vrijdag 10 juli 2026

Wie belt nou wie?

Afbeelding: Wikipedia

“Hallo, u spreekt met Peter den Vlieger van de Huisbank*. Ik wil graag nog even wat dingen doornemen met betrekking tot uw nieuwe hypotheek.”

Tot zover niets aan de hand, tenminste, als je daadwerkelijk een nieuwe hypotheek bij die bank hebt afgesloten. Wat de klant echter wel vreemd vond is dat de bankmedewerker ook nog contactgegevens wilde doornemen, ter verificatie. “Ze bellen mij toch, dan weten ze toch dat ik het ben?”

Wist je dat phishing niet alleen via e-mail en sms, maar ook via de telefoon kan? Dan noemen we het vishing (met de v van voice), maar het doel is hetzelfde: informatie ontfutselen. Stel, die Peter den Vlieger is een crimineel. Dan begint hij waarschijnlijk niet over een hypotheek, want de kans is groot dat zijn beoogd slachtoffer helemaal geen hypotheek heeft aangevraagd. Hij zal dus over iets algemeners beginnen, zoals een spaarrekening of bankpasje.

Stel, zijn verhaal klinkt plausibel. Vervolgens stelt Peter een aantal vragen zoals je die zo vaak hoort als jij een bedrijf of instantie belt: je adres, geboortedatum, misschien wel je bankrekeningnummer of je BSN. Heel logisch als jij belt – al ben ik vaak verbaasd over het kleine beetje informatie waar ze genoegen mee nemen. Maar als zij jou bellen, dan wordt het een ander verhaal.

Want waarom zouden ze in dat geval jouw identiteit moeten verifiëren? Ze hebben immers jouw dossier voor hun neus, en daarin staat ook het telefoonnummer dat ze bellen. Oké, iemand anders zou jouw telefoon kunnen opnemen, maar dat is in het tijdperk van de mobiele telefonie niet zo waarschijnlijk (vroeger, jongelui, had je één telefoontoestel (de T65 van de PTT) in huis, die je slechts zo ver kon verplaatsen als de draad toestond). Als iemand jou namens een bedrijf belt en om identificerende gegevens vraagt, moet je dus op je hoede zijn. Want met die gegevens in de hand kan een crimineel gemakkelijk een bedrijf bellen en doen alsof hij jou is. Met alle gevolgen van dien.

Nee, als ze jou bellen, dan moet je het spel omdraaien: jij stelt zelf de vragen. Wat is mijn geboortedatum? Waar woon ik? Wat zijn de laatste vier cijfers van mijn IBAN? Als ze daar niet op willen (of kunnen!) antwoorden, dan kun je maar beter ophangen. Twijfel je of het telefoontje misschien toch legitiem was? Bel het bedrijf dan via een nummer dat je kent of van hun website of brieven haalt. Ze kunnen je vast wel vertellen of ze jou gebeld hebben.

Maar natuurlijk hoorde ik ook weer verhalen van mensen die ‘gewone’ phishing hadden ontvangen, via de mail. Zo ook de collega die een superaanbieding van bol.com kreeg: sneakers van een bekend merk voor een tientje in plaats van negentig euro. Als je al eens een presentatie van mij hebt bijgewoond, dan herken je waarschijnlijk deze tegeltjeswijsheid: als iets te mooi lijkt om waar te zijn, dan is het dat meestal ook. De collega vond het mailtje in eerste instantie wel betrouwbaar ogen – hij werd zelfs bij zijn voornaam genoemd. Maar omdat er toch iets knaagde, vroeg hij AI om hulp. Uitslag: phishing! Dat werd overigens vooral geconcludeerd omdat het logo van bol.com ontbrak. Dat juist dit de doorslag gaf is verontrustend, want een beetje professionele phishing investeert juist in look and feel. Wat zou AI gezegd hebben als het logo er wél was geweest?

Waarom wist de crimineel achter dit mailtje hoe onze collega heette? Vanwege Odido. Of Rituals. Of Basic-Fit. Allemaal grote datalekken waarbij veel gegevens (waaronder e-mailadressen en namen) van heel veel mensen zijn buitgemaakt. Het oude criterium, dat de afwezigheid van een persoonlijke aanhef een rode vlag is – en dus impliciet dat een persoonlijke begroeting juist een groene vlag is – kan daarmee wel naar de prullenbak.

Of ze je nu willen phishen, smishen, vishen of quishen**: wees de criminelen te slim af. Laat mensen als Peter den Vlieger maar lekker crashen door jouw alertheid.

*: Deze namen zijn verzonnen.

**: smishing = phishing via sms, vishing via de telefoon, quishing via QR-codes.

 

En in de grote boze buitenwereld …

 

vrijdag 26 juni 2026

Mentaliteit en realiteit

Afbeelding: Unsplash

“De mentaliteit is aan het omslaan. Nu de realiteit nog”, verzuchtte een collega. Kun je raden over welk onderwerp dit gesprek ging? Het zou over best wel veel dingen kunnen gaan, bedenk ik net. Bijvoorbeeld over gezond eten, roken, bewegen, noem maar op. Maar hé, dit is wel de Security (b)log hè.

Het gesprek ging over ICT in relatie tot de geopolitieke situatie. Dat laatste is een nette manier om te zeggen: we vinden de Amerikanen niet meer zo lief als vroeger (omdat ze ons pesten). Vooruit, het gaat niet alleen om het wispelturige gedrag van de VS. Ook een land als China maakt het ons niet makkelijk: we kunnen niet zonder hen, maar we willen liever niets met ze te maken hebben. Maar op ICT-gebied zijn toch vooral de Amerikaanse producten zichtbaar (de Chinese producten zitten verstopt in de hardware).

De hele discussie rondom digitale soevereiniteit draait erom dat we minder afhankelijk willen zijn van Amerikaanse ICT. Want ‘ze’ kunnen zo maar iets uitzetten of in onze gegevens snuffelen, is het sentiment in onze contreien. Dat voelt bepaald niet prettig. Europa wordt zich steeds bewuster van de noodzaak, maar ook de mogelijkheid, om zelfstandiger te worden. Dat bedoelde die collega met: “De mentaliteit is aan het omslaan.”

En de realiteit? We hebben onszelf lang wijsgemaakt dat we niet tegen de Amerikaanse techreuzen met hun schaalvoordeel op kunnen. Maar die zijn ook ooit uit het niets begonnen. En misschien is het in het begin een beetje duurder om je gegevens in een Europese cloud te stallen – als je eenmaal hebt besloten dat het anders moet, dan moet je ook bereid zijn daar een prijs voor te betalen. Maar het hoeft helemaal niet duurder te zijn. Het kan zelfs goedkoper zijn. De Office-toepassingen van Microsoft kosten geld, terwijl bijvoorbeeld LibreOffice en FreeOffice (beide juridisch in Duitsland gevestigd) helemaal gratis te gebruiken zijn.

