Mag ik mij even aan u voorstellen? Ik ben Keiko, een ranke, gespierde, lichtrode ocicat van drie lentes jong. Ik kan ontzettend goed zielig kijken en krijg, mede dankzij mijn doordringende stemgeluid, altijd mijn zin. Zoals een minister onlangs terecht opmerkte, ben ik veel knapper dan mijn personeel.
Een van mijn personeelsleden heet Brenno, overigens. Ik kijk al geruime tijd over zijn schouder mee en verbaas me erover hoe mensen met privacy en security omgaan. Ik ben dan ook het brein achter de Kwetsbaarheden Analyse Tool, kortweg: KAT.
Als het over mijn eigen privacy gaat, wordt die regelmatig door mensen geschonden. Zo heb ik een tracker omgekregen, zodat mijn personeel altijd weet waar ik ben. Althans dat denken ze. Ik loop soms wel meer dan 5 kilometer op een dag. Maar als ik echt niet wil dat ze weten waar ik ben, dan heb ik gelukkig altijd nog wel een achterdeurtje in het systeem waardoor ik even van de radar verdwijn.
Toen eind 2021 de kwetsbaarheden in Log4j bekend werden, heb ik mij vermaakt om de paniek omtrent het mogelijke misbruik en de eindeloze scenario’s. Niemand wist hoe kritiek dit stuk software was dat ze gebruikten. Als onderdeel van andere software bleef het onder de radar. Een veelgehoorde vraag was: ‘Waar hebben we dit allemaal draaien?’ Dankzij gebrekkig assetmanagement en falende cmdb’s moesten ze speuren naar de software. Die avond kreeg ik pas heel laat te eten, want Brenno ging anderen helpen. Grrrr.
Zelf zit ik graag hoog in de boom voor het overzicht. Digitaal doe ik dat door in KAT dagelijks te scannen wat er aan software in huis is. Erg behulpzaam was het overzicht van het National Cyber Security Centrum, dat aantoonde welke software een Log4J-relatie heeft. Zo weet je zeker dat je niets mist. Mijn personeel had letterlijk in twintig minuten door waar de problemen zaten. Na het mitigeren konden ze direct een scanner bouwen om de zwakheden bij anderen te detecteren.
Toch blijft de hardleersheid van mensen mij verbazen. Bijna acht jaar geleden hadden we Heartbleed, een lek in open source encryptiesoftware. De grote les was toen dat open-sourcesoftware een vrije licentie heeft (‘free’ als in ‘freedom’), maar niet echt gratis is. Dus ook al betaal je niet, je moet toch investeren in de software uit oogpunt van veiligheid. Zoiets kan door een organisatie financieel te steunen, iets bij te dragen, een beveiligingsonderzoek te doen en de resultaten delen met de makers.
Als je dankbaar bent voor software dan doe je iets terug, want vrije software is niet vrijblijvend. Ik heb het zelf pas nog gedaan toen ik een muis had gevangen. Helemaal mee teruggenomen naar huis en op de keukentafel gelegd. Uit dankbaarheid en om aan het huishouden bij te dragen. Ik begrijp dat. De mensen niet. Die keken vol afschuw. Alsof het maar niet tot hen wil doordringen dat beveiliging helemaal geen kat- en muisspel is.
Keiko is de driejarige ocicat van Brenno de Winter. Ze kijkt al jaren mee over zijn schouder en bepaalt het gezicht van openkat.nl. Maandelijks schrijft ze hier over informatiebeveiliging en privacybescherming.
Lees ook:
- Openheid is beste medicijn tegen ransomware
- HR: “Digitaliseren doen we liever zonder IT”