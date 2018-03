Naarmate de gegevens die worden opgeslagen op ICT systemen waardevoller worden neemt het belang van veiligheid inderdaad toe.

Ik vind echter dat er veel geroepen wordt over toenemende onveiligheid en daarbij met voor de leek onbegrijpelijke doch dreigende termen worden gebruikt.

Daar zit hem ook mijn punt: het zijn niet zozeer de IT systemen die onveilig zijn, maar de onkunde van gebruikers en soms ook incompetente ITers die het onveilig maken.



Gezond verstand dicteert immers: inloggen op een hartklep via een openbaar netwerk zoals het internet is geen goed idee, dus dat hoor je dan ook niet mogelijk te maken. Hartkleppen horen niet verbonden te zijn met het internet, evenals energiecentrales of kritische infrastructuur of bedrijfskritische processen.

Toch zijn er kennelijk lieden die zo'n onbeperkt vertrouwen hebben in hun onschendbaarheid of gewoon gemakzuchtig zijn dat ze dit toch doen. Dat vind ik nogal verwijtbaar.



Onlangs was er een item op het NOS journaal over de beveiliging van email in de tweede kamer. Ik weet voldoende van email dat email inherent onveilig is, dat je de afzender van email kunt vervalsen, en daar kun je wel iets aan doen, maar je kunt beter alert zijn op deze gevoeligheid en niet kritiekloos acteren op iedere email die je in je inbox vindt.



De expert in kwestie meldde echter met een ernstig gezicht op dat journaal dat je op deze wijze kerncentrales kunt saboteren... als het mogelijk is om via een vervalst emailtje een kerncentrale te saboteren dan heb ik ernstige bedenkingen bij het personeel van die centrales, en is er reden om heel bang te worden. ("Hallo Rutte@tweedekamer.nl hier. Ken je effe alle brandstofstaven nu in een keer laten zakken? ja man, is goed, ik zeg het toch... lache man!")



Dit is een typisch voorbeeld van mensen die om het hardst roepen dat het onveilig is maar mij niet kunnen of willen uitleggen hoe ik dat dan moet voorkomen. Veel van deze discussie in mijn inziens dan ook bangmakerij.



Het werkelijke gevaar is ondeskundig gebruik van IT en dat levert een groot risico op. Overal maar op klikken, spelletjes, porno, lekke Wordpress plugins, software uit twijfelachtige bron dat zijn de werkelijke ingredienten van botnets en andere exploits.



Het is niet minder ernstig maar in plaats van op beveiligers te vertrouwen die zelf vaak ook twijfelachtige methoden hanteren is een goed opgeleide gebruiker van je systemen veel belangrijker, en tevens het handhaven van een gezond wantrouwen jegens alle netwerkverbindingen binnen je IT omgeving. Niet alles hoeft aan dat internet te hangen, en niet alle software hoef je kritiekloos te installeren of te upgraden.. daar zijn genoeg ongelukken gebeurd.



Tot slot is het interessant om te lezen over Stuxnet, de worm waarmee de Amerikanen vermeend een Iraanse opwerkingsfabriek hebben gesaboteerd. Het is een knap staaltje hacken maar berustte uitsluitend op de zwakheid van iemand die zijn usb stickje zowel prive als op zijn werk in een pc stak.