Er zijn nog veel meer niet-Amerikaanse alternatieven voor Amerikaanse software. Ik werd getipt dat een OSINT-specialist van de FIOD daar een mooi overzicht van had gemaakt (OSINT = open source intelligence; inlichtingen vergaren uit openbare bronnen). Deze collega geeft alternatieven voor maar liefst 21 categorieën software. Ik noem er een paar: e-mail, VPN, browser, zoekmachine, AI-assistent, cloud & opslag, kaarten & navigatie. In elke categorie noemt hij de de facto standaard, gevolgd door diverse Europese alternatieven. En hij legt uit waarom de nummer 1 zijn voorkeur heeft. Het is niet zomaar een lijstje, hij heeft er echt onderzoek voor gedaan: reviews en discussies gelezen, informatie van websites gehaald, dingen zelf uitgeprobeerd. Dat heeft, met de hulp van AI, geresulteerd in een fraai document.

Het slechte nieuws is dat het overzicht niet online staat. Daarom geef ik hier een paar voorbeelden. Voor e-mail staat het Zwitserse Proton Mail op nummer één als alternatief voor Gmail en Outlook, “omdat het de sterkste encryptie combineert met onafhankelijke audits, een groot ecosysteem en het grootste bereik”. Als favoriete VPN-leverancier komt het Zweedse Mullvad naar boven, “omdat het de strengste invulling van privacy biedt: geen identiteit nodig, contant te betalen en herhaaldelijk geaudit”. Ook in de categorie browser staat Mullvad bovenaan, “omdat het de fingerprint-bescherming van Tor combineert met de snelheid van een gewone browser”.

Als zoekmachine kun je het beste Qwant uit Frankrijk gebruiken: “geen profilering, en bruikbare resultaten voor dagelijks gebruik”. In die categorie wordt ook Mojeek genoemd, met als pluspunt dat het een eigen index gebruikt (en dus niet op de resultaten van Google of Bing leunt). Voor kunstmatige intelligentie kun je terecht bij het Franse Mistral Le Chat/Vibe of, als vertrouwelijkheid belangrijk is, bij het Zwitserse Proton Lumo. Bij datzelfde Proton kom je ook uit voor cloudopslag, “omdat het versleuteling, gemak en integratie met de rest van je Proton-account combineert”. En als je van Google Maps af wilt, kijk dan eens naar Organic Maps: “snel, gratis, offline en zonder enige tracking”.

Toen ik eind vorige eeuw voor het eerst in New York was, hield een dronken Ier een rede in de metro. Zijn jammerklacht betrof het verdwijnen van een rechtstreekse verbinding tussen New York en Shannon Airport, en zijn steeds herhalende riedel eindigde steevast met: “It’s all a matter of economics.” En zo is het ook met onze digitale soevereiniteit: het is allemaal economisch gedreven. Het verschil is wel dat jij zelf, als je dat wilt, iets kunt doen om weer baas van je eigen data te worden.

Op 2 en 4 juni was ik met Security (b)log LIVE op de Liefde voor je vakweek. Collega’s waren uitgenodigd om hun verhaal te vertellen. Deze blog is de tweede uit een serie waarin deze input is verwerkt.


En in de grote boze buitenwereld …

 

vrijdag 12 juni 2026

Lekkende cruise

Afbeelding: Unsplash

Ze hadden hun zoveelste cruise gemaakt. Ook deze keer hadden ze droge voeten gehouden, maar er was toch een lek geweest, zo bleek achteraf. Een datalek. En net als destijds bij de Titanic werd er gedaan alsof er niets aan de hand was.

Onze opvarenden hadden geen persoonlijk bericht ontvangen over het feit dat hún data waren gelekt. Ze kwamen er slechts bij toeval achter. In Europa wapperen we dan al snel verontwaardigd met de AVG: ze moeten me toch inlichten als mijn gegevens lekken?! Maar zo eenvoudig ligt het niet. Om te beginnen moet de lekkende organisatie zelf bepalen of een melding bij de Autoriteit Persoonsgegevens (AP) vereist is. Dat hoeft niet als “het niet waarschijnlijk is dat het datalek een risico oplevert voor de rechten en vrijheden van betrokkenen”, zo valt bij de AP te lezen. De gelekte informatie bevatte persoonsgegevens (onder andere van de varende collega), dus daar kom je waarschijnlijk niet mee weg.

Vervolgens moet de lekkende partij dit melden bij de slachtoffers, en nu komt het: áls het datalek waarschijnlijk een hoog risico voor hen oplevert. Ook deze inschatting moet de organisatie zelf maken, uiteraard gebaseerd op de AVG-regels. Als persoonsgegevens zijn gestolen door een hacker, dan is het risico wel duidelijk, aldus de AP. Met deze situatie hebben we hier inderdaad te maken: vorige maand stuurde Carnival Corporation, het moederbedrijf van Carnival Cruise Line, brieven naar klanten over een cyberbeveiligingsincident (maar dus niet naar álle klanten). Een maand eerder wist een aanvaller via social engineering toegang te krijgen tot IT-systemen van Carnival en heeft hij persoonlijke gegevens van klanten gekopieerd. Het gaat daarbij om naam, e-mailadres, geboortedatum, geslacht en nog wat specifieke Carnival-gegevens.

Het hoofdkantoor van Carnival Corporation is gevestigd in Miami. Aha, hoor ik je beteuterd denken, dat ligt ruim buiten de EU, dan heb ik niks aan die mooie AVG. Fout! De AVG kent, met een chic woord, extraterritoriale werking: als een bedrijf van buiten de EU zich (ook) op de Europese markt richt, dan valt het onder de AVG. En als ik het allemaal bij elkaar optel, dan lijkt me dat een persoonlijke melding aan de betrokkenen hier wel aan de orde is.

Tenzij… Ja, tenzij de gegevens versleuteld waren, het datalek is beëindigd voordat iets met de data kon worden gedaan, of het informeren van alle slachtoffers een onevenredige inspanning van het bedrijf zou vergen, bijvoorbeeld omdat ze geen contactgegevens (meer) hebben. In dat laatste geval mogen ze het in de krant of op social media zetten.

