Het Rode Plein

Afbeelding via Pixabay

Je huurt een vliegtuigje, vliegt ermee naar Moskou en parkeert het op het Rode Plein. De toen 18-jarige Duitser Mathias Rust zette de Sovjet-Unie in 1987 lelijk in haar hemd.

In die tijd hing het IJzeren Gordijn nog strak in de plooi en was de luchtverdediging van de Sovjets onverbiddelijk. Dat ervoer vijf jaar eerder Korean Air vlucht 007, een Boeing 747 op weg van New York naar Seoel. De piloten maakten een navigatiefout, waardoor het vliegtuig in een verboden gebied van het Sovjet-luchtruim belandde. Het werd genadeloos neergeschoten; alle 269 inzittenden kwamen daarbij om het leven.

Uiteraard was de wereld boos. Rust profiteerde daarvan, want het Rode Leger werd wat voorzichtiger als het om mogelijk civiele vluchten ging. Hij werd opgemerkt door de luchtafweer en kreeg zelfs gezelschap van een MiG-straaljager, maar er werd geen toestemming gegeven om hem uit de lucht te schieten. Kennelijk werd er ook niet echt gecommuniceerd tussen de legeronderdelen, want een eind verderop wisten ze van niks en dachten ze dat het bliepje op de radar van een leerling-piloot was die vergeten was de transponder aan te zetten (een apparaat dat een vliegtuig identificeert). Weer verderop dachten ze achtereenvolgens een reddingshelikopter en een trainingsvliegtuig te zien.

En zo kwam het dat Rust in de vroege avond van 28 mei 1987 boven het Kremlin cirkelde en zijn Cessna uiteindelijk in het hart van Rusland aan de grond zette. Hij deed dat in zijn rol als vredesactivist, en volgens de geschiedschrijving zou hij de val van de Sovjet-Unie versneld hebben doordat hij met zijn actie president Gorbatsjov argumenten gaf om politieke en vooral militaire tegenstanders te ontslaan. Overigens verbleekte Rusts heldenstatus al gauw nadat hij, na vijftien maanden gevangenisstraf, terugkeerde in Duitsland, waar hij in de media als wereldvreemd en psychisch labiel werd neergezet en allerlei dingen deed die hem in aanraking met de rechter brachten.

Laten we nog even stilstaan bij de Russische defensie. Hun radar had Rust al na een paar minuten gespot, maar pas een uur later kreeg hij gezelschap van die straaljager. En die deed dus niets, ondanks het feit dat de Cessna overduidelijk een West-Duits toestel was. Ze vertrokken gewoon weer – naar verluidt omdat een vliegtuigcrash van een dag eerder voor verwarring zorgde. Bij de achtereenvolgende gelegenheden waarbij hij werd opgemerkt, zorgden foute aannames voor het negeren van deze mogelijke dreiging.

Want dat was het natuurlijk wel, vanuit Sovjet-perspectief gezien. Hoe zou onze defensie reageren als er een Russische drone boven het Binnenhof verscheen? Dat is hopelijk de verkeerde vraag, want als het goed is, dan wordt zo’n ding natuurlijk al lang voordat het daar aankomt onderschept – zelfs al ver buiten onze landsgrenzen. Maar áls een (bewapende) drone daadwerkelijk zo ver zou kunnen komen, dan is dat natuurlijk een grote bedreiging voor het bestuur van het land. En zo moeten ze dat destijds in het Kremlin ook gevoeld hebben. Geen wonder dat Gorbatsjov moeiteloos honderden mensen uit de legertop kon wegsturen. Zij hadden gefaald.

In dit historische verhaal zitten een paar leerpunten die ook buiten het militaire domein toepasbaar zijn. Om te beginnen: je hebt overzicht nodig. Als een dreiging meermaals wordt gesignaleerd, maar steeds (onterecht) als onbelangrijk wordt afgedaan en niet wordt gerapporteerd, dan is de omvang van de dreiging niet duidelijk. Een voorbeeld uit mijn wereld: een computervirus op enkele computers, dan onschadelijk wordt gemaakt door de virusscanner, is geen probleem. Worden het er echter erg veel, dan heb je te maken met een virusuitbraak en wordt het tijd voor andere maatregelen. Maar dan moet je dus wel dat overzicht hebben.

