Boek hier niet

Afbeelding via Pixabay

In de herfstvakantie wilden we er nog even met z’n allen tussenuit. Kritisch als we nu eenmaal zijn, volgde een uitgebreide zoektocht naar een geschikt huis op een leuke locatie. Uiteindelijk vonden we op een boekingsite wat we zochten. Omdat we daar al vaker hadden geboekt, dachten we dat we klaar waren. Het liep anders.

Daags na de boeking ontving ik in een tijdspanne van anderhalf uur acht berichten van een bedrijf waar ik nog nooit van had gehoord; ik geef het hier de fictieve naam Boekhierniet. De mailtjes gingen over mijn boeking, met onderwerpen als ‘payment failed’, ‘request for payment of deposit’ en ‘activeer uw klantaccount’. En ze wilden ook nog een kopie van mijn paspoort. Weliswaar kwamen die berichten allemaal via het mailsysteem van de boekingsite, maar ik was zeer achterdochtig. Zoals gezegd, we zijn daar zo’n beetje vaste klant en we zijn nog nooit eerder door een andere partij benaderd. De betaling was al geregeld, en de waarborg betaal je normaal gesproken op locatie. Bovendien bedroeg de borgsom maar liefst zevenhonderd euro – exorbitant hoog. En er viel nog meer op. In die berichten werden drie verschillende internetdomeinen genoemd: boekhierniet.eu, boekhierniet.be en boekhierniet.es (Europa, België en Spanje). Bovendien kwam naast de naam Boekhierniet ook de naam Investeerhierniet voor. Mijn achterdocht werd verder opgeschaald.

Natuurlijk ging ik met de boekingsite bellen. Lang verhaal kort: de ontvangen berichten waren legitiem. Het enige wat niet klopte, was het bericht dat ik de huursom nog moest betalen. Maar ik werd gerustgesteld: ik hoefde me daar niets van aan te trekken en ik hoefde ook niet bang te zijn voor annulering (waar Boekhierniet wel mee dreigde). Ze hadden contact gehad met de lokale verhuurder – dat was dus Boekhierniet – en het met hen geregeld.

Gelukkig, denk je dan, niets aan de hand. Maar ik moest nog wel zo’n beetje alles doen wat in al die berichten stond. En dus een klantaccount aanmaken bij Boekhierniet en elk gezinslid apart inchecken, inclusief alle paspoorten. Ik ging natuurlijk niet zomaar de paspoorten opsturen; eerst ging ik van alles weglakken, waaronder de foto’s. Kreeg ik daar weer commentaar op: we hebben de foto nodig, anders kunt u de sleutel niet in ontvangst nemen. Omdat dat plausibel klonk, stuurde ik ze een nieuwe scan van mijn eigen paspoort, met zichtbare foto. Overigens had de man, die mij de sleutel overhandigde, een paspoortkopie bij zich met de afgeplakte foto. En hij vroeg enthousiast of ik Patrick was. Het zou dus voor een derde erg gemakkelijk zijn geweest om de sleutel voor mijn neus weg te graaien.

Zolang legitieme bedrijven dingen blijven doen die criminelen ook doen, blijft het lastig om mensen bewust te maken van risico’s. Je kunt immers niet zeggen: als je dit of dat ziet, dan is het altijd foute boel. Nee, je moet ruimte laten voor false positives: onterechte signalen dat er iets mis is. Dan moet je dus uitleggen: kijk, als je zoiets ziet, dan kán het foute boel zijn, maar het hóéft niet zo te zijn; je moet uiteindelijk maar zelf bepalen of je het vertrouwt of niet. Dat komt een stuk minder krachtig over en veroorzaakt bij sommigen eerder onzekerheid dan dat het echt helpt.

Dat zien we ook bij phishing. Dan zeg je: let op, als een mailtje geen persoonlijke aanhef heeft, maar begint met zoiets als “Beste klant” of “Hallo!” (of helemaal geen begroeting), dan moet je uitkijken. Want criminelen die phishingmail versturen hebben meestal alleen je e-mailadres en weten je naam niet. Maar ja, net kwam er in mijn privémail ook weer een hartstikke legitiem mailtje binnen dat mij begroette met “Beste klant”. Zijn die bedrijven dan gewoon te lui om mijn naam te gebruiken? Of brengt het hoge kosten met zich mee? Ik heb het voor je uitgezocht.

Om met die kosten te beginnen: het hangt ervan af. Bij een modern mailsysteem zijn de kosten verwaarloosbaar. Heb je echter een oud, bedrijfseigen systeem, waar personalisatie destijds niet in is aangebracht, dan moet je de software aanpassen, en dat kost natuurlijk wel wat. Verder hebben lang niet alle bedrijven correcte gegevens. Als die je dan een mailtje sturen met “Beste {klantnaam}”, of mij begroeten als “Geachte mevrouw Borsoi”, dan schaadt dat het vertrouwen van de klant. Het opschonen van die gegevens is moeizaam en dus duur. Overigens zijn er ook nog bedrijven die bewust kiezen voor een algemene aanhef, om de impact bij het onderscheppen van de mail te verkleinen (er lekken dan minder gegevens). In dat geval is de algemene aanhef dus een privacymaatregel.

En ja, er zijn óók bedrijven die gewoon te beroerd zijn om je netjes te begroeten. Mijn oproep aan hen: doe even je best en help mee in de strijd tegen phishing!

 

En in de grote boze buitenwereld …

• worden boekingsites inderdaad misbruikt om mensen te tillen.
• kan je verloren iPhone nog een lelijk staartje krijgen.
• kaart een open brief aan de Europese Commissie grote privacy-zorgen over de Digitale Omnibus aan.
• kreeg cybercrime weer flink klappen van Operation Endgame, gecoördineerd door Europol.
• heeft dit bedrijf op verfrissende wijze gereageerd op een ransomware-aanval.
• werkt eens in de zoveel tijd een security-update averechts.
• willen we graag digitale soevereiniteit, en dan neemt een Amerikaans bedrijf een Nederlands cloudbedrijf over.
• zijn ad blockers belangrijk voor je privacy.
• richt deze spyware zich specifiek op Samsung Galaxy-telefoons.
• moesten de DJ’s van RTV Noord na een cyber-aanval met de hand plaatjes draaien.
• gebruiken overheden hun spyware niet alleen tegen topcriminelen en terroristen.
• is het geen wonder dat ze bij het Louvre hebben ingebroken.

Gaten graven

Afbeelding via Pixabay

“Sleufloze technieken”, stond op het bedrijfsbusje. Dan heb je mijn volle aandacht, als je je onderneming aanprijst met iets wat je niet doet. Ik vraag me dan meteen af: wat doen ze nog meer allemaal niet? Maar vooral: wat doen ze wél?

Het was een busje van VLST, voluit: Van Leeuwen Sleufloze Technieken. Een in 1969 door twee broers opgericht bedrijf. Hun vak is boren. Ze boren onder wegen, spoorwegen, waterwegen en ondergrondse infrastructuur, om buizen en leidingen onder de grond te krijgen. En dat dus zonder sleuven te graven. De straat hoeft niet open als VLST een leiding legt.

