Dovemansoren

Afbeelding via Pixabay

“Heb jij al eens een blog geschreven over het spanningsveld tussen security en gebruiksgemak?”, vroeg een collega. “Vast wel”, antwoordde ik, “maar wat is jouw aanleiding om daarnaar te vragen?” “Mijn vrouw.”

Ik snapte meteen wat hij bedoelde. Niet dat mijn gezin het allemaal niet begrijpt hoor. Maar we hadden laatst wat mensen over de vloer, waaronder een stel dat bij elkaar opgeteld ongeveer mijn leeftijd heeft. Zij vroeg om het wifi-wachtwoord, en ik noemde het wachtwoord van ons gastennetwerk. Dat is gemakkelijk te onthouden en daarom niet erg ingewikkeld (iets als fiets3oven) – het is toch maar het gastennetwerk en daarmee kun je niet bij onze gegevens. Zij reageerde tot mijn verrassing echter met: “Poh, wat een moeilijk wachtwoord!” En ze noemde spontaan hun eigen wifi-wachtwoord, dat ik zou inschalen in de categorie “20^e eeuw”.

Een afkeurende blik kon ik niet vermijden, maar vervolgens deed ik een voorzichtige, uiterst vriendelijke poging om uit te leggen dat een dergelijk wachtwoord geen goede keus is. En het is bepaald niet zo dat ik onervaren of onhandig ben in het uitleggen van dat soort dingen. Maar in dit geval was mijn uitleg aan dovemansoren gericht. “Ach, bij ons gebeurt toch nooit iets”, zei de jongedame. Het was echter vooral haar blik die boekdelen sprak: waar maakt die man zich druk om? Ik nam nog een nieuw aanloopje en begon over wachtwoorden van andere, misschien belangrijkere accounts – vanuit de wetenschap dat mensen die links onverstandig handelen, dat meestal rechts ook doen. De muur van onbegrip was echter dermate hoog dat ik haar, ondanks alle ervaring, niet wist te slechten. En ik besefte dat ik het hierbij moest laten; die mensen waren hier voor de gezelligheid, niet om de les gelezen te krijgen.

Mijn vrouw en dochter, die dit allemaal hadden meegekregen, waren inmiddels al ruimschoots door de vloer gezakt. Los van het feit dat tieners er slecht tegen kunnen als hun vader zoiets doet, hadden de beide dames veel sneller dan ik in de gaten dat ik aan een mission impossible was begonnen. Hun opluchting was dan ook groot toen ik het onderwerp liet varen en we overgingen op koetjes en kalfjes.

Beveiliging en gebruiksgemak staan op gespannen voet met elkaar. Ga maar na: als je je huis op slot hebt gedaan, dan sta je net iets langer in de regen als je weer thuis komt. Iedereen begrijpt echter dat deze maatregel is bedoeld om buitenstaanders buiten te houden – die heten niet voor niets zo. Bij informatiebeveiliging werkt het net zo: legitieme gebruikers wil je eigenlijk geen strobreed in de weg leggen, maar omdat de meeste systemen nu eenmaal niet voor iedereen zijn bedoeld, moet er een slot op deur.

Sommige van die sloten zijn hinderlijker dan andere, en soms kunnen ze ronduit vervelend zijn, bijvoorbeeld om ze vaak op slot gaan. Als het vervelend wordt, dan zijn mensen geneigd om beveiligingsmaatregelen te omzeilen. Het moge duidelijk zijn dat de organisatie dergelijke creativiteit niet op prijs stelt. Daarom vind ik het altijd belangrijk dat je kunt begrijpen waarom een bepaalde maatregel van kracht is. En dus heb ik voor een tweetal maatregelen, waarbij ikzelf vaak denk: “Waarom werkt dit toch zo”?, navraag gedaan.

In beide gevallen kwam het antwoord neer op: dat zou niet zo moeten zijn. Gevolgd door technische uitleg waaruit valt op te maken dat er helemaal geen beveiligingsmaatregel in het spel is, althans: geen maatregel die verklaart wat ik beleef. Er is waarschijnlijk gewoon iets niet goed. Dat kan dus ook: dat je denkt dat iets een kromme beveiligingsmaatregel is, maar dat er iets anders aan de hand is.

Hopelijk kan die collega zijn vrouw ervan overtuigen dat sommige maatregelen belangrijk zijn. En hopelijk herkent hij situaties waarin er gewoon iets stuk is en het gedrag niet de schuld van de beveiliging is.

 

En in de grote boze buitenwereld …

• snappen sommige hooggeplaatste functionarissen niet dat ze geen persoonlijke e-mail voor het werk moeten gebruiken.
• is Gmail’s end-to-end encryptie geen echte E2EE.
• zijn er namaaktelefoons met malware in omloop.
• was de grote storing van vorig jaar in het Defensie-netwerk niet te voorkomen.
• is crisiscommunicatie een vak apart.
• wordt de Zweedse belastingdienst voor de rechter gesleept omdat hij gegevens van burgers verkoopt.
• wil iemand wel heel graag Chinese domeinen hacken.

De telefoon doet het niet

Afbeelding via Pixabay

Mijn opa en oma hadden telefoonnummer 1331. Die vier cijfers waren alles wat je nodig had om hen te bereiken. Belde je van verder weg, dan kwam daar nog netnummer 04454 voor.

De nummers van familie en vrienden wist je in die tijd uit je hoofd. Andere nummers had je in zo’n speciale telefoonklapper staan: je stelde een schuifje in op de eerste letter van de achternaam, drukte op een knop en het ding floepte open en toonde een kaartje met alle namen en nummers die bij die letter hoorden. Met de hand geschreven.

Thuis hadden we lange tijd helemaal geen telefoon. Daar kon je in de jaren zeventig prima mee leven. En die ene keer dat je echt iemand moest bellen, klopte je aan bij de buren. Je gaf ze dan een kwartje voor de kosten. Of je ging naar de telefooncel in het dorp. Ook daar had je kwartjes nodig. Dat waren belangrijke muntjes. Jammer dat ze er niet meer zijn.

Toen we uiteindelijk dan toch telefoon kregen, waren vier cijfers nog steeds voldoende. Wij hadden 4006. De PTT was de monopolist en iedereen had hetzelfde toestel: de T65, met draaischijf en krulsnoer. Het stond in de woonkamer en als je in de keuken bezig was, met de deur dicht, dan miste je wel eens een telefoontje. En dat wist je pas als de beller het later nog eens probeerde (“Waren jullie niet thuis?”). Daarom lieten mijn ouders diezelfde PTT een extra bel in de hal installeren. Daar betaalde je, net als voor de T65, huur voor.

Vele jaren later kocht ik – aarzelend – mijn eerste mobiele telefoon. Een Panasonic, met een antenne die zo’n twee centimeter boven het toestel uitstak. Het toestel had een klein LCD-display en fysieke toetsen. Je kon ermee bellen en sms’en. Vergeleken met de T65 was het aantal functies verdubbeld. Wow!

Kijk eens waar we nu staan. Zowat iedereen loopt de hele dag rond met een computer op zak, waarmee je toevallig ook kunt telefoneren. Dat kan op verschillende manieren. Via je simkaart (het ouderwetse bellen, met een telefoonnummer van maar liefst tien cijfers), maar ook – al dan niet met bewegende beelden – via andere apps. Je kunt er zelfs mee vergaderen, zo weten we sinds de coronapandemie – desnoods met mensen in alle uithoeken van de wereld. De meeste mensen hebben de vaste telefoon de deur uit gedaan. Of er nooit eentje gehad.

