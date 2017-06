Dat was een van de conclusies die de deelnemers aan de eerste IDG Security Day trokken na afloop van enkele korte sessies waarin ze werden uitgedaagd dieper na te denken over de staat van de IT-beveiliging in Nederland.

IDG Security Day werd op 21 juni gehouden op tien plekken over de hele wereld, waaronder in het mooie Naarderbos in Naarden. In het middagprogramma werden de aanwezigen gewezen op de diverse aspecten binnen de hedendaagse IT-beveiliging, waarna tijdens het diner aan diverse tafels verder werd gesproken over die aspecten.

Een afwijkende insteek kwam van spreker Mischa Coster, die als psycholoog vooral de menselijke factor binnen security belichtte. Met gebruikmaking van de literatuur van de bekende auteur en spreker over gedragsbeïnvloeding Robert Cialdini liet Coster zien dat mensen makkelijk en onbewust te beïnvloeden zijn, wat zowel gevaar oplevert als kansen biedt. Zo maken verspreiders van phishingmails gebruik van dergelijke beïnvloedingstactieken, waarbij zij vooral een beroep doen op de angst iets te verliezen, zoals toegang tot je bankrekening. Maar security-experts kunnen dergelijke tactieken eveneens toepassen in het stimuleren van 'goed' en veilig gedrag, zo zegt hij.

Confronterend was de presentatie van beveiligingsexpert en journalist Brenno de Winter. Hij liet de aanwezigen diverse malen raden naar welke securityincidenten uit het verleden hij verwees in voorbeelden op beeld. De response hierop beviel hem maar matig. "Ik zit hier met allemaal securityprofessionals en niemand is in staat recente aanvallen te beschrijven uit de Nederlandse geschiedenis", barste hij verontwaardigd uit. De Winter hekelde organisaties die stelselmatig de data van klanten en burgers in gevaar brengen door bekende gaten in software te negeren, zelfs nadat zij daarop van buitenaf op zijn gewezen. Hij vindt dat er te weinig urgentie wordt gevoeld, zowel in het bedrijfsleven als bij maatschappelijke instellingen en overheden.

Oud-Tweede Kamerlid Astrid Oosenbrug gaf de aanwezigen een inkijkje in het gedrag van de politiek en de overheid als het gaat om securityvraagstukken en liet zien dat er niet alleen weinig urgentie wordt gevoeld, maar dat veel betrokkenen niet zo veel kaas hebben gegeten van technologie, laat staan security. Zij voelde zich in de Tweede Kamer vaak een roepende in de woestijn.

De middagsessie werd afgesloten met een spel. Het bekende Nederlandse beveiligingsbedrijf Fox-IT in samenwerking met ontwikkelaar Mindgame toetsten de aanwezigen op hun kennis van technologie in het algemeen en security in het bijzonder. In het spel werd vooral gezocht naar samenwerking tussen de aanwezigen, die in vier teams waren verdeeld. Het leidde tot hilariteit en hevige concurrentie, maar het maakte dat de middagsessie uiteindelijk ontspannen werd afgesloten.

Na de middagsessie konden de aanwezigen aan diverse dinertafels elkaar beter leren kennen, contacten leggen voor een nadere kennismaking en werden ervaringen uitgewisseld en kennis gedeeld. De thematische discussierondes leverden herkenbare probleemstellingen op: "Je zou graag alles willen dichttimmeren om menselijke fouten of bewuste overtredingen uit te sluiten. Maar dat zou tot onwerkbare situaties leiden waarbij gebruikers noodgedwongen naar andere oplossingen voor hun dagelijkse problemen zoeken", zei een deelnemer. En: "Security heeft vaak niets meer met IT te maken, zit in de hele organisatie. En toch kiezen veel organisaties ervoor om security onder de CIO te brengen. Dat is jammer."

Maar de gesprekken leverden ook mooie anekdotes op: "We lieten eens een mystery guest de fysieke beveiliging testen bij een gemeentelijke organisatie. Hij kwam zelfs zo ver dat hij een selfie met de burgemeester kon maken, op diens kamer."