Crisis Awareness

Tag: Cyber

Internetveiligheid

Leestijd: 5 minuten

In de serie ‘andere veiligheid’ ben ik na kennisveiligheid en psychologische veiligheid aangekomen bij internetveiligheid. Wat vinden we als veiligheidskundigen daar nu eens van?

Lichtelijk uit de heup schietend: een zooitje.

Misschien heeft dat ook wel te maken met de ontstaansgeschiedenis ervan. Internet is begonnen als ARPAnet, een project van de Amerikaanse Defensie. In 1969 werd de eerste koppeling gelegd tussen computers in Los Angeles en San Francisco. Door LOG IN te typen moest de ene computer op afstand de besturing van de andere kunnen overnemen.

Patch

Maar na twee letters liep het systeem vast door een fout in een programma. Toen die hersteld was, kwam de verbinding zoals gepland tot stand. Alsnog een prachtig resultaat natuurlijk en niet voor niets door Taleb een Black Swan genoemd. Wat achter die uitvinding vandaan is gekomen had niemand kunnen voorspellen.

Alleen die patch, hè.

internetveiligheid
DALL-E tekent “a picture of the internet showing a lot of leaks with data pouring on the surface”

Zonder die patch had het toen niet gewerkt en nu nog steeds niet. Het aantal patches is inmiddels zo groot geworden dat je organisatie de hele dag plat zou liggen als je ze allemaal keurig zou installeren. Dat doet dus helemaal niemand en dan is het niet gek als je wel eens tegen zo’n Log4J probleem aanloopt.

Accepteer het dus maar gewoon: uw netwerk is een vergiet, net als het mijne en die van de KNVB.

Gelukkig zijn er te weinig criminelen om alle ongepatchte gaten te misbruiken, anders zou de ene helft van internetgebruikers continu de andere helft zitten te hacken. Wat tot de conclusie leidt dat het allemaal niet zo heel veel uitmaakt. We rommelen gewoon lekker door, zo goed en zo kwaad als het kan en meestal doet bijna alles het dan wel.

Human Error

Grappig genoeg vinden de meeste inbraken plaats omdat mensen op een verkeerde link hebben geklikt, een val gezet door een cyberboef. Die ook liever lui dan moe is en wacht tot zijn slachtoffers in de val lopen, in plaats van er achteraan te jagen.

“Da’s human error”, roepen alle experts dan, “we moeten mensen leren om dat niet te doen. Geef ze een cursus cybersecurity awareness.”

Maar ja, internet is gemaakt om op dingetjes te klikken, dus doe je dat als voorgeprogrammeerd fte’tje. Wij als veiligheidskundigen weten dan dat je de techniek en de organisatie moet verbeteren als je de internetveiligheid wil vergroten.

Don’t fix the user, fix the system.

Hetwelk sowieso niet zal meevallen, want zoals ik al zei, zonder dat er verkeerd wordt geklikt zijn er al te veel patches om de boel preventief op orde te hebben.

Waardoor er nog maar één echte strategie overblijft: recovery.

Opruimen. De VS hebben er een heel land mee gemaakt, dus waarom zouden wij dat ook niet kunnen met internetveiligheid?

Ik typte het op, keek er even naar en vroeg me toen af: zit die strategie eigenlijk wel in onze toolbox? Of doen veiligheidskundigen niet aan recovery?

Nadat ik dit blog (als column in de NVVK-info) had gepubliceerd bedacht ik mij dat ik het ook eens aan Chat GTP zou kunnen vragen. Hoe ziet het dat voor zich, een recovery strategie voor internetveiligheid?