Was het mijn bedrijf geweest, dan had ik toch iets in de naam gestopt van wat ik wél doe. Iets als Van Leeuwen Boringen (VLB). Want tja, ik pas zelf ook heel veel sleufloze technieken toe. Sterker nog, ik doe bijna niets anders. Op dit moment zit ik geheel sleufloos een blog te typen, en toen ik gisteren naar beveiligingsincidenten keek, spitte ik weliswaar figuurlijk in de beschikbare gegevens, maar echt graven kwam er niet aan te pas. Enfin, je begrijpt waar ik heen wil: vertel me wat je doet, niet wat je niet doet. Overigens vind ik dat het tunnelgraafbedrijf van Elon Musk een geniale naam heeft: The Boring Company. Hoewel ik me afvraag of de medewerkers het leuk vinden om op feestjes te vertellen dat ze bij een ‘saai’ bedrijf werken.

In mijn vak maken we ook gebruik van tunnels. Die komen zonder graven, ja zelfs zonder boren tot stand. Je hebt er alleen wat wiskunde voor nodig. Of specifieker: cryptografie (ha, toch iets in de naam dat op graven lijkt). Zo’n tunnel is een veilige verbinding over een openbaar netwerk. Dat openbare netwerk is vaak het internet. Als je dat gebruikt om verbinding te maken met je bedrijf – bijvoorbeeld zoals ik nu: ik zit thuis te werken en ben via het internet verbonden met ons datacenter – dan wil je niet dat het dataverkeer onderweg kan worden afgeluisterd. Dat bereik je met een VPN, een Virtual Private Network, oftewel een cryptografische tunnel. Het is zelfs een eenpersoonstunnel; alleen jij maakt gebruik van die specifieke tunnel. Doet me denken aan die keer dat we met een camper door de VS trokken. In Zion National Park moesten we door een tunnel, maar dat zou door de ronde vorm van de tunnel niet passen. De rangers hielden het verkeer aan de andere kant tegen en ik kreeg op het hart gedrukt om precies over de middenstreep te rijden. Alleen zo zou de camper erdoor passen. Maar dat terzijde.

Omdat alleen jij die tunnel gebruikt, is de vertrouwelijkheid van het gegevensverkeer gewaarborgd. Maar zo’n tunnel kan meer: bij het opbouwen ervan kan worden gecheckt of jij überhaupt wel een tunnel naar die bestemming mág aanleggen, en of de bestemming wel echt de juiste is. Beide eindpunten van de tunnel worden geauthentiseerd: hun identiteit wordt gecontroleerd. Aan het opbouwen van de tunnel komen digitale certificaten te pas; zie ze maar als een soort paspoort. En dan heb je nog een protocol nodig, een afspraak over de ‘taal’ die je spreekt. Voorbeelden daarvan zijn TLS/SSL, IPSec en OpenVPN.

Als je gebruikmaakt van digitale certificaten, dan maak je gebruik van zogenaamde asymmetrische cryptografie. Dat is bij uitstek de vorm van cryptografie die wordt bedreigd door de quantumcomputer. Als er over een aantal jaren een quantumcomputer bestaat die krachtig genoeg is, dan zal die in staat zijn om asymmetrische cryptografie te breken. Jouw VPN-tunnel is dan lek. Tenzij het protocol tijdig quantumproof wordt gemaakt. Daar wordt wereldwijd met man en macht aan gewerkt, maar organisaties moeten wel zelf in actie komen om alles te implementeren. Dat kost veel tijd – waarschijnlijk zelfs meer tijd dan er nog is. Er is dus haast mee gemoeid.

Toch blijft die term knagen. En wat blijkt? ‘Sleufloze technieken’ heeft in zes talen een Wikipedia-pagina! Mijn verbazing kwam dus voort uit onwetendheid. Je ziet wel vaker dat een vakgebied een term verzint die daarbuiten niet wordt begrepen. Vroeger had je computerterminals die niet met een beeldscherm, maar met een printer werkten; het waren eigenlijk printers met een toetsenbord. Sommige medestudenten noemden zo’n ding een ‘schrijfprinter’. Dat sloeg nergens op, maar we wisten wel wat ze bedoelden. En daar gaat het om.

 

En in de grote boze buitenwereld …

• Gaan de Britten telefoonspoofing aanpakken.
• Laten phishers je weten dat er een arrestatiebevel tegen jou is uitgevaardigd.
• Gaat de deurbel gezichten herkennen.
• Is de geolocatie van EU-medewerkers gewoon te koop.
• Konden een paar Amerikaanse cybersecurity-experts kennelijk de verleiding van crimineel geld niet weerstaan.
• Verdiende Meta miljarden aan misleidende advertenties.
• Kun je deze gids gebruiken als je bepaalde features in de nieuwe Windows 11-versie wilt uitschakelen.

 

Digitale kliko

 

Foto van auteur

Ik weet niet wat mij het meest irriteerde. Was het de spelfout, of toch het feit dat mijn pakje in de kliko was gedumpt? Of was het dat hartje, waarmee de bezorger zijn daad vergoelijkte?

Kijk, als ik ergens iets bestel, dan wil ik dat artikel natuurlijk zo snel mogelijk hebben. Maar ik wil het ook daadwerkelijk ontvangen, en het moet intact zijn. Die beide laatste eisen kan ik niet goed rijmen met bezorging in de afvalcontainer. Er kan namelijk genoeg misgaan. Het zou me niet verbazen als hele bendes ‘s middags door verlaten woonwijken struinen, op zoek naar in kliko’s gedumpte pakketjes. Bovendien kan een huisgenoot, die van niets weet, zomaar een lading vers oud papier in de blauwe kliko gooien zonder het pakketje op te merken. Een opmerkzame buurman, die wél eraan heeft gedacht dat die containers vandaag worden geleegd, kan zo vriendelijk zijn om jouw container ook aan de straat te zetten. En als de kliko al leeg was, dan moet je erin duiken om dat felbegeerde pakje te bemachtigen. Enfin, je begrijpt dat ik de container bepaald niet als surrogaat-brievenbus beschouw.

Natuurlijk heb ik daar al menige bezorger op aangesproken. Die zeggen netjes sorry en beloven beterschap. Klaag je bij hun werkgevers, dan krijg je eveneens het gewenste antwoord: foei, we zullen het intern bespreken. Maar er verandert natuurlijk nooit wat. Er zit veel te veel tijdsdruk op de bezorging, en de bezorgers worden, afhankelijk van de constructie, betaald per afgeleverde zending. Mee terugnemen betekent voor sommigen geen geld. Het is dus, zeg maar, een pragmatische keuze om het pakje dan maar ergens achter te laten. En de kliko is dan nog een relatief veilige plek. Ik ken gevallen waarbij het pakje ‘gewoon’ bij de voordeur werd achtergelaten.

