Volgens Claus Villumsen, CTO van beveiligingsbedrijf BullGuard, draait goede beveiliging om eenvoud. Als een virusscanner of firewall te veel vragen stellen, haken de meeste mensen af of gebruiken ze niet alle mogelijkheden van de software. Daarom is gebruiksvriendelijkheid ook een beveiligingsfeature, zo laat hij in een interview met Security.nl weten. Wij vroegen welke software te complex is, hoe je eenvoudige software herkent en waar de balans ligt tussen gebruikers iets bijbrengen en alles automatiseren.

Je stelt dat eenvoud beveiliging is en als producten teveel vragen stellen, gebruikers afhaken. Komt dit omdat beveiligingssoftware te lastig voor mensen te begrijpen is of dat ze de moeite niet willen nemen omdat security ze niets kan schelen?
Villumsen: Technologie is gecompliceerd, maar hoeft niet lastig te zijn. Neem bijvoorbeeld een televisie. Daar binnen gebeurt van alles, met complexe circuits die signalen van over de hele wereld ontvangen. Het enige wat je nodig hebt om het te bedienen is de aan en uit knop en een afstandbediening.

Dat moet je ook van software verwachten, maar het is helaas zelden wat je krijgt. De meeste mensen weten niet hoe alle software op hun computer met elkaar verbonden is en hoe het werkt, waardoor ze opgeven. Niet omdat het ze niets kan schelen, ze lui of dom zijn, maar omdat de focus in hun leven ergens anders ligt, misschien hersenchirurgie of misschien het maken van muziek.

De software-industrie moet dan ook leren van de hardware-industrie en zichzelf overstijgen. Wat de software-industrie doet is typisch voor een nieuwe markt, het wil alles laten zien en niets verbergen. Softwareontwikkelaars hebben de neiging om hun eindgebruikers teveel te betrekken en daarom worden programma's lastig. De werking van een product kan zo complex als nodig zijn, zolang het maar eenvoudig te gebruiken is voor de meeste mensen die geen informatica als opleiding hebben gekozen. We moeten accepteren dat niemand buiten de ontwikkelafdeling door complexe code gefascineerd is die gebruikers geeft wat ze willen; in ons geval security.

Security gaat niet over het stellen van vragen aan gebruikers. Mensen vragen stellen die ze niet kunnen beantwoorden geeft mensen een onveilig gevoel. Security gaat over het geven van oplossingen die gebruikers vertrouwen geven.

Leveranciers laten mensen geloven dat alles eenvoudig is, maar zijn sommige dingen gewoon niet lastig, zoals security?
Villumsen: Er is geen reden om dingen te bemoeilijken als er een eenvoudige oplossing is. In het algemeen zijn eindgebruikers intelligente mensen die prima in staat zijn om hun eigen digitale leven te leiden. Ze hebben alleen de juiste tools nodig om zich tegen online dreigingen te beschermen. Er is een hele industrie bezig om gebruikers te beschermen en die industrie moet de moeite nemen om die tools zo gebruiksvriendelijk als mogelijk te maken. Als softwareontwikkelaars dingen onnodig compliceren komt dit omdat ze niet willen of niet in staat zijn om in de schoenen van eindgebruikers te stappen, met als gevolg dat ze de eindgebruiker niet begrijpen.

Nogmaals, mensen hebben andere dingen dan software waar ze hun tijd aan willen besteden, dus moeten we niet verwachten dat ze dit wel gaan doen.

Welke onderdelen van beveiligingssoftware zijn in het algemeen te lastig?
Villumsen: De firewall setup is extreem lastig, het instellen van de regels van wie en wat wel toegang tot de computer heeft en met het web verbinding mag maken. Je kunt het vergelijken met het organiseren van het verkeer in een stad als Londen. Stel je zelf voor dat je helemaal vanaf nul begint met de positie van de verkeerslichten en de interval waarop ze veranderen, een gigantische onderneming.

Niet ervaren gebruikers kunnen het beste de standaard instellingen van hun firewall kiezen en in het geval ze dingen willen wijzigen, contact met de helpdesk van hun leverancier opnemen.

