Blog - Security-awareness met hAIku’s
Door Robert Metsemakers 16 mei 2024
Het kenmerkende van Artificiële Intelligentie is voor mij niet dat het met computers, software en grote taalmodellen werkt, maar dat het intelligentie is van buiten je eigen hoofd. Zo gebruik ik al jaren AI en wel in de vormen skill, scale en scope.
Mijn vader leerde mij om in een vreemde stadnaar de juiste weg te gaan vragen bij een tankstation voor benzine. Dit was meer dan vijftig jaar geleden, dus zonder eigen navigatiesysteem in je auto. Er was meestal slechts één pompbediende die je benzinetank voor je vulde en door een lager aantal personenauto’s nog tijd had voor een persoonlijk praatje, in elk geval bij het contant afrekenen. Nu kun je het beter vragen aan een pizzabakker die thuis bezorgt. Want naast de skill van het bakken van die van oorsprong Turkse platte koeken, hebben de bezorgers gedetailleerde kennis van straten, pleinen en wegen in de omtrek. En ze zijn in staat om overal snel te komen, dat wil zeggen binnen de – bij de bestelling aan klanten beloofde – bezorgtijd. In jouw eigen stad kun je zelfs de kosten voor een taxi uitsparen door telefonisch een pizza te bestellen en op het moment dat de bezorger de warme pizza ontvangt van de bakker, binnen te stappen en te vragen of je een lift kunt krijgen naar het opgegeven besteladres. Ze rijden er toch heen, dus dat kan meestal wel.
Als securityprofessional kun je op dezelfde manier in jouw eigen organisatie bij het bedrijfsrestaurant vragen of ze nog tips hebben om een Denial of Service aanval af te slaan!? Namelijk vanuit hun ervaring met een massatoeloop op de uitgiftebalie op de dagen dat ze sushi of biefstuk met friet serveren voor vijf euro, het normale dinertarief voor personeelsleden. Bij de personeelsvereniging kun je nagaan welke aangeboden uitstapjes (zoals Efteling, skiën, Kerstmarkt, workshop jeu de boules voor gevorderden) veel belangstelling trekken – en daarmee in theorie ook interessante onderwerpen zijn voor phishingaanvallen op diezelfde medewerkers. Je gebruikt zo de skill van iemand anders voor security.
Scale
Een nieuwe medewerker bij de IT-servicedesk kun je inwerken door haar of hem ‘alles’ te leren over Windows, printers en de softwarepakketten die jouw organisatie standaard gebruikt. Meestal is dat Excel, Word en PowerPoint. En die ‘nieuwe’ dan te laten wachten op de binnenkomende vragen van medewerkers met IT-problemen. Je kunt hem of haar echter ook een paar jaargangen computerbladen (Nederlandse, maar ook Engelse en Duitse) geven en vragen om de ‘lezersvragen’ rubrieken goed te bestuderen. In dat soort rubrieken worden namelijk ingestuurde vragen van lezers behandeld. Het zijn vragen waarop überhaupt een antwoord mogelijk is en de redactie zoekt natuurlijk de vragen uit die (heel) vaak gesteld worden en waarvan men verwacht dat andere lezers er ook belang bij (zullen) hebben. Tijdschriften hebben een hogere informatiedichtheid per vierkante centimeter dan boeken. En precies in die vragenrubriek, soms ook ‘tips’ genoemd, is de (nuttige) dichtheid het hoogst. Je gebruikt zo externe intelligentie vanuit de scale (schaal) van een breed verspreid tijdschrift, met veel meer computers en printers gebruikende lezers dan er mensen werken in jouw organisatie. Security-informatie uitwisselen met andere organisaties in jouw branche is daarom ook een goed idee. Problemen, oplossingen en ervaringen bij de aanpak van problemen kun je prima over en weer delen. En elkaar even bellen bij een ransomwarebesmetting of eerder, al bij de waargenomen aanval.
