M., die bij de overheid
werkt, ging op vakantie. Vlak daarvoor had haar organisatie een uitzendkracht
ingehuurd om documenten te digitaliseren. En zoals dat ook wel elders gebeurt,
had men voor deze uitzendkracht geen account klaarliggen toen zij verwachtingsvol
op haar eerste werkdag verscheen. Omdat goede raad duur is en een uitzendkracht
die met de handen over elkaar zit nog veel meer, koos de manager voor de pragmatische
gemakkelijke weg: M. ging toch op vakantie en had bovendien de juiste
autorisaties voor deze klus. De uitzendkracht kon dus wel onder haar account
werken.
Bij ons zouden in zo'n geval
zowel de manager als M. als de uitzendkracht de regels overtreden, en wel in
die volgorde. Een manager mag nooit aan een medewerker vragen om zijn wachtwoord
aan iemand te vertellen, de medewerker mag zijn wachtwoord nooit afstaan en
moet dus weerstand bieden aan de manager en ten slotte had de uitzendkracht dit
niet mogen accepteren. Waarbij ik meteen wil opmerken dat je die laatste
natuurlijk moeilijk verwijten kunt maken omdat ik betwijfel of vooraf iemand
even het beveiligingsbeleid met haar heeft doorgenomen. Bovendien kun je je als
uitzendkracht waarschijnlijk slechts één keer zo'n weigering veroorloven.
Daarna krijg je de kans niet eens meer.
Maar waarom eigenlijk?
Waarom zou je die collega of uitzendkracht niet mogen vertrouwen? Het zijn toch
heel aardige mensen, waarvoor de burgemeester ook nog eens een Verklaring
Omtrent het Gedrag (VOG) heeft afgegeven?
Vertrouwen is slechts een
deel van het verhaal. We willen graag dat alle handelingen altijd terug te
voeren zijn naar een persoon. Daarvoor gebruiken we jouw user-id als
onlosmakelijk aanknopingspunt. Als iets onder jouw user-id is gedaan, dan heb jij het gedaan. En als je dan beweert
dat jij het niet was, dan moet je uitleggen hoe dat kan – je mocht je
wachtwoord immers niet afgeven. Het kan best gebeuren dat iemand die je onder
jouw account laat werken per ongeluk iets verkeerds doet; er hoeft lang niet
altijd boze opzet in het spel te zijn, zoals bij fraude of een akelig mailtje
aan een collega.
Als je in het Nederlands op
Google redenen zoekt om je wachtwoord niet te delen, dan vind je niet veel.
Schakel je echter over op Engels, dan rollen de lijstjes zo op je scherm. Het
komt zelfs als zoeksuggestie in beeld zodra je why not
to share hebt ingetikt (na make-up,
mascara en scheermesjes). Natuurlijk
staan de punten uit de bovenstaande alinea erbij, maar ook: je wachtwoord delen
is als het weggeven van je persoonlijke identiteit. En: als je zo onverstandig
bent om hetzelfde wachtwoord op verschillende plaatsen te gebruiken, dan geef
je iemand anders misschien wel toegang tot meer informatie dan de bedoeling is.
En over ‘meer informatie’ gesproken: krijgt die ander misschien onder jouw
account toegang tot informatie die slechts op basis van need to know toegankelijk mag zijn? Misschien wordt die informatie
wel toegankelijk door single signon –
het automatisch inloggen in bijvoorbeeld de mail of SAP. Daarmee geef je ook je
eigen persoonlijke informatie prijs, zoals privémailtjes of inkomensgegevens.
Een Amerikaanse universiteit
begint haar uitleg over het niet delen van wachtwoorden dreigend met: “How
would you feel about being interviewed by the Police or Internal Audit as a
suspect in a crime?” En een nieuwssite heeft een artikel met deze kop: “Sharing
Passwords Is Romantic, But Not Without Risk”. Daarin wordt uitgelegd dat het delen van
wachtwoorden onder partners tegenwoordig steeds vaker als een teken van
vertrouwen wordt gezien. Maar o wee als de liefde over is. Dan zouden er zo
maar enge dingen op je Facebook-account kunnen komen te staan. En was je
banksaldo echt zo laag?
Toen M. terugkeerde van haar vakantie in Denemarken kon zij op haar werk
niet meer inloggen. De uitzendkracht had haar wachtwoord gewijzigd. Dat kun je
op je werk waarschijnlijk vrij soepel weer oplossen, maar het kost je sowieso
tijd. In je privé-omgeving kan de impact heftiger zijn: wie je wachtwoord kan
wijzigen, kan ook je overige accountinformatie veranderen, bijvoorbeeld het
bijbehorende e-mailadres. Dan kun je op ‘wachtwoord vergeten’ klikken tot je
een ons weegt, maar dat nieuwe wachtwoord komt nooit meer bij jou terecht. Dus
als iemand de volgende keer om je wachtwoord vraagt, dan zeg je nee en verwijs
je naar deze blog. Of naar het beveiligingsbeleid van je werkgever, waar ook in
zou moeten staan dat het niet mag.
