De aap is los

Afbeelding via Pixabay

Ondanks dat het geen eenden zijn, ben ik geneigd om ze Kwik, Kwek en Kwak te noemen: de drie apen die afgelopen week uit de Apenheul ontsnapten. Ze woonden pas een weekje in deze Apeldoornse dierentuin, maar kennelijk waren ze niet zo tevreden met deze accommodatie en smeedden ze een vluchtplan. Er moesten verdovingspijlen en een ferme waterstraal van de brandweer aan te pas komen om ze terug in hun hok te krijgen.

Hetgeen mij brengt bij de uitdrukking: een aap op je schouder hebben. Ik ken ‘m alleen met een negatieve gevoelswaarde, want het betekent dat je een klusje te doen hebt of een probleem moet oplossen waar je niet echt blij mee bent. De zoekmachine geeft na de opdracht “aap schouder” dit terug, van een opleidingsinstituut: “Aap op de schouder? Leer de kunst van het teruggeven.” Een concurrent is wat agressiever: “Opgelet! Voorkom de aap op je schouder.” Kortom: een aap op je schouder hebben wordt niet als prettig ervaren.

Ook in deze context zijn er wel eens apen die uitbreken en zodoende op plekken belanden waar ze niet thuishoren. Zo’n aap zit dan niet op de schouder van de juiste verzorger. Hoe komt hij daar terecht? Soms op een wel heel vreemde wijze. Zo hoorde ik ooit deze merkwaardige uitspraak: “Informatiebeveiliging begint met een i, dus maken we ICT eigenaar ervan.” Kun je je een slechtere reden voorstellen om een onderwerp op een bepaalde plek te beleggen? Ik niet.

Overigens is het helemaal niet ongebruikelijk – maar daarom nog niet per se verstandig – dat een ICT-afdeling tot eigenaar van informatiebeveiliging wordt gebombardeerd. Want tja, informatiebeveiliging gaat toch over computers? En die zijn van ICT. Toch?

Wat betekent dat eigenlijk, ‘eigenaarschap’? Privé heeft het meestal iets positiefs: je bent de trotse eigenaar van een mooi huis of een hippe fiets. Het betekent ook dat je goed ervoor moet zorgen als je er lang plezier van wilt hebben. Zakelijk gezien mag je ook best trots zijn op zaken waar je eigenaar van bent. Wellicht ontleen je er een zekere status aan. Bij het onderhoud wordt het verhaal echter iets anders dan in je privésituatie. Daar mocht je nog zelf bepalen of je er iets aan doet, maar zakelijk gezien draag je verantwoordelijkheid naar de organisatie toe. Je kunt de boel niet zomaar op z’n beloop laten, want dat zou kunnen betekenen dat mensen elders in de organisatie daar problemen van gaan ondervinden. Of stelliger, eigenlijk: vroeg of laat gaat iemand hinder hebben van gebrekkig eigenaarschap.

In onze organisatie hebben veel mensen gelukkig wel in de smiezen dat informatiebeveiliging niet “van ICT” is. Dat zie je bijvoorbeeld aan het feit dat we business security officers (BSO’s) hebben. Dat zijn informatiebeveiligers die bij de dienstonderdelen zitten. En ja, in de ICT hebben we ook security officers (ook wel information security officers (ISO’s) genoemd), maar die gaan alleen over de spullen en diensten die ICT beschikbaar stelt aan de organisatie – en niet over wat de organisatie (‘de business’) daarmee doet.

Voor veel medewerkers zijn de BSO’s tamelijk onzichtbaar. Ik weet dat omdat wij, de ISO’s, vaak vragen krijgen die eigenlijk bij de BSO’s thuishoren. Een medewerker, die tegen een security-issue aanloopt of gewoon een vraag heeft, gaat op zoek naar iemand die de aap op zijn schouder zou kunnen nemen. Vaak kloppen ze bij mij persoonlijk aan: “Jij bent de enige informatiebeveiliger die ik ken, door je blog.” Helemaal niet erg hoor, ik verwijs ze dan graag door naar hun eigen BSO. Vele malen liever zo dan dat een vraag of melding onbeantwoord blijft.

Ken jij je BSO? Zo niet, ga dan eens op zoek naar hem of haar en maak een praatje. Ook als er niets aan de hand is. Het zijn namelijk heel aardige mensen.

