Risk appetite

Die vrijdagmiddag zouden ze zonnepanelen komen monteren, ijs en weder dienende. Voor ijs was ik vorige week niet zo bang, maar in het weer had ik minder vertrouwen. 's Ochtends tijdens het hardlopen wist ik het zeker: dat wordt niks. Windkracht 5. Dan ga je toch niet met van die windvangers over een schuin dak lopen? En het zou ook nog gaan regenen. Onze dakpannen zijn van zichzelf al glad, kun je nagaan hoe glibberig het daar boven moet zijn als het regent.

En toch kwamen ze. Binnen drie uur – inclusief koffiepauze – was de hele installatie, bestaande uit negen panelen op het schuine dak en vier op de garage, bedrijfsklaar. Twee mannen werkten buiten, een derde verzorgde de nodige aansluitingen binnenshuis. Ach, zeiden ze zelf, we hebben altijd wel onprettige weersomstandigheden: wind, regen, kou, maar ook al te veel zon is niet fijn.

Het hangt maar net van je belevingswereld en je ervaring af hoe je met risico’s omgaat. Risk appetite noemen we dat: hoeveel ‘trek’ heb je in risico’s. Dat klinkt misschien wat raar, want wie heeft er nou zin om eens lekker risico’s te nemen? Maar als je om je heen kijkt zie je het constant gebeuren. Er zijn heel wat gevaarlijke sporten, net nog fietste iemand door rood en die zonnepanelenmonteurs hadden volgens de norm met valbeveiliging moeten werken maar liepen ‘gewoon’ los over het dak.

Bedrijven die in hoog tempo nieuwe producten in de markt willen zetten, nemen doorgaans grotere risico’s dan bijvoorbeeld financiële instellingen. Snelheid en doorwrochte deliberaties gaan nu eenmaal niet goed samen. Omdat het mee-ontwerpen en het inbouwen van beveiliging extra tijd kost,  wordt dat in sommige werelden achterwege gelaten, of slechts rudimentair uitgevoerd. En ik ben ervan overtuigd dat er vaak niet eens bij wordt stilgestaan, men denkt domweg niet aan beveiliging. Zat voorbeelden hiervan vind je in het internet der dingen: van deurbel tot waterkoker, van koelkast tot broodrooster – ze bestaan. Waarom? Omdat het kan. De bruiningsgraad van je brood instellen en een seintje krijgen als het klaar is: daar heb je een app voor. Of een smart mirror in de badkamer, die je tijdens het scheren erover informeert dat je brood klaar is.

Die ene connected toaster die Google weet te vinden werkt via Bluetooth. Wat een afknapper. Waarom geen wifi? Misschien gaat de fabrikant ervan uit dat je toch wel redelijk in de buurt blijft, waardoor het kleine bereik van Bluetooth voldoet. Waarschijnlijker is dat het kostenaspect de doorslag heeft gegeven: Bluetooth is goedkoper dan wifi. Maar je kunt erop wachten dat een volgende versie wél met wifi werkt. Voeg daar een wifi-koffiezetapparaat (dat bestaat echt) aan toe en je kunt je ontbijt alvast vanuit bed aanzetten. Maar wat jammer nou dat die keukenapparatuurfabrikanten geen verstand hebben van netwerkbeveiliging en daardoor waarschijnlijk een bres in jouw netwerk slaan. Terwijl je voordeur op slot zit, zet je de achterdeur met een dergelijk apparaat wagenwijd open.

Vier voorbeelden van heat maps

Risk appetite kun je mooi weergeven in een heat map. Dat is een matrix met langs de ene as de waarschijnlijkheid dat een gebeurtenis zich voordoet en langs de andere as de impact die dat heeft. De combinatie laag-laag resulteert doorgaans in een groen vakje, terwijl zeer hoog-zeer hoog rood kleurt. Tussen deze uitersten zitten nog een heleboel  andere vakjes die een kleur moeten krijgen en die hangt dus af van hoe je als organisatie met risico’s wenst om te gaan. Zo ontstaat een plaatje dat geleidelijk overgaat van de ‘koele’ groene gebieden (die weinig aandacht vergen) naar de ‘hete’ rode zones waar je liever niet in terecht komt – en waar je dus maatregelen voor treft. Het maken van zo’n heat map veronderstelt natuurlijk wel dat je bewust over risico’s nadenkt. Ik heb het al eerder gezegd: risico’s moet je niet lopen, maar nemen.

