Security (b)log: juni 2018

vrijdag 29 juni 2018

Zoekt en men zal u vinden

Om deze blog ook extern te kunnen publiceren, heb ik een account bij Google, gekoppeld aan een privé-mailadres. Want de blog staat op Blogspot en Blogspot is van Google. Mijn werkwijze is: blog schrijven, inloggen bij Blogspot, blog plaatsen, uitloggen bij Blogspot. Soms vergeet ik echter om uit te loggen.

Wij hebben een gezinsagenda bij Google. Dat is handig, want dan kunnen we gemakkelijk in elkaars agenda kijken. Dat gebeurt meestal op mobieltjes, maar soms wil je ook op de pc of op de laptop in de agenda kijken. Daarvoor moet je inloggen bij Google.

Als je inlogt bij Google, dan log je niet in bij één toepassing, zoals de agenda of Blogspot, maar bij het hele Google-universum. Dat universum bevindt zich in de cloud, en als de cloud om één ding bekend staat, dan is het wel dat alles met alles gesynchroniseerd wordt. En zo kan het dus gebeuren dat ik, als de beide soms’en uit de voorgaande alinea’s gelijktijdig optreden, thuis kan zien wat ik op het werk gegoogeld heb. Alle zoekopdrachten die ik op het werk na het niet-uitloggen heb uitgevoerd, kan ik thuis zien. De gedachte daarachter zal wel zijn dat ik een eerdere zoekopdracht misschien op een ander apparaat wil herhalen.

Nou heb ik nooit vertrouwelijke dingen om te googelen, maar stel eens dat ik in een functie zou werken waarin ik met klantgegevens te maken heb. En dat ik extra informatie over die klant nodig heb en daarvoor misschien wel bij Google te rade ga. En dat ik als zoektermen bijvoorbeeld een naam en een klantnummer gebruik, plus nog wat specifieke termen, al naar gelang waar ik naar op zoek ben. Die zoekopdracht zou dan ook op mijn privé-apparatuur terecht kunnen komen. En dat is niet de bedoeling, zowel vanuit ons eigen beleid als vanuit de AVG.

Dat is echter nog niets vergeleken bij wat er nog meer met mijn zoekopdracht gebeurt. Die komt namelijk terecht in de archieven van Google, dat daar vervolgens van alles mee kan doen. Dit is een goed moment om je te realiseren dat Google in feite een advertentiebedrijf is. Ze gebruiken de informatie die jij hen bewust of onbewust geeft om je ‘voor jou relevante advertenties’ voor te kunnen schotelen. Bovenaan de pagina waarop Google uitlegt hoe dat allemaal werkt staat in koeienletters: “We verkopen uw persoonlijke gegevens aan niemand.” Dat dat niet helemaal waar is, weten we sinds de Cambridge Analytica-affaire – o nee, dat was helemaal niet bij Google, dat was bij Facebook. Mag ik dat soort bedrijven toch een beetje over één kam scheren? Kijk, we hebben het over erg grote bedrijven, en in zo’n groot bedrijf zijn er altijd wel mensen die dingen doen waarvan de directie niet op de hoogte is of op z’n minst vindt dat ze eigenlijk niet kunnen. Bovendien kan zo’n bedrijf gehackt worden of op andere wijze gegevens lekken. Kortom: je doet er goed aan om ervan uit te gaan dat de gegevens die jij in Google (maar bijvoorbeeld ook in Bing) stopt daar op een ongewenste plek weer uit kunnen komen.

Eind vorig jaar hebben we onze stagiair Roy onderzoek laten doen naar alternatieven voor zoekmachines waarvan we wéten dat ze onze gegevens gebruiken. Die alternatieven zijn er wel degelijk: zoekmachines die plechtig beloven dat ze niets over jou en jouw zoekopdrachten opslaan. Sommige daarvan maken onder water gewoon gebruik van andere zoekmachines, maar dan zijn de zoekopdrachten niet naar jou te herleiden.

DuckDuckGo is de populairste privacy-vriendelijke zoekmachine, zeggen ze althans zelf (“wij van WC-eend…”). Wel schijnen de zoekresultaten minder actueel te zijn dan bij Google en Bing (terwijl DDG put uit onder andere Bing). Een ander vrij bekend alternatief is Ixquick/StartPage, dat gebruikmaakt van Google. Dit is de enige door de EU goedgekeurde zoekmachine; ze mochten in 2008 het allereerste Europese Privacy Certificaat in ontvangst nemen. Ixquick is een Nederlands bedrijf en dat biedt ook nog eens bescherming tegen Amerikaanse datagraaiwetgeving.