Maar wat als dat allemaal plotseling niet meer werkt? Niemand is meer bereikbaar, althans niet telefonisch. Je kunt alleen nog indirect met elkaar communiceren. Via e-mail of via chat-apps. Welke impact heeft dat op ons sociale en professionele bestaan? Tal van onderwerpen hebben baat bij live interactie; als die via mail moeten, dan kan het ‘gesprek’ gemakkelijk de verkeerde kant op gaan doordat de een de ander verkeerd begrijpt.

Als telefonie én videovergaderen langdurig zouden uitvallen, dan zouden we ongetwijfeld weer vaker naar kantoor gaan. Dan zou het weer zoals vroeger worden: maximaal één dag thuiswerken. Iedereen heeft zo zijn persoonlijke voorkeur, maar ik koester het thuiswerken. Een dag per week in het kippenhok zitten (en, toegegeven, ook zelf aan het geklets meedoen) is voor mij wel genoeg.

Wat doen we eraan om te voorkomen dat alles uitvalt? Diversiteit speelt een sleutelrol. We hebben in Nederland drie mobiele netwerken (Vodafone, Odido en KPN (de erfgenaam van de PTT!)). Alle andere aanbieders liften mee op deze netwerken. Het is voor organisaties financieel en vanuit beheeroogpunt aantrekkelijk om hun telefonie bij één aanbieder onder te brengen. Maar als daar dan een keer iets goed misgaat, dan heeft meteen de hele organisatie een black-out. Het zou dus beter zijn om je kansen te spreiden. Je zou dan zelfs zover moeten gaan dat de medewerkers van een team niet allemaal bij dezelfde aanbieder zitten. Ik zie een leuke administratieve uitdaging…

Maar is het de moeite waard? We hebben toch nooit langdurige uitval? Ik durf er in het huidige tijdsgewricht niet meer blindelings van uit te gaan dat dat zo blijft. Er spelen vreemde krachten in de wereld. Die krachten zouden er op enig moment baat bij kunnen hebben dat een land vleugellam wordt. Daar willen we liever niet aan denken. En juist daarom moeten we het wel doen.

 

En in de grote boze buitenwereld …

• zat de hoofdredacteur van The Atlantic ongevraagd in een Signal-groep van de Amerikaanse regering.
• is dit het oorspronkelijke artikel van The Atlantic over de Amerikaanse plannen om de Houthi’s te bombarderen.
• kunnen lager geplaatsten zich een dergelijke fout niet veroorloven.
• gaat SignalGate niet over Signal.
• spint Signal wel garen bij SignalGate.
• heeft een van de SignalGate-deelnemers ook informatie gelekt via een Amerikaanse Tikkie-variant.
• heeft Signal een handige feature om te voorkomen dat je de verkeerde persoon toevoegt.
• kun je controleren of je online accounts gehackt zijn.
• kan een aangevallen luchthaven altijd nog overstappen op whiteboards.
• werkt ChatGPT verslavend.
• is ook Troy Hunt (van Havibeenpwned) niet veilig voor phishing.
• is de Rijkscloud weer een stapje dichterbij.

 

Boodschap nr. 2

 

Afbeelding via Pixabay

“Boodschap nr. 2? Doet dat a.u.b. thuis, want ons toilet raakt snel verstopt.”

Op weg naar huis van een korte vakantie deden we een cafetaria vlakbij huis aan, want we hadden geen eten in huis. En daar, op het verder keurige toilet, hing dus dat briefje. De tekst was ook in het Engels vertaald en daarbij veel chiquer geworden (“If you need to defecate…”). De tekst deed mij denken aan Belgische wegen. In plaats van het soms abominabele wegdek te herstellen, zetten ze er een bord bij: slecht wegdek.

Zo’n bord plaatsen is natuurlijk veel goedkoper dan het fixen van het probleem. Althans, op het eerste gezicht. Misschien mijden hongerige gasten in het vervolg deze cafetaria, omdat ze na een lange wandeling in de omgeving toch ergens met hun nr. 2 heen moeten voordat ze hun friet verorberen. Dat betekent omzetverlies. En in België slijten auto’s harder. Bovendien kan ik me voorstellen dat een slecht wegdek voor meer ongelukken zorgt: je verliest de macht over het stuur als je door een kuil rijdt, of je probeert die kuil juist te ontwijken en komt daardoor in botsing met een andere auto. Dat zorgt allemaal voor extra kosten, en misschien zelfs voor menselijk leed.

En als onze zuiderburen nu eens die wel erg uitbundige verlichting van ’s lands wegen zouden halveren, zouden ze dan geen geld overhouden om diezelfde wegen te herstellen? Dat ligt wat ingewikkelder. Mijn natuurkundedocent van lang geleden legde eens uit waarom de Belgen zoveel straatlantaarns hebben. Dat kwam door de aanleg van kerncentrales. Toen die er waren, had het land overcapaciteit. Je moet ergens heen met die elektriciteit, en daarom werden al die lantaarns geplant. Ook toen was er al sprake van netcongestie; de opgewekte stroom moest meteen opgemaakt worden. Ik heb trouwens geen idee of dat argument decennia later nog steeds van kracht is, maar ik vond het altijd een boeiende – want onverwachte – connectie.

Als je een probleem hebt, dan wil je dat liefst oplossen. Bijvoorbeeld door de oorzaak ervan weg te nemen. Als dat niet kan, omdat je er geen invloed op hebt, kun je maatregelen treffen om de negatieve gevolgen ervan te compenseren. En als ook dat niet kan, bijvoorbeeld omdat je er geen geld voor hebt, dan… Tja, dan kun je altijd nog waarschuwingsborden plaatsen.

Een voorbeeld waarbij het lastig is om de oorzaak weg te nemen, is cybercriminaliteit. Zeker, met enige regelmaat worden die boeven – net als hun analoge collega’s – opgepakt, maar het zijn er domweg teveel en bovendien opereren ze vaak vanuit het veilige buitenland, waar de Nederlandse sterke arm er nauwelijks grip op heeft (al zijn er zeldzame gevallen bekend waarin de Russische justitie haar medewerking verleende aan buitenlandse verzoeken om bijstand, bijvoorbeeld die zaak waarin een meterslang in het Russisch vertaald dossier in Moskou werd afgeleverd).

Omdat het wegnemen van de oorzaak dus knap lastig is, hebben we allerlei maatregelen om kwaadaardige acties te detecteren en onschadelijk te maken. Denk daarbij aan virusscanners, mailfilters en mensen die de boel in de gaten houden. Maar omdat dat allemaal niet voldoende is, moeten we iedereen vragen om alert te zijn. Phishing is daarbij het nr. 1 aandachtspunt, omdat één verkeerde muisklik een hele organisatie in het verderf kan storten. Dat klinkt dramatisch, maar zo is het wel. En er zijn meer onderwerpen waarvan alle gebruikers iets af moeten weten om een gezonde bedrijfsvoering te waarborgen.

Gelukkig is er honger naar informatie hierover. Ook de komende tijd ben ik bij diverse organisatieonderdelen te gast, die me gevraagd hebben om hun medewerkers te trakteren op een presentatie. Ik vraag dan altijd aan de organisatoren wat er bij hen leeft, waarover zij iets willen horen. Zo’n gesprek levert soms verrassende inzichten in het succes van awareness-inspanningen op. Zoals eerder deze week, toen ik met een collega sprak over een presentatie in hun team. De teamleden zijn trouwe lezers van de Security (b)log. Desondanks vergeet ook daar wel eens een hoogst enkele keer iemand om zijn werkplek te vergrendelen als hij even wegloopt. En dan roepen zijn collega’s: “Oe, als Patrick dit ziet…!” Fijn om te zien dat de boodschap goed overkomt.