Ik kan op mijn smartphone zien dat onze zonnepanelen op dit moment 1,17 kW leveren. Ja, de installatie hangt aan ons wifi-netwerk. Ik heb vooraf geïnformeerd naar de beveiliging van de installatie en de leverancier had een redelijk goed antwoord van de producent klaarliggen. En voor de rest geldt ook hier dat je keuzes moet maken: wat is die functionaliteit mij waard? Ja, ik wil mijn installatie kunnen monitoren. De airco daarentegen hangt niet aan het netwerk, die hoef ik niet zo nodig vanuit kantoor te kunnen bedienen. Een tijdschakeling voldoet hier prima.

En in de grote boze buitenwereld …

... moet je oppassen dat je stofzuiger je niet bespioneert. Je stofzuiger ja.

https://www.security.nl/posting/536989/LG-robotstofzuiger+kon+door+lek+op+afstand+worden+overgenomen

... kunnen mensen met een zeer lage risk appetite hun Google-account nu supersterk beveiligen.

https://www.wired.com/story/google-advanced-protection-locks-down-accounts/

... zijn sommige apparaten juist wél veilig ontworpen.

https://www.volkskrant.nl/tech/eerste-blockchaintelefoon-ter-wereld-is-zwitserse-kluis-in-broekzak~a4523680

... moeten de persoonsgegevens van domeinnaamhouders worden afgeschermd.

https://autoriteitpersoonsgegevens.nl/nl/nieuws/ap-onafgeschermde-publicatie-van-whois-gegevens-strijd-met-de-wet

... kan privacywetgeving leiden tot inbreuken op je privacy.

https://ecp.nl/actueel/nieuwe-europese-wet-brengt-online-privacy-nederlandse-jeugd-gevaar/

... worden Rusland en Oekraïne geteisterd door de BadRabbit-ransomware.

http://www.securityweek.com/bad-rabbit-ransomware-attack-hits-russia-ukraine

... heeft BadRabbit ook al geleid tot vervelende false positive-incidenten.

https://www.security.nl/posting/536953/Microsoft+beschouwt+encryptiesoftware+als+BadRabbit-ransomware

... heeft inmiddels ook een gewone krant het nieuws opgepikt dat periodieke wachtwoordwijzigingen uit de mode zijn.

https://www.nrc.nl/nieuws/2017/10/24/weg-met-nieuwe-wachtwoorden-13635894-a1578326

... kan de warrant canary met pensioen nu de gag order niet meer automatisch wordt opgelegd als een Amerikaanse opsporingsinstantie gebruikersgegevens opvraagt.

https://www.washingtonpost.com/world/national-security/justice-department-moves-to-end-routine-gag-orders-on-tech-firms/2017/10/23/df8300bc-b848-11e7-9e58-e6288544af98_story.html

... zijn beveiligingsonderzoekers momenteel het doelwit van hackers.

http://www.zdnet.com/article/hackers-target-security-researchers-with-malware-laden-document/

... stuurt Windows 10 telemetrieberichten naar Microsoft.

https://autoriteitpersoonsgegevens.nl/nl/nieuws/techblog-telemetrie-windows-10

... stappen veel organisaties niet over op Office 365, omdat ze bedenkingen hebben bij de veiligheid ervan. Ook organisaties die wel willen overstappen of dat al hebben gedaan zijn er niet gerust op.

http://www.securityweek.com/security-concerns-hamper-migration-office-365-report

... ziet ook de FBI risico’s in cloud computing.

https://www.fbi.gov/contact-us/field-offices/portland/news/press-releases/fbi-tech-tuesday---building-a-digital-defense-against-cloud-computing-dangers

... zijn natuurlijk ook beveiligingsapps niet foutloos.

https://www.security.nl/posting/536937/Grote+download+kon+app+vpn-provider+PIA+laten+crashen

