Internetloze zondagen

Foto van auteur

Onze zonnepanelen hebben op deze koude ochtend de structuur van aardappelgratin. Ik weet ook niet wat de natuur hiermee beoogt, maar het ziet eruit als het werk van een ijskunstenaar. Ondertussen rekt de zon zich uit; tien minuten geleden is ze ontwaakt, ik zie haar rode gloed weerkaatsen in de ramen van huizen een straat verderop. Straks zullen haar stralen de zonnepanelen doen smelten (althans, het ijs dat erop ligt) en dan kan de productie beginnen.

Aan de slimme meter hangt sinds kort zo’n kastje dat de actuele meetgegevens doorseint naar een app op mijn telefoon. Daardoor kan ik (bijna) real-time zien hoeveel stroom hier in huis wordt verbruikt. We zijn alvast flink aan het oefenen om zoveel mogelijk van onze eigen zonnestroom te verbruiken: “Kan de wasmachine al aan?”, klinkt het dan door het huis. We kijken dan naar de actuele opbrengst, maar ook naar de zonverwachting op de korte termijn. Want als de wasmachine nu aangaat en over vijf minuten schuift er een dikke donkere wolk voor de zon, dan heb je nog niks. Waarbij je overigens wel moet bedenken dat zo’n apparaat niet continu veel stroom verbruikt, maar vooral bij het verwarmen van het water. Met een beetje geluk kan ik op een zonnige winterdag al quitte spelen. Dat belooft wat voor de zomer.

Voor de energiehuishouding van ons huis ziet het er dus rooskleurig uit. Zoom je echter uit naar het niveau van Nederland, dan zie je een veel pessimistischer beeld: we zitten in een heuse energiecrisis. Er zijn berichten over bedrijven die niet kunnen worden aangesloten op het elektriciteitsnet. Niet omdat er onvoldoende elektriciteit wordt opgewekt, maar omdat het netwerk het niet aankan – er treedt netcongestie op, zoals dat heet. Gek genoeg kent dat fenomeen twee tegenstrijdige oorzaken: enerzijds de grote vraag naar stroom, bijvoorbeeld doordat bedrijven overstappen van gas naar elektriciteit, en anderzijds juist het grote aanbod door al die zonnepanelen en windparken. Zie het maar als een overvolle snelweg: als daar een file op staat, dan kun je er ook niet op of af.

Ons datacenter heeft een kloeke noodstroomvoorziening. Als de netspanning wegvalt, dan nemen accu’s het naadloos over, lang genoeg voor het dieselaggregaat om op stoom te komen. Zolang er diesel is, blijft het datacenter werken. Netbeheerders voorspellen dat de stroom in de toekomst vaker zal uitvallen. Dan boffen we maar met dat eigen energiegebouw. Maar deze voorziening is natuurlijk niet bedoeld als remedie tegen netcongestie. In de drie-eenheid van de informatiebeveiliging – beschikbaarheid, integriteit, vertrouwelijkheid – is dit een maatregel om de beschikbaarheid van de dienstverlening te waarborgen, maar het was nooit bedoeld als energiecentrale voor permanent gebruik.

Datacenters zijn berucht om hun stroomverbruik. Stampende computerchips verbruiken stroom en produceren warmte, die dan weer weggekoeld moet worden omdat ze het niet graag te warm hebben. Ondanks dat de meeste computerapparatuur in een datacenter geen bewegende onderdelen bevat, heb je oordopjes nodig als je er naar binnen gaat. In elk apparaat zit wel een  ventilatortje, en dan is er natuurlijk nog een grote installatie om al die uitgeblazen warmte af te voeren. Vooral de megadatacenters van de tech-reuzen, zoals Google en Apple, staan bekend om hun enorme energierekening. Wij slaan onze foto’s allang niet meer op onze telefoons op, maar in de cloud; in die datacenters dus. En al die miljoenen foto’s van de complete wereldbevolking vreten heel wat energie.

