Cyberdoom

Het is makkelijk om een cyberdoomscenario te schrijven, want onze wereld is nogal kwetsbaar. Als een paar hackers inderdaad het elektriciteitsnet uit kunnen zetten, het waterleidingbedrijf kunnen saboteren en je bankrekening leeghalen, hebben we nogal wat om ons druk over te maken.

Hollywood heeft hier een keer een film over gemaakt: Live Free or Die Hard, alweer in 2007. Hierin beginnen de slechten met alle verkeerslichten in New York op groen te zetten, vervolgens hacken ze alle tv-omroepen en laten ze een film zien van het Capitool dat instort en daarna gaan ze het elektriciteitsnet uitschakelen. Gelukkig is Bruce Willis er op tijd bij, samen met een hacker met een notebook in een schoudertas.

Albert Benschop heeft een iets beter onderbouwd doemscenario ontwikkeld op zijn SocioSite, een monumentaal academisch naslagwerk over de invloed van internet op de samenleving.

Ik vind het best lastig om die scenario's op hun waarde te schatten. Het is duidelijk dat een cyberaanval veel schade kan aanrichten, maar hoe groot is de kans dat dat ook gaat gebeuren, wat gebeurt er dan eigenlijk precies en wat is eigenlijk het effect van doemscenario's op politiek en samenleving?

Benschop verwijst naar een Amerikaanse auteur, Sean Lawson, die er een artikel over heeft geschreven in the Journal of Information Technology & Politics 10 (2013), aflevering 1. Ik heb er online een (gratis) versie van gevonden: Beyond Cyber-Doom. Hij zet doemscenario's aardig in perspectief:

• Doemscenario's bestaan al sinds er onbegrepen technieken zijn. Mensen zijn bang dat die op een gegeven moment niet meer te  beheersen zijn. Een beetje het verhaal van de tovenaarsleerling.
• Er blijkt een wetenschappelijke rampkunde te bestaan die leert dat technologische ontwrichting nog niet hoeft te leiden tot sociale ontwrichting en dat mensen vaak heel goed in staan zijn hiermee om te gaan. Hij geeft de bombardementscampagne tegen nazi-Duitsland als voorbeeld.
• Het is wel gevaarlijk om cyber-aanvallen als oorlog te bestempelen. Meestal gaat het alleen om misdaad en spionage, bij cyberattacks, en door die als oorlogshandelingen te framen, ontstaat het gevaar dat er militaire oplossingen worden gezocht (schieten! maar op wie dan?) en dat er een centrale commandostructuur wordt opgezet, waar decentralisatie van structuren en systemen een land juist minder kwetsbaar maakt

Al met al een mooi pleidooi om niet in paniek te raken, vooral goed te kijken wat een cyberwar nou precies is en meer te vertrouwen op zelforganisatie dan op centralisatie. 

Een argumentatieschema in een mindmap

Ooit, heel, heel lang geleden studeerde ik Nederlands. Behalve aan literatuur en taalkunde deden we ook aan taalbeheersing. Dat was een niet zo wervende verzamelnaam voor debatteren, retorica, presenteren en andere leuke dingen die je met taal kunt doen.

Een van de groten van de taalbeheersing was Arne Naess - niet te verwarren met zijn neef die nog eens met Diana Ross getrouwd is geweest. Oom heeft een boek geschreven over argumentatietheorie en daaruit herinner ik me het argumentatieschema. Een schema waarin je alle argumenten vóór en tegen een stelling op een rijtje zet en vervolgens weer alle argumenten vóór en tegen de hoofdargumenten, en zo voorts.

Arne Naess was behalve filosoof
ook ecosoof, zoals je aan deze foto
wel een beetje kunt zien

Voor Naess was argumenteren een vorm van waarheidsvinding. Een stelling is dan waar als de argumenten vóór niet weerlegd worden. Ik vind dat een mooi idee, al zie ik wat bezwaren.

Maar goed. Ik zit tegenwoordig op debatteerles bij mijn partij (de cursus kost 66 euro, raad zelf welke partij het is) dus ik ben nu ééns in de veertien dagen een gezellig avondje bezig argumenten vóór en tegen stellingen van wisselende maatschappelijke relevantie ("Dolf Jansen moet gedwongen worden 20 kilo af te vallen") te verzinnen.

Niet vreemd dus dat de argumentatieschema's van oom Arne me weer te binnen schoten. En omdat ik ook graag mindmap, vond ik het ineens apeslim om uit te zoeken of je een arugmentatieschema in een mindmap kan stoppen.

En moet je nou eens hier kijken!

