donderdag 5 oktober 2017

Alert Online

Oktober is, naast een paar andere dingen, de internationale beveiligingsbewustwordingsmaand. In Amerika heet dat National Cybersecurity Awareness Month, in Europees verband noemen we het European Cyber Security Month. Maar de kans is groot dat de burger daar alleen iets van merkt als hij iemand op Twitter volgt die berichten over deze initiatieven retweet. Nou vooruit, Google verwees er afgelopen maandag naar met een regeltje onder het zoekvenster. Veel meer communicatie naar het brede publiek heb ik nog niet gezien.

Dichter bij huis zitten we nu halverwege de twee weken durende, jaarlijks terugkerende nationale campagne Alert Online. Net als de internationale initiatieven heeft ook Alert Online tot doel om de bevolking beter bewust te maken van de gevaren die op de loer liggen zodra we online gaan, en ons te leren hoe we daarmee moeten omgaan. Veel bedrijven doen hieraan mee door bijvoorbeeld sessies voor hun personeel te organiseren. Anderen zetten zelfs de deuren open voor andere belangstellenden.

Onze organisatie doet bij mijn weten voor het eerst in zijn volle omvang mee aan Alert Online. Er is een campagnesite opgezet, de hoogste baas en een andere collega zijn geïnterviewd, in de gebouwen hangen (bescheiden) posters en er worden artikelen gepubliceerd. En er wordt dankbaar gebruik gemaakt van materiaal van een awarenesscampagne van een paar jaar geleden. We hebben een teampje in stelling gebracht om te reageren op reacties op de publicaties. De eerste paar dagen zat de dienstdoende reagent met z’n armen over elkaar – figuurlijk dan, want het gewone werk ging natuurlijk door. Maar na een paar dagen sijpelen er toch wel wat reacties, commentaren en vragen binnnen.

Zo blijkt er nog veel onduidelijkheid te zijn omtrent het gebruik van open wifi-netwerken. “Open” betekent: voor iedereen toegankelijk en niet beveiligd. Als je geen verdere maatregelen neemt, dan moet je goed nadenken bij het gebruik van zo’n netwerk: een beetje internetten kan geen kwaad, maar mailen, facebooken en bankieren – kortom, activiteiten waarbij je digitale identiteit en je persoonlijke of zakelijke gegevens in het geding zijn – zou ik maar achterwege laten. Je weet domweg niet wie er met je meekijkt. Dat wifi-netwerk met de naam van dat gezellige café waarin je zit, ís dat netwerk wel van dat café? Of is het van die persoon daar in het hoekje, die probeert zoveel mogelijk mensen naar zijn netwerk te lokken en hun apparaten allerlei informatie te ontfutselen?

Maar je kunt ook maatregelen treffen. Veel organisaties maken gebruik van VPN-technolgie: Virtual Private Network. Een VPN is een tunnel door een onveilige netwerk, waar niemand in kan komen behalve jijzelf en de server waarmee je verbonden wilt zijn, bijvoorbeeld in je bedrijfsnetwerk. Die beveiliging wordt gerealiseerd met behulp van versleuteling: een aanvaller ziet wel iets langskomen, maar hij kan het niet lezen. Dat betekent dat je op die manier gerust gebruik kunt maken van onveilige netwerken. Informeer ernaar bij je ICT-afdeling!

In een interne poll geeft 47% van de respondenten aan dat ze software-updates direct installeren, en nog eens 44% installeert ze op een geschikt moment (n=739; de poll loopt nog). De meeste collega’s doen dus wat van hen wordt verwacht, of ze weten op z’n minst wat ze ‘eigenlijk’ zouden moeten doen. Die poll heeft wat vragen opgeleverd, onder andere: waarom gebeurt dat niet automatisch? Welnu, op veel door de werkgever verstrekte computers worden nieuwe versies en beveiligingspatches inderdaad automatisch geïnstalleerd, of je krijgt ze aangeboden met hooguit een beperkte periode waarin je de installatie ervan kunt uitstellen omdat het nu echt niet uitkomt. Privé- en mobiele apparaten kun je zo instellen dat je er nauwelijks nog omkijken naar hebt. Alleen voor grote updates die het apparaat tijdelijk onbeschikbaar maken, zoals een nieuwe Android- of iOS-versie, vraagt je toestel dan nog om toestemming.

Iemand anders zei: ik heb daar allemaal geen verstand van en durf daardoor helemaal niets te doen, want ik ben bang voor virussen en criminelen. Ik kan me daar wel iets bij voorstellen, want ik zie ze wel vaker, mensen die je een schermpje of mailtje tonen met de vraag: is dat echt of nep? Het is moeilijk om daar ongezien een algemeen antwoord op te geven. Als je Android-toestel iets roept over een virus, komt dat dan uit de virusscanner of is het reclame? Héb je überhaupt een virusscanner op dat apparaat? (Doen!) Ik houd als vuistregel aan dat er iets niet deugt als in app A wordt geroepen dat er iets met app B moet gebeuren. Twijfel je? Zoek dan een collega, vriend of familielid die weet wat hij/zij doet. En als het zakelijk is bel je natuurlijk je helpdesk.

En in de grote boze buitenwereld …


... vind je hier de officiële campagnesite van Alert online.

... is dit de vijfde Europese cybersecuritymaand.

... hebben vooral kleine bedrijven last van nonchalante medewerkers.

... dragen kinderen ook niet bepaald bij aan de veiligheid in cyberspace.

... doet Nederland het uiteindelijk toch niet slecht met de bescherming van persoonsgegevens.

... wordt blockchain-technologie misschien wel een effectief wapen tegen DDoS-aanvallen.

... maakte Yahoo vorig jaar bekend dat bij een hack in 2013 gegevens van een milard klanten waren buitgemaakt. Nu blijkt dat de gegevens van alle drie miljard klanten gelekt zijn.

... heeft de ANWB de gegevens van slechts 95.000 klanten gelekt.

... kan de cloud uitgezet worden met een wolkje brandblusmiddel.

... legt deze korte animatie uit hoe het anti-spam-mechanisme DMARC werkt.

... zijn ook keyboard-apps niet te vertrouwen als het om het verzamelen van data gaat.

... hebben medewerkers van de Belastingdienst geen gegevens gedeeld met derden (en niet alle reageerders geloven dat).

... is een afwijking van gangbaar taalgebruik of het (niet) gebruiken van smileys/emoji’s een signaal dat een e-mail wel eens vals zou kunnen zijn.

... zoekt de overheid een alternatief voor DigiD.

Geen opmerkingen:

Een reactie posten