Veiligheid, door Abraham Maslow in zijn hiërarchische ordening van universele behoeften in de tweede laag van zijn piramide ondergebracht, is een ‘hoog goed’. De Engelsen spreken over safety en security, ofwel fysieke en sociale veiligheid en de vraag is waar ligt de grens?
Eerder stelde Tjibbe Joustra, voorzitter van de Onderzoeksraad voor Veiligheid, in GOV magazine zich de vraag: wat is eigenlijk het verschil tussen iets dat fysiek explodeert en iets dat virtueel explodeert? En terecht, immers als ik met een Distributed denial-of-service (DDoS) aanval een server kan overbelasten en daarmee websites of internetdiensten onbruikbaar kan maken, dan kan ook een elektriciteitscentrale of andere vitale infrastructuur zoals een watervoorziening worden uitgeschakeld. Het kan in ieder geval leiden tot maatschappelijke ontwrichting en daarmee zijn zowel fysieke als sociale veiligheid in het geding.
De DDoS aanvallen op banken en overheidssites, maar ook de Diginotar affaire in 2011, hebben inmiddels aangetoond dat ‘onze’ it-infrastructuur kwetsbaar is. Echter, voor velen is cyber crime een nog te weinig onderkende bedreiging. Dit terwijl Nederland geldt als een van die landen met de hoogste internetdichtheid, waardoor de samenleving en economie nog meer afhankelijk zijn van digitale systemen.
Maandag 1 december 2014 kreeg ik een cell broadcastbericht van NL-Alert dat ressorteert onder de verantwoordelijkheid van de Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV). Het landelijk verspreidde tekstbericht luidde dat mijn mobiele telefoon op de juiste wijze was ingesteld; dit voor het ontvangen van berichten van de overheid in levens- of gezondheidsbedreigende noodsituaties. Hoog water, een grote brand en zelfs de ontsnapping van een gifslang waren eerder aanleiding om mensen, in de directe omgeving, met NL-Alert te waarschuwen en het is daarmee een beproefd middel gebleken om bij te dragen aan de veiligheid.
De recente campagne “Alert Online 2014: wéét wat je doet!” speelt in op het bewustzijn voor digitale veiligheid; dat kan en moet beter. Ook wij, als één van de partners van Alert Online, willen hierbij ons steentje bijdragen en beschikken sinds kort over een BCR-certificering voor het veilig verwerken van klantgegevens. BCR (Binding Corporate Rules) is de leidende standaard voor gegevensbescherming en is ontwikkeld om multinationals de mogelijkheid te bieden om persoonsgegevens in overeenstemming met lokale wetgeving vanuit de Europese Economische Ruimte uit te wisselen met bedrijfsonderdelen in andere delen van de wereld.
De BCR-certificering betreft al onze (inter)nationale activiteiten en is met instemming van Europese toezichthoudende organen gericht op gegevensbescherming verleend. Wij streven daarmee naar beveiliging op het hoogst denkbare niveau van klantdata die wij in het kader van onze dienstverlening verwerken, inclusief cloud computing. Om voor certificering in aanmerking te komen, moeten bedrijven aan lokale autoriteiten kunnen aantonen dat zij maatregelen hebben geïmplementeerd om een adequate gegevensbescherming in alle geledingen van de organisatie te waarborgen.
Met het investeren in cyber security-bewustzijn, kunnen we digitale veiligheid en weerbaarheid vergroten en daarmee de business continuïteit borgen. Het moet daarom ook, op bestuurdersniveau, in strategie en beleid van organisaties, publiek en privaat, zijn opgenomen.
Komt die knuppel.
Iedere ITer die een Facebook account heeft (en aktief gebruikt) mag haar/zichzelf geen professional noemen.
Wel een mond vol zeg. Wij, certificaatje hier, Binding rule daar. Als ik als IT Professional ergens voor het midden af haak, hoe moet dit dan zijn voor de gewone gebruiker? Die zal het feitelijk een worst zijn en gilt als het eerste beste speenvarkentje wanneer die even niet meer kan whats appen.
Laat ik eens beginnen met driehoek. Veel IT professionals zullen het niet met mij eens zijn… Soit. Een droek in de constellatie van IT is wat m,ij betreft gewoon neen. Rechthoek, vierkant, prima, driehoek, forget it. Reden hiervoor is de toepasbaarheid in de praktische zin. Ik vind dat je daar je beelden op moet aanpassen.
