Hij was zzp’er en had een administratiekantoor met een kleine
tweehonderd klanten. Van elke klant had hij een dossiertje in de vorm van een
Word-bestand. Ieder bestand bevatte een inlogcode. Voor DigiD. Hij sprak de
vraag niet uit, maar zijn ogen vroegen: doe ik dat goed zo?
Tja, waar moet je dan beginnen? Nee, natuurlijk doe je het zo niet goed,
maar dat wist je zelf eigenlijk ook
al. Ik kende de man niet, kon dus ook niet goed inschatten welke toon ik moest
aanslaan en welk deuntje ik moest spelen. In ieder geval eerst maar iets van
“oei!” en dat hij dat toch echt anders zou moeten doen, omdat hij wel naar zijn
eigen bedrijf zou kunnen fluiten als hij gehackt zou worden – en dat zou wel
eens tamelijk gemakkelijk kunnen zijn, schatte ik zo in.
Een password manager leek me wel een goed idee voor deze meneer. Helaas
gaf hij geen blijk van herkenning. Ik legde uit dat een password manager een
programma is waarmee je op een veilige manier wachtwoorden kunt opslaan en dat
je dan zelf maar één wachtwoord hoefde te onthouden, namelijk het wachtwoord om
toegang tot de password manager te krijgen. Hij bleef me glazig aankijken.
Oké, ik mocht dus niet aan zijn werkwijze tornen, begreep ik. Dan maar
deze suggestie: beveilig elk Word-document met een wachtwoord. Dan is het
versleuteld en dus niet te lezen als iemand het bestand “vindt”. Of elk bestand
dan een ander wachtwoord moest hebben, vroeg hij. Die vraag gaf me in ieder
geval het gevoel dat hij nu wel begreep waar ik het over had, dat moest ik
vasthouden. Ik ontraadde hem verschillende wachtwoorden te gebruiken, want dat
zou weer een lijstje van wachtwoorden opleveren … in een Word-bestand, zo
vreesde ik. Nee, dan maar liever hetzelfde – sterke – wachtwoord op alle
bestanden en dat op een veilige offline plek bewaren (een briefje in een geldkistje
of zo).
Bij een grote organisatie kom je gemakkelijker aan mensen en middelen om
informatiebeveiliging goed in te richten. Bij een klein bedrijf – en al
helemaal bij een eenmanszaak – lijkt me dat schier onbegonnen werk. Ik heb daar
geen persoonlijke ervaring mee, maar ik denk dat de meeste eenpitters hun
handen al vol hebben aan het draaiend houden van hun bedrijf – vaak trouwens
omdat ze het zo ontzettend druk hebben, zoals in de bouw. Daarnaast is de kans
groot dat ze niemand in hun omgeving hebben die hen op het belang van
informatiebeveiliging wijst en dat ze er zelf ook niet aan denken. Pas als de
pc stuk gaat komen ze in aanraking met de B in BIV: beschikbaarheid. Als
het klantenbestand en de financiële administratie opeens foetsie zijn, dan heb
je toch echt een probleem. Bij de Word-bestanden van onze man hierboven draait
het in eerste instantie om de vertrouwelijkheid van die bestanden en
uiteindelijk ook om de integriteit van de gegevens van de klant.
De Kamer van Koophandel ziet deze problematiek ook en heeft daarom de
webpagina ‘Een digitaal veilig bedrijf’* gemaakt, gericht op zzp’ers en het
mkb. Daar staan heel basale tips, zoals: stel automatische updates in, maak
backups en installeer beveiligingssoftware. ‘Basaal’ bedoel ik hier
allesbehalve denigrerend; de natuurkundeles op de middelbare school begint ook
niet meteen met de relativiteitstheorie. Je moet eerst een basis leggen door
zaken als krachten, golven en energie uit te leggen. Ergens in de hogere
klassen kun je dan voorzichtig beginnen over
E = mc2. En zo werkt het overal, dus ook in de informatiebeveiliging.
E = mc2. En zo werkt het overal, dus ook in de informatiebeveiliging.
De charmantste tip van de KvK vind ik deze: blijf ademhalen. Laat je
niet bang maken, zeggen ze, maar werk wel
constant aan je digitale veiligheid. En geniet in de tussentijd van de
voordelen van digitalisering en internet. Ergens vind je uiteindelijk de balans
tussen risicobeheersing en gebruiksgemak. Trouwens, de meeste tips van de KvK
zijn ook prima te gebruiken voor particulieren die beseffen dat ze eigenlijk iets moeten doen.
En in de grote boze buitenwereld …
... hoeft het mkb de Autoriteit Persoonsgegevens nog niet direct te
vrezen.
... maakten scammers misbruik van de situatie in de Thaise grot.
... heeft de nieuwste iOS-versie een feature die de iPhone moet
beschermen tegen nieuwsgierige opsporingsdiensten.
... blijkt die nieuwe iOS-bescherming een grote achterdeur te hebben.
... lekt een vliegmaatschappij op een knullige wijze passagiersgegevens.
... hebben nu ook de Nederlandse strijdkrachten last van de
positiebepaling van fitness-apps.
... legt de baas van DuckDuckGo uit hoe hij met zijn
privacy-vriendelijke zoekmachine toch geld verdient. (Hij praat ook over andere
zoekmachines, waarbij je natuurlijk moet bedenken dat hij niet objectief is.)
... bepaalt deze malware aan de hand van een aantal karakteristieken op
welke wijze ze jouw computer gaat uitbuiten.
... kun je natuurlijk ook een parkeergarage hacken.
... sturen afpersers nu een van je gestolen wachtwoorden mee in de mail
om je ervan te overtuigen dat ze over belastend materiaal beschikken.
... hoef je een datalek pas te melden... als er een datalek is.
... wordt het idee voor een digitale datakluis voor de burger weer van
stal gehaald.
Geen opmerkingen:
Een reactie posten