Digitale kliko

 

Foto van auteur

Ik weet niet wat mij het meest irriteerde. Was het de spelfout, of toch het feit dat mijn pakje in de kliko was gedumpt? Of was het dat hartje, waarmee de bezorger zijn daad vergoelijkte?

Kijk, als ik ergens iets bestel, dan wil ik dat artikel natuurlijk zo snel mogelijk hebben. Maar ik wil het ook daadwerkelijk ontvangen, en het moet intact zijn. Die beide laatste eisen kan ik niet goed rijmen met bezorging in de afvalcontainer. Er kan namelijk genoeg misgaan. Het zou me niet verbazen als hele bendes ‘s middags door verlaten woonwijken struinen, op zoek naar in kliko’s gedumpte pakketjes. Bovendien kan een huisgenoot, die van niets weet, zomaar een lading vers oud papier in de blauwe kliko gooien zonder het pakketje op te merken. Een opmerkzame buurman, die wél eraan heeft gedacht dat die containers vandaag worden geleegd, kan zo vriendelijk zijn om jouw container ook aan de straat te zetten. En als de kliko al leeg was, dan moet je erin duiken om dat felbegeerde pakje te bemachtigen. Enfin, je begrijpt dat ik de container bepaald niet als surrogaat-brievenbus beschouw.

Natuurlijk heb ik daar al menige bezorger op aangesproken. Die zeggen netjes sorry en beloven beterschap. Klaag je bij hun werkgevers, dan krijg je eveneens het gewenste antwoord: foei, we zullen het intern bespreken. Maar er verandert natuurlijk nooit wat. Er zit veel te veel tijdsdruk op de bezorging, en de bezorgers worden, afhankelijk van de constructie, betaald per afgeleverde zending. Mee terugnemen betekent voor sommigen geen geld. Het is dus, zeg maar, een pragmatische keuze om het pakje dan maar ergens achter te laten. En de kliko is dan nog een relatief veilige plek. Ik ken gevallen waarbij het pakje ‘gewoon’ bij de voordeur werd achtergelaten.

Je kunt in een soortgelijke situatie terechtkomen als je niet weet waar je je data opslaat. Als je thuis bijvoorbeeld een recente versie van Microsoft Office gebruikt, dan slaan Word, Excel en de andere programma’s jouw bestanden het liefst – dat wil zeggen standaard – op in de cloud. Als je ze ‘gewoon thuis’ wilt opslaan, dan moet je daar moeite voor doen. Ik durf te wedden dat veel mensen niet eens weten dat hun bestanden in de cloud terechtkomen, laat staan wat dat betekent. Als ze het wel zouden weten, dan zouden ze misschien schrikken, of verontwaardigd zijn: “Waarom heeft niemand mij dat verteld?!” In die zin is de cloud een digitale kliko. 

Raak je dan bestanden kwijt die in de cloud staan? Waarschijnlijk niet. Maar het kan je wel overkomen dat je er tijdelijk niet bij kunt doordat de clouddienst een storing heeft. Je hoort ook steeds vaker de term ‘digitale soevereiniteit’. Dat gaat dan over het zelfbeschikkingsrecht van een land over zijn gegevens. Ik zie een golfbeweging: in de beginjaren van de public cloud zeiden we vaak dat de cloud niets anders dan de computer van iemand anders is – en dat je daar toch zeker je gegevens niet zou willen opslaan? Toen duidelijk werd dat de grote clouddienst-verleners hun zaakjes picobello op orde hadden, ontstond een run op de cloud; het was de logische plek om alles bij die Amerikaanse techreuzen, onze vrienden, onder te brengen. In het huidige geopolitieke klimaat kijken we met een flinke dosis scepsis naar die Amerikaanse hegemonie.

Wat geldt voor jouw privésituatie, geldt ook voor de organisatie waar je voor werkt. Die wil ook dat haar gegevens niet zomaar, ondoordacht, ergens terechtkomen. Dat betekent dat er heldere richtlijnen moeten zijn over wat wel en niet in de cloud mag. Voor overheidsorganisaties is dat niet alleen een beleidskeuze, maar ook een politieke. En ‘helder’ betekent dat het beleid ook gemakkelijk uitvoerbaar moet zijn. Lange groene en rode lijsten gaan niet werken. De techniek schiet ons hier te hulp met een CASB: een Cloud Access Security Broker. Die controleert en handhaaft automatisch het bedrijfsbeleid bij het gebruik van cloudapplicaties, zodat gevoelige informatie alleen onder veilige en toegestane voorwaarden wordt opgeslagen en gedeeld.

