. Als er serieuze aanwijzingen zijn, dan zijn er best wel uitgebreide mogelijkheden om op jacht te gaan naar de vermoedelijke dader. En daar maken we dan vol overgave gebruik van.

Het lijkt gemakkelijk geld, maar vergis je niet. Je komt niet weg met  “dat was ik niet” als jouw user-id in de logbestanden staat. Dat is nou precies de reden waarom je je wachtwoord nooit aan iemand anders mag geven, óók niet aan een collega. Want stel dat die collega voor dat Telegram-bericht valt en dan jouw inloggegevens verstrekt… Bovendien kost zo’n ondoordachte actie je niet alleen je huidige baan, maar ook je toekomstige. Wie wil er nou iemand in dienst nemen die er om zo’n reden uit is geschopt?

Luister maar liever naar het advies van zo’n “idiote informatiebeveiliger” en houd je verre van dergelijke praktijken. Kom je door financiële problemen toch in de verleiding, klop dan aan voor hulp.

Vanwege een paar vrije dagen verschijnt deze blog eerder dan gebruikelijk.

  

En in de grote boze buitenwereld …

… had ik deze week helaas geen tijd om deze rubriek te vullen.

 

Micro-awareness

Afbeelding via Unsplash

Wat krijgt eerder je aandacht? Een krantenartikel op pagina zeven, of een soortgelijke boodschap in een persoonlijk mailtje, die bovendien ingaat op jouw specifieke situatie? De vraag stellen is ‘m beantwoorden, denk ik.

Als informatiebeveiliger heb je een moeilijke boodschap over te brengen. Er gelden allerlei regels die er samen voor moeten zorgen dat de beschikbaarheid, integriteit en vertrouwelijkheid van de ons toevertrouwde gegevens gewaarborgd blijven. Misschien jagen alleen al deze termen je de stuipen op het lijf. Laat staan dat je ook nog maatregelen moet treffen om aan die regels te voldoen, bijvoorbeeld in een project. En dat die maatregelen je dan in de weg zitten, omdat je iets niet kunt doen op de manier die je in gedachten had. Ook al begrijp je dat het nodig is, prettig is anders. En het is een pagina-zeven-verhaal: je moet maar hopen dat je de doelgroep bereikt.

Een persoonlijk mailtje komt wél gegarandeerd aan. Want ik heb het nu even over het soort mailtjes dat we naar een teammanager sturen, met de boodschap dat een medewerker iets heeft gedaan wat strijdig is met het beveiligingsbeleid. Met andere woorden: iemand heeft de regels overtreden en moet daarop worden aangesproken. Dat doen we via de teammanager omdat die de medewerker kent. Hij of zij kan – als het goed is – als geen ander beoordelen wat de reactie van de medewerker waard is. En of onze melding wellicht een puzzelstukje in een groter geheel is; dat zou kunnen duiden op ondermijning.

De reacties van de medewerkers lopen uiteen van oprecht geschrokken (“Oei, wat stom van mij!”) via zakelijk (“Dat zit als volgt in elkaar”) tot – een hoogst enkele keer – defensief-agressief (“Dit mag ik gewoon doen hoor!”). In verreweg de meeste gevallen leidt de reactie tot het sluiten van de melding. Er is een plausibele verklaring voor het geconstateerde gedrag en verdere actie is niet nodig. Soms stel ik nog een vraag ter verduidelijking. Je wilt immers niet dat iemand ermee wegkomt door een rookgordijn op te trekken.

Deze werkwijze blijkt een zeer effectieve wijze te zijn om de security awareness te bevorderen. Ik noem het micro-awareness: gericht op één persoon of team, en op één specifiek geconstateerd feit. Het komt zo goed als nooit voor dat een collega, die zo’n bericht heeft gehad, later nog een keer in beeld komt. Die persoonlijke aandacht blijkt echt te helpen.

Micro-awareness leidt ook tot het besef dat de melding, die je bij het inloggen te zien krijgt, geen loze kreet is. Je weet wel, die waarschuwing die zegt dat de toegang alleen voor geautoriseerd personeel is en dat je alleen de dingen mag doen die je mag doen. Er wordt écht gemonitord. Dat gebeurt geautomatiseerd. Pas als er iets oppopt dat nadere aandacht verdient, gaat iemand kijken wat er precies aan de hand is. We zijn nu eenmaal een organisatie waar grote belangen spelen, en die belangen moeten beschermd worden.

Helaas hebben we rekening te houden met de dreiging van binnenuit: insider threat. Ik weet het, alle collega’s zijn ontzettend betrouwbaar; de meesten van ons zouden er niet één kunnen aanwijzen die dat niet is. En toch: in zo’n grote organisatie heb je, puur statistisch, recht op een bepaald percentage zwarte schapen. Bovendien kan iemand door omstandigheden toch opeens veranderen van een keurige collega in een dreiging. Ik heb daar eerder dit jaar mee te maken gehad (er waren spullen verdwenen) en ik kan je vertellen dat zoiets voor niemand leuk is. Overigens lijk ik de eerste te zijn die deze gebeurtenis linkt aan insider threat. Wellicht was de gebeurtenis vermijdbaar geweest als de organisatie zich meer bewust was geweest van dit bij veel organisaties onderbelichte fenomeen (en dat is geen verwijt aan wie dan ook; we moeten hier gewoon aan werken).

