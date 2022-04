Hugo de Jonge gebruikte zijn privémail voor ministerszaken omdat, naar eigen zeggen, de beveiligde mail van het ministerie te ingewikkeld is, met vaak verlopende, lastig te onthouden wachtwoorden. Maar ook het even snel aanpassen van een tekstdocument voor een speech kon niet in de beveiligde mailomgeving, maar wel op zijn iPad, aldus de minister.

In eerste instantie denk je: kom op nou Hugo, je bent minister, je wéét toch hoe belangrijk beveiliging is? Aan de andere kant, interactieontwerpers en beveiligingsspecialisten weten: als je de boel om veiligheidsredenen te hard dichttimmert en het te gebruiksonvriendelijk wordt, dan maak je het juist onveiliger.

Maak wachtwoorden te ingewikkeld en dwing mensen te vaak van wachtwoord te wisselen en er verschijnen password post-its. Breng een branddeur aan in een drukbelopen gang en sluit hem heel snel en hard met een superstevige dranger, en vroeg of laat schuift iemand een houten blokje eronder en staat je veilige branddeur continu open.

Nieuw is dit inzicht niet, we weten dit eigenlijk al sinds 1883. Toen schreef de Nederlandse cryptograaf Auguste Kerckhoffs een invloedrijk artikel met zes basisprincipes voor een veilig communicatiesysteem. In het wetenschappelijke tijdschrift IEEE Security en Privacy wijzen cybersecurityonderzoekers Peter Gutmann en Ian Grigg erop dat maar liefst vier van de zes van Kerckhoffs’ veiligheidsprincipes gaan over gebruiksgemak. Bijvoorbeeld: ‘De sleutel [het wachtwoord] moet communiceerbaar en bewaarbaar zijn zonder de hulp van geschreven aantekeningen, en veranderbaar en aan te passen zijn als de correspondenten dat willen.’ Dat zijn dus De Jonges problemen met zijn wachtwoord. En punt zes: ‘Het systeem moet eenvoudig te gebruiken zijn, en noch mentale inspanning noch de kennis van een lange serie regels vergen.’ Bingo, speech aanpassen.

En nee, helemaal moeiteloos beveiligen kan niet. Gebruikers zullen vaak een extra handeling moeten doen. Maar een goed ontwerp vergroot wel de kans dat dat veilige systeem goed wordt gebruikt en niet wordt omzeild. Een van de veiligere opties voor een voordeur is een driepuntssluiting; dat er naast het slot bij de deurklink ook nog boven en onder een pen in de deurpost schuift. Die pennen kun je als losse, extra sloten monteren, maar dan laten we ze net wat vaker open staan. Omdat het gedoe is, met verschillende sleutels drie sloten op slot draaien. Maar je hebt ook geïntegreerde driepuntssluitingen. Dan bedien je met één sleutel, in één slot, alle drie de vergrendelingen.

Het is van buitenaf lastig inschatten hoe ingewikkeld die beveiligde ministeriemail nou echt is. En De Jonge heeft vaker gekke sprongen gemaakt, dus ik wil ook niet uitsluiten dat hij bij een ietwat gebruiksonvriendelijk systeem nét wat sneller naar zijn iPad grijpt dan andere ministers. Maar als dat mailsysteem inderdaad op een nogal ingewikkelde manier beveiligd is, dan is het gedrag van De Jonge niet alleen verklaarbaar, maar zelfs voorspelbaar.

