“Je wilt tijdens de pauze van een bijeenkomst in een conferentiecentrum
je e-mails beantwoorden. Maak je gebruik van hun openbare wifi-netwerk?” Dit
staat op één van de kaartjes van het spel Allemaal
Veilig Digitaal dat we gelanceerd hebben in het kader van de gelijknamige
awareness-campagne. Awareness? Je hoort informatiebeveiligers wel vaker praten
over wat we in goed Nederlands bewustwording (eigenlijk: bewustzijn) noemen, nietwaar? Ik heb het op
deze plek al eens eerder gezegd: zolang de techniek niet in staat is om ons
volledig te beschermen tegen alle kwade cyberinvloeden, zijn wij – de
gebruikers – tegen wil en dank een belangrijke schakel in de keten. Dat is de
reden waarom we van tijd tot tijd een awareness-campagne voeren en we ons liefst
permanent tot de gebruiker richten (al is het maar met een wekelijkse blog).
Het doel van het spel, dat overigens slechts één van de onderdelen van
de campagne vormt, is dat medewerkers met elkaar in gesprek gaan. Er zijn geen
goede en foute antwoorden. Neem nou het voorbeeld uit de openingszin. Als je
zegt: “Nee, ik maak geen gebruik van openbare wifi-netwerken”, dan is dat een
prima uitgangspunt. Als je namelijk geen maatregelen treft, dan kunnen “ze”
alles zien wat je doet – sites die je bezoekt, je e-mail enzovoorts.
Met onze zakelijke laptops kun je echter wél veilig gebruikmaken van
openbare wifi-netwerken. De verbinding naar kantoor – en daarmee ook je
internetverbinding – is namelijk goed beveiligd. Door versleuteling van alles
wat over de lijn gaat, kan niemand je afluisteren. Voor mobiele apparaten
(smartphones en tablets) geldt deze bescherming alleen voor de door de door de
werkgever verstrekte apps, omdat die onder ons mobile device management vallen.
Tegenwoordig mag je bij ons ook gebruikmaken van een hotspot op je
smartphone om een verbinding voor je laptop te maken. Daarmee heb je altijd je
eigen wifi-netwerk op zak. Zodra de laptop verbonden is met je hotspot, maak je
gebruik van de veilige mobiele dataverbinding van je telefoon. Deze werkwijze
geniet (om technische redenen) vooral de voorkeur boven openbare netwerken die
met een captive portal werken. Je
herkent zo’n netwerk eraan dat je via een webpagina moet inloggen of op z’n
minst akkoord moet geven, zoals in de trein of in hotels.
Onze organisatie beschikt over nogal wat gevoelige gegevens. Met de
komst van de Algemene Verordening Gegevensbescherming (AVG) moeten we aan nóg
strengere regels voldoen. Die wetgeving is best ingewikkeld – ik volg momenteel
een privacy-cursus die over acht middagen is uitgesmeerd en daarnaast nog de
nodige uren aan huiswerk vergt. Maar zoals bij zoveel wetten is er een
eenvoudig hulpmiddel: je gezond verstand. De meeste mensen in onze samenleving
hebben een aardige antenne voor wat wel en niet goed is. Bij sommige mensen
moet je die antenne wel eerst uitschuiven, en dat is precies wat we doen als we
met awareness bezig zijn. Soms moet de antenne ook nog wat beter gericht
worden. Zo wordt met name de AVG nog wel eens onterecht gebruikt als argument
om bepaalde dingen niet te doen, terwijl de wet je in werkelijkheid geen
strobreed in de weg legt of hooguit bepaalde voorwaarden stelt.
Vanwege al die uitgeschoven en gelijkgerichte antennes durven we de wat
tegendraadse stelling aan dat de mens een sterke schakel is in de
cybersecurityketen. We máken de mens een sterke schakel. Dat dit werkt, merk ik
bijvoorbeeld op het terrein van phishing. Collega’s zijn keurig achterdochtig
en vragen, soms nog wat aarzelend: “Dit mailtje, dat klopt toch niet hè?” En
dan is het helemaal niet erg als daar ook eens een keer een mailtje bij zit waarmee
niets mis is. Ook daar leer je van.
Soms roest een ketting een beetje. We blijven dan vasthangen in oude gewoontes.
Zo was het tijdens de opkomst van het thuiswerken gebruikelijk om dat met je
eigen computer te doen. En ja, dan mailde je ook wel eens wat bestanden naar en
van je privéadres. Dat doen we nu dus niet meer. Iedereen heeft een laptop en
als je een dag thuis wilt werken, dan neem je die mee. Door die laptop is er
geen noodzaak meer om bestanden te mailen en je privécomputer te gebruiken.
Zodra je je dat realiseert, ben je weer een sterke schakel.
Zie de site van Alert Online
(https://www.alertonline.nl)
voor meer informatie over de campagne.
En in de grote boze buitenwereld …
... zal je niet ontgaan zijn dat de MIVD een stel Russen heeft betrapt
op digitale spionage.
·
Verslag van de MIVD: https://www.defensie.nl/onderwerpen/militaire-inlichtingen-en-veiligheid/nieuws/2018/10/04/mivd-verstoort-russische-cyberoperatie-bij-de-organisatie-voor-het-verbod-op-chemische-wapens
·
Internationaal perspectief: https://edition.cnn.com/2018/10/04/europe/netherlands-russia-gru-intl/index.html
... heeft een onderzoeker een verbeterde aanval op WPA2, de meestgebruikte
wifi-beveiliging, ontwikkeld. Mogelijk wilden de Russen ook gebruik maken van
zwaktes in WPA2.
... zijn de Russen ook actief geweest in België.
... heet phishing-via-de-telefoon ook wel vishing (met de v van voice) en soms is dat volledig
geautomatiseerd.
... maakt Facebook misbruik van gegevens die gebruikers voor
beveiligingsdoeleinden hebben gegeven.
... is Facebook daarnaast ook nog gehackt. Ook het “ inloggen met
Facebook” wordt daardoor geraakt.
... moet je het wachtwoord van je telefoon of laptop aan de grens afstaan
aan de Nieuw-Zeelandse douane (als ze gegronde redenen hebben om je apparaten
te onderzoeken). Niet meewerken kan je zo’n 2800 euro kosten, en ze nemen je
toestel in beslag.
... zit er een foutje in het programma dat bedrijven gebruiken om
Apple-apparatuur uit te rollen.
... pleit de minister van Justitie en Veiligheid voor het beter
beveiligen van je digitale voordeur.
... roept de staatssecretaris van Economische Zaken
informatiebeveiligers op om eens wat vaker door de bril van de gewone gebruiker
te kijken.
... zijn in Nederland duizenden onveilige IoT-apparaten actief. Dat is
trouwens niet vreemd, want er bestaan amper veilige IoT-devices.
... is deze tv een mooi voorbeeld van zo’n onveilig IoT-apparaat. En dan
heb je in dit geval nog het geluk dat er een patch komt.
https://www.security.nl/posting/580615/Sony+dicht+ernstig+beveiligingslek+in+Bravia+smart-televisies
... moet je toch nog eens even overdenken of je die goedkope Chinese
smartphone echt wilt hebben.
Geen opmerkingen:
Een reactie posten