Soms voelen we ons volstrekt veilig, terwijl we dat objectief gezien helemaal niet zijn. Op een ander moment voelen we ons kwetsbaar, terwijl daar in de realiteit totaal geen reden voor is. Ziehier in een notedop het thema van de keynote speech van Bruce Schneier op de eind september gehouden RSA-conferentie in Londen. Die RSA-conferentie vindt jaarlijks plaats en heeft in de loop der tijd een sterke reputatie opgebouwd bij collega’s die er eerder waren. Dit jaar was ik er voor het eerst zelf en inderdaad, RSA maakte zijn reputatie dubbel en dwars waar: uitstekende locatie, prima organisatie en een zeer interessant lezingenprogramma. Waar kun je als ‘herintredende’ hoofdredacteur van Infosecurity je kennis beter bijspijkeren?
   Maar even terug naar die keynote van Schneier. Schneier is een vermaard man op gebied van securitytechnologie en auteur van een handvol best sellers als ‘Beyond Fear’, ‘Secrets and Lies’ en ‘Applied Cryptography’. Hij is technologisch uitstekend onderlegd, maar het leuke is dat hij daarnaast ook een heel goed oog heeft voor de psychologische kant van informatiebeveiliging. Zijn speech raakte vooral de essentie van een van de lastigste problemen van ons vakgebied: het inschatten van risico’s.
   Dat dat zo lastig is komt onder meer, aldus Schneier, doordat mensen slecht met zowel hele grote als hele kleine getallen kunnen omgaan. De meesten van ons kunnen zich bijvoorbeeld totaal geen voorstelling maken van wat een risico van 1 op 100.000 precies inhoudt. Daarnaast, zo betoogde hij, ontbreekt het ons bij voorvallen waar we weinig ervaring mee hebben aan de noodzakelijke data om überhaupt een goede risico-inschatting te kunnen maken. Neem ‘11 september’. Was de kans dat zoiets ooit zou gebeuren nu groot of klein? En wat is de kans nú dat iets dergelijks zich herhaalt? We kunnen het slecht inschatten, omdat er gewoon geen genoeg data voor handen zijn waarop zo’n inschatting gedaan zou kunnen worden. Misschien is die kans in werkelijkheid heel klein, terwijl subjectief gezien de angst voor herhaling bij veel Amerikanen heel groot is. En dat is een gegeven waar je, aldus Schneier, niet zomaar overheen kunt stappen.
   In Schneiers optiek gaat het er in ons vakgebied om zoveel mogelijk te streven naar convergentie van gevoel en realiteit, die kloof zoveel mogelijk te dichten, opdat we wél een goede inschatting kunnen maken van welke beveiligingsmaatregelen wel en niet noodzakelijk zijn, welke securityproducten we wel of beter niet kunnen aanschaffen en of de prijs die voor die producten betaald moet worden reëel is of niet. Want, zo waarschuwde Schneier: er wordt een hoop securitytheater in de markt opgevoerd.
   Goed verhaal! Ik zag weer even haarscherp wat wij met ons blad als missie hebben.

Dick Schievels
Hoofdredacteur Infosecurity

Wednesday, December 12, 2007 4:39:25 PM (GMT Standard Time, UTC+00:00)      Comments [0]