Laatst was ik op bezoek op een vliegveld in een Afrikaans land. En dat was voor een informatiebeveiliger flink afzien. Niet vanwege de temperatuur, die was geweldig. Maar wel vanwege datgene wat ik aantrof. Netwerkkabels kriskras door het gebouw. Kabels letterlijk aan elkaar geknoopt. Een nagenoeg onbeheerd netwerk. Pc’s met de meest wazige software erop; het meeste niet-werkgerelateerd uiteraard. Mensen hadden echt vanalles op hun pc geïnstalleerd. Ik heb nog nooit zoveel “handige” toolbars bij elkaar gezien. Mensen die klikken op iedere link. (Ik dacht eigenlijk dat phishing mails vanuit Afrika naar Nederland worden gestuurd vanwege het feit dat Afrikanen er niet in trappen. Niets is minder waar, ook in Afrika worden te pas en te onpas bijlagen geopend en op “opportunistische links” geklikt.) Ik ga er vanuit dat het hele vliegveld volledig gecompromitteerd is door hackers. En de medewerkers op het vliegveld maar roepen dat ’t allemaal zo traag is, dat printers niet meer werken en dat pc’s het vaak niet doen… Sja, geen commentaar. Of juist wel eigenlijk…
Ik heb me de laatste tijd af zitten vragen of we hier iets van kunnen leren. En dat kunnen we mijns inziens zeker! Een strakke beheerorganisatie is zo gek nog niet. Dichttimmeren dat netwerk; alleen goedgekeurde applicaties toestaan en voor de rest geen mogelijkheden geven om software te installeren. Voorwaarde is uiteraard wel dat goed is nagedacht over de informatievoorziening. Degelijk informatiemanagement is daarom een vereiste op het moment dat je gebruikers gaat beperken in bevoegdheden.
Maar dat niet alleen. Ik pleit voor een examen wat mensen met goed gevolg moeten afleggen voordat ze op internet mogen. Of eigenlijk überhaupt een computer mogen bedienen. Er zijn meerdere initiatieven, zoals het European Computing Driving License. (Er is ook een Amerikaanse versie, een Afrikaanse versie zou welkom zijn). De gedachte hierachter is dat je zonder dit rijbewijs niet de digitale snelweg op mag. Anders krijg je ongelukken.
Het hebben van een autorijbewijs is geen garantie dat je geen ongeluk krijgt, maar de kans op ongelukken is een stuk kleiner als iedere chauffeur weet hoe je een auto moet bedienen en zich ook nog eens aan (dezelfde) regels houdt. Als je dat namelijk niet weet en doet, is een auto feitelijk een levensgevaarlijk moordwapen. Het wordt meer en meer duidelijk dat dit voor het bedienen van een computer ook geldt.
Gezien de enorme digitalisering van onze maatschappij, leidt het op grote schaal foutief bedienen van computers tot enorme schade. Denk maar aan de DDoS-aanvallen op de Belastingdienst, ING, SNS Bank, ABNAMRO, KLM en DigID de laatste tijd. Laatst las ik op security.nl een quote dat het internet inmiddels een oorlogsgebied is geworden. Gezien de initiatieven van zo’n beetje alle landen op het gebied van cybercrime en cyberwar is dat nog niet zo’n gek statement. Het verontrustende is dat argeloze gebruikers in hun ontwetendheid een pion worden in deze digitale oorlogsvoering.
Het hele rijbewijs hoeft voor mij overigens niet hoor. Maar het volgen en begrijpen van de security-module (op de pagina onderaan) zou voor veel wereldgenoten geen overbodige luxe zijn. Een idee van de onderwerpen:
Beveiligingsbegrippen:
– Kan gegevensbedreigingen kennen en herkennen;
– Kan waarde van informatie begrijpen en bewaken;
– Kan persoonlijke beveiliging bewaken en beschermen;
– Kan bestandsbeveiliging bewaken en beschermen.
Malware
Weet de definitie en functie van Malware en kan soorten Malware herkennen, de werking begrijpen en de werking van bescherming begrijpen.
Netwerkbeveiliging
– Het weten wat een netwerk inhoudt en de functies hiervan kennen
– Netwerkverbindingen en de consequenties voor beveiliging weten
– Draadloze beveiliging en de consequenties voor beveiliging kennen
– Toegangsbeheer begrijpen en deze kunnen toepassen
Veilig internetgebruik
– Surfen op het internet en de gevaren begrijpen, voorzorgen kunnen nemen
Communicatie
– De gevaren van e-mail begrijpen en voorzorgen kunnen nemen
– De gevaren van Instant Messaging begrijpen en voorzorgen kunnen nemen
Dit lijkt me toch minimaal basiskennis voor verantwoord gebruik van IT-middelen. En nee, ik heb geen aandelen bij het ECDL.
Comments are closed