De securityparadox
Boeven zijn overal om ons heen en de cyberboeven al helemaal. In onze mailboxen, onze servers, langs de randjes van onze netwerken en voor de virtuele ingangen van onze kantoren liggen ze achter de digitale bosjes te loeren op een kans. Gelukkig hebben we onze cybersecurityexperts en -oplossingen om ons te vrijwaren van het gespuis. Maar helpt het ook?
Eerst lag de nadruk op bescherming aan de poort: spamfilters, firewalls, versleutelingen en tal van technogebaseerde oplossingen. Het werkt ontegenzeggelijk en het houdt een hoop ellende buiten de deur. Maar de boeven zaten niet stil en schakelden over op de zwakste schakel: de mens. We kennen allemaal de mooie voorbeelden van social engineering, die variëren van de toch wel erg doorzichtige mail van een Nigeriaanse prins met een miljoenenerfenis tot de bijna niet meer van echt te onderscheiden e-mails van je eigen bank met de dringende boodschap om toch vooral hier te klikken. Als je tenminste wilt voorkomen dat je bankpas wordt ingetrokken of je geld geroofd.
Tegen dat soort praktijken worden vervolgens bewustwordingscampagnes ingezet (“Eerst checken, dan klikken! Ik blijf het toch zeggen hoor!”) en anti-phishingscursussen binnen bedrijven.
En dat helpt. En ook weer niet, want de traditionele criminaliteit van woninginbraken en overvallen daalt, maar de internetcriminaliteit zit nog steeds lekker in de lift. Kennelijk stijgt het securitybewustzijn bij het publiek minder hard dan de inventiviteit bij de cyberboeven. Dus wat te doen?
In mijn huidige werk als ICT operations manager en ook in de markt voor cybersecuritydiensten zie ik een verschuiving optreden. Bedrijfsmatig gaan we naast de standaardprotectie steeds meer werken met tools en applicaties, die a priori voorkomen dat verdachte e-mails onze mensen bereiken of die bewaken dat onze mensen geen akelige zaken het netwerk binnentrekken door per ongeluk op wankele websites iets aan te klikken. Alles wordt onderschept, voordat het de zwakste schakel de mens bereikt, zodat die steeds veiliger is en steeds beschermder. Op het werk dan.
Maar wat doet dat met het securitybewustzijn van die zo goed beschermde medewerkers? Wordt zij of hij nu wel bewuster van al die bescherming? Of zorgt deze veilige bubbel ervoor dat ze het gevaar niet meer herkennen, als het bijvoorbeeld in de thuissituatie, op hun eigen laptopje of telefoon ongefilterd op hen afkomt? Kweken we zo niet een nieuw soort onwetendheid en daarmee onze eigen securityparadox? Net als kindertjes die altijd beschermd worden en dus bij de eerste beste keer loslopen direct de sloot inkukelen?
Wat mij betreft is dit voer voor cyberpsychologen en een vraagstuk waar we niet omheen moeten lopen. Anders zijn we als individuen toch weer zo safe als een zeef en dat kan ook niet de bedoeling zijn.
Sandra de Waart, bestuurssecretaris KNVI en zelfstandig business & IT professional
Deze column is verschenen in AG Connect op 2 april