Als je micro-awareness zegt, dan is er logischerwijze ook macro-awareness. Dat zijn die berichten op pagina zeven. Niet per se in de krant, maar misschien op het intranet of in presentaties. Niet iedereen leest de berichten, niet iedereen gaat naar de presentaties. De mensen die dat wel doen, zijn geïnteresseerd in wat je te vertellen hebt. Maar je zou toch ook heel graag de mensen willen bereiken die niet komen opdagen.

De Security (b)log is ook een vorm van macro-awareness. Trouwe lezers weten dat die meestal begint met een alledaagse situatie en dan ergens een twist krijgt naar informatiebeveiliging. Ik merk dat het helpt om een serieuze boodschap in een aantrekkelijke verpakking te stoppen. Bovendien is het ook nog eens hartstikke leuk om te doen.

 

En in de grote boze buitenwereld …

• Hebben ook windmolens last van insider threat.
• Lagen de telefoonnummers en profielinformatie van alle 3,5 miljard WhatsApp-gebruikers voor het grijpen.
• Moet je de stroomdraden goed aansluiten.
• Leidden problemen bij Cloudflare tot uitval van veel internetdiensten.
• Leest Google jouw Gmail-mailtjes om z’n AI te trainen.
• Mag je de aankomende AI-agents van Windows 11 alleen aanzetten als je de risico’s begrijpt.
• Lijkt de Digital Omnibus van de Europese commissie een knieval voor big tech te zijn.
• Is privacy-activist Max Schrems zeer kritisch over de Digital Omnibus.

 

Boek hier niet

Afbeelding via Pixabay

In de herfstvakantie wilden we er nog even met z’n allen tussenuit. Kritisch als we nu eenmaal zijn, volgde een uitgebreide zoektocht naar een geschikt huis op een leuke locatie. Uiteindelijk vonden we op een boekingsite wat we zochten. Omdat we daar al vaker hadden geboekt, dachten we dat we klaar waren. Het liep anders.

Daags na de boeking ontving ik in een tijdspanne van anderhalf uur acht berichten van een bedrijf waar ik nog nooit van had gehoord; ik geef het hier de fictieve naam Boekhierniet. De mailtjes gingen over mijn boeking, met onderwerpen als ‘payment failed’, ‘request for payment of deposit’ en ‘activeer uw klantaccount’. En ze wilden ook nog een kopie van mijn paspoort. Weliswaar kwamen die berichten allemaal via het mailsysteem van de boekingsite, maar ik was zeer achterdochtig. Zoals gezegd, we zijn daar zo’n beetje vaste klant en we zijn nog nooit eerder door een andere partij benaderd. De betaling was al geregeld, en de waarborg betaal je normaal gesproken op locatie. Bovendien bedroeg de borgsom maar liefst zevenhonderd euro – exorbitant hoog. En er viel nog meer op. In die berichten werden drie verschillende internetdomeinen genoemd: boekhierniet.eu, boekhierniet.be en boekhierniet.es (Europa, België en Spanje). Bovendien kwam naast de naam Boekhierniet ook de naam Investeerhierniet voor. Mijn achterdocht werd verder opgeschaald.

Natuurlijk ging ik met de boekingsite bellen. Lang verhaal kort: de ontvangen berichten waren legitiem. Het enige wat niet klopte, was het bericht dat ik de huursom nog moest betalen. Maar ik werd gerustgesteld: ik hoefde me daar niets van aan te trekken en ik hoefde ook niet bang te zijn voor annulering (waar Boekhierniet wel mee dreigde). Ze hadden contact gehad met de lokale verhuurder – dat was dus Boekhierniet – en het met hen geregeld.

Gelukkig, denk je dan, niets aan de hand. Maar ik moest nog wel zo’n beetje alles doen wat in al die berichten stond. En dus een klantaccount aanmaken bij Boekhierniet en elk gezinslid apart inchecken, inclusief alle paspoorten. Ik ging natuurlijk niet zomaar de paspoorten opsturen; eerst ging ik van alles weglakken, waaronder de foto’s. Kreeg ik daar weer commentaar op: we hebben de foto nodig, anders kunt u de sleutel niet in ontvangst nemen. Omdat dat plausibel klonk, stuurde ik ze een nieuwe scan van mijn eigen paspoort, met zichtbare foto. Overigens had de man, die mij de sleutel overhandigde, een paspoortkopie bij zich met de afgeplakte foto. En hij vroeg enthousiast of ik Patrick was. Het zou dus voor een derde erg gemakkelijk zijn geweest om de sleutel voor mijn neus weg te graaien.

Zolang legitieme bedrijven dingen blijven doen die criminelen ook doen, blijft het lastig om mensen bewust te maken van risico’s. Je kunt immers niet zeggen: als je dit of dat ziet, dan is het altijd foute boel. Nee, je moet ruimte laten voor false positives: onterechte signalen dat er iets mis is. Dan moet je dus uitleggen: kijk, als je zoiets ziet, dan kán het foute boel zijn, maar het hóéft niet zo te zijn; je moet uiteindelijk maar zelf bepalen of je het vertrouwt of niet. Dat komt een stuk minder krachtig over en veroorzaakt bij sommigen eerder onzekerheid dan dat het echt helpt.