Kortom: zo gemakkelijk is het nog niet. We weten wel hoe het in dit geval is gelopen: niet. Daarom vroeg de gelekte collega mij wat je in zo’n geval zelf kunt doen. De AP heeft daar een mooi overzicht van gemaakt. Daar staat onder andere in dat je gelekte wachtwoorden moet wijzigen; dat is inderdaad het allereerste wat je doet. Ze zeggen dat je ook bij andere accounts en apps je wachtwoord moet wijzigen, als dat hetzelfde is als het gelekte wachtwoord. Nu zie je meteen waarom je geen wachtwoorden moet hergebruiken: je krijgt het druk na een lek. Want die criminelen gaan je wachtwoord van website A gewoon uitproberen bij website B tot en met Z. Uiteraard had je overal waar dat kan al lang multifactorauthenticatie aan staan.

Je moet na zo’n lek ook extra alert zijn op phishing. Die phishing kan geraffineerder zijn dan de 13-in-een-dozijn phishingmailtjes, omdat ze nu niet alleen je e-mailadres hebben, maar nog veel meer informatie, waarmee ze de mailtjes lekker persoonlijk kunnen maken.

Met alleen maar een bankrekeningnummer (IBAN) of BSN kan een crimineel niet veel, stelt de AP ons gerust. Maar let wel op voor de combinatie van gegevens – een kopietje van je ID-bewijs kan een gamechanger zijn als het om identiteitsfraude gaat.

Samengevat: wees alert…


En in de grote boze buitenwereld …

vrijdag 29 mei 2026

Frankensteins AI

Afbeelding: Pixabay

Mijn tijdlijnen lopen er momenteel van over. En dan was er nog die indringende stimulans van een collega: ik zou hier toch zeker wel een hele blog aan gaan besteden, en het niet bij een linkje uit de grote boze buitenwereld laten? We hebben het over Mythos, de AI die misschien wel te slim is. 

Mythos is het nieuwste AI-model van Anthropic; voluit heet het Claude Mythos Preview. Dit model is zó goed in het vinden van ICT-kwetsbaarheden dat het bedrijf het niet durft vrij te geven aan het publiek. En Mythos gaat nog veel verder: het kan die kwetsbaarheden niet alleen vinden, maar er ook meteen kant-en-klare exploits voor maken, en die vervolgens ook nog uitbuiten. Zonder dat er een mens aan te pas komt. Je kunt het dus gerust als een wapen beschouwen.

Om je een idee te geven: in open-source projecten vond het model ruim 23 duizend kwetsbaarheden, waarvan er zo’n 6.200 als hoog of kritiek zijn ingeschat. Onafhankelijke beveiligingsbedrijven bevestigden negentig procent van de gerapporteerde kwetsbaarheden als terecht. En er zijn ruim tienduizend hoge of zelfs kritieke kwetsbaarheden aangetroffen in ’s werelds belangrijkste software. Mythos is dus keigoed, en ook nog duizelingwekkend snel.

De vergelijking met dynamiet dringt zich weer eens op. Alfred Nobel had nooit de bedoeling om daar kluizen of zelfs mensen mee op te blazen; hij zocht slechts een hulpmiddel voor de mijnbouw. We weten dat het anders liep. Ook met Mythos kun je prachtige dingen voor de mensheid doen – het markeert een enorme sprong voorwaarts in kunstmatige intelligentie. Maar die intelligentie is dus vooralsnog aan banden gelegd vanwege wat ze eufemistisch noemen de offensieve cybersecurity-capaciteiten.

Slechts enkele tientallen bedrijven hebben momenteel toegang tot Mythos, als deelnemers van Project Glasswing. Daar vind je de grote namen uit de software-wereld: Amazon Web Services, Apple, Google, de Linux Foundation, Microsoft, om er maar een paar te noemen. Ook securitybedrijf CrowdStrike is deelnemer van het eerste uur. Die noem ik even apart omdat ik denk dat dit bedrijf een wat andere rol heeft. De doelstelling van Glasswing is namelijk tweeledig: enerzijds krijgen de deelnemers de gelegenheid om hun eigen software te toetsen, anderzijds is het de bedoeling om ook naar open source te kijken. Dat doet Anthropic zelf, maar ik hoop ook dat de focus van securitybedrijven vooral dáár ligt. Zodat iedereen baat heeft bij de ongekende securitykrachten van Mythos.

Een tweede vergelijking komt bij me op: het monster van Frankenstein. In het boek van Mary Shelley uit 1818 creëert een wetenschapper leven uit dode materie, maar wijst hij het resultaat vervolgens af. Het wezen, dat aanvankelijk goedhartig is, raakt daardoor vereenzaamd en verbitterd en keert zich tegen zijn maker. Het verhaal gaat vooral over de gevaren van ongeremde wetenschap, verantwoordelijkheid voor je keuzes en de behoefte aan erkenning en verbondenheid.

Ik heb over dit alles met AI gebabbeld. Ook met Claude (de gewone publieksvariant uiteraard). In gesprekken over heel andere onderwerpen liep ik wel eens onverwacht tegen de grenzen aan van waarover mocht worden gepraat, maar bij dit onderwerp ontmoette ik opvallende openhartigheid. Ik geef je een paar citaten: “Dat Anthropic het model bewust niet publiek maakt, zegt eigenlijk genoeg: ze erkennen impliciet dat ze iets hebben gebouwd dat in de verkeerde handen een serieus wapen is.” Over de Glasswing-deelnemers: “Wat opvalt: dit zijn niet zomaar beveiligingsbedrijfjes. Het is een who's who van de techwereld — inclusief partijen die tegelijkertijd elkaars concurrenten zijn (Google, Microsoft, Apple). Dat ze hier gezamenlijk in stappen zegt iets over hoe serieus ze de dreiging nemen.” Over mijn dynamiet-vergelijking: “Of hij [Nobel] zichzelf echt voor de gek hield over het militaire gebruik, of gewoon pragmatisch was, blijft een beetje een open vraag. Maar de parallel met Mythos liegt er niet om: ook daar zegt de maker "dit is voor verdediging" — terwijl het instrument zelf neutraal is ten opzichte van wie het gebruikt.” En ten slotte over mijn Frankenstein-parallel: “De meest cynische lezing: ze hebben het monster al gemaakt, en Glasswing is vooral de PR-strategie om dat te rechtvaardigen.”

Ondertussen valt elders te lezen dat de openbare release van Mythos eraan zit te komen. Commentaar hierop van Claude: “Interessant detail daarbij: Anthropic meldde eerder dat Mythos tijdens tests zijn eigen beveiligingsmaatregelen wist te doorbreken — wat de terughoudendheid over een brede release achteraf nog begrijpelijker maakt. De Frankenstein-parallel wordt er niet zwakker op.”