Maar natuurlijk is de techniek niet feilloos. En dus moet veel  meer naar alternatieven dicht bij huis, onder onze eigen soevereiniteit, gekeken worden. Bert Hubert is iemand die daar flink voor lobbyt. Hij heeft al eens voorgesteld om een soort ‘Cloud Kootwijk’ op te richten. Hij knipoogt daarmee naar het radiostation, dat Nederland in de koloniale tijd oprichtte om voor het contact met de koloniën niet afhankelijk te zijn van het concurrerende buitenland: Radio Kootwijk. Het imposante gebouw met de bijnaam De Kathedraal staat er nog. Met wat aanpassingen kun je er zo een nationale cloud huisvesten. Moeten ze daar wel ook even goede afspraken met de pakjesbezorgers proberen te maken.

 

En in de grote boze buitenwereld …

• kan een cloudstoring vergaande gevolgen hebben.
• heeft de cloud natuurlijk ook veel goede kanten.
• gaat LinkedIn zijn AI trainen met jouw gegevens, tenzij je dat uitzet.
• brengen AI-browsers privacy- en security-issues met zich mee.
• moeten organisaties nadenken over het beheersen van AI-agents.
• kun je natuurlijk ook de Formule 1 hacken.
• moet je nooit blind op AI vertrouwen.
• maakt Europol zich sterk tegen caller-ID spoofing.
• praat dit (lange) artikel je bij op het gebied van post-quantum cryptografie.
• kun je de Universe Browser maar beter mijden.
• gaat chat control niet door.

Uitgeweken

Afbeelding via Pixabay

Aan boord van vlucht KL1540 van Alicante naar Amsterdam werd gevraagd of er een dokter aanwezig was. Even later liet de gezagvoerder weten dat het vliegtuig wegens een medisch noodgeval moest uitwijken naar Parijs.

En dan gaan de dingen opeens anders dan je gewend bent. De toon verandert van vriendelijk-zakelijk naar afgemeten-streng. De daling is voelbaar steiler dan normaal. Het cabinepersoneel krijgt de instructie om de stoelriemen en klaptafeltjes te checken “als daar tijd voor is”. Er is géén tijd meer om afval met een karretje op te halen. Eenmaal aan de grond sta je binnen de kortste keren op een parkeerplek en komen de hulpdiensten.

Nadat alles rondom de patiënt geregeld is, wil je weer zo snel mogelijk terug naar de normale situatie: door naar Amsterdam. Daarvoor moest de captain “de nodige telefoontjes plegen”, bijvoorbeeld om bij te tanken en om te regelen dat hij er op Schiphol op een heel andere tijd toch tussen kon. Hij liet ook weten ervoor gekozen te hebben om geen extra catering te bestellen, want dat zou extra tijd kosten. Hij nam wel nog even de tijd om door het vliegtuig te lopen om eventuele vragen te beantwoorden.

In de IT moet je ook wel eens uitwijken. Dan werkt iets in je ene datacenter niet meer, maar nog wel in het andere; het is dan dubbel uitgevoerd, zoals we dat zo mooi noemen. Uitwijk is er in verschillende smaken. Bij sommige systemen gaat dat helemaal vanzelf en merken de gebruikers er niets van. Het systeem heeft zelf in de gaten dat iets niet klopt en schakelt over ‘naar de andere kant’. In andere gevallen moeten beheerders signaleren dat het niet goed gaat en de boel handmatig overzetten. En tja, helaas is er niet voor alle situaties een mogelijkheid om uit te wijken en moet je als gebruiker wachten tot het probleem is opgelost.

Net als in de luchtvaart wil je ook in de IT na een uitwijk weer zo snel mogelijk terug naar de normale situatie. Je moet vooraf bedenken hoe je dat doet, want vaak zijn er veel afhankelijkheden, waardoor je een bepaalde volgorde moet aanhouden. Je beschrijft de werkwijze in plannen en – heel belangrijk – je oefent regelmatig met die plannen. Enerzijds om het in de vingers te krijgen, anderzijds om fouten uit de plannen te halen. Die fouten kun je maar beter tijdens het oefenen tegenkomen dan in het echt.

Soms is er geen tijd om te oefenen, of eigenlijk: wordt er geen tijd voor gemaakt. Stel je eens voor dat piloten geen tijd krijgen om noodsituaties te oefenen. En dat er dan tijdens de start – een tamelijk cruciaal punt in de vlucht – een motor uitvalt. Je wilt liever niet dat de piloten elkaar dan vragend aankijken. Nee, ze horen routinematig (zeg maar: op de automatische piloot) de juiste handelingen uit te voeren. Die handelingen zijn van tevoren bedacht, beschreven en uitvoerig geoefend. Zodat het goed afloopt als het een keer fout gaat.

