Blog - Sapperdeflap: securitylessen van Pipo en Klukkluk

De serie Pipo de Clown, uitgezonden op de Nederlandse televisie van 1958 met onderbrekingen tot 1980, leerde mij een aantal nuttige dingen over (onder andere) information security.

Naast clown Pipo en zijn vrouw Mammaloe vervulde Klukkluk (gespeeld door Herbert Joeks) een belangrijke rol. Klukkluk introduceerde de uitdrukking ‘mij zijn niet van de gekke’ in Nederland. Later ging Dries van Agt dit als ‘het is toch van de gekke’ gebruiken in de Tweede Kamer, met helaas veel navolging. ‘Het is van de knotse’ hoorde ik in het journaal een politiecommissaris zeggen, over hevig voetbalgeweld. Heel jammer.

Het Klukkluks was destijds ook populair bij volwassen meekijkers: er waren in de jaren ’60 maar twee televisiezenders en iedereen had maximaal één televisietoestel in huis, dus je moest wel. Zodat aan acteur Joeks, tijdens een privé wandelingetje over de Wallen in Amsterdam, op zijn Mokums (Jiddisch voor: grote stad) werd gevraagd of hij die dag ‘van de geilige was’. Leuke super (!) moderne zegswijzen slijten helaas snel door ze voortdurend te gebruiken. Wees daarom wars van clichés in je communicatie over security. Men vermijde de aanvoegende wijs, om medewerkers en managers op het rechte security pad te houden.

Klukkluk zei ook regelmatig ‘niet van de bange, maar van de zeer voorzichtige te zijn’. Dat is een mooie basishouding voor een information security officer. Wel steeds op zoek naar mogelijke risico’s en bedreigingen, maar niet verlamd door schrik voor alle mogelijke IT-onheil in de wereld. Verder gaf Klukkluk ooit aan afkomstig te zijn uit het ‘tamelijk Wilde Westen’. Een dergelijke nuance aanbrengen bij het onderling wegen en presenteren van risico’s en ‘threats’ is zeer welkom. Je kunt nu eenmaal niet alles rechtsboven in de risicomatrix plotten. Niet alles is ‘levensgevaarlijk’, zie ik terugblikkend op mijn eigen dreigingsbeelden nu ook wel in. Dikke Deur was een verbastering van ‘directeur’. Eind jaren ’60 begreep ik dat als kijkertje niet, het was voor mij een vervelende, dikke kerel (dat kon je toen nog zeggen) met een hoge hoed op. De baas van het circus waar Pipo met ruzie was vertrokken om daarna als zzp’er in een woonwagen, gekregen van zigeuner (mag nu niet meer, want afkomstig van ‘ziehende Gauner’: rondreizende dief) Felicio, te gaan rondreizen met Mammaloe en dochter Petra. Petra moest later uit de serie vertrekken wegens een keiharde opstelling van de arbeidsinspectie: te jong voor tv.

De Dikke Deur legde bij mij toen al de kiem voor een levenslange (gezonde) argwaan tegen managers, die – ongehinderd door enige inhoudelijke kennis of ervaring op securitygebied – op een vreselijke manier de baas gaan lopen spelen. Geef security professionals de tijd en ruimte om hun inhoudelijke kunstje te doen, zonder allerlei regelkringen. Professionals doen hun werk graag goed, uit zichzelf. Aan gasten die bij security-incidenten alleen in paniek ‘Pipo! Koeien!’ komen roepen, hebben we niks.
Boeven waren er ook en zelfs duidelijk benoemd (zie mijn recente blog over Italiaanse koffies): Snuf en Snuitje. Ze waren vooral verzot op parels (zie: inventariseer je kroonjuwelen) als buit en zelfs nog dommer dan ze zich gedroegen. Toch werden S&S als aanvallers regelmatig in eerste instantie door Pipo c.s. onderschat, zodat de rest van die aflevering de gevolgen van hun kwaadaardige (‘malicious’) acties moesten worden gemitigeerd. Bedenk: de aanvallers zijn inderdaad gemeen en oneerlijk, maar daarom niet per definitie dommer of onbekwamer dan jijzelf als verdediger. En het zijn er vermoedelijk meer dan de twee (S&S) die jij in het vizier hebt. Echt bekwame boeven zie je niet en ze werken wel samen.

Klukkluk was de beste vriend van Pipo en heeft een boogschietact in Pipo’s voorstelling. Zijn schietkunst was echter belabberd en bij elk schot zei Klukkluk daarom: ‘Floepens, mis!’. Voor zijn zichtbaarheid in de organisatie was dit funest, zodat Pipo hem ‘Klukkluk de misschiet-indiaan’ noemde. K. had beter, zoals verstandige moderne vulnerability scanning medewerkers dat doen, kunnen melden hoeveel kwetsbaarheden of ‘anomalies’ hij in de afgelopen periode wel had gevonden. Of hoeveel (absoluut getal) phishing mails er waren tegengehouden, in plaats van een zeer laag percentage ten opzichte van de miljoenen gescande mails per maand te rapporteren.

Zo’n woonwagen moet natuurlijk in beweging blijven. Om het hele zaakje met P+M+P+K aan boord te trekken, was één ezel beschikbaar, met de naam ‘Nononono’. Daarbij moet ik denken aan het standaardantwoord van een SOC-medewerker of security officer op securityvragen van gebruikers. Kan ik al die vertrouwelijke financiële klantgegevens zo gewoon in de cloud zetten, in Amerika? Ik heb zelf met een bouwpakket uit China een tablet gesoldeerd, kan ik die voortaan voor zakelijk gebruik inzetten? Ik vond tijdens een dancefestival een USB-stick in de modder, kan ik die - nu ik vertrek bij de organisatie - gebruiken om mijn presentaties mee te nemen naar mijn privé computer en volgende werkgever? Je ziet de wapperende handen en het verschrikte gezicht van de antwoordende security professional hierbij al voor je. Toch is het bij dergelijke (stomme) vragen beter niet in paniek te raken en neutraal te vragen: ‘wat denk je zelf?’ en daarbij terloops de AVG te noemen en de bedragen van mogelijke boetes. Als ze het zelf bedenken, blijft het antwoord beter hangen.

Om security awareness acties te laten aanslaan bij het grote publiek is het mooi als rode draad een spreuk of slogan te hebben. Die je dan kunt gebruiken op posters, screensavers, de onvermijdelijke ‘wuppies’ op elk bureau, bedrukte koffiebekers (echt!) en alle verdere voorlichting op het intranet als bestrijding van ransomware, phishing mails, ongemelde datalekken en BEC (Business Email Compromise). En dan niet ‘SAPperdeflap’ (ook weer heel jammer), maar iets duurzaams als: ‘Dag vogels, dag bloemen, dag kinderen.’

Robert Metsemakers
Robert Metsemakers schrijft op persoonlijke titel en is als ervaren IT-auditor en informatiebeveiligingsexpert beschikbaar voor security-advies en (algemene) schrijfopdrachten via robert.metsemakers@gmail.com

Dit blog verscheen in IB4-2023.