Meestal ben ik niet zo van de actualiteit in deze column. Maar de samenloop van de herdenking van de aanslagen op 11 september 2001 en de inbraak bij Diginotar vraagt er ook bij mij dit keer om.
Het gemeenschappelijke thema is natuurlijk veiligheid, of beter gezegd, het gebrek er aan. Want wat heeft tien jaar terrorismebestrijding, en tien jaar werken aan digitale veiligheid nu eigenlijk opgeleverd?
Bruce Schneier, een bekende security deskundige, beweert regelmatig dat er sinds 11 september maar twee dingen het vliegen veiliger hebben gemaakt: de invoering van de gepantserde cockpitdeur, en het feit dat passagiers weten dat ze kapers moeten weerstaan. De rest bestempelt hij als 'security theater': omslachtige maatregelen die het grote publiek de indruk moeten geven dat er wat aan veiligheid wordt gedaan. Tegelijk heeft het grote publiek daar vooral last van, en lijkt het de security industrie te zijn die er baat bij heeft. Dat doet mij denken aan het geld dat de maffia vraagt van winkeliers om ze te beschermen tegen … de maffia!
Ik zie een parallel met digitale veiligheid. In mijn werk heb ik nog wel eens wat te maken met it-security deskundigen die nog halsstarriger zijn in het toelaten van nuttige functionaliteit als sovjet- bureaucraten uit de Koude Oorlog.
Zo heb ik eens te maken gehad met firewalls die zó dicht gezet moesten worden dat we de fouten in de verbinding er tussen niet meer konden zien. Ergens anders moest en zou alle webcontent door de virusscanner, waardoor er niemand meer naar een beveiligde website kon, want in die verbinding kon de scanner niet kijken. En het verbieden van social media site bezoek zorgt er alleen maar voor dat mensen dat via hun smartphone gaan doen.
Is het hier nu allemaal veel veiliger van geworden? Dat gewapper met dikke dreiginganalyses door mensen die maar nauwelijks de techniek en de werkelijke risico's begrijpen lijkt erg op 'security theater'. Want in de praktijk blijkt dan toch dat ondanks al die mooie checklists en audits er bij Diginotar toch iemand de cockpitdeur open heeft laten staan.
De open cockpitdeur was waarschijnlijk als absurde vergelijking bedoeld. Maar ik heb in oktober 2001 gevlogen, toen men bij Schiphol net een toeslag had ingevoerd om de kosten van nieuwe veiligheidsmaatregelen te dekken, en de kranten vol waren van de te nemen maatregelen als gepantserde cockpitdeuren … en de cockpitdeur stond wagenwijd open! Ik zat voorin bij het gangpad en vond het prachtig om de start door de voorruit te mogen bekijken, maar om te zeggen dat ik verbaasd was zou nog zacht uitgedrukt zijn.
Soms vraag ik me af of de crew van die vlucht later de IT zijn ingegaan.
Wat doe je met een gepantserde deur als een kaper elke minuut een passagier dood schiet? Of dreigt een bom tot ontploffing te brengen? Ik lees weinig over vliegtuig kapingen, komt dat allemaal door die deur? Als je winkels heel goed beveiligd worden de huiselijke overvallen weer populair.
Tegen nalatigheid en user stupidity is praktisch niets opgewassen. Mijn duimregel is zorgen dat je fiets net wat beter op slot staat dan de fiets van de buurman.
Doordat security hot is en door al die hacker en cracker activiteiten is er wel meer aandacht en die aandacht alleen al zal een positief effect hebben op de beveiliging.
Nu nog de overheid zover krijgen dat ze pragmatischer omgaan met de wet, want momenteel lijkt deze slecht toepasbaar. Vechten tegen cookies leidt tot andere methoden.
Ieder voor zich zou moeten bepalen welk beveiligers theater opvoeren en welke iets toevoegen aan de veiligheid…
@Henri
Men weet nu dat de kans groot is dat de kaper het vliegtuig laat crashen in een gebouw en dat er dus twee opties zijn voor de passagiers. Ze doen niets en iedereen in het vliegtuig overlijd of ze grijpen in en hebben nog een kans om het te overleven tenminste zolang de deur van de cockpit nog dicht zit.
Dus wat je moet doen is met een aantal man die kapers bespringen. Of je dat inderdaad doet is de vraag maar de kans dat iemand dat doet is wel toegenomen waardoor kapers wel uitkijken om een vliegtuig te kapen. Ergo het is veiliger geworden door de gepanserde deur.
(ICT-) Security is net zo oud als er mensen, netwerk of systemen bestaan. Ook in de natuur is dit een essentieel onderdeel. Zonder bescherming van organismen, omgevingen en energieën wordt het allemaal een ‘soepje’ en kunnen we heldere structuren, leven en toekomst vergeten.
Managers en gebruikers snappen beveiliging vaak onvoldoende omdat ze niet willen en/of niet kunnen vanwege de ingewikkeldheid. Echter deskundige specialisten nemen hun dat niet kwalijk: ze hebben zelf de hand vol en moeite om het hoofd boven water te houden tussen al die clouds.
Security is als het weer; vandaag is het rustig en schijnt de zon, maar de dag erop heb je een Tsunami en dan kun je maar beter dijken hebben aangelegd, reserve voorraden, brandweer, politie etc. paraat hebben want anders heb je geen continuiteit in het bestaan.
Als nu eens allemaal die commentators eens goed (willen) luisteren naar de deskundigen, dan krijg je meer bewustwording en hebben kwaadwilligen het niet meer zo gemakkelijk. Kwaadwilligen zetten nu al meer om in ICT-criminaliteit dan in drugs wereldwijd…BEGRIJP dat eens. Zodra iemand persoonlijke bezit wordt bedreigd, dan gaat men wel anders denken en handelen. helaas worden op Internet niet alleen je eigen zaken bedreigd maar ook van hele medeburgers (denk aan DigiNotar-hack). Zo kan ik nog wel even doorgaan. Ook de politiek moet het gewoon vast op de agenda hebben staan net als andere zaken als financieen, binnenlands bestuur. Security is onderhand een volwassen entiteit die nog steeds onvoldoende aandacht krijgt vind ik e vele andere deskundigen. De toekomst zal ons leren wat wijs is, als het dan niet te laat is voor vele gedupeerden.