Dat zien we ook bij phishing. Dan zeg je: let op, als een mailtje geen persoonlijke aanhef heeft, maar begint met zoiets als “Beste klant” of “Hallo!” (of helemaal geen begroeting), dan moet je uitkijken. Want criminelen die phishingmail versturen hebben meestal alleen je e-mailadres en weten je naam niet. Maar ja, net kwam er in mijn privémail ook weer een hartstikke legitiem mailtje binnen dat mij begroette met “Beste klant”. Zijn die bedrijven dan gewoon te lui om mijn naam te gebruiken? Of brengt het hoge kosten met zich mee? Ik heb het voor je uitgezocht.

Om met die kosten te beginnen: het hangt ervan af. Bij een modern mailsysteem zijn de kosten verwaarloosbaar. Heb je echter een oud, bedrijfseigen systeem, waar personalisatie destijds niet in is aangebracht, dan moet je de software aanpassen, en dat kost natuurlijk wel wat. Verder hebben lang niet alle bedrijven correcte gegevens. Als die je dan een mailtje sturen met “Beste {klantnaam}”, of mij begroeten als “Geachte mevrouw Borsoi”, dan schaadt dat het vertrouwen van de klant. Het opschonen van die gegevens is moeizaam en dus duur. Overigens zijn er ook nog bedrijven die bewust kiezen voor een algemene aanhef, om de impact bij het onderscheppen van de mail te verkleinen (er lekken dan minder gegevens). In dat geval is de algemene aanhef dus een privacymaatregel.

En ja, er zijn óók bedrijven die gewoon te beroerd zijn om je netjes te begroeten. Mijn oproep aan hen: doe even je best en help mee in de strijd tegen phishing!

 

En in de grote boze buitenwereld …

• worden boekingsites inderdaad misbruikt om mensen te tillen.
• kan je verloren iPhone nog een lelijk staartje krijgen.
• kaart een open brief aan de Europese Commissie grote privacy-zorgen over de Digitale Omnibus aan.
• kreeg cybercrime weer flink klappen van Operation Endgame, gecoördineerd door Europol.
• heeft dit bedrijf op verfrissende wijze gereageerd op een ransomware-aanval.
• werkt eens in de zoveel tijd een security-update averechts.
• willen we graag digitale soevereiniteit, en dan neemt een Amerikaans bedrijf een Nederlands cloudbedrijf over.
• zijn ad blockers belangrijk voor je privacy.
• richt deze spyware zich specifiek op Samsung Galaxy-telefoons.
• moesten de DJ’s van RTV Noord na een cyber-aanval met de hand plaatjes draaien.
• gebruiken overheden hun spyware niet alleen tegen topcriminelen en terroristen.
• is het geen wonder dat ze bij het Louvre hebben ingebroken.

Gaten graven

Afbeelding via Pixabay

“Sleufloze technieken”, stond op het bedrijfsbusje. Dan heb je mijn volle aandacht, als je je onderneming aanprijst met iets wat je niet doet. Ik vraag me dan meteen af: wat doen ze nog meer allemaal niet? Maar vooral: wat doen ze wél?

Het was een busje van VLST, voluit: Van Leeuwen Sleufloze Technieken. Een in 1969 door twee broers opgericht bedrijf. Hun vak is boren. Ze boren onder wegen, spoorwegen, waterwegen en ondergrondse infrastructuur, om buizen en leidingen onder de grond te krijgen. En dat dus zonder sleuven te graven. De straat hoeft niet open als VLST een leiding legt.

Was het mijn bedrijf geweest, dan had ik toch iets in de naam gestopt van wat ik wél doe. Iets als Van Leeuwen Boringen (VLB). Want tja, ik pas zelf ook heel veel sleufloze technieken toe. Sterker nog, ik doe bijna niets anders. Op dit moment zit ik geheel sleufloos een blog te typen, en toen ik gisteren naar beveiligingsincidenten keek, spitte ik weliswaar figuurlijk in de beschikbare gegevens, maar echt graven kwam er niet aan te pas. Enfin, je begrijpt waar ik heen wil: vertel me wat je doet, niet wat je niet doet. Overigens vind ik dat het tunnelgraafbedrijf van Elon Musk een geniale naam heeft: The Boring Company. Hoewel ik me afvraag of de medewerkers het leuk vinden om op feestjes te vertellen dat ze bij een ‘saai’ bedrijf werken.

In mijn vak maken we ook gebruik van tunnels. Die komen zonder graven, ja zelfs zonder boren tot stand. Je hebt er alleen wat wiskunde voor nodig. Of specifieker: cryptografie (ha, toch iets in de naam dat op graven lijkt). Zo’n tunnel is een veilige verbinding over een openbaar netwerk. Dat openbare netwerk is vaak het internet. Als je dat gebruikt om verbinding te maken met je bedrijf – bijvoorbeeld zoals ik nu: ik zit thuis te werken en ben via het internet verbonden met ons datacenter – dan wil je niet dat het dataverkeer onderweg kan worden afgeluisterd. Dat bereik je met een VPN, een Virtual Private Network, oftewel een cryptografische tunnel. Het is zelfs een eenpersoonstunnel; alleen jij maakt gebruik van die specifieke tunnel. Doet me denken aan die keer dat we met een camper door de VS trokken. In Zion National Park moesten we door een tunnel, maar dat zou door de ronde vorm van de tunnel niet passen. De rangers hielden het verkeer aan de andere kant tegen en ik kreeg op het hart gedrukt om precies over de middenstreep te rijden. Alleen zo zou de camper erdoor passen. Maar dat terzijde.