Dit is gemaakt met Freemind, een open source-programmaatje om mindmaps te maken. De clou is dat je vóór- en tegenargumenten duidelijk uit elkaar houdt. In Freemind kun je daar icoontjes voor gebruiken. Het werkt stukken makkelijker dan met pen en papier, want Freemind formatteert alles netjes (weer niet zo netjes als bv. MindNode (Mac/iPad), maar ik heb nog niet uitgevonden of dat ook met icoontjes werkt).

Volgende keer dus de notebook mee naar debatteerles!

Eerst aardig, dan competent

Nog maar een berichtje over body language, weer naar aanleiding van een verhaal met Amy Cuddy:

Mensen kijken eerst of iemand aardig is en pas daarna of iemand sterk en competent is. Dat hebben we nog uit onze mensapentijd. Als je een ander wezen tegenkomt moet je eerst weten of het je gaat verscheuren of dat je samen bramen kunt gaan zoeken. Een glimlach, vooral een echte glimlach, is een teken dat er niemand verscheurd gaat worden.

Deze glimlach lijkt me
een beetje nep

Het is nog wel een beetje de kunst om gemeend te glimlachen en op het goeie moment. John McCain, de presidentskandidaat die goddank van Obama verloor heeft er nog wat moeite mee, zie link. Het staat een beetje raar als je eerst vurig betoogt dat je Osama Bin Laden tot aan de poorten van de hel zult achtervolgen en dan afsluit met een brede grijns.

Een goeie glimlach doe je niet alleen met je mond, maar ook met je ogen, trouwens, althans met de spiertjes aan de zijkant. Kraaiepootjes zijn een teken dat je veel geglimlacht hebt en makkelijk toegankelijk bent. Handig om even bij stil te staan voordat je gaat Botoxen.

Als je aardig blijkt te zijn, is de volgende stap om respectabel te zijn: sterk en/of compentent. Daar heb je weer andere gebaren voor, bijvoorbeeld een stevige handdruk. Niet te stevig, want dan schrik je mensen af en moet je eerst weer aardig gevonden worden.

Een DDOS-attack in 2004 en een in 2013

Toen ik bij ICTU werkte in 2004 ("vroeger") werd onze site, overheid.nl, een keer getroffen door een DDOS-attack. Waardoor we een dag of vijf niet bereikbaar waren.  De ING had deze week een stuk minder tijd nodig om zijn site weer tot leven te brengen.

Wat is een DDOS-attack?

Bij een DDOS-attack wordt je website trouwens lamgelegd doordat er zoveel pagina's tegelijk worden opgevraagd dat hij het niet meer aankan. Er wordt niet ingebroken, dus er worden geen gegevens gestolen of veranderd.

De eerste D van DDOS staat voor "distributed": de aanval wordt vanaf (veel) verschillende computers uitgevoerd. Dat kan de PC van je oude moedertje zijn als ze geen virus checker heeft en er ooit eens kwaadaardige software op terecht is gekomen waarmee de PC voor een DDOS-attack kan worden gebruikt. Anders gezegd: je kunt zonder te weten medeschuldig zijn aan een DDOS-attack.

Saillant detail: de ABNAMRO veronderstelt dat je als je bij hun Internetbankiert, je een bijgewerkte virusscanner op je computer hebt. Anders moet je meebetalen als je rekening gehackt wordt. We mogen dus veilig aannemen dat er geen rekeninghouders van de ABNAMRO (onwetend) betrokken waren bij de aanval op de ING.

Script kiddies

Er zijn me in 2004 twee dingen opgevallen:

• Het is niet zo moeilijk om zo'n DDOS-attack te organiseren.
• Als je de overheid achter je aan krijgt ben je nog niet jarig.

De politicologen van de ICTU (er liepen daar toen relatief weinig ICT'ers rond, die werden allemaal ingehuurd) hadden het neerbuigend over "script kiddies", toen de daders van de attack opgespoord waren. Dat is een neerbuigende term die echte hackers gebruiken voor mensen die zonder al te veel ICT-kennis ook wat gaan hacken. De software om een DDOS-attack uit te voeren haal je namelijk zo van het Internet en DDOS-attacks blijven populair.

Straf

De daders  - in de leeftijd van 15 tot 18 jaar - van de ICTU-attack werden vrij snel opgepakt - letterlijk:  de hoofdverdachte zat zijn hoofdstraf, 38 dagen, uit in voorarrest. Daarnaast had hij nog een taakstraf van 240 uur. Dat was de eerste keer dat cybercrime in Nederland tot een veroordeling leidde.

De overheid liet het daar niet bij zitten en heeft ook nog een schadevergoeding van 5 ton gevorderd. De rechter vonniste in 2008 dat 44.000 euro wel genoeg was.

Ik vind de straf en de schadevergoedingseis (niet de opgelegde eis) behoorlijk hoog. Speelt hier angst voor het onbekende mee, bij de overheid?

Had de ING dit niet kunnen voorkomen?

