Leonardo & Koekiemonster

Foto: auteur

Lang geleden, ergens in de jaren tachtig van de vorige eeuw, was ik met mijn ouders op vakantie in Italië. We bezochten er veel plaatsen, waaronder Padua. Daar wilden we een eeuwenoud universiteitsgebouw bezichtigen, maar het ging net op slot. De vriendelijke sleutelbewaarder gebaarde dat we hem wel mochten vergezellen op zijn sluitronde. En zo kwam het dat we even later voor het spreekgestoelte van Leonardo da Vinci stonden.

Ben jij ook wel eens ergens geweest waar het voelde alsof je daar niet mocht zijn, maar dat het wel een magisch moment was? Dat had ik toen, en dat had ik deze week weer, toen ik op kantoor een kopje theewater wilde tappen. De automaat toonde een rode streep, geen goed teken. Op het scherm stonden niet de gebruikelijke opties voor de gekste soorten koffie, maar keuzemogelijkheden als “op afstand bediende maatregelen” en “ingrediëntenbeheer”. En linksboven stond het belangrijkste: “machinebeheerder”. Met daarnaast een “log uit”-icoontje. We waren dus ingelogd als beheerder.

Laat me even speculeren over wat hier gebeurd zou kunnen zijn. De automaat had een storing, getuige het rode licht (bij de automaat ernaast gloeide die streep wit). De onderhoudsmonteur was erbij gehaald, maar kon de storing niet meteen verhelpen. Het leek trouwens even alsof er alleen van alles moest worden bijgevuld, maar er was meer aan de hand; de onderste melding op het scherm luidde weliswaar “middelste molen leeg”, maar die bak zat toch echt barstensvol koffiebonen. Dus die monteur moet weggegaan zijn om onderdelen te halen en had verzuimd om uit te loggen.

Collega’s uit mijn overleg stonden er glunderend naar te kijken. Dat je nou net tegen zoiets aanliep terwijl je een security officer te gast had, dat was toch wel mooi. Dat zie ik wel vaker, dat mensen besmuikt lachen bij zoiets, en een plaatsvervangende schaamte voelen – iemand heeft zich niet aan de regels gehouden en een security officer heeft hem op heterdaad betrapt. Oei, nu zwaait er wat!

Koffieautomaten vallen ruim buiten mijn jurisdictie, maar ik kan dit voorbeeld natuurlijk wel aangrijpen om het algemene probleem voor het voetlicht te brengen. En dat is niet zozeer dat mensen wel eens vergeten hun werkplek te vergrendelen – dat snap je zelf ook wel – maar meer het algemene beeld dat security niet altijd top of mind is. Terwijl dat wel zou moeten.

Laatst zat ik in een gesprek over AI. Het ging erover dat je in je vraagstelling geen persoonsgegevens mag meegeven; dat je dus bijvoorbeeld niet een complete brief erin mag stoppen met het verzoek die te analyseren. Een manager vertelde dat een van zijn medewerkers naar hem toe was gekomen met een briljant idee: “Ik vraag AI gewoon om de persoonsgegevens er eerst uit te halen!” De medewerker werd heengezonden met de opdracht om eens héél goed na te denken over wat hij net had gezegd. Hopelijk is hij inmiddels tot het inzicht gekomen dat je niet aan Koekiemonster moet vragen om de koekjes veilig op te bergen voordat hij de koekjestrommel gaat afwassen.

Kijk, dat je niet mijn beroepsdeformatie hebt en over bijna alles in termen van risico’s denkt, dat snap ik. Maar een bepaald niveau van basishygiëne mag ik toch wel verwachten, of niet soms? Je hoeft geen Leonardo te zijn, maar wees ook geen Koekiemonster. 

En in de grote boze buitenwereld … 

• vormen browser extensions een serieus probleem.
• investeert het kabinet in security bij het MKB.
• waarschuwt het NCSC indringend voor de risico’s die het AI-model Mythos met zich meebrengt.
• heeftde concurrent ook een AI-model dat te gevaarlijk is voor brede verspreiding.
• zijn je gegevens nu ook al via booking.com gelekt.
• zijn de Cyberbeveiligingswet en de Wet weerbaarheid kritieke entiteiten aangenomen door de Tweede Kamer.
• kun je vishing nu ook al aan AI overlaten.
• vreest de chief privacy officer van Logius voor Amerikaanse inmenging in DigiD.
• gaat onze nationale privacywaakhond preventief controleren bij ICT-leveranciers.
• doet weer eens een vals sms-bericht over een pakketje de ronde.

 

Roestende kettingen

Afbeelding via Unsplash

“De zwakste schakel in de beveiliging van IT bevindt zich altijd tussen het beeldscherm en de leuning van de bureaustoel,” meldde iemand met een knipoog in de commentaren onder mijn vorige blog. Die ging erover dat WhatsApp- en Signal-accounts waren gehackt via hun eigenaren. Daar lijnrecht tegenover staat een uitspraak van een voormalig algemeen directeur van onze organisatie: “De mens is de sterkste schakel in de beveiliging.” Hoe verhouden deze uitspraken zich tot elkaar?

Dat eerste citaat hoor je wel vaker. Het betekent zoveel als: de computergebruiker tuint er met open ogen in, want hij snapt het allemaal niet. Sommigen durven zelfs te spreken van ‘die domme eindgebruiker’. Dat laatste is sowieso niet eerlijk: je kunt onmogelijk van elke medewerker verwachten dat hij of zij alle ins en outs van cybercriminaliteit en informatiebeveiliging doorgrondt en op elk moment van de dag alert is op verdachte situaties. Van domheid kan dus bijna nooit sprake zijn (ik kom nog terug op dat ‘bijna’).

Een ketting bestaat uit meerdere schakels. Volgens het oude gezegde bepaalt de zwakste schakel hoe sterk de ketting in haar geheel is. In dat gezegde zit de impliciete aanname besloten gaf dat er één schakel kan worden aangewezen die het zwakst is. Maar wat als een andere schakel harder roest en zijn zwakke broeder inhaalt? Dan is opeens een andere schakel de zwakste. Als er dan spanning op de ketting komt te staan, dat breekt zij misschien wel op een heel andere plek dan je had verwacht. Kortom: ik geloof niet zo in de zwakste schakel. Waar ik wel in geloof, is een ketting die regelmatig onderhouden wordt. Als een zwakke plek wordt gevonden, dan wordt die hersteld.

De beveiligingsketting heeft twee soorten schakels: technische en menselijke. Ik houd het hier simpeler dan andere modellen omdat ik niet meer dan dit nodig heb om mijn punt te maken. Je zou het liefst willen dat de techniek in staat is om alle kwaad en ongemak buiten de deur te houden. Onze mailfilters herkennen alle phishing-aanvallen en gooien spam feilloos in de prullenbak. Alle DDoS-aanvallen worden afgeweerd nog voordat ze jouw netwerk bereiken. En hackers maken geen schijn van kans omdat alle inbraakpogingen genadeloos in de kiem worden gesmoord.