Wat doen jullie om beveiliging te vereenvoudigen?
Villumsen: We doen veel moeite bij het ontwikkelen van een gebruikersinterface die logisch en intuïtief is. We nemen de tijd om naar onze gebruikers te luisteren en aan hun behoeften tegemoet te komen. De beveiligingsindustrie is over het geheel genomen meer op grote ondernemingen gericht dan op eindgebruikers. Dit is terug te zien in de gebruikersinterfaces, die voor technische IT professionals zijn ontwikkeld en niet voor normale mensen. We proberen ook onnodige communicatie te voorkomen, zoals de eindeloze stroom van pop-up meldingen etc.

Wat zijn de drie belangrijkste aspecten van eenvoudige software?
Villumsen:
1. Logisch gestructureerde interface.
2. Ondubbelzinnige aanbevelingen
3. Relevante en begrijpbare communicatie

Je kunt alle security-zaken automatiseren, maar ondermijnt dat niet het 'awareness' gedeelte? Door een programma te gebruiken en waarschuwingen te krijgen weet je dat er dreigingen zijn. Als je niets te zien krijgt, kun je denken dat er geen problemen zijn.
Villumsen: Ja, eindgebruikers moeten weten dat het product werkt. Aangezien geen enkele eindgebruiker hetzelfde is, vereisen ze verschillende niveaus van betrokkenheid. Daarom vragen wij hoeveel informatie ze willen en of ze alles zelf willen doen.

Betekent eenvoud niet minder features? Sommige mensen vinden het heerlijk om met allerlei opties te experimenteren?
Villmusen: Nee, eenvoud is een kwestie van een goed ontwerp en goede architectuur. Het is een kwestie van het respecteren van mensen. Dat je vertrouwt dat ze hun eigen niveau van betrokkenheid kunnen kiezen en ze de mogelijkheid geeft om te reageren zoals ze dat zelf willen.

Je waarschuwt dat identiteitsdiefstal zal groeien. ID-diefstal lijkt vooral een probleem voor de VS en Groot-Brittannië. In Nederland horen we er zelden over. Denk je dat ID-diefstal regio georiënteerd is, of hebben wij gewoon geluk?
Villumsen: Dit is waarschijnlijk en helaas een kwestie van bewustzijn en tijd. Ik denk dat, zoals met alles, dingen eerst in de Engelstalige wereld gebeuren, omdat Engels de taal van de digitale wereld is. In de meeste gevallen volgen andere regio's daarna. Wat bewustzijn betreft, als de media erover bericht, zullen meer en meer zaken bovenkomen, zoals nu in Denemarken het geval is.

Je zegt dat de beveiligingsindustrie de vleugels moet uitslaan en bescherming naar een nieuw niveau moet tillen. Wat bedoel je daarmee?
Villumsen: Het is belangrijk dat de industrie kan voorspellen hoe de digitale wereld zich ontwikkelt. Nieuwe ontwikkelingen verschijnen zo maar en worden massaal door gebruikers overgenomen. De industrie moet boven op de security implicaties zitten. Op dit moment hebben we met het feit te maken dat mensen een groot gedeelte van hun leven online doorbrengen. Als je mensen onder de 25 vraagt begrijpen ze het verschil tussen online en offline niet. Voor hen is er geen offline.

Een goed voorbeeld van een ontwikkeling die security implicaties had is dat communicatie is geëvolueerd van het klassieke één op één model naar een één op veel model. De één op veel communicatie, die voorheen alleen voor professionele organisaties en uitgevers was voorbehouden, is nu voor iedereen toegankelijk. En als je je leven naar de hele wereld uitzendt, maak je je kwetsbaar voor allerlei dreigingen. Het is aan de beveiligingsindustrie om mensen te helpen om hun online identiteit te beheren en beschermen.

Wat kunnen consumenten doen om hun identiteit te beschermen als de websites die ze bezoeken gehackt worden?
Villumsen: Als je beveiligingssoftware een goed URL-filter heeft, word je voor kwaadaardige en onveilige websites gewaarschuwd en moet je naar die waarschuwingen luisteren. Het komt erop neer dat als wij vertellen dat je moet wegblijven, je wegblijft.

Denk je dat de meeste gevallen van identiteitsdiefstal zich voordoen door besmette computers of vanwege gehackte websites / gestolen databases?
Villumsen: Geïnfecteerde computers.