Marters en vliegtuigen

“Piep.” Dat geluidje, in combinatie met een lampje op je dashboard, is zelden fijn. Mijn twee maanden oude nieuwe auto piepte bescheiden, en de bijbehorende boodschap viel eigenlijk ook nog wel mee: het ruitensproeiervloeistoftankje was bijna leeg. Niets aan de hand, ware het niet dat diezelfde boodschap twee weken eerder ook al was verschenen. Ik heb er toen een paar liter ingekieperd en ik kon me niet voorstellen dat ik zoveel had verbruikt. Ik kreeg mijn gelijk nadat ik de auto achteruit op onze inrit had geparkeerd: ik had een streep water achter mij aan getrokken en de vloeistof sijpelde nog gestaag uit het motorcompartiment.

Een marter, zo luidde het oordeel van de garage, de afdrukken van de tandjes waren duidelijk te zien. En terwijl ik was uitgegaan van een slordig gemonteerde slang en dus een gevalletje garantie, was ik nu opeens zes tientjes armer.  Ze hebben de onderkant maar meteen met een kleverig goedje ingesmeerd en ik heb zo’n wc-blokje onder de motorkap gehangen. Dat zou de knagers op afstand moeten houden. Fysieke beveiliging is nu eenmaal vaak een kwestie van moeilijker toegankelijk zijn dan de buren. Sorry buren.

Swissair-vlucht 111 stortte in 1998 in zee omdat de eersteklaspassagiers teveel films keken. De stroomkabel naar het in-flight entertainment system liep door de achterkant van de cockpit, vlak langs kabels voor de stroom-voorziening van cruciale cockpitapparatuur. De isolatie van de kabels was kapot, waardoor vonken tussen de zwaar belaste kabels konden overspringen. Dat leidde tot een brand in het plafond die de cockpit letterlijk deed smelten. Alle 229 inzittenden kwamen om het leven.

Natuurlijk kun je die filmminnende passagiers geen verwijt maken voor hun gedrag, en die marter begrijpt ook niet dat hij stout is geweest. Toch veroorzaakt op zich onschuldig gedrag soms, in combinatie met andere factoren, een incident of zelfs een ramp zoals bij de SR111. En het lege tankje van mijn auto had onder slechtere omstandigheden – denk aan een besmeurde voorruit door pekel op de weg – ook ernstigere gevolgen kunnen hebben.

Mensen maken fouten en computers doen dat ook, omdat zij door mensen gemaakt en geprogrammeerd zijn. De laatste tijd zijn we nogal bezig om het grote publiek erop te wijzen dat cybercriminelen het op ons gemunt hebben. Het is inderdaad noodzakelijk dat we met z’n allen weerbaarder worden, maar laten we niet vergeten dat sommige problemen gewoon in een systeem ingebakken zijn. In de fysieke wereld komen die problemen soms door slijtage aan het licht – de bekabeling van de MD-11 van Swissair was natuurlijk niet van begin af aan slecht. Achteraf gezien bleek het ook minder verstandig om een systeem voor passagiers op de stroomvoorziening van de cockpit aan te sluiten. In computersystemen komen kwetsbaarheden soms ook pas na lange tijd aan het licht, wanneer een bepaalde tak van een programma geraakt wordt doordat een zeldzame situatie optreedt die misschien tijdens het testen buiten beschouwing is gebleven.

Van fouten moet je leren. Liefst ook van andermans fouten. Ik zal de buren dus maar vertellen wat er met mijn auto is gebeurd, al weet ik niet eens zeker of die marter bij ons thuis heeft toegeslagen. Het onderzoek naar de ramp met de SR111 heeft vier jaar geduurd en 39 miljoen dollar gekost, resulterend in een rapport van 352 pagina’s. Nergens anders dan in de luchtvaart is men zó gespitst op het achterhalen van de oorzaak van een onvoorziene gebeurtenis.

Voorkomen is beter dan genezen, dat geldt ook in de ICT. Het is de taak van de makers van ICT om fouten zoveel mogelijk uit te bannen, en het is aan de gebruikers om resterende fouten te herkennen en zelf zo min mogelijk bedieningsfouten te maken. Goede ICT helpt je daarbij. Hoe eerder beveiliging in het ontwerpproces de juiste portie aandacht krijgt, hoe robuuster je systeem wordt. Dat kleverige goedje had de garage er al bij de afleveringsbeurt op moeten smeren.