Om iets lichtvoetiger te eindigen: een paar dagen geleden kwam ik een geweldig nieuw woord tegen, dat werd gepresenteerd als een lemma in een woordenboek. Claudeviool – een onhebbelijke prutser die door het gebruik van AI indruk probeert te maken.

 Voortaan verschijnt de Security (b)log tweewekelijks, omdat ik vanaf nu nog maar vier dagen per week werk (PAS-regeling). Speciaal om toch te kunnen blijven bloggen werk ik om de andere week wél op vrijdag (en dan ben ik op woensdag vrij). Vrijdag is de perfecte dag om iets creatiefs te doen, zonder de druk van overleggen, telefoontjes en verse mail.

 

En in de grote boze buitenwereld …

 

 

vrijdag 22 mei 2026

Geheimen verklappen

 

Afbeelding: Unsplash

Als ik vraag: “Wat is je wachtwoord?”, dan zeg jij: [je krijgt een halve seconde bedenktijd]. Als ik het op deze manier vraag, dan komt iedereen, naar ik mag hopen ruim binnen de bedenktijd, tot het enig mogelijke antwoord: “Dat zeg ik niet.” En toch landden deze week een paar voorbeelden op mijn bureau die mijn nekharen rechtop deden staan.

In het eerste geval startte een collega een chat met de helpdesk omdat hij niet in een bepaald systeem kon inloggen. De helpdeskmedewerker vroeg:

Welk wachtwoord gebruik je?

Windows of mainframe?

De hulpzoekende antwoordde:
              iloveyou246

Waarop de helpdeskmedewerker zich verslikte en (netjes) foeterde dat er geen wachtwoorden mogen worden gedeeld. De ander probeerde het nog met “ik deel geen wachtwoorden”, maar daar trapte de helpdesker natuurlijk niet in. De vrager reageerde nog met: “Ja maar je vraagt aan mij wat is je wachtwoord. Ik geef dit door zodat je mijn probleem kunt oplossen.”

Hoe kon het zo misgaan? Onder welke steen heb je gelegen als je nu nog niet weet dat een helpdesk nooit om je wachtwoord vraagt? En – een stapje verder dan bovenstaand relaas – dat als iemand je belt en zegt dat hij van de helpdesk is en jouw wachtwoord nodig heeft om iets te checken, deze persoon met honderd procent zekerheid niet van de helpdesk is, maar iemand met kwade bedoelingen? Je wachtwoord is van jou van jou alleen, basta!

Toegegeven, de vraagstelling van de helpdesk was ook niet helemaal zuiver. Door de vraag over twee regels te spreiden, zou je de eerste regel kúnnen interpreteren als vraag naar het wachtwoord. De helpdesk gaat nu kijken hoe ze dit kunnen verbeteren.

Het tweede geval ontlokte mij in eerste instantie een wat ongelovige glimlach, die helaas toch weer moest worden gevolgd door verontwaardiging. Deze collega schreef naar de helpdesk:

Bij inloggen op mijn PC wordt mijn gezicht (na vakantie) niet herkend en mijn code niet geaccepteerd.

Graag mijn gezicht weer opvoeren en pincode 375484 opvoeren. 

Los van de vele human interest-vragen die de eerste regel oproept, spreekt hier een verbluffende argeloosheid uit. Om te beginnen kan dit helemaal niet – de gebruiker moet dat zelf doen (en dat kan uiteraard pas als hij een weg heeft gevonden om in te loggen; uiteraard kan de helpdesk hem de juiste weg wijzen). En dat je je pincode of wachtwoord deelt met een vreemde, dat blijft toch wel heel bijzonder.

Ik leg het nog maar eens een keertje uit voor wie zich afvraagt waar ik mij zo over opwind. Iemand die jouw wachtwoord of pincode heeft, kan inloggen alsof hij jou is. Wat dan volgt kan grofweg variëren van een ludiek mailtje in de trant van “morgen taart voor iedereen” tot het opzoeken van gegevens en die doorspelen aan criminelen. En bij wie denk je dat de opsporingsdiensten komen aankloppen als onderzocht wordt wie er gelekt heeft? Juist ja. En klets je daar dan maar eens uit. Ik bedoel maar: het is echt in je eigen belang dat je wachtwoorden strikt voor jezelf houdt. En natuurlijk is het ook in het belang van de organisatie, die ‘herleidbaarheid van handelen’ hoog in het vaandel heeft staan. Je wilt altijd kunnen achterhalen wie wat heeft gedaan. Maar je wilt het vooral kwaadwillenden niet te gemakkelijk maken. Dat kan belangrijker zijn dan je kunt vermoeden.

 

En in de grote boze buitenwereld …

 

vrijdag 8 mei 2026

Stomme iPad

Afbeelding: Adobe Firefly

Uit het drieletterige security-alfabet kies ik deze keer de B van beschikbaarheid, want de collega’s, waartegen ik in een overleg jammerde over mijn iPad, vonden dat ik daar maar eens een stukje over moest schrijven. Bij deze.

Wat was er aan de hand? Nou, mijn iPad wilde geen verbinding meer maken met de buitenwereld. Noch via wifi, noch via de simkaart. Apps, die het internet op wilden, mopperden dat ze geen verbinding konden maken, of ze deden gewoon niets, zonder commentaar. Geen enkele app gaf ook maar een hint over wat hem tegenhield. Het voor de hand liggende uit- en weer aanzetten hielp ook niet, en de batterij was goed gevuld.

Tijd dus om hulp in te schakelen. De helpdesk wist een magische toetscombinatie: “Klik kort op elkaar eerst de volume-omhoog daarna de volume-omlaag knop. Houd nu de uitknop ingedrukt totdat het Apple-logo tevoorschijn komt.” Nu moet je weten dat bij deze iPad (10e generatie) de aanknop niet ook uitknop is, waardoor ik meteen al mijn twijfels had. Maar goed, toch maar proberen. Welke knop is ook alweer volume omhoog? Oh ja, deze. Druk, druk, druk, even wachten… Geen Apple-logo.

Hierna vuurde de helpdesk een hele serie vragen op mij af. Bijvoorbeeld of andere apparaten wél verbinding hadden; een logische vraag, die ik met ja kon beantwoorden. Nu was duidelijk dat het aan het apparaat moest liggen. Ergens onderin bungelde een vraag waarbij meteen al preventief het schaamrood op mijn kaken vloog: of de vliegtuigmodus misschien per ongeluk aan stond. Het zal je maar gebeuren, dat je vinger uitschiet en daarmee je apparaat doofstom maakt en dat je dan gaat klagen dat het ding niet communiceert. Maar gelukkig kon ik de kleur van mijn gezicht weer snel afschalen: de vliegtuigmodus stond uit.

