De juiste balans

Beste Stephan, in Nederland doen we in de auto altijd de gordel om, verzekeren we ons voor van alles en bedekken we het schermpje van een automaat als we de pincode moeten intoetsen. Waarom zijn we dan toch zo onvoorzichtig op het internet?

Dit is niet alleen in Nederland zo, maar wereldwijd. Dat valt te verklaren vanuit de menselijke psyche, die meer is ingesteld om met concrete, zichtbare gevaren om te gaan. En dat is niet het geval met risico's op het internet. Daarom is het vooral voor technologiebedrijven zoals Google belangrijk om ervoor te zorgen dat hun gebruikers veilig zijn. We zijn daar de afgelopen jaren intensief mee bezig geweest.

Waar hebben jullie aan gewerkt?

We hebben veel tijd en geld geïnvesteerd om onze gebruikers beter te leren kennen. We hebben bijvoorbeeld ontdekt dat we te veel beveiligingswaarschuwingen lieten zien, waardoor mensen ze niet meer serieus genoeg namen. De vraag is dan: hoeveel waarschuwingen is wel effectief? Het is niet makkelijk om de juiste balans te vinden. We onderschatten de menselijke factor regelmatig.

Wat bedoel je daarmee?

Als gebruikers actief de beslissing nemen om op een link in een e-mail te klikken of zonder veel na te denken hun gegevens delen, kun je daar niet veel aan doen. De meeste aanvallen zijn gebaseerd op menselijke goedgelovigheid.

"We zijn van nature geneigd om andere mensen te vertrouwen. Dat weten criminelen ook."

Stephan Somogyi

Wat is het resultaat?

We zijn van nature geneigd om andere mensen te vertrouwen. Dat weten criminelen ook. Dat is de reden dat ze ons soms kunnen misleiden om een e-mail te vertrouwen, ondanks dat deze afkomstig is van een onbekend e-mailadres. Of ze proberen ons gewoon bang te maken. In beide gevallen zijn de gevolgen hetzelfde: we nemen slechte beslissingen.

Kun je een voorbeeld geven?

Stel dat je een bericht krijgt in je inbox. Daarin staat dat de streamingservice waarop je nieuwe afleveringen van je favoriete tv-serie wilde kijken, wordt geblokkeerd. Als je de blokkering wilt voorkomen, moet je op een link klikken en je bankgegevens bevestigen. Op zo'n moment nemen veel mensen de verkeerde beslissing en volgen ze die instructies op. En dan heeft een crimineel toegang tot hun bankrekening.

Proberen aanvallers gebruikers dan altijd klakkeloos te laten reageren?

Ja. Maar er zijn ook veel gevallen waarin mensen beveiligingswaarschuwingen negeren uit onwetendheid of onachtzaamheid. Daarom maken we de begeleiding die we bieden rond beveiligingswaarschuwingen eenvoudiger. We willen niet voorschrijven wat gebruikers wel of niet moeten doen, maar we willen wel dat ze weten dat ze serieuze risico's lopen. We willen ze alle feiten geven die ze nodig hebben om een weloverwogen beslissing te nemen, niets meer en niets minder.

Desktops zijn niet langer het enige toegangspunt. Zijn de beveiligingsvereisten hetzelfde voor andere apparaten?

Dat is voor ons een grote uitdaging. Online beveiliging vereist altijd een extra uitwisseling van gegevens, bijvoorbeeld versleuteling. Op een desktop doet dat er niet toe, maar op een smartphone kan dat wel het geval zijn vanwege het grote volume aan gegevens. Daarom moeten we beveiligingsmaatregelen nemen die niet meer gegevens gebruiken dan absoluut nodig is. We hebben er hard aan gewerkt om de hoeveelheid gegevens die naar mobiele apparaten wordt overgedragen te verminderen. En het is nu een kwart van wat het ooit was. We willen tenslotte niet dat klanten beveiligingsinstellingen uitschakelen om te voorkomen dat ze hun datalimiet overschrijden. Hier komt de menselijke factor weer om de hoek kijken.

Stel dat ik alle beveiligingsadviezen opvolg en voorzichtig ben met mijn persoonsgegevens. Betekent dit dat ik het zonder een extern antivirusprogramma kan stellen?

Laat ik het zo zeggen: als je je systeem voortdurend updatet, ben je tegenwoordig redelijk goed beschermd. Maar dat is niet altijd het geval geweest. In het verleden waren veel bedrijven op dit punt niet grondig genoeg. Die situatie is de afgelopen jaren enorm verbeterd en het risico is drastisch verminderd.

Laten we kort vooruitkijken. Wat is jullie volgende doel?

We willen HTTPS het standaardprotocol op internet maken, zodat verbindingen altijd versleuteld zijn. We gebruiken in veel van onze services, zoals Google Zoeken en Gmail, al veilige HTTPS-versleuteling om gegevens over te dragen.

Dus jullie willen dat alle online gegevens veilig worden overgedragen?

Ja. Tot nu toe werden beveiligde verbindingen aangegeven in de adresbalk. We willen dat omdraaien, zodat in de toekomst de onveilige verbindingen worden gemarkeerd.

.

Foto's: Felix Brüggemann