De remmen van de fatbike

 

Afbeelding via bol.com

Fatbikes. Alleen dat woord al. Ik blijf hier maar weg van de brede discussie over dit jonge fenomeen op de weg. Maar ik wil het wel hebben over iets dat ik gepaard zie gaan aan het berijden van zo’n ding: het remmen à la Fred Flintstone.

Je weet toch hoe Fred zijn auto afremt? Letterlijk met de hakken in het zand. En de laatste tijd zie ik steeds vaker dat jeugdige fatbikers hun tweewieler net als Fred tot stilstand proberen te krijgen door hun beide voeten op de grond te zetten. Vaak slingeren ze daarbij vervaarlijk heen en weer. Uiteindelijk komen ze net op tijd tot stilstand.

Zit er iemand in de zaal die ervaring heeft met het rijden op zo’n ding? Zijn de remmen werkelijk zo slecht dat je een Fredje moet doen om op tijd stil te staan? Of hebben we het hier over opgevoerde exemplaren, waarbij de remmen, die amper voldoen aan de voorschriften, te kort schieten zodra de fiets sneller gaat dan bedoeld en toegestaan?

Even iets anders; je snapt zo waarom ik dit erbij haal. Eerder deze week kwam ik met de trein door Gouda. Op het station viel mijn oog op de openluchtfietsenstalling. Aan weerskanten van die stalling – die slechts twee fietslengtes plus een gangpad breed is – stonden zo’n beetje om de tien meter beveiligingscamera’s opgesteld. Ik heb ze niet geteld, maar het waren er in ieder geval absurd veel. Je zou bijna denken dat de camera’s bijziend zijn.

Ziehier twee voorbeelden van beveiligingsmaatregelen die worden genomen in situaties waarin de werking van de eigenlijke maatregelen – remmen en sloten – in de praktijk onvoldoende is gebleken. In de informatiebeveiliging hebben we ook van die maatregelen. Meestal gaat het daarbij om techniek die niet voor de volle honderd procent waarmaakt wat je ervan hoopt. Bijvoorbeeld een virusscanner die toch dat allernieuwste virus erdoor laat, of die mailscanner die dat ene mailtje niet als phishing herkent. In die situaties komt het probleem op het bordje van de gebruiker terecht.

En daarom hebben we jouw inzet nodig, beste lezer. Jij bent de remschoen die op het laatste moment, als al het andere heeft gefaald, nog kan ingrijpen. Jij bent onze laatste verdedigingslinie. En dat is precies de reden waarom ik zoveel energie steek in het up-to-date houden van je kennis op mijn vakgebied. Je hoeft niet alle ins en outs te weten, maar wel de dingen die – letterlijk – van levensbelang kunnen zijn voor de organisatie, zoals het herkennen van phishing-mail.

Ik weet het, dat kan moeilijk zijn. Meer dan alertheid kan ik niet van je vragen. Help ons om onze fatbike, desnoods al slingerend, op tijd tot stilstand te brengen.

De komende twee weken verschijnt er geen Security (b)log.

 

En in de grote boze buitenwereld …

• zijn niet alle awareness-campagnes even effectief.
• start nu ook je Android-telefoon opnieuw op als je hem drie dagen niet aanraakt.
• had de moeder van Appie vorig jaar een flink datalek door een cyberaanval.
• heeft Google vorig jaar ruim vijf miljard advertenties geblokkeerd. Veel daarvan waren door AI gegenereerd.
• leek het er even op dat het gedaan was met de CVE’s.
• moeten alle rijksambtenaren op weerbaarheidstraining.
• gaat een gezichtsscan bepalen of je oud genoeg bent voor Discord.
• heeft de politie veertien jaar lang niet goed gelakt.
• kun je beter geen gekraakte computerprogramma’s downloaden.
• is de CISO Mindmap 2025 gepubliceerd.

Dovemansoren

Afbeelding via Pixabay

“Heb jij al eens een blog geschreven over het spanningsveld tussen security en gebruiksgemak?”, vroeg een collega. “Vast wel”, antwoordde ik, “maar wat is jouw aanleiding om daarnaar te vragen?” “Mijn vrouw.”