 

En in de grote boze buitenwereld …

• waart er momenteel een op crypto-investeerders gerichte phishingcampagne rond.
• kan hallucinerende kunstmatige intelligentie zeer schadelijk zijn.
• lijken de Britten de tijdslijn voor quantumveilige cryptografie naar achteren te hebben geschoven.
• gaat Noord-Korea AI-ondersteund hacken.
• gaan ook anderen AI misbruiken.
• kunnen hackers prima uit de voeten met oude kwetsbaarheden.
• vertrouwen we onze collega’s, tot het tegendeel bewezen is.
• krijgt de Amerikaanse pers ook in de gaten dat Europa werkt aan digitale soevereiniteit.
• moeten sportieve militairen van Strava af.
• mogen Europese data voorlopig nog naar de VS.

 

Au!

Afbeelding via Pixabay

Krak. Het geluid van een verdord twijgje dat het begeeft onder de voetstap van een boswandelaar. Alleen was het deze keer niet in het bos. En het was zeker geen twijgje.

We wonen nu op de kop af tien jaar in dit huis, en het bed staat al net zo lang op dezelfde plek. Maar toen ik onlangs de slaapkamer in liep, moet het bed een stapje vooruit hebben gezet. Krak. De poot van het bed vertoonde geen schade. Dat kon maar één ding betekenen: het geluid kwam uit mijn kleine teen. De meeste ongelukken zitten in een klein hoekje, zeggen ze. Of in een klein teentje, weet ik nu. Ach ja, dat botje groeit wel weer aan elkaar. (Maar vervelend is het wel.)

Een dag later kwam Maarten van Rossem, de altijd vrolijk mopperende ex-juryvoorzitter van De slimste mens, ongelukkig ten val. De historicus was gestruikeld over een Utrechtse stoeprand, pal voor het gebouw dat ten tijde van de oorlog dienst deed als hoofdkwartier van de NSB en waarin tegenwoordig een kinderopvang is gevestigd. Hij was verzonken in historische en ironische beschouwingen over het lot van een dergelijk gebouw. Gevolgen: gezicht kapot en knie bezeerd. Ik verkeerde die week dus in goed gezelschap, qua slachtoffer van je eigen onoplettendheid.

Hadden wij dan niet beter moeten uitkijken? Jazeker! Alleen: veel dingen doe je op de automatische piloot. Zoals gezegd, er is al tien jaar niets veranderd aan de inrichting van onze slaapkamer. En die stoeprand ligt daar waarschijnlijk ook al heel lang. Je kunt zo’n route blindelings duizend keer zonder ongelukken afleggen. En op die ene dag zet je je voet nét iets anders neer. Er zijn geen beelden van, ik kan het niet analyseren. Maar dat er een koersafwijking was, dat staat vast.

Ik heb eens iemand horen zeggen: lopen is gecontroleerd vallen. Je helt licht voorover en voorkomt een val door een been vooruit te brengen. Zo bezien is lopen dus een vrij onbeholpen activiteit voor tweevoeters. Vind je het dan gek dat we soms een misstap doen? Ongetwijfeld zijn hier dikke boeken over geschreven die het lezen al dan niet waard zijn, maar dit is geen blog over bewegingsleer en daarom laat ik dit onderwerp nu maar rusten.

In presentaties heb ik mijn gehoor wel eens aan het denken gezet over de wijze waarop ze een weg oversteken. Als je een auto ziet aankomen, dan maak je een inschatting of je nog kunt oversteken. Je baseert je daarbij op de afstand tot de auto en op zijn en jouw snelheid. Als je jezelf groen licht geeft, begin je te lopen. Maar nu doen we deze risicoanalyse – want dat is het – nog eens over, maar dan uitgebreider. Je beschouwt niet alleen afstand en snelheden, maar je houdt ook rekening met de mogelijkheid dat je struikelt. Je wijkt dus af van het goed-pad. Heeft de automobilist voldoende tijd om te remmen? Kan hij je überhaupt zien, of wordt hij gehinderd door duisternis of laagstaande zon? Of zit hij wellicht op z’n telefoon onder het rijden?

Neem je dergelijke factoren mee in je analyse, dan vergroot je waarschijnlijk de minimale afstand die de auto bij een zekere snelheid moet hebben, om met een veilig gevoel over te kunnen steken. Maar ja, wie doet zoiets nou? Ik kan het je vertellen: mensen die net een ongeluk hebben gehad. Want die hebben aan den lijve ondervonden hoe het fout kan gaan en wat daar de consequenties van zijn. En na verloop van tijd verwatert die verhoogde waakzaamheid weer, en daarmee neemt de kans op ongelukken weer toe.

In de informatiebeveiliging is het niet anders. Als er nooit iets gebeurt, dan verslapt de aandacht. En dan wordt het voor kwaadwillenden – onze standaard term voor iedereen die doelbewust iets met onze systemen en gegevens wil doen waar wij het niet mee eens zijn – gemakkelijker om hun ding te doen. Oefenen helpt tegen verslapte aandacht, maar wat je ook kan helpen, is het bedenken van scenario’s. Je hebt een bepaald belang dat je wilt beschermen en je probeert te bedenken hoe een kwaadwillende daar een aanval op zou uitvoeren. Dat kan soms tot verrassende inzichten en oplossingen leiden.

Mijn bed was geen kwaadwillende. Domme pech, zouden de meeste mensen zeggen. Voorlopig loop ik er in ieder geval met verhoogde eerbied langs. Ook op andere plaatsen zet ik mijn voeten momenteel veel bewuster neer. Dat kost best wat energie. Eigenlijk kijk ik er alvast naar uit dat mijn aandacht weer een beetje verslapt. Al hoop ik van harte dat dat bed nou eens op z’n plaats blijft staan.

 

En in de grote boze buitenwereld …

• slaat AI opvallend vaak de plank mis.
• beschouwt de Amerikaanse regering Rusland niet langer als een cyberdreiging.
• vloeien jouw locatiedata van Pokémon Go mogelijk naar Saoedi-Arabië.
• is Twitter/X volgens dit Australische artikel een bedreiging voor landen buiten de VS.
• slaan de nieuwe overheidswerkplekken van SSC-ICT alleen metadata op in de cloud.
• komt Apple in verzet tegen het Britse achterdeurtje.
• waarschuwt de baas van Signal voor AI-agents.
• lijkt Apple een goed idee rommelig te hebben geïmplementeerd.
• hebben veel Chromecasts een verlopen certificaat, waardoor het apparaat niet meer werkt.
• bieden de tieneraccounts van Instagram slechts schijnveiligheid.

 

De aap is los

Afbeelding via Pixabay

Ondanks dat het geen eenden zijn, ben ik geneigd om ze Kwik, Kwek en Kwak te noemen: de drie apen die afgelopen week uit de Apenheul ontsnapten. Ze woonden pas een weekje in deze Apeldoornse dierentuin, maar kennelijk waren ze niet zo tevreden met deze accommodatie en smeedden ze een vluchtplan. Er moesten verdovingspijlen en een ferme waterstraal van de brandweer aan te pas komen om ze terug in hun hok te krijgen.

Hetgeen mij brengt bij de uitdrukking: een aap op je schouder hebben. Ik ken ‘m alleen met een negatieve gevoelswaarde, want het betekent dat je een klusje te doen hebt of een probleem moet oplossen waar je niet echt blij mee bent. De zoekmachine geeft na de opdracht “aap schouder” dit terug, van een opleidingsinstituut: “Aap op de schouder? Leer de kunst van het teruggeven.” Een concurrent is wat agressiever: “Opgelet! Voorkom de aap op je schouder.” Kortom: een aap op je schouder hebben wordt niet als prettig ervaren.