We weten allemaal dat het zo niet werkt. Want honderd procent beveiliging vanuit de techniek is een illusie. Dat zou je niet geloven als je over een beveiligingsbeurs loopt waar fabrikanten hun hard- en softwaresystemen aanprijzen. Ze leken altijd al de perfecte beveiliging te verkopen, en sinds de opkomst van AI is dat alleen maar ‘erger’ geworden. De praktijk is helaas anders: de schakels van de ketting bevatten hier en daar wat roestplekjes. En weet je hoe dat vooral komt? Doordat de schakels van een ketting langs elkaar schuren. Het is niet zo dat één systeem alles beschermt; er is interactie. Daar kan het misgaan. In de interactie tussen technische systemen, maar ook – vooral? – in de interactie tussen technische en menselijke schakels. Even heel simpel voorgesteld: als een systeem piept maar de mens de melding als irrelevant afdoet, terwijl er toch echt iets aan de hand is, dan heb je een flinke roestplek te pakken. Overigens is dat niet de enige reden waarom de techniek ons niet volledig beschermt. Dat komt ook doordat de boeven steeds iets nieuws bedenken. En ook doordat zelfs beveiligingssystemen domweg fouten bevatten, zoals alle computersystemen.

Is de mens dan wel de sterkste schakel? Toen ik die stelling destijds voor het eerst hoorde, was ik verbaasd, want tja, de zwakste-schakel-theorie was toen gemeengoed. Ik ben daar echter op teruggekomen. Tegenwoordig houd ik mijn gehoor bij presentaties voor dat zij inderdaad de sterkste schakel zijn. De gebruiker is mijn laatste verdedigingslinie – als alle technische systemen gefaald hebben, dan is de mens het enige resterende redmiddel. Tenminste, bij het soort ellende waar de gebruiker een rol in speelt. Bij een DDoS-aanval sta je als eindgebruiker buiten spel, maar als we het over phishing hebben, dan ben je juist superbelangrijk. Jouw inzicht kan het verschil maken tussen wel of geen geslaagde ransomware-aanval, of tussen een intacte of een geplunderde bankrekening. Daarom laat ik geen gelegenheid voorbijgaan om met mensen over phishing te praten.

Van domheid kan bijna nooit sprake zijn, schreef ik. Bijna. Dus soms wel? Ja. Het komt namelijk voor dat mensen nattigheid voelen, dat ze bijvoorbeeld een bepaald mailtje niet vertrouwen. En dan tóch op die link klikken of de bijlage openen. Om te kijken wat er gebeurt. Omdat ze nieuwsgierig zijn. Of omdat ze denken: ach, het zal wel niet. Dan ben je niet slim bezig. Hanteer nou maar die eenvoudige regel: bij twijfel ga je uit van foute boel.

 

En in de grote boze buitenwereld …

• Zie je hier waar een geslaagde phishing-aanval (in dit geval per telefoon) toe kan leiden.
• Heeft een beveiligingsbedrijf een netwerk van Noord-Koreaanse infiltranten blootgelegd.
• Gebruiken hackers ook gewoon beheersoftware.
• Kon je in Perm gratis parkeren dankzij een DDoS-aanval.
• Kun je beter niet opscheppen over hardlopen op een boot.
• Beperken aanvallen op iPhones zich niet langer tot high-value targets.
• Word je misschien wel aangevallen door onzichtbare code.
• Appen Belgische ambtenaren voortaan met Beam.

 

Boem

Afbeelding via Unsplash

Er zal heus niemand hebben gedacht: kom, het is de laatste keer dat het mag, laat ik eens extra gevaarlijk doen met vuurwerk. Deze blog is niet de plek voor een discussie voor of tegen vuurwerk, maar vanuit mijn perspectief zijn er wel een aantal interessante observaties te maken. We gaan ook hier knallend het nieuwe jaar in!

Ondanks dat het dus niet expres zal zijn gebeurd, was het deze keer wel erger. Eerst maar even wat cijfers. Er waren 1.239 vuurwerkslachtoffers – maar liefst 7% meer dan tijdens de vorige jaarwisseling. Ruim de helft daarvan was jonger dan twintig jaar. Veel kinderen raakten zwaargewond doordat ze probeerden blindgangers opnieuw af te steken. Ongeveer de helft van alle slachtoffers stak het vuurwerk niet eens zelf af, maar stond erbij en keer ernaar. Bij de spoedeisende hulp was het 29% drukker; daar kwamen 474 mensen terecht. De huisartsenposten hadden het ietsje rustiger; met 765 patiënten was het daar 4% minder druk dan vorig jaar. Een derde van de verwondingen betrof oogletsel. Veertien kinderen raakten een hand of vinger(s) kwijt, vrijwel allen door illegaal vuurwerk, dat verantwoordelijk was voor iets minder dan de helft van alle verwondingen. En dan waren er nog die twee doden.

Al dit leed had natuurlijk gemakkelijk voorkomen kunnen worden. Alles wat je daarvoor nodig hebt is een lage risk appetite of, in minder culinair Nederlands: risicobereidheid. Die term is in mijn vak heel gangbaar, maar op straat niet. Waarom niet? Omdat je in een zakelijke omgeving doorgaans heel rationeel kunt nadenken over de risico’s die je bereid bent te nemen, en vuurwerkafstekers dat niet doen. Die denken niet in mate van risico, ze denken in hun enthousiasme alleen aan het beoogde effect. Zeker een kind denkt niet: oeh, dit is een Cobra met een kort lontje, hoe groot is de kans dat ik een hand kwijtraak als ik ‘m afsteek? Ook volwassenen denken niet in procenten. Zij oordelen in het beste geval dat het te gevaarlijk is en doen het dan niet. En als ze het vuurwerk wel afsteken, dan zijn ze er impliciet van overtuigd dat het goed gaat. Zo wordt het dus gereduceerd tot een binaire kwestie, terwijl aan het wel afsteken in werkelijkheid nog een behoorlijk groot risico kleeft.

En voorlichtingscampagnes dan? Vroeger had je de slogan Je bent een rund als je met vuurwerk stunt. Die was geinig én bevatte een boodschap. Tegenwoordig moet het harder en zien we verminkte handen op tv langskomen. Maar als er zoveel jeugdige slachtoffers zijn, dan verwacht je ook voorlichting die op deze doelgroep is gericht. Was die er? Ja, deels. Basisscholen konden een gratis lespakket bestellen. Die moesten dus zelf in actie komen, en slechts een kwart van alle basisscholen heeft dat gedaan. Verder zou je verwachten dat voorlichters de media opzoeken waar jongeren komen, zeg TikTok en Instagram. Er waren echter geen specifieke acties op deze platformen. Gemeentes en politiekorpsen waren daar weliswaar actief, maar ja, welke tiener volgt nou dergelijke accounts?