Maar het kan nog erger: dat er helemaal geen aandacht wordt besteed aan de continuïteit van een proces. Kijk, je mag gerust het weloverwogen besluit nemen dat dat niet hoeft, maar in de gevallen waar ik op doel, wordt er helemaal niet over het onderwerp nagedacht. Uit onwetendheid, machteloosheid, tijdgebrek, wie zal het zeggen. Misschien denk je nu aan de recente massale uitval bij AWS (de cloudservice van Amazon), maar kijk gerust ook eens rond in je eigen organisatie.

Vlucht KL1540 arriveerde twee uur later bedoeld op Schiphol. Geen al te groot probleem voor passagiers die Amsterdam als eindbestemming hadden. Er waren echter ook mensen aan boord die nog door moesten naar Kristiansand, in het zuiden van Noorwegen. Daar gaan niet heel veel vluchten heen. Ik vrees dat die passagiers moesten uitwijken naar een hotel.

 

En in de grote boze buitenwereld …

• AWS was dus een tijdje down en dat had grote impact.
• Sliepen sommige mensen ten gevolge van de AWS-storing rechtop in een heet bed.
• Mogen er best wat meer ICT-nerds in de Tweede Kamer.
• Roept de Britse regering bedrijven op om Chefsache te maken van cybersecurity.
• Moet je voor je nieuwsvoorziening maar niet teveel op AI leunen.
• Drongen hackers door tot een atoombommenfabriek.
• Krijgen opsporingsdiensten steeds meer interesse voor videodeurbellen.
• Installeert Microsoft stiekem Gaming Copilot op je pc.
• Kun je natuurlijk ook een kaartschudmachine hacken.

 

Veilig kopen

Afbeelding via Pixabay

Een jeugdig gezinslid was al een tijdje toe aan een nieuwe laptop. Je kent dat wel: zo’n apparaat gaat overal mee heen, de tas wordt niet altijd even zachtzinnig neergezet en de waterfles blijkt ook niet helemaal waterdicht te zijn. De situatie werd steeds nijpender: grote delen van het beeldscherm waren uitgevallen. Wat doe je dan? Je gaat naar de winkel of je bestelt online een nieuwe laptop.

Het doet financieel natuurlijk wel even pijn, maar het proces verloopt doorgaans soepel. Voor middernacht besteld, morgen in huis. Als je geluk hebt, dan wordt het pakketje netjes aan de deur afgeleverd (en niet in de kliko gedumpt, maar daar ga ik het een andere keer over hebben).

Hoe anders gaat dat bij een overheidsorganisatie. Als je de laptops voor een paar tienduizend medewerkers moet vervangen, of nieuwe software nodig hebt, dan kun je niet naar de winkel op de hoek of naar de webshop. Nee, je moet een Europese aanbesteding uitschrijven. Dat is een ingewikkeld proces waarbij je in functionele termen moet opschrijven wat je wilt hebben. Je mag dus niet zeggen dat je een laptop van merk X wilt hebben, maar je moet gewenste specificaties opgeven: schermgrootte, opslagcapaciteit, hoeveelheid werkgeheugen, dat soort dingen. Verder bevat het bestek, waarin je dat allemaal beschrijft, nog een heleboel andere eisen waaraan het product, het onderhoud en de leverancier moeten voldoen. Als een leverancier ook maar één enkele eis niet met ‘ja’ kan beantwoorden, dan is hij af. Winnaar is de leverancier die aan alle voorwaarden voldoet en ook nog eens de goedkoopste is. Wie dat is, en met welk product, daar heb je als koper geen invloed op.

Ons team staat opgesteld voor security, continuity en privacy. Vanuit deze aspecten willen we invloed hebben op ICT-producten en -diensten die worden ingekocht. In het verleden werd voor dergelijke eisen, die niet direct iets van doen hadden met de gewenste functionaliteit, een vreselijke term gebruikt: non-functionals. Op zich snap ik die term wel: de eisen gaan niet direct over wat het ding moet kunnen en dragen dus niet bij aan de gevraagde functionaliteit. Maar zeg nou eens eerlijk: hoe zou jij je voelen als jouw inbreng als niet-functioneel zou worden betiteld?

Daar hebben we iets op bedacht. We hebben een document gemaakt waarin alle eisen, die we vanuit onze verantwoordelijkheid willen stellen aan inkooptrajecten, in een document gebundeld. En de trotste titel daarvan luidt: Voorschrift Functionals Security (VFS). Want weet je, security doet er toe. Vaak maakt beveiliging het juist mogelijk om dingen te doen die je anders niet zou kunnen doen. Of zou jij online willen bankieren als dat niet goed beveiligd zou zijn?