 

En in de grote boze buitenwereld …

• is Signal echt veiliger dan WhatsApp.
• staat Apple voor een onmogelijke keus door Britse wetgeving die een crypto-achterdeur eist.
• zijn de Amerikanen natuurlijk ook helemaal niet blij met die Britse wet.
• wil Frankrijk ook een achterdeurtje.
• trekt het Nederlandse cloud-pessimisme internationaal aandacht.
• heeft Noord-Korea anderhalf miljard buitgemaakt bij een digitale bankroof.
• hebben we er een nieuw woord bij: vacaturefraude.
• slokken AI-chatbots informatie op die per ongeluk eventjes vrij toegankelijk was.
• vermijden veel Nederlandse bedrijven het gebruik van AI om privacyredenen.

In de wachtkamer

Afbeelding via Pixabay

In de best wel volle trein kwam ik naast een man te zitten die op zijn laptop zat te werken. Een vluchtige blik op het apparaat en de openstaande programma’s identificeerde hem als collega.

Op een gegeven moment zat hij in een telefoongesprek. Ik luisterde niet actief mee, maar ik hoorde natuurlijk wel iets. En wat ik hoorde, stemde mij zeer tevreden. Om te beginnen sprak hij zachtjes, en in korte zinnen. Het was eigenlijk vooral luisteren en af en toe kort reageren. Ik hoorde hem geen informatie geven. Keurig, collega!

Hoe anders is de ervaring van een collega, die in de wachtkamer van de tandarts zat. Nou ja, wachtkamer: in een hoekje van de receptie stonden wat stoelen. Achter de balie zaten twee assistentes. De ene, Toos*, zat met enige wanhoop in de ogen door computerschermen heen te klikken en zei uiteindelijk: “Ik kan de gegevens van mevrouw Dekker niet vinden in TND.” Haar collega Cindy vroeg naar de geboortedatum van mevrouw Dekker. “Aha,” zei Cindy, “ze is van 1999 en daarom staat ze nog niet in TND. Wat is haar telefoonnummer, dan bel ik haar wel even.” Toos las het telefoonnummer op en Cindy ging bellen.

“Goedemorgen mevrouw Dekker, met Cindy, assistente van tandarts Kroon. Ik heb even wat gegevens van u nodig om uw behandeling in ons systeem op te nemen. Wat zijn uw voorletters? ABG? Mooi. En uw BSN? Ja natuurlijk, ik wacht wel even. (…) Ah, daar bent u weer. Ja, ik schrijf mee. 1-1-2-7 5-5 9-5-0? Dank u wel. En als laatste heb ik nog uw adres nodig. De Beugel 5? 8462 DR? Mooi zo, dan heb ik alles compleet. Zullen we maar meteen de eerste afspraak voor uw wortelkanaalbehandeling maken? Kunt u vrijdag om 9 uur? Prima. Als ik dan nog uw e-mailadres mag, dan stuur ik u een bevestiging. marlies@dekker.com? Prima, dan zien we u overmorgen. Prettige dag nog!”

Onze collega kon zijn oren haast niet geloven. Hij had nu een compleet setje persoonsgegevens van iemand en hij wist wanneer mevrouw Dekker niet thuis zou zijn. Door de informatie over haar behandeling wist hij bovendien dat ze wel even een poosje weg zou blijven.

“Ha, handig, met deze informatie kan ik identiteitsfraude plegen.” Of: “Mooi, dan leg ik mijn inbrekersgereedschap alvast klaar.” Ik geef toe dat de kans, dat de onbedoeld gedeelde informatie toevallig terechtkomt in de oren van een cyber- of fysieke crimineel niet zo heel groot is. Maar dan nog: iedereen voelt aan z’n water dat wat hier gebeurde gewoon niet hoort. Als dat allemaal hoort, dan weet je dat ze ook zo omgaan met jouw gegevens. Daar zou jij je ook niet lekker bij voelen. En stel je eens voor dat onze wachtende collega een kennis van mevrouw Dekker was. Komt hij haar een week later tegen: “Hé Marlies, hoe gaat het met je kies?” Dat zou toch raar zijn?

Maar er is natuurlijk ook een juridisch probleem. De nietsvermoedende, goedbedoelende tandartsassistentes hebben niet alleen persoonsgegevens, maar zelfs medische gegevens gelekt. Onder de AVG (de Europese Algemene Verordening Gegevensbescherming) hebben die de status van bijzondere persoonsgegevens, waar nog strengere regels voor gelden dan voor gewone persoonsgegevens.