Ook in deze context zijn er wel eens apen die uitbreken en zodoende op plekken belanden waar ze niet thuishoren. Zo’n aap zit dan niet op de schouder van de juiste verzorger. Hoe komt hij daar terecht? Soms op een wel heel vreemde wijze. Zo hoorde ik ooit deze merkwaardige uitspraak: “Informatiebeveiliging begint met een i, dus maken we ICT eigenaar ervan.” Kun je je een slechtere reden voorstellen om een onderwerp op een bepaalde plek te beleggen? Ik niet.

Overigens is het helemaal niet ongebruikelijk – maar daarom nog niet per se verstandig – dat een ICT-afdeling tot eigenaar van informatiebeveiliging wordt gebombardeerd. Want tja, informatiebeveiliging gaat toch over computers? En die zijn van ICT. Toch?

Wat betekent dat eigenlijk, ‘eigenaarschap’? Privé heeft het meestal iets positiefs: je bent de trotse eigenaar van een mooi huis of een hippe fiets. Het betekent ook dat je goed ervoor moet zorgen als je er lang plezier van wilt hebben. Zakelijk gezien mag je ook best trots zijn op zaken waar je eigenaar van bent. Wellicht ontleen je er een zekere status aan. Bij het onderhoud wordt het verhaal echter iets anders dan in je privésituatie. Daar mocht je nog zelf bepalen of je er iets aan doet, maar zakelijk gezien draag je verantwoordelijkheid naar de organisatie toe. Je kunt de boel niet zomaar op z’n beloop laten, want dat zou kunnen betekenen dat mensen elders in de organisatie daar problemen van gaan ondervinden. Of stelliger, eigenlijk: vroeg of laat gaat iemand hinder hebben van gebrekkig eigenaarschap.

In onze organisatie hebben veel mensen gelukkig wel in de smiezen dat informatiebeveiliging niet “van ICT” is. Dat zie je bijvoorbeeld aan het feit dat we business security officers (BSO’s) hebben. Dat zijn informatiebeveiligers die bij de dienstonderdelen zitten. En ja, in de ICT hebben we ook security officers (ook wel information security officers (ISO’s) genoemd), maar die gaan alleen over de spullen en diensten die ICT beschikbaar stelt aan de organisatie – en niet over wat de organisatie (‘de business’) daarmee doet.

Voor veel medewerkers zijn de BSO’s tamelijk onzichtbaar. Ik weet dat omdat wij, de ISO’s, vaak vragen krijgen die eigenlijk bij de BSO’s thuishoren. Een medewerker, die tegen een security-issue aanloopt of gewoon een vraag heeft, gaat op zoek naar iemand die de aap op zijn schouder zou kunnen nemen. Vaak kloppen ze bij mij persoonlijk aan: “Jij bent de enige informatiebeveiliger die ik ken, door je blog.” Helemaal niet erg hoor, ik verwijs ze dan graag door naar hun eigen BSO. Vele malen liever zo dan dat een vraag of melding onbeantwoord blijft.

Ken jij je BSO? Zo niet, ga dan eens op zoek naar hem of haar en maak een praatje. Ook als er niets aan de hand is. Het zijn namelijk heel aardige mensen.

 

En in de grote boze buitenwereld …

• is Signal echt veiliger dan WhatsApp.
• staat Apple voor een onmogelijke keus door Britse wetgeving die een crypto-achterdeur eist.
• zijn de Amerikanen natuurlijk ook helemaal niet blij met die Britse wet.
• wil Frankrijk ook een achterdeurtje.
• trekt het Nederlandse cloud-pessimisme internationaal aandacht.
• heeft Noord-Korea anderhalf miljard buitgemaakt bij een digitale bankroof.
• hebben we er een nieuw woord bij: vacaturefraude.
• slokken AI-chatbots informatie op die per ongeluk eventjes vrij toegankelijk was.
• vermijden veel Nederlandse bedrijven het gebruik van AI om privacyredenen.

In de wachtkamer

Afbeelding via Pixabay

In de best wel volle trein kwam ik naast een man te zitten die op zijn laptop zat te werken. Een vluchtige blik op het apparaat en de openstaande programma’s identificeerde hem als collega.

Op een gegeven moment zat hij in een telefoongesprek. Ik luisterde niet actief mee, maar ik hoorde natuurlijk wel iets. En wat ik hoorde, stemde mij zeer tevreden. Om te beginnen sprak hij zachtjes, en in korte zinnen. Het was eigenlijk vooral luisteren en af en toe kort reageren. Ik hoorde hem geen informatie geven. Keurig, collega!

Hoe anders is de ervaring van een collega, die in de wachtkamer van de tandarts zat. Nou ja, wachtkamer: in een hoekje van de receptie stonden wat stoelen. Achter de balie zaten twee assistentes. De ene, Toos*, zat met enige wanhoop in de ogen door computerschermen heen te klikken en zei uiteindelijk: “Ik kan de gegevens van mevrouw Dekker niet vinden in TND.” Haar collega Cindy vroeg naar de geboortedatum van mevrouw Dekker. “Aha,” zei Cindy, “ze is van 1999 en daarom staat ze nog niet in TND. Wat is haar telefoonnummer, dan bel ik haar wel even.” Toos las het telefoonnummer op en Cindy ging bellen.

“Goedemorgen mevrouw Dekker, met Cindy, assistente van tandarts Kroon. Ik heb even wat gegevens van u nodig om uw behandeling in ons systeem op te nemen. Wat zijn uw voorletters? ABG? Mooi. En uw BSN? Ja natuurlijk, ik wacht wel even. (…) Ah, daar bent u weer. Ja, ik schrijf mee. 1-1-2-7 5-5 9-5-0? Dank u wel. En als laatste heb ik nog uw adres nodig. De Beugel 5? 8462 DR? Mooi zo, dan heb ik alles compleet. Zullen we maar meteen de eerste afspraak voor uw wortelkanaalbehandeling maken? Kunt u vrijdag om 9 uur? Prima. Als ik dan nog uw e-mailadres mag, dan stuur ik u een bevestiging. marlies@dekker.com? Prima, dan zien we u overmorgen. Prettige dag nog!”

Onze collega kon zijn oren haast niet geloven. Hij had nu een compleet setje persoonsgegevens van iemand en hij wist wanneer mevrouw Dekker niet thuis zou zijn. Door de informatie over haar behandeling wist hij bovendien dat ze wel even een poosje weg zou blijven.

“Ha, handig, met deze informatie kan ik identiteitsfraude plegen.” Of: “Mooi, dan leg ik mijn inbrekersgereedschap alvast klaar.” Ik geef toe dat de kans, dat de onbedoeld gedeelde informatie toevallig terechtkomt in de oren van een cyber- of fysieke crimineel niet zo heel groot is. Maar dan nog: iedereen voelt aan z’n water dat wat hier gebeurde gewoon niet hoort. Als dat allemaal hoort, dan weet je dat ze ook zo omgaan met jouw gegevens. Daar zou jij je ook niet lekker bij voelen. En stel je eens voor dat onze wachtende collega een kennis van mevrouw Dekker was. Komt hij haar een week later tegen: “Hé Marlies, hoe gaat het met je kies?” Dat zou toch raar zijn?

Maar er is natuurlijk ook een juridisch probleem. De nietsvermoedende, goedbedoelende tandartsassistentes hebben niet alleen persoonsgegevens, maar zelfs medische gegevens gelekt. Onder de AVG (de Europese Algemene Verordening Gegevensbescherming) hebben die de status van bijzondere persoonsgegevens, waar nog strengere regels voor gelden dan voor gewone persoonsgegevens.

