Journalisten en PR-mensen kennen de regel: iets is pas nieuwswaardig, als het emotie oproept. Verbazing, verontwaardiging, verdriet, maar vooral: angst. Het is een wet uit de psychologie die reclamemakers en andere communicatieprofessionals kennen: om mensen aan te sporen om hun gedrag te veranderen, helpt het om ze precies de juiste hoeveelheid angst te laten voelen. Te veel is niet goed, want dat verlamt. Maar te weinig is ook niet effectief, want dan hoeft er geen actie te worden genomen om het waargenomen gevaar af te wenden. Er is nauwelijks een industrie waarbij de angstzaaistrategie meer wordt toegepast dan in de IT security-industrie (vooruit, misschien ook bij verzekeraars). Om in de media te komen met je merk, moet de krantenkop spectaculair genoeg zijn om de aandacht te trekken. Om mensen vervolgens ook nog eens tot actie te brengen (bijvoorbeeld: het aanschaffen van de beveiligingssoftware van jouw merk), moet je de gevaren en risico’s die men loopt zonder die software, heel duidelijk maken. Het is logisch en begrijpelijk. Maar in mijn optiek slaan we er soms wel in door.
Een mooi voorbeeld hiervan was vorige week zeer uitgebreid in de Duitse media (in Nederland was er in januari al wat aandacht voor hetzelfde onderwerp, al liep het verhaal in Nederland duidelijk minder goed dat bij de oosterburen): het gevaar van de e-sigaret. Kort gezegd komt het erop neer dat gewaarschuwd werd voor het opladen van de e-sigaret via de pc met een USB-lader. Want mogelijk is de USB-lader uitgerust met malware en kan de pc geïnfecteerd raken.
Nu zijn er twee zaken opmerkelijk aan dit nieuwsbericht. Ten eerste: het is geen nieuws. Deze potentiële hack werd al in 2014 op een conferentie voor IT-securityspecialisten en white hat hackers aangetoond. Ten tweede: Er is geen enkel incident met e-sigaretten waargenomen ‘in the wild’, oftewel, buiten het laboratorium van de onderzoekers die het ‘gevaar’ destijds hebben aangetoond. Een groot gevaar kunnen we het dus in alle eerlijkheid niet noemen.
Statistieken en malware
Een ander voorbeeld zijn de statistieken die de ronde doen over malware (ik moet denken aan het citaat “There are three kinds of lies: lies, damned lies, and statistics.”). De juiste methodologie, naar de mening van de analisten van het G DATA SecurityLab, is om te tellen hoeveel verschillende virushandtekeningen nodig zijn om malware tegen te houden. Kleine verschillen in de code van verschillende samples maken niet uit, één handtekening kan verschillende varianten herkennen en het is dus niet nodig om alle verschillende varianten te tellen. Veel andere malware-analisten hebben een andere ethiek. Het lijkt erop dat een hoger nummer aan nieuwe malware als wenselijker wordt gezien. Zo komen sommige merken van security software met statistieken van 70 miljoen nieuwe soorten malware in één jaar op de proppen, waar in werkelijkheid ‘slechts’ vijf miljoen nieuwe virushandtekeningen nodig waren om alle nieuwe bedreigingen te lijf te gaan.
Het zijn dit soort PR-verhalen die onze industrie een slecht imago geven. In de commentaren onder veel nieuwsberichten die de wereld in zijn ‘geholpen’ door bedrijven in de IT security-industrie, valt vaak de afkorting ‘FUD!’ te lezen. Deze afkorting staat voor ‘Fear, Uncertainty and Doubt’ en werd oorspronkelijk gebruikt voor het benoemen van de tactiek van IBM-salesmensen om valse informatie over (de producten van) concurrenten te vertellen om het eigen product verkocht te krijgen. Ondertussen wordt FUD iets ruimer gebruikt: om bedrijven, media en politici te beschuldigen van angstzaaierij om een bepaald gewenst gedrag te veroorzaken.
Hoewel de tactiek begrijpelijk is, over het algemeen vrij effectief is en in sommige gevallen met de beste intenties wordt toegepast (ik weet dat G DATA in het verleden ook wel eens heeft gewaarschuwd tegen gevaren die achteraf toch minder groot bleken dan dat wij zelf op het moment van publicatie geloofden), heeft het stelselmatig toepassen van de tactiek een groot nadelig effect. Wie kent niet het fabel van ‘De jongen die wolf riep’?
Ik ben van mening dat wij als actoren in de IT security-industrie moeten voorkomen dat een dergelijke situatie zich bij ons voordoet. G DATA probeert terughoudend te zijn in het verspreiden van spectaculaire informatie voor het verkrijgen van aandacht. Ik roep al mijn concullega’s op om even voorzichtig te werk te gaan. Zo houden we de communicatie geloofwaardig en laten mensen zich ook echt waarschuwen wanneer er echte gevaren dreigen, ook als deze niet zo erg spectaculair zijn. Want die reële, alledaagse gevaren zijn er al meer genoeg.
Dirk Cools, Country Manager G DATA Benelux