Toos en Cindy deden gewoon hun werk. Zij kunnen er ook niks aan doen dat tandarts Kroon een afgescheiden wachtkamer zonde van het geld vond. Het telefoongesprek elders voeren kon ook niet, want dan kon Cindy de gegevens niet in het systeem zetten. Datalekken zijn in deze situatie dan ook voorgeprogrammeerd. Zeker als mensen zich niet bewust zijn van wat er gebeurt. Een datalek zit in een klein hoekje.

Ik wil ook nog even kijken wat er aan de andere kant van de lijn gebeurde. Wat als het helemaal niet de tandartsassistente was die mevrouw Dekker belde, maar iemand die eropuit was om persoonsgegevens te verzamelen? De kans is natuurlijk klein dat zo iemand net belt als je met kiespijn rondloopt. Maar als je die omstandigheid weglaat, dan wordt het een ander verhaal. Als iemand die je niet kent om gegevens vraagt, zeg dan dat je terugbelt. Bel dan naar het algemene nummer van het bedrijf en vraag naar de persoon die jou zojuist belde. Als dat niet kan, vraag dan of ze inderdaad gegevens nodig hadden. Zo voorkom je dat je zelf je eigen gegevens lekt.

*) Uiteraard zijn alle persoons- en systeemgegevens aan mijn fantasie ontsproten.

 

En in de grote boze buitenwereld …

• kun je medische informatie natuurlijk ook gewoon op de rommelmarkt kopen.
• heeft de zorg te maken met cyberdreigingen. Welke dat zijn, staat in hun dreigingsbeeld.
• is het beveiligen van medische gegevens ook elders op de wereld problematisch.
• is ‘hybride oorlogsvoering’ een eufemisme.
• waarschuwt Europol voor kindermisbruik via online communities.
• springen slimme verkeerslichten op groen dankzij jouw telefoon.
• worden Signal-gebruikers aangevallen via valse QR-codes.
• aarzelt de overheid steeds meer als het om public cloud gaat.

From Asia with love

Afbeelding via Unsplash

In het Achtuurjournaal zeiden ze het er niet bij, maar dat die reportage aan de vooravond van Valentijnsdag werd uitgezonden, kon bijna geen toeval zijn. Het ging namelijk over een man die via een datingapp leuk contact had met ene Julia. Zou dit dan eindelijk de ware voor hem zijn?

Ze kletsten een tijdje gezellig, en na een paar dagen schreef Julia: “Raad eens wat ik net aan het doen was!” En ze stuurde een screenshot mee van een indrukwekkende grafiek, die toonde dat ze zojuist veel geld had verdiend met de handel in cryptovaluta. En ze was best bereid om aan onze anonieme gelukszoeker uit te leggen hoe dat werkte. Hij kreeg een link naar een handelsapp. Wat hij niet wist, was dat hij in de val van oplichters was gelopen. Via die app werd er namelijk helemaal niks verhandeld. Zijn hele inleg – eerst duizend euro, dan tienduizend, in totaal anderhalve ton – verdween linea recta in criminele zakken. Toen het geboefte in de gaten had dat er niks meer te halen was, beëindigde Julia de ontluikende romance abrupt. Onze Romeo kwam in een moeilijke tijd terecht, waarin hij het vertrouwen in iedereen – zichzelf incluis – kwijtraakte.

In veel presentaties die ik geef, zit een tegeltjeswijsheid: als iets te mooi lijkt om waar te zijn, dan is het dat meestal ook. Het begon ooit met die Nigeriaanse prins, die uitgerekend jou een mailtje stuurde waarin hij je gouden bergen in het vooruitzicht stelde als je hem zou helpen om een groot bedrag vrij te spelen. Juristen uit verre landen, die je vertelden dat een forse erfenis op je stond te wachten, waren daar een variant op. De enige gelegenheid, waarbij ik zo’n mededeling geloof, is als het op een kanskaart in Monopoly staat. Maar de scams worden steeds gewiekster en de criminelen steken er meer tijd en moeite in om de buit binnen te halen. Waar die prins nog met hagel op grote groepen tegelijk schoot, in de hoop dat er misschien een paar man in zouden trappen, daar wordt nu geïnvesteerd in een goede relatie met het individuele slachtoffer.