Toos en Cindy deden gewoon hun werk. Zij kunnen er ook niks aan doen dat tandarts Kroon een afgescheiden wachtkamer zonde van het geld vond. Het telefoongesprek elders voeren kon ook niet, want dan kon Cindy de gegevens niet in het systeem zetten. Datalekken zijn in deze situatie dan ook voorgeprogrammeerd. Zeker als mensen zich niet bewust zijn van wat er gebeurt. Een datalek zit in een klein hoekje.

Ik wil ook nog even kijken wat er aan de andere kant van de lijn gebeurde. Wat als het helemaal niet de tandartsassistente was die mevrouw Dekker belde, maar iemand die eropuit was om persoonsgegevens te verzamelen? De kans is natuurlijk klein dat zo iemand net belt als je met kiespijn rondloopt. Maar als je die omstandigheid weglaat, dan wordt het een ander verhaal. Als iemand die je niet kent om gegevens vraagt, zeg dan dat je terugbelt. Bel dan naar het algemene nummer van het bedrijf en vraag naar de persoon die jou zojuist belde. Als dat niet kan, vraag dan of ze inderdaad gegevens nodig hadden. Zo voorkom je dat je zelf je eigen gegevens lekt.

*) Uiteraard zijn alle persoons- en systeemgegevens aan mijn fantasie ontsproten.

 

En in de grote boze buitenwereld …

• kun je medische informatie natuurlijk ook gewoon op de rommelmarkt kopen.
• heeft de zorg te maken met cyberdreigingen. Welke dat zijn, staat in hun dreigingsbeeld.
• is het beveiligen van medische gegevens ook elders op de wereld problematisch.
• is ‘hybride oorlogsvoering’ een eufemisme.
• waarschuwt Europol voor kindermisbruik via online communities.
• springen slimme verkeerslichten op groen dankzij jouw telefoon.
• worden Signal-gebruikers aangevallen via valse QR-codes.
• aarzelt de overheid steeds meer als het om public cloud gaat.

From Asia with love

Afbeelding via Unsplash

In het Achtuurjournaal zeiden ze het er niet bij, maar dat die reportage aan de vooravond van Valentijnsdag werd uitgezonden, kon bijna geen toeval zijn. Het ging namelijk over een man die via een datingapp leuk contact had met ene Julia. Zou dit dan eindelijk de ware voor hem zijn?

Ze kletsten een tijdje gezellig, en na een paar dagen schreef Julia: “Raad eens wat ik net aan het doen was!” En ze stuurde een screenshot mee van een indrukwekkende grafiek, die toonde dat ze zojuist veel geld had verdiend met de handel in cryptovaluta. En ze was best bereid om aan onze anonieme gelukszoeker uit te leggen hoe dat werkte. Hij kreeg een link naar een handelsapp. Wat hij niet wist, was dat hij in de val van oplichters was gelopen. Via die app werd er namelijk helemaal niks verhandeld. Zijn hele inleg – eerst duizend euro, dan tienduizend, in totaal anderhalve ton – verdween linea recta in criminele zakken. Toen het geboefte in de gaten had dat er niks meer te halen was, beëindigde Julia de ontluikende romance abrupt. Onze Romeo kwam in een moeilijke tijd terecht, waarin hij het vertrouwen in iedereen – zichzelf incluis – kwijtraakte.

In veel presentaties die ik geef, zit een tegeltjeswijsheid: als iets te mooi lijkt om waar te zijn, dan is het dat meestal ook. Het begon ooit met die Nigeriaanse prins, die uitgerekend jou een mailtje stuurde waarin hij je gouden bergen in het vooruitzicht stelde als je hem zou helpen om een groot bedrag vrij te spelen. Juristen uit verre landen, die je vertelden dat een forse erfenis op je stond te wachten, waren daar een variant op. De enige gelegenheid, waarbij ik zo’n mededeling geloof, is als het op een kanskaart in Monopoly staat. Maar de scams worden steeds gewiekster en de criminelen steken er meer tijd en moeite in om de buit binnen te halen. Waar die prins nog met hagel op grote groepen tegelijk schoot, in de hoop dat er misschien een paar man in zouden trappen, daar wordt nu geïnvesteerd in een goede relatie met het individuele slachtoffer.

Het Journaal liet ook zien waar al die ellende vandaan komt. Niet meer in hoofdzaak uit Nigeria en omstreken, maar uit Zuidoost-Azië. Van daaruit opereren zo’n dertig scamcentra; dat zijn flatgebouwen vol met Julia’s, die samen al zo’n 75 miljard dollar hebben verdiend aan mensen die te goedgelovig waren. Veel van die rond de driehonderdduizend Julia’s doen dat werk trouwens onvrijwillig. Ze zijn er door mensenhandelaren onder valse voorwendselen heen gelokt. Ze leven in gevangenschap en als ze hun werk niet goed doen krijgen ze lijfstraffen.

In de blog van vorige week stond een link naar een artikel waarin werd verteld dat Thailand de internet- en elektriciteitsverbindingen naar de grensregio met Myanmar had afgesneden, in een poging de scamcentra lam te leggen. Dat laat zien hoe machteloos je in feite bent in de strijd tegen criminelen die opereren vanuit een land dat hen geen strobreed in de weg legt. Het artikel zei niets over de mate waarin die scamcentra afhankelijk waren van de Thaise voorzieningen, maar inmiddels zullen ze wel een manier hebben gevonden om verder te werken. Dat geldt waarschijnlijk niet voor onschuldige burgers en bedrijven in de grensregio, die ook door deze goedbedoelde maatregel zijn getroffen.

Cybercrime in deze vorm is alleen mogelijk dankzij technologie die nooit met dit doel is bedacht. Met behulp van vertaaldiensten zoals Google Translate kon Julia in keurig Nederlands met haar slachtoffer chatten. Ook kunstmatige intelligentie wordt steeds vaker ten kwade aangewend. Ik maak maar weer eens de vergelijking met dynamiet: toen Alfred Nobel het in de 19^e eeuw uitvond, had hij niet voorzien dat het zou worden gebruikt om bankkluizen en soldaten op te blazen. En zo zijn ook datingapps niet opgezet als platform voor misdaad met een romantische aanloop.

Als de misdaad niet wordt aangepakt, dan moeten haar potentiële slachtoffers weerbaar worden gemaakt. Anders dan bij een straatoverval heb je bij dergelijke oplichtingspraktijken namelijk wél een kans om de dans te ontspringen. Eigenlijk is het best simpel: als een pril contact opeens over geld gaat, dan is het oppassen geblazen. Zet je roze bril af en kijk door een vergrootglas naar wat er gebeurt. Bespreek je twijfels met iemand die je al jarenlang vertrouwt; niet met Julia, want zij weet allerlei manieren om je gerust te stellen. Zeg gewoon resoluut dat je niet geïnteresseerd bent. Je gebruikt die datingapp om liefde te vinden, niet om rijk te worden.

Print desnoods die tegeltjeswijsheid uit en hang haar boven je beeldscherm op.

 

En in de grote boze buitenwereld …

• willen de Britten een achterdeurtje in de encryptie van iCloud-backups.
• heeft de overheid de Informatieset quantumveilige cryptografie gepubliceerd.
• infiltreerden Noord-Koreaanse IT’ers via laptop-farms in Amerikaanse bedrijven.
• verspreiden overheden graag spyware.
• zijn veel AI-vriendjes en -therapeuten schadelijk voor het welzijn van de argeloze gebruiker.
• moeten AI-chatbots beter leren om ‘nee’ te zeggen.
• hebben ook niet-menselijke gebruikers een levenscyclus.
• lijdt de Amerikaanse cybersecurity onder de ambtelijke zuivering van de nieuwe regering.

Kunstmatig dom

Afbeelding via Pixabay

Kun je een beetje tekenen? Mooi zo. Maak dan een plaatje voor mij met twee vlaggetjes, elk aan een korte stok, die een hoek van 45 graden met elkaar maken.

