M.i. mogen we het hier wel eens wat langer over hebben dan onder een altijd snel wegzakkend redactioneel artikel. Dus hier mijn reactie op een vraag van Anoniem in direct onder https://www.security.nl/posting/762809/Twintig+procent+Nederlanders+mist+digitale+basisvaardigheden.

Ik vind dat helemaal geen domme vraag. Het hangt er enorm vanaf aan wie je vraagt wat digitale basisvaardigheden zijn. Zo zie ik een gigantisch verschil tussen enerzijds "hoe kijk je op rijksoverheid.nl" en anderzijds "hoe voorkom je dat je bankrekening geplunderd wordt als je wel eens gebruik maakt van internetbankieren" en "hoe vraag je subsidie aan voor x". Daarom denk ik eerder aan 80% dan aan 20%.

Overigens zijn het niet zozeer "vaardigheden" (vergelijkbaar met het veilig kunnen besturen van een auto), maar gaat het vooral om kennis (de verkeersregels en borden kennen), inzicht, op internet afgestemd wantrouwen, begrijpend lezen (niet alleen koppen) en -helaas- intelligentie (de zeven vinkjes van Joris Luyendijk zijn feitelijk een voorwaarde, maar garanderen anderzijds niet de je niet de muispijl maar de muis zelf naar de rechterbovenhoek van het scherm beweegt). Elke idioot kan op internet publiceren en, on the internet, nobody knows you're a dog.

Ik noem enkele aandachtsunten (en sta vanzelfsprekend open voor meer aan ICT gerelateerde aspecten).

1) Groot verschil van perspectief
Ik [1] ben niet normaal. Normaal is dat, als je "internet start", je de zoekpagina van Google te zien krijgt. Normaal is ook dat, als je wilt internetbankieren of webshoppen, je midden in die pagina (wat is een browser, wat is een URL-balk en wat zijn internet-bookmarks of internetsnelkoppelingen?) de naam van jouw bank intikt of een beschrijving van het product dat je wilt kopen. Ik sluit mijn TV niet op internet aan, ik heb geen Ring en geen "slimme" (voor wie?) speaker (afluisterapparaat). De datum en tijd en 112 kunnen bellen vanaf een locked screen vind ik zinvol, maar als het zou kunnen zou ik foto's maken ook uitzetten, enzovoorts.

[1] Die Erik van Straten (ik heb naamgenoten) waarvan je potentieel onbetrouwbare informatie kunt vinden als je Googled naar "Erik van Straten" security (inclusief de aanhalingstekens). Nb. heb nooit bij Feenstra gewerkt en ik "zit niet" op Facebook, Twitter of LinkedIn (en ik schilder geen halfnaakte dames, toevallig heb ik wel de schuur deze week, ik ben niet gek op Whisky en ben niet actief op internet als fotograaf). En ik probeer zo min mogelijk op mijn smartphones te zitten, want daar zouden ze van kunnen breken. Dit is niet alleen "grappig" bedoeld: veel te vaak noemen we beestjes niet bij de naam met verwarring en allerlei risico's als gevolg. Denk naast "internetten" o.a. aan "hacker" en "hacken", "crypto" voor cryptovaluta en "algoritme" voor AI.

Abnormaal
Omdat ik niet normaal ben, moet ik abnormaal veel moeite doe om te begrijpen hoe normale mensen denken en handelen. Misschien is deze tweedeling er wel de belangrijkste oorzaak van dat we zo enorm langzaam vooruitgang boeken en de resterende achterblijvers steeds moeilijker kunnen meekomen. Zo schrik ik elke keer van de reacties dat het de eigen schuld zou zijn van mensen wiens internetbankrekening door cybercriminelen is geplunderd. Naarmate ik meer mensen zover krijg (m.i. voor hun eigen bestwil) dat zij abnormaler worden, word ik vanzelf normaal.

2) Zichtbare internetadressen: domeinnamen
Een m.i. essentieel deel van "digitale vaardigheden" is dat je moet begrijpen hoe domeinnamen zijn opgebouwd. En dat digi-d.nl (zie ook de reactie van Anoniem in https://security.nl/posting/762821 maar ook https://security.nl/posting/391217 van de redactie; die gelinkte webpagina's openen overigens in een nieuw venster wat niet wil zeggen dat dit op andere sites ook gebeurt) niet hetzelfde is als digid.nl (soms is dit wel zo opgezet, juist omdat veel mensen het niet weten of kunnen weten). Niet alleen de meeste mensen zijn normaal, ook beveiligers bij NGO's/GO's die niet KEIHARD protesteren tegen domeinnamen zoals digid.nl (i.p.v. digid.overheid.nl) en werkenbijdeoverheid.nl (i.p.v. werkenbij.overheid.nl).