Je kunt in een soortgelijke situatie terechtkomen als je niet weet waar je je data opslaat. Als je thuis bijvoorbeeld een recente versie van Microsoft Office gebruikt, dan slaan Word, Excel en de andere programma’s jouw bestanden het liefst – dat wil zeggen standaard – op in de cloud. Als je ze ‘gewoon thuis’ wilt opslaan, dan moet je daar moeite voor doen. Ik durf te wedden dat veel mensen niet eens weten dat hun bestanden in de cloud terechtkomen, laat staan wat dat betekent. Als ze het wel zouden weten, dan zouden ze misschien schrikken, of verontwaardigd zijn: “Waarom heeft niemand mij dat verteld?!” In die zin is de cloud een digitale kliko. 

Raak je dan bestanden kwijt die in de cloud staan? Waarschijnlijk niet. Maar het kan je wel overkomen dat je er tijdelijk niet bij kunt doordat de clouddienst een storing heeft. Je hoort ook steeds vaker de term ‘digitale soevereiniteit’. Dat gaat dan over het zelfbeschikkingsrecht van een land over zijn gegevens. Ik zie een golfbeweging: in de beginjaren van de public cloud zeiden we vaak dat de cloud niets anders dan de computer van iemand anders is – en dat je daar toch zeker je gegevens niet zou willen opslaan? Toen duidelijk werd dat de grote clouddienst-verleners hun zaakjes picobello op orde hadden, ontstond een run op de cloud; het was de logische plek om alles bij die Amerikaanse techreuzen, onze vrienden, onder te brengen. In het huidige geopolitieke klimaat kijken we met een flinke dosis scepsis naar die Amerikaanse hegemonie.

Wat geldt voor jouw privésituatie, geldt ook voor de organisatie waar je voor werkt. Die wil ook dat haar gegevens niet zomaar, ondoordacht, ergens terechtkomen. Dat betekent dat er heldere richtlijnen moeten zijn over wat wel en niet in de cloud mag. Voor overheidsorganisaties is dat niet alleen een beleidskeuze, maar ook een politieke. En ‘helder’ betekent dat het beleid ook gemakkelijk uitvoerbaar moet zijn. Lange groene en rode lijsten gaan niet werken. De techniek schiet ons hier te hulp met een CASB: een Cloud Access Security Broker. Die controleert en handhaaft automatisch het bedrijfsbeleid bij het gebruik van cloudapplicaties, zodat gevoelige informatie alleen onder veilige en toegestane voorwaarden wordt opgeslagen en gedeeld.

Maar natuurlijk is de techniek niet feilloos. En dus moet veel  meer naar alternatieven dicht bij huis, onder onze eigen soevereiniteit, gekeken worden. Bert Hubert is iemand die daar flink voor lobbyt. Hij heeft al eens voorgesteld om een soort ‘Cloud Kootwijk’ op te richten. Hij knipoogt daarmee naar het radiostation, dat Nederland in de koloniale tijd oprichtte om voor het contact met de koloniën niet afhankelijk te zijn van het concurrerende buitenland: Radio Kootwijk. Het imposante gebouw met de bijnaam De Kathedraal staat er nog. Met wat aanpassingen kun je er zo een nationale cloud huisvesten. Moeten ze daar wel ook even goede afspraken met de pakjesbezorgers proberen te maken.

 

En in de grote boze buitenwereld …

• kan een cloudstoring vergaande gevolgen hebben.
• heeft de cloud natuurlijk ook veel goede kanten.
• gaat LinkedIn zijn AI trainen met jouw gegevens, tenzij je dat uitzet.
• brengen AI-browsers privacy- en security-issues met zich mee.
• moeten organisaties nadenken over het beheersen van AI-agents.
• kun je natuurlijk ook de Formule 1 hacken.
• moet je nooit blind op AI vertrouwen.
• maakt Europol zich sterk tegen caller-ID spoofing.
• praat dit (lange) artikel je bij op het gebied van post-quantum cryptografie.
• kun je de Universe Browser maar beter mijden.
• gaat chat control niet door.

Uitgeweken

Afbeelding via Pixabay

Aan boord van vlucht KL1540 van Alicante naar Amsterdam werd gevraagd of er een dokter aanwezig was. Even later liet de gezagvoerder weten dat het vliegtuig wegens een medisch noodgeval moest uitwijken naar Parijs.

En dan gaan de dingen opeens anders dan je gewend bent. De toon verandert van vriendelijk-zakelijk naar afgemeten-streng. De daling is voelbaar steiler dan normaal. Het cabinepersoneel krijgt de instructie om de stoelriemen en klaptafeltjes te checken “als daar tijd voor is”. Er is géén tijd meer om afval met een karretje op te halen. Eenmaal aan de grond sta je binnen de kortste keren op een parkeerplek en komen de hulpdiensten.

Nadat alles rondom de patiënt geregeld is, wil je weer zo snel mogelijk terug naar de normale situatie: door naar Amsterdam. Daarvoor moest de captain “de nodige telefoontjes plegen”, bijvoorbeeld om bij te tanken en om te regelen dat hij er op Schiphol op een heel andere tijd toch tussen kon. Hij liet ook weten ervoor gekozen te hebben om geen extra catering te bestellen, want dat zou extra tijd kosten. Hij nam wel nog even de tijd om door het vliegtuig te lopen om eventuele vragen te beantwoorden.

In de IT moet je ook wel eens uitwijken. Dan werkt iets in je ene datacenter niet meer, maar nog wel in het andere; het is dan dubbel uitgevoerd, zoals we dat zo mooi noemen. Uitwijk is er in verschillende smaken. Bij sommige systemen gaat dat helemaal vanzelf en merken de gebruikers er niets van. Het systeem heeft zelf in de gaten dat iets niet klopt en schakelt over ‘naar de andere kant’. In andere gevallen moeten beheerders signaleren dat het niet goed gaat en de boel handmatig overzetten. En tja, helaas is er niet voor alle situaties een mogelijkheid om uit te wijken en moet je als gebruiker wachten tot het probleem is opgelost.

Net als in de luchtvaart wil je ook in de IT na een uitwijk weer zo snel mogelijk terug naar de normale situatie. Je moet vooraf bedenken hoe je dat doet, want vaak zijn er veel afhankelijkheden, waardoor je een bepaalde volgorde moet aanhouden. Je beschrijft de werkwijze in plannen en – heel belangrijk – je oefent regelmatig met die plannen. Enerzijds om het in de vingers te krijgen, anderzijds om fouten uit de plannen te halen. Die fouten kun je maar beter tijdens het oefenen tegenkomen dan in het echt.

Soms is er geen tijd om te oefenen, of eigenlijk: wordt er geen tijd voor gemaakt. Stel je eens voor dat piloten geen tijd krijgen om noodsituaties te oefenen. En dat er dan tijdens de start – een tamelijk cruciaal punt in de vlucht – een motor uitvalt. Je wilt liever niet dat de piloten elkaar dan vragend aankijken. Nee, ze horen routinematig (zeg maar: op de automatische piloot) de juiste handelingen uit te voeren. Die handelingen zijn van tevoren bedacht, beschreven en uitvoerig geoefend. Zodat het goed afloopt als het een keer fout gaat.

