Veiligheid

Veiligheid is moeilijk. Zeker als je het nog gebruiksvriendelijk wil houden. Mij is altijd gezegd dat security en usability niet samen gaan.

Daar waar mijn achtergrond vooral ligt in de sfeer der information security (encryptie en toestanden), geldt die stelling ook voor andere aspecten van security. Hoe bewijs je dat je bent wie je bent? En mag jij hier wel komen? Moet men echt afkomen met DNA samples te nemen en twee weken te wachten op resultaat? Of is een kaartje met een code die we u gegeven hebben genoeg? Maar zo’n kaartje is wel makkelijk na te maken. Zelfs RFID is kloonbaar.

Het namaken van identificatie en authenticatie-tokens vindt men trouwens overal. Wie heeft er nog nooit geprobeerd een fuifbandje of -stempel na te maken? Als controleur kan je je bezighouden met dat 5 minuten in detail te bekijken of er gewoon een oogopslag (“blauw bandje? ok, ga maar door!”) aan te besteden. Het ene duurt 5 minuten, het andere 1 seconde. Raad eens wat de rij wachtenden het liefst heeft? Juist, security and usability don’t go well together. Lees vooral ook deze paragraaf op Wikipedia. Dit stuk is nogal frappant:

Security experts argue that it is impossible to prove the identity of a computer user with absolute certainty. It is only possible to apply one or more tests which, if passed, have been previously declared to be sufficient to proceed. The problem is to determine which tests are sufficient, and many such are inadequate. Any given test can be spoofed one way or another, with varying degrees of difficulty.

En misschien komt het hier wel op neer: huur de juiste mensen in. Begin december schreef Joel Spolsky een artikel over how and when to micromanage. De volgende quote gaat over het verzekeren van voldoende wifi-capaciteit op conferenties, maar is eigenlijk geldig voor elk soort job waar je aan outsourcing doet:

This entails a level of micromanagement that I was taught is a bad thing. Isn’t today’s modern leader supposed to hire brilliant people, give them a little direction, and just let them go to work? Doesn’t micromanagement turn smart people into robots?

Yes, maybe. But here’s my new theory: At the top of every company, there’s at least one person who really cares and really wants the product and the customer experience to be great. That’s you, and me, and Ryan. Below that person, there are layers of people, many of whom are equally dedicated and equally talented.

But at some point as you work your way through an organization, you find pockets of people who don’t care that much. For them, it’s a job. They just want to get through the day and don’t find it upsetting that the video switching is slow and the Wi-Fi went down and the geeks couldn’t get to their Twitters.  If you’re lucky, none of those people are employed by your company. But the minute you begin to rely on outside vendors, you expose yourself to their people, some of whom inevitably just won’t care enough or know enough or have the right skills to deliver the awesome experience you’re trying to deliver.

I care. Ryan cares. Our staffs care. The venue manager might care but doesn’t know enough. The AV people he hired? Sometimes, they officially Don’t Care, Don’t Know How to Do Their Job, and Really Just Want to Go on Break. And the minute you cross that line, from the people who care to the people who want to go home, that’s when you have to micromanage. You have to check in on people and inspect their work and sign contracts in blood demanding that if the Wi-Fi isn’t perfect, it’ll be free.

’t Is allemaal niet simpel. Zeker niet als je, zoals in de veiligheidssector, wél met een gemotiveerde tegenpartij opgescheept zit. In het klassieke voorbeeldje van de security, en communicatie tussen Alice en Bob, met Eve (van eavesdropper, heb je hem?) als spion-babe, worden boodschappen geëncrypteerd met een sleutel. Deze sleutel moet altijd maar sterker worden, omdat Eve haar ontcijfercapaciteiten ook sterker worden (als gevolg van de Wet van Moore). Conclusie: de security-business is en blijft een wedloop.

(deze post heeft te maken met dit en dit, en is vooral ter informatie voor deze heer)

4 thoughts on “Veiligheid”

Tom

11 december 2009 om 1:41 pm

Oh, wat lief van u. Geheel ongevraagd een hele lecture over security en alles.
Ik zal hem uitprinten en boven mijn bed hangen.

Ik schrijf nergens dat men dit had moeten vermijden. Security op zo’n dingen kàn niet waterdicht zijn, en het zelfs nog maar benaderen zou inderdaad serieus veel ongemak veroorzaken. Dan kom je in situaties die enkel voor meneer Obama getolereerd worden.

Ik schrijf dat de methode niet zo far-fetched is. Dat is het ook niet: badges namaken en heel goed doen alsof je belangrijk bent.
Ik schrijf verder dat de reactie van de politie ronduit belachelijk is. Dat is het ook: boos zijn omdat er iemand U te slim af was? Niet wenen he, het is uw job.

We maken ons vandaag belachelijk. Niet door de stunt, niet door het securitylek, maar door de reactie van meneer De Coninck vanmorgen.

En dat, is wat er in mijn post stond, dus.
Tom

11 december 2009 om 1:46 pm

En mocht je aan het commentmodereren zijn, ge moogt mijn link hierboven gerust wijzigen naar http://blog.schuppe.be/post/1242
boskabout

15 december 2009 om 8:04 pm

Hehe, sorry Tom, uw laatste comment was in de spam terechtgekomen.

Ik heb ook nergens geschreven dat je ongelijk hebt hoor, mijn post was en is louter ter informatie.
Pingback: Awoert

boskabout

makes magic happen

Veiligheid

4 thoughts on “Veiligheid”

Plaats een reactie

Dit delen:

Gerelateerd

4 thoughts on “Veiligheid”

Plaats een reactie