Kunstmatige intelligentie is een vrij nieuwe energieslurper. Met enige gêne stelde ik de volgende vraag aan ChatGPT: “Hoeveel energie heeft het beantwoorden van deze vraag gekost?” Omdat het een eenvoudige vraag was schatte hij het verbruik tussen de 0,1 en 1 Wh (wattuur). Omdat hij ook wel snapt* dat ik daar geen voorstelling bij heb, gaf hij er voorbeelden bij: met 0,1 Wh kun je een LED-lamp van 10 W 36 seconden laten branden, 1 Wh is goed voor 1 minuut YouTube op je telefoon. Worden de vragen ingewikkelder dan de mijne, dan stijgt het energieverbruik tot het tienvoudige, schat ChatGPT. Voor een moeilijke vraag moet je tien minuten YouTube inleveren, wil je het een beetje energieneutraal houden.

Ik herinner me nog de autoloze zondagen uit mijn jeugd. Vanwege de oliecrisis was het op tien zondagen stil op straat. Probeer je eens voor te stellen dat je, vanwege de netcongestie, op bepaalde momenten niet kunt internetten, bijvoorbeeld omdat het nabijgelegen industrieterrein die stroom dringender nodig heeft dan jij. Of dat de netbeheerder je op bepaalde tijdstippen aanspoort om de wasmachine, de wasdroger én de vaatwasser aan te zetten omdat ze de opgewekte energie anders niet kwijt kunnen. Of dat ze dat zelf op afstand doen.

De zonnepanelen zijn inmiddels ontdooid en leveren een bescheiden hoeveelheid elektriciteit. De wasmachine draait, waardoor we netto stroom verbruiken. We zijn nog niet zo ver dat we het huishouden volledig afstemmen op het weer. En dat kan ook niet in Nederland. Niet zolang er geen efficiënte, betaalbare accu’s zijn.

*) ChatGPT en zijn collega’s “snappen” helemaal niks van wat ze uitkramen, maar je snapt hoe ik het bedoel.

 

En in de grote boze buitenwereld …

 

• was de Chinese AI DeepSeek slecht beveiligd.
• ligt DeepSeek onder vuur van Europese privacy-autoriteiten.
• kon je ChatGPT om de tuin leiden met een historisch perspectief.
• is AI-geletterdheid voortaan verplicht als je AI ontwikkelt of in je organisatie gebruikt.
• speelt insider threat ook bij musea.
• rekent dit artikel voor hoe ernstig het ransomwareprobleem vorig jaar was.
• schreef een politieman een proefschrift over ransomware.
• leidt slechts een klein percentage van alle Europese privacyklachten tot een boete. 
• was weer eens een internationale politie-coalitie succesvol.

 

Touwtjespringen

Foto: Koninklijke Marine

Tegenover mij zat een luitenant-ter-zee der 1^e klasse. Nu is het in verreweg de meeste gevallen van generlei belang wie er allemaal in dezelfde trein als ik zit, maar deze keer is het toch vermeldenswaardig. In die trein was ik namelijk deze blog aan het voorbereiden, waarin ik je meeneem naar zee, en zelfs naar de bodem ervan. Een grappig toeval dus dat die nietsvermoedende marine-officier daar zat.

We horen het steeds vaker de laatste tijd: onderzeese kabels die beschadigd raken. En dan niet per ongeluk, maar als doelbewuste actie van de Russische schaduwvloot. Bijvoorbeeld door een olietanker die even een omweg maakt en precies boven zo’n kabel zijn anker laat zakken. Daarmee trekt hij die kabel kapot.

Dat is best wel een botte-bijlmethode om internetverbindingen om zeep te helpen. Heel anders dan we tot nu toe gewend waren van de Russen, want ze hebben daar ook massa’s slimme hackers in staatsdienst, die prima in staat zijn om onze verbindingen langs digitale weg te verstoren. Dat is goedkoper en gemakkelijker. Westerse marines en kustwachten letten tegenwoordig scherp op schepen die uit de koers raken en hun ankers in het water hebben. Dus waarom dan toch deze aanpak?