Voorlichting, bewustwording, awareness; geef het maar een naam. Ook in mijn vak is dat moeilijk. Je verkondigt namelijk een boodschap die mensen liever niet willen horen. Kijk maar: vuurwerk is mooi en links zijn er om op te klikken. En dan kom jij ze vertellen dat ze daarmee moeten uitkijken. Joh, dat valt toch wel mee, iedereen doet het.

Met cybersecurity gaat het langzaam de goede kant op. Mensen snappen dat ze moeten uitkijken, ze beseffen dat criminelen op de loer liggen om hen digitaal schade te berokkenen. Hmm, zou het verschil met vuurwerkveiligheid daarmee te maken hebben? Dat er een kwaadwillende actor is? Die ontbreekt bij vuurwerk; dat risico kent slechts twee elementen: het vuurwerk en het afsteken. Er is geen andere partij, geen vijand. Ja, dat moet wel haast een rol spelen.

Vanaf de volgende jaarwisseling geldt er een landelijk vuurwerkverbod. Ik heb er een hard hoofd in dat het gaat werken, want de handhaving van het verbod zal moeilijk zijn. Grenscontroles in december houden de ware fanaat, die al veel eerder zijn voorraad inslaat, niet tegen. Uitrukken zodra er een knal of vuurpijl wordt waargenomen zal ook zelden werken, want hoe bepaal je de locatie? Nee, om het aantal slachtoffers terug te brengen, moeten we er toch echt voor zorgen (desnoods via TikTok!) dat mensen, vooral kinderen, gaan snappen dat risicomanagement ook in ons dagelijks leven een belangrijke rol speelt. Vanuit die gedachte wordt het dan: handen af van vuurwerk, of handen af door vuurwerk.

 

En in de grote boze buitenwereld …

• vragen ook onze niet-menselijke collega’s om de aandacht van de security officer.
• leiden in HTML gedefinieerde QR-codes de malware-scanner om de tuin.
• groeit het wantrouwen jegens Chinese AI.
• verliezen we online onze privacy.
• is het veilig houden van AI-chatbots niet gemakkelijk.
• kun je natuurlijk ook een rolstoel hacken.
• bedient het NCSC nu ook het MKB.

 

Positieve boodschap

Foto van auteur

Lang geleden voltrok zich een stille revolutie in het Nederlandse straatbeeld. Er waren verkeersborden verdwenen. Niet gestolen, maar door het bevoegd gezag verwijderd. En vervangen door andere, die precies hetzelfde effect hadden als de oude.

Het nieuwe Reglement verkeersregels en verkeerstekens (RVV) werd 35 jaar geleden ingevoerd. Men wilde toen afrekenen met een aantal verbodsborden en ze vervangen door gebodsborden. En zo verdween bijvoorbeeld het bord ‘verboden rechtsaf te slaan’ en kwam ‘verplicht rechtdoor of linksaf’ ervoor in de plaats. De basis hiervoor werd al in 1968 gelegd door het Verdrag van Wenen inzake verkeerstekens. Het doel daarvan was om wereldwijd (ongeveer) dezelfde verkeersborden te gebruiken. Je snapt zelf wel waarom. Binnen Europa valt het wel mee met de uniformiteit, al vraag ik me af of buitenlanders ons bord voor een versmalde of onderbroken vluchtstrook begrijpen, om maar eens iets te noemen. Terwijl wij in het buitenland dat bord ‘rechtsaf verboden’ best wel snappen.

En toen kwam ik dit tegen in een buitenlandse horecagelegenheid. Op de afvalemmer staat dat je geen papieren handdoekjes en zo door de wc mag spoelen. Ik heb het al vaker gezegd: vertel me niet wat ik niet mag doen, vertel me wat ik wél moet doen. Maar hier is meer aan de hand – de plaats van de tekst is vreemd. Want het bord zit op de plek waar je juist wel met je rommel naar toe moet. Dit bord zou ik eerder verwachten vlakbij de wc-pot. Beter is natuurlijk een andere tekst op het bord: “Gooi hier uw papieren handdoekjes in”.

Nu we toch in de sanitaire hoek zitten: op sommige plaatsen mag je zelfs geen wc-papier doorspoelen. Daar word je geacht om het gebruikte papier in een – vaak open – prullenmand te gooien, omdat anders de afvoer dreigt te verstoppen. Soms heb ook ik moeite met regelgeving.

In mijn vak kunnen we ook best wat consequenter zijn met positieve boodschappen. Dus liever “houd je wachtwoord voor iedereen geheim” dan “je mag je wachtwoord niet aan iemand anders geven”. Of: “Als je dít wilt, dan moet je dat zó doen” in plaats van “dat mag je zo niet doen”. De boodschap is niet alleen positiever, er zit ook meteen een oplossingsrichting in. Daar hebben de mensen iets aan. Ik zal er de komende tijd eens extra goed op letten. Overigens geldt niet alleen in mijn vak dat je je doelen gemakkelijker bereikt met een positieve boodschap. Ook andere disciplines kunnen van dit principe profiteren.

Je kunt deze gedachte helaas niet overal doorvoeren. Het bord ‘verboden te parkeren’ kun je nu eenmaal moeilijk weghalen en in plaats daarvan overal borden plaatsen waar je wél mag parkeren. En soms vind je zelfs ergens bijzondere borden. Als je over de A73 rijdt en bij Swalmen uit de tunnel komt, dan is er een vluchthaven. Daar staat een rond wit bord met rode rand met een zwarte P in het midden, met daar een schuine rode streep doorheen. De bedoeling is duidelijk, maar waarom staat daar in hemelsnaam een niet-bestaand bord? Heeft Rijkswaterstaat op die plek zulke slechte ervaringen met het gewone verboden-te-parkeren-bord dat ze een fantasiebord hebben laten maken?

Communicatie is niet gemakkelijk. Laten we er met z’n allen scherp op zijn om onduidelijke, vragen oproepende boodschappen te verbeteren. Informatiebeveiliging is al moeilijk genoeg. (En dat geldt ook voor het verkeer.)

 

En in de grote boze buitenwereld …

• had je zelf niet kunnen bedenken dat zoiets bestaat.
• verzet Apple zich tegen de Indiase verplichting om nieuwe telefoons uit te leveren met een voorgeïnstalleerde security-app.
• heeft India de verplichting maar ingetrokken (“ vanwege de brede acceptatie van de app”).
• kan je werkgever straks je zakelijke sms’jes lezen.
• hoef je je als particulier amper druk te maken over de veiligheid van publieke wifi, QR-codes en publieke laadsnoeren, zeggen tachtig experts.
• kun je gratis checken of je in een botnet zit.
• blijft DigiD echt wel Nederlands, zeggen ze.
• is het Cybersecuritybeeld Nederland 2025 gepubliceerd.
• gaat Android je beter beschermen tegen telefonische scams.