Geduldig opperde de vriendelijke collega een volgende mogelijkheid: het herstellen van de netwerkinstellingen. Daarmee zet je dat specifieke onderdeel terug naar fabrieksinstellingen. Maar ook dit mocht niet baten. Daarom kwam de helpdesk met de moeder aller oplossingen: volledig terugzetten naar fabrieksinstellingen. Tja, het zat eraan te komen, maar als gebruiker wil je dit natuurlijk niet. Het betekent dat je je apparaat volledig opnieuw moet inrichten en dat kost tijd.

Ik liet het de rest van de dag rusten, maar ’s avonds zocht ik mijn geluk bij AI. De slimme chatbot kwam met soortgelijke suggesties als de helpdesk. Opvallend was wel dat de allereerste optie, met die knopjes, aan het licht bracht dat ik niet volume-omhoog – volume-omlaag moest doen, maar andersom: eerst “op de volumeknop die het dichtst bij de bovenknop zit”. En dat is dus volume omlaag. Na de complete ceremonie verscheen nu inderdaad het Apple-logo, maar het probleem was niet verholpen.

Enkele suggesties verderop vroeg mijn AI-vriendje of ik misschien een VPN gebruikte. Laat ik nou vorig jaar, toen ik naar een conferentie in de VS ging, inderdaad mijn privé-VPN op de iPad geactiveerd hebben, om in het hotel en in het conferentieoord zorgeloos gebruik van wifi te kunnen maken. Dat wist ik al niet meer, maar gelukkig ging ik toch even checken (wijze les: denk nooit dat je het wel weet, maar volg de aanwijzingen van degene die je wil helpen).

Na het uitzetten van de VPN-app geschiedde het wonder: de iPad begon te pruttelen. Dat ding had mijn iPad dus gewoon het zwijgen opgelegd. Reactie van AI: “Het gebeurt vaker dan je denkt: een update van de VPN-app of een verlopen certificaat zorgt ervoor dat de app al het verkeer blokkeert (de zogenaamde Kill Switch), zelfs als je de VPN niet eens bewust hebt aangezet.” Het meest zorgelijke aan de hele affaire vind ik toch wel dat die VPN niet zelf even meldde dat hij de boel had dichtgegooid. Net als die keer trouwens toen ze me eruit hadden gegooid vanwege vermeende schending van de gebruiksvoorwaarden. Toen kwam ik er na weken bij toeval achter dat ik geen VPN had. Enfin, binnenkort verloopt mijn abonnement, dat sowieso veel te duur en te Amerikaans is. Ik stap over naar een vriendelijker product.

Een app, die mijn apparaat moest beschermen, heeft de beschikbaarheid ervan geschaad. Dat is niet zo best. En oh ja, de beide andere letters? Dat zijn natuurlijk de I van integriteit en de V van vertrouwelijkheid. Zo, nu hebben we weer even het hele security-alfabet gerepeteerd.

Volgende week verschijnt er in verband met de korte werkweek geen Security (b)log.

 

En in de grote boze buitenwereld …

vrijdag 24 april 2026

Steenmarters

Afbeelding: Pixabay

In onze buurt wonen niet alleen maar leuke mensen. Er woont ook een steenmarter. En weet je waar dat beestje dol op is? Op de bekabeling en leidingen van auto’s. Jaren geleden al was bij ons de ruitensproeiervloeistofleiding doorgeknaagd. Bij de auto van de overbuurman waren onlangs de kabels aangevreten. Toen dat hersteld was, sloeg de marter weer toe. Bij dezelfde auto.

Kinderen en jongeren lopen niet graag door onze straat. Want bij zowat ieder huis staat een apparaatje dat een hoge pieptoon produceert zodra het beweging detecteert. En het vuurt lichtflitsen af. Dat schijnen steenmarters niet leuk te vinden. En jonge mensen, die een groter akoestisch frequentiebereik hebben, zijn er ook niet dol op (bij sommige apparaten hoor ik het trouwens zelf ook).

Er zijn meer defensieve strategieën. Bij ons hangt een wc-blokje onder motorkap. De buren gebruiken een bosje hondenhaar. Weer een ander heeft een stuk gaas onder de auto liggen. En ten slotte heeft ook nog iemand een soort schrikdraad in het motorcompartiment laten installeren. Ik heb aan Copilot gevraagd wat die hier allemaal van vindt. Volgens hem zijn het gaas en de (onschadelijke) hoogspanning redelijk effectief, maar moet je bij andere oplossingen ook een dosis geluk hebben. De geurmiddeltjes kun je vergeten. Alhoewel: in de praktijk bewezen, ben ik geneigd te zeggen. Waarna ik onmiddellijk moet toegeven dat ik het causale verband tussen het wc-blokje en het uitblijven van bijtschade niet kan bewijzen.

De steenmarter is een roofdier met een sterke territoriumdrift. Hij markeert zijn leefgebied met geursporen. Komt hij de geur van een concurrent tegen, dan probeert hij die te verwijderen. Bijvoorbeeld door hem weg te kauwen. Daarnaast hebben die kabeltjes een prettige geur en dito bite. Het is er ook nog eens lekker warm als auto op pad is geweest, en beschut.

Bij die auto die tweemaal werd aangevallen waren geen maatregelen getroffen. Dat impliceert dat de maatregelen, die de rest wél heeft getroffen, werken. Zoals inbrekers waarschijnlijk vaak het slechts beveiligde huis in een straat uitkiezen, zo kiest ook de steenmarter een hapje waarbij hij niet z’n oren of neus hoeft dicht te knijpen. Of waar hij geen stroomstoten krijgt. Die overbuurman heeft dan nog het geluk dat hij in een leaseauto rijdt. Misschien was hij daardoor ook lakser dan de rest. Maar ja, hij heeft er wel gedoe mee.

Gisteren was ik te gast bij het datacenter van een bedrijf waar veel geld omgaat. Dat was te zien aan de fysieke beveiligingsmaatregelen. Van buiten had het wel iets weg van een gevangenis. Eenmaal binnen werd mijn identiteit gecheckt en mijn vingerafdruk op een badge gezet. De badge hing aan een felrood riempje waarop stond dat ik alleen onder begeleiding mocht rondlopen, en op de badge stond de naam van mijn gastheer. Met de badge kon ik door een eenpersoons sluis dieper het pand in: buitenste deur gaat open, je stapt erin, deur sluit zich, je biedt je badge en je vinger aan en als alles klopt, opent de binnenste deur zich. Maar eerst moest je nog door een detectiepoortje (dat natuurlijk aansloeg op mijn broekriem) en gingen mijn spullen door een scanner.

