Door Quink: Ik raak het spoor bijster door je reactie. Eerst schrijf je: “dat geloof ik niet”, om daarna te bevestigen waarvan je dat zegt.
Ik had het duidelijker kunnen formuleren, maar dat je het niet begrijpt komt doordat je de essentie in de daaropvolgende alinea gemist hebt:
Door Erik van Straten: Dat geloof ik niet.
Mensen die weten welke risico's ze lopen bij bepaalde handelingen, zijn meestal slecht in het inschatten van die risico's als de kans op een incident klein is, ook als de impact daarvan groot is (zoals appen achter het stuur, ik ken geen mensen die dat verstandig vinden, maar toch doen veel mensen dat).
De meeste mensen met te weinig digitale "basisvaardigheden" hebben echter überhaupt geen idee dat en welke risico's zij lopen bij bepaalde handelingen. Er zijn andere dreigingen, omdat de online wereld veelal onvergelijkbaar is met offline.
Daarmee bedoel ik twee zaken (met een soms dunne scheidslijn):
1) Niet weten
dat bepaalde handelingen risico's met zich meebrengen (de associatie niet maken);
2) Als je dat wel weet, die risico's verkeerd inschatten (overigens beide kanten op) en niet de juiste (of teveel) mitigerende maatregelen nemen.
Je geeft zelf een mooi voorbeeld van punt 1: "klapdeuren" (met drangers, bijv. in een gang). Als het warm is of men intern aan het verhuizen is, heeft men de neiging die deuren geopend vast te zetten met een spie of iets zwaars ervoor. Als hen niet door iemand zoals Quink is verteld dat die deuren, meteen na passage, weer gesloten moeten worden
om bij een onverhoopte brand het transport van zuurstof in het gebouw te beperken, begrijpen ze überhaupt het hoofddoel van die deuren niet (wellicht om tocht te voorkomen als het koud is of zo).
Als mensen de toegang tot brandblussers en kabelhaspels blokkeren, vooral als daar een bordje bijhangt met "omgeving vrijhouden i.v.m. brand", zijn ze stom bezig want "dat hadden ze kunnen weten", alhoewel er ook altijd mensen zijn die de kans op brand verwaarloosbaar klein vinden. Maar kennelijk is het menselijk om stom te zijn, en daarom is het verstandig om hen regelmatig te wijzen op het belang van (preventieve) maatregelen en op eventuele sancties als men zich niet aan de geldende regels houdt.
Er zijn te weinig Quink's die snappen en (boeiend kunnen) uitdragen waarom het bijvoorbeeld stom is om voor elk "project" een nieuwe domeinnaam aan te vragen (zie ook mijn vorige bijdrage). Want kennelijk beseffen de meeste mensen zelf niet
dat dit onwenselijk is: hoe weet een bezoeker dat die domeinnaam van jou is (en eentje die er op lijkt dat niet is, zoals digislimmer.nl versus digisterker.nl en digivitaler.nl; dit is "eenwegdenken", niet vanuit het perspectief van jouw doelgroep) en in wiens handen valt die domeinnaam zodra jij stopt met jouw project.
Immers, zodra je stopt met project "sub" in sub.domein.nl kan die domeinnaam niet eenvoudig in handen van kwaadwillenden vallen (gevolg: "address not found" i.p.v. een fake site). Als je een subpagina (of subtree) op domein.nl gemaakt had, is een 404 vervelend maar duidelijk. Als jouw doelgroep "jouw" (voormalige) site opent en die, onverwacht door hen, ondertussen malware en/of misleidende informatie serveert, zou jij je daar verantwoordelijk voor moeten voelen.
Als notabene zelfs de makers van
digisterker.nl een domeinnaam als
digisterkercursus.nl registreren (in plaats van
cursus.digisterker.nl), dan is er nog heel veel werk te doen. Voor lezers die het probleem nog niet snappen: per definitie heeft de eigenaar van ing.nl automatisch zeggenschap over *.ing.nl, dus bijvoorbeeld over my.ing.nl - maar
niet over mying.nl (bizar overigens dat mying.nl mij via een heel stel" jump"-sites leidt naar mbest.aliexpress.com).
Ander voorbeeld: de meeste mensen hebben er geen idee van hoeveel fake websites er elke dag worden opgetuigd (ik ook niet precies, maar het zijn er
véél). Zolang mensen niet weten
dat zij gevaar lopen, gaan ze überhaupt geen mitigerende maatregelen nemen. Bovendien
hebben ze een virusscanner en een firewall, en vaak hebben ze ook updates geïnstalleerd.
En zodra hen verteld wordt
dat dit niet genoeg is, blijken veel mensen helemaal niet te weten hoe ze fake van echt kunnen onderscheiden. Ik heb ooit een hoog opgeleid (beta) iemand een plaatje met twee screenshots laten zien: links van een browser met een fake bankwebsite, rechts een browser met de originele. Ik vroeg welke echt was en welke nep. Genoemde persoon vielen minimale verschillen op tussen de webpagina's zelf, maar keek niet naar de (in de screenshots zichtbare) URL-balk met domeinnamen (beide sites "hadden een slotje" en één van de domeinnamen was duidelijk nep).
