Security by Design

Weblogbericht | 27-01-2021 | NCSC

Ik sta midden in de supermarkt met een pak rijst in mijn handen als plotseling een brandalarm afgaat. Ik kijk zoekend om me heen om te zien wat de oorzaak van dat alarm zou kunnen zijn. Wat me direct opvalt is dat niemand van de mensen om me heen lijkt te reageren op het alarm. Een mevrouw op een scootmobiel rijdt langs me. “Kan die rotherrie niet uit?” Voor de zekerheid begeef ik me langzaam richting de kassa. Op mijn weg daar naartoe zie ik dat iedereen gewoon doorgaat met boodschappen doen alsof er niks aan de hand is. In het gangpad naar de kassa loopt een winkelmedewerker op een drafje voorbij. “Niks aan de hand. Er is niks aan de hand." Een man naast me zegt schouderophalend: “Ja, dat zien we zelf ook wel.”

Op de weg naar huis dacht ik na over dit voorval. Blijkbaar moeten mensen gevaar zelf kunnen zien voordat ze accepteren dat er een gevaar is. Het had zomaar kunnen zijn dat er een beginnende brand was in het kantoor of magazijn. Brand kan heel snel gaan, maar het zal even duren voordat je dat aan de andere kant van de winkel merkt.

Wat als we deze houding doortrekken naar de ICT? Bij het gebruik van digitale middelen zijn tal van risico’s en gevaren te benoemen. Al vele jaren wordt daarvoor gewaarschuwd, maar er is een reden dat bijvoorbeeld phishingmail nog steeds een succesvol middel is bij het uitvoeren van een aanval. Blijkbaar moeten mensen de gevaren bij al deze digitale middelen kunnen zien voordat ze deze pas accepteren en ernaar gaan handelen. Maar kunnen mensen deze dreigingen wel zien? Zijn de huidige digitale middelen niet veel te complex voor de gemiddelde gebruiker?

Vanuit de ICT-wereld geven we mensen websites. “Klik op een linkje om een website te bezoeken, maar klik niet zomaar op alle linkjes. Sommige websites zijn gevaarlijk.” Ook geven we mensen e-mail om elkaar berichten te sturen. “Klik op een mailtje om deze te lezen, maar klik niet op alle mailtjes. Sommige mailtjes zijn gevaarlijk.” Ook geven we ze mobiele apparatuur met functionaliteit naar keuze in de vorm van apps. “Ga naar de App/Play Store en download nieuwe apps. Download niet zomaar iedere app, want sommige apps zijn gevaarlijk.” Tegelijkertijd verwachten we dat mensen zonder enige vorm van uitleg het allemaal goed doen. En wie hebben ze tegenover zich? Een grote groep ICT-experts met veel kennis en ervaring in het misbruiken van digitale middelen en het misleiden van mensen die al die kennis niet hebben. En als het dan misgaat, dan geven we de gebruiker de schuld. Wat een domme gebruiker. Het is alsof je het in je Lada moet opnemen tegen 20 Max Verstappens in een formule-1 racewagen en je minachtend wordt aangekeken als je als laatste over de finish rijdt. Wat een domme chauffeur.

Het wordt tijd dat wij als ICT-ers de schuld van dit alles op ons nemen. Wij maken namelijk die middelen. Wij creëren de mogelijkheden tot misbruik. We ontwikkelen die middelen met behulp van een engineer mindset. We zoeken naar een oplossing voor een probleem of bedenken middelen die ons leven eenvoudiger maken. En als we dat gedaan hebben, dan is het product voor ons klaar. Wat we te weinig doen is vervolgens met een hacker mindset naar ons product kijken. Hoe kan ik dit product misbruiken om tot een oneigenlijk doel te komen? Hoe kan ik met behulp van dit product de gebruiker misleiden voor eigen gewin? Daaruit volgen ook vragen zoals “Gaat de gebruiker dit product goed snappen?” en “Gaat de gebruiker dit product veilig kunnen gebruiken?” Als het antwoord niet in de buurt van een “ja” komt, dan is het verstandig om jezelf af te vragen of het uitbrengen van je product wel eerlijk is naar de potentiële gebruikers. Het hanteren van Security by Design en Privacy by Design is de juiste aanpak bij het ontwikkelen van digitale middelen. Bij de verwerking van persoonsgegevens vinden we daarvoor een wettelijk kader in de AVG. Voor overige gegevens is er (nog) geen wettelijk kader . Echter, in deze tijden is goede beveiliging geen specialistisch luxe-ding meer en zou eigenlijk geen wetgeving nodig moeten hebben. Het is gewoon onderdeel van kwaliteit. Het moet toch onze eer te na zijn om geen goede kwaliteit te leveren?

Hugo Leisink