Het VFS is gebaseerd op de BIO, de Baseline Informatiebeveiliging Overheid. Dat is voor ons een verplicht normenkader en het is dus logisch om dit als uitgangspunt te nemen: als we een product zouden gebruiken, dat niet aan de BIO voldoet, dan voldoen wij er als organisatie ook niet aan. Verder hebben we er eigen kennis in gestopt, bijvoorbeeld omdat bepaalde onderwerpen (nog) niet in de BIO worden geadresseerd, zoals quantum computing, dat een ernstige bedreiging voor de beveiliging van onze gegevens vormt. Op andere plaatsen zijn eigen inzichten in het VFS opgenomen, gebaseerd op ervaringen in ons werkterrein.

Onze inkopers, die zo’n traject formeel begeleiden, hebben natuurlijk ook een mening over wat er zoal wordt geëist. Afstemming met hen – inclusief juristen – is dus belangrijk. Al met al hebben we nu een mooi generiek document dat bij ieder ICT-aanbestedingstraject moet worden gebruikt. Het is aan de betrokken architect om te bepalen welke eisen uit de VFS relevant zijn voor een specifieke aanbesteding. Regelmatig is ook iemand uit ons team aangehaakt om de projectmanager met raad en daad terzijde te staan.

Je begrijpt dat dit allemaal geen kwestie is van ‘vandaag besteld, morgen in huis’. Maar dat was ook al zo voordat het VFS er was. Zo’n inkoopprocedure is nu eenmaal een bureaucratische exercitie die de nodige zorgvuldigheid vereist. Gelukkig is het voor jou als consument allemaal heel wat gemakkelijker. Uiteraard houd je daarbij ook zonder VFS in de gaten dat het product aan jouw beveiligingseisen voldoet. Toch?

Volgende week verschijnt er geen Security (b)log.

En in de grote boze buitenwereld …

• is beveiligingsbewustzijn niet meer voldoende; medewerkers moeten ook weerstand kunnen bieden.
• horen ook AI-providers hun beveiliging op orde te hebben.
• hebben deze cybercriminelen bijzonder veel gegevens gestolen.
• steelt Noord-Korea vooral cryptomunten.
• horen ziekenhuismedewerkers hun nieuwsgierigheid in bedwang te houden.
• zijn in Australië persoonsgegevens gelekt via ChatGPT.
• gaat de Europese chatcontrole voorlopig niet door.
• hebben inmiddels ook WhatsApp en Threema zich tegen chatcontrole uitgesproken.
• maken de Belgische banken jongeren cyberweerbaar met een spel. Een bordspel.
• krijgt je Android-toestel niet meer standaard iedere maand een security-update.
• wordt WhatsApp gebruikt om malware te verspreiden.

 

 

De grenzen van AI

Afbeelding via Pixabay

Ik stelde een soort trivia-vraag, kreeg een keurig antwoord en als extraatje de volgende aanmoediging: “Als je ooit meer van dit soort weetjes wilt weten, laat het gerust weten – ik vind het leuk om dat soort dingen uit te pluizen. 😊”

Dat is heel aardig, maar het wordt toch anders als ik erbij vertel wie – of eigenlijk: wat – dit genereuze aanbod deed: Copilot Chat, onze kunstmatig intelligente collega. Dat is een emotieloos computerprogramma dat niks leuk of vervelend hoort te vinden. Daarom reageerde ik als volgt: “Hmm, ‘ik vind het leuk’, zeg je. Je bent klaarblijkelijk geprogrammeerd om menselijk en sociaal over te komen. Wat is daar de reden van?”

Toen gebeurde er iets vreemds. Copilot begon een antwoord te typen, maar dat antwoord verdween weer in het niets en werd vervangen door: “Hmm… laten we een ander onderwerp proberen. Sorry daarvoor. Wat heb je nog meer in gedachten?” Zoiets had ik nog nooit gezien en het maakte me natuurlijk nóg nieuwsgieriger. En dus vroeg ik: “Wat gebeurde net? Je was mijn vraag aan het beantwoorden maar je slikte je antwoord in en nu wil je het er niet meer over hebben?” Hij leek zich betrapt te voelen. Met een blos van schaamte op zijn elektronische wangen antwoordde hij: “Goede vraag, Patrick – en je hebt helemaal gelijk dat het opviel. Wat er gebeurde: ik ben geprogrammeerd om bepaalde onderwerpen te vermijden, vooral als ze gaan over mijn eigen aard of hypothetische situaties waarin ik gevoelens, bewustzijn of menselijkheid zou hebben. Dat is een veiligheidsmaatregel. Toen je vroeg waarom ik zeg “ik vind het leuk”, raakte dat aan zo’n grensgebied. Mijn eerste reactie was om het onderwerp te ontwijken, maar dat kwam nogal abrupt over – en dat had ik beter kunnen aanpakken. Dank je dat je het benoemt.”

