Oktober is, naast een paar
andere dingen, de internationale beveiligingsbewustwordingsmaand. In Amerika
heet dat National Cybersecurity Awareness Month, in Europees verband noemen we
het European Cyber Security Month. Maar de kans is groot dat de burger daar
alleen iets van merkt als hij iemand op Twitter volgt die berichten over deze
initiatieven retweet. Nou vooruit, Google verwees er afgelopen maandag naar met
een regeltje onder het zoekvenster. Veel meer communicatie naar het brede
publiek heb ik nog niet gezien.
Dichter bij huis zitten we nu
halverwege de twee weken durende, jaarlijks terugkerende nationale campagne
Alert Online. Net als de internationale initiatieven heeft ook Alert Online tot
doel om de bevolking beter bewust te maken van de gevaren die op de loer liggen
zodra we online gaan, en ons te leren hoe we daarmee moeten omgaan. Veel
bedrijven doen hieraan mee door bijvoorbeeld sessies voor hun personeel te
organiseren. Anderen zetten zelfs de deuren open voor andere belangstellenden.
Onze organisatie doet bij mijn weten voor het eerst in zijn volle
omvang mee aan Alert Online. Er is een campagnesite opgezet, de hoogste baas en een andere collega zijn geïnterviewd, in de
gebouwen hangen (bescheiden) posters en er worden artikelen gepubliceerd. En er
wordt dankbaar gebruik gemaakt van materiaal van een awarenesscampagne van een
paar jaar geleden. We hebben een teampje in stelling gebracht om te reageren op
reacties op de publicaties. De eerste paar dagen zat de dienstdoende reagent
met z’n armen over elkaar – figuurlijk dan, want het gewone werk ging
natuurlijk door. Maar na een paar dagen sijpelen er toch wel wat reacties,
commentaren en vragen binnnen.
Zo blijkt er nog veel
onduidelijkheid te zijn omtrent het gebruik van open wifi-netwerken. “Open”
betekent: voor iedereen toegankelijk en niet beveiligd. Als je geen verdere
maatregelen neemt, dan moet je goed nadenken bij het gebruik van zo’n netwerk:
een beetje internetten kan geen kwaad, maar mailen, facebooken en bankieren –
kortom, activiteiten waarbij je digitale identiteit en je persoonlijke of
zakelijke gegevens in het geding zijn – zou ik maar achterwege laten. Je weet
domweg niet wie er met je meekijkt. Dat wifi-netwerk met de naam van dat
gezellige café waarin je zit, ís dat netwerk wel van dat café? Of is het van
die persoon daar in het hoekje, die probeert zoveel mogelijk mensen naar zijn
netwerk te lokken en hun apparaten allerlei informatie te ontfutselen?
Maar je kunt ook maatregelen
treffen. Veel organisaties maken gebruik van VPN-technolgie: Virtual Private
Network. Een VPN is een tunnel door een onveilige netwerk, waar niemand in kan
komen behalve jijzelf en de server waarmee je verbonden wilt zijn, bijvoorbeeld
in je bedrijfsnetwerk. Die beveiliging wordt gerealiseerd met behulp van
versleuteling: een aanvaller ziet wel iets langskomen, maar hij kan het niet
lezen. Dat betekent dat je op die manier gerust gebruik kunt maken van
onveilige netwerken. Informeer ernaar bij je ICT-afdeling!
In een interne poll geeft 47% van de respondenten aan dat ze
software-updates direct installeren, en nog eens 44% installeert ze op een
geschikt moment (n=739; de poll loopt nog). De meeste collega’s doen dus wat
van hen wordt verwacht, of ze weten op z’n minst wat ze ‘eigenlijk’ zouden
moeten doen. Die poll heeft wat vragen opgeleverd, onder andere: waarom gebeurt
dat niet automatisch? Welnu, op veel door de werkgever verstrekte computers
worden nieuwe versies en beveiligingspatches inderdaad automatisch
geïnstalleerd, of je krijgt ze aangeboden met hooguit een beperkte periode
waarin je de installatie ervan kunt uitstellen omdat het nu echt niet uitkomt.
Privé- en mobiele apparaten kun je zo instellen dat je er nauwelijks nog
omkijken naar hebt. Alleen voor grote updates die het apparaat tijdelijk
onbeschikbaar maken, zoals een nieuwe Android- of iOS-versie, vraagt je toestel
dan nog om toestemming.
Iemand anders zei: ik heb daar allemaal geen verstand van en durf
daardoor helemaal niets te doen, want ik ben bang voor virussen en criminelen.
Ik kan me daar wel iets bij voorstellen, want ik zie ze wel vaker, mensen die je
een schermpje of mailtje tonen met de vraag: is dat echt of nep? Het is
moeilijk om daar ongezien een algemeen antwoord op te geven. Als je
Android-toestel iets roept over een virus, komt dat dan uit de virusscanner of
is het reclame? Héb je überhaupt een virusscanner op dat apparaat? (Doen!) Ik
houd als vuistregel aan dat er iets niet deugt als in app A wordt geroepen dat
er iets met app B moet gebeuren. Twijfel je? Zoek dan een collega, vriend of
familielid die weet wat hij/zij doet. En als het zakelijk is bel je natuurlijk je
helpdesk.
En in de grote boze buitenwereld …
... vind je hier de officiële campagnesite van Alert
online.
... is dit de vijfde Europese cybersecuritymaand.
... hebben vooral kleine bedrijven last van nonchalante
medewerkers.
... dragen kinderen ook niet bepaald bij aan de
veiligheid in cyberspace.
... doet Nederland het uiteindelijk toch niet slecht
met de bescherming van persoonsgegevens.
... wordt blockchain-technologie misschien wel een
effectief wapen tegen DDoS-aanvallen.
... maakte Yahoo vorig jaar bekend dat bij een hack in
2013 gegevens van een milard klanten waren buitgemaakt. Nu blijkt dat de
gegevens van alle drie miljard klanten gelekt zijn.
... heeft de ANWB de gegevens van slechts 95.000
klanten gelekt.
... kan de cloud uitgezet worden met een wolkje
brandblusmiddel.
... legt deze korte animatie uit hoe het
anti-spam-mechanisme DMARC werkt.
... zijn ook keyboard-apps niet te vertrouwen als het
om het verzamelen van data gaat.
... hebben medewerkers van de Belastingdienst geen
gegevens gedeeld met derden (en niet alle reageerders geloven dat).
... is een afwijking van gangbaar taalgebruik of het
(niet) gebruiken van smileys/emoji’s een signaal dat een e-mail wel eens vals
zou kunnen zijn.
... zoekt de overheid een alternatief voor DigiD.
Geen opmerkingen:
Een reactie posten