De informatie die je met welke zoekmachine dan ook vindt is publiek, maar waar het hier om gaat is de vastlegging van het feit dat jij (in jouw functie) die bepaalde informatie zoekt. Dat is ook weer informatie die waardevol kan zijn. Advies: als het zakelijk gezien niet goed voelt als een bepaalde zoekopdracht ergens terechtkomt waar je er geen controle over hebt, maak dan gebruik van StartPage of DuckDuckGo.

En in de grote boze buitenwereld …

... bestaan er ook browsers die je privacy ondersteunen.

https://www.security.nl/posting/567984/Privacybrowser+Brave+introduceert+privétabs+met+Tor-integratie

... sturen deze beveiligingscamera’s hun beelden naar het verkeerde baasje.

https://www.bbc.com/news/technology-44628399

... brengt WPA3 ons veel veiligere wifi-netwerken, zelfs als je daar IoT-devices op aansluit.

https://www.wired.com/story/wpa3-wi-fi-security-passwords-easy-connect/

... blijft het anders wel erg gemakkelijk om IoT-devices te kapen.

https://www.bleepingcomputer.com/news/security/someone-is-taking-over-insecure-cameras-and-spying-on-device-owners

... legt Troy Hunt (van haveibeenpwned.com) in een paar video’s uit hoe gemakkelijk het is om je eigen website te beveiligen.

https://httpsiseasy.com

... is de Baseline Informatiebeveiliging Overheid in de maak. De BIO gaat op termijn alle sectorale baselines, zoals de BIR2017 en de BIG, vervangen.

https://informatiebeveiliging-gemeenten.nl/2018/06/quickscan-information-security-qis-de-7-stappen/

... beïnvloeden bedrijven als Google, Facebook en Microsoft vaak jouw keuzes voor privacy-instellingen.

https://tweakers.net/nieuws/140275/privacykeuzeschermen-grote-techbedrijven-zetten-gebruikers-aan-tot-datadelen.html

... is de Wet computercriminaliteit III door de Eerste Kamer aangenomen.

https://www.rijksoverheid.nl/actueel/nieuws/2018/06/26/eerste-kamer-stemt-in-met-wetsvoorstel-computercriminaliteit-iii

... heeft dit bedrijf nogal wat uit de kast gehaald om een indringend reclamefilmpje te maken.

https://m.youtube.com/watch?v=FqibWHfn_Yc#fauxfullscreen

... is er nu ook ransomware die je probeert af te persen zonder daadwerkelijk je computer te besmetten. (Dat doet mij denken aan een oud mopje over een Belgisch virus: “Hallo, wilt u alstublieft ‘del C:\*.*’ intypen?”)

https://www.grahamcluley.com/wannacry-ransomware-scam-tries-to-extort-money-without-actually-infecting-your-computer/

... heeft Nederland tegenwoordig cyberdiplomaten.

https://www.telegraaf.nl/nieuws/2193011/nederland-zet-speciale-diplomaat-in-tegen-cyberaanvallen

... heeft een onderzoeker een manier gevonden om de passcode van de iPhone te kraken. Of nee, toch niet.

https://www.imore.com/iphone-brute-force-passcode-hack-probably-wasnt

... delen oplichters AVG-boetes uit.

https://tweakers.net/nieuws/140131/autoriteit-persoonsgegevens-waarschuwt-voor-avg-oplichting-via-boetes.html

vrijdag 22 juni 2018

Alarm

Het was ergens tussen twee en drie uur ’s nachts. Ik was wakker geschrokken en voelde het hart in mijn keel bonken. Wat was dat voor een geluid dat mij wreed uit mijn slaap had gerukt? Het kwam duidelijk van buiten en klonk als een luide sirene, maar anders dan alle sirenegeluiden die ik kende. Het was geen voorrangsvoertuig en ook niet het luchtalarm. Eén keiharde toon, daarna nog twee zachtere, wegstervend in de nacht. Had ik gedroomd? Nee, ik had die herrie toch echt bewust gehoord? Was mijn vrouw ook wakker-geschrokken? Hè verdorie, nee, die sliep gewoon nog lekker.

In de loop van de volgende ochtend publiceerde de Stentor het verlossende bericht: “Testtoon luchtalarm wekt deel van Gelderland en Overijssel”. Volgens een woordvoerder van de veiligheidsregio was “een collega” vergeten om bij de tweewekelijkse kalibratie “het vinkje bij de testtoon weg te halen”. Het was dus wel degelijk het luchtalarm geweest, maar dan niet het geluid dat we allemaal kennen van de-eerste-maandag-van-de-maand-twaalf-uur.