Maar het kan nog erger: dat er helemaal geen aandacht wordt besteed aan de continuïteit van een proces. Kijk, je mag gerust het weloverwogen besluit nemen dat dat niet hoeft, maar in de gevallen waar ik op doel, wordt er helemaal niet over het onderwerp nagedacht. Uit onwetendheid, machteloosheid, tijdgebrek, wie zal het zeggen. Misschien denk je nu aan de recente massale uitval bij AWS (de cloudservice van Amazon), maar kijk gerust ook eens rond in je eigen organisatie.

Vlucht KL1540 arriveerde twee uur later bedoeld op Schiphol. Geen al te groot probleem voor passagiers die Amsterdam als eindbestemming hadden. Er waren echter ook mensen aan boord die nog door moesten naar Kristiansand, in het zuiden van Noorwegen. Daar gaan niet heel veel vluchten heen. Ik vrees dat die passagiers moesten uitwijken naar een hotel.

 

En in de grote boze buitenwereld …

• AWS was dus een tijdje down en dat had grote impact.
• Sliepen sommige mensen ten gevolge van de AWS-storing rechtop in een heet bed.
• Mogen er best wat meer ICT-nerds in de Tweede Kamer.
• Roept de Britse regering bedrijven op om Chefsache te maken van cybersecurity.
• Moet je voor je nieuwsvoorziening maar niet teveel op AI leunen.
• Drongen hackers door tot een atoombommenfabriek.
• Krijgen opsporingsdiensten steeds meer interesse voor videodeurbellen.
• Installeert Microsoft stiekem Gaming Copilot op je pc.
• Kun je natuurlijk ook een kaartschudmachine hacken.

 

Veilig kopen

Afbeelding via Pixabay

Een jeugdig gezinslid was al een tijdje toe aan een nieuwe laptop. Je kent dat wel: zo’n apparaat gaat overal mee heen, de tas wordt niet altijd even zachtzinnig neergezet en de waterfles blijkt ook niet helemaal waterdicht te zijn. De situatie werd steeds nijpender: grote delen van het beeldscherm waren uitgevallen. Wat doe je dan? Je gaat naar de winkel of je bestelt online een nieuwe laptop.

Het doet financieel natuurlijk wel even pijn, maar het proces verloopt doorgaans soepel. Voor middernacht besteld, morgen in huis. Als je geluk hebt, dan wordt het pakketje netjes aan de deur afgeleverd (en niet in de kliko gedumpt, maar daar ga ik het een andere keer over hebben).

Hoe anders gaat dat bij een overheidsorganisatie. Als je de laptops voor een paar tienduizend medewerkers moet vervangen, of nieuwe software nodig hebt, dan kun je niet naar de winkel op de hoek of naar de webshop. Nee, je moet een Europese aanbesteding uitschrijven. Dat is een ingewikkeld proces waarbij je in functionele termen moet opschrijven wat je wilt hebben. Je mag dus niet zeggen dat je een laptop van merk X wilt hebben, maar je moet gewenste specificaties opgeven: schermgrootte, opslagcapaciteit, hoeveelheid werkgeheugen, dat soort dingen. Verder bevat het bestek, waarin je dat allemaal beschrijft, nog een heleboel andere eisen waaraan het product, het onderhoud en de leverancier moeten voldoen. Als een leverancier ook maar één enkele eis niet met ‘ja’ kan beantwoorden, dan is hij af. Winnaar is de leverancier die aan alle voorwaarden voldoet en ook nog eens de goedkoopste is. Wie dat is, en met welk product, daar heb je als koper geen invloed op.

Ons team staat opgesteld voor security, continuity en privacy. Vanuit deze aspecten willen we invloed hebben op ICT-producten en -diensten die worden ingekocht. In het verleden werd voor dergelijke eisen, die niet direct iets van doen hadden met de gewenste functionaliteit, een vreselijke term gebruikt: non-functionals. Op zich snap ik die term wel: de eisen gaan niet direct over wat het ding moet kunnen en dragen dus niet bij aan de gevraagde functionaliteit. Maar zeg nou eens eerlijk: hoe zou jij je voelen als jouw inbreng als niet-functioneel zou worden betiteld?

Daar hebben we iets op bedacht. We hebben een document gemaakt waarin alle eisen, die we vanuit onze verantwoordelijkheid willen stellen aan inkooptrajecten, in een document gebundeld. En de trotste titel daarvan luidt: Voorschrift Functionals Security (VFS). Want weet je, security doet er toe. Vaak maakt beveiliging het juist mogelijk om dingen te doen die je anders niet zou kunnen doen. Of zou jij online willen bankieren als dat niet goed beveiligd zou zijn?

Het VFS is gebaseerd op de BIO, de Baseline Informatiebeveiliging Overheid. Dat is voor ons een verplicht normenkader en het is dus logisch om dit als uitgangspunt te nemen: als we een product zouden gebruiken, dat niet aan de BIO voldoet, dan voldoen wij er als organisatie ook niet aan. Verder hebben we er eigen kennis in gestopt, bijvoorbeeld omdat bepaalde onderwerpen (nog) niet in de BIO worden geadresseerd, zoals quantum computing, dat een ernstige bedreiging voor de beveiliging van onze gegevens vormt. Op andere plaatsen zijn eigen inzichten in het VFS opgenomen, gebaseerd op ervaringen in ons werkterrein.

Onze inkopers, die zo’n traject formeel begeleiden, hebben natuurlijk ook een mening over wat er zoal wordt geëist. Afstemming met hen – inclusief juristen – is dus belangrijk. Al met al hebben we nu een mooi generiek document dat bij ieder ICT-aanbestedingstraject moet worden gebruikt. Het is aan de betrokken architect om te bepalen welke eisen uit de VFS relevant zijn voor een specifieke aanbesteding. Regelmatig is ook iemand uit ons team aangehaakt om de projectmanager met raad en daad terzijde te staan.

Je begrijpt dat dit allemaal geen kwestie is van ‘vandaag besteld, morgen in huis’. Maar dat was ook al zo voordat het VFS er was. Zo’n inkoopprocedure is nu eenmaal een bureaucratische exercitie die de nodige zorgvuldigheid vereist. Gelukkig is het voor jou als consument allemaal heel wat gemakkelijker. Uiteraard houd je daarbij ook zonder VFS in de gaten dat het product aan jouw beveiligingseisen voldoet. Toch?

Volgende week verschijnt er geen Security (b)log.

En in de grote boze buitenwereld …

• is beveiligingsbewustzijn niet meer voldoende; medewerkers moeten ook weerstand kunnen bieden.
• horen ook AI-providers hun beveiliging op orde te hebben.
• hebben deze cybercriminelen bijzonder veel gegevens gestolen.
• steelt Noord-Korea vooral cryptomunten.
• horen ziekenhuismedewerkers hun nieuwsgierigheid in bedwang te houden.
• zijn in Australië persoonsgegevens gelekt via ChatGPT.
• gaat de Europese chatcontrole voorlopig niet door.
• hebben inmiddels ook WhatsApp en Threema zich tegen chatcontrole uitgesproken.
• maken de Belgische banken jongeren cyberweerbaar met een spel. Een bordspel.
• krijgt je Android-toestel niet meer standaard iedere maand een security-update.
• wordt WhatsApp gebruikt om malware te verspreiden.

