De juiste balans vinden

Meneer Somogyi, hier in Duitsland doen we in de auto altijd de gordel om, verzekeren we ons voor van alles en bedekken we het schermpje van een automaat als we de pincode moeten intoetsen. Waarom zijn we dan toch zo onvoorzichtig als het om het internet gaat?

En dit is niet alleen in Duitsland zo, maar wereldwijd. De reden erachter is de menselijke psyche, die meer is ingesteld om met concrete, zichtbare gevaren om te gaan. En dat is niet het geval met risico's op het internet. Daarom is het vooral voor technologiebedrijven zoals Google belangrijk om ervoor te zorgen dat hun gebruikers veilig zijn. We zijn daar de afgelopen jaren intensief mee bezig geweest.

Waar hebben jullie aan gewerkt?

We hebben veel tijd en geld geïnvesteerd om onze gebruikers beter te leren kennen. We hebben bijvoorbeeld ontdekt dat we te veel beveiligingswaarschuwingen lieten zien, waardoor mensen ze niet meer serieus genoeg namen. De vraag is dan: hoeveel waarschuwingen is wel effectief? Het is niet makkelijk om de juiste balans te vinden. We onderschatten vaak de menselijke factor.

Wat bedoel je daarmee?

Als gebruikers actief de beslissing nemen om op een link in een e-mail te klikken of onbewust hun gegevens te delen, kun je daar niet veel aan doen. De meeste aanvallen zijn gebaseerd op menselijke goedgelovigheid.

"Ons instinct zegt ons dat we andere mensen kunnen vertrouwen. Dat weten criminelen ook."

Stephan Somogyi

Wat is het resultaat?

Ons instinct zegt ons dat we andere mensen kunnen vertrouwen. Criminelen weten dat. Dat is de reden dat ze ons soms kunnen misleiden om een e-mail te vertrouwen, ondanks dat deze afkomstig is van een onbekend e-mailadres. Of ze proberen ons gewoon bang te maken. In beide gevallen zijn de gevolgen hetzelfde: we nemen slechte beslissingen.

Kun je een voorbeeld geven?

Stel dat je een bericht krijgt in je inbox. Daarin staat dat de streamingservice waarop je nieuwe afleveringen van je favoriete tv-series wilde kijken, wordt geblokkeerd. Als je de blokkering wilt voorkomen, moet je op de volgende link klikken en je bankgegevens bevestigen. Op zo'n moment nemen veel mensen de verkeerde beslissing en volgen ze die instructies op. Een crimineel heeft dan toegang tot de bankrekening.

Dus aanvallers proberen gebruikers altijd klakkeloos te laten reageren?

Ja. Maar er zijn ook veel gevallen waarin mensen beveiligingswaarschuwingen negeren uit onwetendheid of onachtzaamheid. Daarom werken we eraan om de begeleiding die we bieden eenvoudiger te maken rond beveiligingswaarschuwingen. We willen niet voorschrijven wat gebruikers wel of niet moeten doen, maar we willen wel dat ze weten dat ze serieuze risico's lopen. We willen ze alle feiten geven die ze nodig hebben om een weloverwogen beslissing te nemen, niets meer en niets minder.

Desktops zijn niet langer het enige toegangspunt. Zijn de beveiligingsvereisten hetzelfde voor andere apparaten?

Dat is voor ons een grote uitdaging. Online beveiliging vereist altijd een extra uitwisseling van gegevens, bijvoorbeeld versleuteling. Op een desktop doet dat er niet toe, maar op een smartphone kan dat wel het geval zijn vanwege het grote volume aan gegevens. Daarom moeten we beveiligingsmaatregelen nemen die niet méér gegevens gebruiken dan absoluut nodig is. We hebben er hard aan gewerkt om de hoeveelheid gegevens die op mobiele apparaten wordt overgedragen te verminderen. En het is nu een kwart van wat het ooit was. We willen tenslotte niet dat klanten beveiligingsinstellingen uitschakelen om te voorkomen dat ze hun volume aan gegevens verbruiken. Hier komt de menselijke factor weer om de hoek kijken.

Laten we aannemen dat ik alle beveiligingsadviezen opvolg en voorzichtig ben met mijn persoonsgegevens. Betekent dit dat ik het zonder een extern antivirusprogramma kan stellen?

Laat ik het zo zeggen: als je je systeem voortdurend updatet, ben je tegenwoordig redelijk goed beschermd. Maar dat is niet altijd het geval geweest. In het verleden waren veel bedrijven op dit punt niet grondig genoeg. Die situatie is de afgelopen jaren enorm verbeterd en het risico is drastisch verminderd.

Laten we kort vooruitkijken. Wat is jullie volgende doel?

We willen HTTPS het standaardprotocol op internet maken, zodat verbindingen altijd versleuteld zijn. We gebruiken al veilige HTTPS-versleuteling om gegevens over te dragen in veel van onze services, zoals Google Zoeken en Gmail.

Dus jullie willen dat alle online gegevens veilig worden overgedragen?

Ja. Tot nu toe werden beveiligde verbindingen aangegeven in de adresbalk. We willen dat omdraaien, zodat in de toekomst de onveilige verbindingen worden gemarkeerd.

.

Foto's: Felix Brüggemann