In het laatste (mijn eerste) nummer van vorig jaar had ik het over een in september 2007 gehouden voordracht van Bruce Schneier. Schneier wees op het punt dat we soms banger zijn dan nodig en ons op een ander moment veilig wanen terwijl de grond daarvoor volstrekt ontbreekt. Mensen zijn in het algemeen heel slecht in het goed inschatten van risico’s, was de kern van zijn betoog, en daardoor lopen, als het om veiligheid gaat, gevoel en realiteit nogal uiteen.
   Sindsdien is er een en ander gebeurd. Uit de elke twee maanden af te lezen ICT Barometer van Ernst & Young blijkt dat Nederland niet is voorbereid op een digitale aanval. Vooral de overheid laat het afweten. Driekwart van alle overheidsinstellingen heeft geen enkel noodplan, zo geven de onderzoeksresultaten aan. In de Trend Barometer 2008 van G Data wordt de verwachting uitgesproken dat 2008 ‘het jaar van het losgeld’ gaat worden. Men doelt daarbij op trojans die bestanden, folders of hele delen van de harde schijf kunnen versleutelen, hetgeen vervolgens alleen tegen betaling van een X-bedrag weer ongedaan wordt gemaakt. Uit het onlangs uitgebrachte Mobile Security Report 2008, gebaseerd op een door Datamonitor uitgevoerd onderzoek onder 2000 mobiele bellers in de Verenigde Staten, het Verenigd Koninkrijk en Japan, komt naar voren dat een groot deel van deze consumenten zijn mobiele telefoon niet echt vertrouwd als het gaat om zaken als online bestellen van tickets of mobiel betalen. Bevindingen van weer een ander onderzoek – het X-Force Security Report gepubliceerd door IBM – tonen aan dat er een complexe en geraffineerde economie is ontstaan die munt slaat uit de zwakke plekken van Internet Explorer en Firefox. Verder blijkt dat een razende reporter van SBS drie maanden lang op Schiphol dagelijks de kans heeft gehad om een of meer bommen in vliegtuigen achter te laten, en is de ov-chipkaart ‘zo goed als’ gekraakt. En, oh ja! Daarnet viel mijn oog op een voorpagina-artikel in de Telegraaf (ik lees die krant eigenlijk nooit, behalve als het over Bokito gaat) waarin wordt beweerd dat door de diefstal van laptops de geheimen van het Nederlandse bedrijfsleven letterlijk op straat belanden.
   Het bovenstaande is slechts een greep uit de gestage stroom van ‘gevaarlijke’ berichten die een doorsnee mens maandelijks binnen krijgt. En weet u wat nu het gekke is, ik lig er geen minuut van wakker, al doe ik nog zo mijn best.
   Over gevoel en werkelijkheid gesproken...

Dick Schievels
Hoofdredacteur Infosecurity

Thursday, February 28, 2008 9:31:48 AM (GMT Standard Time, UTC+00:00)      Comments [1]  

Soms voelen we ons volstrekt veilig, terwijl we dat objectief gezien helemaal niet zijn. Op een ander moment voelen we ons kwetsbaar, terwijl daar in de realiteit totaal geen reden voor is. Ziehier in een notedop het thema van de keynote speech van Bruce Schneier op de eind september gehouden RSA-conferentie in Londen. Die RSA-conferentie vindt jaarlijks plaats en heeft in de loop der tijd een sterke reputatie opgebouwd bij collega’s die er eerder waren. Dit jaar was ik er voor het eerst zelf en inderdaad, RSA maakte zijn reputatie dubbel en dwars waar: uitstekende locatie, prima organisatie en een zeer interessant lezingenprogramma. Waar kun je als ‘herintredende’ hoofdredacteur van Infosecurity je kennis beter bijspijkeren?
   Maar even terug naar die keynote van Schneier. Schneier is een vermaard man op gebied van securitytechnologie en auteur van een handvol best sellers als ‘Beyond Fear’, ‘Secrets and Lies’ en ‘Applied Cryptography’. Hij is technologisch uitstekend onderlegd, maar het leuke is dat hij daarnaast ook een heel goed oog heeft voor de psychologische kant van informatiebeveiliging. Zijn speech raakte vooral de essentie van een van de lastigste problemen van ons vakgebied: het inschatten van risico’s.
   Dat dat zo lastig is komt onder meer, aldus Schneier, doordat mensen slecht met zowel hele grote als hele kleine getallen kunnen omgaan. De meesten van ons kunnen zich bijvoorbeeld totaal geen voorstelling maken van wat een risico van 1 op 100.000 precies inhoudt. Daarnaast, zo betoogde hij, ontbreekt het ons bij voorvallen waar we weinig ervaring mee hebben aan de noodzakelijke data om überhaupt een goede risico-inschatting te kunnen maken. Neem ‘11 september’. Was de kans dat zoiets ooit zou gebeuren nu groot of klein? En wat is de kans nú dat iets dergelijks zich herhaalt? We kunnen het slecht inschatten, omdat er gewoon geen genoeg data voor handen zijn waarop zo’n inschatting gedaan zou kunnen worden. Misschien is die kans in werkelijkheid heel klein, terwijl subjectief gezien de angst voor herhaling bij veel Amerikanen heel groot is. En dat is een gegeven waar je, aldus Schneier, niet zomaar overheen kunt stappen.
   In Schneiers optiek gaat het er in ons vakgebied om zoveel mogelijk te streven naar convergentie van gevoel en realiteit, die kloof zoveel mogelijk te dichten, opdat we wél een goede inschatting kunnen maken van welke beveiligingsmaatregelen wel en niet noodzakelijk zijn, welke securityproducten we wel of beter niet kunnen aanschaffen en of de prijs die voor die producten betaald moet worden reëel is of niet. Want, zo waarschuwde Schneier: er wordt een hoop securitytheater in de markt opgevoerd.
   Goed verhaal! Ik zag weer even haarscherp wat wij met ons blad als missie hebben.

Dick Schievels
Hoofdredacteur Infosecurity

Wednesday, December 12, 2007 4:39:25 PM (GMT Standard Time, UTC+00:00)      Comments [0]