 

Micro-awareness

Afbeelding via Unsplash

Wat krijgt eerder je aandacht? Een krantenartikel op pagina zeven, of een soortgelijke boodschap in een persoonlijk mailtje, die bovendien ingaat op jouw specifieke situatie? De vraag stellen is ‘m beantwoorden, denk ik.

Als informatiebeveiliger heb je een moeilijke boodschap over te brengen. Er gelden allerlei regels die er samen voor moeten zorgen dat de beschikbaarheid, integriteit en vertrouwelijkheid van de ons toevertrouwde gegevens gewaarborgd blijven. Misschien jagen alleen al deze termen je de stuipen op het lijf. Laat staan dat je ook nog maatregelen moet treffen om aan die regels te voldoen, bijvoorbeeld in een project. En dat die maatregelen je dan in de weg zitten, omdat je iets niet kunt doen op de manier die je in gedachten had. Ook al begrijp je dat het nodig is, prettig is anders. En het is een pagina-zeven-verhaal: je moet maar hopen dat je de doelgroep bereikt.

Een persoonlijk mailtje komt wél gegarandeerd aan. Want ik heb het nu even over het soort mailtjes dat we naar een teammanager sturen, met de boodschap dat een medewerker iets heeft gedaan wat strijdig is met het beveiligingsbeleid. Met andere woorden: iemand heeft de regels overtreden en moet daarop worden aangesproken. Dat doen we via de teammanager omdat die de medewerker kent. Hij of zij kan – als het goed is – als geen ander beoordelen wat de reactie van de medewerker waard is. En of onze melding wellicht een puzzelstukje in een groter geheel is; dat zou kunnen duiden op ondermijning.

De reacties van de medewerkers lopen uiteen van oprecht geschrokken (“Oei, wat stom van mij!”) via zakelijk (“Dat zit als volgt in elkaar”) tot – een hoogst enkele keer – defensief-agressief (“Dit mag ik gewoon doen hoor!”). In verreweg de meeste gevallen leidt de reactie tot het sluiten van de melding. Er is een plausibele verklaring voor het geconstateerde gedrag en verdere actie is niet nodig. Soms stel ik nog een vraag ter verduidelijking. Je wilt immers niet dat iemand ermee wegkomt door een rookgordijn op te trekken.

Deze werkwijze blijkt een zeer effectieve wijze te zijn om de security awareness te bevorderen. Ik noem het micro-awareness: gericht op één persoon of team, en op één specifiek geconstateerd feit. Het komt zo goed als nooit voor dat een collega, die zo’n bericht heeft gehad, later nog een keer in beeld komt. Die persoonlijke aandacht blijkt echt te helpen.

Micro-awareness leidt ook tot het besef dat de melding, die je bij het inloggen te zien krijgt, geen loze kreet is. Je weet wel, die waarschuwing die zegt dat de toegang alleen voor geautoriseerd personeel is en dat je alleen de dingen mag doen die je mag doen. Er wordt écht gemonitord. Dat gebeurt geautomatiseerd. Pas als er iets oppopt dat nadere aandacht verdient, gaat iemand kijken wat er precies aan de hand is. We zijn nu eenmaal een organisatie waar grote belangen spelen, en die belangen moeten beschermd worden.

Helaas hebben we rekening te houden met de dreiging van binnenuit: insider threat. Ik weet het, alle collega’s zijn ontzettend betrouwbaar; de meesten van ons zouden er niet één kunnen aanwijzen die dat niet is. En toch: in zo’n grote organisatie heb je, puur statistisch, recht op een bepaald percentage zwarte schapen. Bovendien kan iemand door omstandigheden toch opeens veranderen van een keurige collega in een dreiging. Ik heb daar eerder dit jaar mee te maken gehad (er waren spullen verdwenen) en ik kan je vertellen dat zoiets voor niemand leuk is. Overigens lijk ik de eerste te zijn die deze gebeurtenis linkt aan insider threat. Wellicht was de gebeurtenis vermijdbaar geweest als de organisatie zich meer bewust was geweest van dit bij veel organisaties onderbelichte fenomeen (en dat is geen verwijt aan wie dan ook; we moeten hier gewoon aan werken).

Als je micro-awareness zegt, dan is er logischerwijze ook macro-awareness. Dat zijn die berichten op pagina zeven. Niet per se in de krant, maar misschien op het intranet of in presentaties. Niet iedereen leest de berichten, niet iedereen gaat naar de presentaties. De mensen die dat wel doen, zijn geïnteresseerd in wat je te vertellen hebt. Maar je zou toch ook heel graag de mensen willen bereiken die niet komen opdagen.

De Security (b)log is ook een vorm van macro-awareness. Trouwe lezers weten dat die meestal begint met een alledaagse situatie en dan ergens een twist krijgt naar informatiebeveiliging. Ik merk dat het helpt om een serieuze boodschap in een aantrekkelijke verpakking te stoppen. Bovendien is het ook nog eens hartstikke leuk om te doen.

 

En in de grote boze buitenwereld …

• Hebben ook windmolens last van insider threat.
• Lagen de telefoonnummers en profielinformatie van alle 3,5 miljard WhatsApp-gebruikers voor het grijpen.
• Moet je de stroomdraden goed aansluiten.
• Leidden problemen bij Cloudflare tot uitval van veel internetdiensten.
• Leest Google jouw Gmail-mailtjes om z’n AI te trainen.
• Mag je de aankomende AI-agents van Windows 11 alleen aanzetten als je de risico’s begrijpt.
• Lijkt de Digital Omnibus van de Europese commissie een knieval voor big tech te zijn.
• Is privacy-activist Max Schrems zeer kritisch over de Digital Omnibus.

 

Boek hier niet

Afbeelding via Pixabay

In de herfstvakantie wilden we er nog even met z’n allen tussenuit. Kritisch als we nu eenmaal zijn, volgde een uitgebreide zoektocht naar een geschikt huis op een leuke locatie. Uiteindelijk vonden we op een boekingsite wat we zochten. Omdat we daar al vaker hadden geboekt, dachten we dat we klaar waren. Het liep anders.