Ik snapte meteen wat hij bedoelde. Niet dat mijn gezin het allemaal niet begrijpt hoor. Maar we hadden laatst wat mensen over de vloer, waaronder een stel dat bij elkaar opgeteld ongeveer mijn leeftijd heeft. Zij vroeg om het wifi-wachtwoord, en ik noemde het wachtwoord van ons gastennetwerk. Dat is gemakkelijk te onthouden en daarom niet erg ingewikkeld (iets als fiets3oven) – het is toch maar het gastennetwerk en daarmee kun je niet bij onze gegevens. Zij reageerde tot mijn verrassing echter met: “Poh, wat een moeilijk wachtwoord!” En ze noemde spontaan hun eigen wifi-wachtwoord, dat ik zou inschalen in de categorie “20^e eeuw”.

Een afkeurende blik kon ik niet vermijden, maar vervolgens deed ik een voorzichtige, uiterst vriendelijke poging om uit te leggen dat een dergelijk wachtwoord geen goede keus is. En het is bepaald niet zo dat ik onervaren of onhandig ben in het uitleggen van dat soort dingen. Maar in dit geval was mijn uitleg aan dovemansoren gericht. “Ach, bij ons gebeurt toch nooit iets”, zei de jongedame. Het was echter vooral haar blik die boekdelen sprak: waar maakt die man zich druk om? Ik nam nog een nieuw aanloopje en begon over wachtwoorden van andere, misschien belangrijkere accounts – vanuit de wetenschap dat mensen die links onverstandig handelen, dat meestal rechts ook doen. De muur van onbegrip was echter dermate hoog dat ik haar, ondanks alle ervaring, niet wist te slechten. En ik besefte dat ik het hierbij moest laten; die mensen waren hier voor de gezelligheid, niet om de les gelezen te krijgen.

Mijn vrouw en dochter, die dit allemaal hadden meegekregen, waren inmiddels al ruimschoots door de vloer gezakt. Los van het feit dat tieners er slecht tegen kunnen als hun vader zoiets doet, hadden de beide dames veel sneller dan ik in de gaten dat ik aan een mission impossible was begonnen. Hun opluchting was dan ook groot toen ik het onderwerp liet varen en we overgingen op koetjes en kalfjes.

Beveiliging en gebruiksgemak staan op gespannen voet met elkaar. Ga maar na: als je je huis op slot hebt gedaan, dan sta je net iets langer in de regen als je weer thuis komt. Iedereen begrijpt echter dat deze maatregel is bedoeld om buitenstaanders buiten te houden – die heten niet voor niets zo. Bij informatiebeveiliging werkt het net zo: legitieme gebruikers wil je eigenlijk geen strobreed in de weg leggen, maar omdat de meeste systemen nu eenmaal niet voor iedereen zijn bedoeld, moet er een slot op deur.

Sommige van die sloten zijn hinderlijker dan andere, en soms kunnen ze ronduit vervelend zijn, bijvoorbeeld om ze vaak op slot gaan. Als het vervelend wordt, dan zijn mensen geneigd om beveiligingsmaatregelen te omzeilen. Het moge duidelijk zijn dat de organisatie dergelijke creativiteit niet op prijs stelt. Daarom vind ik het altijd belangrijk dat je kunt begrijpen waarom een bepaalde maatregel van kracht is. En dus heb ik voor een tweetal maatregelen, waarbij ikzelf vaak denk: “Waarom werkt dit toch zo”?, navraag gedaan.

In beide gevallen kwam het antwoord neer op: dat zou niet zo moeten zijn. Gevolgd door technische uitleg waaruit valt op te maken dat er helemaal geen beveiligingsmaatregel in het spel is, althans: geen maatregel die verklaart wat ik beleef. Er is waarschijnlijk gewoon iets niet goed. Dat kan dus ook: dat je denkt dat iets een kromme beveiligingsmaatregel is, maar dat er iets anders aan de hand is.

Hopelijk kan die collega zijn vrouw ervan overtuigen dat sommige maatregelen belangrijk zijn. En hopelijk herkent hij situaties waarin er gewoon iets stuk is en het gedrag niet de schuld van de beveiliging is.

 

En in de grote boze buitenwereld …

• snappen sommige hooggeplaatste functionarissen niet dat ze geen persoonlijke e-mail voor het werk moeten gebruiken.
• is Gmail’s end-to-end encryptie geen echte E2EE.
• zijn er namaaktelefoons met malware in omloop.
• was de grote storing van vorig jaar in het Defensie-netwerk niet te voorkomen.
• is crisiscommunicatie een vak apart.
• wordt de Zweedse belastingdienst voor de rechter gesleept omdat hij gegevens van burgers verkoopt.
• wil iemand wel heel graag Chinese domeinen hacken.