DDOS-attacks kun je wel voorkomen, met ingewikkelde software en dure apparatuur. Het punt is dat ze weinig voorkomen, hoewel ieder script kiddie er een kan uitvoeren. De ING-bank heeft:

• òfwel de afweging gemaakt dat de investering in beveiligingsmaatregelen niet opwoog tegen de moeite. Ik neem aan dat de bestelling voor een betere firewall inmiddels de deur uit is (voor de zekerheid op de post en niet met de mail)
• òfwel ze hebben de afweging niet gemaakt. In dat geval verstaan de ICT'ers hun vak niet bij de ING of - en dat lijkt me waarschijnlijker - begrijpen de managers de ICT'ers niet.

Fake it till you become it

Fascinerende TED Talk van Amy Cuddy:

Amy Cuddy, sociaal-pyscholoog, Harvard:
Zo steek je je vinger op als je geen
zelfvertrouwen hebt

• Je hebt krachtige houdingen (power poses) en machteloze houdingen
• Krachtig is als je ruimte inneemt, bijvoorbeeld je benen op tafel en je handen in je nek, machteloos is in elkaar gekrompen, als je je bovenarmen vasthoudt en voorover buigt
• Als je een power pose aanneemt stijgt je testosteron en daalt je cortisol. Je krijgt meer zelfvertrouwen en minder stress. Het werkt al na 2 minuten
• Als je daarna een sollicitatiegesprek ingaat heb je veel meer kans om de baan te krijgen
• Sollicitatiecommissies letten niet op wat je zegt, ze letten op je houding, je presence
• Oefen net zo lang met power poses tot je je ze eigen hebt gemaakt: fake it till you become it

Niet je verhaal, maar je presence

Waarom mensen niet (wel) met nieuwe software gaan werken

De usability van deze revolver is beperkt

Nieuwe software - Yammer, SharePoint, een CRM-systeem - slaat pas aan als hij useful & usable is:

• useful: ik heb er wat aan, ik kan iets sneller of makkelijker doen
• usable: ik begrijp hoe het werkt, ook nog na een weekje vakantie

Het lijkt me niet ingewikkelder dan dat. Dwang, verleiding of andere vormen van  change management kunnen daar weinig aan veranderen.

Ik kwam deze termen tegen in een discussie op LinkedIn, in een post van ene Len Asprey. Lijkt me een verstandige man, hoewel dat boek (zie de link) van 552 pagina's vast onleesbaar is.

Kwaliteit betekent in de ICT iets anders

Bij projectmanagement is het belangrijk om tijd, geld en kwaliteit onder controle te houden (sommige mensen vinden Informatie en Organisatie ook belangrijk, waarom ook niet).
Voor de leek is "kwaliteit" hier een verwarrende term. Bij wasmachines of fietsverlichting betekent "kwaliteit" dat ze van onverslijtbaar materiaal zijn gemaakt, goed in elkaar zijn gezet en volgens de laatste inzichten zijn ontworpen.
Bij projecten en bij software betekent kwaliteits iets anders: daar is kwaliteit "wat het doet". Meer kwaliteit betekent dat de software meer doet. Je kunt een game zo programmeren dat je hem alleen met je muis kunt bedienen of met je muis en je keyboard. In het tweede geval is de kwaliteit "meer". Het gaat trouwens tegen mijn intuïtie in om dan van een hogere kwaliteit te spreken.
IT-projecten gaan vaak de mist in omdat de "kwaliteitseisen" al doende steeds worden uitgebreid ("doe dit ook maar even" en "als je toch bezig bent, doe dit dan ook even, dat is goedkoper dan het achteraf nog een keer te moeten"). Op die manier kan een project helemaal uit de hand lopen ("scope creep") en dan mislukt.
Het rare is dat er wel degelijk ook zoiets als kwaliteit van software bestaat. Het gaat dan om de leesbaarheid en de onderhoudbaarheid bijvoorbeeld, en om de veiligheid (makkelijk of minder makkelijk te hacken). Maar bij project management gaat het daar meestal niet over als het over kwaliteit gaat.

Motivatie draait om drie dingen

De screenshot hierboven is uit dit filmpje. De voice over is van Dan Pink.
Het komt hierop neer: geld motiveert mensen alleen bij lopende bandwerk, dingen waar je je verstand niet bij hoeft te gebruiken. Bij ingewikkelder dingen hebben bonussen een averechts effect.
Als mensen genoeg verdienen om zich geen zorgen meer te hoeven maken over geld, zoeken ze drie dingen:

• Autonomy
• Mastery
• Purpose

Goed voorbeeld zijn de mensen die Linux en Apache hebben gemaakt: software engineers met goed betaalde banen die in hun schaarse vrije tijd voor niks software maken waarvan ze vinden dat de wereld wat beter wordt.