Daags na de boeking ontving ik in een tijdspanne van anderhalf uur acht berichten van een bedrijf waar ik nog nooit van had gehoord; ik geef het hier de fictieve naam Boekhierniet. De mailtjes gingen over mijn boeking, met onderwerpen als ‘payment failed’, ‘request for payment of deposit’ en ‘activeer uw klantaccount’. En ze wilden ook nog een kopie van mijn paspoort. Weliswaar kwamen die berichten allemaal via het mailsysteem van de boekingsite, maar ik was zeer achterdochtig. Zoals gezegd, we zijn daar zo’n beetje vaste klant en we zijn nog nooit eerder door een andere partij benaderd. De betaling was al geregeld, en de waarborg betaal je normaal gesproken op locatie. Bovendien bedroeg de borgsom maar liefst zevenhonderd euro – exorbitant hoog. En er viel nog meer op. In die berichten werden drie verschillende internetdomeinen genoemd: boekhierniet.eu, boekhierniet.be en boekhierniet.es (Europa, België en Spanje). Bovendien kwam naast de naam Boekhierniet ook de naam Investeerhierniet voor. Mijn achterdocht werd verder opgeschaald.

Natuurlijk ging ik met de boekingsite bellen. Lang verhaal kort: de ontvangen berichten waren legitiem. Het enige wat niet klopte, was het bericht dat ik de huursom nog moest betalen. Maar ik werd gerustgesteld: ik hoefde me daar niets van aan te trekken en ik hoefde ook niet bang te zijn voor annulering (waar Boekhierniet wel mee dreigde). Ze hadden contact gehad met de lokale verhuurder – dat was dus Boekhierniet – en het met hen geregeld.

Gelukkig, denk je dan, niets aan de hand. Maar ik moest nog wel zo’n beetje alles doen wat in al die berichten stond. En dus een klantaccount aanmaken bij Boekhierniet en elk gezinslid apart inchecken, inclusief alle paspoorten. Ik ging natuurlijk niet zomaar de paspoorten opsturen; eerst ging ik van alles weglakken, waaronder de foto’s. Kreeg ik daar weer commentaar op: we hebben de foto nodig, anders kunt u de sleutel niet in ontvangst nemen. Omdat dat plausibel klonk, stuurde ik ze een nieuwe scan van mijn eigen paspoort, met zichtbare foto. Overigens had de man, die mij de sleutel overhandigde, een paspoortkopie bij zich met de afgeplakte foto. En hij vroeg enthousiast of ik Patrick was. Het zou dus voor een derde erg gemakkelijk zijn geweest om de sleutel voor mijn neus weg te graaien.

Zolang legitieme bedrijven dingen blijven doen die criminelen ook doen, blijft het lastig om mensen bewust te maken van risico’s. Je kunt immers niet zeggen: als je dit of dat ziet, dan is het altijd foute boel. Nee, je moet ruimte laten voor false positives: onterechte signalen dat er iets mis is. Dan moet je dus uitleggen: kijk, als je zoiets ziet, dan kán het foute boel zijn, maar het hóéft niet zo te zijn; je moet uiteindelijk maar zelf bepalen of je het vertrouwt of niet. Dat komt een stuk minder krachtig over en veroorzaakt bij sommigen eerder onzekerheid dan dat het echt helpt.

Dat zien we ook bij phishing. Dan zeg je: let op, als een mailtje geen persoonlijke aanhef heeft, maar begint met zoiets als “Beste klant” of “Hallo!” (of helemaal geen begroeting), dan moet je uitkijken. Want criminelen die phishingmail versturen hebben meestal alleen je e-mailadres en weten je naam niet. Maar ja, net kwam er in mijn privémail ook weer een hartstikke legitiem mailtje binnen dat mij begroette met “Beste klant”. Zijn die bedrijven dan gewoon te lui om mijn naam te gebruiken? Of brengt het hoge kosten met zich mee? Ik heb het voor je uitgezocht.

Om met die kosten te beginnen: het hangt ervan af. Bij een modern mailsysteem zijn de kosten verwaarloosbaar. Heb je echter een oud, bedrijfseigen systeem, waar personalisatie destijds niet in is aangebracht, dan moet je de software aanpassen, en dat kost natuurlijk wel wat. Verder hebben lang niet alle bedrijven correcte gegevens. Als die je dan een mailtje sturen met “Beste {klantnaam}”, of mij begroeten als “Geachte mevrouw Borsoi”, dan schaadt dat het vertrouwen van de klant. Het opschonen van die gegevens is moeizaam en dus duur. Overigens zijn er ook nog bedrijven die bewust kiezen voor een algemene aanhef, om de impact bij het onderscheppen van de mail te verkleinen (er lekken dan minder gegevens). In dat geval is de algemene aanhef dus een privacymaatregel.

En ja, er zijn óók bedrijven die gewoon te beroerd zijn om je netjes te begroeten. Mijn oproep aan hen: doe even je best en help mee in de strijd tegen phishing!

 

En in de grote boze buitenwereld …

• worden boekingsites inderdaad misbruikt om mensen te tillen.
• kan je verloren iPhone nog een lelijk staartje krijgen.
• kaart een open brief aan de Europese Commissie grote privacy-zorgen over de Digitale Omnibus aan.
• kreeg cybercrime weer flink klappen van Operation Endgame, gecoördineerd door Europol.
• heeft dit bedrijf op verfrissende wijze gereageerd op een ransomware-aanval.
• werkt eens in de zoveel tijd een security-update averechts.
• willen we graag digitale soevereiniteit, en dan neemt een Amerikaans bedrijf een Nederlands cloudbedrijf over.
• zijn ad blockers belangrijk voor je privacy.
• richt deze spyware zich specifiek op Samsung Galaxy-telefoons.
• moesten de DJ’s van RTV Noord na een cyber-aanval met de hand plaatjes draaien.
• gebruiken overheden hun spyware niet alleen tegen topcriminelen en terroristen.
• is het geen wonder dat ze bij het Louvre hebben ingebroken.

Kampioenen

 

Foto van auteur

Ik vind dit een geweldig verkeersbord. In andere Europese landen is de waarschuwing voor spelende kinderen een keurige driehoek, net als alle andere borden die ergens voor waarschuwen. Maar in Kroatië hebben ze letterlijk out of the box gedacht.

Dit bord drukt heel krachtig uit waar het om gaat: spelende kinderen zijn onberekenbaar en ze kunnen zo maar de straat op rennen – door de grenzen van hun veilige omgeving heen breken. Het bord is ook nog eens groot en het heeft een opvallende achtergrondkleur. Je treft het in elk dorp en in elke stad aan.

Als je onder het bord door kijkt, dan zie je een voorbeeld van het tegenovergestelde: een bord dat vragen oproept. Het bord verbiedt voertuigen van meer dan vijf ton om hier te rijden; dat is op zich helder. Maar er staat een onderbord bij, dat aangeeft dat het bord alleen geldt voor vrachtwagens. Nu daag ik je uit om een auto te noemen, niet zijnde een vrachtauto, die zwaarder is dan vijfduizend kilogram.