En nog “a picture of the internet showing a lot of leaks with data pouring on the surface”

Na een paar rondjes oppervlakkigheden van GTP te hebben ondergaan kwam het hiermee; over backups als recovery strategie:

Chat GTP

  1. Offsite back-uplocatie: Zorg ervoor dat uw back-ups worden opgeslagen op een externe locatie, gescheiden van de primaire systemen. Dit kan bijvoorbeeld een externe server, cloudopslag of een speciale back-upinfrastructuur zijn. Door de back-ups op een andere locatie te bewaren, minimaliseert u het risico dat ze worden aangetast tijdens een beveiligingsincident.
  2. Realtime of frequente back-ups: Overweeg om gebruik te maken van realtime of frequente back-upoplossingen, zodat wijzigingen in bestanden onmiddellijk of regelmatig worden opgenomen in de back-ups. Dit minimaliseert het gegevensverlies bij een incident, omdat recente versies van bestanden beschikbaar zijn voor herstel.
  3. Versleuteling van back-ups: Om de vertrouwelijkheid van uw gegevens te waarborgen, is het belangrijk om back-ups te versleutelen. Zorg ervoor dat de gegevens zowel in transit als in rust worden versleuteld, zodat ze niet toegankelijk zijn voor ongeautoriseerde personen, zelfs als de back-upmedia in verkeerde handen vallen.
  4. Test het herstelproces: Regelmatig testen van het herstelproces is essentieel om er zeker van te zijn dat de back-ups correct en snel kunnen worden hersteld in geval van een beveiligingsincident. Voer regelmatig hersteltests uit om te controleren of de back-upbestanden integriteit behouden en dat het herstelproces soepel verloopt.
  5. Geautomatiseerd back-upbeheer: Overweeg het gebruik van geautomatiseerde back-upoplossingen en beheertools. Deze kunnen zorgen voor consistente en betrouwbare back-ups, het monitoren van de back-upstatus, het genereren van rapporten en waarschuwingen bij problemen. Automatisering minimaliseert menselijke fouten en verhoogt de betrouwbaarheid van uw back-upproces.
  6. Veiligheidsmaatregelen voor back-upsystemen: Bescherm uw back-upsystemen tegen ongeautoriseerde toegang en manipulatie. Implementeer sterke authenticatiemechanismen, zoals wachtwoorden of multifactorauthenticatie, om ervoor te zorgen dat alleen geautoriseerde personen toegang hebben tot de back-ups. Beperk ook de toegangsrechten tot back-upopslag om ongeautoriseerde wijzigingen te voorkomen.
  7. Monitoring en waarschuwingen: Implementeer monitoringoplossingen om de status van uw back-upomgeving te bewaken. Hiermee kunt u problemen, zoals mislukte back-ups of corrupte back-upbestanden, snel identificeren en aanpakken. Stel waarschuwingen in, zodat u direct op de hoogte wordt gebracht van eventuele problemen met uw back-ups.

Make it so

Tsja…een beetje een stappenplan van een junior consultant internetveiligheid. Veel verder komt GTP niet en dat is niet de eerste keer dat me opvalt dat AI niet veel meer doet dan een PDCA cyclusje opdreunen. Ik begrijp dan ook niet zo goed waar al die zorgen over AI vandaan komen.

Maar misschien stel ik gewoon de verkeerde vragen. Of ligt de lat tegenwoordig wat lager?

Toch nog maar even zelf blijven nadenken over internetveiligheid dus. Want users fixen, dat is risicomanagement op kans. Dat verlies je vroeg of laat altijd. Manage dus het effect; in de robuustheid (of antifragiliteit, zo je wilt) van je systeem.

Make it so.


Een aangepaste versie van dit blog verscheen ook in de NVVK-info. Ik schreef al eerder over cyberveiligheid. Zie o.a. het blog human factors op het internet.

Insider Risk: door slordigheid crisis

Leestijd: 7 minuten

Insider risk gaat over het verliezen van informatie die vervolgens nogal ongelegen publiekelijk bekend wordt, waardoor je negatief in het nieuws komt: door slordigheid crisis. Totaal onnodig, maar het kan wel de geschiedenis veranderen, zo bewijzen een aantal voorbeelden. Een beetje security awareness kan dus geen kwaad. Maar die komt niet vanzelf.