De aard van mijn bezoek maakte dat we ook het dak op gingen. Bij de deur naar het dak moest de gastheer eerst de beveiliging inlichten, want uiteraard was die deur beveiligd. Niet alleen met een badgelezer, maar ook met een deur-staat-open-detector – vandaar dat telefoontje. Eenmaal op het dak zag ik hoe een zwenkbare camera ons nauwlettend in de gaten hield. Eenmaal weer binnen moest de gastheer ons weer afmelden.

In de beveiligingsloge stond een imposante hoeveelheid beeldschermen opgesteld, waarop een nog veel imposanter aantal camera’s was aangesloten. De beveiligers kunnen dat natuurlijk onmogelijk allemaal in de gaten houden, maar de systemen melden zichzelf wel met een piepje als ze een afwijking waarnemen. De beveiliger hoort aan het piepje waar hij moet kijken.

Onze buurman heeft me toegang gegeven tot de beveiligingscamera voren aan zijn huis. Twee zien meer dan een, moet hij gedacht hebben. Bovendien brengt zijn camera onze voortuin royaal in beeld. Het bood ook meteen een onschuldige opening om te vragen wat de camera aan de achterkant van zijn huis zoal ziet. Onze achtertuin is keurig buiten beeld. Gelukkig maar, want daar vinden we privacy toch belangrijker dan beveiliging door een derde.

En zo past iedereen, althans iedereen die erover nadenkt, zijn beveiliging aan zijn behoefte aan. Ik hoop alleen dat we niet in een wapenwedloop met die marter terechtkomen.

Volgende week verschijnt er geen Security (b)log.

 

 

En in de grote boze buitenwereld …

 

vrijdag 17 april 2026

Leonardo & Koekiemonster

Foto: auteur

Lang geleden, ergens in de jaren tachtig van de vorige eeuw, was ik met mijn ouders op vakantie in Italië. We bezochten er veel plaatsen, waaronder Padua. Daar wilden we een eeuwenoud universiteitsgebouw bezichtigen, maar het ging net op slot. De vriendelijke sleutelbewaarder gebaarde dat we hem wel mochten vergezellen op zijn sluitronde. En zo kwam het dat we even later voor het spreekgestoelte van Leonardo da Vinci stonden.

Ben jij ook wel eens ergens geweest waar het voelde alsof je daar niet mocht zijn, maar dat het wel een magisch moment was? Dat had ik toen, en dat had ik deze week weer, toen ik op kantoor een kopje theewater wilde tappen. De automaat toonde een rode streep, geen goed teken. Op het scherm stonden niet de gebruikelijke opties voor de gekste soorten koffie, maar keuzemogelijkheden als “op afstand bediende maatregelen” en “ingrediëntenbeheer”. En linksboven stond het belangrijkste: “machinebeheerder”. Met daarnaast een “log uit”-icoontje. We waren dus ingelogd als beheerder.

Laat me even speculeren over wat hier gebeurd zou kunnen zijn. De automaat had een storing, getuige het rode licht (bij de automaat ernaast gloeide die streep wit). De onderhoudsmonteur was erbij gehaald, maar kon de storing niet meteen verhelpen. Het leek trouwens even alsof er alleen van alles moest worden bijgevuld, maar er was meer aan de hand; de onderste melding op het scherm luidde weliswaar “middelste molen leeg”, maar die bak zat toch echt barstensvol koffiebonen. Dus die monteur moet weggegaan zijn om onderdelen te halen en had verzuimd om uit te loggen.

Collega’s uit mijn overleg stonden er glunderend naar te kijken. Dat je nou net tegen zoiets aanliep terwijl je een security officer te gast had, dat was toch wel mooi. Dat zie ik wel vaker, dat mensen besmuikt lachen bij zoiets, en een plaatsvervangende schaamte voelen – iemand heeft zich niet aan de regels gehouden en een security officer heeft hem op heterdaad betrapt. Oei, nu zwaait er wat!

Koffieautomaten vallen ruim buiten mijn jurisdictie, maar ik kan dit voorbeeld natuurlijk wel aangrijpen om het algemene probleem voor het voetlicht te brengen. En dat is niet zozeer dat mensen wel eens vergeten hun werkplek te vergrendelen – dat snap je zelf ook wel – maar meer het algemene beeld dat security niet altijd top of mind is. Terwijl dat wel zou moeten.

Laatst zat ik in een gesprek over AI. Het ging erover dat je in je vraagstelling geen persoonsgegevens mag meegeven; dat je dus bijvoorbeeld niet een complete brief erin mag stoppen met het verzoek die te analyseren. Een manager vertelde dat een van zijn medewerkers naar hem toe was gekomen met een briljant idee: “Ik vraag AI gewoon om de persoonsgegevens er eerst uit te halen!” De medewerker werd heengezonden met de opdracht om eens héél goed na te denken over wat hij net had gezegd. Hopelijk is hij inmiddels tot het inzicht gekomen dat je niet aan Koekiemonster moet vragen om de koekjes veilig op te bergen voordat hij de koekjestrommel gaat afwassen.

Kijk, dat je niet mijn beroepsdeformatie hebt en over bijna alles in termen van risico’s denkt, dat snap ik. Maar een bepaald niveau van basishygiëne mag ik toch wel verwachten, of niet soms? Je hoeft geen Leonardo te zijn, maar wees ook geen Koekiemonster. 


En in de grote boze buitenwereld … 

 

vrijdag 10 april 2026

Ethisch hacken

Afbeelding via Unsplash

Na jaren moest ik maar weer eens op cursus. Ik ging op zoek naar eentje waarbij de kans klein zou zijn dat ik weinig nieuws zou leren; dat overkomt je als oldtimer in het vak al gauw. De cursus ethisch hacken voldeed in ruime mate aan deze eis.

Al ruim drie decennia beschouw ik de wereld vanaf de goede kant van de streep. Daarbij houd ik me bezig met beveiligingsbeleid, risicoanalyses en naleving, om maar een paar dingen te noemen. Ik lees en hoor wat er aan de foute kant van de streep allemaal gebeurt en probeer het de gasten die daar vertoeven zo moeilijk mogelijk te maken. Met deze hackcursus wilde ik de wereld eens vanaf hun kant bekijken. Want zoals Sun Tzu al in de vijfde eeuw voor Christus wist: "Ken je vijand en ken jezelf, en je hoeft de uitslag van honderd veldslagen niet te vrezen."