Die hebben dus niets geleerd van hetgeen in januari in Hawaï gebeurd is. Daar werd toen alarm geslagen vanwege een ballistische raket die op weg zou zijn naar de eilandengroep. En drie dagen later meldde de Japanse publieke omroep ten onrechte dat Noord-Korea een raket had gelanceerd. Inwoners werden opgeroepen om te schuilen. Wat er in Japan misging weet ik niet, maar de Hawaïaanse blunder bleek zijn oorsprong te hebben in een knullig ontworpen gebruikersinterface: een lijstje met tekstuele links waaruit je gemakkelijk de verkeerde kon kiezen. De hele wereld van interface-ontwerpers bespotte destijds de HEMA (de Hawaii Emergency Management Agency).

Ik wordt wel eens wakker van koerende duiven, maar deze keer werd ik dus gewekt door een vinkje. Dat is al net zo knullig als daar in de Grote Oceaan. Je wilt toch op zo’n scherm niet meer dan een paar grote, verschillend gekleurde knoppen zien waar superduidelijk op staat wat er gebeurt als je erop klikt? En dan nog een weet-u-het-zekertje voor de opties waar het publiek iets van merkt? En bovendien, zo’n kalibratie (het gelijkzetten van de klokken), kan dat niet volautomatisch, met alle vinkjes in de juiste stand?

Leuk verhaal, hoor ik je denken, maar wat doet dat hier, in de Security (b)log? Dat zal ik je vertellen. Valse alarmen komen ook voor in ICT-systemen, en vanuit beveiligingsoogpunt zijn die schadelijk omdat ze het vertrouwen in de alarmering ondermijnen (“het zal wel weer vals alarm zijn”) en omdat zij mogelijk de aandacht afleiden van échte alarmen, die daardoor niet of te laat worden gezien, met schade tot gevolg. Eindgebruikers hebben al genoeg moeite met het interpreteren van gewone beveiligingsmeldingen (en dat kun je ze nauwelijks kwalijk nemen), laat staan dat we daar ook nog een handjevol valse meldingen tussendoor zouden gooien.

Ontwerpers zijn continu bezig met het verbeteren van belangrijke meldingen. Dat merk je bijvoorbeeld als je naar een onveilige site dreigt te gaan. Vroeger kreeg je dan veel te veel irrelevante tekst op je scherm, tegenwoordig staat er alleen nog maar: het is hier niet pluis, haal me hier weg! En als je toch een keer een goede reden hebt om de onveilige kant op te gaan, dan moet je behoorlijk je best doen om je een weg te banen door extra waarschuwingen – de eerder genoemde weet-u-het-zekertjes.

De waarde van informatie over de veiligheid van een site evolueert. Ooit bedacht men dat je aan gebruikers moest laten zien dat een site veilig is. Het groene slotje was geboren. Inmiddels hebben bijna alle sites dat groene slotje. Dat is goed, want het betekent dat die sites beveiligd zijn. Maar het tonen van dat feit heeft daardoor niet meer echt een functie. Je ziet ook maar nog weinig auto’s met een sticker die trots het aantal behaalde botsproefsterren vermeldt. Dat slotje kan dus wel weg, bedacht Google. Veilig is de norm – je hoeft alleen nog te melden als een ónveilig is. Vanaf het najaar laat hun Chrome-browser eerst alleen het woord ‘veilig’ achterwege, om in een latere versie ook het slotje af te schaffen. Andere browsers zullen dit voorbeeld wel volgen, verwacht ik.

Beste sirenemanagers, willen jullie asjeblieft eens naar het ontwerp van jullie gebruikersinterfaces kijken? Dat kan vast beter. Alvast bedankt namens slapend Nederland.

En in de grote boze buitenwereld …

... moet je nog steeds rekening houden met de beruchte “bedreiging van binnenuit”.

https://www.darkreading.com/informationweek-home/tesla-employee-steals-sabotages-company-data/d/d-id/1332098

... kunnen jouw klanten door jouw leverancier benadeeld worden.

https://www.nu.nl/internet/5318222/rechtbank-veroordeelt-nederlandse-internetoplichter-vier-jaar-cel.html

... is er nu ook een Engelstalige versie van de site Laat je niet hack maken.

https://watchyourhack.com

... kon de exacte locatie van elke Google Chromecast en Google Home worden vastgesteld met een eenvoudig script op een website.