Welnu, de schade is groter, en wel in drie opzichten. Het duurt langer om de aangerichte schade te herstellen, het herstel kost vele malen meer en het aantal gedupeerden is groter. Er moet immers een gespecialiseerd schip naar toe om de kabel fysiek te repareren. En door de grotere, fysieke schade is ook de ontwrichting omvangrijker – als je de juiste kabel weet te raken, dan kan dat grote gevolgen hebben voor internetgebruikers aan beide uiteinden van die kabel, tot ver in hun achterland. En zoals we weten is ontwrichting een van de middelen die Rusland graag aanwendt in deze Tweede Koude Oorlog. Die ontwrichting gaat veel verder dan dat je kinderen hun online game even niet kunnen spelen of dat TikTok eruit ligt. Het internationale betalingsverkeer kan hinder ondervinden, de economie krijgt een knauw en er groeit angst onder de bevolking – als de Russen dit kunnen, wat kunnen ze dan nog meer kapotmaken? 

Wacht even, denk je nu misschien, ik zit toch op wifi, wat heb ik met die kabels op de bodem van de zee te maken? Nou kijk, dat wifi-netwerk waar jij gebruik van maakt, dat eindigt ergens bij een wifi-router: dat kastje thuis in je meterkast. Ook kantoren, winkels, restaurants, luchthavens, hotels en alle andere aanbieders van wifi hebben ergens een apparaat staan dat het begin en einde van dat netwerk is. Vanaf daar, de andere kant op, gaat alles met kabels. Vanuit je meterkast gaat een kabel ondergronds naar je internetprovider, en daarvandaan verder naar het internet en naar knooppunten. Die knooppunten zijn ook weer met elkaar verbonden, en zo ligt er een heel netwerk van kabels over de wereldbol. En omdat de aarde nu eenmaal grotendeels uit zeeën bestaat, lopen veel van die kabels over de zeebodem. Als jij aan het internetten bent, dan zoeven jouw zoekopdrachten met duizelingwekkende snelheid door zeeën en oceanen. Dus ja, ook jij kunt hinder ondervinden als ze de juiste kabel weten te raken.

En Starlink dan, het netwerk van Elon Musk, dat uit duizenden satellieten bestaat? Starlink-klanten hebben een eigen antenne, die het signaal uit de ruimte oppikt. Maar uiteindelijk komen deze radiosignalen bij elkaar in de meterkast van Musk, die een aansluiting heeft op het internet – via een kabel. Starlink is in dat opzicht niet meer dan een soort  uit de kluiten gewassen wifi-netwerk. (Die meterkast van Musk is natuurlijk een grapje. In werkelijkheid zijn er grondstations die met grote antennes naar de signalen uit de ruimte luisteren). Deze interactieve kaart laat trouwens mooi zien hoe immens het Starlink-netwerk is, en dan snap je ook meteen waarom de satellieten manoeuvres moeten kunnen uitvoeren om botsingen met collega’s te voorkomen.

Hoe je het ook wendt of keert, we zijn voor het internet afhankelijk van die kabels. In Nederland komen er een dozijn aan land. De meeste verbinden ons met Engeland en van daaruit met de VS, een paar met Scandinavië; eentje gaat, met een tussenlanding op het meest westelijke puntje van Engeland, door naar de VS. Een enkele kabelbreuk zal ons niet onmiddellijk van de rest van de wereld isoleren, maar het werkt altijd verstorend.

Deze blog begon met een toeval, en misschien volgt er nog een toeval. Het is niet ondenkbaar dat de luitenant-ter-zee deze blog ook leest en nu denkt: hé, tegenover mij zat een man flink op zijn iPad te typen. Zou hij mij bedoelen? En nóg toevalliger zou het zijn als die officier bemoeienis heeft met de bescherming van onze onderzeese kabels.

 

En in de grote boze buitenwereld …

• moet je om te kunnen internetten ook het elektriciteitsnetwerk goed beschermen.
• staat de uitwisseling van persoonsgegevens van Europa met de VS weer eens op losse schroeven.
• heeft iemand een wapen ontwikkeld tegen AI-bots die informatie uit websites willen zuigen.
• begon de hack op de TU Eindhoven met gestolen inloggegevens.
• kan AI het effect van end-to-end encryptie tenietdoen.
• was alweer een auto te hacken (via starlink, maar dat is iets heel anders dan de Starlink in deze blog).
• kun je natuurlijk ook een laadpaal hacken.
• krijgt cybersecurity het zwaar onder Trump.