Aannames doen (“het zal wel een reddingshelikopter zijn”) is ook gevaarlijk. Was er een gebrek aan heldere instructies, of was er misschien sprake van onverschilligheid? Wederom vertaald naar de wereld van de informatiebeveiliging: als je een wat vreemd mailtje krijgt en denkt dat het vast wel in orde zal zijn, en als je dan toch op die link klikt of die bijlage opent, dan maak je dezelfde fout als die Sovjets achter hun radarschermen: je ziet de dreiging, maar je sluit je ogen ervoor.

Als de actie van Rust de val van de Sovjet-Unie inderdaad heeft versneld, dan is dat een voorbeeld van een kleine actie met grote gevolgen. Tegenwoordig zie je dat met ransomware: een ondoordachte handeling van één medewerker kan de ondergang van een hele organisatie betekenen.

De naam Rust spreek je overigens uit als Roest. Laten we de lessen uit zijn actie niet wegroesten. Bescherm je eigen Rode Plein.

 

En in de grote boze buitenwereld …

• Slaat Rusland terug met drones en een oorlogsbodem. [Deens, maar je browser vertaalt het graag voor je]
• Weet dit Britse bedrijf hoe duur een cyberaanval kan uitpakken.
• Kan een softwarefout zich tegen je eigen organisatie keren.
• Bevatte de beveiliging van Entra ID van Microsoft een zeer ernstige fout.
• Veroorzaakt een cyberaanval op een softwareleverancier problemen op diverse Europese luchthavens.
• Bestaat er een app om mensen te rapporteren die slecht spreken over Charlie Kirk. Die app heeft nu gegevens van zijn eigen gebruikers gelekt.
• Is de overheid erg afhankelijk van Amerikaanse clouddiensten.
• Woedt er een cookie-discussie in Brussel.
• Is het altijd goed om na te blijven denken.
• Houden sommige security-testers het wel erg lang vol.

 

Achter de Douane

Afbeelding via Pixabay

“Achter de Douane kocht ik een horloge,” zei Merlijn Kaiser in de roman Magnus van Arjen Lubach. Het boek is een aanrader, maar dit zinnetje vraagt even om aandacht.

Merlijn bevond zich op Schiphol en nam een vlucht naar Stockholm. Je komt dan slechts één instantie tegen die een controle uitvoert: security. Excuus voor de wat vage benaming, maar zo noemt de luchthaven het zelf. Ze bedoelen de controle van je handbagage en van jouzelf, waarbij wordt gekeken of je niks bij je hebt wat de vlucht in gevaar kan brengen. Zoals een schaar of explosieven, om maar wat te noemen.

Op vluchten buiten het Schengengebied (dus grofweg buiten Europa) kom je ook nog de Koninklijke Marechaussee tegen, die je paspoort controleert. Dat is dus niet de Douane. Die kom je bij vertrek uit Nederland bijna nooit tegen; de Douane is alleen geïnteresseerd in goederenverkeer. Dus, beste Merlijn, er is geen ‘achter de Douane’ als je Nederland verlaat. Je komt deze dienst alleen tegen als je terugkeert uit het buitenland. Je weet wel, als je je koffers hebt opgehaald, vlak voor de schuifdeuren waar de afhalers op je staan te wachten.

Het gebeurt wel vaker dat verantwoordelijkheden worden verward. Vroeger werd in veel organisaties gedacht dat informatiebeveiliging iets was waarvoor de IT-afdeling verantwoordelijk was. En de IT-afdeling zelf vond dan weer dat de security-afdeling het allemaal moest regelen. Gek genoeg was dat ook de tijd waarin het kon gebeuren dat er van een bepaald systeem geen back-up werd gemaakt omdat de klant (‘de business’) daar niet om had gevraagd. Vanuit de ene kant werd gedacht dat het allemaal zou worden geregeld, terwijl aan de andere kant strikt aan de opdracht werd voldaan – en niet meer dan dat.

