De ethos van cyberveiligheid

Gepubliceerd op

Vragen?

Jasper Ligthart

Jonge Informatieprofessional

06 16 35 82 84 06 16 35 82 84
Stuur mij een e-mail

Nieuwsbrief

Blijf op de hoogte en meld je aan voor de nieuwsbrief.

Aanmelden

Cybersecurity en ethiek. Op het eerste gezicht geen natuurlijke partners. De hacker die probeert om jouw creditcardgegevens te stelen of in opdracht van een schurkenstaat onze vitale infrastructuur lam te leggen laat zich immers weinig aan ethische normen gelegen liggen. Ook de beoogde respons op dit soort aanvallen volgt over het algemeen een eenvoudig tit-for-tat principe. Liefst voorkomen we aanvallen geheel door goede preventieve maatregelen. Maar waar dat niet lukt is terugslaan met eigen middelen (in het jargon: offensive cybercapability) het devies.

Vragen?

Jasper Ligthart

Jonge Informatieprofessional

06 16 35 82 84 06 16 35 82 84
Stuur mij een e-mail

Privacy is dood en ethiek is onzin

Toen we onlangs in Israël te gast waren bij een bedrijf gespecialiseerd in (cyber)veiligheid was dat ook ongeveer het devies van de twee ijzervreters aan de overkant van de tafel. “Your privacy is dead and ethics are useless”. Toch vraag ik me af of publieke organisaties het daar bij kunnen laten. In afwachting van een nieuwe Geneva Conventie die ethische en juridische normen vaststelt voor cyberconflicten (waar een consortium van grote techbedrijven onlangs voor pleitte[1]) zouden we ook eens naar een wat ruimere interpretatie van ethiek kunnen kijken.

Cyberveiligheid: ethiek versus ethos

Bij ethiek denken we vandaag de dag vaak aan normen, waarden en regels voor goed handelen. Maar in het oorspronkelijke Grieks betekende ethos eerder zoiets als (de juiste) houding of gedrag. Het volgen van (abstracte) normen kon daar hoogstens een aanvulling op zijn. Ethisch handelen hangt dan ook altijd mede af van of je je bewust bent van je eigen verantwoordelijkheid en probeert om je verstandig en goed te gedragen. Als we vanuit dat perspectief kijken naar cyberveiligheid valt er op het niveau van (publieke) organisaties en individuele burgers nog een wereld te winnen. Want het is over het algemeen slecht gesteld met de ethos van cyberveiligheid van de Nederlander.

We kennen de best practices eigenlijk wel (zoals voor ieder systeem een ander wachtwoord) en toch lukt het niet dat in de praktijk vol te houden.

Oorzaak van onveiligheid in cyberwereld: de mens

Keer op keer blijkt immers uit onderzoek dat de menselijke factor de belangrijkste oorzaak is van hacks, datalekken en digitale diefstal. Terwijl we de best practices eigenlijk allemaal wel kennen. Voor ieder systeem een ander, complex wachtwoord gebruiken. Een virusscanner en firewall gebruiken. Niet zomaar op willekeurige links in mailberichten klikken (zeker als ze van een onbekende afzender zijn) en niet zomaar gevoelige gegevens overdragen als mensen daar om vragen. Blijkbaar lukt het veel mensen onvoldoende om dat ook in de praktijk vol te houden.

Klassieke deugden voor cyberveiligheid

Daarom pleit ik voor drie principes die een goed ethos van cyberveiligheid in de informatiesamenleving kunnen ondersteunen. Ze sluiten aan bij klassieke deugden uit de ethiek.

  1. Voorzichtigheid (prudentia) 
    Wie er voor kiest om in de digitale wereld actief te zijn (en dat zijn zo langzamerhand bijna alle burgers) neemt daarmee ook de cyberethische plicht op om zich actief te informeren over de veiligheidssituatie. Systeembeheerders van organisaties, cybercrime units van politie en veiligheidsdiensten en wat dies meer zij kunnen mensen maar tot op zekere hoogte beschermen. De burger met een goed ontwikkeld cyberethos neemt ook de verantwoordelijkheid om zichzelf te beschermen door middel van technische (virusscanner, firewall, op tijd updates installeren) en gedragsmaatregelen (slotje in de browser bij gevoelige data, niet op vreemde mails klikken).
     
  2. Matigheid (temperantia) 
    Net als in de fysieke wereld kunnen mensen digitaal liegen en bedriegen. Zoals je in het openbaar niet zomaar allerlei persoonlijke gegevens aan een vreemde zou geven, of met diegene mee naar huis zou gaan zou je dat in de digitale wereld ook niet doen. De houding van cyberethische burger of werknemer is niet naïef maar terughoudend, want hij is er van doordrongen dat de digitale wereld net zo onveilig is (of zelfs onveiliger) als de fysieke.
     
  3. Rechtvaardigheid (justitia)
    Ook van bedrijven mag een rechtvaardig cyberethos verwacht worden. Zo hebben bouwers van software en fysieke producten (denk bijvoorbeeld aan Internet of Things-toepassingen) de taak om in hun ontwerp goede beveiligingsprincipes toe te passen (security by design) en ook tijdens de (economische) levensduur van hun product voor die veiligheid te blijven garanderen (beveiligingsupdates).

Een pact voor de ethos van cyberveiligheid

Elke positieve maatschappelijke gedragsverandering heeft tot nu toe tijd en inspanning gekost (denk maar aan het tegengaan van rijden onder invloed en het terugdringen van roken). Zou het niet aardig zijn als bedrijven, burgers en de overheid met elkaar een pact sloten om het ethos van cyberveiligheid de komende jaren waar het maar kan te versterken? Dan volgt de formele kant van de ethiek op termijn ook wel…

[1] https://www.ft.com/content/269349ba-425c-11e8-803a-295c97e6fd0b

Blogreeks

Dit blog maakt onderdeel uit van een blogreeks over informatiebeveiliging.

Lees hier de overige blogs in deze reeks

Nieuwsbrief

Blijf op de hoogte en meld je aan voor de nieuwsbrief.

Aanmelden