De zeven hoofdzonden in cybersecurity
door Strict op do 28 jun 2018
Cybersecurity is hot. Want we zijn erg afhankelijk van “cyber” (computers), er zijn talloze kwetsbaarheden, en er staat veel op het spel. Om je te beschermen ga je dus maatregelen treffen. En er zijn genoeg specialisten die daar graag bij helpen. Meestal geven die technische of organisatorische adviezen om alles beter onder controle te krijgen. Daar is niks mis mee. Behalve dat de meest fundamentele vraag onbeantwoord blijft:
Hoe komt het dat dit allemaal nodig is, en hoe kan het dat er nog steeds zoveel mis gaat?
Als je daar meer inzicht in krijgt, wordt het eenvoudiger om risico’s te duiden. Hoe doe je dat? Door terug te grijpen op eeuwenoude concepten die nog steeds van toepassing zijn. We zijn en blijven immers mensen.
De zeven hoofdzonden
Hoofdzonde is een term die voornamelijk in de Rooms-Katholieke Kerk wordt gebruikt. Het zijn er zeven. Dat is overigens een heilig getal, maar dat terzijde. Ze werden in de 6eeeuw opgesteld door paus Gregorius I, maar zijn al sinds de 4eeeuw bekend. De geleerden die de hoofdzonden beschreven hebben tijdloos werk geleverd. Dat er ooit zoiets als een cyberwereld zou bestaan konden ze niet vermoeden. Toch kun je alle cyberrisico’s herleiden tot een of meer van de hoofdzonden.
Superbia (hoogmoed – hovaardigheid – ijdelheid)
Dit is de belangrijkste hoofdzonde, want de overige zijn hiervan af te leiden. Een paar voorbeelden: denken “dat overkomt mij niet”, dat jij de regels bepaalt, dat niemand jou durft aan te vallen, dat je niets te verbergen hebt, dat je iets kunt verbergen, dat je met een excuus wel wegkomt. Of een systeem hacken om te laten zijn hoe goed je bent. De houding van Facebook bij het schandaal met Cambridge Analytica is een typisch voorbeeld. Het risico dat gegevens gestolen of misbruikt zouden worden werd zwaar onderschat.
Avaritia (hebzucht – gierigheid)
Deze zonde is het fundament van de hele commerciële wereld. Voorbeelden zijn het verzamelen van meer gegevens dan toegestaan, het klikken op een link zonder na te denken, het op de markt brengen van producten zonder goed te hebben getest. Phishing e-mails spelen vaak in op avaritia. Verblind door hebzucht heb je zo maar je naam en wachtwoord prijsgegeven, met alle gevolgen van dien. Je “moderne” koelkast of auto hangt aan het internet, maar is een eenvoudig doelwit voor cybercriminelen. Bedenk zelf wat ze daar allemaal mee kunnen doen, of lees het in de media.
Luxuria (onkuisheid – lust – wellust)
Het vlees is en blijft zwak. Dus klik je op links in phishing e-mail, deel informatie die misschien beter privé had kunnen blijven, bezoek je onfrisse websites, en download je illegale films en ander materiaal. Het datalek bij datingsite Second Love is een mooi voorbeeld. Cybercriminelen willen ook graag “extra’s” toevoegen aan illegaal materiaal, zodat ze ongemerkt toegang krijgen tot je computer.
Invidia (nijd – jaloezie – afgunst)
Deze zonde hangt samen met avaritia, maar is meer gericht op vergelijking met anderen. Voorbeelden zijn goede ideeën/informatie stelen om zelf te benutten, het imago van personen of instellingen negatief beïnvloeden, een DDoS-aanval opzetten om een bedrijf te dwarsbomen. Invidia kun je herkennen in het weren van antivirussoftware van Kasperksy vanwege vermeende (maar nooit aangetoonde) invloed die op dit bedrijf wordt uitgeoefend. Heb je de pest aan een bedrijf of website, dan kun je een cyberaanval laten uitvoeren. Cybercrime is gewoon te koop en goedkoop.
Gula (onmatigheid – gulzigheid – vraatzucht)
Meer is altijd beter, is het adagio. Dat werkt verslavend. Je denkt dat je daardoor sterker bent, terwijl het tegendeel waar is. Voor je het weet verzamel je meer gegevens verzamelen dan toegestaan, bewaar je ze langer bewaren dan toegestaan, en deel je ze met meer/andere partijen dan toegestaan. Ondanks de aangescherpte privacy-wetgeving die inmiddels van kracht is, doen veel bedrijven nog steeds alsof hun neus bloedt. Cybercriminelen zijn dol op al die privacy-gevoelige gegevens. Ze zoeken er actief naar, inspelend op alle hoofdzonden. Want die gegevens zijn geld waard.
Ira (woede – toorn – wraak – gramschap)
Wie vindt dat hem onrecht is aangedaan zal terugslaan. Dit zie je terug in het opzettelijk lekken van informatie, systemen en informatie opzettelijk ontoegankelijk maken of vernietigen, en het opzettelijk verspreiden van verkeerde informatie (fake news). Distributed Denial of Service-aanvallen (DDoS) zijn regelmatig in het nieuws. En onderschat niet de impact van o.a. Wikileaks. Ook eigen personeel kan zomaar het criminele pad op gaan.