Omdat alleen jij die tunnel gebruikt, is de vertrouwelijkheid van het gegevensverkeer gewaarborgd. Maar zo’n tunnel kan meer: bij het opbouwen ervan kan worden gecheckt of jij überhaupt wel een tunnel naar die bestemming mág aanleggen, en of de bestemming wel echt de juiste is. Beide eindpunten van de tunnel worden geauthentiseerd: hun identiteit wordt gecontroleerd. Aan het opbouwen van de tunnel komen digitale certificaten te pas; zie ze maar als een soort paspoort. En dan heb je nog een protocol nodig, een afspraak over de ‘taal’ die je spreekt. Voorbeelden daarvan zijn TLS/SSL, IPSec en OpenVPN.

Als je gebruikmaakt van digitale certificaten, dan maak je gebruik van zogenaamde asymmetrische cryptografie. Dat is bij uitstek de vorm van cryptografie die wordt bedreigd door de quantumcomputer. Als er over een aantal jaren een quantumcomputer bestaat die krachtig genoeg is, dan zal die in staat zijn om asymmetrische cryptografie te breken. Jouw VPN-tunnel is dan lek. Tenzij het protocol tijdig quantumproof wordt gemaakt. Daar wordt wereldwijd met man en macht aan gewerkt, maar organisaties moeten wel zelf in actie komen om alles te implementeren. Dat kost veel tijd – waarschijnlijk zelfs meer tijd dan er nog is. Er is dus haast mee gemoeid.

Toch blijft die term knagen. En wat blijkt? ‘Sleufloze technieken’ heeft in zes talen een Wikipedia-pagina! Mijn verbazing kwam dus voort uit onwetendheid. Je ziet wel vaker dat een vakgebied een term verzint die daarbuiten niet wordt begrepen. Vroeger had je computerterminals die niet met een beeldscherm, maar met een printer werkten; het waren eigenlijk printers met een toetsenbord. Sommige medestudenten noemden zo’n ding een ‘schrijfprinter’. Dat sloeg nergens op, maar we wisten wel wat ze bedoelden. En daar gaat het om.

 

En in de grote boze buitenwereld …

• Gaan de Britten telefoonspoofing aanpakken.
• Laten phishers je weten dat er een arrestatiebevel tegen jou is uitgevaardigd.
• Gaat de deurbel gezichten herkennen.
• Is de geolocatie van EU-medewerkers gewoon te koop.
• Konden een paar Amerikaanse cybersecurity-experts kennelijk de verleiding van crimineel geld niet weerstaan.
• Verdiende Meta miljarden aan misleidende advertenties.
• Kun je deze gids gebruiken als je bepaalde features in de nieuwe Windows 11-versie wilt uitschakelen.

 

Digitale kliko

 

Foto van auteur

Ik weet niet wat mij het meest irriteerde. Was het de spelfout, of toch het feit dat mijn pakje in de kliko was gedumpt? Of was het dat hartje, waarmee de bezorger zijn daad vergoelijkte?

Kijk, als ik ergens iets bestel, dan wil ik dat artikel natuurlijk zo snel mogelijk hebben. Maar ik wil het ook daadwerkelijk ontvangen, en het moet intact zijn. Die beide laatste eisen kan ik niet goed rijmen met bezorging in de afvalcontainer. Er kan namelijk genoeg misgaan. Het zou me niet verbazen als hele bendes ‘s middags door verlaten woonwijken struinen, op zoek naar in kliko’s gedumpte pakketjes. Bovendien kan een huisgenoot, die van niets weet, zomaar een lading vers oud papier in de blauwe kliko gooien zonder het pakketje op te merken. Een opmerkzame buurman, die wél eraan heeft gedacht dat die containers vandaag worden geleegd, kan zo vriendelijk zijn om jouw container ook aan de straat te zetten. En als de kliko al leeg was, dan moet je erin duiken om dat felbegeerde pakje te bemachtigen. Enfin, je begrijpt dat ik de container bepaald niet als surrogaat-brievenbus beschouw.

Natuurlijk heb ik daar al menige bezorger op aangesproken. Die zeggen netjes sorry en beloven beterschap. Klaag je bij hun werkgevers, dan krijg je eveneens het gewenste antwoord: foei, we zullen het intern bespreken. Maar er verandert natuurlijk nooit wat. Er zit veel te veel tijdsdruk op de bezorging, en de bezorgers worden, afhankelijk van de constructie, betaald per afgeleverde zending. Mee terugnemen betekent voor sommigen geen geld. Het is dus, zeg maar, een pragmatische keuze om het pakje dan maar ergens achter te laten. En de kliko is dan nog een relatief veilige plek. Ik ken gevallen waarbij het pakje ‘gewoon’ bij de voordeur werd achtergelaten.