 

De onzichtbare koning

Afbeelding via Pixabay

Het heeft Zijne Majesteit de Koning behaagd ons met een bezoek te vereren. Hoewel ik gisteren zelf ook een bijeenkomst op kantoor had, heb ik hem niet gezien. De sporen van het koninklijke bezoek waren wel zichtbaar: ik werd ’s ochtends door veel beveiligers opgewacht en ’s middags waren er bijna geen zitplaatsen in de kantine omdat die nog in theateropstelling stond. Maar het thema van het bezoek was wél maar mooi digitale veiligheid.

De koning volgde zo’n beetje hetzelfde programma dat alle hoogwaardigheidsbekleders krijgen voorgeschoteld: de printstraat, het datacenter en het Security Operations Center (SOC). Want tja, dat zijn nou eenmaal de enige tastbare dingen die we kunnen laten zien – de rest bestaat uit kennis en kantoren. Ik was er dus zelf niet bij, maar gelukkig waren Shownieuws en Goedemorgen Nederland present zodat we de bewegende beelden van het bezoek kunnen terugkijken.

Onze printstraat is nogal indrukwekkend (de bevlogen teammanager heeft mij ook wel eens rondgeleid). Grote rollen blanco papier worden bedrukt met allerlei bescheiden. Aan de achterkant van de meterslange machine komen ze als losse brieven uit de printer, om vervolgens in de couverteermachine met duizelingwekkende snelheid in blauwe enveloppen te worden geschoven. Juist vanwege die snelheid is het van belang dat de apparatuur de goede gang van zaken bewaakt. De brieven worden gewogen – niet om te bepalen hoeveel postzegels erop moeten, maar om te controleren of er niet per ongeluk ergens een velletje te veel of te weinig in een envelop zit. Elke brief heeft een optisch leesbare code, zodat de brief zelf weet hoeveel vellen papier lang hij is.

Het datacenter is zo’n andere plek waar je als normale sterveling niet in komt. Alleen als je er voor je werk moet zijn, kom je erin. De koning kwam voor z’n werk en mocht er dus in (althans, dat neem ik aan – ik heb er geen beelden van gezien). Hopelijk waren er koninklijke oordopjes voorhanden, want als ze ook echt de corridors zijn binnengegaan waar honderden servers staan te blazen, dan heb je die wel nodig. Het valt ruim buiten mijn vakgebied, maar ook deze vorm van veiligheid is van belang. En voor de rest is het, zoals gezegd, vooral zaak om iedereen buiten de deur te houden die daar niets te zoeken heeft. Daarvoor hebben we diverse fysieke beveiligingsmaatregelen.

Daar tegenover staan de logische beveiligingsmaatregelen, die ervoor zorgen dat medewerkers alleen die dingen kunnen doen waarvoor ze geautoriseerd zijn, dat potentiële indringers buiten de deur worden gehouden en dat aanvallers die ons het leven zuur willen maken van een koude kermis thuiskomen. Maar die maatregelen zijn toch niet zichtbaar, waarom ging de koning dan toch bij het SOC langs? Wel, het SOC is geen normale ruimte. De werkplekken staan in slagorde opgesteld, met elk maar liefst vier beeldschermen. Een grote videowall trekt de aandacht naar zich toe. De SOC’ers zien daarop meteen als ergens een waarde in het rood schiet. Er valt toch echt iets te zien bij het SOC, ook al snap je eigenlijk nauwelijks wát je ziet.

Als de koning ergens heen gaat, dan wordt hij omgeven met zichtbare en onzichtbare beveiligingsmaatregelen. Ook in de informatiebeveiliging hebben we daarmee te maken. De beveiliging van de printstraat en het datacenter zijn, net als de ruimte van het SOC, zichtbare componenten. Maar daarnaast hebben we nog veel meer spullen en vooral mensen die ervoor zorgen dat niet alleen onze informatiebeveiliging, maar ook onze continuïteit en privacy gewaarborgd zijn. Aan zo’n systeem valt ook voor een leek van koninklijken bloede weinig te zien, en die vele collega’s die zich dagelijks met deze materie bezighouden – ach, dat zijn ook maar gewone, amper bezienswaardige mensen. En daarom kwam de koning bijvoorbeeld niet bij ons team op de thee.