Overigens werkt https://werkenbij.overheid.nl/ wel, maar je krijgt een certificaatfoutmelding omdat die site je niet doorstuurt naar https://werkenbijdeoverheid.nl/, maar naar https://www.werkenbij.overheid.nl/, en een BOFH aldaar niet snapt dat een wildcardcert voor *.overheid.nl niet werkt voor *.*.overheid.nl en dat natuurlijk ook niet test (zie https://www.ssllabs.com/ssltest/analyze.html?d=www.werkenbij.overheid.nl). Als je de certificaatmelding negeert kom je op de 404 pagina van overheid.nl. Zelfs als NL.Overheid zou zeggen "ingewikkelder kunnen we het niet maken", geloof ik dat niet.

N.b. ik kwam hier "toevallig" achter toen ik deze post schreef. Dat is helemaal niet toevallig, want altijd als ik iets schrijf en wat rondklik struikel ik over dit soort idioterie. Dat sterkt mij in de gedachte dat zelfs ontwerpers, ontwikkelaars en beheerders met digitale basisvaardigheden extreem schaars zijn. In dat licht lijkt het onbegonnen werk om te proberen dit probleem op te lossen aan de kant van de gebruikers.

Tuurlijk, uitzonderingen
Zodra je hebt geleerd dat de server "www.ziggo.nl" [2] van de organisatie achter "ziggo.nl" is (en dat het bij www.ziggo.nl en ziggo.nl waarschijnlijk om dezelfde server gaat), ga ik je vertellen dat de server "mailings.ziggo.nl" (o.i.d.) helemaal niet van Ziggo is, maar van een "trusted" (niet door jou maar door Ziggo) bedrijf dat flinke kortingen aan Ziggo geeft om jouw contactgegevens te mogen "bezitten" en te misbruiken, maar vooral ook te analyseren of en wanneer jij mails opent en klikt op links daarin ("want" ISO 9001 - meten van "klanttevredenheid" en fok privacy).

[2] Ik noem Ziggo maar bijna elke grote organisatie (NGO/GO) doet dit, allen hebben zij korte-termijn-denkende "marketing" vrouwtjes en mannetjes in dienst (of huren een bedrijf in met dat soort geldjagers ten koste van anderen, waar zij natuurlijk ook hun adressenbestand mee delen, what could possibly go wrong) die heel druk zijn met uitzoeken hoe iets goedkoper kan voor de betreffende organisatie, maar de ballen verstand hebben van, en interesse hebben in, de privacy van geadresseerden.

Wisselende contacten zonder essentiële voorzorgsmaatregelen
Overigens kan het om een groot aantal wisselende (niet altijd fatsoenlijk met antimalware en andere beveiligingsmaatregelen "gevaccineerde") bedrijven gaan; Ziggo en anderen gaan jou er niet elke keer mee vermoeien als zij weer eens een "betere deal" met een andere bulkmailer hebben gesloten. Een consequentie hiervan is dat jezelf uitschrijven voor "niet spam" (een mening die zelden gedeeld wordt tuseen verzender en ontvanger) reclamemails zelden werkt; als dat al iets doet is dat hooguit bij één van de (meestal) vele "trusted" third parties. Je proberen uit te schrijven uit de lijsten met geadresseerden in spam en phishing mails is minstens net zo stom, want ook zij weten dan dat jouw e-mail adres geen zwart gat en waarschijnlijk geen honeypot (nee leg ik niet uit) is.

Bankfiliaal in kraakpand
Bij wijze van spreken kopen of huren cybercriminelen (meestal met gestolen geld), of breken in in of kraken, gebouwen in jouw buurt en passen de gevel zo aan dat het gebouw als twee druppels water lijkt op een filiaal van jouw bank - of webshop waar je iets wil kopen. Of hangen (als proxy voor een echte elders) een fake flappentap aan een gevel, waar de meeste flappentappers vervolgens argeloos hun bankpas insteken en hun pincode op invoeren. Om daarna verbaasd te zijn over de foutmelding en geen bankbiljetten. Natuurlijk doen doe criminelen hun uiterste best om reclame daarover in jouw brievenbus te stoppen, waarbij zij zich niets aantrekken van de grootste NEE-NEE stickers, pitbulls, stop-de-postbode-planten (ongesnoeid en/of met stekels) en/of al dan niet "Bayesian" filters. Oftewel, internet lijkt misschien een vervanger te zijn van "real life" (offline), maar is dat op belangrijke punten helemaal niet. Als niemand jou dat ooit heeft verteld en/of je dat niet begrijpt, moet je enorm veel geluk hebben om geen grote teleurstellingen mee te maken.