Volgende week komt er geen Security (b)log.

En in de grote boze buitenwereld …

... had de Amerikaanse overheid toch een goede reden om de virusscanner van Kaspersky uit te bannen: Russische overheidshackers gebruikten de software om Amerika te bespioneren, zo ontdekten Israëlische spionnen.

•          https://www.nytimes.com/2017/10/10/technology/kaspersky-lab-israel-russia-hacking.html
•          https://www.volkskrant.nl/tech/spionageschandaal-kaspersky-breidt-zich-uit-israeliers-betrappen-russische-spionnen~a4521180

... spreekt Interpol in de context van de Kaspersky-affaire over balkanisatie in de cyberwereld.

https://www.reuters.com/article/us-usa-security-kaspersky-interpol/kasperskys-u-s-spat-a-sign-of-balkanisation-in-cyber-world-interpol-idUSKBN1CF26O

... houdt de Duitse regering Kaspersky ondertussen nog gewoon de hand boven het hoofd.

https://www.bsi.bund.de/DE/Presse/Pressemitteilungen/Presse2017/BSI_Stellungnahme_Kapersky_11102017.html

... liet Accenture gevoelige data van het eigen bedrijf en van klanten op onbeveiligde cloudservers staan.

http://www.zdnet.com/google-amp/article/accenture-left-a-huge-trove-of-client-passwords-on-exposed-servers/

... waren je accountgegevens bij T-Mobile ook al niet veilig.

https://motherboard.vice.com/en_us/article/wjx3e4/t-mobile-website-allowed-hackers-to-access-your-account-data-with-just-your-phone-number

... heeft de Algemene Verordening Gegevensbescherming van de EU (AVG, of GDPR in het Engels) ook gevolgen voor de rest van de wereld.

https://securingthehuman.sans.org/blog/2017/10/10/hey-america-and-world-gdpr-applies-to-you-to

... moet je in het kader van de AVG ook eens goed naar je oude meuk kijken.

https://blog.iusmentis.com/2017/10/09/moet-oude-software-worden-afgeschaft-privacyverordening

... woedt de discussie over welke kant het op moet met wachtwoorden in alle hevigheid. Kijk alleen al naar het aantal commentaren op dit eenvoudige driepuntenplan.

https://www.schneier.com/blog/archives/2017/10/changes_in_pass.html

... slaat niet meer de webwinkel jouw betaalgegevens op, maar je eigen webbrowser.

https://www.grahamcluley.com/browser-credit-cards/

... moet je oppassen voor pop-ups die op de iPhone vragen om je iTunes-wachtwoord.

https://motherboard.vice.com/amp/en_us/article/ne7gxz/ios-iphone-password-phishing-app-popups

... geeft dit filmpje tips over het gebruik van open wifi-netwerken.

https://youtu.be/jTdftBOq640

... komt er nog veel meer geld voor cybersecurity dan we tot nu toe dachten.

https://www.nu.nl/internet/4957952/tientallen-miljoenen-extra-cybersecurity-nieuwe-regering.html?redirect=1

... willen Amerikaanse geleerden en hackers samen stemmachines beveiligen.

https://tweakers.net/nieuws/130535/coalitie-van-amerikaanse-academici-en-hackers-wil-stemmachines-beveiligen.html

... weet ook de Australische politie hoe ze in het dark web moet infiltreren.

http://www.welingelichtekringen.nl/samenleving/734202/australische-politie-was-maandenlang-de-baas-over-groot-pedonetwerk.html

... pleegden Antwerpse politieagenten identiteitsdiefstal om online te kunnen gokken.

https://www.vrt.be/vrtnws/nl/2017/10/07/_antwerpse-agenten-stelen-identiteiten-burgers-om-te-kunnen-gokk/

... is nieuws soms dat er geen nieuws is: geen Adobe-updates deze maand.

https://www.security.nl/posting/534722/Geen+beveiligingsupdates+van+Adobe+deze+maand