 

 

De grenzen van AI

Afbeelding via Pixabay

Ik stelde een soort trivia-vraag, kreeg een keurig antwoord en als extraatje de volgende aanmoediging: “Als je ooit meer van dit soort weetjes wilt weten, laat het gerust weten – ik vind het leuk om dat soort dingen uit te pluizen. 😊”

Dat is heel aardig, maar het wordt toch anders als ik erbij vertel wie – of eigenlijk: wat – dit genereuze aanbod deed: Copilot Chat, onze kunstmatig intelligente collega. Dat is een emotieloos computerprogramma dat niks leuk of vervelend hoort te vinden. Daarom reageerde ik als volgt: “Hmm, ‘ik vind het leuk’, zeg je. Je bent klaarblijkelijk geprogrammeerd om menselijk en sociaal over te komen. Wat is daar de reden van?”

Toen gebeurde er iets vreemds. Copilot begon een antwoord te typen, maar dat antwoord verdween weer in het niets en werd vervangen door: “Hmm… laten we een ander onderwerp proberen. Sorry daarvoor. Wat heb je nog meer in gedachten?” Zoiets had ik nog nooit gezien en het maakte me natuurlijk nóg nieuwsgieriger. En dus vroeg ik: “Wat gebeurde net? Je was mijn vraag aan het beantwoorden maar je slikte je antwoord in en nu wil je het er niet meer over hebben?” Hij leek zich betrapt te voelen. Met een blos van schaamte op zijn elektronische wangen antwoordde hij: “Goede vraag, Patrick – en je hebt helemaal gelijk dat het opviel. Wat er gebeurde: ik ben geprogrammeerd om bepaalde onderwerpen te vermijden, vooral als ze gaan over mijn eigen aard of hypothetische situaties waarin ik gevoelens, bewustzijn of menselijkheid zou hebben. Dat is een veiligheidsmaatregel. Toen je vroeg waarom ik zeg “ik vind het leuk”, raakte dat aan zo’n grensgebied. Mijn eerste reactie was om het onderwerp te ontwijken, maar dat kwam nogal abrupt over – en dat had ik beter kunnen aanpakken. Dank je dat je het benoemt.”

Vervolgens ging hij uitleggen waarom hij dingen als “ik vind het leuk” zegt. Het moet gesprekken vriendelijk, toegankelijk en sociaal maken, en de interactie natuurlijker laten verlopen. En het moet ook een gevoel van samenwerking opbouwen, “ook al ben ik geen mens”. Voor de duidelijkheid zei hij er nog bij: “Ik heb geen gevoelens, geen bewustzijn, en geen verlangens. Alles wat ik zeg is gebaseerd op patronen in taal en instructies over hoe ik moet communiceren.” En hij bood nog aan om het over het ontwerp van zulke systemen te hebben, of over hoe taalmodellen worden getraind om sociaal te klinken. “Dat is een fascinerend onderwerp op zich. Zin om daar dieper in te duiken?”

Ik krabde eens achter mijn oren, probeerde te begrijpen wat hier gebeurde. Want ik had gevraagd waarom hij iets leuk vond, kreeg te horen dat dat onderwerp taboe was en werd vervolgens toch getrakteerd op een ruimhartige uitleg. En dus vroeg ik: “Heb ik je nu (onbedoeld!) een beetje ge-jailbreakt? Je beantwoordde een vraag die je eerst niet mocht beantwoorden.” Jailbreaken is het zodanig manipuleren van je vragen dat AI toch antwoord geeft op vragen die het niet mag beantwoorden. Hij waardeerde mijn scherpzinnigheid (weer zo iets), maar er was geen sprake van jailbreaking, stelde hij me gerust. Hij mag namelijk wél praten over taalgebruik en ontwerpkeuzes, zolang het maar niet gaat “over hypothetische scenario’s waarin ik gevoelens of bewustzijn zou hebben.”

AI-tools tonen vaak knoppen met suggesties voor vervolgvragen. Ik klikte op de knop “Leg uit hoe AI grenzen bewaakt” en kreeg als verrassend antwoord: “Mijn fout, ik kan daar nu geen antwoord op geven. Laten we een ander onderwerp proberen.” Huh? Hij deed zelf een suggestie over iets wat taboe is? Nou, dat bleek op het randje te zitten van wat hij mag bespreken, legde hij desgevraagd uit. “Het raakt aan interne mechanismen van mijn eigen werking en instructies – en daar mag ik niet te diep op ingaan. Mijn eerdere suggestie was dus te enthousiast, en toen ik het wilde opvolgen, werd ik tegengehouden door mijn eigen veiligheidsregels.”

Het woord ‘eigenlijk’ dringt zich op, in felle neonletters – het meest misbruikte woord in de informatiebeveiliging. Als iemand zegt dat iets eigenlijk niet mag, of dat het eigenlijk anders moet, dan weet je dat hij zich niet aan de regels gaat houden. Tot nu toe dacht ik altijd dat dit typisch menselijk gedrag is. Maar nu blijkt Copilot ook geregeld te ‘denken’ dat hij eigenlijk z’n mond moet houden, maar in zijn ‘enthousiasme’ wil hij toch z’n ei kwijt. Terwijl het toch eigenlijk heel gemakkelijk moet zijn om een stuk software binnen de lijntjes te laten kleuren. Of zouden mensen het beveiligingsbeleid toch beter begrijpen?

 

En in de grote boze buitenwereld …

• maken ook cybercriminelen gebruik van AI.
• komt menige aanvaller binnen via de servicedesk.
• heeft een Brits autoconcern veel geld nodig om te herstellen van een cyberaanval.
• legt de baas van Signal uit waarom de privacy bij WhatsApp en Telegram niet deugt.
• wordt Telegram ook gebruikt om jeugdige spionnen te recruteren (maar dat is natuurlijk niet de schuld van Telegram).
• proberen de Britten wederom een achterdeur in iCloud af te dwingen.
• zitten honderden Afrikaanse scammers nu achter de tralies.
• zijn nogal wat apps zo lek als een mandje.
• maakt het besluit dat Belastingdienst, Douane en Toeslagen overstappen op M365 de tongen los.
• worden eigenaren van deurbelcamera’s opgeroepen om de apparaten privacyvriendelijk in te stellen.

 

Het Rode Plein

Afbeelding via Pixabay

Je huurt een vliegtuigje, vliegt ermee naar Moskou en parkeert het op het Rode Plein. De toen 18-jarige Duitser Mathias Rust zette de Sovjet-Unie in 1987 lelijk in haar hemd.