Daarom op deze plek maar eens een royale shout-out naar al die collega’s die bij het beheren van hun systeem of bij het maken van hun applicatie niet alleen begaan zijn met de eigenlijke functionaliteit, maar daarnaast ook rekening houden met alle beveiligingseisen die er worden gesteld (ik weet hoe moeilijk dat kan zijn). En ook naar alle collega’s die in hun dagelijkse werk beseffen dat adequate beveiliging een zaak van ons allemaal is. En, lest best, naar de collega’s in mijn eigen team, die iedere dag weer hun best doen om de rest van de organisatie binnen de lijntjes te laten kleuren. Al dat werk is onzichtbaar, geen koning die ernaar komt kijken. Maar dat maakt het niet minder belangrijk.

 

En in de grote boze buitenwereld …

• berichtte de pers over het koninklijke bezoek.
• velde de Algemene Rekenkamer een hard oordeel over cloudgebruik bij de Rijksoverheid.
• vergaderde de Veiligheidsraad van de Verenigde Naties over spyware.
• zint de Britse regering op een verbod op ransomware-betalingen voor de gehele publieke sector.
• zijn Chinese bedrijven aangeklaagd voor het verzenden van gebruikersdata naar China.
• geeft president Biden cybersecurity op de valreep nog een steuntje in de rug.
• maakt de FBI handig gebruik van een zelfvernietigingsfunctie in bepaalde malware.
• hoef je juridisch gezien niet bang te zijn dat je bedrijfsgegevens-in-de-cloud tóch in de VS terechtkomen.

Verlichte geesten

Foto van auteur

Wist je dat maar liefst 78% van de mensen tussen 18 en 65 jaar een password manager gebruikt? En dat dit percentage bij de schoolgaande jeugd zelfs op ruim tachtig procent ligt? Verreweg de meeste mensen zijn dus verstandig en gebruiken voor al hun accounts een ander, sterk wachtwoord, en ze gunnen zich het gemak van het automatisch inloggen. Doe jij al mee?

Bovenstaande cijfers heb ik uit mijn duim gezogen. “Ooooh, foei!”, hoor ik je denken. Laat me uitleggen hoe ik daartoe gekomen ben. Ik voel mijzelf namelijk ook beetgenomen. Door een artikel dat eergisteren in de krant stond onder de kop: ‘De fietser zónder licht valt tegenwoordig op – Goede verlichting de norm dankzij losse lampjes én e-bike’. Een verkeerspsycholoog (ik wist niet dat dit beroep bestaat) legt in het artikel uit dat mensen trendgevoelige kuddedieren zijn; als het in jouw ‘subcultuur’ vanzelfsprekend is om het licht aan te doen, dan ga jij dat ook doen. Volgens de psycholoog was de insteek vroeger: truttige oude mensen hebben fietsverlichting en jongeren niet (ik maak hierbij zelf liever het onderscheid tussen slim en dom). Bovendien wordt licht voeren steeds gemakkelijker door goedkope, oplaadbare lampjes én door de e-bike. Géén verlichting voeren zou dan een bewuste keuze zijn.

Ik ben het op zoveel punten oneens met dat artikel, dat ik bijna niet weet waar ik moet beginnen. Nou, om toch maar te beginnen: in welke plaats hebben ze dit in vredesnaam onderzocht? In ieder geval niet in mijn stad, waar ik met grote regelmaat onverlichte fietsers tegenkom, die dan ook nog eens donkere kleding dragen. Als ik zo iemand tegenkom, dan roep ik soms: “Licht aan!” Laatst snauwde een jongen terug: “Lampje is toch kapot man!”. Er zit ook veel rommel tussen die losse lampjes. Sommige exemplaren geven nauwelijks meer licht dan een kaars – ik noem ze ‘schaamlampjes’, omdat hun enige doel is om triomfantelijk te kunnen zeggen: “Kijk agent, mijn fiets is wel degelijk verlicht!” Zo iemand snapt dus gewoon niet dat goede verlichting cruciaal is voor zijn eigen veiligheid.