En in de grote boze buitenwereld …
... geeft WhatsApp toch gewoon jouw gegevens door aan Facebook, ook al
heb je dat uitgevinkt.
https://hackforprivacy.org/post/whatsapp.html
https://hackforprivacy.org/post/whatsapp.html
... moest je WhatsApp toch al niet op het werk gebruiken.
https://www.frankwatching.com/archive/2016/09/16/waarom-je-whatsapp-toch-niet-zakelijk-moet-gebruiken-3-argumenten
https://www.frankwatching.com/archive/2016/09/16/waarom-je-whatsapp-toch-niet-zakelijk-moet-gebruiken-3-argumenten
... zijn bij Yahoo de accountgegevens van minstens een half miljard
klanten gestolen. In 2014. Alweer 2014. En extra zorgelijk hierbij is dat ook
de 'geheime beveiligingsvragen' ("Wat is de meisjesnaam van je
moeder?") gelekt zijn.
https://www.grahamcluley.com/2016/09/yahoo-confirms-500-million-accounts-hacked-2014-data-breach/
https://www.grahamcluley.com/2016/09/yahoo-confirms-500-million-accounts-hacked-2014-data-breach/
... waren die beveiligingsvragen toch al problematisch.
https://blog.kaspersky.com/security-questions-are-insecure/13004/
https://blog.kaspersky.com/security-questions-are-insecure/13004/
... bood een hacker al een kleine twee maanden geleden Yahoo-gegevens te
koop aan. Overigens wijst Yahoo in de recente berichtgeving met de vinger naar
een statelijke actor.
https://motherboard.vice.com/read/yahoo-supposed-data-breach-200-million-credentials-dark-web
https://motherboard.vice.com/read/yahoo-supposed-data-breach-200-million-credentials-dark-web
... hebben diverse Australiërs verdachte USB-sticks in hun brievenbus
gevonden. De communicatie van de politie daarover vind ik trouwens wel wat
knullig.
https://www.vicpolicenews.com.au/news/harmful-usb-drives-found-in-letterboxes
https://www.vicpolicenews.com.au/news/harmful-usb-drives-found-in-letterboxes
... kunnen deze Chinezen je Tesla met een laptop manipuleren. Op een
afstand van zo'n twintig kilometer.
https://www.grahamcluley.com/2016/09/watch-teslas-hacked-drive-20-away/
https://www.grahamcluley.com/2016/09/watch-teslas-hacked-drive-20-away/
... heeft een Britse wetenschapper met een budget van honderd dollar een
iPhone 5c gekraakt. De FBI heeft daar een miljoen dollar aan gespendeerd.
http://www.darkreading.com/mobile/scientist-clones-chip-to-unlock-iphone-proves-fbi-wrong/d/d-id/1326948
http://www.darkreading.com/mobile/scientist-clones-chip-to-unlock-iphone-proves-fbi-wrong/d/d-id/1326948
... is het een beetje ingewikkeld om te achterhalen of een bedrijf ook
echt ISO27001-gecertificeerd is.
http://www.itgovernance.co.uk/blog/how-can-you-validate-an-iso-27001-vendor/
http://www.itgovernance.co.uk/blog/how-can-you-validate-an-iso-27001-vendor/
... is de camera van je laptop of mobiel apparaat misschien niet het
enige wat je zou moeten afplakken.
https://isc.sans.edu/diary/21497
https://isc.sans.edu/diary/21497
... is ransomware tegenwoordig gewoon een vorm van dienstverlening.
http://www.trendmicro.com/vinfo/us/security/news/cybercrime-and-digital-threats/ransomware-as-a-service-what-this-means-for-enterprises
http://www.trendmicro.com/vinfo/us/security/news/cybercrime-and-digital-threats/ransomware-as-a-service-what-this-means-for-enterprises
... zijn in toenemende mate bedrijven het slachtoffer van ransomware.
http://www.zdnet.com/article/what-are-the-legal-implications-of-your-business-being-infected-with-ransomware/
http://www.zdnet.com/article/what-are-the-legal-implications-of-your-business-being-infected-with-ransomware/
... hebben ook kinderen recht op privacy.
http://www.welingelichtekringen.nl/media/615056/tiener-daagt-ouders-voor-de-rechter-omdat-ze-kinderfotos-op-facebook-plaatsten.html
http://www.welingelichtekringen.nl/media/615056/tiener-daagt-ouders-voor-de-rechter-omdat-ze-kinderfotos-op-facebook-plaatsten.html
... worden DDoS-aanvallen steeds heftiger.
https://isc.sans.edu/diary/21511
https://isc.sans.edu/diary/21511
Geen opmerkingen:
Een reactie posten