Security (b)log: maart 2019

vrijdag 29 maart 2019

Social engineering - de praktijk

Mijn lezing bij Studievereniging Realtime in Groningen duurde anderhalf uur, vandaar ook dat ik de blog over die lezing in tweeën moest knippen. Vorige week kon je lezen over de theorie achter social engineering. Deze week ga ik het, zoals beloofd, over de praktijk hebben. Dat wordt nog smeuïger!

Een social engineer komt graag goed beslagen ten ijs. Hij zoekt allerlei aangrijpingspunten als hij jou informatie wil ontfutselen of jou dingen wil laten doen, want hij wil zo vertrouwd mogelijk overkomen – jij wist het nog niet, maar hij is je vriend. Hoe komt hij te weten wie jij bent, hoe jouw sociale en werkomgeving eruitzien, wat je hobby’s zijn? Nou, wat denk je? Sociale media natuurlijk! Je hebt nog nooit op het marktplein van je woonplaats gestaan om publiekelijk je doopceel te lichten voor de verzamelde burgerij, maar de kans is groot dat Facebook, LinkedIn, Instagram en Twitter zo’n beetje alles van je weten wat van belang is voor social engineers. Dit filmpje van de Belgische financiële sector brengt heel mooi in beeld hoe handig ze daar gebruik van kunnen maken.

Phishing is de bij het brede publiek best bekende verschijningsvorm van social engineering. We kennen allemaal de mailtjes die je ertoe willen bewegen op een link te klikken of een bijlage te openen. Zo’n bijlage zorgt ervoor dat malware op je computer wordt geïnstalleerd, waarmee de crimineel zich verder toegang tot je systeem verschaft of met je mee kan kijken – en zo bijvoorbeeld de inlogcodes voor je bankrekening in handen. Bevat de phishingmail een link, dan kom je vaak op de nepsite van een bekend bedrijf terecht waar je wordt gevraagd om allerlei gegevens in te vullen. Of er wordt malware geïnstalleerd.

Bij bulk phishing schiet de crimineel met hagel: hij verstuurt heel veel mailtjes in de hoop dat een paar willekeurige mensen zullen toehappen. Spear phishing daarentegen richt zich op zorgvuldig geselecteerde, specifieke personen in een organisatie (met dank aan de sociale media). Een specifieke vorm van spear phishing is CEO-fraude, waarbij de crimineel zich voordoet als de hoge manager van een organisatie en in een dringend, dwingend mailtje aan iemand van de financiële administratie opdracht geeft om een flink bedrag over te maken naar een buitenlandse bankrekening. Dit werkt goed bij grote organisaties, waar de afstand tussen administratie en de directie groot is en de administrateur het niet in z’n hoofd haalt om de opdracht in twijfel te trekken en te verifiëren. Op deze manier verloor de Belgische Crelan-bank in 2015 zeventig miljoen euro, de Amerikaanse speelgoedfabrikant Mattel ging een jaar later voor drie miljoen dollar het schip in en onze eigen Pathé-bioscopen moesten vorig jaar negentien miljoen euro aftikken. Telkens door één mailtje.

Je moet dus goed uit je doppen kijken als je mailtjes krijgt waarin je gevraagd wordt om iets te doen. Check vooraf waar een link je naar toe wil brengen. Op een pc laat je de muiscursor boven de link zweven (zonder te klikken), dan zie je onderin de statusbalk van je browser het adres. Ziet dat er ‘raar’ uit, dan is dat een flinke rode vlag. Op een mobiel apparaat druk je lang op de link om het adres in beeld te krijgen. Maar er zijn geniepigere trucs. Zie je verschil tussen google.com en googIe.com? Wel als ik de zin naar een ander lettertype kopieer: Zie je verschil tussen google.com en googIe.com? In schreefloze lettertypes zien de kleine letter L en de hoofdletter i er hetzelfde uit. De cybercrimineel registreert het domein googie.com en stuurt jou een link die je leest als google.com. En dan zijn er nog de homogliefen: letters uit andere schriftsoorten die op ons Latijnse schrift lijken. Een Cyrillische a ziet er bijvoorbeeld hetzelfde uit als zijn Latijnse collega, maar wordt door computers anders gecodeerd, waardoor het domein niet is wat je denkt.

Impersonatie is een heel andere vorm van social engineering. Een meester in dit vak uit de vorige eeuw is Frank Abagnale jr., die in zijn boek Catch me if you can uit de doeken doet hoe hij zich in de rollen van piloot en kinderarts wist te manoeuvreren. Het boek is ook verfilmd (trailer).