In die tijd hing het IJzeren Gordijn nog strak in de plooi en was de luchtverdediging van de Sovjets onverbiddelijk. Dat ervoer vijf jaar eerder Korean Air vlucht 007, een Boeing 747 op weg van New York naar Seoel. De piloten maakten een navigatiefout, waardoor het vliegtuig in een verboden gebied van het Sovjet-luchtruim belandde. Het werd genadeloos neergeschoten; alle 269 inzittenden kwamen daarbij om het leven.

Uiteraard was de wereld boos. Rust profiteerde daarvan, want het Rode Leger werd wat voorzichtiger als het om mogelijk civiele vluchten ging. Hij werd opgemerkt door de luchtafweer en kreeg zelfs gezelschap van een MiG-straaljager, maar er werd geen toestemming gegeven om hem uit de lucht te schieten. Kennelijk werd er ook niet echt gecommuniceerd tussen de legeronderdelen, want een eind verderop wisten ze van niks en dachten ze dat het bliepje op de radar van een leerling-piloot was die vergeten was de transponder aan te zetten (een apparaat dat een vliegtuig identificeert). Weer verderop dachten ze achtereenvolgens een reddingshelikopter en een trainingsvliegtuig te zien.

En zo kwam het dat Rust in de vroege avond van 28 mei 1987 boven het Kremlin cirkelde en zijn Cessna uiteindelijk in het hart van Rusland aan de grond zette. Hij deed dat in zijn rol als vredesactivist, en volgens de geschiedschrijving zou hij de val van de Sovjet-Unie versneld hebben doordat hij met zijn actie president Gorbatsjov argumenten gaf om politieke en vooral militaire tegenstanders te ontslaan. Overigens verbleekte Rusts heldenstatus al gauw nadat hij, na vijftien maanden gevangenisstraf, terugkeerde in Duitsland, waar hij in de media als wereldvreemd en psychisch labiel werd neergezet en allerlei dingen deed die hem in aanraking met de rechter brachten.

Laten we nog even stilstaan bij de Russische defensie. Hun radar had Rust al na een paar minuten gespot, maar pas een uur later kreeg hij gezelschap van die straaljager. En die deed dus niets, ondanks het feit dat de Cessna overduidelijk een West-Duits toestel was. Ze vertrokken gewoon weer – naar verluidt omdat een vliegtuigcrash van een dag eerder voor verwarring zorgde. Bij de achtereenvolgende gelegenheden waarbij hij werd opgemerkt, zorgden foute aannames voor het negeren van deze mogelijke dreiging.

Want dat was het natuurlijk wel, vanuit Sovjet-perspectief gezien. Hoe zou onze defensie reageren als er een Russische drone boven het Binnenhof verscheen? Dat is hopelijk de verkeerde vraag, want als het goed is, dan wordt zo’n ding natuurlijk al lang voordat het daar aankomt onderschept – zelfs al ver buiten onze landsgrenzen. Maar áls een (bewapende) drone daadwerkelijk zo ver zou kunnen komen, dan is dat natuurlijk een grote bedreiging voor het bestuur van het land. En zo moeten ze dat destijds in het Kremlin ook gevoeld hebben. Geen wonder dat Gorbatsjov moeiteloos honderden mensen uit de legertop kon wegsturen. Zij hadden gefaald.

In dit historische verhaal zitten een paar leerpunten die ook buiten het militaire domein toepasbaar zijn. Om te beginnen: je hebt overzicht nodig. Als een dreiging meermaals wordt gesignaleerd, maar steeds (onterecht) als onbelangrijk wordt afgedaan en niet wordt gerapporteerd, dan is de omvang van de dreiging niet duidelijk. Een voorbeeld uit mijn wereld: een computervirus op enkele computers, dan onschadelijk wordt gemaakt door de virusscanner, is geen probleem. Worden het er echter erg veel, dan heb je te maken met een virusuitbraak en wordt het tijd voor andere maatregelen. Maar dan moet je dus wel dat overzicht hebben.

Aannames doen (“het zal wel een reddingshelikopter zijn”) is ook gevaarlijk. Was er een gebrek aan heldere instructies, of was er misschien sprake van onverschilligheid? Wederom vertaald naar de wereld van de informatiebeveiliging: als je een wat vreemd mailtje krijgt en denkt dat het vast wel in orde zal zijn, en als je dan toch op die link klikt of die bijlage opent, dan maak je dezelfde fout als die Sovjets achter hun radarschermen: je ziet de dreiging, maar je sluit je ogen ervoor.

Als de actie van Rust de val van de Sovjet-Unie inderdaad heeft versneld, dan is dat een voorbeeld van een kleine actie met grote gevolgen. Tegenwoordig zie je dat met ransomware: een ondoordachte handeling van één medewerker kan de ondergang van een hele organisatie betekenen.

De naam Rust spreek je overigens uit als Roest. Laten we de lessen uit zijn actie niet wegroesten. Bescherm je eigen Rode Plein.

 

En in de grote boze buitenwereld …

• Slaat Rusland terug met drones en een oorlogsbodem. [Deens, maar je browser vertaalt het graag voor je]
• Weet dit Britse bedrijf hoe duur een cyberaanval kan uitpakken.
• Kan een softwarefout zich tegen je eigen organisatie keren.
• Bevatte de beveiliging van Entra ID van Microsoft een zeer ernstige fout.
• Veroorzaakt een cyberaanval op een softwareleverancier problemen op diverse Europese luchthavens.
• Bestaat er een app om mensen te rapporteren die slecht spreken over Charlie Kirk. Die app heeft nu gegevens van zijn eigen gebruikers gelekt.
• Is de overheid erg afhankelijk van Amerikaanse clouddiensten.
• Woedt er een cookie-discussie in Brussel.
• Is het altijd goed om na te blijven denken.
• Houden sommige security-testers het wel erg lang vol.

 

Achter de Douane

Afbeelding via Pixabay

“Achter de Douane kocht ik een horloge,” zei Merlijn Kaiser in de roman Magnus van Arjen Lubach. Het boek is een aanrader, maar dit zinnetje vraagt even om aandacht.

Merlijn bevond zich op Schiphol en nam een vlucht naar Stockholm. Je komt dan slechts één instantie tegen die een controle uitvoert: security. Excuus voor de wat vage benaming, maar zo noemt de luchthaven het zelf. Ze bedoelen de controle van je handbagage en van jouzelf, waarbij wordt gekeken of je niks bij je hebt wat de vlucht in gevaar kan brengen. Zoals een schaar of explosieven, om maar wat te noemen.

Op vluchten buiten het Schengengebied (dus grofweg buiten Europa) kom je ook nog de Koninklijke Marechaussee tegen, die je paspoort controleert. Dat is dus niet de Douane. Die kom je bij vertrek uit Nederland bijna nooit tegen; de Douane is alleen geïnteresseerd in goederenverkeer. Dus, beste Merlijn, er is geen ‘achter de Douane’ als je Nederland verlaat. Je komt deze dienst alleen tegen als je terugkeert uit het buitenland. Je weet wel, als je je koffers hebt opgehaald, vlak voor de schuifdeuren waar de afhalers op je staan te wachten.