Het Journaal liet ook zien waar al die ellende vandaan komt. Niet meer in hoofdzaak uit Nigeria en omstreken, maar uit Zuidoost-Azië. Van daaruit opereren zo’n dertig scamcentra; dat zijn flatgebouwen vol met Julia’s, die samen al zo’n 75 miljard dollar hebben verdiend aan mensen die te goedgelovig waren. Veel van die rond de driehonderdduizend Julia’s doen dat werk trouwens onvrijwillig. Ze zijn er door mensenhandelaren onder valse voorwendselen heen gelokt. Ze leven in gevangenschap en als ze hun werk niet goed doen krijgen ze lijfstraffen.

In de blog van vorige week stond een link naar een artikel waarin werd verteld dat Thailand de internet- en elektriciteitsverbindingen naar de grensregio met Myanmar had afgesneden, in een poging de scamcentra lam te leggen. Dat laat zien hoe machteloos je in feite bent in de strijd tegen criminelen die opereren vanuit een land dat hen geen strobreed in de weg legt. Het artikel zei niets over de mate waarin die scamcentra afhankelijk waren van de Thaise voorzieningen, maar inmiddels zullen ze wel een manier hebben gevonden om verder te werken. Dat geldt waarschijnlijk niet voor onschuldige burgers en bedrijven in de grensregio, die ook door deze goedbedoelde maatregel zijn getroffen.

Cybercrime in deze vorm is alleen mogelijk dankzij technologie die nooit met dit doel is bedacht. Met behulp van vertaaldiensten zoals Google Translate kon Julia in keurig Nederlands met haar slachtoffer chatten. Ook kunstmatige intelligentie wordt steeds vaker ten kwade aangewend. Ik maak maar weer eens de vergelijking met dynamiet: toen Alfred Nobel het in de 19^e eeuw uitvond, had hij niet voorzien dat het zou worden gebruikt om bankkluizen en soldaten op te blazen. En zo zijn ook datingapps niet opgezet als platform voor misdaad met een romantische aanloop.

Als de misdaad niet wordt aangepakt, dan moeten haar potentiële slachtoffers weerbaar worden gemaakt. Anders dan bij een straatoverval heb je bij dergelijke oplichtingspraktijken namelijk wél een kans om de dans te ontspringen. Eigenlijk is het best simpel: als een pril contact opeens over geld gaat, dan is het oppassen geblazen. Zet je roze bril af en kijk door een vergrootglas naar wat er gebeurt. Bespreek je twijfels met iemand die je al jarenlang vertrouwt; niet met Julia, want zij weet allerlei manieren om je gerust te stellen. Zeg gewoon resoluut dat je niet geïnteresseerd bent. Je gebruikt die datingapp om liefde te vinden, niet om rijk te worden.

Print desnoods die tegeltjeswijsheid uit en hang haar boven je beeldscherm op.

 

En in de grote boze buitenwereld …

• willen de Britten een achterdeurtje in de encryptie van iCloud-backups.
• heeft de overheid de Informatieset quantumveilige cryptografie gepubliceerd.
• infiltreerden Noord-Koreaanse IT’ers via laptop-farms in Amerikaanse bedrijven.
• verspreiden overheden graag spyware.
• zijn veel AI-vriendjes en -therapeuten schadelijk voor het welzijn van de argeloze gebruiker.
• moeten AI-chatbots beter leren om ‘nee’ te zeggen.
• hebben ook niet-menselijke gebruikers een levenscyclus.
• lijdt de Amerikaanse cybersecurity onder de ambtelijke zuivering van de nieuwe regering.

Kunstmatig dom

Afbeelding via Pixabay

Kun je een beetje tekenen? Mooi zo. Maak dan een plaatje voor mij met twee vlaggetjes, elk aan een korte stok, die een hoek van 45 graden met elkaar maken.

Niet zo moeilijk toch, deze opdracht? Stop haar echter in ChatGPT en je krijgt met geen mogelijkheid die hoek erin verwerkt. Wel krijg je twee stokken naast elkaar, die in het beste geval met elkaar verstrengeld zijn. Aan de ene kant zit dan een vlag die naar links, aan de andere kant eentje die naar rechts wappert. Vraag je nog eens specifiek om die hoek, dan worden de vlaggen verlengd en omgevouwen, inderdaad in een hoek van 45 graden. Maar die stokken, die blijven stoïcijns parallel aan elkaar.

