Leestijd: 7 minuten

Insider risk gaat over het verliezen van informatie die vervolgens nogal ongelegen publiekelijk bekend wordt, waardoor je negatief in het nieuws komt: door slordigheid crisis. Totaal onnodig, maar het kan wel de geschiedenis veranderen, zo bewijzen een aantal voorbeelden. Een beetje security awareness kan dus geen kwaad. Maar die komt niet vanzelf.

Strategie van het laatste moment

Ik had ooit een directeur, laten we hem Dirk noemen, wiens functie niet te benijden viel. In nogal volatiele en rumoerige omstandigheden moest hij de belangen en wensen van meerdere totaal tegengestelde partijen bij elkaar zien te krijgen. Dat zulks eigenlijk niet kon wist iedereen. Toch ging dat heel lang goed en dat kwam door Dirk.

Als geen ander wist hij met prachtige verhalen en sublieme vondsten iedereen opgelijnd te krijgen voor weer een nieuw en noodzakelijk, maar niet onomstreden, besluit. Zo’n traject verliep altijd via een vast stramien. Eerst waren er de verhalen op strategisch niveau, die zo ruim geformuleerd waren dat iedereen er zich ruimhartig achter kon scharen. Langzaam werden de voorstellen concreter, waarmee de pijnpunten allengs zichtbaarder werden. Vanaf dat moment werd het spannend.

Dat betekende voorzichtig manoeuvreren; beetje tijdrekken, spoedoverlegje hier en daar. En vooral niemand laten uitstappen voordat de fuik van onontkoombaarheid zich om de deadline had verstrengeld. Precies op het laatste moment volgde er dan net een ander voorstel dan iedereen had gedacht, maar het was al te laat, vluchten kon niet meer. Het onheil van geen besluit zou namelijk nog groter zijn.

Door Slordigheid Crisis
Grote consternatie in 1972 toen de oppositie meende dat er geheime kabinetsafspraken waren gemaakt tussen KVP, CHU, ARP, DS ’70 en VVD. Volgens Andriessen van de KVP was er niets aan de hand. Foto Rob Mieremet ANP

Met deze strategie van het laatste moment maakte Dirk zo op het eerste gezicht geen vrienden. Dat kon ook helemaal niet in die al eerder genoemde omgeving vol wicked problems onder tijdsdruk. Als hij wel vrienden zou hebben, dan zouden anderen, de niet-vrienden, zich achtergesteld voelen en de boel gaan blokkeren. Nu was hij iedereens favoriete vijand, zo’n functie in de loopgraven waar je pas populair mee wordt als je er weer uit bent. Een dirty job, maar iemand moest het doen.

Verder van essentieel belang: er mocht vooraf helemaal niets bekend worden. Dus weinig op papier, verspreiding op need to know basis in een heel klein clubje insiders en kaken op elkaar in het openbaar. Nog niet de geringste toespeling mocht je maken, want eenmaal gefaald was het voor altijd kapot. Plus, niet onbelangrijk, de strategie moest een uitzondering blijven. Onvoorspelbaar.

Toen de omgeving minder wicked werd, paste deze strategie van het laatste moment niet meer en kreeg Dirk een functie elders. Na hem de politiek met z’n bestuurlijke sensitiviteit, zo wist hij, omdat het weer kon.

Slordigheid

Lange tijd hoorde ik weinig meer over de strategie van het laatste moment, totdat het Belgisch dagblad De Morgen in februari 2019 een opmerkelijk berichtje in de krant zette over de uitgelekte onderhandelingsstrategie van Theresa May. We hebben het dan over de Brexit.

‘Aan een bar in Brussel verklapte Mays belangrijkste Brexit onderhandelaar Olly Robbins een alternatief plan om haar deal vóór 29 maart door het Britse parlement te loodsen. Een week voor de Brexitdag zal May de parlementsleden voor de keuze stellen: jullie stemmen voor mijn deal en anders vraag ik een lang uitstel aan bij de EU.’

citaat uit het artikel van De Morgen

Dat is dus precies de strategie van het laatste moment. Alleen ging die in dit geval nooit meer werken omdat ie vooraf bekend was geworden. Je kunt je alleen maar met goed fatsoen voor het blok laten zetten als uit niets blijkt dat je het van te voren wist of kon weten. Dat is een ongeschreven regel van dat spel.

Het interessante is dat de strategie niet zozeer gelekt was, als wel door slordigheid ter ore was gekomen van een journalist, Angus Walker.  

‘Na een reportage in Brussel ging Angus Walker samen met zijn cameraman nog wat drinken in de bar van hun hotel. Daar zagen ze Olly Robbins, de belangrijkste Brexit-onderhandelaar van May, zitten. “Hij zat met twee collega’s in de bar en andere gasten konden duidelijk horen hoe hij roddelde over Brexit, het kabinet en parlementsleden.”

citaat uit het artikel van de morgen

Walker hoorde Robbins in geuren en kleuren vertellen dat May de Parlementsleden een week voor de deadline voor het blok wil zetten. Die slordigheid van Robbins bezorgde May haar zoveelste crisis en uiteindelijk moest ze aftreden. Dat Boris de boel overnam en de Brexit er maar een beetje doorheen jokte was daarmee een indirecte consequentie van die loslippigheid. Hoe je met wat onbezonnen slordigheid in een hotelbar de wereldgeschiedenis een beetje kan veranderen.