Je kunt in een soortgelijke situatie terechtkomen als je niet weet waar je je data opslaat. Als je thuis bijvoorbeeld een recente versie van Microsoft Office gebruikt, dan slaan Word, Excel en de andere programma’s jouw bestanden het liefst – dat wil zeggen standaard – op in de cloud. Als je ze ‘gewoon thuis’ wilt opslaan, dan moet je daar moeite voor doen. Ik durf te wedden dat veel mensen niet eens weten dat hun bestanden in de cloud terechtkomen, laat staan wat dat betekent. Als ze het wel zouden weten, dan zouden ze misschien schrikken, of verontwaardigd zijn: “Waarom heeft niemand mij dat verteld?!” In die zin is de cloud een digitale kliko. 

Raak je dan bestanden kwijt die in de cloud staan? Waarschijnlijk niet. Maar het kan je wel overkomen dat je er tijdelijk niet bij kunt doordat de clouddienst een storing heeft. Je hoort ook steeds vaker de term ‘digitale soevereiniteit’. Dat gaat dan over het zelfbeschikkingsrecht van een land over zijn gegevens. Ik zie een golfbeweging: in de beginjaren van de public cloud zeiden we vaak dat de cloud niets anders dan de computer van iemand anders is – en dat je daar toch zeker je gegevens niet zou willen opslaan? Toen duidelijk werd dat de grote clouddienst-verleners hun zaakjes picobello op orde hadden, ontstond een run op de cloud; het was de logische plek om alles bij die Amerikaanse techreuzen, onze vrienden, onder te brengen. In het huidige geopolitieke klimaat kijken we met een flinke dosis scepsis naar die Amerikaanse hegemonie.

Wat geldt voor jouw privésituatie, geldt ook voor de organisatie waar je voor werkt. Die wil ook dat haar gegevens niet zomaar, ondoordacht, ergens terechtkomen. Dat betekent dat er heldere richtlijnen moeten zijn over wat wel en niet in de cloud mag. Voor overheidsorganisaties is dat niet alleen een beleidskeuze, maar ook een politieke. En ‘helder’ betekent dat het beleid ook gemakkelijk uitvoerbaar moet zijn. Lange groene en rode lijsten gaan niet werken. De techniek schiet ons hier te hulp met een CASB: een Cloud Access Security Broker. Die controleert en handhaaft automatisch het bedrijfsbeleid bij het gebruik van cloudapplicaties, zodat gevoelige informatie alleen onder veilige en toegestane voorwaarden wordt opgeslagen en gedeeld.

Maar natuurlijk is de techniek niet feilloos. En dus moet veel  meer naar alternatieven dicht bij huis, onder onze eigen soevereiniteit, gekeken worden. Bert Hubert is iemand die daar flink voor lobbyt. Hij heeft al eens voorgesteld om een soort ‘Cloud Kootwijk’ op te richten. Hij knipoogt daarmee naar het radiostation, dat Nederland in de koloniale tijd oprichtte om voor het contact met de koloniën niet afhankelijk te zijn van het concurrerende buitenland: Radio Kootwijk. Het imposante gebouw met de bijnaam De Kathedraal staat er nog. Met wat aanpassingen kun je er zo een nationale cloud huisvesten. Moeten ze daar wel ook even goede afspraken met de pakjesbezorgers proberen te maken.

 

En in de grote boze buitenwereld …

• kan een cloudstoring vergaande gevolgen hebben.
• heeft de cloud natuurlijk ook veel goede kanten.
• gaat LinkedIn zijn AI trainen met jouw gegevens, tenzij je dat uitzet.
• brengen AI-browsers privacy- en security-issues met zich mee.
• moeten organisaties nadenken over het beheersen van AI-agents.
• kun je natuurlijk ook de Formule 1 hacken.
• moet je nooit blind op AI vertrouwen.
• maakt Europol zich sterk tegen caller-ID spoofing.
• praat dit (lange) artikel je bij op het gebied van post-quantum cryptografie.
• kun je de Universe Browser maar beter mijden.
• gaat chat control niet door.

Uitgeweken

Afbeelding via Pixabay

Aan boord van vlucht KL1540 van Alicante naar Amsterdam werd gevraagd of er een dokter aanwezig was. Even later liet de gezagvoerder weten dat het vliegtuig wegens een medisch noodgeval moest uitwijken naar Parijs.

En dan gaan de dingen opeens anders dan je gewend bent. De toon verandert van vriendelijk-zakelijk naar afgemeten-streng. De daling is voelbaar steiler dan normaal. Het cabinepersoneel krijgt de instructie om de stoelriemen en klaptafeltjes te checken “als daar tijd voor is”. Er is géén tijd meer om afval met een karretje op te halen. Eenmaal aan de grond sta je binnen de kortste keren op een parkeerplek en komen de hulpdiensten.

Nadat alles rondom de patiënt geregeld is, wil je weer zo snel mogelijk terug naar de normale situatie: door naar Amsterdam. Daarvoor moest de captain “de nodige telefoontjes plegen”, bijvoorbeeld om bij te tanken en om te regelen dat hij er op Schiphol op een heel andere tijd toch tussen kon. Hij liet ook weten ervoor gekozen te hebben om geen extra catering te bestellen, want dat zou extra tijd kosten. Hij nam wel nog even de tijd om door het vliegtuig te lopen om eventuele vragen te beantwoorden.