https://krebsonsecurity.com/2018/06/google-to-fix-location-data-leak-in-google-home-chromecast/

... was het al vreemd dat je een biometrisch beveiligd hangslot kon openen door een paar schroefjes los te draaien, maar het ding is ook gewoon hackable.

https://nakedsecurity.sophos.com/2018/06/18/the-worlds-worst-smart-padlock-its-even-worse-than-we-thought/

... heeft een Duitse bandenfabrikant het zakelijke gebruik van WhatsApp en Snapchat verboden (en dat zouden meer bedrijven moeten doen).

https://www.bloomberg.com/news/articles/2018-06-05/facebook-snap-banned-for-employees-of-europe-s-continental

... is weer een nieuw lek in Intel-processoren bekend geworden.

https://tweakers.net/nieuws/139829/intel-waarschuwt-voor-nieuw-lek-in-core-processors-dat-gegevens-prijsgeeft.html

... is er een gratis QR-code-scanner verschenen. Maar volgens de commentaren onder dit artikel wil de app toegang tot de microfoon van je smartphone. Wat zou die app daar toch mee doen?

https://www.security.nl/posting/566601/Anti-virusbedrijf+lanceert+gratis+app+voor+scannen+qr-codes

... draaien fake webshops vaak op opgeheven domeinnamen.

https://www.security.nl/posting/566965/%22Veel+fake+webshops+gebruiken+opgeheven+domeinnamen%22

... moet je bij apps die kunnen toveren altijd bedacht zijn op Trojaanse paarden.

https://www.security.nl/posting/567011/Malafide+batterij-app+besmet+60_000+Android-apparaten

... geldt datzelfde ook voor gratis VPN-diensten.

http://webwereld.nl/security/105426-malware-doet-zich-voor-als-vpn-dienst

... houden ook cybercriminelen van traditie.

https://www.wodc.nl/wodc-nieuws/georganiseerde-(cyber)-criminaliteit.aspx

... zijn terroristen nog niet in staat om grote cyberaanvallen uit te voeren.

https://www.security.nl/posting/566935/Europol%3A+Geen+grote+cyberaanvallen+door+terroristen

... kun je een redteam inhuren om je aan te vallen.

http://cio.nl/security/105402-jezelf-aanvallen-is-de-beste-verdediging

... valt er nog veel winst te boeken bij de beveiliging van industriële besturingssystemen.

https://www.darknet.org.uk/2018/06/scada-hacking-industrial-systems-woefully-insecure

vrijdag 15 juni 2018

Glazen huis

Net als andere professionals moeten ook informatiebeveiligers de boer op om bij te blijven in hun vak. We volgen opleidingen, bezoeken conferenties en houden de vakliteratuur bij. Zodoende horen we van anderen wat de nieuwste ontwikkelingen en gebeurtenissen zijn en hoe je daarmee hebt om te gaan. Soms kost dat geld, soms is het gratis.

En soms doen we ook iets terug. Dan zitten we niet in de zaal, maar staan we op de planken voor een extern gezelschap. Bijvoorbeeld in de vorm van een lezing voor een studievereniging. Of, zoals aanstaande donderdagavond (de 21^e), in de vorm van het ‘BD Kenniscafé ICT’, dat zich richt op professionals die misschien wel bij ons zouden willen werken. Het thema is deze keer: Privacy & security in een glazen huis. Dat is een spannend thema; de combinatie ‘privacy’ en ‘glazen huis’ past nog wel in de tijdgeest die transparantie dicteert over hoe een organisatie omgaat met de haar toevertrouwde gegevens, maar ‘security’ en ‘glazen huis’ gaan veel minder goed samen.

Toch willen we graag aan mensen van buiten onze eigen organisatie vertellen hoe wij met informatiebeveiliging omgaan. Daartoe draaien we de jaloezieën van ons glazen huis een beetje open. Onze directeur trapt af met een keynote over de verantwoordelijkheden en uitdagingen voor de ICT bij de Belastingdienst. Daarna volgen vier parallelsessies over uiteenlopende onderwerpen, waar ik wat langer bij stil wil blijven staan.

Ons Mobile Competence Center verzorgt een sessie over de beveiliging van apps. Het MCC maakt niet alleen apps voor intern gebruik, maar ook apps voor het publiek, zoals de Douane Reizen-app die je precies vertelt wat je wel en niet van vakantie mee terug mag brengen. En er worden zelfs apps voor derden gebouwd, zoals de DigiD-app. Voor de interne apps kan het MCC leunen op mobile device management, dat ervoor zorgt dat de toestellen waarop de apps draaien veilig zijn. De externe apps vergen veel meer inspanning, alleen al omdat die ook op oude (lees: onveilige) toestellen veilig moeten kunnen draaien. Het ontbreekt het MCC in ieder geval niet aan enthousiasme. Ik citeer een architect van het team: “Super gaaf dat de Belastingdienst zulke apps voor de overheid mag maken!”