Strategie van het laatste moment

Ik had ooit een directeur, laten we hem Dirk noemen, wiens functie niet te benijden viel. In nogal volatiele en rumoerige omstandigheden moest hij de belangen en wensen van meerdere totaal tegengestelde partijen bij elkaar zien te krijgen. Dat zulks eigenlijk niet kon wist iedereen. Toch ging dat heel lang goed en dat kwam door Dirk.

Als geen ander wist hij met prachtige verhalen en sublieme vondsten iedereen opgelijnd te krijgen voor weer een nieuw en noodzakelijk, maar niet onomstreden, besluit. Zo’n traject verliep altijd via een vast stramien. Eerst waren er de verhalen op strategisch niveau, die zo ruim geformuleerd waren dat iedereen er zich ruimhartig achter kon scharen. Langzaam werden de voorstellen concreter, waarmee de pijnpunten allengs zichtbaarder werden. Vanaf dat moment werd het spannend.

Dat betekende voorzichtig manoeuvreren; beetje tijdrekken, spoedoverlegje hier en daar. En vooral niemand laten uitstappen voordat de fuik van onontkoombaarheid zich om de deadline had verstrengeld. Precies op het laatste moment volgde er dan net een ander voorstel dan iedereen had gedacht, maar het was al te laat, vluchten kon niet meer. Het onheil van geen besluit zou namelijk nog groter zijn.

Door Slordigheid Crisis
Grote consternatie in 1972 toen de oppositie meende dat er geheime kabinetsafspraken waren gemaakt tussen KVP, CHU, ARP, DS ’70 en VVD. Volgens Andriessen van de KVP was er niets aan de hand. Foto Rob Mieremet ANP

Met deze strategie van het laatste moment maakte Dirk zo op het eerste gezicht geen vrienden. Dat kon ook helemaal niet in die al eerder genoemde omgeving vol wicked problems onder tijdsdruk. Als hij wel vrienden zou hebben, dan zouden anderen, de niet-vrienden, zich achtergesteld voelen en de boel gaan blokkeren. Nu was hij iedereens favoriete vijand, zo’n functie in de loopgraven waar je pas populair mee wordt als je er weer uit bent. Een dirty job, maar iemand moest het doen.

Verder van essentieel belang: er mocht vooraf helemaal niets bekend worden. Dus weinig op papier, verspreiding op need to know basis in een heel klein clubje insiders en kaken op elkaar in het openbaar. Nog niet de geringste toespeling mocht je maken, want eenmaal gefaald was het voor altijd kapot. Plus, niet onbelangrijk, de strategie moest een uitzondering blijven. Onvoorspelbaar.

Toen de omgeving minder wicked werd, paste deze strategie van het laatste moment niet meer en kreeg Dirk een functie elders. Na hem de politiek met z’n bestuurlijke sensitiviteit, zo wist hij, omdat het weer kon.

Slordigheid

Lange tijd hoorde ik weinig meer over de strategie van het laatste moment, totdat het Belgisch dagblad De Morgen in februari 2019 een opmerkelijk berichtje in de krant zette over de uitgelekte onderhandelingsstrategie van Theresa May. We hebben het dan over de Brexit.

‘Aan een bar in Brussel verklapte Mays belangrijkste Brexit onderhandelaar Olly Robbins een alternatief plan om haar deal vóór 29 maart door het Britse parlement te loodsen. Een week voor de Brexitdag zal May de parlementsleden voor de keuze stellen: jullie stemmen voor mijn deal en anders vraag ik een lang uitstel aan bij de EU.’

citaat uit het artikel van De Morgen

Dat is dus precies de strategie van het laatste moment. Alleen ging die in dit geval nooit meer werken omdat ie vooraf bekend was geworden. Je kunt je alleen maar met goed fatsoen voor het blok laten zetten als uit niets blijkt dat je het van te voren wist of kon weten. Dat is een ongeschreven regel van dat spel.

Het interessante is dat de strategie niet zozeer gelekt was, als wel door slordigheid ter ore was gekomen van een journalist, Angus Walker.  

