Mental whitelisting

“One of the biggest conceptual problems we have is that something is believed secure until demonstrated otherwise. We need to reverse that: everything should be believed insecure until demonstrated otherwise.”
Bruce Schneier

Engang var verden mere simpel. Mennesker levede i mindre familiegrupper frem for store komplekse samfund som i dag. Erfaringer og historier blev udvekslet over aftenbålet, og hvis nogen var kommet galt afsted eller ligefrem havde mistet livet, så ville informationen gå videre til de andre mennesker i gruppen. Hvis nogen var blevet dræbt af en bjørn, så vidste man derefter at bjørne kan finde på at gå til angreb. Og hvis nogen var døde af at spise en bestemt type bær, så erfarede man på den måde, at denne type bær er giftige. Farerne i livet var dog så tilpas fåtallige, at man huskede de elementer af tilværelsen som man skulle undgå, og ellers antog at det meste andet nok var ufarligt.

Som udgangspunkt anså man dermed det meste for at være ufarligt, med mindre man vidste andet. Havde man intet hørt, så var det nok ufarligt. Med andre ord benyttede man en form for mental blacklisting, hvor farer blev tilføjet til listen efterhånden som man hørte om dem. Og først når noget var erkendt som værende farligt, forsøgte man at undgå det. Det gav mening i fortidens relativt simple verden.

Men verden har ændret sig!

I dag ændrer verden sig med en hastighed der aldrig før er set i menneskehedens historie. Som følge heraf, og ikke mindst grundet den teknologiske udvikling, er samfundet blevet utrolig komplekst. Farerne i samfundet er ikke altid så indlysende som i fortiden. Risikoen for hacking og online trusler imod privatlivet, kan virke abstrakte, er vanskelige at forholde sig til, og kan kræve specialviden at håndtere korrekt. Hvad er eksempelvis konsekvenserne af de mange sikkerhedsproblemer med de apps man har installeret på sin smartphone? Og hvordan kan det ramme en selv når man lægger sine data ud på Facebook? (såfremt man da anvender smartphone og Facebook).
Begge dele kan bestemt have negative konsekvenser, har haft det for mange, og vil få det for endnu flere i fremtiden. Men det er alligevel svært at danne sig et klart indre billede af den præcise fare, i modsætning til de farer vore forfædre oplevede og fortalte videre over aftenbålet.

Blandt andet derfor har vi i dag langt vanskeligere ved at håndtere dagligdagens farer, end vore forfædre havde det i deres mere simple verden.

Og farerne er ikke kun blevet mere abstrakte, men også langt mere talrige. I vores komplekse samfund er der nu så mange farer, at en blacklisting-strategi ikke længere giver mening. Listen over farer bliver simpelthen så lang og kompliceret, at den er uoverskuelig. Eksempelvis har de færreste i dag et overblik over samtlige måder hvorpå en computer eller en smartphone kan blive hacket eller aflyttet, samt hvordan man sikrer sig imod alle disse typer angreb. Dertil kommer, at der konstant forekommer nye fænomener og opfindelser, som da det er helt nyt, endnu ikke er på vores blacklist. Man taler blandt andet om The Internet Of Things, nu hvor et moderne fjernsyn har indbygget kamera, mikrofon og er på internettet, samt talrige andre forbrugergenstande der på tilsvarende vis er online, og dermed kan hackes og bruges til overvågning.

Netop fordi verden har ændret sig, bør vi tage konsekvensen, følge med tiden, og lægge fortidens mentale blacklisting fra os.

Som beskrevet er blacklisting ikke længere en effektiv strategi til håndtering af farerne i et komplekst og hurtigt ændrende samfund, meget på samme måde som antivirus ikke længere er effektivt til at sikre en computer imod de talrige nye og hurtigt muterende typer af malware der i dag findes på nettet.

Vi bør i stedet vende begrebet på hovedet og anvende whitelisting.

Det betyder, at når et nyt produkt kommer på markedet (en ny smartphone, wearable, overvågningsbriller, fjernsyn, en ny app, et nyt krypteringsprogram etc.) bør vi ikke som udgangspunkt have tillid til det. I stedet bør vi, baseret på erfaringerne igennem de seneste årtier, ikke have tillid til det… med mindre der rent faktisk er grund til det. Kun hvis det pågældende produkt er blevet testet af pålidelige og uafhængige eksperter igennem tilstrækkelig lang tid, kan vi begynde at have tillid til det. Indtil da bør udgangspunktet være erkendelsen af, at vi ikke blindt kan stole på noget som er nyt.

Dette er mental whitelisting, og det er en indstilling til verden som i dag er nødvendig, hvis man vil have styr på sin online sikkerhed.