Het team Middleware maakt ook infrastructuur die een rol speelt bij de communicatie met de buitenwereld. Hun producten zijn echter onzichtbaar voor de gebruiker, want zoals de naam al aangeeft zitten de producten ergens tussen de eindgebruiker en de applicaties in. Toch is beveiliging hier van essentieel belang. Als die niet tiptop in orde is, dan maakt ons dat kwetsbaar voor hackers. In deze sessie licht het team een tipje van de sluier die over de misschien wat ondergewaardeerde componenten van onze infrastructuur ligt.

In mijn eigen sessie ga ik in op de interne en externe dreigingen waarmee wij te maken hebben en hoe we ons die van het lijf proberen te houden. Daarbij spelen het Security Operations Center, bewustwording en risicoanalyses een belangrijke rol. We staan ook stil bij de inspanningen om ons datacenter aantoonbaar veilig te maken door de beveiligingsstandaard ISO27001 te implementeren.

We hebben de FIOD te gast met een sessie over de spelregels en de uitdagingen die horen bij de opsporing van criminelen die fiscale delicten plegen. Er is sprake van een technische wapenwedloop tussen criminelen en opsporingsdiensten. En dan hebben verdachten ook nog eens recht op privacy…

Na de parallelsessies, die een uur duren en dus de mogelijkheid tot verdieping en interactie bieden, kunnen onze gasten in twee rondes aanschuiven bij diverse experttafels voor nog meer verdieping, maar natuurlijk ook om van ons te horen wat het werken in deze dynamische organisatie (ja echt!) nou zo leuk en interessant maakt.

En o ja, we beginnen de avond met eten en we eindigen met een borrel. Om het nog wat leuker te maken.

https://werken.belastingdienst.nl/bd-update/bd-kenniscafe-ict-privacy-security-in-een-glazen-huis-34

En in de grote boze buitenwereld …

... beschrijft de secretaris-generaal van de NAVO onder de kop “Hoe de NAVO zich tegen de duistere kant van het web verdedigt” amper hoe ze dan doen. Maar ja, de NAVO zit niet in een glazen huis én heeft verduisteringsgordijnen.

https://www.wired.com/story/how-nato-defends-against-the-dark-side-of-the-web/

... heeft het NCSC het Cybersecuritybeeld Nederland 2018 gepubliceerd.

https://www.ncsc.nl/actueel/nieuwsberichten/cybersecuritybeeld-nederland-2018-digitale-dreiging-in-nederland-neemt-toe.html

... kan Superman straks écht door muren heen kijken.

https://community.spiceworks.com/topic/2142096-future-tech-researchers-use-wi-fi-ai-to-watch-you-through-walls-in-the-dark

... is dit virtuele hulpje iets té behulpzaam.

https://fossbytes.com/cortana-flaw-run-powershell-reset-password-windows-10-lock-screen

... kun je bij sommige internetdomeinen maar beter helemaal wegblijven.

https://krebsonsecurity.com/2018/06/bad-men-at-work-please-dont-click/

... staat Apple geen cryptominers meer toe.

https://thehackernews.com/2018/06/cryptocurrency-mining-apps.html

... beschermt Apple de privacy van gebruikers door het uitlezen van Iphones te bemoeilijken.

https://www.reuters.com/article/us-apple-iphone-cracking/apple-to-undercut-popular-law-enforcement-tool-for-cracking-iphones-idUSKBN1J92ZY

... doet de EU Kaspersky-spullen in de ban.

https://www.theregister.co.uk/2018/06/13/eu_kaspersky_cyber_defence_motion/

... bijt Eugene Kaspersky van zich af om zijn in diskrediet gebracht beveiligingsbedrijf te redden. Terwijl wij Rian van Rijbroek allang vergeten waren...

https://eugene.kaspersky.com/2018/06/12/dutch-hacker-big-cyber-politics-and-the-anatomy-of-real-fake-news/

... proberen sommige malafide Android-app-bouwers je met valse downloadcijfers te verleiden hun app te installeren.

https://www.welivesecurity.com/2018/06/11/android-popularity-faking-tricks-google-play