Het krantenartikel zette me aan het denken. Hoe kan het dat ik in de krant iets lees wat totaal niet strookt met mijn eigen ervaring? Oké, ik wil nog best geloven dat het minder erg is dan vroeger, maar dat gejuich over hoe geweldig het tegenwoordig is, dat gaat mij veel te ver. Het artikel lijkt zelf antwoord te geven op mijn vraag, Als de psychologie dicteert dat we dingen doen om niet buiten de groep te vallen, dan kun je dat mechanisme ook gebruiken om mensen te beïnvloeden. Als je in de krant schrijft dat de meeste mensen braaf met licht fietsen, dan kun je daarmee duistere types ertoe aanzetten om de knop om te zetten, want tja, wie wil er nou buiten de groep vallen?

En zo kwam ik dus tot mijn nepcijfers over password managers. Door de uitsmijter “Doe jij al mee?” geef ik je nog een extra duwtje in de rug. Want het is best wel belangrijk dat iedereen zo’n hulpje gaat gebruiken. Vroeger was het gemakkelijk: je had één wachtwoord en niemand anders had daar belangstelling voor. Tegenwoordig heb je tientallen accounts en staat er op iedere digitale straathoek een cybercrimineel. Dat is een gevaarlijke combinatie, en daar komt nog een belangrijke factor bij: niet alle sites en bedrijven, waar jij een account hebt, beveiligen jouw gegevens even goed. Soms worden er bij een hack gebruikersgegevens gestolen en weten de criminelen de wachtwoorden te kraken. Gebruik je hetzelfde wachtwoord voor meerdere accounts, dan lopen die allemaal gevaar. Weet je trouwens wat je allerbelangrijkste account is? Nee, niet je bank. Je e-mail. Want iemand die bij jouw e-mail kan, die kan overal op “Wachtwoord vergeten” klikken en, met behulp van de mailtjes die dat oplevert, een nieuw wachtwoord instellen. Zo word jij buitengesloten en kan de crimineel onder jouw naam van alles doen.

Een net zo belangrijke maatregel is tweefactorauthenticatie (2FA), die ervoor zorgt dat je pas kunt inloggen nadat je via een ander apparaat een extra handeling hebt verricht (bijvoorbeeld een code intoetsen of je vingerafdruk aanbieden). Daarmee voorkom je dat iemand, die een wachtwoord van jou heeft, op dat account kan inloggen. Zet het dus overal aan waar dat kan. Wist je dat ruim zeventig procent…

Misschien vind je het betuttelend om “Licht aan!” te roepen. Ik doe dat echter uit medelijden met de automobilist, die zo’n duistere fietser vroeg of laat van z’n sokken rijdt. En als ik tegen jou zeg: “Password manager en 2FA aan!”, dan is ook dat met de beste bedoelingen. En dan nog iets: kijk uit voor nepberichten.

 

En in de grote boze buitenwereld …

• liggen er ook nog eens infostealers op de loer.
• steekt dit artikel de draak met 2FA.
• kan een cloud-gebaseerde password manager er natuurlijk ook wel eens uit liggen.
• presenteert deze ransomwarebende zich als een bedrijf.
• woedt ook de digitale oorlog in Oost-Europa nog steeds voort.
• moet de Europese Commissie een  vergoeding aan burger betalen wegens een AVG-schending.
• deelde Telegram vorig jaar meer informatie met (westerse) opsporingsdiensten.
• worden lang niet alle datalekken netjes afgehandeld.
• kunnen slimme consumentenapparaten in de VS een veiligheidslabel krijgen.
• zijn passkeys nog niet geschikt voor de grote massa.
• wil de overheid wel naar de cloud, maar dan liefst in Europa.
• kun je natuurlijk ook een laadpaal hacken.
• beschermen de Europese databeschermingsautoriteiten onze privacy onvoldoende.