Niet zo moeilijk toch, deze opdracht? Stop haar echter in ChatGPT en je krijgt met geen mogelijkheid die hoek erin verwerkt. Wel krijg je twee stokken naast elkaar, die in het beste geval met elkaar verstrengeld zijn. Aan de ene kant zit dan een vlag die naar links, aan de andere kant eentje die naar rechts wappert. Vraag je nog eens specifiek om die hoek, dan worden de vlaggen verlengd en omgevouwen, inderdaad in een hoek van 45 graden. Maar die stokken, die blijven stoïcijns parallel aan elkaar.

Hoezo “kunstmatig intelligent”, denk ik dan. Toegegeven, ik zou die vlaggen zelf nooit zo strak en snel kunnen tekenen. Voor de rest denk ik na zo’n teleurstelling toch eerder dat dat ding kunstmatig dom is. Ik plak niet snel een dergelijk etiket ergens op, maar als je pocht met je intelligentie en dan niet snapt wat elke brugklasser met een geodriehoek wél snapt, dan ben je af.

Een veel slimmere – maar tevens verwerpelijke – toepassing van AI is het oplichten van mensen. Ik was amper aan deze blog begonnen, toen op de radio een gesprekje begon over goedgelovige mensen die waren opgelicht door criminelen die zich op een datingsite voordeden als René Froger, Max Verstappen, Mark Rutte of André Rieu. Stuk voor stuk mensen die goed in de slappe was zitten. En toch bedelden ze na wat heen er weer geflirt om geld, zogenaamd omdat ze er even niet bij konden, bijvoorbeeld vanwege problemen met hun manager. Eén slachtoffer had zelfs der-tig-dui-zend euro overgemaakt naar “René Froger”.

Volgens de gast van het radioprogramma (ik heb het begin van het gesprek gemist, maar ik meen dat het Maaike Timmerman was, van de NPO-podcast Het Misdaadbureau) trappen iets meer vrouwen dan mannen in dit soort trucs, en dan vooral die van iets gevorderde leeftijd – mensen, die niet per se weten wat normaal online gedrag is. En als je dan een persoonlijk spraakbericht van jouw idool krijgt, via een datingsite nog wel, dan ben je toch in de zevende hemel?

Nu zou je je natuurlijk kunnen afvragen wat uitgerekend deze mensen op een datingsite te zoeken hebben (nou ja, misschien afgezien van Mark Rutte). Kijk, het ontmaskeren van dit soort oplichting werkt met vlaggetjes; hoe meer vlaggetjes, hoe waarschijnlijker dat het foute boel is. BN’er op een datingsite: grote rode vlag. BN’er die met jou aanpapt? Forse rode vlag. Al dan niet bekende persoon die na een paar gezellige chats om geld vraagt: enorme rode vlag. Drie rode vlaggen op een rij? Wegwezen!

Maar ja, dat spraakbericht hè. Dat klinkt echt heel overtuigend. En als je niks van deepfakes afweet, dus dat kunstmatige intelligentie wordt gebruikt om een stem iedere gewenste tekst te laten uitspreken, dan kan ik je moeilijk natuurlijke domheid verwijten. Laten we afspreken dat je voortaan aan die rode vlaggen denkt als je iets onwaarschijnlijks tegenkomt. Misschien helpt het je om er niet in te tuinen.

Nog even terug naar die gekruiste vlaggen (want dat hele verhaal over flirtende BN’ers sloop er toevallig in omdat ik met een half oor naar de radio luisterde). Dat plaatje dat ik wilde hebben, dat was voor privégebruik. Voor mijn werk als rijksambtenaar had ik zo’n AI-tool niet mogen gebruiken. In ambtelijke bewoordingen: het gebruik van niet-gecontracteerde AI is in beginsel niet toegestaan. Ik draai deze regel liever om: voor je werk mag je alleen AI gebruiken die we ingekocht hebben. Waarom dat beter is? Omdat er dan een contract ligt waarin de rechten en plichten van beide partijen beschreven zijn. Dat zorgt ervoor dat onze gegevens niet zo maar in een groot kunstmatig brein mogen worden opgenomen en het baasje van dat brein ze voor eigen doeleinden kan gebruiken. Zie zo’n contract maar als een groene vlag.

 

En in de grote boze buitenwereld …

• mag je DeepSeek al helemaal niet gebruiken.
• brengt DeepSeek namelijk nogal wat security- en privacy-issues met zich mee.
• traint Meta z’n AI met illegaal verkregen boeken.
• wordt het de hoogste tijd voor een eigen Nederlandse cloud (onder de naam Cloud Kootwijk).
• willen banken bij telecomproviders kunnen checken of je telefoneert tijdens het overboeken van geld.
• doen sommige banken dit via een omweg (omdat het bovenstaande nog niet mag).
• kun je criminelen ook de mond snoeren door stroom en internet uit te zetten.
• walst het bureau van Elon Musk door federale databases alsof er geen security- en privacyregels zouden zijn.

  

Internetloze zondagen

Foto van auteur

Onze zonnepanelen hebben op deze koude ochtend de structuur van aardappelgratin. Ik weet ook niet wat de natuur hiermee beoogt, maar het ziet eruit als het werk van een ijskunstenaar. Ondertussen rekt de zon zich uit; tien minuten geleden is ze ontwaakt, ik zie haar rode gloed weerkaatsen in de ramen van huizen een straat verderop. Straks zullen haar stralen de zonnepanelen doen smelten (althans, het ijs dat erop ligt) en dan kan de productie beginnen.

Aan de slimme meter hangt sinds kort zo’n kastje dat de actuele meetgegevens doorseint naar een app op mijn telefoon. Daardoor kan ik (bijna) real-time zien hoeveel stroom hier in huis wordt verbruikt. We zijn alvast flink aan het oefenen om zoveel mogelijk van onze eigen zonnestroom te verbruiken: “Kan de wasmachine al aan?”, klinkt het dan door het huis. We kijken dan naar de actuele opbrengst, maar ook naar de zonverwachting op de korte termijn. Want als de wasmachine nu aangaat en over vijf minuten schuift er een dikke donkere wolk voor de zon, dan heb je nog niks. Waarbij je overigens wel moet bedenken dat zo’n apparaat niet continu veel stroom verbruikt, maar vooral bij het verwarmen van het water. Met een beetje geluk kan ik op een zonnige winterdag al quitte spelen. Dat belooft wat voor de zomer.

Voor de energiehuishouding van ons huis ziet het er dus rooskleurig uit. Zoom je echter uit naar het niveau van Nederland, dan zie je een veel pessimistischer beeld: we zitten in een heuse energiecrisis. Er zijn berichten over bedrijven die niet kunnen worden aangesloten op het elektriciteitsnet. Niet omdat er onvoldoende elektriciteit wordt opgewekt, maar omdat het netwerk het niet aankan – er treedt netcongestie op, zoals dat heet. Gek genoeg kent dat fenomeen twee tegenstrijdige oorzaken: enerzijds de grote vraag naar stroom, bijvoorbeeld doordat bedrijven overstappen van gas naar elektriciteit, en anderzijds juist het grote aanbod door al die zonnepanelen en windparken. Zie het maar als een overvolle snelweg: als daar een file op staat, dan kun je er ook niet op of af.