‘Na een reportage in Brussel ging Angus Walker samen met zijn cameraman nog wat drinken in de bar van hun hotel. Daar zagen ze Olly Robbins, de belangrijkste Brexit-onderhandelaar van May, zitten. “Hij zat met twee collega’s in de bar en andere gasten konden duidelijk horen hoe hij roddelde over Brexit, het kabinet en parlementsleden.”

citaat uit het artikel van de morgen

Walker hoorde Robbins in geuren en kleuren vertellen dat May de Parlementsleden een week voor de deadline voor het blok wil zetten. Die slordigheid van Robbins bezorgde May haar zoveelste crisis en uiteindelijk moest ze aftreden. Dat Boris de boel overnam en de Brexit er maar een beetje doorheen jokte was daarmee een indirecte consequentie van die loslippigheid. Hoe je met wat onbezonnen slordigheid in een hotelbar de wereldgeschiedenis een beetje kan veranderen.

Functie elders

Daar kwam ook minister Ollongren achter, eind maart 2021, toen ze hals over kop haar ministerie verliet met een stapeltje papieren onder de arm. Daar schoot een oplettende fotograaf een plaatje van, waarmee de zinsnede ‘Omtzigt functie elders’ voor iedereen zichtbaar werd. Met een ongekend gekrakeel over bestuurscultuur tot gevolg.

Net als bij de strategie van het laatste moment gold hier dat je je alleen voor het blok mag laten plaatsen als je er geen weet van hebt of had kunnen hebben. De foto van Ollongren doorbrak die ongeschreven regel, waardoor politici zich het vege lijf dachten te moeten redden door hoog van de toren te blazen over leugens en achterkamertjes. Die geest wilde niet meer in zijn fles.

Door slordigheid crisis, iets anders kan ik er niet van maken.

De meest recente dure dommigheid werd veroorzaakt door Gert Jan Segers, die een voorstudie voor een regeerakkoord in de trein liet liggen. Via een oplettende lezer kwam het bij de Volkskrant terecht en zo werd het groot voorpaginanieuws op 17 november 2021. Het tekent de integriteit van Segers dat hij zelf met zijn bekentenis kwam. Zelf vond hij het ongelooflijk stom, zo zei hij daags erna tegen een paar verslaggevers. “Ik heb mijn hoofd een paar keer op het bureau geramd.”

Meer dan stom

Maar deze voorbeelden van door slordigheid crisis zijn natuurlijk meer dan stom. Het is ronduit gevaarlijk om je boel te laten slingeren. Insider risk, heet dat. Gevaarlijk voor je strategische doelen, gevaarlijk voor je positie en heel soms misschien zelfs gevaarlijk voor de loop van de geschiedenis, zo weet May intussen.

Dat geldt natuurlijk niet alleen voor de politiek, maar ook voor het bedrijfsleven. Ik ken iemand die werd ontslagen nadat hij zijn koffertje had verwisseld met die van een klant waardoor zijn geheime papieren op de verkeerde plek terecht kwamen. Ik weet dat er door partijen van diverse pluimage gejaagd wordt op bedrijfsgeheimen. En ik besef dat sommige informatie heel interessant kan zijn voor bijvoorbeeld belangengroepen en actievoerders.

Informatie is een bijzonder goed. Eenmaal gemaakt, is de reproductie daarna vrijwel gratis. Het kan op twee plaatsen of meer tegelijk zijn. Het is handel en waar handel is zijn kopers en verkopers en geld. Informatie is ook gevaarlijk, als het in verkeerde handen valt. En soms is het onmisbaar, als je iets wilt veranderen, oplossen of tegen houden.

Alles bij elkaar vraagt dat om een beveiligingsbeleid, informatiebeveiliging. Tegen boeven van buiten en boeven van binnen.

Insider Risk

Dit blog gaat alleen over boeven van binnen, grofweg te verdelen onder insider risk en insider threat.  De NCTV definieert insider threat in het Cybersecuritybeeld Nederland als ‘een interne actor die met toegang tot systemen of netwerken van binnenuit een dreiging vormt, met als motief wraak, geldelijk gewin of ideologie. Een insider kan ook worden ingehuurd of opgedragen van buitenaf.’