Nog een voorbeeld: ik heb teveel mensen met een kapotte harde schijf in hun notebook of PC - zonder backup - meegemaakt. In tegenstelling tot brandgevaar ontbrak in de meeste gevallen het besef dat zo'n schijf kapot kan gaan (ook binnen de garantieperiode - waar je jouw bestanden niet mee terug krijgt). Als je niet weet
dat er een risico bestaat, ga je ook niet inschatten.
Kortom, het is niet alleen "mensen zien het gevaar niet" maar ook "mensen weten überhaupt niet dat er gevaar bestaat".
Door Quink: Door jou dus samengevat als "slecht in het inschatten van die risico's als de kans op een incident klein is, ook als de impact daarvan groot is".
Ja, maar ook vaak niet weten, beseffen of begrijpen dat een risico bestaat.
Door Quink: Veiligheid is niet leuk, het is lastig.
Klopt. Maar als je mensen duidelijk maakt dat zij
zelf risico's lopen [*] en
persoonlijk grote schade kunnen oplopen (bankrekening geplunderd of sancties van werkgever), dan is het mijn ervaring dat ze best willen luisteren en handelen.
[*] Als werkgever kun je goed gedrag ook belonen naast of in plaats van fout gedrag te sanctioneren. Banken zouden dat overigens ook kunnen doen bij mensen die de risico's willen leren kennen en beter gaan opletten.
Door Quink: Wat ik met mijn ervaringen alleen wil aangeven is het gegeven dat je ook met een meer begrijpelijke inrichting van een veilige IT omgeving zowel voor jong er oud er niet bent.
Je zult hoe aannemelijk en gebruiksvriendelijk je Internetgebruik ook inricht, een de veiligheid interrumperend gedrag bij regelmaat blijven zien gebeuren.
A: omdat de gebruiker, hoewel hij weet dat er gevaren aan kleven, toch in alle vrijheid wil blijven klikkerdeklikken.
Zoals ik bovenaan deze pagina schreef is het, in veel gevallen, onrealistisch om van mensen te vragen niet te "klikkerdeklikken" want vaak moeten zij dat wel. Als ik op rijksoverheid.nl (vertrouwd) een link zie naar
www.bibliotheekenbasisvaardigheden.nl, hoe moet ik dan weten dat het (binnenkort) mogelijk onverstandig is om daarop te "klikkerdeklikken"?
En als ik digitaalsamenleven.nl ooit bezocht heb of weet van het bestaan, en een mail ontvang met een link naar digitalesamenleving.nl (een bestaande site maar van een ander, zo te zien (nog) niet kwaadaardig), hoe moet ik dan weten weten welke "echt" is en welke niet? Beide sites hebben overigens een Let's Encrypt certificaat, dus zelfs daar kun je dit niet uit opmaken. En in plaats van dat de situatie verbetert, verslechtert deze (zie bijvoorbeeld
https://www.security.nl/posting/764149/Australische+bedrijven+gewaarschuwd+voor+fraude+via+nieuw+_au-domein). Commercie wint van verstand.
Door Quink: B: zoals ik al aangaf de doelgroep waarvoor zowel brand- en inbraak preventie als wel veilig internet bedoeld zijn, de mens is. Dus niet dat het twee verschillende mensensoorten zijn, die afzonderlijk het begrip veiligheid volledig anders interpreteren of erger negeren, en van daaruit zouden handelen.
Dat begrijp ik niet. Er zijn nog steeds organisaties die zich
niet realiseren dat
ook zij getroffen kunnen worden door ransomware (al dan niet met lekken van vertrouwelijke informatie), en er zijn organisaties die dat wel inzien en maatregelen nemen.
Natuurlijk is er een grijs gebied met meer of minder maatregelen. Maar als je niet eens weet wat ransomware is of dat een aanval daarmee catastrofaal kan zijn voor jouw organisatie, of stopt met denken na "het is ons nog nooit overkomen" of "hier valt bijna niets te halen", dan kun je wel wat nieuwe wijsheden gebruiken.
Naast dat je een onderverdeling kunt maken in groepen die geen tot teveel maatregelen nemen, zijn er groepen die wel tot niet beseffen dat er gevaar dreigt.
Terug naar het topic, bij "digitale basisvaardigheden" is security één van de aandachtspunten die je m.i. integraal moet meenemen tijdens het bijbrengen van die vaardigheden. Vergelijkbaar kun je tijdens een brandoefening mensen er nog eens op wijzen waarom die klapdeuren zoveel mogelijk dicht moeten blijven en je geen tafels voor brandblussers moet zetten. Dat beklijft beter dan een saai boekje met huisregels bij indiensttreding dat bijna niemand leest.
Probleem: zo'n boekje krijg je niet eens als je een PC of draagbaar "device" koopt, laat staan dat er "brandoefeningen" zijn.