Fear Sales
Ook in dit artikel met een gehalte… ‘Vrees niet… wij zijn er…’ Ik kom nergens in je betoog twee hele basale zaken tegen.
1. IT vs Non IT
Als je na jaren van windows 1.0 tot heden nu nog de gebruikers niet hebt weten uit te leggen wat de do’s, maar vooral don’ts zijn, wanneer ze een IT apparaat in handen hebben, dan moet je gewoon tegen ze zeggen, tot de aansluiting van de wifi doen wij het, de rest is je eigen afdeling. Waarom zouden wij IT professionals zich verantwoordelijk moeten voelen voor de duidtere gebruikerswereld der gebruikers.
2. IT subject standard
Vanaf het begin van de tijd dat ik te maken heb gehad met gebruikres tot boardroom, heb ik altijd gesteld dat security als merite, als onderwerp, als onderdeel, thuis hoort in elke IT discipline. Niet zeggende dat elke IT professional meteen een security analist zou moeten zijn. Zij/Hij heeft wel degelijk op het netvlies te hebben na te denken over het feit dat security fact of life dient te zijn.
We weten allemaal dat de wereld wat deze twee zaken nof steeds anders is dan ik het hier stel. So be it. Dat maakt mij op geen enkele manier verantwoordelijk voor wat een individuele gebruiker persoonlijk uithaalt. Ik kan hoogstens proberen te anticiperen op eventualiteiten, er wakker van liggen? Helaas.
Datzelfde geld ook de al maar verder voortschreidende digitalisering. Allemaal hardstikke prachtig natuurlijk. Maar ik weet uit ervaring hoe ‘gevoelig’ de wirwar aan mogelijkheden zijn die wij zo dol graag met zijn allen de goegemeente proberen aan te smeren.
Als ik alleen al even Diginotar hier aan haal, dan zie ik niet de hacker(s) die bezig is geweest. Nee. Dan weet ik dat er een flink aantal incompetentie, zichzelf IT professionals noemnde zielen, gewoon het meest basale niet hebben gedaan wat normaal is. Gewoon updates te implementeren en de laatste beveiligingsniveau up to date houden.
Nee, dan zien we een speciale uitzending, ingelast, een plechtmatige heer Donner, verantwoordelijk voor die spullenboel op dat moment, onzin uitkramen. Ik heb hem niet horen zeggen, Ik heb een paar Wouter Bosjes gedaan, of een paar JP Balkenendetjes, het spijt mij… ik treed af.
Ik zag daar een display van onvermogen en incompetentie en precies wat je telkens en zo vaak weer terug ziet. Je ziet mensen dingen doen waar ze gewoon geen verstand van hebben met alle gevolgen van dien.
Toename van incidenten
Gaan incidenten toenemen? Dat kan i zo een ieder garanderen. En dat heeft dan alles weer te maken met het gegeven dat de opdrachtgever, de werkgever, niet alleen voor een dubbeltje op de eerste rang wil zitten en zo flexibel mogelijk van IT professionals gebruik wil maken. Dat heeft ook te maken dat security klaarblijkelijk niet een al te hoge prioriteit heeft bijhen als ook de IT professional vaak.
Fact of life.
Het eerste deel sprak en spreekt mij aan omdat dat echt over maatschappelijke betrokkenheid bij en zorgen over ICT en digitalisering gaat. Het tweede deel klinkt als reclame voor een bedrijf.
@Johan helemaal mijn idee, voeg daar whatsapp en twitter ook maar aan toe
Veiligheid binnen hiërarchische pyramide van Maslow is niet alleen een fysieke, eerder had ik het vandaag in een filosofische discussie al over de foutieve aanname in body & mind dualism theorie. Want zoals het spreekwoord al zegt: ‘Vertrouwen komt te voet en gaat te paard’ omdat veiligheid uiteindelijk meer een gevoel is dan een realiteit. Tjibbe zou eens stage moeten lopen bij een gevechtseenheid, leert hij eens wat over kameraadschap binnen de pyramide.
Lang niet gehoord, “body & Mind dualisme”.
Een scheiding die niet bestaat, zonder body vindt je ook geen mind.
Het is zoals ICT zonder hardware.
Overigens, zonder risiko vindt je geen vernieuwing, dat uit zich in ICT door beveiligingen die het werken onmogelijk maken.
Leven op zich is hoogst risikovol, je sterft er aan.