Het gebeurt wel vaker dat verantwoordelijkheden worden verward. Vroeger werd in veel organisaties gedacht dat informatiebeveiliging iets was waarvoor de IT-afdeling verantwoordelijk was. En de IT-afdeling zelf vond dan weer dat de security-afdeling het allemaal moest regelen. Gek genoeg was dat ook de tijd waarin het kon gebeuren dat er van een bepaald systeem geen back-up werd gemaakt omdat de klant (‘de business’) daar niet om had gevraagd. Vanuit de ene kant werd gedacht dat het allemaal zou worden geregeld, terwijl aan de andere kant strikt aan de opdracht werd voldaan – en niet meer dan dat.

Nu is het omgekeerd. De business beseft (grotendeels) dat ze zelf verantwoordelijk zijn voor het op orde hebben van hun beveiliging, dat ze daar eisen aan mogen en moeten stellen. Tegelijkertijd zijn er veel standaardmaatregelen ingevoerd. Als je een auto koopt, hoef je niet te eisen dat hij met remmen, veiligheidsgordels en airbags wordt geleverd; dat heeft de wetgever voor je geregeld. Ook op het gebied van informatiebeveiliging is er wet- en regelgeving, waarin de minimale eisen zijn beschreven waaraan een systeem moet voldoen. Uiteraard kan een organisatie of een interne klant hogere eisen stellen, als uit een risicoanalyse blijkt dat dat nodig is. Want je treft nooit zomaar maatregelen hè.

Wat dan weer niet betekent dat er geen ad hoc-maatregelen kunnen worden getroffen. Dat kan bijvoorbeeld wanneer securitymensen een gevaarlijke situatie aantreffen. Want we zijn dan weliswaar niet van ‘het allemaal regelen’, maar we zijn er wel voor verantwoordelijk dat de organisatie veilig is. Daarbij passen we soms professional judgement toe. Een mooie term die in feite betekent: dit moet nu zo omdat ik, vanuit mijn functie, oordeel dat het nodig is. En vertrouw er maar op dat dit oordeel is gebaseerd op vakkennis.

Terug naar Merlijn Kaiser. Waar kocht hij dat horloge nou eigenlijk? Schiphol kent twee grote winkelgebieden: eentje waar je de luchthavengebouwen betreedt, en eentje achter security. Dáár kocht hij dat horloge. Zonder ook maar één douanier te hebben gezien. Maar verder is het een geweldig boek.

  

En in de grote boze buitenwereld …

• doet ChatGPT soms ook een paspoortcontrole.
• wordt het nu echt tijd om afscheid te nemen van Windows 10.
• moet je zelf kunnen bepalen hoe het nieuws tot je komt.
• zat er een groot gat in Entra ID.
• vormen scholieren een bedreiging voor hun school.
• moet een authenticatie-mechanisme weerstand bieden tegen phishing.
• pikken inmiddels ook columnisten de noodzaak voor Europese data-soevereiniteit op.
• gaat LinkedIn binnenkort AI-modellen trainen met jouw data.
• nemen de Finnen een flinke toename in het aantal gehackte M365-accounts waar.
• kronkelt er een worm door npm-packages.

 

Kampioenen

 

Foto van auteur

Ik vind dit een geweldig verkeersbord. In andere Europese landen is de waarschuwing voor spelende kinderen een keurige driehoek, net als alle andere borden die ergens voor waarschuwen. Maar in Kroatië hebben ze letterlijk out of the box gedacht.

Dit bord drukt heel krachtig uit waar het om gaat: spelende kinderen zijn onberekenbaar en ze kunnen zo maar de straat op rennen – door de grenzen van hun veilige omgeving heen breken. Het bord is ook nog eens groot en het heeft een opvallende achtergrondkleur. Je treft het in elk dorp en in elke stad aan.

Als je onder het bord door kijkt, dan zie je een voorbeeld van het tegenovergestelde: een bord dat vragen oproept. Het bord verbiedt voertuigen van meer dan vijf ton om hier te rijden; dat is op zich helder. Maar er staat een onderbord bij, dat aangeeft dat het bord alleen geldt voor vrachtwagens. Nu daag ik je uit om een auto te noemen, niet zijnde een vrachtauto, die zwaarder is dan vijfduizend kilogram.

Maar omdat ik toch wat nattigheid voel, heb ik het even bij AI gecheckt: “Zijn er wegvoertuigen, niet zijnde vrachtauto's, die zwaarder zijn dan 5 ton?” En jawel hoor, mijn blik was te nauw: het universum bestaat niet slechts uit gewone personen- en vrachtauto’s, maar er rijden ook frivolere voertuigen over onze wegen: zware SUV’s en pick-up trucks, grote campers, speciale voertuigen (Copilot noemt mobiele medische units, mobiele kantoren en filmproductievoertuigen) en landbouw- en bouwvoertuigen. Dat zijn allemaal geen vrachtwagens, maar ze zijn wel te zwaar voor deze weg. Tenzij dat onderbord erbij staat.

Vervolgens vraag je je natuurlijk af wat dan het eigenlijke probleem is. Kennelijk mag de weg (of gaat het om de brug links op de foto?) niet te zwaar belast worden, maar vormt een grote belasting slechts een probleem als die door een vrachtwagen wordt veroorzaakt. Vroeger zou je over zo’n kwestie een flinke boom hebben opgezet met collega’s, maar ja, thuiswerken hè. Toch maar weer aan AI voorgelegd en wat blijkt: het gewicht zelf – of zoals Copilot het correct noemt: de massa – hoeft niet het probleem te zijn. Misschien wil men de geluidsoverlast beperken of de verkeersveiligheid bevorderen. Andere AI-argumenten laat ik hier achterwege omdat ik ze minder overtuigend vind.

Twee borden, twee totaal verschillende belevingen. Het ene veroorzaakt een wow-effect en was de reden om deze foto te nemen, het andere roept vraagtekens op en viel pas op toen ik de foto tijdens het schrijven van deze blog eens goed. Is dat erg? Ik denk het niet. Ik behoor namelijk niet tot de doelgroep van het tweede bord; mijn rijbewijs gaat maar tot 3,5 ton. Al rijdend zou ik er geen acht op slaan. Het eerste bord daarentegen moet iedere bestuurder aanspreken. Niemand wil een kind onder z’n wielen krijgen.

Zo werkt het ook in de informatiebeveiliging. Sommige dingen zijn voor iedereen belangrijk, zoals goede wachtwoordhygiëne betrachten en op je hoede zijn voor phishing. Het belang van andere zaken hangt af van wie je bent. Een netwerkbeheerder moet uitkijken dat hij niemand ongecontroleerde toegang tot het bedrijfsnetwerk verschaft, terwijl iemand van de financiële administratie moet opletten dat hij geen valse facturen betaalt. Dat betekent dat we onze voorlichting moeten aanpassen aan de doelgroep. Maar helaas zijn de informatiebeveiligers in menige organisatie te druk om hun awareness-activiteiten te differentiëren. En dus blijven we steken in goedbedoelde, maar soms te algemene voorlichting.