... heeft de politie van Estland de database van Have I Been Pwned met honderdduizenden e-mailadressen verrijkt.

https://tweakers.net/nieuws/139657/estse-politie-geeft-database-met-655000-e-mailadressen-aan-have-i-been-pwned.html

... waarschuwt Europol voor vakantie- en ticketfraude.

https://www.europol.europa.eu/2good2btrue

... wil je liever niet aan medische apparatuur hangen die ernstige kwetsbaarheden bevat.

https://www.securityweek.com/serious-flaws-found-philips-patient-monitoring-devices

... bouwen ze in Delft aan een superveilig internet.

https://nos.nl/artikel/2236360-doorbraak-tu-delft-in-ontwikkeling-superveilig-quantuminternet.html

... wordt een Spaanse voetbal-app gebruikt in de strijd tegen illegale vertoning van wedstrijden.

https://www.security.nl/posting/565635/Spaanse+voetbal-app+kan+omgeving+gebruikers+afluisteren

... vindt de AVG een filmende deurbel oké.

https://www.security.nl/posting/565817/Juridische+vraag%3A+Mag+mijn+deurbel+de+buren+filmen%3F

vrijdag 8 juni 2018

Hufters & privacy

Op de snelweg haalde ik een rijtje auto’s in. Bij één van die auto’s ging het linker knipperlicht aan en hij schoof een klein beetje op naar links. Ik toeterde, want daar was helemaal geen ruimte voor die auto, ook al was het maar een kleine. Het autootje aarzelde, zijn bestuurder draaide zich zowat helemaal om in zijn stoel, keek mij onbewogen recht in de ogen en stuurde zijn vehikel rustig tussen het mijne en mijn voorligger, mijn claxon negerend. Toen ik hem even later alsnog passeerde en hem verbijsterd aankeek, maakte hij een gebaar dat waarschijnlijk zoiets moest betekenen als “maak je niet druk”.

Op de fiets had ik net een andere fietser ingehaald toen ik bij een kruispunt aankwam waar ik voorrang moest verlenen. Daar stond ook een auto te wachten en ik stelde mij rechts naast hem op. Er kwam nog een andere fietser rechts van mij staan en toen hoorde ik de fietser die ik net had ingehaald achter mij mopperen dat die ander hem had gesneden. Waarop mijn buurman zich omdraaide en zei: “Ach man, stel je niet aan.”

Ik heb nooit begrepen hoe dat werkt in het brein van verkeershufters. Ze doen iets wat overduidelijk niet oké is, je zegt of toetert er iets van en uit hun reactie blijkt dat ze ervan overtuigd zijn dat jij zojuist iets stoms hebt gedaan. Na een dergelijke interactie zou ik graag eens op neutrale toon met zo iemand willen praten, want misschien zie ik wel iets over het hoofd. Helaas kun je als burger zo’n automobilist niet even aan de kant zetten. En die fietser, tja, dat was mijn zaak niet.

Het komt gelukkig niet vaak voor dat ICT-gebruikers, die op een fout op beveiligingsgebied worden gewezen, zich hufterig gedragen. Jaren geleden was er wel een heftig geval. We kregen signalen dat op een bepaalde pc foute dingen werden gedaan. We stuurden iemand op pad om die pc voor onderzoek op te halen. De gebruikers van die pc raakten zo in paniek dat ze onze man een duw gaven, waardoor hij op de grond viel. En ze beletten hem de kamer te verlaten. We hebben destijds nog onderzoek laten doen naar wat er zich op die computer allemaal afspeelde.

De meeste inbreuken op de beveiligingsregels worden, zo blijkt steeds weer, uit onwetendheid gemaakt. Gelukkig maar. Als je mensen op dergelijke per-ongelukjes aanspreekt en uitlegt waarom iets fout is, dan begrijpen ze dat meestal wel. Schaamte is daarbij trouwens ook een vaak geziene emotie – vaak snappen mensen wel dat ze het zelf ook hadden moeten weten.

Onze inspanningen om nut & noodzaak van de regels uit te leggen, werpen hun vruchten af. Vaker dan vroeger vragen collega’s vooraf of iets wel kan. Er wordt dus goed nagedacht. Soms schieten ze zelfs een beetje door: dan denken ze dat iets niet kan terwijl daar helemaal geen bezwaar tegen is. Maar ik heb vele malen liever tien van deze vragen dan één gemiste kans om de beveiliging intact te laten. Blijf dus komen. De enige domme vraag is de niet gestelde vraag.