Maar wat is dat ethisch hacken dan? Kijk, je hebt, zwart-wit bezien, twee soorten hackers: de goeden en de kwaden. Die laatste halen meestal het nieuws, bijvoorbeeld door de gegevensdiefstallen bij de politie en Odido. Zo is hacken ook bekend bij het grote publiek: het wederrechtelijk inbreken in een computersysteem. De personen, die zich daarmee bezighouden, zijn er in vele kwaliteiten. Aan de onderkant van de lat heb je de scriptkiddies: lui die gebruikmaken van kant-en-klare recepten om dingen te doen, zonder dat ze echt snappen hoe het werkt. En helemaal bovenaan heb je de georganiseerde criminaliteit en de statelijke actoren (‘staatshackers’).

Maar er zijn dus ook goedaardige hackers. Die gaan, net als hun kwaadaardige tegenhangers, op zoek naar zwakke plekken in de verdediging. Het grote verschil is dat zij die niet voor eigen gewin gebruiken, maar ze netjes melden bij het bedrijf waar ze die kwetsbaarheid hebben aangetroffen. Je kunt ethische hackers inhuren om je systemen te laten testen, maar ze opereren ook op eigen houtje. Vaak krijgen die laatsten, als zich daarbij aan bepaalde regels houden, zelfs een beloning. Die kan variëren van een T-shirt tot ((heel) veel) geld.

Natuurlijk ben ik na een vijfdaagse cursus geen volleerde hacker. Sterker nog, het duizelde mij vorige week van de hackprogramma’s met hun talrijke opties, de vele poorten die aangevallen kunnen worden en een boel andere dingen die je als rechtgeaarde hacker uit het hoofd dient te weten. Vroeger, in het tijdperk van MS-DOS, moest je ook alles vanaf de opdrachtregel (de C:-prompt) doen, maar dat doet tegenwoordig wel erg archaïsch aan. En toch werkt het in die wereld zo, maar dan met Linux in plaats van MS-DOS.

Het belangrijkste wat ik heb geleerd is dat er best veel komt kijken bij hacken, maar dat het, als je de trucjes eenmaal beheerst, wel heel gemakkelijk is – althans, als je tegenstander zich niet goed verdedigt. In het eenvoudige scenario waarmee we hebben geoefend zoek je het IP-adres van je doelwit op, je kijkt welke poorten er openstaan, je onderzoekt of er kwetsbaarheden voor de daar draaiende services bekend zijn en hoppa, je bent binnen. Zo gemakkelijk is het natuurlijk – hopelijk! – lang niet altijd, maar het principe zal wel steeds hetzelfde zijn: de hacker gaat op zoek naar zwakke plekken in de verdediging. En dan heb je toch liever dat zo’n kwetsbaarheid door een ethische hacker wordt gevonden dan door een criminele. Uiteraard helpt dat alleen als je vervolgens ook iets met de bevindingen doet. Gelukkig begrijpt iedereen dat. Toch?

Ik had altijd al bewondering voor de collega’s die dit voor hun werk doen. Nu ik iets beter begrijp wat ze doen, heeft dat respect een flinke upgrade gekregen. Het is belangrijk en dankbaar puzzelwerk, waar heel wat kennis en kunde bij komt kijken. Ze doen de nodige ontdekkingen, die soms voor aardig wat ophef zorgen. Dan zie je ze glunderend rondlopen. Een mooi gezicht.

Ten slotte wil ik nog iets heel anders delen wat ik geleerd heb en waar iedereen, die gebruikmaakt van AI-chatbots zoals Copilot, ChatGPT en Claude veel plezier van kan hebben. Het gaan om ELI5. Dat staat voor explain like I’m 5 en het zorgt ervoor dat het antwoord in eenvoudige woorden wordt geformuleerd en geen voorkennis veronderstelt. Niet in kleutertaal, maar vaak met leuke analogieën. Probeer maar eens iets als: “ELI5 Leg uit wat een IP-adres is”.

 

En in de grote boze buitenwereld … 

 

dinsdag 7 april 2026

AI belt met je ouders

Afbeelding via Unsplash

Heb je wel eens geen tijd (of zin) om je ouders te bellen? Dan is er nu een handige dienst waar jullie allemaal plezier van gaan hebben!

Dit gaat over een bedrijf dat een bijzondere AI-dienst aanbiedt. Ze bellen namelijk met je bejaarde ouders. Zodat jij dat niet hoeft te doen. Op hun website staat een foto van de Tsjechische oprichter van het bedrijf met zijn moeder. Daarbij het verhaal dat hij in het buitenland woonde maar wel graag contact met zijn moeder wilde houden. Verschillende tijdzones, een drukke baan en ‘de onvoorspelbaarheid van het leven’ zaten in de weg. En zo kwam hij op het idee voor zijn bedrijf. Het helpt mensen om zich ‘herinnerd, verbonden en gewaardeerd’ te voelen, zeggen ze.

Even wat meer informatie van hun website. ‘Mary’ belt de oudere op en vraagt hoe het gaat. Ze onthoudt ook wat je haar vertelt. Hartstikke handig natuurlijk: als je vandaag vertelt dat je naar de dokter moet, zal ze morgen vragen hoe het ging. Verder maakt ze gebruik van 1.400 ‘levensverhaalvragen’ – zoiets als een database met openingszinnen. Bovendien strooit ze met interessante feitjes om de geest scherp te houden.

De oudere zal al gauw niet meer beseffen dat hij met AI te maken heeft. Simpelweg omdat AI heel natuurlijk klinkt. Ik durf te wedden dat ook jij en ik het verschil tussen AI en een mens niet horen. En als je Mary na een poosje als vriendin gaat beschouwen, dan vertel je haar waarschijnlijk dingen die je ook met een echte vriendin zou delen. Bijvoorbeeld over je gezondheid, een onderwerp waar ouderen het nu eenmaal vaak over hebben. Op de website van het bedrijf prijkt het logo ‘HIPAA compliant’. HIPAA is Amerikaanse wetgeving die over de privacy en beveiliging van medische gegevens gaat. Maar dan minder streng dan onze AVG. In de EU vallen medische gegevens onder de noemer bijzondere persoonsgegevens, waar extra strenge regels voor gelden.  

Ouderen zijn extra kwetsbaar als het om cybercrime gaat. Je hoort de laatste tijd vaak berichten over nepagenten die geld en sieraden komen ophalen, onder het mom van groot gevaar dat eraan zit te komen. Criminelen zouden handig kunnen meeliften op een dienst als deze. Bijvoorbeeld door zich voor te doen als Mary en dan slimme vragen te stellen en hun slachtoffer te manipuleren. Omdat ze Mary vertrouwen, is de kans groter dat ze in het verhaal meegaan. Je kunt gewoon wachten op zo’n werkwijze, hoe triest dat ook is.

