Bij terugkomst van mijn vakantie waren er twee artikelen die me direct opvielen. Het eerste ging over Micheal Dell, de voorman van ict-leverancier Dell. Michael Dell heeft zijn dochter uit veiligheidoverwegingen verboden om nog te twitteren. Als mijn dochter een 'Dell' zou zijn, dan verbood ik haar elk contact met de buitenwereld. De kelder bleef gewoon op slot.
Het tweede bericht, of eigenlijk berichten, ging over het Dorifel-virus dat bij veel gemeenten de servers heeft plat gelegd. Na zo'n bericht zie je direct allerlei Johan Derksens op het gebied van beveiliging vertellen wat je had moeten doen en waarom. Leveranciers van firewalls en beveiligingssoftware houden zich altijd angstvallig stil, want alle getroffenen zijn probleemloos langs hun firewall gewandeld.
Metaaldetector
Het enige wat ze communiceren is dat je de update hetkalfisalverdronken.exe nu van hun site kunt downloaden. Maar ja, daar trekt een beetje hacker zich natuurlijk niks van aan. Als je als hacker niet door een firewall komt, ben je een terrorist die op Schiphol al gepakt wordt bij de metaaldetector. 'Oh, ik mag geen geweer mee naar binnen nemen? Dat staat nergens op een bord.'
Beveiligen lijkt altijd zo simpel. Net als inbreken. In films zie je mensen wel eens heel eenvoudig met een bankpasje een deur openen. En natuurlijk, toen ik laatst mijn sleutels was vergeten, heb ik ook geprobeerd om met mijn pasje de deur open te krijgen. 'Verwacht je nu dat er geld uit de brievenbus komt?', zei mijn buurman die achter mij was gaan staan en gewoon een reservesleutel van ons huis heeft.
James Bond
Maar mensen die kwaad willen, komen overal doorheen. In 2009 zouden mensen je hebben uitgelachen als je in het draaiboek van Koninginnedag in Apeldoorn rekening zou hebben gehouden met het feit dat iemand met een Suzuki Swift dwars door het publiek heen rijdt om tegen de bus van de Koningin aan te botsen.
Het Dorifel-virus is waarschijnlijk het werk van Oost-Europese cybercriminelen. Dat klinkt alsof we James Bond erop af moeten sturen. Misschien is dat wel de oplossing.
“Maar mensen die kwaad willen, komen overal doorheen.”
Dat klopt en heeft een naam: “Advanced persistent threat” (zie Wikipedia), maar het vervelende is dat Dorifel niet in die category valt.
Er is volgens mij geen enkele antivirus/firewall/etc. fabrikant die claimt dat je 100% veilig bent tegen alles, zeker als het gaat om een nieuw virus.
Als er een les getrokken kan worden uit dit soort aanvallen is het juist dat je er van uit moet gaan dat de kans altijd aanwezig is dat je geinfecteerd wordt (zelfs als die klein is door goede beveiliging) en dat je terug moet kunnen terugvallen op backups omdat bijvoorbeeld een virus je bestanden onleesbaar heeft gemaakt.
Mee eens ! er is nog zo’n spreekwoord “de beste stuurlui staan aan wal”.
Mensen willen tegenwoordig graag alles controleren en in de hand houden.
Je kunt nog zo je best doen er hoeft maar één gek te zijn en het is pas mogelijk daarop te reageren als deze persoon het daadwerkelijk gedaan heeft.
Mensen wijzen naar afloop graag met de vinger naar anderen, maar de “dader (s)” gaan daardoor vaak vrijuit want zij worden waarschijnlijk het slachtoffer in plaats van dader.
Het lijkt erop dat dat door heel Nederland/wereld gebeurt of ligt dat nu aan mij ?
gr,
Sander
En zo wordt het echte probleem volledig gebagataliseerd.
De metafoor dat als je echt wilt inbreken in een huis, dat dit altijd wel lukt, wordt ook te pas en te onpas aangehaald.
Gewoon de wereld op zijn kop.
Natuurlijk is een goede beveiliging wel degelijk mogelijk.
Die enkele inbraak in super beveiligd systeem is een zeldzame uitzondering. Het artikel doet overkomen alsof het de normaalste zaak van de wereld is.
Wat betreft de beveiliging van de koningin, die is ook waardeloos. Daar kiest ze zelf voor. De maatregelen die ze zou moeten nemen, om veel veiliger te zijn wil ze niet. Want dat betekent achter dik kogelvrij glas, ver op afstand, en totaal geen contact meer met het publiek.
Beveiligen tegen gek kan niet, kan natuurlijk wel alleen krijg je dan een onwerkbare situatie, waardoor er bewust gekozen wordt om kleine risico’s te aanvaarden.
Dat levranciers van beveiligingssoftware zich stil houden, is wel logisch ze zijn hard bezig een remedie te ontwikkelen.
Ik heb namelijk nog nooit gezien dat er ergens een oplossing ontwikkeld is voordat er een probleem was wat de betreffende oplossing ging oplossen.
Dus je men dempe de put als het kalf verdronken is, maar zonder put zou het kalf ook sterven van de dorst.