Op privacygebied ga je dat de komende tijd ook vaak zien, dat mensen denken dat iets niet mag. Vaker nog dan voorheen zal men na de volledige inwerkingtreding van de AVG (nu twee weken geleden) denken dat iets niet mag, want privacy. Of men verschuilt zich erachter om iets niet te hoeven doen. Wat daarbij vaak wordt vergeten is dat we ons niet in een dagopvang of zo bevinden, maar in een organisatie zijn aangesteld om bepaalde werkzaamheden uit te voeren volgens de regels die die organisatie heeft opgesteld. Dan is het toch logisch dat die organisatie middelen heeft om het gedrag van haar medewerkers inhoudelijk te controleren? Meestal gebeurt dat aan de hand van logging, die nadrukkelijk mede voor dit doel wordt vastgelegd. Soms, als iemand van ernstigere zaken wordt verdacht, is een daadwerkelijke inbreuk op de privacy noodzakelijk om bewijs te verzamelen. Dat gebeurt nooit zonder juridische toetsing en toestemming. Je mag er dus van uitgaan dat je privacy goed wordt beschermd, mits jij ook de organisatie beschermt. Privacy is een serieuze zaak.

Ook verkeershufters hebben recht op privacy. Een foto op social media posten waarop zo iemand herkenbaar in beeld staat, of waarop het kenteken leesbaar is – helaas. Je zult dan eerst om toestemming moeten vragen…

En in de grote boze buitenwereld …

... bestaat er alleen nep-AVG-keurmerken.

https://autoriteitpersoonsgegevens.nl/nl/nieuws/ap-waarschuwt-voor-misleidend-avg-keurmerk

... heeft de Belastingdienst nog een jaartje nodig om volledig aan de AVG te kunnen voldoen.

https://www.security.nl/posting/564831/Belastingdienst+voldoet+binnen+jaar+aan+nieuwe+privacywet

... heeft het Britse Bijbelgenootschap een fikse AVG-boete gekregen.

https://ico.org.uk/about-the-ico/news-and-events/news-and-blogs/2018/06/bible-society-fined-after-security-failings/

... heeft de AVG ook leuke neveneffecten.

http://www.welingelichtekringen.nl/tech/811236/websites-veel-sneller-dankzij-eu-privacywet.html

... wil het Agentschap Telecom dat er beveiligingseisen voor IoT-dingen komen.

https://tweakers.net/nieuws/139317/agentschap-telecom-wil-minimumeisen-voor-beveiliging-iot-apparatuur.html

... helpt de overheid het MKB om veilig te ondernemen.

https://www.rijksoverheid.nl/ministeries/ministerie-van-economische-zaken-en-klimaat/nieuws/2018/06/08/digital-trust-center-maakt-veilig-digitaal-ondernemen-makkelijker

... heeft de EU een grote cyberoefening gehouden in de luchtvaartsector.

https://www.enisa.europa.eu/news/enisa-news/cyber-europe-2018-get-prepared-for-the-next-cyber-crisis/

... is de recente stroomstoring op Schiphol deels eigen schuld.

https://www.volkskrant.nl/nieuws-achtergrond/chaos-op-schiphol-deels-te-wijten-aan-technische-fouten-op-luchthaven~b1b8691c/

... gniffelt de beveiligingsgemeenschap als cybercriminelen hun beveiliging niet op orde hebben.

https://nakedsecurity.sophos.com/2018/06/07/oh-the-irony-when-cybercriminals-are-rubbish-at-cybersecurity/

... ontwikkelt Apple een nieuwe functie die het dieven en opsporingsdiensten moeilijker moet maken om zich toegang tot een iPhone te verschaffen.

https://digitalguardian.com/blog/apple-fixing-lock-down-iphone-even-further

... mogen ook Chinese bedrijven in de data van Facebook graaien.

https://www.nytimes.com/2018/06/05/technology/facebook-device-partnerships-china.html

... heeft Facebook weer iets gelekt.

http://money.cnn.com/2018/06/07/technology/facebook-public-post-error/index.html

... bestaat “de securityspecialist” niet.

https://cfo.nl/artikel/cybersecurity-in-land-der-blinden-is-eenoog-koning

... krijgt de politiek oog voor deugdelijk patchbeleid.

https://www.security.nl/posting/565059/Staatssecretaris+moet+opheldering+geven+over+Android-updates

... hebben de Belgen een quiz ontwikkeld om je digitale vaardigheden te testen. “U bent echt een krak in het bedenken van veilige paswoorden. Chapeau!”

https://news.economie.fgov.be/165661-digital-duel-wat-is-uw-digitale-leeftijd

… moet je altijd héél goed naar de letters in een link kijken. Maar zo gemakkelijk als in het getoonde voorbeeld is het lang niet altijd.

https://www.droidapp.nl/nieuws/whatsapp-5-gratis-tickets-efteling-walibi/

vrijdag 1 juni 2018

Betrouwbaar

Iemand vroeg eens aan een dierentuindierenarts of het waar is dat ijsberen zo onbetrouwbaar zijn. “Welnee,” luidde het vileine antwoord van de veterinair, “ijsberen zijn juist uiterst betrouwbaar. Als je hun kooi binnenstapt, dan weet je zeker dat ze je kop eraf trekken.”

