"Overheid moet cybersecurity-campagnes blijven herhalen"
Net zoals overheidscampagnes die al jarenlang waarschuwen om niet met alcohol op achter het stuur te gaan moeten ook campagnes die burgers voor de risico's op internet waarschuwen continu worden herhaald. Daarvoor pleit David Emm, onderzoeker van het Russische anti-virusbedrijf Kaspersky Lab.
Volgens Emm doet de Britse overheid te weinig om mensen over cybersecurity voor te lichten. "Ik zou graag zien dat de overheid meer doet om de boodschap onder het grote publiek te verspreiden", liet Emm tijdens een rondetafelgesprek weten. Hij ziet in de vele anti-alcoholcampagnes het ideale voorbeeld, aangezien deze boodschap door de jaren heen bij mensen erin is gestampt.
Het bewustzijn om niet met alcohol op te rijden is iets dat door de jaren heen is gegroeid en voor veel mensen nu vanzelfsprekend is. Dat zou volgens Emm ook voor cybersecurity moeten gebeuren. Daarbij is het belangrijk dat zowel mensen in de stedelijke als meer afgelegen gebieden worden bereikt, aangezien deze laatste groep er vaak niet van afweet, besloot de onderzoeker zijn pleidooi.
Het is zo makkelijk met je vingers te zwaaien en "tut tut" te roepen, en altijd een leuk excuus om er boetes op te zetten zodat je de staatskas weer een beetje meer kan vullen. Temeer daar overheden geloven dat ze hun bestaansrecht halen uit precies dat, betweteren en andere mensen met (hun) maakwerk opzadelen. Maar hoeveel zin heeft het nou echt?
Neem nou, bijvoorbeeld, het idee dat we allemaal beter af zijn als niemand meer belt achter het stuur, of tenminste dan "hands free". Laatst een studie dat daar geen effect op te meten is, en dan vooral omdat de mensen die de meeste ongelukken veroorzaken dat doen omdat ze chronisch niet op de weg letten. DWZ als ze zich niet door bellen laten afleiden dan zijn ze wel aan het fröbelen met facebook of twitter of whatsapp of sms of de navigatie of de radio of wat dan ook.
Dan heeft die ene actie verbieden alleen maar zin om te laten zien dat je wat aan het doen bent, maar het blijft symptoombestrijding. Je zou dus beter dat symptoom kunnen signaleren en er wat anders mee doen.
Of neem de jaarlijkse vuurwerkcampagne. Er zijn altijd figuren die denken "het zal mij niet gebeuren" en dan gebeurt het toch. Want ze gebruiken (reeds illegaal) veel te zwaar vuurwerk en zijn er onveilig mee bezig. Dus moet al het vuurwerk maar verboden, alsof het legale niet al overgereguleerd is. Ondertussen is betweterend Nederland een beetje hysterisch aan het worden, dat met alles maar verbieden tot aan Zwarte Piet aan toe.
Maar de vraag wat het nou helpt, die hoor je bijna niet gesteld.
Specifieker voor het hele "cyber"gebeuren hebben we het probleem van "cargo culting". We hebben namelijk veel te veel mensen zomaar achter computers gezet met "hier, is makkelijk, je hebt er geen training voor nodig", waarna ze inderdaad vooral ongetrainde onzin produceren. Neem emailtjes; vóór september 1993 kon je een prima conversatie houden per email, want ongeveer iedereen die bij de email kon was redelijk geletterd en had geleerd hoe je effectief en efficient emailtjes schrijft. Nu? Nu wordt er vooral in slechtgeschreven emailtjes geklaagd dat de communicatie zo slecht is.
En dat in zulke volumes dat als je in een keer de tijd genomen had een goed mailtje te schrijven je ruim tijdwinst geboekt had, als jij en je correspondenten maar wisten hoe het wel handig gaat.
Maar het gaat veel verder: Die massa ongeletterden wist en weet ook niet dat de software die ze gebruiken ondermaats is, dat ze dus betere software moeten eisen van hun favoriete fabrikant (want "vrije markt", dan is dat de functie van de eindgebruiker--oh wacht het is meer een monopolie, nou jammer dan beste klant, wanneer komt u de volgende "publieke beta"versie kopen?), en dus heeft het veel te lang geduurd voordat die aller favoriete fabrikant begon met zijn software geschikt te maken voor gebruik in een "online" wereld. Bijvoorbeeld door stevig in te zetten op alle aspecten van softwarebeveiliging.
De situatie laat zich wellicht een beetje vergelijken met kredietkaarten, waar de garantie dat je je geld terugkrijgt de enige beveiliging is. Een bekend gevolg daarvan is dat er naar "verdachte" dingen in jouw doen en laten gespeurd wordt en dat als ze maar even denken dat er iets raars aan de hand zou kunnen zijn ze je gewoon compleet de dienst kunnen ontzeggen, zoals john west alhier overkwam: https://www.security.nl/posting/395295#posting395331.
In computerland heb je zelfs die geld terug garantie niet, maar moet je het doen met vage boemanverhalen en nog vagere beloftes van oplapsoftwareverkopers. "Niet op de linkjes klikken!" is het summum van wijsheid alhier, maar waarom de software dan nog steeds linkjes laat zien is een vraag die schittert door afwezigheid. Hij was er toch om ons te helpen?
Dit hele verhaal, niet ontoevallig afkomstig van een woordvoerder van zo'n oplapsoftwarebedrijf, is uiteindelijk goed voor de omzet van dat bedrijf, maar al zouden alle overheden van de hele wereld zijn advies volgen, dan nog zet het alweer en nog steeds nauwlijks zoden aan de dijk. Wat hem prima uitkomt want het is goed voor z'n carriere. Maar is het ook goed voor de wereld?
Toch is communicatie altijd bidirectioneel, ook politiek functioneren binnen een vrij land.
Dus moeten burgers in de eerste plaats steeds herhaald krijgen waarom het in de eerste plaats in hun belang is je zorgen te maken over veiligheid en cybercrime, de plaats van IT en de implementatie ervan in onze maatschappij.
Dan krijgen burgers misschien langzaam door waarom het over HUN belang gaat, hoofdzakelijk, het belang van het individu in een systeem zoals bijvoorbeeld onze vrije democratische rechtsstaat.
Vanaf dat moment zullen ze ook opeens wat meer hun politiek controleren, moet die meteen zich meer houden aan haar gestelde doelstellingen en functieomschrijvingen en een en ander ook meteen opgelost worden.
Dus niet zozeer herhalen dat mensen aan cybercrime moeten denken en hoe, maar vooral waarom. vrije mensen, individuen, in een kenniseconomie, bepalen dan zelf waarom, daar worden dan als het goed is ook weer wat nieuwe partijen geboren enzo, zo werken die dingen.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime
Ben jij er klaar voor om de leiding te nemen in het bevorderen van de regionale samen-werking in de strijd tegen gedigitaliseerde criminaliteit en cybercrime? Samen met collega's, politie en regionale en landelijke partners? Dan is de dynamische rol van Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime bij het Regionaal Samenwerkingsverband Integrale Veiligheid (RSIV) jouw op het lijf geschreven!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.