Scope
De derde bron van externe intelligentie boor je aan door buiten je eigen denkraam te treden. Uit films of tv-programma’s kun je namelijk ook dingen leren over security. Inspecteur Columbo is tegenwoordig vooral bekend van zijn zeer effectieve ‘nog een laatste vraag’ aan de hoofdverdachte aan het eind van zijn gesprekjes. Informatieverzameling lijkt bij deze, een beetje verfomfaaid ogende inspecteur nooit een verhoor, al is het dat natuurlijk wel. Ook zijn vasthoudendheid (je ziet de verdachte denken ‘daar heb je hem wéér!’), grote aandacht voor in eerste instantie onbelangrijk lijkende details, bescheidenheid (zijn standpunt is: je kunt niet alles weten, maar je kunt wel alles vrágen) en onverwachte invalshoeken (‘mijn vrouw vroeg gisteravond…’) zijn wat mij betreft een inspiratie voor securityprofessionals.
Ook een boek over een ogenschijnlijk ander onderwerp (scope) kan je security-inzichten geven. Machiavelli schrijft in zijn beruchte boek ‘De Prins’ onder andere over het als vorst verstandig (of was het nou geslepen en uitgekiend?) omgaan met huurlingenlegers. Die ervaringen kun je prima vertalen naar het doordacht omgaan met tijdelijk ingehuurde externe krachten. Chinese krijgsheren zoals Sun Tzu schreven over oorlog en veldslagen, maar ook over strategie en zelfs over het vermijden van gewapende strijd. Waarom zou je dat als beveiligingsdeskundige niet kunnen gebruiken? Ik ontdekte in 2023 een interessant boek van vóór Sun Tzu met de titel ’36 Chinese Stratagemes’. Deze 36 krijgslisten zijn gegroepeerd in zes hoofdstukken van ieder zes listen:
1. Listen in een gewonnen situatie;
2. Listen om met een vijand om te gaan;
3. Aanvalslisten
4. Listen voor chaotische situaties;
5. Listen voor terreinwinst;
6. Listen in een verloren situatie.
De eerste drie hoofdstukken behandelen listen in voordelige situaties (men is aan de winnende hand of heeft een voordeel behaald in de strijd); de laatste drie hoofdstukken listen in nadelige situaties. Red teams hebben dus meer aan Hoofdstuk 1, 2 en 3 en een SOC aan hoofdstuk 4 (nou vooruit, ook aan 5 en 6). In een later artikel zal ik dit boek uitgebreider behandelen.
Haiku’s
Ook kun je scope letterlijk als een ‘denkraam’ toepassen in de vorm van een haiku, bijvoorbeeld voor een security-awareness campagne. Deze Japanse dichtvorm bestaat uit drie regels van respectievelijk 5, 7 en 5 lettergrepen. De eerste zin beschrijft vaak een situatie. Deze vormeisen dwingen je op speelse wijze de securityboodschap die je wilt overbrengen, kort en krachtig te formuleren. Het hoeft niet te rijmen, maar je moet wel spelen met taal en zo de securityslogans en uitspraken van directieleden opnieuw formuleren, totdat ze passen in die 5-7-5 vorm. Met de traditionele vormgeving van Japanse prenten eromheen, zijn deze teksten zeer geschikt als aandachttrekkende items op posters in gangen of liften binnen jouw organisatie (op alle locaties!), als screensavers op alle gelukkig met wachtwoord geblokkeerde werkstations of op een afsluitende slide in elke presentatie gegeven door een medewerker van de afdeling Security. Papieren koffiebekers met opdruk liggen moeilijk in Nederland sinds 1 januari 2024. Maar bierviltjes, muismatten en suikerzakjes kunnen nog steeds prima bedrukt worden met een haiku. Vermoedelijk ten overvloede, in de naam is de populaire afkorting AI al opgenomen. De haiku's in de afbeeldingen in dit artikel kun je zo gebruiken, maar het lijkt me leuker om met het hele team, wijntje, biertje en/of sushi erbij twee uurtjes te brainstormen en zelf teksten te verzinnen. Goed voor het interne begrip, kennisdeling en de samenwerking met collega’s in het team.
Kampai! (Japans voor ‘droog glas’ of ‘bottoms up!’ of proost).
Robert Metsemakers
Robert Metsemakers schrijft op persoonlijke titel en is als ervaren IT-auditor en informatiebeveiligingsexpert beschikbaar voor security-advies en (algemene) schrijfopdrachten via robert.metsemakers@gmail.com
Dit blog verscheen in IB2-2024.