Veel organisaties maken daar al beleid op en wapenen zich zo tegen de boef van binnen. Want de boef is een ander bij insider threat. Goed om dat risico adequaat te managen.

Insider risk is echter breder dan insider threat. Die kijkt ook naar jezelf als (onbedoelde) boef. Bijvoorbeeld als je door slordigheid geheime informatie laat slingeren, of per ongeluk deelt. Als je datadragers kwijt raakt. Of als je door naïviteit, brallen of stoerdoenerij in openbare gelegenheden je mond voorbij praat. Typisch gevalletje van een in de weg zittend ego.

Op een webinar van het Nationaal Cyber Security Center werden deze vier vormen van insider risk gepresenteerd over twee assen: bewust – onbewust gedrag, handelend – niet handelend

Dat is insider risk, dat je een situational awareness niveau nul hebt. Of in dit geval security awareness niveau nul, uiteindelijk is dat gewoon hetzelfde. Als je in al mijn blogs het woord safety vervangt door security, weet je zo ongeveer wel wat je kan doen aan insider risk. Daarmee voorkom je grotendeels de crises die door slordigheid ontstaan zijn.

En zo niet, dan kom je op een dag misschien wel in mijn blogs over de zwarte eend of het-met-de-kennis-van-nu syndroom terecht. Da’s ook leuk.

Overigens sluit ik niet uit dat de voorbeelden uit dit blog geen slordigheid waren, maar opzet. Dat er een plan achter zat. Stiekem hoop ik er zelfs op, bij weer zo’n blunder of slordigheid. Het zou mooi zijn als het expres is gedaan, zeg ik dan tijdens trainingen, dat het een complot is. Want dan is er tenminste over nagedacht.

Maar meestal niet.


Meer lezen: diverse aan dit onderwerp gerelateerde blogs vind je al terug in de tekst. Verder schreef ik al eens dit blog over human factors op internet. En ook dit verhaal over vulnerable system syndrome is relevant, net als dit stuk over organized blindness

Cyberveiligheid: human factors op het Internet

Leestijd: 7 minuten
Laatste update 16 januari 2020

Internet is steeds vaker een dreiging voor de continuiteit van bedrijfsvoering, zowel in de private sector als bij dienstverleners en de overheid. In 2016 schreef ik daar al dit blog over, dat in 2020 nog steeds akelig actueel is, zo blijkt uit een onderzoek naar intergedrag. Een update over human factors op het internet.

Eind september 2016 werd er op Facebook een virus ontdekt dat zich letterlijk als een infectie verspreidde via het internet en waar in korte tijd meer dan 800.000 computers mee besmet raakten. Of het trouwens echt een virus was of andere malware weet ik niet. Mijn technische kennis op dat vlak strekt niet heel ver. Ik had er zelf geen last van, maar verbaasde me zowel over de snelheid waarmee het virus zich kennelijk verspreidde, als over de listigheid waarin het verpakt zat.

Gebruikers kregen namelijk een berichtje van een vriend of een kennis met teksten als ‘Look at this video!’ of ‘OMG, I can’t believe this’. Zodra ze op de link klikten die naar de beloofde video moest leiden, installeerde zich malware op hun computer die er onder andere voor zorgde dat de inmiddels besmette computer ook lokberichten naar hun eigen vrienden ging sturen. Zie daar dus waarom het zo snel ging met dat virus: het kwam uit onverdachte hoek.

computervirus

Nou zijn er natuurlijk heel veel mensen die gaan roepen dat het ook stom is om op zulke links te klikken. Daar zitten vaak onderliggende aannames bij over domme gebruikers en eigen schuld, dikke bult. “Moet men maar een beetje cyber security awareness opdoen, dan was het niet gebeurd.”

Wat een foute gedachte is dat!