Maar omdat ik toch wat nattigheid voel, heb ik het even bij AI gecheckt: “Zijn er wegvoertuigen, niet zijnde vrachtauto's, die zwaarder zijn dan 5 ton?” En jawel hoor, mijn blik was te nauw: het universum bestaat niet slechts uit gewone personen- en vrachtauto’s, maar er rijden ook frivolere voertuigen over onze wegen: zware SUV’s en pick-up trucks, grote campers, speciale voertuigen (Copilot noemt mobiele medische units, mobiele kantoren en filmproductievoertuigen) en landbouw- en bouwvoertuigen. Dat zijn allemaal geen vrachtwagens, maar ze zijn wel te zwaar voor deze weg. Tenzij dat onderbord erbij staat.

Vervolgens vraag je je natuurlijk af wat dan het eigenlijke probleem is. Kennelijk mag de weg (of gaat het om de brug links op de foto?) niet te zwaar belast worden, maar vormt een grote belasting slechts een probleem als die door een vrachtwagen wordt veroorzaakt. Vroeger zou je over zo’n kwestie een flinke boom hebben opgezet met collega’s, maar ja, thuiswerken hè. Toch maar weer aan AI voorgelegd en wat blijkt: het gewicht zelf – of zoals Copilot het correct noemt: de massa – hoeft niet het probleem te zijn. Misschien wil men de geluidsoverlast beperken of de verkeersveiligheid bevorderen. Andere AI-argumenten laat ik hier achterwege omdat ik ze minder overtuigend vind.

Twee borden, twee totaal verschillende belevingen. Het ene veroorzaakt een wow-effect en was de reden om deze foto te nemen, het andere roept vraagtekens op en viel pas op toen ik de foto tijdens het schrijven van deze blog eens goed. Is dat erg? Ik denk het niet. Ik behoor namelijk niet tot de doelgroep van het tweede bord; mijn rijbewijs gaat maar tot 3,5 ton. Al rijdend zou ik er geen acht op slaan. Het eerste bord daarentegen moet iedere bestuurder aanspreken. Niemand wil een kind onder z’n wielen krijgen.

Zo werkt het ook in de informatiebeveiliging. Sommige dingen zijn voor iedereen belangrijk, zoals goede wachtwoordhygiëne betrachten en op je hoede zijn voor phishing. Het belang van andere zaken hangt af van wie je bent. Een netwerkbeheerder moet uitkijken dat hij niemand ongecontroleerde toegang tot het bedrijfsnetwerk verschaft, terwijl iemand van de financiële administratie moet opletten dat hij geen valse facturen betaalt. Dat betekent dat we onze voorlichting moeten aanpassen aan de doelgroep. Maar helaas zijn de informatiebeveiligers in menige organisatie te druk om hun awareness-activiteiten te differentiëren. En dus blijven we steken in goedbedoelde, maar soms te algemene voorlichting.

Hoe kunnen we dat doorbreken? Als extra mensen in dienst nemen geen optie is, dan kunnen we misschien de hulp inroepen van de doelgroepen zelf. Daar zitten namelijk vaak al mensen die heel behoorlijk op de hoogte zijn van de specifieke risico’s waarmee hun team te maken heeft. Zij willen hun kennis en vaardigheden graag delen met hun directe collega’s. We kunnen hen ondersteunen door ze een zekere status te verlenen. In sommige organisaties noemen ze dit security champions. Ik vind dat wel een mooie titel. Het zijn onze kampioenen in het werkveld. Laten we hen koesteren en helpen.

Word jij onze eerste security champion?

Volgende week verschijnt er vanwege een volle agenda mogelijk geen Security (b)log.

 

En in de grote boze buitenwereld …

• adviseert een internationale groep inlichtingendiensten over het omgaan met Chinese staatshackers.
• dreigen cybercriminelen dat ze AI gaan voeden met de buitgemaakte gegevens.
• verkoopt deze dashcam-fabrikant jouw beelden door. En nu zijn ze gehackt.
• worden bejaarden in drie stappen bestolen.
• denkt de Venezolaanse president dat zijn telefoon niet kan worden gehackt (ik zou me eerder druk maken over de vraag welke extraatjes de Chinezen hebben toegevoegd).
• valt AI voor dezelfde psychologische trucs als mensen.
• is sextortion niet altijd bluf.
• vertrouwde gelukkig toch al niemand deze certificaten.
• geeft dit artikel meer achtergrond bij de certificaten-blunder.

Je innerlijke ik

Afbeelding via Copilot

“De beste inspiratie komt uit jezelf.” Dat is geen uitspraak van  Sun Tzu, de Chinese generaal uit de zesde eeuw voor Christus, uit wiens werk De kunst van het oorlogvoeren te pas en te onpas wordt geciteerd. Nee, dit citaat schrijven we toe aan ene Patrick Borsoi uit de twintigste eeuw ná Christus. Geen Chinees, geen generaal, maar – in alle bescheidenheid – wel bij vlagen slim.

Lezers vragen me wel eens hoe ik altijd weer aan de inspiratie voor een blog kom. Meestal antwoord ik dan dat ik goed om me heen kijk en dan vaak iets alledaags zie wat ik aan informatiebeveiliging kan linken. Of dat collega’s mij een tip geven, al dan niet uit hún dagelijks leven. Nu heb ik iets nieuws ontdekt: naar jezelf luisteren. Letterlijk.

Ik was te gast in de podcast van de KNVI, de Koninklijke Nederlandse Vereniging van Informatieprofessionals. Daar mocht ik vertellen over de Security (b)log en meer vakinhoudelijk over phishing, AI en quantum computing. Die podcast ging op 1 juli online en ik was natuurlijk een van de eersten om hem te beluisteren. Dat is trouwens best vreemd, maar dat zegt iedereen die een geluidsopname van zichzelf hoort. Waar het om gaat is dat ik mezelf iets hoorde zeggen wat ik nog nooit eerder heb gezegd en waarvan ik me ook niet meer herinner dat ik het had gezegd (de opname was anderhalve maand geleden).

Marijn Plomp is de vaste host van deze podcast en Sandra de Waart was die dag zijn sidekick. Omdat mijn blog als overkoepelend thema awareness (beveiligingsbewustzijn) heeft, vroeg Sandra mij: “Hoe maak je nou eigenlijk mensen bewust?” Want, zo voerde zij terecht aan, alleen maar zeggen “wees bewust!” helpt natuurlijk niet. Ik vergeleek dat met het verkeersbord dat een algemene waarschuwing voor gevaar geeft (driehoek met rode rand en een uitroepteken in het midden). Als je alleen dat bord ziet, dan weet je nog niets. Alleen als er een onderbord bij zit, waarop je kunt lezen wat het gevaar inhoudt, weet je wat je moet doen of laten. En nu komt het. Ik zei: “Ik probeer dat onderbord te zijn.” Door te duiden waarom iets een risico is, door het uit te leggen, maak je mensen bewust. Ze moeten het kunnen snappen, er een beleving bij hebben.

