Column: Awareness, best belangrijk
We moeten leren om geen risico’s te nemen op het gebied van beveiliging. Daarom zijn er awareness campagnes. Die vertellen ons dat we moeten patchen, een goeie antivirus installeren, back-ups draaien, niet zomaar attachments openen en niet naar verdachte sites moeten gaan. Raadzame adviezen - voor een thuisgebruiker met een brakke Windows op een Aldi-pc.
Mijn voornaamste probleem met dit soort campagnes is De Verkeerde Toon. We nemen continu volwassen, rationele beslissingen, bijvoorbeeld over investeringen en klantgesprekken, maar als het over computerbeveiliging gaat zijn we kennelijk ineens nooit ouder geworden dan een jaar of zeven. We krijgen leuke screensavers, slogans, posters en massale bijeenkomsten, liefst met rollenspelen en berouwvolle ervaringsdeskundigen die hun lesje geleerd hebben. Zo’n aanpak doet eerder denken aan campagnes uit de DDR dan aan een dynamisch 21ste eeuws bedrijf vol hoogopgeleide, zelfstandige professionals.
SURFnet pakt het nog grondiger aan. Met rolletjes pepermunt en freecards, die de studenten oproepen zich niet te laten pakken. Zijn dit nu de middelen die onze huidige studenten moeten aanspreken? Je zou toch bijna gaan denken aan emigreren.
Dreigen is ook niet slim. Sancties tegen opzettelijke overtredingen, ja, daar is wat voor te zeggen. Maar sancties op fouten en stommiteiten? Misschien handig om van je personeel af te komen, maar voor het personeel zelf leidt het natuurlijk vooral tot onzekerheid over wat wel en niet kan met je primaire gereedschap. En uit onzekerheid gaan we vooral dingen níet doen. Zeg maar dag tegen je productiviteit.
Een ander probleem is dat je voor de meeste awareness-adviezen rechten nodig hebt, die de IT-afdeling eigenlijk niet aan een gebruiker wil geven. Je kunt ze toch moeilijk de rechten geven om hun eigen computer te beveiligen, zoals ze thuis doen. Dat leidt geheid tot misbruik. Althans, dat zal de IT-afdeling zeggen. Dilemma: als ze het niet kunnen stort het bedrijf in, als ze het wel kunnen zit de IT-afdeling zonder werk. En het netwerk vol met illegale beveiligingssoftware.
Gebruikers willen nu eenmaal bediend worden door de stofjassen van de IT-afdeling, die daarvoor overigens ook betaald worden. Ze hebben nooit gevraagd om systemen die niet bestand zijn tegen dagelijks gebruik met een open pijp naar Internet. Als je ze vervolgens het advies geeft dingen te laten, onderstreep je het onvermogen van de IT-afdeling. Zo bevestig je het donkerbruine vermoeden van veel gebruikers, dat die IT-ers over het algemeen maar overbetaalde prutsers zijn.
Systeembeheerders hanteren het motto: gebruikers laten zich niet opvoeden. Ook helpdeskmedewerkers weten al jaren dat uitleggen niet helpt. Waarom zouden beveiligingslessen uit een bedrijfsfilm en op de verpakking van de bedrijfskoekjes dan wel werken?
Het grappige is dat dit allemaal ook helemaal niet hoeft. Je kunt zo’n beetje alles dichtspijkeren en eruit kieperen wat echt niet te redden valt – er is niets mis met een goeie, ouderwetse BOFH die iedereen een thin client geeft (kan ook met windows, hoor) en continu met een bus peur langs alle kieren in het netwerk gaat.
“Ja, maar, thuis hebben we Windows ME en die thin client werkt heel anders, dan moeten we op cursus.” Awareness is ook een cursus. “Ja maar, de beheerders hebben geen verstand van thin clients”. Zij kunnen ook op cursus. En wie het niet wil leren, moet maar de kost gaan verdienen met virussen van thuisPC’s afhalen, of kan zich melden bij de spoelkeuken. De meesten zullen het echter alleen maar leuk vinden. Nieuwe spullen!
Toch modderen we voort met extreem zwakke netwerken. Waarom?
Kennelijk willen we de IT-club niet te veel macht geven, bijvoorbeeld om alles tegen te houden wat niet wenselijk is. Dat herinnert teveel aan vroeger. In de jaren zeventig en tachtig had de gemiddelde IT-afdeling meer te vertellen dan de directie. Ieks! Dat nooit meer. Dan maar liever een netwerk dat af en toe niet werkt.
Eigenlijk is het dus verrotte handig zoals het nu gaat met die awareness-campagnes: de IT-club etaleert haar eigen onmacht en bijt zich vast in zijn frustratie dat er nooit naar ze geluisterd wordt. Dat houdt ze volgzaam.
Peter Rietveld, Senior Security consultant bij Traxion - The Identity Management Specialists -
Vorige columns van Peter
daarintegen... Ja, als er iemand voor veel geld wordt ingehuurd wordt er
wel geluisterd. Waar gaat het toch naar toe?!
Die thinkclients is idd de toekomst.
Hetgeen wat het meest de spijker op de kop slaat zijn de opleidingen.