Europol schreef vorig jaar september in een rapport dat social engineering groeit, met phishing als voornaamste verschijningsvorm. Vooral West-Afrikaanse fraudeurs gaan een grotere rol in de EU spelen, omdat hun internetgebruik het snelst groeit. En nu we het toch over Afrika hebben: als je tien minuten over hebt, bekijk dan deze TED-talk van James Veitch, die heeft gedaan wat we stiekem allemaal wel zouden willen doen: hij heeft een mailtje van de spreekwoordelijke Afrikaanse prins beantwoord. Informatiebeveiliging als amusement – het kan!

En in de grote boze buitenwereld …

... kun je je natuurlijk ook voordoen als een Franse minister.

https://www.destentor.nl/buitenland/oplichter-doet-zich-voor-als-franse-minister-om-8-miljoen-euro-te-stelen~ac66a2c3/

... moeten we ons beschermen tegen cryptobankrovers.

https://www.helpnetsecurity.com/2019/03/29/crypto-hacks/

... is het verstandig om goed na te denken over de configuratie van Office 365.

https://www.ncsc.gov.uk/blog-post/securing-office-365-with-better-configuration

... plaatsen websites van de rijksoverheid graag cookies op je computer.

https://www.volkskrant.nl/nieuws-achtergrond/overheidssites-scheppen-verwarring-met-cookies-van-google-analytics~bfb26054/

... is de kwantumcomputer dichterbij dan we denken. En daarom moeten we nu al werken aan de beveiligingsissues die dit met zich meebrengt.

https://www.darkreading.com/vulnerabilities---threats/quantum-computing-and-code-breaking/a/d-id/1334251

... kleven er nadelen aan de Europese auteursrechtenrichtlijn.

... staan we nog maar aan het begin van de cyberwapenwedloop.

https://www.darkreading.com/vulnerabilities---threats/inside-cyber-battlefields-the-newest-domain-of-war/d/d-id/1334272

... manen producenten en beveiligers je om je software steeds te updaten, maar wat als het updatemechanisme zélf als aanvalsvector wordt gebruikt, zoals nu bij Asus het geval is?

https://motherboard.vice.com/en_us/article/pan9wn/hackers-hijacked-asus-software-updates-to-install-backdoors-on-thousands-of-computers

... kun je er natuurlijk op wachten dat je gehackt wordt als je wachtwoorden laat rondslingeren.

https://techcrunch.com/2019/03/27/asus-hacking-risk/

... is er een tool om te controleren of jouw computer is geraakt door de Asus-hack.
https://www.wired.com/story/asus-software-update-hack

... lijkt er bij bedrijven meer vraag te komen naar veilige IoT-spulletjes.

https://www.helpnetsecurity.com/2019/03/28/iot-executives-security-concerns/

... is Neerlands trots niet goed beveiligd tegen cyberaanvallen.

https://www.nu.nl/internet/5814282/rekenkamer-waterwerken-niet-goed-beveiligd-tegen-cyberaanvallen.html

... hebben nogal wat mensen de toegang tot hun Twitter-account verloren door ... eh ... domheid?

https://www.grahamcluley.com/a-psa-for-twits-on-twitter/

... is deze post op Twitter pas echt dom.

https://mobile.twitter.com/MyTweetsAreAss/status/1108841255428067337

... heeft Microsoft via de rechter bijna honderd kwaadaardige websites in handen gekregen.

https://www.nu.nl/internet/5813370/microsoft-krijgt-controle-over-99-aan-iraanse-hackers-gelinkte-websites.html

vrijdag 22 maart 2019

Social engineering - de theorie

De Groningse studievereniging Realtime had gevraagd of ik een lezing over social engineering zou willen geven. Altijd leuk om te doen en ook altijd leuk om te peilen wat er onder studenten leeft, dus ja, met alle plezier! En zo toog ik aan het einde van de middag naar het verre noorden, want de lezing zou ’s avonds plaatsvinden. Mooi dat ondanks dat tijdstip én een wiskundetentamen op de dag erna toch een volle zaal op de lezing afkwam. Maar voordat ik van start ging, wilde ik wel zeker weten dat niemand zich in het onderwerp had vergist en hoopte dat het een datingavond voor techneuten zou worden. Iedereen bleef keurig zitten.

Nu ben ik zelf geen social engineer, maar ik kan natuurlijk wel vertellen wat die lui doen, hoe ze het doen en wat hen bezielt. Ik begin dit soort verhalen altijd graag met een theoretische onderbouwing, we zijn per slot van rekening onder studenten hè. Dat begint dan simpel met de Dikke Van Dale en Wikipedia. Maar ja, de Dikke noemt social engineering een eufemisme en Wikipedia houdt het op “computerkrakers” die computersystemen aanvallen via “de zwakste schakel in de computerbeveiliging, namelijk de mens”. Dat staat haaks op de mantra van onze CIO, die stug volhoudt dat de mens juist de stérkste schakel is. Die uitspraak moet je zien in het licht van het weerbaar maken van de mens, hem de juiste kennis en middelen geven om zich te verdedigen.

