De zwakste schakel

Zo, de jaarlijkse cybersecuritymaand is weer bijna voorbij. Dit jaar was het niet zo moeilijk om extra aandacht te krijgen voor de bewustwording over online veiligheid. Met dank aan onze politie, of als we de welingelichte kringen van de krant voor wakker Nederland mogen geloven, aan een vrijwilliger, die per ongeluk (dat gelukkig dan weer wel) op een link in een phishing-mail heeft geklikt. Met als resultaat dat contactgegevens van alle medewerkers konden worden buitgemaakt en nu waarschijnlijk een toertje maken langs geheime diensten van kwaadwillende mogendheden en/of afpersbedrijfjes, waar ze hopen dat binnenkort de bitcoins tegen de plinten klotsen.

Door: Richard Bezemer, hoofdredacteur Elektro-Data

Het is natuurlijk van de gekke dat deze vrijwilliger als kop van jut wordt opgevoerd (waar korpschef Janny Knol zich overigens helemaal niet in kan vinden, maar ja, die krant). Als hier iets duidelijk uit wordt is dat er –vriendelijk gezegd– geen reet klopt bij de IT van de politie, iets wat de korpsleiding zich dan wel weer mag aantrekken. Deze gevoelige informatie mag natuurlijk nooit voor iedereen binnen de organisatie zichtbaar of benaderbaar zijn, en had ook veel beter moeten worden afgeschermd.

Het is echt geen hogere cyberwiskunde om een strak regime rond schijf- en systeemrechten op te tuigen, toegang te blokkeren tot externe up- en downloadfaciliteiten en tricky internetdomeinen te blokkeren. Ook zijn er min of meer kant-en-klare functionaliteiten waarmee je het onderlinge mailverkeer en het webverkeer van en naar het bedrijfsnetwerk beter in de smiezen krijgt. Een eitje voor een beetje IT-er.

Ik weet niet in hoeverre dit soort maatregelen al bij de politie is doorgevoerd (dat is hopelijk niet-buitgemaakte classified information), maar hoe strak ook alles geregeld is: 100% veiligheid is een utopie. Met dank aan de mens, die hoe eager op de boze cyberwereld, toch in een onbewaakt moment in een nepmailtje kan trappen. Ook al heeft die al dan niet vrijwillig deelgenomen aan de als paddenstoelen uit de grond schietende games, waarmee bedrijven hun werknemers een beetje gaan zitten nep-cyberteasen. Als je dan een keer niet voldoende cyber-alert bent, krijg je een spreekwoordelijke tik op de neus. En als je een heel jaar niet af bent ligt er een bioscoopbon klaar. Hoezee!

In deze Elektro-Data duiken we ook de cyberwereld in met een artikel over de consequenties van de Cyber Resilience Act voor hardware- en software-ontwikkelaars. Maar ook als die hun zaakjes cyberwaterdicht (denken te) hebben gemaakt, blijft aan het eind van de keten de mens, tot in de eeuwigheid verdoemd tot zwakste schakel. Zou AI hier nog iets in kunnen betekenen?