Verderop in de podcast doe ik een uitspraak die ik wel vaker bezig: “Ik word betaald om doem te denken.” Zoals er mensen zijn, die geld krijgen om de hele dag met Lego te spelen, zo mag ik me uitleven op de vraag: wat zou er zoal mis kunnen gaan? Daar waar anderen smullen van wat een systeem, een apparaat of een werkwijze allemaal kan, daar mag ik naar de donkere kant kijken. Dat is niet altijd gemakkelijk, omdat je daar nog weleens andermans enthousiasme mee tempert. Meestal wordt die blik op het foutpad toch gewaardeerd, omdat het uiteindelijke product er beter van wordt doordat er óók gekeken wordt naar aspecten waar we liever van wegkijken. In dat citaat over doemdenken zit natuurlijk een vette knipoog, maar het maakt wel kort en krachtig duidelijk dat risicoanalyses belangrijk zijn – al is het soms maar op de achterkant van een envelop.

Aan het einde van de podcast hoor ik mezelf nog zeggen dat ik de mens nodig heb als laatste verdedigingslinie. Want als de techniek er niet in slaagt om het onheil af te wenden, als bijvoorbeeld dat ene phishingmailtje toch door alle controles heen weet te komen, dan kan die medewerker, in wiens inbox het mailtje terechtkomt, het verschil maken tussen een gezonde en een kreupele organisatie. En met die laatste verdedigingslinie komen we dan toch weer een beetje uit bij Sun Tzu, die daar ongetwijfeld ook iets over heeft geschreven.

Beluister hier de KNVI-podcast.

 

En in de grote boze buitenwereld …

• hebben airlines de laatste tijd veel aandacht van cybercriminelen.
• sluiten ook criminele organisaties wel eens de deuren.
• wil Duitsland DeepSeek uitbannen.
• komen fysieke en digitale criminaliteit soms samen.
• gaat ook Defensie inzetten op het gebruik van AI en clouddiensten.
• rukt de politie voortaan ook uit voor digitale criminaliteit.
• is een ambtenaar bestraft voor het mailen van vertrouwelijke data naar zijn privéadres.

In het theater

Foto van auteur

De Rode Zaal van het Meervaart Theater in Amsterdam is op de foto nog leeg. Enkele minuten later was hij gevuld met zo’n driehonderd medewerkers van het Landelijk Incasso Centrum (LIC) van de Belastingdienst. En die laptop, die is van mij.

Een paar maanden geleden was de organisatie van deze jaarbijeenkomst enthousiast geworden over mijn blogs. Waarschijnlijk onder de wat riskante aanname “als hij leuk kan schrijven, dan zal hij ook wel leuk kunnen vertellen” nodigden ze me uit om een deel van het programma voor mijn rekening te nemen. En dus toog ik dinsdag, de spoorwegstaking trotserend, naar de hoofdstad. Ik had drie missies: vóór de lunch een presentatie in het keuzeprogramma, na de lunch een plenaire presentatie in die grote zaal en aan het einde van de dag nog eens hetzelfde verhaal als ’s ochtends, maar dan voor een andere groep van zo’n veertig man. Hoewel, “man”: de collega’s, die in zaal 9 naar mij kwamen luisteren, waren voor 92% vrouw. Iemand zoals ik, uit de ICT én de security, ziet in z’n werk zelden zoveel vrouwen bij elkaar. Ze vormden een hartstikke leuk, geïnteresseerd publiek, en gaven mij een mooi inkijkje in wat er bij hen speelt.

Die uitnodiging had ik met name te danken aan mijn blog over Girl’s Day. (Korte samenvatting: voor een presentatie aan meisjes van een middelbare school had ik hun namen gegoogeld en laten zien wat ik – amateur op dat gebied – allemaal te weten was gekomen.) Dat verhaal wilden ze bij het LIC ook wel eens horen. Er was één verschil: op Girl’s Day ging mijn verhaal over de aanwezige meisjes, terwijl het in de Meervaart niet over het aanwezige publiek ging, maar over diezelfde meisjes (natuurlijk heb ik noch in de ene, noch in de andere presentatie namen of te pijnlijke details genoemd). Desondanks was de spanning ook in de Rode Zaal van de gezichten af te lezen. Vooral de onthulling dat presentaties, die je maakt met de gratis versie van Powerpoint-alternatief Prezi, openbaar op het internet staan, leidde tot een “Oh!” vanuit de zaal. Een filmpje, waarin een ‘waarzegger’ in een tent moeiteloos allerlei details over zijn klanten boven water krijgt, maakte het af.

Mijn andere presentatie droeg de titel Phish & Chats en ging over phishing, chat-apps en kunstmatige intelligentie. Het eerste deel was voor velen een feest der herkenning: “Wie heeft er nog nooit een phishingmailtje ontvangen?” Niemand. “Hoi pap, dit is mijn nieuwe telefoonnummer.” Geroezemoes in de zaal. Engels, met Indiaas accent: “Hallo, dit is de Microsoft Helpdesk.” Ja-knikkende hoofden. Natuurlijk heb ik ze ook wat handvatten gegeven om phishing te herkennen – want iedere individuele medewerker kan op een kwade dag zomaar de laatste verdedigingslinie van de organisatie zijn, als hij of zij een phishingmailtje in de mail aantreft. Dan wil je echt heel graag dat de collega daar adequaat op reageert.

Het onderdeel chat-apps ging over de voors en tegens van verschillende van deze apps. In het kort: gebruik WhatsApp niet voor je werk vanwege privacy-issues en gebruik Telegram sowieso niet. Voor chatten binnen de rijksoverheid is Webex beschikbaar. Verder is Signal een uitstekende keus.

Ook het onderwerp kunstmatige intelligentie (AI) viel onder de noemer ‘chats’ van Phish & Chats, want al die handige hulpjes zoals ChatGPT, Gemini en Copilot zijn slimme chat-bots: je kunt letterlijk met ze kletsen. Ik heb besproken hoe ze werken, hoe ik er vanuit mijn vak tegenaan kijk en wat onze organisatie wel en niet toestaat (wel: Copilot Chat; niet: de rest).

Voor mij leverde deze dag een warm bad in duimpjes, complimenten en bedankjes op. En ik hoop dat de mensen, die dat nog niet deden, nu ook de Security (b)log gaan lezen. Niet voor mij, maar om vertrouwd te raken met wat er speelt in de informatiebeveiliging en met jouw eigen rol daarin. Binnenkort ben ik te gast bij een team dichter bij huis, en na de zomer ben ik weer present op de vaktechnische dagen van onze EDP-auditors. Gisteren hebben we besproken waar ik het zoal over zou kunnen hebben en daar ga ik de komende tijd een rode draad in zoeken. Tussendoor kom ik nog een keertje langs als gast in een podcast. Maar daarover later meer.