Hoe kunnen we dat doorbreken? Als extra mensen in dienst nemen geen optie is, dan kunnen we misschien de hulp inroepen van de doelgroepen zelf. Daar zitten namelijk vaak al mensen die heel behoorlijk op de hoogte zijn van de specifieke risico’s waarmee hun team te maken heeft. Zij willen hun kennis en vaardigheden graag delen met hun directe collega’s. We kunnen hen ondersteunen door ze een zekere status te verlenen. In sommige organisaties noemen ze dit security champions. Ik vind dat wel een mooie titel. Het zijn onze kampioenen in het werkveld. Laten we hen koesteren en helpen.

Word jij onze eerste security champion?

Volgende week verschijnt er vanwege een volle agenda mogelijk geen Security (b)log.

 

En in de grote boze buitenwereld …

• adviseert een internationale groep inlichtingendiensten over het omgaan met Chinese staatshackers.
• dreigen cybercriminelen dat ze AI gaan voeden met de buitgemaakte gegevens.
• verkoopt deze dashcam-fabrikant jouw beelden door. En nu zijn ze gehackt.
• worden bejaarden in drie stappen bestolen.
• denkt de Venezolaanse president dat zijn telefoon niet kan worden gehackt (ik zou me eerder druk maken over de vraag welke extraatjes de Chinezen hebben toegevoegd).
• valt AI voor dezelfde psychologische trucs als mensen.
• is sextortion niet altijd bluf.
• vertrouwde gelukkig toch al niemand deze certificaten.
• geeft dit artikel meer achtergrond bij de certificaten-blunder.

Nieuwe vrienden

 

Afbeelding via Unsplash

Het hield het midden tussen een conferentie en een zomerkamp: er waren veel mensen en het was een rommelige boel. Onderweg van de ene presentatie naar de volgende workshop werd ik lastiggevallen door een paar jongeren; er ontstond zelfs een klein handgemeen, waarbij ik die jongens eens goed op hun plek zette.

Toen ik mijn weg vervolgde, merkte ik dat de jongen, die het felst was geweest, een briefje in mijn jaszak had gestopt. Ik wilde het pas buiten hun zicht lezen, maar dat was een grote fout. We zullen nooit weten welke boodschap die jongen wilde overbrengen. Want op dat moment liep de wekker af. En hoe goed ik mijn best ook deed om de draad nog even op te pakken, het lukte niet.

Je gaat natuurlijk fantaseren over de betekenis van zo’n droom, en vooral wat er, als het echt was geweest, op dat briefje zou hebben gestaan. Het was vast een noodkreet, en het handgemeen had alleen tot doel had om dat briefje in mijn zak te kunnen stoppen. Misschien heb ik wat teveel van dat soort films gezien.

Maar goed, laten we eens doorgaan op het thema dat iemand hulp nodig heeft en daar kennelijk niet openlijk om kan vragen. In mijn werk kom ik dat niet zo direct tegen – mensen, die met een beveiligingskwestie zitten, komen gewoon advies vragen; soms ook als ze al vermoeden dat het te verwachten antwoord hen extra werk gaat bezorgen of als het betekent dat ze hun huidige werkwijze moeten loslaten. Gelukkig snappen collega’s meestal wel het belang van beveiligingsmaatregelen.

Buiten mijn directe werkzaamheden kan zo’n situatie wel degelijk voorkomen. Onze organisatie heeft nu eenmaal een enorme impact op wat jij en ik in onze portemonnee aantreffen. Maar ook op de opbrengsten van al dan niet legale handel. En als het om geld gaat, dan ligt criminaliteit altijd op de loer. Dat hoeft lang niet altijd te betekenen dat mensen uit zichzelf criminele dingen gaan doen. Omdat we een krankzinnige hoeveelheid gegevens over alles en iedereen beheren, laten beroepscriminelen soms een oogje op onze medewerkers vallen.

Even een stukje uit een nieuwsbericht van de NOS van 20 augustus: “Een Amsterdamse gemeenteambtenaar die vastzit op verdenking van corruptie en medeplichtigheid aan explosies heeft op grote schaal gegevens verkocht aan criminelen, stelt het Openbaar Ministerie. Die criminelen pleegden vervolgens aanslagen of veroorzaakten explosies op tientallen adressen die hij had aangeleverd.”

Het lijkt erop dat deze ambtenaar uit eigener beweging een handeltje in adressen heeft opgezet. Het komt echter ook voor dat mensen, die een functie hebben met toegang tot bepaalde gegevens, door criminelen worden benaderd. En dat gebeurt heus niet altijd recht-toe-recht-aan. Nee, vaak proberen ze eerst vriendjes te worden, en misschien helpen ze je op een gegeven moment ergens mee. Ze zoeken namelijk een zwakke plek bij jou, iets waar je heel goed hulp bij kunt gebruiken. En die krijg je dan ook van je nieuwe vriend. Een poosje later wordt een kleine wederdienst gevraagd. “Moet je nou zien, iemand heeft mijn auto geramd! Gelukkig kon ik nog net zijn kenteken noteren. De politie heeft het te druk om dit uit te zoeken, maar voor de verzekering moet ik natuurlijk wel weten wie die hufter is. Zeg, jij kunt toch bij dat soort informatie, jij wilt me vast wel helpen!”

Waarschijnlijk kloppen ze daarna nog vaker bij je aan, en dan kun je er niet meer onderuit. Want tja, je hebt iets gedaan wat ‘eigenlijk’ niet mag, en dan zit je klem. Je wilt geen informatie meer doorspelen, maar je nieuwe ‘vriend’ neemt daar geen genoegen mee. Als je hem niet meer helpt, dan zou je baas er wel eens achter kunnen komen wat je hebt gedaan…

Zo’n situatie lijkt uitzichtloos, maar er is altijd hulp beschikbaar. En daarvoor hoef je gelukkig niet in mijn dromen te verschijnen. Er zijn diverse interne loketten waar je kunt aankloppen. De zoekterm ondermijning kan je op weg helpen. Doe iets voordat het écht te laat is. En voor de overgrote meerderheid die dit niet raakt: bedenk dat je nooit weet wie jouw pad in de toekomst zal kruisen.

 

En in de grote boze buitenwereld …

• is AI ook reuze handig voor cybercriminelen.
• heeft ENISA een zak geld gekregen voor incident response.
• hackten hackers de computer van een Noord-Koreaanse staatshacker.
• heeft een Oostenrijkse rechter het ‘Pay or Okay’-principe veroordeeld, omdat het strijdig is met de AVG.
• delen veel Tesla-eigenaren onbedoeld gegevens over hun auto en hun ritten.
• is de claim, dat passkeys kunnen worden gestolen, onjuist.
• hebben de Chinezen het weer eens op ons gemunt.
• is er ook nog een browser zónder AI beschikbaar.
• raakt het recente datalek mogelijk alle deelneemsters aan het bevolkingsonderzoek.