Er is iets raars aan de hand. Vanuit it zien we cybersecurity als een serieuze uitdaging voor onze maatschappij. En vanuit de maatschappij zien we cybercrime als iets dat it maar moet oplossen. Dat rijmt niet en daar moet snel iets aan veranderen.
We hebben een samenleving die meer en meer afhankelijk wordt van digitale data. Waarin businessmodellen zo niet hele economieën vertrouwen op elektronische gegevens. We hebben een security-branche die vaker en luider de noodklok luidt. We hebben regeringen die elkaars verkiezingen digitaal dreigen te beïnvloeden, cybersyndicaten die op grote schaal systemen van bedrijven en individuele gebruikers in gijzeling nemen, een vloedgolf aan sensortechnologie die op ons afkomt zonder dat iemand enig idee heeft hoe dat veilig te beheersen.
En als ik dan om me heen kijk, is het alsof niemand er warm of koud van wordt. Wachtwoorden hangen met post-its op de monitor van de bakker. Schermen blijven gewoon openstaan in de wachtkamer van de dokter. En als er wat gebeurt, wijst iedereen naar it: ‘Jouw probleem, los het maar op’.
Security-onderzoek
Die disconnect tussen it en gebruikers is groot en gevaarlijk. We hebben bij Citrix onlangs een internationaal security-onderzoek laten uitvoeren. Als ik dat doorblader, lees ik dat nog niet de helft van de respondenten vindt dat security de productiviteit belemmert. Dat klinkt als goed nieuws, nietwaar? Totdat ik lees dat méér dan de helft van de ondervraagden security-maatregelen omzeilt omdat ze die ‘te complex’ vinden.
We doen iets fundamenteel verkeerd. Terwijl de urgentie groeit, lukt het maar niet gebruikers zover te krijgen dat ze it op een verantwoorde manier inzetten. Natuurlijk helpt het dat de regering forse boetes heeft gezet op datalekken, en dat Europa daar straks met de GDPR een dikke schep bovenop gooit. Maar dan lees ik weer in het FD dat het vastgoedregister van het Kadaster zo lek als een mandje is. Kennelijk dringt het niet door tot personen buiten de it waar we ons eigenlijk in begeven.
Privacy
De digitale transformatie die we nu doormaken, betekent dat alle geledingen van onze maatschappij afhankelijk worden van ict. Van onze nutsvoorzieningen tot onze privacy en van onze verkiezingen tot ons bedrijfsleven. Die afhankelijkheid gaat zover dat als daar iets misgaat, het niet ‘een beetje vervelend’ is, maar het vergaande gevolgen kan hebben. En niet alleen voor een individu, maar voor onze hele economie en maatschappij. Ik weet niet of we ooit zeker zullen weten in hoeverre de laatste Amerikaanse verkiezingen door hackers zijn beïnvloed – maar het simpele feit dat we het niet kunnen uitsluiten, is zorgwekkend.
De wereld buiten it lijkt buitengewoon naïef als het om security gaat, en ik herken vanuit mijn it-achtergrond de neiging om als reactie daarop de boel maar zoveel mogelijk te willen dichttikken. Aan de andere kant weet ik dat dat ons niet gaat redden.
Eind vorig jaar verscheen een interessant rapport van het National Institute of Standards and Technology (NIST, onderdeel van de US Department of Commerce), waarin de auteurs constateren dat ‘beveiligingsmoeheid’ er toe leidt dat gebruikers de moed verliezen en juist eerder onbezonnen gedrag gaan vertonen. Met andere woorden: je kunt security niet forceren. Dichttikken heeft een averechts effect en leidt tot schijnveiligheid. We zullen dus iets anders moeten verzinnen.
Veilig ontwerp
De belangrijkste stap die we moeten nemen, is dat we af moeten van de oude benadering waarin technologie centraal staat. We moeten toe naar een situatie waarin we de gebruiker helpen om it automatisch op een veilige manier aan te wenden. ‘Security by design’ zou niet alleen moeten betekenen dat it-oplossingen vanaf de basis een veilig ontwerp krijgen, maar ook dat applicaties zo gebruiksvriendelijk worden opgezet dat veilig gebruik vanzelfsprekend wordt.
It is uitstekend geschikt om gebruikers te helpen veilige keuzes te maken. Met slim identiteitsmanagement maken we een einde aan de oerwouden van gebruikersnamen en wachtwoorden. Met contextgevoelige security vallen we gebruikers alleen lastig wanneer dat logisch is. It moet zijn gebruikers helpen zich veilig te gedragen. Pas als veilig gedrag een gewoonte wordt en het besef ontstaat van wat wel en niet verantwoord is in een digitale wereld, kunnen we hopen dat we cybersecurity onder controle krijgen.
Dit stond januari 2012 in ditzelfde blad Computable: https://www.computable.nl/artikel/opinie/security/4370523/1276896/wennen-aan-cybercrime-kost-tijd.html .
Mensen kiezen gewoon voor gemak en easy use. Privacy en cybersecurity zijn voor de meesten veel te abstract en zullen pas tot urgentie leiden als er echt erge dingen gebeuren. Zo was het, zo is het en zo zal het altijd gaan vrees ik.