Beheer

Security
De securityparadox

De securityparadox

Optimale bescherming en dus niks vermoeden

© Shutterstock
2 april 2021

Boeven zijn overal om ons heen en de cyberboeven al helemaal. In onze mailboxen, onze servers, langs de randjes van onze netwerken en voor de virtuele ingangen van onze kantoren liggen ze achter de digitale bosjes te loeren op een kans. Gelukkig hebben we onze cybersecurityexperts en -oplossingen om ons te vrijwaren van het gespuis. Maar helpt het ook?

Eerst lag de nadruk op bescherming aan de poort: spamfilters, firewalls, versleutelingen en tal van technogebaseerde oplossingen. Het werkt ontegenzeggelijk en het houdt een hoop ellende buiten de deur. Maar de boeven zaten niet stil en schakelden over op de zwakste schakel: de mens. We kennen allemaal de mooie voorbeelden van social engineering, die variëren van de toch wel erg doorzichtige mail van een Nigeriaanse prins met een miljoenenerfenis tot de bijna niet meer van echt te onderscheiden e-mails van je eigen bank met de dringende boodschap om toch vooral hier te klikken. Als je tenminste wilt voorkomen dat je bankpas wordt ingetrokken of je geld geroofd.

Tegen dat soort praktijken worden vervolgens bewustwordingscampagnes ingezet (“Eerst checken, dan klikken! Ik blijf het toch zeggen hoor!”) en anti-phishingscursussen binnen bedrijven.

Kweken we zo niet een nieuw soort onwetendheid en daarmee onze eigen securityparadox?

En dat helpt. En ook weer niet, want de traditionele criminaliteit van woninginbraken en overvallen daalt, maar de internetcriminaliteit zit nog steeds lekker in de lift. Kennelijk stijgt het securitybewustzijn bij het publiek minder hard dan de inventiviteit bij de cyberboeven. Dus wat te doen?

In mijn huidige werk als ICT operations manager en ook in de markt voor cybersecuritydiensten zie ik een verschuiving optreden. Bedrijfsmatig gaan we naast de standaardprotectie steeds meer werken met tools en applicaties, die a priori voorkomen dat verdachte e-mails onze mensen bereiken of die bewaken dat onze mensen geen akelige zaken het netwerk binnentrekken door per ongeluk op wankele websites iets aan te klikken. Alles wordt onderschept, voordat het de zwakste schakel de mens bereikt, zodat die steeds veiliger is en steeds beschermder. Op het werk dan.

Maar wat doet dat met het securitybewustzijn van die zo goed beschermde medewerkers? Wordt zij of hij nu wel bewuster van al die bescherming? Of zorgt deze veilige bubbel ervoor dat ze het gevaar niet meer herkennen, als het bijvoorbeeld in de thuissituatie, op hun eigen laptopje of telefoon ongefilterd op hen afkomt? Kweken we zo niet een nieuw soort onwetendheid en daarmee onze eigen securityparadox? Net als kindertjes die altijd beschermd worden en dus bij de eerste beste keer loslopen direct de sloot inkukelen?

Wat mij betreft is dit voer voor cyberpsychologen en een vraagstuk waar we niet omheen moeten lopen. Anders zijn we als individuen toch weer zo safe als een zeef en dat kan ook niet de bedoeling zijn.

Magazine AG Connect

Dit artikel is ook gepubliceerd in het magazine van AG Connect (maartnummer, 2021). Wil je alle artikelen uit dit nummer lezen, klik dan hier voor de inhoudsopgave.

Reactie toevoegen
1
Reacties
Léon Heijdra 19 april 2021 13:05

Ik vrees inderdaad dat het middel erger is dan de kwaal. Door alle 'gevaren' vooraf (zoveel mogelijk) weg te filteren gaat de gebruiker ECHT achterover leunen/op zijn/haar handen zitten en is niet de vraag of, maar wanneer het echt fout gaat.
Als je al filtert, stuur dan in ieder geval een melding naar de gebruiker, zodat die er ook van leert. Maar let op: de zogenaamde AI-algoritmes zijn zo intransparant en random, dat de gebruiker (zonder serieuze verbetering van die algoritmes) overvoerd wordt en alsnog alle rode lichten gaat negeren.