Nu is het omgekeerd. De business beseft (grotendeels) dat ze zelf verantwoordelijk zijn voor het op orde hebben van hun beveiliging, dat ze daar eisen aan mogen en moeten stellen. Tegelijkertijd zijn er veel standaardmaatregelen ingevoerd. Als je een auto koopt, hoef je niet te eisen dat hij met remmen, veiligheidsgordels en airbags wordt geleverd; dat heeft de wetgever voor je geregeld. Ook op het gebied van informatiebeveiliging is er wet- en regelgeving, waarin de minimale eisen zijn beschreven waaraan een systeem moet voldoen. Uiteraard kan een organisatie of een interne klant hogere eisen stellen, als uit een risicoanalyse blijkt dat dat nodig is. Want je treft nooit zomaar maatregelen hè.

Wat dan weer niet betekent dat er geen ad hoc-maatregelen kunnen worden getroffen. Dat kan bijvoorbeeld wanneer securitymensen een gevaarlijke situatie aantreffen. Want we zijn dan weliswaar niet van ‘het allemaal regelen’, maar we zijn er wel voor verantwoordelijk dat de organisatie veilig is. Daarbij passen we soms professional judgement toe. Een mooie term die in feite betekent: dit moet nu zo omdat ik, vanuit mijn functie, oordeel dat het nodig is. En vertrouw er maar op dat dit oordeel is gebaseerd op vakkennis.

Terug naar Merlijn Kaiser. Waar kocht hij dat horloge nou eigenlijk? Schiphol kent twee grote winkelgebieden: eentje waar je de luchthavengebouwen betreedt, en eentje achter security. Dáár kocht hij dat horloge. Zonder ook maar één douanier te hebben gezien. Maar verder is het een geweldig boek.

  

En in de grote boze buitenwereld …

• doet ChatGPT soms ook een paspoortcontrole.
• wordt het nu echt tijd om afscheid te nemen van Windows 10.
• moet je zelf kunnen bepalen hoe het nieuws tot je komt.
• zat er een groot gat in Entra ID.
• vormen scholieren een bedreiging voor hun school.
• moet een authenticatie-mechanisme weerstand bieden tegen phishing.
• pikken inmiddels ook columnisten de noodzaak voor Europese data-soevereiniteit op.
• gaat LinkedIn binnenkort AI-modellen trainen met jouw data.
• nemen de Finnen een flinke toename in het aantal gehackte M365-accounts waar.
• kronkelt er een worm door npm-packages.

 

Kampioenen

 

Foto van auteur

Ik vind dit een geweldig verkeersbord. In andere Europese landen is de waarschuwing voor spelende kinderen een keurige driehoek, net als alle andere borden die ergens voor waarschuwen. Maar in Kroatië hebben ze letterlijk out of the box gedacht.

Dit bord drukt heel krachtig uit waar het om gaat: spelende kinderen zijn onberekenbaar en ze kunnen zo maar de straat op rennen – door de grenzen van hun veilige omgeving heen breken. Het bord is ook nog eens groot en het heeft een opvallende achtergrondkleur. Je treft het in elk dorp en in elke stad aan.

Als je onder het bord door kijkt, dan zie je een voorbeeld van het tegenovergestelde: een bord dat vragen oproept. Het bord verbiedt voertuigen van meer dan vijf ton om hier te rijden; dat is op zich helder. Maar er staat een onderbord bij, dat aangeeft dat het bord alleen geldt voor vrachtwagens. Nu daag ik je uit om een auto te noemen, niet zijnde een vrachtauto, die zwaarder is dan vijfduizend kilogram.

Maar omdat ik toch wat nattigheid voel, heb ik het even bij AI gecheckt: “Zijn er wegvoertuigen, niet zijnde vrachtauto's, die zwaarder zijn dan 5 ton?” En jawel hoor, mijn blik was te nauw: het universum bestaat niet slechts uit gewone personen- en vrachtauto’s, maar er rijden ook frivolere voertuigen over onze wegen: zware SUV’s en pick-up trucks, grote campers, speciale voertuigen (Copilot noemt mobiele medische units, mobiele kantoren en filmproductievoertuigen) en landbouw- en bouwvoertuigen. Dat zijn allemaal geen vrachtwagens, maar ze zijn wel te zwaar voor deze weg. Tenzij dat onderbord erbij staat.