Ons datacenter heeft een kloeke noodstroomvoorziening. Als de netspanning wegvalt, dan nemen accu’s het naadloos over, lang genoeg voor het dieselaggregaat om op stoom te komen. Zolang er diesel is, blijft het datacenter werken. Netbeheerders voorspellen dat de stroom in de toekomst vaker zal uitvallen. Dan boffen we maar met dat eigen energiegebouw. Maar deze voorziening is natuurlijk niet bedoeld als remedie tegen netcongestie. In de drie-eenheid van de informatiebeveiliging – beschikbaarheid, integriteit, vertrouwelijkheid – is dit een maatregel om de beschikbaarheid van de dienstverlening te waarborgen, maar het was nooit bedoeld als energiecentrale voor permanent gebruik.

Datacenters zijn berucht om hun stroomverbruik. Stampende computerchips verbruiken stroom en produceren warmte, die dan weer weggekoeld moet worden omdat ze het niet graag te warm hebben. Ondanks dat de meeste computerapparatuur in een datacenter geen bewegende onderdelen bevat, heb je oordopjes nodig als je er naar binnen gaat. In elk apparaat zit wel een  ventilatortje, en dan is er natuurlijk nog een grote installatie om al die uitgeblazen warmte af te voeren. Vooral de megadatacenters van de tech-reuzen, zoals Google en Apple, staan bekend om hun enorme energierekening. Wij slaan onze foto’s allang niet meer op onze telefoons op, maar in de cloud; in die datacenters dus. En al die miljoenen foto’s van de complete wereldbevolking vreten heel wat energie.

Kunstmatige intelligentie is een vrij nieuwe energieslurper. Met enige gêne stelde ik de volgende vraag aan ChatGPT: “Hoeveel energie heeft het beantwoorden van deze vraag gekost?” Omdat het een eenvoudige vraag was schatte hij het verbruik tussen de 0,1 en 1 Wh (wattuur). Omdat hij ook wel snapt* dat ik daar geen voorstelling bij heb, gaf hij er voorbeelden bij: met 0,1 Wh kun je een LED-lamp van 10 W 36 seconden laten branden, 1 Wh is goed voor 1 minuut YouTube op je telefoon. Worden de vragen ingewikkelder dan de mijne, dan stijgt het energieverbruik tot het tienvoudige, schat ChatGPT. Voor een moeilijke vraag moet je tien minuten YouTube inleveren, wil je het een beetje energieneutraal houden.

Ik herinner me nog de autoloze zondagen uit mijn jeugd. Vanwege de oliecrisis was het op tien zondagen stil op straat. Probeer je eens voor te stellen dat je, vanwege de netcongestie, op bepaalde momenten niet kunt internetten, bijvoorbeeld omdat het nabijgelegen industrieterrein die stroom dringender nodig heeft dan jij. Of dat de netbeheerder je op bepaalde tijdstippen aanspoort om de wasmachine, de wasdroger én de vaatwasser aan te zetten omdat ze de opgewekte energie anders niet kwijt kunnen. Of dat ze dat zelf op afstand doen.

De zonnepanelen zijn inmiddels ontdooid en leveren een bescheiden hoeveelheid elektriciteit. De wasmachine draait, waardoor we netto stroom verbruiken. We zijn nog niet zo ver dat we het huishouden volledig afstemmen op het weer. En dat kan ook niet in Nederland. Niet zolang er geen efficiënte, betaalbare accu’s zijn.

*) ChatGPT en zijn collega’s “snappen” helemaal niks van wat ze uitkramen, maar je snapt hoe ik het bedoel.

 

En in de grote boze buitenwereld …

 

• was de Chinese AI DeepSeek slecht beveiligd.
• ligt DeepSeek onder vuur van Europese privacy-autoriteiten.
• kon je ChatGPT om de tuin leiden met een historisch perspectief.
• is AI-geletterdheid voortaan verplicht als je AI ontwikkelt of in je organisatie gebruikt.
• speelt insider threat ook bij musea.
• rekent dit artikel voor hoe ernstig het ransomwareprobleem vorig jaar was.
• schreef een politieman een proefschrift over ransomware.
• leidt slechts een klein percentage van alle Europese privacyklachten tot een boete. 
• was weer eens een internationale politie-coalitie succesvol.

 

Touwtjespringen

Foto: Koninklijke Marine

Tegenover mij zat een luitenant-ter-zee der 1^e klasse. Nu is het in verreweg de meeste gevallen van generlei belang wie er allemaal in dezelfde trein als ik zit, maar deze keer is het toch vermeldenswaardig. In die trein was ik namelijk deze blog aan het voorbereiden, waarin ik je meeneem naar zee, en zelfs naar de bodem ervan. Een grappig toeval dus dat die nietsvermoedende marine-officier daar zat.

We horen het steeds vaker de laatste tijd: onderzeese kabels die beschadigd raken. En dan niet per ongeluk, maar als doelbewuste actie van de Russische schaduwvloot. Bijvoorbeeld door een olietanker die even een omweg maakt en precies boven zo’n kabel zijn anker laat zakken. Daarmee trekt hij die kabel kapot.

Dat is best wel een botte-bijlmethode om internetverbindingen om zeep te helpen. Heel anders dan we tot nu toe gewend waren van de Russen, want ze hebben daar ook massa’s slimme hackers in staatsdienst, die prima in staat zijn om onze verbindingen langs digitale weg te verstoren. Dat is goedkoper en gemakkelijker. Westerse marines en kustwachten letten tegenwoordig scherp op schepen die uit de koers raken en hun ankers in het water hebben. Dus waarom dan toch deze aanpak?

Welnu, de schade is groter, en wel in drie opzichten. Het duurt langer om de aangerichte schade te herstellen, het herstel kost vele malen meer en het aantal gedupeerden is groter. Er moet immers een gespecialiseerd schip naar toe om de kabel fysiek te repareren. En door de grotere, fysieke schade is ook de ontwrichting omvangrijker – als je de juiste kabel weet te raken, dan kan dat grote gevolgen hebben voor internetgebruikers aan beide uiteinden van die kabel, tot ver in hun achterland. En zoals we weten is ontwrichting een van de middelen die Rusland graag aanwendt in deze Tweede Koude Oorlog. Die ontwrichting gaat veel verder dan dat je kinderen hun online game even niet kunnen spelen of dat TikTok eruit ligt. Het internationale betalingsverkeer kan hinder ondervinden, de economie krijgt een knauw en er groeit angst onder de bevolking – als de Russen dit kunnen, wat kunnen ze dan nog meer kapotmaken? 

Wacht even, denk je nu misschien, ik zit toch op wifi, wat heb ik met die kabels op de bodem van de zee te maken? Nou kijk, dat wifi-netwerk waar jij gebruik van maakt, dat eindigt ergens bij een wifi-router: dat kastje thuis in je meterkast. Ook kantoren, winkels, restaurants, luchthavens, hotels en alle andere aanbieders van wifi hebben ergens een apparaat staan dat het begin en einde van dat netwerk is. Vanaf daar, de andere kant op, gaat alles met kabels. Vanuit je meterkast gaat een kabel ondergronds naar je internetprovider, en daarvandaan verder naar het internet en naar knooppunten. Die knooppunten zijn ook weer met elkaar verbonden, en zo ligt er een heel netwerk van kabels over de wereldbol. En omdat de aarde nu eenmaal grotendeels uit zeeën bestaat, lopen veel van die kabels over de zeebodem. Als jij aan het internetten bent, dan zoeven jouw zoekopdrachten met duizelingwekkende snelheid door zeeën en oceanen. Dus ja, ook jij kunt hinder ondervinden als ze de juiste kabel weten te raken.

