De zeven hoofdzonden in cybersecurity

Cybersecurity is hot. Want we zijn erg afhankelijk van “cyber” (computers), er zijn talloze kwetsbaarheden, en er staat veel op het spel. Om je te beschermen ga je dus maatregelen treffen. En er zijn genoeg specialisten die daar graag bij helpen. Meestal geven die technische of organisatorische adviezen om alles beter onder controle te krijgen. Daar is niks mis mee. Behalve dat de meest fundamentele vraag onbeantwoord blijft:

Hoe komt het dat dit allemaal nodig is, en hoe kan het dat er nog steeds zoveel mis gaat?

Als je daar meer inzicht in krijgt, wordt het eenvoudiger om risico’s te duiden. Hoe doe je dat? Door terug te grijpen op eeuwenoude concepten die nog steeds van toepassing zijn. We zijn en blijven immers mensen.

De zeven hoofdzonden

Hoofdzonde is een term die voornamelijk in de Rooms-Katholieke Kerk wordt gebruikt. Het zijn er zeven. Dat is overigens een heilig getal, maar dat terzijde. Ze werden in de 6^eeeuw opgesteld door paus Gregorius I, maar zijn al sinds de 4^eeeuw bekend. De geleerden die de hoofdzonden beschreven hebben tijdloos werk geleverd. Dat er ooit zoiets als een cyberwereld zou bestaan konden ze niet vermoeden. Toch kun je alle cyberrisico’s herleiden tot een of meer van de hoofdzonden.

Superbia (hoogmoed – hovaardigheid – ijdelheid)

Dit is de belangrijkste hoofdzonde, want de overige zijn hiervan af te leiden. Een paar voorbeelden: denken “dat overkomt mij niet”, dat jij de regels bepaalt, dat niemand jou durft aan te vallen, dat je niets te verbergen hebt, dat je iets kunt verbergen, dat je met een excuus wel wegkomt. Of een systeem hacken om te laten zijn hoe goed je bent. De houding van Facebook bij het schandaal met Cambridge Analytica is een typisch voorbeeld. Het risico dat gegevens gestolen of misbruikt zouden worden werd zwaar onderschat.

Avaritia (hebzucht – gierigheid)

Deze zonde is het fundament van de hele commerciële wereld. Voorbeelden zijn het verzamelen van meer gegevens dan toegestaan, het klikken op een link zonder na te denken, het op de markt brengen van producten zonder goed te hebben getest. Phishing e-mails spelen vaak in op avaritia. Verblind door hebzucht heb je zo maar je naam en wachtwoord prijsgegeven, met alle gevolgen van dien. Je “moderne” koelkast of auto hangt aan het internet, maar is een eenvoudig doelwit voor cybercriminelen. Bedenk zelf wat ze daar allemaal mee kunnen doen, of lees het in de media.

Luxuria (onkuisheid – lust – wellust)

Het vlees is en blijft zwak. Dus klik je op links in phishing e-mail, deel informatie die misschien beter privé had kunnen blijven, bezoek je onfrisse websites, en download je illegale films en ander materiaal. Het datalek bij datingsite Second Love is een mooi voorbeeld. Cybercriminelen willen ook graag “extra’s” toevoegen aan illegaal materiaal, zodat ze ongemerkt toegang krijgen tot je computer.

Invidia (nijd – jaloezie – afgunst)

Deze zonde hangt samen met avaritia, maar is meer gericht op vergelijking met anderen. Voorbeelden zijn goede ideeën/informatie stelen om zelf te benutten, het imago van personen of instellingen negatief beïnvloeden, een DDoS-aanval opzetten om een bedrijf te dwarsbomen. Invidia kun je herkennen in het weren van antivirussoftware van Kasperksy vanwege vermeende (maar nooit aangetoonde) invloed die op dit bedrijf wordt uitgeoefend. Heb je de pest aan een bedrijf of website, dan kun je een cyberaanval laten uitvoeren. Cybercrime is gewoon te koop en goedkoop.

Gula (onmatigheid – gulzigheid – vraatzucht)

Meer is altijd beter, is het adagio. Dat werkt verslavend. Je denkt dat je daardoor sterker bent, terwijl het tegendeel waar is. Voor je het weet verzamel je meer gegevens verzamelen dan toegestaan, bewaar je ze langer bewaren dan toegestaan, en deel je ze met meer/andere partijen dan toegestaan. Ondanks de aangescherpte privacy-wetgeving die inmiddels van kracht is, doen veel bedrijven nog steeds alsof hun neus bloedt. Cybercriminelen zijn dol op al die privacy-gevoelige gegevens. Ze zoeken er actief naar, inspelend op alle hoofdzonden. Want die gegevens zijn geld waard.

Ira (woede – toorn – wraak – gramschap)

Wie vindt dat hem onrecht is aangedaan zal terugslaan. Dit zie je terug in het opzettelijk lekken van informatie, systemen en informatie opzettelijk ontoegankelijk maken of vernietigen, en het opzettelijk verspreiden van verkeerde informatie (fake news). Distributed Denial of Service-aanvallen (DDoS) zijn regelmatig in het nieuws. En onderschat niet de impact van o.a. Wikileaks. Ook eigen personeel kan zomaar het criminele pad op gaan.

Acedia (gemakzucht – traagheid – luiheid – vadsigheid)

Ook acedia hangt sterk samen met superbia, want wie “de grootste” is kan zich alles permitteren. Dat leidt tot het ontkennen dat er een probleem is, de gemakkelijkste weg kiezen om een probleem op te lossen, en wachten met het treffen van maatregelen tot het te laat is. De cirkel is rond, we zijn weer terug bij Facebook. Dat zich een incident voordoet is niet altijd te vermijden, maar niet adequaat reageren kost je zomaar je reputatie of nog veel meer.

Conclusie

Onze menselijke aard, c.q. de zeven hoofdzonden, zitten ons danig in de weg. Maar er is hoop. Bewustzijn van die valkuilen is juist een succesfactor bij het realiseren van cybersecurity. Door de bijbehorende risico’s te doorgronden krijg je vanzelf ideeën over maatregelen die je kunt treffen. Bovendien kun je naast de negatieve invalshoek van zonden (wat moet je niet doen) ook een positieve benadering (wat moet je weldoen) kiezen. “De Negen Principes van de excellente schoolleider” zijn een mooi startpunt. Het ligt misschien niet voor de hand, maar deze kun je ook toepassen op cybersecurity. Dat komt aan bod in een volgend artikel. Zonde als je dat mist.

https://nl.wikipedia.org/wiki/Hoofdzonde Schilderij: Jheronimus Bosch, De Zeven Hoofdzonden, 15e eeuw https://en.wikipedia.org/wiki/The_Seven_Deadly_Sins_and_the_Four_Last_Things https://leiderschapinschool.nl/negen-principes-excellente-schoolleider/