Acedia (gemakzucht – traagheid – luiheid – vadsigheid)
Ook acedia hangt sterk samen met superbia, want wie “de grootste” is kan zich alles permitteren. Dat leidt tot het ontkennen dat er een probleem is, de gemakkelijkste weg kiezen om een probleem op te lossen, en wachten met het treffen van maatregelen tot het te laat is. De cirkel is rond, we zijn weer terug bij Facebook. Dat zich een incident voordoet is niet altijd te vermijden, maar niet adequaat reageren kost je zomaar je reputatie of nog veel meer.
Conclusie
Onze menselijke aard, c.q. de zeven hoofdzonden, zitten ons danig in de weg. Maar er is hoop. Bewustzijn van die valkuilen is juist een succesfactor bij het realiseren van cybersecurity. Door de bijbehorende risico’s te doorgronden krijg je vanzelf ideeën over maatregelen die je kunt treffen. Bovendien kun je naast de negatieve invalshoek van zonden (wat moet je niet doen) ook een positieve benadering (wat moet je weldoen) kiezen. “De Negen Principes van de excellente schoolleider” zijn een mooi startpunt. Het ligt misschien niet voor de hand, maar deze kun je ook toepassen op cybersecurity. Dat komt aan bod in een volgend artikel. Zonde als je dat mist.
https://nl.wikipedia.org/wiki/Hoofdzonde Schilderij: Jheronimus Bosch, De Zeven Hoofdzonden, 15e eeuw https://en.wikipedia.org/wiki/The_Seven_Deadly_Sins_and_the_Four_Last_Things https://leiderschapinschool.nl/negen-principes-excellente-schoolleider/
- Technologie (134)
- Nieuws (70)
- 5G (67)
- Continuïteit (64)
- Security & Privacy (57)
- Agility (35)
- Podcast (34)
- Wendbaarheid (31)
- Klantcase (18)
- Webinar (18)
- Blog (16)
- Innovatie (13)
- Mission Critical (13)
- Healthcare (12)
- Overheid (12)
- AI (11)
- Cloud (9)
- Medewerker interview (8)
- Smart City (7)
- Video (7)
- OOV (5)
- Vervoer (5)
- Projectmanagement (3)
- Duurzaamheid (2)
- december 2024 (4)
- november 2024 (9)
- oktober 2024 (9)
- september 2024 (10)
- augustus 2024 (6)
- juli 2024 (9)
- juni 2024 (6)
- mei 2024 (3)
- april 2024 (9)
- maart 2024 (11)
- februari 2024 (4)
- december 2023 (2)
- november 2023 (4)
- oktober 2023 (3)
- september 2023 (3)
- juli 2023 (4)
- juni 2023 (3)
- mei 2023 (6)
- april 2023 (2)
- maart 2023 (5)
- februari 2023 (1)
- januari 2023 (1)
- december 2022 (1)
- november 2022 (2)
- oktober 2022 (3)
- september 2022 (3)
- augustus 2022 (3)
- juli 2022 (8)
- juni 2022 (6)
- mei 2022 (4)
- april 2022 (5)
- maart 2022 (4)
- februari 2022 (5)
- januari 2022 (2)
- november 2021 (2)
- oktober 2021 (1)
- september 2021 (3)
- augustus 2021 (2)
- juli 2021 (1)
- juni 2021 (1)
- mei 2021 (1)
- april 2021 (3)
- maart 2021 (1)
- februari 2021 (1)
- november 2020 (1)
- augustus 2020 (1)
- juli 2020 (2)
- mei 2020 (2)
- april 2020 (4)
- maart 2020 (5)
- februari 2020 (3)
- januari 2020 (5)
- december 2019 (2)
- november 2019 (3)
- oktober 2019 (5)
- september 2019 (1)
- augustus 2019 (3)
- juli 2019 (2)
- juni 2019 (3)
- mei 2019 (2)
- april 2019 (4)
- maart 2019 (8)
- februari 2019 (6)
- januari 2019 (3)
- december 2018 (4)
- november 2018 (2)
- oktober 2018 (10)
- september 2018 (6)
- augustus 2018 (8)
- juli 2018 (2)
- juni 2018 (7)
- mei 2018 (3)
- maart 2018 (3)
- februari 2018 (3)
- januari 2018 (3)
- december 2017 (6)
- november 2017 (5)
- oktober 2017 (5)
- september 2017 (5)
- juli 2017 (1)
- juni 2017 (4)
- mei 2017 (1)
- maart 2017 (9)
- februari 2017 (1)
- januari 2017 (1)
- december 2016 (1)
- oktober 2016 (2)
- september 2016 (2)
- augustus 2016 (6)
- juli 2016 (1)
- juni 2016 (3)
- mei 2016 (2)
- april 2016 (3)
- maart 2016 (3)
- januari 2016 (1)
- december 2015 (1)
- november 2015 (2)
- oktober 2015 (1)
- september 2015 (2)
- augustus 2015 (1)
- juli 2015 (1)
- juni 2015 (2)
- mei 2015 (2)
- maart 2015 (2)
- februari 2015 (2)
- juni 2014 (1)