Ooit had ik de pech twee brandalarmen mee te maken op een en dezelfde dag. Het eerste vond plaats rond een uur of drie ‘s middags, in het kantoor van mijn toenmalige werkgever in West-Londen. Zoals zo vaak wanneer zoiets gebeurt regende het pijpenstelen en velen onder ons kwamen doorweekt aan bij het verzamelpunt aan de overkant van de straat. Later die dag reisde ik, enigszins opgedroogd, verder naar het eiland Wight voor een vergadering met een klant ’s anderendaags. Ik was net begonnen me klaar te maken om te slapen, toen het brandalarm weerklonk in het kleine hotelletje in Cowes, en de gasten begaven zich, in diverse staten van aankleding, naar de voorgeschreven hoek van het parkeerterrein – niet de leukste plaats op een koude decembernacht.
In beide gevallen ging het om een authentiek, maar vals alarm – tenminste, dat vertelde men ons. Ik heb er echter altijd een beetje aan getwijfeld. We hebben wellicht allemaal ons deel gehad in geplande brandoefeningen, waarin we vooraf vernemen hoe laat ze plaats zal vinden – bijna altijd op om 12u of op een ander heel uur, en nooit om zeg maar 15:42.
Tot op vandaag kijk ik automatisch op mijn klok wanneer ik een alarmsignaal hoor. Als de tijd op “:00” eindigt maak ik me alvast minder zorgen dat het om een werkelijk noodgeval gaat – helemaal niet, om eerlijk te zijn. En ik ben niet alleen in die relaxte houding: niemand lijkt ook maar in de verste verte haast te hebben. Het is waar, de instructies raden ons aan in alle kalmte het gebouw te verlaten in geval van brand, maar ik betwijfel of ze het zó rustig bedoelen.
Zou een sluwe faciliteitenbeheerder bewust een ‘storing’ durven veroorzaken op een willekeurig moment, zodat een beter beeld ontstaat van hoe de ingezetenen van een gebouw zich werkelijk gedragen in geval van nood? Het is niet zeker of zoiets veel verschil zou maken – zelfs dan nog gaat iedereen ervan uit dat het niet om een echte noodsituatie gaat. Nee, een faciliteitenbeheerder die wil weten hoe de evacuatie plaatsvindt wanneer het echt brandt, moet met een meer realistisch scenario voor de dag komen, bijvoorbeeld met behulp van een kleine hoeveelheid pyrotechnisch materiaal.
Tijdens een zomer, lang geleden, was ik op kamp met een bende mede-14-jarigen in de wildernis van de Belgische Oostkantons. Na het avondeten, terwijl de schemering overging in nachtelijk donker, genoten we van de sketches die elke groep had voorbereid om uit te voeren rond het kampvuur. Plots verscheen een van de leiders in een geagiteerde toestand: een van ons was, op de terugweg van de bron die ons kamp van drinkwater voorzag, met twee volle jerrycans uitgegleden en had blijkbaar een ernstige beenbreuk opgelopen.
Voor ons was er op dat moment geen twijfel dat het bittere ernst was. We organiseerden ons zo snel als we konden, improviseerden een draagberrie en gingen op zoek naar onze onfortuinlijke vriend. In de duisternis was al wat nodig was voor een zweem van realisme een gescheurde jeansbroek en de inhoud van een fles ketchup (het was pas achteraf dat we beseften dat er een vreemde geur had gehangen nabij de plek van het ‘ongeval’).
Was dit soort bedrog wel ethisch vanwege de kampleiding – en zou je niet dezelfde vraag kunnen stellen als een vermetele faciliteitenbeheerder een angstaanjagende brand zou ensceneren? Het is geen gemakkelijke vraag: de ethische dimensie van een keuze, maar ook de bedoeling ervan en de omstandigheden spelen een rol. Het is een lastige afweging.
Bedrog bestrijden met bedrog
Misschien is het dilemma beter behapbaar wanneer de bedoeling van een bedrieglijke interventie, en dus van twijfelachtige ethiek, precies het bestrijden is van bedrieglijke praktijken? GoDaddy is een van de grootste bedrijven in de wereld waarop websites worden gehost, met meer dan 70 miljoen internetdomeinen voor ruim 20 miljoen klanten. In 2019 kregen ze te maken met een gênant beveiligingslek, waarbij de rekeningen van 28.000 gebruikers werden gecompromitteerd. Het is begrijpelijk dat zulke firma’s zich willen beschermen tegen dit soort aanvallen.
Phishing, een vorm van computermisdaad waarbij de daders zich voordoen als bonafide personen, om zo gevoelige gegevens te ontfutselen van hun slachtoffers, wordt niet enkel gebruikt om iemands geld of identiteit te stelen, maar ook om in te breken in bedrijfssystemen. Voor bedrijven als GoDaddy is het belangrijk dat hun medewerkers in staat zijn zulke pogingen te onderscheppen en zich niet te laten inpakken.
In december vorig jaar kregen honderden personeelsleden van GoDaddy een mail van het adres Happyholidays@Godaddy.com, die hen een eenmalige bonus van 650 dollar beloofde. Al wat ze moesten doen was op een link klikken om hun locatie te kiezen en enkele andere details opgeven. Een vijfhonderdtal van hen kreeg twee dagen later een tweede mail, van GoDaddy’s hoofd van de veiligheid, die hen informeerde dat ze gefaald hadden in een phishingtest.
Het is niet ongewoon dat bedrijven zulke oefeningen doen om de vatbaarheid van hun medewerkers voor phishing na te gaan. Deze oefening speelde duidelijk in op de emoties van het doelpubliek: in een periode waarin velen onder financiële druk staan, is het vooruitzicht op een bonus erg aantrekkelijk. Ging het, zoals sommigen beweren, om een wrede, onethische actie? Of moet een dergelijke oefening, om doeltreffend te zijn, dezelfde ingenieuze en gesofisticeerde sociale engineeringtechnieken gebruiken die criminelen gebruiken om de sceptische tendensen van de doelgroep te ondermijnen?
Als de goedbedoelende makers van deze test in staat zijn tot dit soort cynisch bedrog, kunnen werkelijke oplichters dat beslist net zo goed. Maar rechtvaardigt dat de ergernis die de medewerkers die erin trapten vast hebben gevoeld? Zelfs als het bedrijf diegenen die in de val trapten niet de schuld zou geven (laat staan hen zou straffen), dan zijn er toch instrumentele overwegingen. Wat zou het effect zijn op de houding van medewerkers ten opzichte van de werkgever? Zouden ze mogelijk minder vertrouwen hebben, en meer argwanend worden over de communicatie van het bedrijf?
Simplistisch denken, vooral wanneer een beslissing een ethische dimensie heeft, is natuurlijk aantrekkelijk. De verleiding van zowel een puur consequentialistisch perspectief waarin “het doel de middelen rechtvaardigt”, als van een puur deontologisch standpunt met onwrikbare morele regels, is onmiskenbaar. Maar het eerste zou praktisch geen rekening houden met ethische vraagtekens, en het tweede zou geen rekening houden met de nuttige uitkomsten.
In de echte wereld van grijstinten hebben beide perspectieven hun belang. Wanneer we een beslissing moeten nemen, vellen we snel een oordeel door ons te verschuilen achter al te eenvoudige principes. Maar ook als waarnemer en als potentieel criticus moeten we ons bewust zijn van de inherente moeilijkheid om zo’n afwegingen te maken, en opletten dat we niet te gauw in eenzijdige verontwaardiging uitbarsten.