En Starlink dan, het netwerk van Elon Musk, dat uit duizenden satellieten bestaat? Starlink-klanten hebben een eigen antenne, die het signaal uit de ruimte oppikt. Maar uiteindelijk komen deze radiosignalen bij elkaar in de meterkast van Musk, die een aansluiting heeft op het internet – via een kabel. Starlink is in dat opzicht niet meer dan een soort  uit de kluiten gewassen wifi-netwerk. (Die meterkast van Musk is natuurlijk een grapje. In werkelijkheid zijn er grondstations die met grote antennes naar de signalen uit de ruimte luisteren). Deze interactieve kaart laat trouwens mooi zien hoe immens het Starlink-netwerk is, en dan snap je ook meteen waarom de satellieten manoeuvres moeten kunnen uitvoeren om botsingen met collega’s te voorkomen.

Hoe je het ook wendt of keert, we zijn voor het internet afhankelijk van die kabels. In Nederland komen er een dozijn aan land. De meeste verbinden ons met Engeland en van daaruit met de VS, een paar met Scandinavië; eentje gaat, met een tussenlanding op het meest westelijke puntje van Engeland, door naar de VS. Een enkele kabelbreuk zal ons niet onmiddellijk van de rest van de wereld isoleren, maar het werkt altijd verstorend.

Deze blog begon met een toeval, en misschien volgt er nog een toeval. Het is niet ondenkbaar dat de luitenant-ter-zee deze blog ook leest en nu denkt: hé, tegenover mij zat een man flink op zijn iPad te typen. Zou hij mij bedoelen? En nóg toevalliger zou het zijn als die officier bemoeienis heeft met de bescherming van onze onderzeese kabels.

 

En in de grote boze buitenwereld …

• moet je om te kunnen internetten ook het elektriciteitsnetwerk goed beschermen.
• staat de uitwisseling van persoonsgegevens van Europa met de VS weer eens op losse schroeven.
• heeft iemand een wapen ontwikkeld tegen AI-bots die informatie uit websites willen zuigen.
• begon de hack op de TU Eindhoven met gestolen inloggegevens.
• kan AI het effect van end-to-end encryptie tenietdoen.
• was alweer een auto te hacken (via starlink, maar dat is iets heel anders dan de Starlink in deze blog).
• kun je natuurlijk ook een laadpaal hacken.
• krijgt cybersecurity het zwaar onder Trump.

 

De onzichtbare koning

Afbeelding via Pixabay

Het heeft Zijne Majesteit de Koning behaagd ons met een bezoek te vereren. Hoewel ik gisteren zelf ook een bijeenkomst op kantoor had, heb ik hem niet gezien. De sporen van het koninklijke bezoek waren wel zichtbaar: ik werd ’s ochtends door veel beveiligers opgewacht en ’s middags waren er bijna geen zitplaatsen in de kantine omdat die nog in theateropstelling stond. Maar het thema van het bezoek was wél maar mooi digitale veiligheid.

De koning volgde zo’n beetje hetzelfde programma dat alle hoogwaardigheidsbekleders krijgen voorgeschoteld: de printstraat, het datacenter en het Security Operations Center (SOC). Want tja, dat zijn nou eenmaal de enige tastbare dingen die we kunnen laten zien – de rest bestaat uit kennis en kantoren. Ik was er dus zelf niet bij, maar gelukkig waren Shownieuws en Goedemorgen Nederland present zodat we de bewegende beelden van het bezoek kunnen terugkijken.

Onze printstraat is nogal indrukwekkend (de bevlogen teammanager heeft mij ook wel eens rondgeleid). Grote rollen blanco papier worden bedrukt met allerlei bescheiden. Aan de achterkant van de meterslange machine komen ze als losse brieven uit de printer, om vervolgens in de couverteermachine met duizelingwekkende snelheid in blauwe enveloppen te worden geschoven. Juist vanwege die snelheid is het van belang dat de apparatuur de goede gang van zaken bewaakt. De brieven worden gewogen – niet om te bepalen hoeveel postzegels erop moeten, maar om te controleren of er niet per ongeluk ergens een velletje te veel of te weinig in een envelop zit. Elke brief heeft een optisch leesbare code, zodat de brief zelf weet hoeveel vellen papier lang hij is.

Het datacenter is zo’n andere plek waar je als normale sterveling niet in komt. Alleen als je er voor je werk moet zijn, kom je erin. De koning kwam voor z’n werk en mocht er dus in (althans, dat neem ik aan – ik heb er geen beelden van gezien). Hopelijk waren er koninklijke oordopjes voorhanden, want als ze ook echt de corridors zijn binnengegaan waar honderden servers staan te blazen, dan heb je die wel nodig. Het valt ruim buiten mijn vakgebied, maar ook deze vorm van veiligheid is van belang. En voor de rest is het, zoals gezegd, vooral zaak om iedereen buiten de deur te houden die daar niets te zoeken heeft. Daarvoor hebben we diverse fysieke beveiligingsmaatregelen.

Daar tegenover staan de logische beveiligingsmaatregelen, die ervoor zorgen dat medewerkers alleen die dingen kunnen doen waarvoor ze geautoriseerd zijn, dat potentiële indringers buiten de deur worden gehouden en dat aanvallers die ons het leven zuur willen maken van een koude kermis thuiskomen. Maar die maatregelen zijn toch niet zichtbaar, waarom ging de koning dan toch bij het SOC langs? Wel, het SOC is geen normale ruimte. De werkplekken staan in slagorde opgesteld, met elk maar liefst vier beeldschermen. Een grote videowall trekt de aandacht naar zich toe. De SOC’ers zien daarop meteen als ergens een waarde in het rood schiet. Er valt toch echt iets te zien bij het SOC, ook al snap je eigenlijk nauwelijks wát je ziet.

Als de koning ergens heen gaat, dan wordt hij omgeven met zichtbare en onzichtbare beveiligingsmaatregelen. Ook in de informatiebeveiliging hebben we daarmee te maken. De beveiliging van de printstraat en het datacenter zijn, net als de ruimte van het SOC, zichtbare componenten. Maar daarnaast hebben we nog veel meer spullen en vooral mensen die ervoor zorgen dat niet alleen onze informatiebeveiliging, maar ook onze continuïteit en privacy gewaarborgd zijn. Aan zo’n systeem valt ook voor een leek van koninklijken bloede weinig te zien, en die vele collega’s die zich dagelijks met deze materie bezighouden – ach, dat zijn ook maar gewone, amper bezienswaardige mensen. En daarom kwam de koning bijvoorbeeld niet bij ons team op de thee.

Daarom op deze plek maar eens een royale shout-out naar al die collega’s die bij het beheren van hun systeem of bij het maken van hun applicatie niet alleen begaan zijn met de eigenlijke functionaliteit, maar daarnaast ook rekening houden met alle beveiligingseisen die er worden gesteld (ik weet hoe moeilijk dat kan zijn). En ook naar alle collega’s die in hun dagelijkse werk beseffen dat adequate beveiliging een zaak van ons allemaal is. En, lest best, naar de collega’s in mijn eigen team, die iedere dag weer hun best doen om de rest van de organisatie binnen de lijntjes te laten kleuren. Al dat werk is onzichtbaar, geen koning die ernaar komt kijken. Maar dat maakt het niet minder belangrijk.

 

En in de grote boze buitenwereld …

• berichtte de pers over het koninklijke bezoek.
• velde de Algemene Rekenkamer een hard oordeel over cloudgebruik bij de Rijksoverheid.
• vergaderde de Veiligheidsraad van de Verenigde Naties over spyware.
• zint de Britse regering op een verbod op ransomware-betalingen voor de gehele publieke sector.
• zijn Chinese bedrijven aangeklaagd voor het verzenden van gebruikersdata naar China.
• geeft president Biden cybersecurity op de valreep nog een steuntje in de rug.
• maakt de FBI handig gebruik van een zelfvernietigingsfunctie in bepaalde malware.
• hoef je juridisch gezien niet bang te zijn dat je bedrijfsgegevens-in-de-cloud tóch in de VS terechtkomen.