... schendt Windows 10 de Nederlandse privacywetgeving.

https://www.security.nl/posting/534981/AP%3A+Microsoft+schendt+privacywetgeving+met+Windows+10

… word je misschien wel bespioneerd door een USB-kabel.

https://secure.dshield.org/forums/diary/Whats+in+a+cable+The+dangers+of+unauthorized+cables/22904/

Alert Online

Oktober is, naast een paar andere dingen, de internationale beveiligingsbewustwordingsmaand. In Amerika heet dat National Cybersecurity Awareness Month, in Europees verband noemen we het European Cyber Security Month. Maar de kans is groot dat de burger daar alleen iets van merkt als hij iemand op Twitter volgt die berichten over deze initiatieven retweet. Nou vooruit, Google verwees er afgelopen maandag naar met een regeltje onder het zoekvenster. Veel meer communicatie naar het brede publiek heb ik nog niet gezien.

Dichter bij huis zitten we nu halverwege de twee weken durende, jaarlijks terugkerende nationale campagne Alert Online. Net als de internationale initiatieven heeft ook Alert Online tot doel om de bevolking beter bewust te maken van de gevaren die op de loer liggen zodra we online gaan, en ons te leren hoe we daarmee moeten omgaan. Veel bedrijven doen hieraan mee door bijvoorbeeld sessies voor hun personeel te organiseren. Anderen zetten zelfs de deuren open voor andere belangstellenden.

Onze organisatie doet bij mijn weten voor het eerst in zijn volle omvang mee aan Alert Online. Er is een campagnesite opgezet, de hoogste baas en een andere collega zijn geïnterviewd, in de gebouwen hangen (bescheiden) posters en er worden artikelen gepubliceerd. En er wordt dankbaar gebruik gemaakt van materiaal van een awarenesscampagne van een paar jaar geleden. We hebben een teampje in stelling gebracht om te reageren op reacties op de publicaties. De eerste paar dagen zat de dienstdoende reagent met z’n armen over elkaar – figuurlijk dan, want het gewone werk ging natuurlijk door. Maar na een paar dagen sijpelen er toch wel wat reacties, commentaren en vragen binnnen.

Zo blijkt er nog veel onduidelijkheid te zijn omtrent het gebruik van open wifi-netwerken. “Open” betekent: voor iedereen toegankelijk en niet beveiligd. Als je geen verdere maatregelen neemt, dan moet je goed nadenken bij het gebruik van zo’n netwerk: een beetje internetten kan geen kwaad, maar mailen, facebooken en bankieren – kortom, activiteiten waarbij je digitale identiteit en je persoonlijke of zakelijke gegevens in het geding zijn – zou ik maar achterwege laten. Je weet domweg niet wie er met je meekijkt. Dat wifi-netwerk met de naam van dat gezellige café waarin je zit, ís dat netwerk wel van dat café? Of is het van die persoon daar in het hoekje, die probeert zoveel mogelijk mensen naar zijn netwerk te lokken en hun apparaten allerlei informatie te ontfutselen?

Maar je kunt ook maatregelen treffen. Veel organisaties maken gebruik van VPN-technolgie: Virtual Private Network. Een VPN is een tunnel door een onveilige netwerk, waar niemand in kan komen behalve jijzelf en de server waarmee je verbonden wilt zijn, bijvoorbeeld in je bedrijfsnetwerk. Die beveiliging wordt gerealiseerd met behulp van versleuteling: een aanvaller ziet wel iets langskomen, maar hij kan het niet lezen. Dat betekent dat je op die manier gerust gebruik kunt maken van onveilige netwerken. Informeer ernaar bij je ICT-afdeling!