Zelf zou ik als volgt uitleggen wat een social engineer doet: hij wil iemand iets laten zeggen of doen, zonder dat diegene in de gaten heeft dat hij iets zegt of doet, wat hij helemaal niet mag of wil zeggen of doen. Zijn ultieme doel is het vergaren van informatie om daar munt uit te slaan. Dat kan ermee beginnen dat hij op slinkse wijze een kantoorpand weet binnen te dringen, bijvoorbeeld door met een grote doos aan te komen lopen en erop te vertrouwen dat iemand de deur voor hem openhoudt. Eenmaal binnen gaat hij op zoek naar een werkplek die niet vergrendeld is of naar een netwerkaansluiting waar hij zijn eigen laptop op aansluit. Vaak hoeft de social engineer echter helemaal niet fysiek op locatie aanwezig te zijn. Hij kan zich ook bedienen van technische foefjes, zoals phishing.

Maar eerst nog even terug naar de theorie. Hoe krijgt de social engineer zijn beoogde slachtoffers zo ver dat ze doen wat hij wil? Daarvoor grijpen we terug op de zes beïnvloedingsprincipes van Robert Cialdini (Tsjaldini), emeritus hoogleraar Psychology & Marketing aan de universiteiten van Arizona en Stanford. In 1984 beschreef hij in zijn boek Influence: The psychology of persuation volgens welke principes mensen kunnen worden beïnvloed. Voor de social engineer zijn twee daarvan het belangrijkst: autoriteit en schaarste. Mensen zijn geneigd om iemand die autoriteit uitstraalt te gehoorzamen. Die uitstraling kan fysiek zijn – bijvoorbeeld door een uniform te dragen – of mentaal: ik ben jouw baas (of: ik ben jou de baas). Het creëren van schaarste kom je wel tegen in phishing mail: je krijgt een geweldige aanbieding en die is slechts één dag geldig, en op = op. Zo word je ertoe verleid om niet te lang erover na te denken maar snel op een link te klikken.

De studenten waren mij te slim af toen ik een trucje van Ian Mann wilde toepassen. In zijn boek Hacking the human vertelt hij dat de mens gemakkelijk instructies opvolgt. Om dat te demonstreren liep hij tijdens een lezing de zaal in en verzon dat er in de aankondiging iets zou hebben gestaan over hypnotiseren. Hij stelde zijn gehoor gerust: “Ik ga u niet hypnotiseren hoor, maar wilt u wel even allemaal opstaan?” Toen iedereen stond, liep hij terug naar het podium en zei triomfantelijk: “Zie je wel hoe gemakkelijk de mens instructies opvolgt?” Toen ik dit in mijn eigen lezing vertelde, zei ik vóór die laatste zin: “Gaan jullie trouwens ook maar even staan.” Iedereen bleef zitten. Ze hadden me door.

Mann zegt ook dat uitzicht op een beloning goedgelovig maakt. Daarop is de 419-scam gestoeld, waarbij een Afrikaanse prins je een ruime beloning in het vooruitzicht stelt als je hem helpt om een paar miljoen van een geblokkeerde bankrekening vrij te maken of iets dergelijks (er zijn ook varianten met goud en erfenissen). Natuurlijk vraag je je af hoe dit kan en waarom die prins uitgerekend bij jou uitkomt. Maar door die beloofde beloning zijn er altijd weer mensen (ook nu nog) die erin tuinen. Want als je hieraan meedoet, dan krijg je op een gegeven moment het verzoek om een bepaald bedrag over te maken dat nodig is om dat geld vrij te maken. Uiteraard zie je dat geld nooit meer terug, laat staan die vette beloning. 419 is trouwens het fraude-artikel in het Nigeriaanse Wetboek van Strafrecht.

Dit was nog maar de theorie, terwijl deze blog al bovengemiddeld lang is geworden. Weet je wat? Ik knip hem gewoon in tweeën. Volgende week dus het vervolg. Dan kijken we naar de praktijk, en hoe je jezelf kunt beschermen tegen de technische trukendoos van social engineers.

