Je innerlijke ik

Afbeelding via Copilot

“De beste inspiratie komt uit jezelf.” Dat is geen uitspraak van  Sun Tzu, de Chinese generaal uit de zesde eeuw voor Christus, uit wiens werk De kunst van het oorlogvoeren te pas en te onpas wordt geciteerd. Nee, dit citaat schrijven we toe aan ene Patrick Borsoi uit de twintigste eeuw ná Christus. Geen Chinees, geen generaal, maar – in alle bescheidenheid – wel bij vlagen slim.

Lezers vragen me wel eens hoe ik altijd weer aan de inspiratie voor een blog kom. Meestal antwoord ik dan dat ik goed om me heen kijk en dan vaak iets alledaags zie wat ik aan informatiebeveiliging kan linken. Of dat collega’s mij een tip geven, al dan niet uit hún dagelijks leven. Nu heb ik iets nieuws ontdekt: naar jezelf luisteren. Letterlijk.

Ik was te gast in de podcast van de KNVI, de Koninklijke Nederlandse Vereniging van Informatieprofessionals. Daar mocht ik vertellen over de Security (b)log en meer vakinhoudelijk over phishing, AI en quantum computing. Die podcast ging op 1 juli online en ik was natuurlijk een van de eersten om hem te beluisteren. Dat is trouwens best vreemd, maar dat zegt iedereen die een geluidsopname van zichzelf hoort. Waar het om gaat is dat ik mezelf iets hoorde zeggen wat ik nog nooit eerder heb gezegd en waarvan ik me ook niet meer herinner dat ik het had gezegd (de opname was anderhalve maand geleden).

Marijn Plomp is de vaste host van deze podcast en Sandra de Waart was die dag zijn sidekick. Omdat mijn blog als overkoepelend thema awareness (beveiligingsbewustzijn) heeft, vroeg Sandra mij: “Hoe maak je nou eigenlijk mensen bewust?” Want, zo voerde zij terecht aan, alleen maar zeggen “wees bewust!” helpt natuurlijk niet. Ik vergeleek dat met het verkeersbord dat een algemene waarschuwing voor gevaar geeft (driehoek met rode rand en een uitroepteken in het midden). Als je alleen dat bord ziet, dan weet je nog niets. Alleen als er een onderbord bij zit, waarop je kunt lezen wat het gevaar inhoudt, weet je wat je moet doen of laten. En nu komt het. Ik zei: “Ik probeer dat onderbord te zijn.” Door te duiden waarom iets een risico is, door het uit te leggen, maak je mensen bewust. Ze moeten het kunnen snappen, er een beleving bij hebben.

Verderop in de podcast doe ik een uitspraak die ik wel vaker bezig: “Ik word betaald om doem te denken.” Zoals er mensen zijn, die geld krijgen om de hele dag met Lego te spelen, zo mag ik me uitleven op de vraag: wat zou er zoal mis kunnen gaan? Daar waar anderen smullen van wat een systeem, een apparaat of een werkwijze allemaal kan, daar mag ik naar de donkere kant kijken. Dat is niet altijd gemakkelijk, omdat je daar nog weleens andermans enthousiasme mee tempert. Meestal wordt die blik op het foutpad toch gewaardeerd, omdat het uiteindelijke product er beter van wordt doordat er óók gekeken wordt naar aspecten waar we liever van wegkijken. In dat citaat over doemdenken zit natuurlijk een vette knipoog, maar het maakt wel kort en krachtig duidelijk dat risicoanalyses belangrijk zijn – al is het soms maar op de achterkant van een envelop.

Aan het einde van de podcast hoor ik mezelf nog zeggen dat ik de mens nodig heb als laatste verdedigingslinie. Want als de techniek er niet in slaagt om het onheil af te wenden, als bijvoorbeeld dat ene phishingmailtje toch door alle controles heen weet te komen, dan kan die medewerker, in wiens inbox het mailtje terechtkomt, het verschil maken tussen een gezonde en een kreupele organisatie. En met die laatste verdedigingslinie komen we dan toch weer een beetje uit bij Sun Tzu, die daar ongetwijfeld ook iets over heeft geschreven.

Beluister hier de KNVI-podcast.

 

En in de grote boze buitenwereld …

• hebben airlines de laatste tijd veel aandacht van cybercriminelen.
• sluiten ook criminele organisaties wel eens de deuren.
• wil Duitsland DeepSeek uitbannen.
• komen fysieke en digitale criminaliteit soms samen.
• gaat ook Defensie inzetten op het gebruik van AI en clouddiensten.
• rukt de politie voortaan ook uit voor digitale criminaliteit.
• is een ambtenaar bestraft voor het mailen van vertrouwelijke data naar zijn privéadres.