Sinds het economisch terugval is er natuurlijk geen geld meer voor het
opleiden van je personeel. Dit komt uiteindelijk ten slechte van de
productiviteit, maar ach, wie ziet dat nou de eerste 5 jaar?
dichtgetimmerde IT-omgeving blijft een security awareness
training noodzakelijk. Hoe ga je om met informatie op
papier, bij de printer en door de telefoon? Waarom mag je je
wachtwoord (en/of token) niet aan je collega geven als je op
vakantie gaat? Wanneer is informatie vertrouwelijk en
wanneer niet? Wat doe je met je toegangspasje? Wat doe je
met die ronddolende bezoeker op de gang?
oplossingen? Geen wonder dat er geen klant meer luistert. Ik haak
wederom af bij Peter Rietveld.
brakke Windows op een Aldi-pc.
best aardig. Ze zijn dus niet zo heel brak en dit lijkt me
daarom een wat populistische uitspraak. Bovendien wordt de
veiligheid vooral bepaald door de (beveiligings-)software
die men gebruikt. Zonder os geen internet en ook geen
virussen. Waarom zouden firewalls en malware-vernietigers
niet op een brakke Aldi-pc draaien?
awareness-adviezen rechten nodig hebt, die de IT-afdeling
eigenlijk niet aan een gebruiker wil geven
voorzichtig met meegestuurde bijlagen" of "zet java
en javascript uit als je crack of porno-sites bekijkt".
De IT-club zal vermoedelijk degene zijn die het advies
geeft, aan de gebruiker. Waarom heeft die gebruiker daarvoor
rechten nodig, die de IT-club hem niet wil geven?
eigen computer te beveiligen, zoals ze thuis doen.
internetverbinding redelijk dichtgetimmerd. Dus deze
uitspraak raakt, in mijn ervaring en wellicht wat beperkte
wereldbeeld, kant nog wal. In bedrijven is de boel meestal
redelijk voor elkaar. De bewustzijnscampagnes richten zich
vooral op thuisgebruikers en studenten.
pepermunt en freecards, die de studenten oproepen zich niet
te laten pakken. Zijn dit nu de middelen die onze huidige
studenten moeten aanspreken?
een naam of slogan vaak zien of horen, blijft-ie ergens in
die koppies hangen en misschien beinvloedt het toekomstige
keuzes. Daarom voor het journaal een iets langere reclame
over auto huppeldepup, en na het journaal nog even een korte
herinnering ("oja, net ook gezien!").
Het middel dat men kiest hangt vaak samen met het
beschikbare budget en zal dus vaak een compromis zijn. Zoals
het budget het middel bepaalt, bepaalt het belang dat men
aan bewustzijn hecht, de grootte van het budget. Men vindt
het blijkbaar wel belangrijk, maar niet genoeg voor dure
voorpagina-reclames en tv-spotje (hoeduur zijn banners op
bekende websites eigenlijk?).
Maar daarnaast, studenten vreten zich misschien helemaal
ziek aan pepermunt en bij elk rolletje zien ze de tekst,
meer of minder bewust, weer. En blijft die hopelijk hangen.
Misschien is het niet eens zo'n heel dom gekozen middel.
verlangen, vraag ik me af waar je dan heen zou willen.
IT-afdeling meer te vertellen dan de directie. Ieks! Dat
nooit meer. Dan maar liever een netwerk dat af en toe niet
werkt.
slecht netwerk?
Verder ben ik het met Constant eens dat het makkelijker is,
iets te veroordelen dan het op te lossen.
insteek doet me trouwens onwillekeurig ook aan de DDR denken, maar
goed... Je geeft mensen een gevoel van schijnveiligheid dat het technisch
allemaal geregeld is, en daardoor voelen ze zichzelf niet verantwoordelijk.
Een tijd terug zei iemand mij: "Als ik het niet mag, waarom kan ik het dan?"
Bovendien ben ik het helemaal eens met het commentaar van anoniem:
beveiliging is veel meer dan computerbeveiliging!
De zwakke schakel is de mens en daarom moet je aan awareness doen.
Vraag is alleen: hoe kun je dat het best doen? Maar daarvoor hebben we
hele legers communicatieadviseurs en -medewerkers. Die zouden
moeten weten hoe je ook een moeilijke boodschap overbrengt.
quote:
In de jaren zeventig en tachtig had de gemiddelde
IT-afdeling meer te vertellen dan de directie. Ieks! Dat
nooit meer. Dan maar liever een netwerk dat af en toe niet
werkt.
Ik zou eerder het beschikbare budget eens onder loep nemen.
Zonder geld geen degelijke bescherming en/of cursus voor de beheerder
om op de hoogte te komen met welke middelen de problem terug te
dringen.
Een advies in die richting was dan ook beter geweest
"Raadzame adviezen - voor een thuisgebruiker met een brakke
Windows op een Aldi-pc.
Mijn voornaamste probleem met dit soort campagnes is De
Verkeerde Toon."
Met alle respect, maar mijn Medion-PC van de Aldi doet al
jaren trouw dienst en een brakke Windows-installatie heb ik
er ook al niet op kunnen ontdekken. Over een verkeerde toon
aanslaan gesproken...
--
Marco
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