Don’t blame the victim. Als je werkt in een virtuele ruimte waarin het de bedoeling is dat je op links klikt, dan is er geen beginnen aan om mensen te leren alleen maar op sommige, veilige links te klikken. Want hoe kan je weten welke links wel of niet in orde zijn? En al helemaal als er moedwillig mensen in de val worden gelokt. Tijd dus voor de human factors benadering op het internet.

Bruce Schneier is gerespecteerd internetsecurity deskundige en hij omschreef de human factors als volgt:

“The problem isn’t the users: it’s that we’ve designed our computer systems’ security so badly that we demand the user do all of these counterintuitive things. Why can’t users choose easy-to-remember passwords? Why can’t they click on links in emails with wild abandon? Why can’t they plug a USB stick into a computer without facing a myriad of viruses? Why are we trying to fix the user instead of solving the underlying security problem?”

Schneier stelt hier eigenlijk de vraag over de vergevingsgezinde infrastructuur. Als je weet dat mensen feilbaar zijn en dus fouten maken, dan moet je een ‘foolproof’ systeem ontwikkelen waarmee je de kans op fouten verkleint en het effect van fouten beperkt. Dan moet je gaan denken aan de Safe Systems approach en aan high reliability organizing (HRO) zoals in de safety wereld al steeds vaker gebeurt. Maar die denkwijzen zijn niet louter gebonden aan het safety domein. Ook andere vakgebieden zouden zich moeten buigen over human factors, zoals de computer industrie en internet software ontwikkelaars. Nogmaals in de woorden van Bruce:

“We must stop trying to fix the user to achieve security. We’ll never get there, and research toward those goals just obscures the real problems. Usable security does not mean ‘getting people to do what we want.’ It means creating security that works, given (or despite) what people do. It means security solutions that deliver on users’ security goals without­ — as the 19th-century Dutch cryptographer Auguste Kerckhoffs aptly put it­ — “stress of mind, or knowledge of a long series of rules.”

auguste-kerckhoffs
Auguste Kerckhoffs
De human factor benadering voor internet is geen overbodige luxe.

In de nabije toekomst al zullen de kennisverschillen tussen gebruikers en ontwikkelaars steeds verder uit elkaar gaan lopen.

Het verschil tussen de jagers en de prooi neemt toe. Het wordt dus technisch gezien steeds makkelijker om mensen in de val te lokken, want de gemiddelde gebruiker zal nooit de benodigde cyber security awareness kunnen bijhouden die noodzakelijk is om weerstand te bieden aan boeven op het net. Al helemaal niet als je beseft dat de mens van nature nieuwsgierig is, zich liefst in groepen met vrienden en gelijkgestemden beweegt, dol is op koopjes en roddels en graag die unieke truc of oplossing vindt, die iedereen wil hebben.

Kortom, de human factor zal zich altijd laten verleiden tot clickbaits en andere lokmiddelen en die mogen geen catastrofale gevolgen hebben. Repressieve en recovery maatregelen raken een keer uitgeput, er is echt een noodzaak tot een andere manier van denken, een paradigma shift.

Schneier nog een keer: “We owe it to our users to make the Information Age a safe place for everyone — ­not just those with security awareness.”

Dat is human factors op het internet.

Gelukkig zijn er ook al best mensen die vanuit de vergevingsgezinde infrastructuur op internet denken. Zoals Hermann Kopetz, emeritus hoogleraar computerdingen met een specialisatie in fout tolerante systemen.

Hij verzon de 15 geboden voor veilige software.
commandments

Die citeer ik hier graag als afsluiting voor de liefhebber. Aansluitend staat een update over human factors op internet anno 2020.

