De volgende Security (b)log verschijnt op 7 december.
Daar ben je weer. Na de dagelijkse fietstocht aangekomen op kantoor. Je zet je fiets in het rek en wilt hem op slot doen. Maar je ringslot stuit op een spaak. Je moet het wiel even een zetje geven om het slot te kunnen sluiten. Herken je dit? En zit je, net als ik, soms zachtjes te foeteren omdat dit best vaak gebeurt? Vooral als je het wiel nóg iets verder moet draaien omdat je alwéér op een spaak zit?
Ik had al langere tijd het gevoel dat dit mij vaker overkomt dan statistisch verantwoord is. En dus heb ik uiteindelijk maar eens een paar meetinstrumenten en wat eenvoudige wiskunde ter hand genomen om uit te rekenen hoe vaak het zou mogen gebeuren. Reken je even mee? De plek waar mijn slot door het wiel gaat ligt op 28 cm van de as. Een cirkel met deze straal heeft een omtrek van 175,9 cm (2πr). De spaken van mijn achterwiel zijn gemiddeld 2,4 mm dik en daarvan zitten er 36 in het wiel. Als je alle spaken recht naast elkaar zou leggen, dan zou het rijtje spaken 8,64 cm breed zijn. Van de denkbeeldige cirkel waarop het slot zit, wordt dus 8,64/175,9 bezet door spaken. Dat is vijf honderdste. De rest – 95% – is lucht!
Klopt mijn gevoel dat het niet klopt dan inderdaad? Hoho, we zijn er nog niet. Bovenstaand rekensommetje houdt namelijk nog geen rekening met de dikte van de sluitpal van het slot. Die moeten we echter wel degelijk meenemen, want hij stuit lang niet altijd precies met het midden op een spaak. Hij kan ook ‘een beetje’ op de spaak terechtkomen, of nét met de zijkant. De sluitpal is 8,5 mm dik. Daardoor krijg je een ‘virtuele spaakdikte’ van 19,4 mm – de dikte van de spaak plus tweemaal de dikte van de sluitpal (de sluitpal kan zowel links als rechts ‘een beetje’ op de spaak terechtkomen). Leg je vervolgens deze dikke spaken naast elkaar, dan is dat rijtje 69,84 breed. En daardoor krijgen we een heel andere uitkomst dan hierboven: de kans dat je een spaak raakt is maar liefst twee vijfde. Het is dus statistisch echt wel verantwoord dat je gemiddeld (!) op twee werkdagen per week wat extra moeite moet doen als je je fiets stalt.
Als je risicoanalyses uitvoert, dan maak je ook vaak inschattingen. Hoe groot is bijvoorbeeld de dreiging van DDoS-aanvallen? De Nationale Beheerorganisatie Internet Providers heeft vorig jaar 826 DDoS-aanvallen waargenomen in Nederland. Het NCSC, dat met name de overheid en de vitale sectoren bedient, heeft rond de dertig incidenten van dit type geregistreerd. Dit soort cijfers kunnen je helpen bij het inschatten van de ernst van een dreiging voor de organisatie. Je kunt ze echter niet zomaar overnemen – organisaties met een grote publieke zichtbaarheid hebben doorgaans meer last van DDoS-aanvallen. Denk maar terug aan het voorjaar, toen diverse banken en de Belastingdienst enkele keren werden aangevallen.
Nog een voorbeeld: phishing. Er bestaat een club die wereldwijd phishingcampagnes in beeld brengt, de Anti- Phishing Working Group. De APWG heeft in de eerste helft van dit jaar ruim een half miljoen unieke campagnes geregistreerd (als jij en ik dezelfde phishingmail ontvangen, dan is dat dezelfde campagne en tellen we samen, met alle andere ontvangers van die mail, één keer mee). Het NCSC heeft vorig jaar rond de negentig gevallen geregistreerd bij zijn achterban. Phishing is dus een redelijk grote dreiging. Maar er zijn twee smaken. ‘Gewone’ phishing, waar je privé regelmatig mee geconfronteerd wordt, is als schieten met hagel. Daarentegen richt spear phishing zich op uitverkoren individuen in bedrijven, bijvoorbeeld mensen met hoge computerrechten (beheerders) of medewerkers die bij de bankrekening kunnen.
Met risicoanalyses brengen we in beeld hoe kwetsbaar een systeem of dienst is voor bepaalde aanvallen. Kwalitatieve analyses drukken die kwetsbaarheid uit in de termen laag, midden en hoog (eventueel met ‘zeer’ opgerekt tot een vijfpuntsschaal). Omdat dat soms best lastig is, en omdat we ons gemakkelijk vergissen in de kans dat het fietsslot niet dicht wil, kan het geen kwaad om je ook bij kwantitatieve risicoanalyses te spiegelen aan beschikbare cijfers. Als je daar vervolgens met een goede reden van afwijkt, dan heb je een bewuste afweging gemaakt. En dat is precies waar risicomanagement om draait.
En in de grote boze buitenwereld …
... lekt data van Nederlandse ambtenaren via Microsoft Office naar de VS. Microsoft moet het product nu aanpassen.
... is niet de mens de zwakste schakel in cybersecurity, maar de infrastructuur.
... heb je niks aan geheime beveiligingsvragen als een fout antwoord ook goed wordt gerekend.
... zorgt een ‘slim voordeurslot’ ervoor dat de boodschappen in je koelkast worden gelegd terwijl je niet thuis bent. Ach, wat zou er fout kunnen gaan...?
... stelt de Amerikaanse digitale-burgerrechtenbeweging EFF gratis het boek The end of trust ter beschikking, met essays over technologie, privacy en surveillance. Je hoeft geen gegevens in te vullen om het boek te downloaden.
... heeft ook Australië last van Chinese staatshackers.
... kun je natuurlijk ook het dark web hacken. (Met heldere uitleg over surface web, deep web, dark web en Tor.)
... wordt hier het wachtwoordloze internet aangekondigd.
... kan falende beveiliging een ramp veroorzaken.
... legt het Openbaar Ministerie uit hoe responsible disclosure werkt en wat de regels zijn.
... moet er dringend regelgeving voor IoT-spullen komen.
... ging Google even op zwart nadat hun internetverkeer per abuis via China werd gerouteerd.
... is het in bepaalde gevallen verdedigbaar dat een webwinkel om je geboortedatum vraagt.
... moesten twee Pathé-directeuren het veld ruimen nadat zij zich voor negentien miljoen hadden laten oplichten met valse e-mails. Een mooi voorbeeld van de werking van CEO-fraude.
Geen opmerkingen:
Een reactie posten