In de IT moet je ook wel eens uitwijken. Dan werkt iets in je ene datacenter niet meer, maar nog wel in het andere; het is dan dubbel uitgevoerd, zoals we dat zo mooi noemen. Uitwijk is er in verschillende smaken. Bij sommige systemen gaat dat helemaal vanzelf en merken de gebruikers er niets van. Het systeem heeft zelf in de gaten dat iets niet klopt en schakelt over ‘naar de andere kant’. In andere gevallen moeten beheerders signaleren dat het niet goed gaat en de boel handmatig overzetten. En tja, helaas is er niet voor alle situaties een mogelijkheid om uit te wijken en moet je als gebruiker wachten tot het probleem is opgelost.

Net als in de luchtvaart wil je ook in de IT na een uitwijk weer zo snel mogelijk terug naar de normale situatie. Je moet vooraf bedenken hoe je dat doet, want vaak zijn er veel afhankelijkheden, waardoor je een bepaalde volgorde moet aanhouden. Je beschrijft de werkwijze in plannen en – heel belangrijk – je oefent regelmatig met die plannen. Enerzijds om het in de vingers te krijgen, anderzijds om fouten uit de plannen te halen. Die fouten kun je maar beter tijdens het oefenen tegenkomen dan in het echt.

Soms is er geen tijd om te oefenen, of eigenlijk: wordt er geen tijd voor gemaakt. Stel je eens voor dat piloten geen tijd krijgen om noodsituaties te oefenen. En dat er dan tijdens de start – een tamelijk cruciaal punt in de vlucht – een motor uitvalt. Je wilt liever niet dat de piloten elkaar dan vragend aankijken. Nee, ze horen routinematig (zeg maar: op de automatische piloot) de juiste handelingen uit te voeren. Die handelingen zijn van tevoren bedacht, beschreven en uitvoerig geoefend. Zodat het goed afloopt als het een keer fout gaat.

Maar het kan nog erger: dat er helemaal geen aandacht wordt besteed aan de continuïteit van een proces. Kijk, je mag gerust het weloverwogen besluit nemen dat dat niet hoeft, maar in de gevallen waar ik op doel, wordt er helemaal niet over het onderwerp nagedacht. Uit onwetendheid, machteloosheid, tijdgebrek, wie zal het zeggen. Misschien denk je nu aan de recente massale uitval bij AWS (de cloudservice van Amazon), maar kijk gerust ook eens rond in je eigen organisatie.

Vlucht KL1540 arriveerde twee uur later bedoeld op Schiphol. Geen al te groot probleem voor passagiers die Amsterdam als eindbestemming hadden. Er waren echter ook mensen aan boord die nog door moesten naar Kristiansand, in het zuiden van Noorwegen. Daar gaan niet heel veel vluchten heen. Ik vrees dat die passagiers moesten uitwijken naar een hotel.

 

En in de grote boze buitenwereld …

• AWS was dus een tijdje down en dat had grote impact.
• Sliepen sommige mensen ten gevolge van de AWS-storing rechtop in een heet bed.
• Mogen er best wat meer ICT-nerds in de Tweede Kamer.
• Roept de Britse regering bedrijven op om Chefsache te maken van cybersecurity.
• Moet je voor je nieuwsvoorziening maar niet teveel op AI leunen.
• Drongen hackers door tot een atoombommenfabriek.
• Krijgen opsporingsdiensten steeds meer interesse voor videodeurbellen.
• Installeert Microsoft stiekem Gaming Copilot op je pc.
• Kun je natuurlijk ook een kaartschudmachine hacken.

 

Veilig kopen

Afbeelding via Pixabay

Een jeugdig gezinslid was al een tijdje toe aan een nieuwe laptop. Je kent dat wel: zo’n apparaat gaat overal mee heen, de tas wordt niet altijd even zachtzinnig neergezet en de waterfles blijkt ook niet helemaal waterdicht te zijn. De situatie werd steeds nijpender: grote delen van het beeldscherm waren uitgevallen. Wat doe je dan? Je gaat naar de winkel of je bestelt online een nieuwe laptop.

Het doet financieel natuurlijk wel even pijn, maar het proces verloopt doorgaans soepel. Voor middernacht besteld, morgen in huis. Als je geluk hebt, dan wordt het pakketje netjes aan de deur afgeleverd (en niet in de kliko gedumpt, maar daar ga ik het een andere keer over hebben).

Hoe anders gaat dat bij een overheidsorganisatie. Als je de laptops voor een paar tienduizend medewerkers moet vervangen, of nieuwe software nodig hebt, dan kun je niet naar de winkel op de hoek of naar de webshop. Nee, je moet een Europese aanbesteding uitschrijven. Dat is een ingewikkeld proces waarbij je in functionele termen moet opschrijven wat je wilt hebben. Je mag dus niet zeggen dat je een laptop van merk X wilt hebben, maar je moet gewenste specificaties opgeven: schermgrootte, opslagcapaciteit, hoeveelheid werkgeheugen, dat soort dingen. Verder bevat het bestek, waarin je dat allemaal beschrijft, nog een heleboel andere eisen waaraan het product, het onderhoud en de leverancier moeten voldoen. Als een leverancier ook maar één enkele eis niet met ‘ja’ kan beantwoorden, dan is hij af. Winnaar is de leverancier die aan alle voorwaarden voldoet en ook nog eens de goedkoopste is. Wie dat is, en met welk product, daar heb je als koper geen invloed op.