Functie elders

Daar kwam ook minister Ollongren achter, eind maart 2021, toen ze hals over kop haar ministerie verliet met een stapeltje papieren onder de arm. Daar schoot een oplettende fotograaf een plaatje van, waarmee de zinsnede ‘Omtzigt functie elders’ voor iedereen zichtbaar werd. Met een ongekend gekrakeel over bestuurscultuur tot gevolg.

Net als bij de strategie van het laatste moment gold hier dat je je alleen voor het blok mag laten plaatsen als je er geen weet van hebt of had kunnen hebben. De foto van Ollongren doorbrak die ongeschreven regel, waardoor politici zich het vege lijf dachten te moeten redden door hoog van de toren te blazen over leugens en achterkamertjes. Die geest wilde niet meer in zijn fles.

Door slordigheid crisis, iets anders kan ik er niet van maken.

De meest recente dure dommigheid werd veroorzaakt door Gert Jan Segers, die een voorstudie voor een regeerakkoord in de trein liet liggen. Via een oplettende lezer kwam het bij de Volkskrant terecht en zo werd het groot voorpaginanieuws op 17 november 2021. Het tekent de integriteit van Segers dat hij zelf met zijn bekentenis kwam. Zelf vond hij het ongelooflijk stom, zo zei hij daags erna tegen een paar verslaggevers. “Ik heb mijn hoofd een paar keer op het bureau geramd.”

Meer dan stom

Maar deze voorbeelden van door slordigheid crisis zijn natuurlijk meer dan stom. Het is ronduit gevaarlijk om je boel te laten slingeren. Insider risk, heet dat. Gevaarlijk voor je strategische doelen, gevaarlijk voor je positie en heel soms misschien zelfs gevaarlijk voor de loop van de geschiedenis, zo weet May intussen.

Dat geldt natuurlijk niet alleen voor de politiek, maar ook voor het bedrijfsleven. Ik ken iemand die werd ontslagen nadat hij zijn koffertje had verwisseld met die van een klant waardoor zijn geheime papieren op de verkeerde plek terecht kwamen. Ik weet dat er door partijen van diverse pluimage gejaagd wordt op bedrijfsgeheimen. En ik besef dat sommige informatie heel interessant kan zijn voor bijvoorbeeld belangengroepen en actievoerders.

Informatie is een bijzonder goed. Eenmaal gemaakt, is de reproductie daarna vrijwel gratis. Het kan op twee plaatsen of meer tegelijk zijn. Het is handel en waar handel is zijn kopers en verkopers en geld. Informatie is ook gevaarlijk, als het in verkeerde handen valt. En soms is het onmisbaar, als je iets wilt veranderen, oplossen of tegen houden.

Alles bij elkaar vraagt dat om een beveiligingsbeleid, informatiebeveiliging. Tegen boeven van buiten en boeven van binnen.

Insider Risk

Dit blog gaat alleen over boeven van binnen, grofweg te verdelen onder insider risk en insider threat.  De NCTV definieert insider threat in het Cybersecuritybeeld Nederland als ‘een interne actor die met toegang tot systemen of netwerken van binnenuit een dreiging vormt, met als motief wraak, geldelijk gewin of ideologie. Een insider kan ook worden ingehuurd of opgedragen van buitenaf.’

Veel organisaties maken daar al beleid op en wapenen zich zo tegen de boef van binnen. Want de boef is een ander bij insider threat. Goed om dat risico adequaat te managen.

Insider risk is echter breder dan insider threat. Die kijkt ook naar jezelf als (onbedoelde) boef. Bijvoorbeeld als je door slordigheid geheime informatie laat slingeren, of per ongeluk deelt. Als je datadragers kwijt raakt. Of als je door naïviteit, brallen of stoerdoenerij in openbare gelegenheden je mond voorbij praat. Typisch gevalletje van een in de weg zittend ego.

Op een webinar van het Nationaal Cyber Security Center werden deze vier vormen van insider risk gepresenteerd over twee assen: bewust – onbewust gedrag, handelend – niet handelend

Dat is insider risk, dat je een situational awareness niveau nul hebt. Of in dit geval security awareness niveau nul, uiteindelijk is dat gewoon hetzelfde. Als je in al mijn blogs het woord safety vervangt door security, weet je zo ongeveer wel wat je kan doen aan insider risk. Daarmee voorkom je grotendeels de crises die door slordigheid ontstaan zijn.

En zo niet, dan kom je op een dag misschien wel in mijn blogs over de zwarte eend of het-met-de-kennis-van-nu syndroom terecht. Da’s ook leuk.

Overigens sluit ik niet uit dat de voorbeelden uit dit blog geen slordigheid waren, maar opzet. Dat er een plan achter zat. Stiekem hoop ik er zelfs op, bij weer zo’n blunder of slordigheid. Het zou mooi zijn als het expres is gedaan, zeg ik dan tijdens trainingen, dat het een complot is. Want dan is er tenminste over nagedacht.

Maar meestal niet.


Meer lezen: diverse aan dit onderwerp gerelateerde blogs vind je al terug in de tekst. Verder schreef ik al eens dit blog over human factors op internet. En ook dit verhaal over vulnerable system syndrome is relevant, net als dit stuk over organized blindness