In een interne poll geeft 47% van de respondenten aan dat ze software-updates direct installeren, en nog eens 44% installeert ze op een geschikt moment (n=739; de poll loopt nog). De meeste collega’s doen dus wat van hen wordt verwacht, of ze weten op z’n minst wat ze ‘eigenlijk’ zouden moeten doen. Die poll heeft wat vragen opgeleverd, onder andere: waarom gebeurt dat niet automatisch? Welnu, op veel door de werkgever verstrekte computers worden nieuwe versies en beveiligingspatches inderdaad automatisch geïnstalleerd, of je krijgt ze aangeboden met hooguit een beperkte periode waarin je de installatie ervan kunt uitstellen omdat het nu echt niet uitkomt. Privé- en mobiele apparaten kun je zo instellen dat je er nauwelijks nog omkijken naar hebt. Alleen voor grote updates die het apparaat tijdelijk onbeschikbaar maken, zoals een nieuwe Android- of iOS-versie, vraagt je toestel dan nog om toestemming.

Iemand anders zei: ik heb daar allemaal geen verstand van en durf daardoor helemaal niets te doen, want ik ben bang voor virussen en criminelen. Ik kan me daar wel iets bij voorstellen, want ik zie ze wel vaker, mensen die je een schermpje of mailtje tonen met de vraag: is dat echt of nep? Het is moeilijk om daar ongezien een algemeen antwoord op te geven. Als je Android-toestel iets roept over een virus, komt dat dan uit de virusscanner of is het reclame? Héb je überhaupt een virusscanner op dat apparaat? (Doen!) Ik houd als vuistregel aan dat er iets niet deugt als in app A wordt geroepen dat er iets met app B moet gebeuren. Twijfel je? Zoek dan een collega, vriend of familielid die weet wat hij/zij doet. En als het zakelijk is bel je natuurlijk je helpdesk.

En in de grote boze buitenwereld …

... vind je hier de officiële campagnesite van Alert online.

https://www.alertonline.nl

... is dit de vijfde Europese cybersecuritymaand.

https://cybersecuritymonth.eu

... hebben vooral kleine bedrijven last van nonchalante medewerkers.

https://www.alertonline.nl/nieuws/2017/nederlander-nonchalant-met-cybersecurity-op-werk

... dragen kinderen ook niet bepaald bij aan de veiligheid in cyberspace.

https://www.alertonline.nl/nieuws/2017/kinderen-zetten-deur-open-voor-cybercriminelen

... doet Nederland het uiteindelijk toch niet slecht met de bescherming van persoonsgegevens.

https://www.security.nl/posting/533998/Onderzoek%3A+Nederland+goed+in+bescherming+persoonsgegevens

... wordt blockchain-technologie misschien wel een effectief wapen tegen DDoS-aanvallen.

https://www.inc.com/joseph-steinberg/could-blockchain-technology-end-ddos-attacks.html

... maakte Yahoo vorig jaar bekend dat bij een hack in 2013 gegevens van een milard klanten waren buitgemaakt. Nu blijkt dat de gegevens van alle drie miljard klanten gelekt zijn.

https://www.cnbc.com/2017/10/03/yahoo-every-single-account-3-billion-people-affected-in-2013-attack.html

... heeft de ANWB de gegevens van slechts 95.000 klanten gelekt.

https://tweakers.net/nieuws/130299/anwb-waarschuwt-95000-klanten-voor-datalek.html

... kan de cloud uitgezet worden met een wolkje brandblusmiddel.

http://www.theregister.co.uk/2017/10/03/faulty_fire_systems_take_down_azure_across_northern_europe/

... legt deze korte animatie uit hoe het anti-spam-mechanisme DMARC werkt.

https://m.youtube.com/watch?v=PFcSmuvUFt4

... zijn ook keyboard-apps niet te vertrouwen als het om het verzamelen van data gaat.

https://www.grahamcluley.com/go-keyboard-app-data-collection/

... hebben medewerkers van de Belastingdienst geen gegevens gedeeld met derden (en niet alle reageerders geloven dat).

https://www.security.nl/posting/533626/Medewerkers+Belastingdienst+hebben+geen+data+gedeeld

... is een afwijking van gangbaar taalgebruik of het (niet) gebruiken van smileys/emoji’s een signaal dat een e-mail wel eens vals zou kunnen zijn.

https://www.stuff.co.nz/business/97221326/Overseas-hackers-forget-smiley-face-miss-out-on-90-000-pay-day

... zoekt de overheid een alternatief voor DigiD.

https://www.security.nl/posting/533961/Overheid+vraagt+bedrijfsleven+om+DigiD-alternatieven