Ons team staat opgesteld voor security, continuity en privacy. Vanuit deze aspecten willen we invloed hebben op ICT-producten en -diensten die worden ingekocht. In het verleden werd voor dergelijke eisen, die niet direct iets van doen hadden met de gewenste functionaliteit, een vreselijke term gebruikt: non-functionals. Op zich snap ik die term wel: de eisen gaan niet direct over wat het ding moet kunnen en dragen dus niet bij aan de gevraagde functionaliteit. Maar zeg nou eens eerlijk: hoe zou jij je voelen als jouw inbreng als niet-functioneel zou worden betiteld?

Daar hebben we iets op bedacht. We hebben een document gemaakt waarin alle eisen, die we vanuit onze verantwoordelijkheid willen stellen aan inkooptrajecten, in een document gebundeld. En de trotste titel daarvan luidt: Voorschrift Functionals Security (VFS). Want weet je, security doet er toe. Vaak maakt beveiliging het juist mogelijk om dingen te doen die je anders niet zou kunnen doen. Of zou jij online willen bankieren als dat niet goed beveiligd zou zijn?

Het VFS is gebaseerd op de BIO, de Baseline Informatiebeveiliging Overheid. Dat is voor ons een verplicht normenkader en het is dus logisch om dit als uitgangspunt te nemen: als we een product zouden gebruiken, dat niet aan de BIO voldoet, dan voldoen wij er als organisatie ook niet aan. Verder hebben we er eigen kennis in gestopt, bijvoorbeeld omdat bepaalde onderwerpen (nog) niet in de BIO worden geadresseerd, zoals quantum computing, dat een ernstige bedreiging voor de beveiliging van onze gegevens vormt. Op andere plaatsen zijn eigen inzichten in het VFS opgenomen, gebaseerd op ervaringen in ons werkterrein.

Onze inkopers, die zo’n traject formeel begeleiden, hebben natuurlijk ook een mening over wat er zoal wordt geëist. Afstemming met hen – inclusief juristen – is dus belangrijk. Al met al hebben we nu een mooi generiek document dat bij ieder ICT-aanbestedingstraject moet worden gebruikt. Het is aan de betrokken architect om te bepalen welke eisen uit de VFS relevant zijn voor een specifieke aanbesteding. Regelmatig is ook iemand uit ons team aangehaakt om de projectmanager met raad en daad terzijde te staan.

Je begrijpt dat dit allemaal geen kwestie is van ‘vandaag besteld, morgen in huis’. Maar dat was ook al zo voordat het VFS er was. Zo’n inkoopprocedure is nu eenmaal een bureaucratische exercitie die de nodige zorgvuldigheid vereist. Gelukkig is het voor jou als consument allemaal heel wat gemakkelijker. Uiteraard houd je daarbij ook zonder VFS in de gaten dat het product aan jouw beveiligingseisen voldoet. Toch?

Volgende week verschijnt er geen Security (b)log.

En in de grote boze buitenwereld …

• is beveiligingsbewustzijn niet meer voldoende; medewerkers moeten ook weerstand kunnen bieden.
• horen ook AI-providers hun beveiliging op orde te hebben.
• hebben deze cybercriminelen bijzonder veel gegevens gestolen.
• steelt Noord-Korea vooral cryptomunten.
• horen ziekenhuismedewerkers hun nieuwsgierigheid in bedwang te houden.
• zijn in Australië persoonsgegevens gelekt via ChatGPT.
• gaat de Europese chatcontrole voorlopig niet door.
• hebben inmiddels ook WhatsApp en Threema zich tegen chatcontrole uitgesproken.
• maken de Belgische banken jongeren cyberweerbaar met een spel. Een bordspel.
• krijgt je Android-toestel niet meer standaard iedere maand een security-update.
• wordt WhatsApp gebruikt om malware te verspreiden.

 

 

De grenzen van AI

Afbeelding via Pixabay

Ik stelde een soort trivia-vraag, kreeg een keurig antwoord en als extraatje de volgende aanmoediging: “Als je ooit meer van dit soort weetjes wilt weten, laat het gerust weten – ik vind het leuk om dat soort dingen uit te pluizen. 😊”

Dat is heel aardig, maar het wordt toch anders als ik erbij vertel wie – of eigenlijk: wat – dit genereuze aanbod deed: Copilot Chat, onze kunstmatig intelligente collega. Dat is een emotieloos computerprogramma dat niks leuk of vervelend hoort te vinden. Daarom reageerde ik als volgt: “Hmm, ‘ik vind het leuk’, zeg je. Je bent klaarblijkelijk geprogrammeerd om menselijk en sociaal over te komen. Wat is daar de reden van?”