  1. Thou shalt regard the system safety case as thy tabernacle of safety and derive thine critical software failure modes and requirements from it.
  2. Thou shalt adopt a fundamentally safe architecture and define thy fault tolerance hypothesis as part of this. Even unto the definition of fault containment regions, their modes of failure and likelihood.
  3. Thine fault tolerance shall include start-up operating and shutdown states
  4. Thine system shall be partitioned to ‘divide and conquer’ the design. Yea such partitioning shall include the precise specification of component interfaces by time and value such that  all manner of men shall comprehend them
  5. Thine project team shall develop a consistent model of time and state for even unto the concept of states and fault recovery by voting is the definition of time important.
  6. Yea even though thou hast selected a safety architecture pleasing to the lord, yet it is but a house built upon the sand, if no ‘programming in the small’ error detection and fault recovery is provided.
  7. Thou shall ensure that errors are contained and do not propagate through the system for a error idly propagated  to a service interface is displeasing to the lord god of safety and invalidates your righteous claims of independence.
  8. Thou shall ensure independent channels and components do not have common mode failures for it is said that homogenous redundant channels protect only from random hardware failures  neither from the common external cause such as EMI or power loss, nor from the common software design fault.
  9. Thine voting software shall follow the self-confidence principle for it is said that if the self-confidence principle is observed then a correct FCR will always make the correct decision under the assumption of a single faulty FCR, and only a faulty FCR will make false decisions.
  10. Thou shall hide and separate thy fault-tolerance mechanisms so that they do not introduce fear, doubt and further design errors unto the developers of the application code.
  11. Thou shall design your system for diagnosis for it is said that even a righteously designed fault tolerant system my hide such faults from view whereas thy systems maintainers must replace the affected LRU.
  12. Thine interfaces shall be helpful and forgive the operator his errors neither shall thine system dump the problem in the operators lap without prior warning of impending doom.
  13. Thine software shall record every single anomaly for your lord god requires that every anomaly observed during operation must be investigated until a root cause is defined
  14. Though shall mitigate further hazards introduced by your design decisions for better it is that you not program in C++ yet still is it righteous to prevent the dangling of thine pointers and memory leaks
  15. Though shall develop a consistent fault recovery strategy such that even in the face of violations of your fault hypothesis thine system shall restart and never give up.

Update: Onderzoek naar veilig internet gebruik in 2020

De Haagse Hogeschool publiceerde begin 2020 een rapport over menselijk gedrag op internet. Voornaamste conclusie: de mens is de grootste cyberdreiging. Rutger Leukfeldt, lector Cyber Security, spreekt van een serieus probleem.

“Met een vragenlijst werd gekeken naar het online gedrag van ongeveer 2.500 personen. Dit was deels zelfrapportage: mensen die zelf aangeven hoe hun gedrag is in bepaalde situaties, en deels zijn in het onderzoek cyberrisico-situaties opgenomen waarmee het daadwerkelijke gedrag getest werd. Hieruit bleek dat er een groot verschil is tussen zelf-gerapporteerd gedrag en feitelijke gedrag. Oftewel: Mensen geven vaak aan dat ze relatief veilig gebruik maken van het internet, maar het feitelijke gedrag is vaak anders. Nog steeds zijn er ontzettend veel mensen die, onder de ‘juiste’ omstandigheden, een zwak wachtwoord gebruiken, onveilige software downloaden, of zelfs persoonlijke gegevens delen. Ook worden nog steeds veel hyperlinks en bijlagen in onbetrouwbare e-mails geopend.”

Interessant is dat cybeveiligheid aan dezelfde human factors wetmatigheden voldoet als andere veiligheidsvraagstukken. Leukefeldt in de Trouw van 7 januari 2020:

“Het idee is tot nu toe dat als je maar meer bewustzijn creëert, minder mensen slachtoffer worden van online criminaliteit. Dat blijkt niet terecht. Je zult ook andere oplossingen moeten zoeken. Bijvoorbeeld door in software in te bouwen dat mensen dingen die ze niet zouden moeten doen ook niet kunnen doen.”

Dat brengt ons weer bij de 15 geboden voor veilige software zoals hierboven beschreven in 2016. Wellicht dat de aanvallen op Maastricht University en Medisch Centrum Leeuwarden wat in beweging gaat brengen. En anders publiceer ik dit blog over vier jaar gewoon weer. Even kijken waar we dan staan.

© 2024 Rizoomes

Thema gemaakt door Anders NorenBoven ↑