3) Big data brothers/fathers
Op internet ben je als Britney Spears: overal zijn camera's en microfoons. En steeds meer andere bronnen (locatie, contacten, hartslag, bloeddruk etc). Alles wat je doet wordt vastgelegd, verkocht aan allerlei vage partijen die het niets aangaat, en eindeloos geanalyseerd (big data ben jij) waaruit deels foute conclusies over jou worden getrokken. Vervolgens word je bestookt met reclame in andere eenzijdige of ronduit valse informatie om jouw gedrag en mening te beïnvloeden. Overheden proberen hier een graantje van mee te pikken, maar zelfs door "kinderporno" en "terrorisme" te roepen zijn zij daar minder succesvol in dan commerciële partijen (die er niet op zitten te wachten om hun handelswaar gratis met "veiligheidsdiensten" te moeten delen, met het risico dat die handelswaar in echt verkeerde handen valt - nl. van hun directe concurrenten).

Vadertjelief
Daarnaast heb je op internet vele vaders die menen jouw curator te zijn: zij weten veel beter dan jij wat het beste voor jou is, zoals welke informatie jij besliste moet zien en welke juist niet. Natuurlijk stoppen zij hun software en hardware vol met "telemetrie" (ook wel spyware genoemd) om te zien of het "goed" gaat met hun trekpop, en hoe ze jou zo afhankelijk mogelijk (ook bekend als verslaafd) kunnen maken en houden. Irritant voor hen zijn bloedzuigers als Max Schremms, de BOF en de GDPR/AVG, maar gelukkig werkt hun lobby uitstekend en creëert zelfs de Raad van State jurisprudentie waaruit blijkt dat het verkopen van JOUW gegevens en beelden (van prestaties die JIJ leverde) een, voor die wet, gerechtvaardigd commercieel belang vormt (ondanks veelal onvoorspelbare risico's voor jou) - waar jij niets over te zeggen hebt. En als je dat toch doet, bedoelde partijen de massa subtiel aanzetten om jou als een spoken-ziende-aansteller weg te zetten.

4) Verbeteren van "digitale vaardigheden"
Als je denkt "ik wil mijn digitale vaardigheden verbeteren" dan duikelen allerlei nitwits met vaak goedbedoelde adviezen over elkaar heen. "Open geen bijlagen in e-mails van onbekenden" - echt briljant advies als je personeelsfunctionaris bent of vergunningsaanvragen beoordeelt op het gemeentehuis. "Let op de afzender": hoe weet je dat dit is wie zij of hij suggereert te zijn? "Klik niet op links in mails": als niemand dat zou doen was het voor de Ziggo's van deze wereld goedkoper om hun eigen mailings te verzorgen. "Let op taal en spellingsfouten" en "banken zullen nooit ..." met teveel uitzonderingen.

Onder het redactionele artikel grapt Anoniem in https://security.nl/posting/762830:
Helaas zie je die flauwekul nog steeds, zie "seniorweb" en "veiligbankieren.nl" in https://security.nl/posting/760256 en andere bijdragen in die thread, die m.i. goed aansluit op dit thema.

Conclusie en vragen
Zo kan ik nog uren doorgaan. Het oorspronkelijk "vrije" internet is grotendeels gekaapt door commerciële partijen met heel andere primaire belangen (vooral juichende aandeelhouders). Een overeenkomst met real life houdt al snel op na "gij zult onze reclame consumeren" (en daar ook voor betalen).

Hoe kunnen we zoveel mogelijk mensen "digitale vaardigheden" bijbrengen? Klopt mijn aanname dat, als je dat doet vanuit een securityperspectief, je de rest van de koe waarschijnlijk ook goed bij de horens hebt gevat? En hoe maken we tegelijkertijd internet gebruiks- en gebruikersvriendelijker? Hoe voorkomen we meestal averechts werkend techsolutionism? Hoe laten we tot de hersens van veel beveiligers en opleiders doordringen dat "als je bewijs hebt dat het is wat het lijkt te zijn" zelden betekent dat ook het omgekeerde het geval is, en dus cybercriminelen geld blijven slaan uit dit hardnekkige misverstand?