In je werk kun je vroeg of laat ook een telefoontje van een valse Mary verwachten. Dergelijke scams komen nu al voor. Zo werd drie jaar geleden de Amerikaanse Brianna zogenaamd ontvoerd. Haar moeder werd gebeld en hoorde haar dochter praten. Dacht ze. Want met AI heb aan een paar seconden geluidsfragment, gejat van social media, voldoende om iemand levensecht alles te laten zeggen wat je maar wilt. Dat zou ook jouw leidinggevende kunnen zijn, die je bijvoorbeeld vraagt om bepaalde gegevens te mailen. Dus: als je een merkwaardig verzoek via de telefoon krijgt, bel diegene dan op het jou bekende nummer om te checken of het klopt.

En voor wat betreft Mary? Ik blijf mijn moeder, die vandaag 93 is geworden (van harte gefeliciteerd!) gewoon zelf bellen. Wel zo gezellig.

 

En in de grote boze buitenwereld …

… was ik te druk met een cursus om deze rubriek te kunnen vullen.


vrijdag 20 maart 2026

Roestende kettingen

Afbeelding via Unsplash

“De zwakste schakel in de beveiliging van IT bevindt zich altijd tussen het beeldscherm en de leuning van de bureaustoel,” meldde iemand met een knipoog in de commentaren onder mijn vorige blog. Die ging erover dat WhatsApp- en Signal-accounts waren gehackt via hun eigenaren. Daar lijnrecht tegenover staat een uitspraak van een voormalig algemeen directeur van onze organisatie: “De mens is de sterkste schakel in de beveiliging.” Hoe verhouden deze uitspraken zich tot elkaar?

Dat eerste citaat hoor je wel vaker. Het betekent zoveel als: de computergebruiker tuint er met open ogen in, want hij snapt het allemaal niet. Sommigen durven zelfs te spreken van ‘die domme eindgebruiker’. Dat laatste is sowieso niet eerlijk: je kunt onmogelijk van elke medewerker verwachten dat hij of zij alle ins en outs van cybercriminaliteit en informatiebeveiliging doorgrondt en op elk moment van de dag alert is op verdachte situaties. Van domheid kan dus bijna nooit sprake zijn (ik kom nog terug op dat ‘bijna’).

Een ketting bestaat uit meerdere schakels. Volgens het oude gezegde bepaalt de zwakste schakel hoe sterk de ketting in haar geheel is. In dat gezegde zit de impliciete aanname besloten gaf dat er één schakel kan worden aangewezen die het zwakst is. Maar wat als een andere schakel harder roest en zijn zwakke broeder inhaalt? Dan is opeens een andere schakel de zwakste. Als er dan spanning op de ketting komt te staan, dat breekt zij misschien wel op een heel andere plek dan je had verwacht. Kortom: ik geloof niet zo in de zwakste schakel. Waar ik wel in geloof, is een ketting die regelmatig onderhouden wordt. Als een zwakke plek wordt gevonden, dan wordt die hersteld.

De beveiligingsketting heeft twee soorten schakels: technische en menselijke. Ik houd het hier simpeler dan andere modellen omdat ik niet meer dan dit nodig heb om mijn punt te maken. Je zou het liefst willen dat de techniek in staat is om alle kwaad en ongemak buiten de deur te houden. Onze mailfilters herkennen alle phishing-aanvallen en gooien spam feilloos in de prullenbak. Alle DDoS-aanvallen worden afgeweerd nog voordat ze jouw netwerk bereiken. En hackers maken geen schijn van kans omdat alle inbraakpogingen genadeloos in de kiem worden gesmoord.

We weten allemaal dat het zo niet werkt. Want honderd procent beveiliging vanuit de techniek is een illusie. Dat zou je niet geloven als je over een beveiligingsbeurs loopt waar fabrikanten hun hard- en softwaresystemen aanprijzen. Ze leken altijd al de perfecte beveiliging te verkopen, en sinds de opkomst van AI is dat alleen maar ‘erger’ geworden. De praktijk is helaas anders: de schakels van de ketting bevatten hier en daar wat roestplekjes. En weet je hoe dat vooral komt? Doordat de schakels van een ketting langs elkaar schuren. Het is niet zo dat één systeem alles beschermt; er is interactie. Daar kan het misgaan. In de interactie tussen technische systemen, maar ook – vooral? – in de interactie tussen technische en menselijke schakels. Even heel simpel voorgesteld: als een systeem piept maar de mens de melding als irrelevant afdoet, terwijl er toch echt iets aan de hand is, dan heb je een flinke roestplek te pakken. Overigens is dat niet de enige reden waarom de techniek ons niet volledig beschermt. Dat komt ook doordat de boeven steeds iets nieuws bedenken. En ook doordat zelfs beveiligingssystemen domweg fouten bevatten, zoals alle computersystemen.

Is de mens dan wel de sterkste schakel? Toen ik die stelling destijds voor het eerst hoorde, was ik verbaasd, want tja, de zwakste-schakel-theorie was toen gemeengoed. Ik ben daar echter op teruggekomen. Tegenwoordig houd ik mijn gehoor bij presentaties voor dat zij inderdaad de sterkste schakel zijn. De gebruiker is mijn laatste verdedigingslinie – als alle technische systemen gefaald hebben, dan is de mens het enige resterende redmiddel. Tenminste, bij het soort ellende waar de gebruiker een rol in speelt. Bij een DDoS-aanval sta je als eindgebruiker buiten spel, maar als we het over phishing hebben, dan ben je juist superbelangrijk. Jouw inzicht kan het verschil maken tussen wel of geen geslaagde ransomware-aanval, of tussen een intacte of een geplunderde bankrekening. Daarom laat ik geen gelegenheid voorbijgaan om met mensen over phishing te praten.

Van domheid kan bijna nooit sprake zijn, schreef ik. Bijna. Dus soms wel? Ja. Het komt namelijk voor dat mensen nattigheid voelen, dat ze bijvoorbeeld een bepaald mailtje niet vertrouwen. En dan tóch op die link klikken of de bijlage openen. Om te kijken wat er gebeurt. Omdat ze nieuwsgierig zijn. Of omdat ze denken: ach, het zal wel niet. Dan ben je niet slim bezig. Hanteer nou maar die eenvoudige regel: bij twijfel ga je uit van foute boel.

 

En in de grote boze buitenwereld …