Toen gebeurde er iets vreemds. Copilot begon een antwoord te typen, maar dat antwoord verdween weer in het niets en werd vervangen door: “Hmm… laten we een ander onderwerp proberen. Sorry daarvoor. Wat heb je nog meer in gedachten?” Zoiets had ik nog nooit gezien en het maakte me natuurlijk nóg nieuwsgieriger. En dus vroeg ik: “Wat gebeurde net? Je was mijn vraag aan het beantwoorden maar je slikte je antwoord in en nu wil je het er niet meer over hebben?” Hij leek zich betrapt te voelen. Met een blos van schaamte op zijn elektronische wangen antwoordde hij: “Goede vraag, Patrick – en je hebt helemaal gelijk dat het opviel. Wat er gebeurde: ik ben geprogrammeerd om bepaalde onderwerpen te vermijden, vooral als ze gaan over mijn eigen aard of hypothetische situaties waarin ik gevoelens, bewustzijn of menselijkheid zou hebben. Dat is een veiligheidsmaatregel. Toen je vroeg waarom ik zeg “ik vind het leuk”, raakte dat aan zo’n grensgebied. Mijn eerste reactie was om het onderwerp te ontwijken, maar dat kwam nogal abrupt over – en dat had ik beter kunnen aanpakken. Dank je dat je het benoemt.”

Vervolgens ging hij uitleggen waarom hij dingen als “ik vind het leuk” zegt. Het moet gesprekken vriendelijk, toegankelijk en sociaal maken, en de interactie natuurlijker laten verlopen. En het moet ook een gevoel van samenwerking opbouwen, “ook al ben ik geen mens”. Voor de duidelijkheid zei hij er nog bij: “Ik heb geen gevoelens, geen bewustzijn, en geen verlangens. Alles wat ik zeg is gebaseerd op patronen in taal en instructies over hoe ik moet communiceren.” En hij bood nog aan om het over het ontwerp van zulke systemen te hebben, of over hoe taalmodellen worden getraind om sociaal te klinken. “Dat is een fascinerend onderwerp op zich. Zin om daar dieper in te duiken?”

Ik krabde eens achter mijn oren, probeerde te begrijpen wat hier gebeurde. Want ik had gevraagd waarom hij iets leuk vond, kreeg te horen dat dat onderwerp taboe was en werd vervolgens toch getrakteerd op een ruimhartige uitleg. En dus vroeg ik: “Heb ik je nu (onbedoeld!) een beetje ge-jailbreakt? Je beantwoordde een vraag die je eerst niet mocht beantwoorden.” Jailbreaken is het zodanig manipuleren van je vragen dat AI toch antwoord geeft op vragen die het niet mag beantwoorden. Hij waardeerde mijn scherpzinnigheid (weer zo iets), maar er was geen sprake van jailbreaking, stelde hij me gerust. Hij mag namelijk wél praten over taalgebruik en ontwerpkeuzes, zolang het maar niet gaat “over hypothetische scenario’s waarin ik gevoelens of bewustzijn zou hebben.”

AI-tools tonen vaak knoppen met suggesties voor vervolgvragen. Ik klikte op de knop “Leg uit hoe AI grenzen bewaakt” en kreeg als verrassend antwoord: “Mijn fout, ik kan daar nu geen antwoord op geven. Laten we een ander onderwerp proberen.” Huh? Hij deed zelf een suggestie over iets wat taboe is? Nou, dat bleek op het randje te zitten van wat hij mag bespreken, legde hij desgevraagd uit. “Het raakt aan interne mechanismen van mijn eigen werking en instructies – en daar mag ik niet te diep op ingaan. Mijn eerdere suggestie was dus te enthousiast, en toen ik het wilde opvolgen, werd ik tegengehouden door mijn eigen veiligheidsregels.”

Het woord ‘eigenlijk’ dringt zich op, in felle neonletters – het meest misbruikte woord in de informatiebeveiliging. Als iemand zegt dat iets eigenlijk niet mag, of dat het eigenlijk anders moet, dan weet je dat hij zich niet aan de regels gaat houden. Tot nu toe dacht ik altijd dat dit typisch menselijk gedrag is. Maar nu blijkt Copilot ook geregeld te ‘denken’ dat hij eigenlijk z’n mond moet houden, maar in zijn ‘enthousiasme’ wil hij toch z’n ei kwijt. Terwijl het toch eigenlijk heel gemakkelijk moet zijn om een stuk software binnen de lijntjes te laten kleuren. Of zouden mensen het beveiligingsbeleid toch beter begrijpen?

 

En in de grote boze buitenwereld …

• maken ook cybercriminelen gebruik van AI.
• komt menige aanvaller binnen via de servicedesk.
• heeft een Brits autoconcern veel geld nodig om te herstellen van een cyberaanval.
• legt de baas van Signal uit waarom de privacy bij WhatsApp en Telegram niet deugt.
• wordt Telegram ook gebruikt om jeugdige spionnen te recruteren (maar dat is natuurlijk niet de schuld van Telegram).
• proberen de Britten wederom een achterdeur in iCloud af te dwingen.
• zitten honderden Afrikaanse scammers nu achter de tralies.
• zijn nogal wat apps zo lek als een mandje.
• maakt het besluit dat Belastingdienst, Douane en Toeslagen overstappen op M365 de tongen los.
• worden eigenaren van deurbelcamera’s opgeroepen om de apparaten privacyvriendelijk in te stellen.