Als veiligheid gemakzucht ontmoet: de les van Signalgate
In een lange stroom van vrij bijzondere nieuwsberichten uit de VS de laatste tijd, was er eentje die toch wel erg frappant de aandacht pakte. Tijdens communicatie over een topgeheime militaire missie maakten hoge Amerikaanse functionarissen gebruik van een Signal-groep. Door een verkeerd opgeslagen telefoonnummer werd per ongeluk journalist Jeffrey Goldberg van The Atlantic toegevoegd in plaats van de juiste veiligheidswoordvoerder. Het gevolg: een civiel persoon las mee over militaire operaties – inclusief afsluitende emojis en onsamenhangende kritiek op Europa.
Het was gênant, amateuristisch en belangrijker nog gevaarlijk voor de betrokken militairen.
Wat ging er mis?
Het simpele en pijnlijk eerlijke antwoord: gebrek aan zorgvuldigheid. Niet zozeer een falend systeem, maar falende mensen. Wat hier naar voren komt is een structurele zwakte in veel organisaties: de neiging om gemak te verkiezen boven precisie.
Datalekken beginnen zelden met technologie
Hoewel deze situatie extreem is, staat het niet op zichzelf. Grote datalekken wereldwijd begonnen vrijwel altijd met menselijk gedrag: slechte wachtwoorden, onoplettendheid, ondoordachte handelingen.
Een paar voorbeelden op een rij:
- Yahoo (2017): 3 miljard accounts gelekt.
- AliBaba (2022): 1,1 miljard gebruikersgegevens buitgemaakt. Denk aan namen, adressen, telefoonnummers, identiteitsgegevens, zelfs strafbladen , bij elkaar 23 terabyte aan data.
- LinkedIn (2021): 700 miljoen profielen openbaar.
In het geval van Yahoo in 2017, werden 3 miljard email accounts van mensen geleakt nadat werkgevers op links hadden geklikt die specifiek op hen waren gericht, een methode bekent als spearphishing, phishing, maar dan met een bepaald doelwit.
En dat brengt ons terug bij het Pentagon. Het Pentagon heeft zo’n beetje de beste digitale beveiliging die je kan bedenken. Zelfs de beste beveiligingssystemen bieden geen garantie als de gebruiker zich er niet naar gedraagt.
De ‘even snel’ mentaliteit vs. serieuze verantwoordelijkheid
Wat in Signalgate zichtbaar wordt, herkennen wij ook in veel projecten: de ‘even snel’ mentaliteit. “Even een appje, even een work-around, even dit fixen.” Dat mag misschien kunnen bij een studentenvereniging of projectgroep met weinig risico, maar niet als het gaat om:
- Nationale veiligheid
- Technische implementaties met hoge eisen
- Bedrijven/mensen die gegevens van miljoenen mensen beheren
- Of complexe IT- en projectmanagementtrajecten, zoals wij die bij MareVisie begeleiden
In serieuze projecten, met echte risico’s, red je het niet met half werk. Dan moet elk teamlid niet alleen professioneel zijn, maar professioneel blijven, ook als het laat is, als het onhandig is, als het sneller zou kunnen. Bij MareVisie geloven we in precisie, structuur en professioneel gedrag. Niet omdat het leuk staat in een brochure, maar omdat het essentieel is. Als projectmanager, IT-consultant of engineer werk je binnen een systeem waar fouten échte gevolgen kunnen hebben.
Social engineering en de menselijke factor
Want naast dat mensen zelf al fouten maken, liggen er ook vaak hackers op de loer. Hackers worden slimmer. Waar firewalls en encryptie steeds beter worden, richt men zich op de mens als zwakke schakel. Via social engineering misleiden kwaadwillenden medewerkers om zelf de deur open te zetten. Wat blijkt telkens weer? Niet systemen falen, maar mensen.
Omdat de digitale beveiligingssystemen steeds beter zijn, loont het meer om via de mensen die van de systemen gebruik maken naar binnen te komen, vandaar de term social engineering. Er zijn namelijk tal van creatieve manieren waarop mensen hun wachtwoord of gegevens door kunnen geven, en veel van deze manieren vertrouwen er op dat mensen graag de regels opzij zetten om ‘even snel’ een probleem op te lossen. Het bekendste voorbeeld is natuurlijk de Afrikaanse prins, die een mailtje stuurt of mensen ze alsjeblieft wat geld kunnen sturen met de belofte van enorme geldbedragen in de toekomst. De laatste jaren zijn scammers en hackers echter een stuk slimmer te werk gegaan. Zo kunnen hackers zich in mails voordoen als iemand van IT, die vraagt of mensen even snel een anti virus systeem kunnen downloaden; een antivirus programma dat vervolgens de hacker toegang geeft tot het systeem. Of denk aan deepfake-vergaderingen waarin medewerkers overtuigd worden om miljoenen over te maken, of e-mails waarin ‘de IT-afdeling’ vraagt om software te installeren die juist de aanval faciliteert.
De les van Signalgate
De gebeurtenissen rond Signalgate zijn op zichzelf al interessant, maar ze tonen vooral iets groters: de kwetsbaarheid van zelfs de best beveiligde systemen daar waar menselijke zorgvuldigheid ontbreekt. Wat begon als een verkeerd opgeslagen telefoonnummer eindigde in een diplomatiek fiasco. Dat is geen toeval, maar een gevolg van een bredere houding: gemak boven verantwoordelijkheid.
Signalgate is geen incident in isolatie, alleen een extreem voorbeeld van wat er in het ergste geval kan gebeuren wanneer mensen in verantwoordelijke posities hun taak niet serieus nemen.
Bij MareVisie nemen we die verantwoordelijkheid wél serieus. In onze projecten – van nucleaire trajecten tot complexe IT-implementaties – werken we met een professionele standaard die van A tot Z doordacht is. Elk teamlid, elk besluit, elke klik moet bijdragen aan veiligheid, betrouwbaarheid en controle.
In een wereld waarin digitale dreiging steeds mensgerichter wordt, is professionele discipline geen luxe. Het is een basisvoorwaarde. Daarom investeren wij niet alleen in technische oplossingen, maar vooral in de mensen die ermee werken.
Want of je nu werkt aan de veiligheid van een centrale, de uitrol van een ERP-systeem of de migratie van gevoelige data: bij MareVisie kiezen we niet voor ‘even snel’. We kiezen voor zeker weten.