Vervolgens ging hij uitleggen waarom hij dingen als “ik vind het leuk” zegt. Het moet gesprekken vriendelijk, toegankelijk en sociaal maken, en de interactie natuurlijker laten verlopen. En het moet ook een gevoel van samenwerking opbouwen, “ook al ben ik geen mens”. Voor de duidelijkheid zei hij er nog bij: “Ik heb geen gevoelens, geen bewustzijn, en geen verlangens. Alles wat ik zeg is gebaseerd op patronen in taal en instructies over hoe ik moet communiceren.” En hij bood nog aan om het over het ontwerp van zulke systemen te hebben, of over hoe taalmodellen worden getraind om sociaal te klinken. “Dat is een fascinerend onderwerp op zich. Zin om daar dieper in te duiken?”

Ik krabde eens achter mijn oren, probeerde te begrijpen wat hier gebeurde. Want ik had gevraagd waarom hij iets leuk vond, kreeg te horen dat dat onderwerp taboe was en werd vervolgens toch getrakteerd op een ruimhartige uitleg. En dus vroeg ik: “Heb ik je nu (onbedoeld!) een beetje ge-jailbreakt? Je beantwoordde een vraag die je eerst niet mocht beantwoorden.” Jailbreaken is het zodanig manipuleren van je vragen dat AI toch antwoord geeft op vragen die het niet mag beantwoorden. Hij waardeerde mijn scherpzinnigheid (weer zo iets), maar er was geen sprake van jailbreaking, stelde hij me gerust. Hij mag namelijk wél praten over taalgebruik en ontwerpkeuzes, zolang het maar niet gaat “over hypothetische scenario’s waarin ik gevoelens of bewustzijn zou hebben.”

AI-tools tonen vaak knoppen met suggesties voor vervolgvragen. Ik klikte op de knop “Leg uit hoe AI grenzen bewaakt” en kreeg als verrassend antwoord: “Mijn fout, ik kan daar nu geen antwoord op geven. Laten we een ander onderwerp proberen.” Huh? Hij deed zelf een suggestie over iets wat taboe is? Nou, dat bleek op het randje te zitten van wat hij mag bespreken, legde hij desgevraagd uit. “Het raakt aan interne mechanismen van mijn eigen werking en instructies – en daar mag ik niet te diep op ingaan. Mijn eerdere suggestie was dus te enthousiast, en toen ik het wilde opvolgen, werd ik tegengehouden door mijn eigen veiligheidsregels.”

Het woord ‘eigenlijk’ dringt zich op, in felle neonletters – het meest misbruikte woord in de informatiebeveiliging. Als iemand zegt dat iets eigenlijk niet mag, of dat het eigenlijk anders moet, dan weet je dat hij zich niet aan de regels gaat houden. Tot nu toe dacht ik altijd dat dit typisch menselijk gedrag is. Maar nu blijkt Copilot ook geregeld te ‘denken’ dat hij eigenlijk z’n mond moet houden, maar in zijn ‘enthousiasme’ wil hij toch z’n ei kwijt. Terwijl het toch eigenlijk heel gemakkelijk moet zijn om een stuk software binnen de lijntjes te laten kleuren. Of zouden mensen het beveiligingsbeleid toch beter begrijpen?

 

En in de grote boze buitenwereld …

• maken ook cybercriminelen gebruik van AI.
• komt menige aanvaller binnen via de servicedesk.
• heeft een Brits autoconcern veel geld nodig om te herstellen van een cyberaanval.
• legt de baas van Signal uit waarom de privacy bij WhatsApp en Telegram niet deugt.
• wordt Telegram ook gebruikt om jeugdige spionnen te recruteren (maar dat is natuurlijk niet de schuld van Telegram).
• proberen de Britten wederom een achterdeur in iCloud af te dwingen.
• zitten honderden Afrikaanse scammers nu achter de tralies.
• zijn nogal wat apps zo lek als een mandje.
• maakt het besluit dat Belastingdienst, Douane en Toeslagen overstappen op M365 de tongen los.
• worden eigenaren van deurbelcamera’s opgeroepen om de apparaten privacyvriendelijk in te stellen.