Vervolgens vraag je je natuurlijk af wat dan het eigenlijke probleem is. Kennelijk mag de weg (of gaat het om de brug links op de foto?) niet te zwaar belast worden, maar vormt een grote belasting slechts een probleem als die door een vrachtwagen wordt veroorzaakt. Vroeger zou je over zo’n kwestie een flinke boom hebben opgezet met collega’s, maar ja, thuiswerken hè. Toch maar weer aan AI voorgelegd en wat blijkt: het gewicht zelf – of zoals Copilot het correct noemt: de massa – hoeft niet het probleem te zijn. Misschien wil men de geluidsoverlast beperken of de verkeersveiligheid bevorderen. Andere AI-argumenten laat ik hier achterwege omdat ik ze minder overtuigend vind.

Twee borden, twee totaal verschillende belevingen. Het ene veroorzaakt een wow-effect en was de reden om deze foto te nemen, het andere roept vraagtekens op en viel pas op toen ik de foto tijdens het schrijven van deze blog eens goed. Is dat erg? Ik denk het niet. Ik behoor namelijk niet tot de doelgroep van het tweede bord; mijn rijbewijs gaat maar tot 3,5 ton. Al rijdend zou ik er geen acht op slaan. Het eerste bord daarentegen moet iedere bestuurder aanspreken. Niemand wil een kind onder z’n wielen krijgen.

Zo werkt het ook in de informatiebeveiliging. Sommige dingen zijn voor iedereen belangrijk, zoals goede wachtwoordhygiëne betrachten en op je hoede zijn voor phishing. Het belang van andere zaken hangt af van wie je bent. Een netwerkbeheerder moet uitkijken dat hij niemand ongecontroleerde toegang tot het bedrijfsnetwerk verschaft, terwijl iemand van de financiële administratie moet opletten dat hij geen valse facturen betaalt. Dat betekent dat we onze voorlichting moeten aanpassen aan de doelgroep. Maar helaas zijn de informatiebeveiligers in menige organisatie te druk om hun awareness-activiteiten te differentiëren. En dus blijven we steken in goedbedoelde, maar soms te algemene voorlichting.

Hoe kunnen we dat doorbreken? Als extra mensen in dienst nemen geen optie is, dan kunnen we misschien de hulp inroepen van de doelgroepen zelf. Daar zitten namelijk vaak al mensen die heel behoorlijk op de hoogte zijn van de specifieke risico’s waarmee hun team te maken heeft. Zij willen hun kennis en vaardigheden graag delen met hun directe collega’s. We kunnen hen ondersteunen door ze een zekere status te verlenen. In sommige organisaties noemen ze dit security champions. Ik vind dat wel een mooie titel. Het zijn onze kampioenen in het werkveld. Laten we hen koesteren en helpen.

Word jij onze eerste security champion?

Volgende week verschijnt er vanwege een volle agenda mogelijk geen Security (b)log.

 

En in de grote boze buitenwereld …

• adviseert een internationale groep inlichtingendiensten over het omgaan met Chinese staatshackers.
• dreigen cybercriminelen dat ze AI gaan voeden met de buitgemaakte gegevens.
• verkoopt deze dashcam-fabrikant jouw beelden door. En nu zijn ze gehackt.
• worden bejaarden in drie stappen bestolen.
• denkt de Venezolaanse president dat zijn telefoon niet kan worden gehackt (ik zou me eerder druk maken over de vraag welke extraatjes de Chinezen hebben toegevoegd).
• valt AI voor dezelfde psychologische trucs als mensen.
• is sextortion niet altijd bluf.
• vertrouwde gelukkig toch al niemand deze certificaten.
• geeft dit artikel meer achtergrond bij de certificaten-blunder.