Een mensendokter had een patiënt op het spreekuur die hooikoorts bleek te hebben. De arts schreef pillen voor en de apotheker somde de mogelijke bijwerkingen op. De patiënt kreeg daadwerkelijk last van flinke hoofdpijn. Je zou kunnen zeggen dat de bijsluiter heel betrouwbaar was.

Een moordenaar, waarvan een cipier had gewaarschuwd dat hij geradicaliseerd was, mocht toch op verlof. Tijdens dat verlof vermoordde hij drie mensen. Ik aarzel om daar het label ‘betrouwbaar’ aan te hangen, maar als je cynisch wilt zijn kun je wel zeggen dat hij ruimschoots aan de verwachtingen heeft voldaan.

Ik heb het al eerder gehad over betrouwbare internetcriminelen. Dat zijn criminelen die je bijvoorbeeld afpersen met ransomware, maar ook echt doen wat ze beloven: als je betaalt, dan krijg je je bestanden terug. Op het dark web vind je sites waar je DDoS-aanvallen of drugs kunt bestellen. Die sites hebben soms een uitstekend functionerende helpdesk en ze geven ‘niet goed, geld terug’-garantie. Heel betrouwbaar allemaal.

De meesten van ons hebben toch een ander beeld bij de betekenis van ‘betrouwbaar’. Er bestaat kennelijk zoiets als positieve en negatieve betrouwbaarheid. Google levert bij zoeken op ‘negatieve betrouwbaarheid’ naast enkele wetenschappelijke hits vooral resultaten waarbij met die term eigenlijk ‘onbetrouwbaar’ wordt bedoeld, maar dat is dus niet wat ik bedoel. Ik heb het over voorspelbaar ongewenst gedrag.

Doorgaans zitten we niet te wachten op negatieve betrouwbaarheid. We willen een betrouwbare auto, betrouwbare mensen om ons heen en natuurlijk ook betrouwbare ICT. ICT bestaat niet alleen uit hard- en software – waarvan we allang weten dat die, alleen al door hun omvang en complexiteit, inherent onbetrouwbaar zijn – maar ook uit processen voor de totstandkoming van die ICT. Die processen kennen ook een zekere mate van betrouwbaarheid. Een van de aspecten van betrouwbaarheid is veiligheid. Je kunt de veiligheid van ICT-producten verhogen door de betrouwbaarheid van de processen te verhogen.

Hoe? Door te beginnen met beleid dat gericht is op het maken van veilige producten. Daar staat dan bijvoorbeeld in dat security by design een uitgangspunt is. En dat risicoanalyses vanzelfsprekend zijn, evenals attack & penetration tests voor ICT die aan de grote boze buitenwereld hangt. Om het geen dood beleid te laten zijn heb je natuurlijk wel commitment van het management nodig, al was het alleen maar omdat deze zaken nu eenmaal tijd en geld kosten. Het management moet dat beleid uitdragen, zodat de gehele organisatie ervan doordrongen wordt wat the tone at the top is en zich daar ook naar gedraagt.

Maar je bent als informatiebeveiliger nog lang niet klaar als je beleid hebt geschreven, dat door het management hebt laten accorderen en daar een berichtje over hebt gepubliceerd op het intranet. Nee, nu begint het echte werk pas: trek de organisatie in en help teams met het – vanuit beveiligingsoptiek – op orde krijgen of verder verbeteren van hun processen. Als je de juiste mensen weet te vinden, zul je vaak zien dat die er niet alleen het nut van inzien, maar dat ze het ook nog leuk gaan vinden. Ze snappen dat informatiebeveiliging geen doel is, maar een middel om tot betere – want betrouwbaardere – ICT te komen.

Wij van beveiliging zijn geen vervaarlijke ijsberen, maar vriendelijke teddyberen. We schuiven graag bij je aan om je te helpen met het verbeteren van de betrouwbaarheid van je processen en producten.