Hoezo “kunstmatig intelligent”, denk ik dan. Toegegeven, ik zou die vlaggen zelf nooit zo strak en snel kunnen tekenen. Voor de rest denk ik na zo’n teleurstelling toch eerder dat dat ding kunstmatig dom is. Ik plak niet snel een dergelijk etiket ergens op, maar als je pocht met je intelligentie en dan niet snapt wat elke brugklasser met een geodriehoek wél snapt, dan ben je af.

Een veel slimmere – maar tevens verwerpelijke – toepassing van AI is het oplichten van mensen. Ik was amper aan deze blog begonnen, toen op de radio een gesprekje begon over goedgelovige mensen die waren opgelicht door criminelen die zich op een datingsite voordeden als René Froger, Max Verstappen, Mark Rutte of André Rieu. Stuk voor stuk mensen die goed in de slappe was zitten. En toch bedelden ze na wat heen er weer geflirt om geld, zogenaamd omdat ze er even niet bij konden, bijvoorbeeld vanwege problemen met hun manager. Eén slachtoffer had zelfs der-tig-dui-zend euro overgemaakt naar “René Froger”.

Volgens de gast van het radioprogramma (ik heb het begin van het gesprek gemist, maar ik meen dat het Maaike Timmerman was, van de NPO-podcast Het Misdaadbureau) trappen iets meer vrouwen dan mannen in dit soort trucs, en dan vooral die van iets gevorderde leeftijd – mensen, die niet per se weten wat normaal online gedrag is. En als je dan een persoonlijk spraakbericht van jouw idool krijgt, via een datingsite nog wel, dan ben je toch in de zevende hemel?

Nu zou je je natuurlijk kunnen afvragen wat uitgerekend deze mensen op een datingsite te zoeken hebben (nou ja, misschien afgezien van Mark Rutte). Kijk, het ontmaskeren van dit soort oplichting werkt met vlaggetjes; hoe meer vlaggetjes, hoe waarschijnlijker dat het foute boel is. BN’er op een datingsite: grote rode vlag. BN’er die met jou aanpapt? Forse rode vlag. Al dan niet bekende persoon die na een paar gezellige chats om geld vraagt: enorme rode vlag. Drie rode vlaggen op een rij? Wegwezen!

Maar ja, dat spraakbericht hè. Dat klinkt echt heel overtuigend. En als je niks van deepfakes afweet, dus dat kunstmatige intelligentie wordt gebruikt om een stem iedere gewenste tekst te laten uitspreken, dan kan ik je moeilijk natuurlijke domheid verwijten. Laten we afspreken dat je voortaan aan die rode vlaggen denkt als je iets onwaarschijnlijks tegenkomt. Misschien helpt het je om er niet in te tuinen.

Nog even terug naar die gekruiste vlaggen (want dat hele verhaal over flirtende BN’ers sloop er toevallig in omdat ik met een half oor naar de radio luisterde). Dat plaatje dat ik wilde hebben, dat was voor privégebruik. Voor mijn werk als rijksambtenaar had ik zo’n AI-tool niet mogen gebruiken. In ambtelijke bewoordingen: het gebruik van niet-gecontracteerde AI is in beginsel niet toegestaan. Ik draai deze regel liever om: voor je werk mag je alleen AI gebruiken die we ingekocht hebben. Waarom dat beter is? Omdat er dan een contract ligt waarin de rechten en plichten van beide partijen beschreven zijn. Dat zorgt ervoor dat onze gegevens niet zo maar in een groot kunstmatig brein mogen worden opgenomen en het baasje van dat brein ze voor eigen doeleinden kan gebruiken. Zie zo’n contract maar als een groene vlag.

 

En in de grote boze buitenwereld …

• mag je DeepSeek al helemaal niet gebruiken.
• brengt DeepSeek namelijk nogal wat security- en privacy-issues met zich mee.
• traint Meta z’n AI met illegaal verkregen boeken.
• wordt het de hoogste tijd voor een eigen Nederlandse cloud (onder de naam Cloud Kootwijk).
• willen banken bij telecomproviders kunnen checken of je telefoneert tijdens het overboeken van geld.
• doen sommige banken dit via een omweg (omdat het bovenstaande nog niet mag).
• kun je criminelen ook de mond snoeren door stroom en internet uit te zetten.
• walst het bureau van Elon Musk door federale databases alsof er geen security- en privacyregels zouden zijn.