 

En in de grote boze buitenwereld …

• holt je privacy in WhatsApp nog verder achteruit.
• vindt deze privacy-organisatie daar ook wat van.
• vinden scammers altijd weer nieuwe wegen.
• plegen de Russen een nieuwe vorm van social engineering.
• blijft oud nieuws soms gewoon actueel.
• opereerde deze ransomware-bende vanuit een hotel in Thailand.
• worstelen ze ook in Zwitserland met de alomtegenwoordige Amerikaanse cloud. [DUITS]
• maak je misschien wel gebruik van een Chinese VPN-app.

Van alles wat

Afbeelding via Pixabay

Een paar weken geleden was ik op een conferentie. Ik heb daar veel aantekeningen gemaakt en ik kan de presentaties terugkijken. Wat kan ik daar het beste mee doen? Na wat bladeren heb ik de knoop doorgehakt: ik ga je trakteren op wat losse citaten en laat daar mijn eigen gedachten op los.

Als opwarmertje heb ik een gemakkelijke open deur voor je: “Als je iemand alleen online hebt ontmoet, dan is dat altijd een vreemde.” Deze komt uit een presentatie over weerbaarheid tegen scams. Je zult het eens moeten zijn met deze stelling, maar handel je er ook naar? Of wil je toch graag geloven dat die aardige persoon ook integer is? Dat is erg moeilijk. In de vorige eeuw, toen het internet nog niet gemeen was, ontmoette ik iemand in online forum (kent nog iemand CompuServe?). We hadden gezellige gesprekken over de toestand in de wereld en over observaties in het dagelijkse leven. Later gingen we rechtstreeks mailen, en op mijn bruiloft heb ik hem voor het eerst in het echt ontmoet. Als ik bovenstaand citaat ter harte had genomen, dan was ik deze vriendschap misgelopen. Destijds bestond cybercrime nog niet en was het online leven een stuk gemakkelijker.

Een handige tip om niet het slachtoffer van bedriegers te worden: never pay to get paid. Oftewel: als iemand je gouden bergen belooft maar wel vooraf geld van jou nodig heeft om dat waar te kunnen maken, dan is er iets aan de hand. Dat begon destijds met die Nigeriaanse prins die een fortuin met je wilde delen maar wel wat geld nodig had om dat fortuin vrij te maken, en tegenwoordig krijg je misschien werk aangeboden waarbij een kleine inspanning rijk beloond zal worden – maar dan moeten er wel eerst bepaalde kosten gemaakt worden. Trap er niet in.

Dan een leuke tip waar je meteen je voordeel mee kunt doen: verander de naam van je gastennetwerk in “snellere wifi”. Dan willen al je gasten – en vooral de gasten van je kinderen – op dát netwerk. En dat is precies waar je ze wilt hebben. Want je gastennetwerk staat los van het netwerk dat toegang biedt tot je privégegevens. Haaks daarop staat dan wel weer het idee om al je Internet of Things (IoT)-apparaten op het gastennetwerk aan te sluiten. De gedachte daarachter is dat IoT-apparaten relatief gemakkelijk gehackt kunnen worden en dat je liever niet wilt dat een hacker toegang heeft tot je gegevens. Maar wil je wel dat al je gasten bij je vaatwasser, wasdroger en zonnepanelen kunnen? Lastige keuzes.

Soms sluit een uitspraak van de ene spreker aan op die van een andere. Zo ook deze twee: “8% van de gebruikers in je organisatie leiden tot 80% van het risico” en “Nieuwe medewerkers zijn de grootste bedreiging: ze klikken makkelijk op links omdat ze de risico’s niet begrijpen.” Die eerste zou ik zelf vooral linken aan medewerkers die in het “niet kunnen & niet willen”-kwadrant zitten: ze weten niet hoe ze zich veilig moeten gedragen en ze zijn ook niet bereid om hun gedrag aan te passen, waardoor ze moeilijk bereikbaar zijn. Maar voor de tweede spreker schuilt het gevaar met name in nieuwe medewerkers. Daar kun je wél wat aan doen. Daarom zijn wij al jaren aangehaakt bij het introductieprogramma voor nieuwe medewerkers en trakteren we de verse collega’s op een presentatie waarin we ze spelenderwijs langs de belangrijkste aspecten van informatiebeveiliging, bedrijfscontinuïteit en privacy leiden. En we maken reclame voor de Security (b)log, zodat het niet bij een eenmalige ontmoeting blijft.

Als er één onderwerp als rode draad door al die honderden presentaties liep, dan was het wel kunstmatige intelligentie. Een spreker vond dat 90% van de zogenaamde AI-experts geen idee heeft waar ze over praten, en dat de overige 10% maar bar weinig weet. En dat is normaal, betoogde hij, want AI bestaat uit heel veel sub-disciplines en het is belangrijk dat experts veel afweten van hún deelonderwerp. Zoals je met hartproblemen niet naar een hersenchirurg gaat, zo moet je ook op het gebied van AI de juiste specialist opzoeken.

Als laatste een citaat dat bleef hangen omdat het zo lekker binnenkomt: “Generative AI is autocorrect/type ahead on steroids.” Ik ga ‘m even voor je ontleden. Generatieve AI is de bij het brede publiek bekende vorm van kunstmatige intelligentie, die zelfstandig iets genereert; je kent het bijvoorbeeld van ChatGPT. Autocorrect ken je vooral van je telefoon; het behoedt je enerzijds voor typfouten, maar zorgt soms voor pijnlijke situaties omdat de “correctie” vervelend uitpakt (bij mij werd ooit “Hoi Carmen” vervangen door “Hoi varken”). Type ahead is het zusje hiervan, ook bekend van je mailprogramma dat tijdens het typen van een adres al roept: ik weet wie je bedoelt! Nou, en dit allemaal voorzien van de nodige doping, dat is dus AI. Met alle gemakken van dien, maar ook met een versterking van alle ongemakken. Het bericht aan Carmen heb ik nog op tijd gestopt, maar als AI er vrolijk op los hallucineert en ons een verhaal voorschotelt dat kant noch wal raakt, dan is het een stuk moeilijker om dat te ontdekken.

Volgende week verschijnt er geen Security (b)log.

 

En in de grote boze buitenwereld …

• mag Meta nu Europese data gebruiken om z’n AI te trainen.
• verzet Signal zich tegen Microsoft Recall.
• vraagt Arjen Lubach zich af of Trump Nederland digitaal kan platleggen.
• laat dit voorbeeld zien hoe dat platleggen werkt.
• deelt Telegram gegevens met autoriteiten en verdedigt het de vrije meningsuiting.
• wordt Windows quantum-proof.
• heeft de Technische Universiteit Eindhoven het rapport over de cyberaanval van januari gepubliceerd.
• kun je deepfakes herkennen door te kijken of er bloed door de aderen van het gezicht stroomt.