En in de grote boze buitenwereld …

... schrijven natuurlijk ook anderen over social engineering.

https://computerworld.nl/security/109749-social-engineering-plus-gerichte-phishing---winst

... heeft de politie verdachten van CEO-fraude aangehouden. Onder andere in Groningen...

https://www.politie.nl/nieuws/2019/maart/19/01-nepwebsites-offline-gehaald-in-onderzoek-cybercrime.html

... verloren Google en Facebook een flink bedrag aan een crimineel die zich voordeed als hardware-leverancier.

https://www.tripwire.com/state-of-security/featured/google-and-facebook-scammed-out-of-123-million-by-man-posing-as-hardware-vendor/

... raken Amerikaanse studenten via phishing hun studiefinanciering kwijt.

https://www.security.nl/posting/602145/FBI+waarschuwt+voor+phishingaanvallen+tegen+studenten

... had Facebook wachtwoorden onversleuteld opgeslagen. Maar er is niets aan de hand, zeggen ze. En ook: het betreft “some passwords”, maar ze gaan wel honderden miljoenen gebruikers hierover inlichten.

https://newsroom.fb.com/news/2019/03/keeping-passwords-secure/

... is onafhankelijke berichtgeving in dit soort gevallen altijd handig.

https://krebsonsecurity.com/2019/03/facebook-stored-hundreds-of-millions-of-user-passwords-in-plain-text-for-years/

... zijn bij Myspace alle bestanden verloren gegaan die gebruikers er tussen 2003 en 2015 op hebben gezet. Door een fout tijdens een servermigratie.

https://boingboing.net/2019/03/17/facebook-is-next.html

... bevat Google Play veel onveilige virusscanners.

https://hotforsecurity.bitdefender.com/blog/google-play-is-flooded-with-hundreds-of-unsafe-anti-virus-products-20976.html

... zijn er nog wel meer Android-apps die niet deugen.

https://lifehacker.com/delete-these-malware-laden-apps-from-your-android-right-1833293923

... bouwt DARPA aan een veilig systeem om te stemmen. Open source, en daardoor straks voor iedereen gratis te gebruiken.

https://motherboard.vice.com/en_us/article/yw84q7/darpa-is-building-a-dollar10-million-open-source-secure-voting-system

... vallen zakelijke appjes op het privétoestel van ambtenaren onder de Wob.

https://www.security.nl/posting/602364/Zakelijke+appjes+op+privételefoon+ambtenaar+vallen+onder+Wob

... komen niet alle helpdesk-scammers uit India.

https://www.justice.gov/usao-wdnc/pr/north-carolina-man-pleads-guilty-his-role-international-tech-support-scam

vrijdag 15 maart 2019

Mijn Libelle - mijn identiteit

Thuis op de wc staat een mandje met wat leesvoer, waarschijnlijk voor als iemand eens zonder telefoon komt te zitten. De bescheiden collectie bestaat uit oude, van kennissen gekregen nummers van de Libelle, de Margriet en het Vaalser Weekblad. Zoiets maakt natuurlijk toch nieuwsgierig en daarom nam ik laatst een exemplaar van de Libelle ter hand. Januari 2018. Jan, Jans en de kinderen was leuk, maar te kort. Dat bracht mij helemaal naar de voorkant, waar mijn aandacht werd getrokken door de titel van het hoofdredactionele artikel: geskimd. Hè? Dat woord verwacht ik niet in dit damesblad, want, zo zeggen ze zelf, ze berichten over “human interest, toerisme, culinair, mode, wonen en nog veel meer” (waarbij dat “nog veel meer” doorgaans toch wel dicht tegen de andere onderwerpen aan zal zitten). Maar wat bleek: de hoofdredacteur was een paar jaar eerder zelf geskimd (bankpas gekopieerd en pincode afgekeken). In haar stukje maakt ze al snel de overstap naar phishing en identiteitsfraude. Genoeg reden voor een uitgebreid artikel op pagina 70!

Ik vind het geweldig dat zo’n blad uit z’n comfort zone treedt en onder de titel Foute boel maar liefst zes pagina’s besteedt aan het onderwerp identiteitsfraude (dat is ruim vijf procent van de totale omvang van het blad). Maar ik vraag me af hoe zo’n artikel valt bij de lezeressen. Ze gebruiken overigens zelf de vrouwelijke vorm, niet dat jullie denken dat ik hier ga betogen dat vrouwen dat toch niet snappen of zo. Een dergelijk artikel zou ik ook niet gauw verwachten in bepaalde bladen die zich primair op mannen richten. Maar goed, ik vond het voor dit blad al een spannend onderwerp voordat ik het artikel had gelezen en dat gevoel werd alleen maar sterker naar gelang ik verder vorderde met lezen.

De journaliste die het artikel schreef is te rade gegaan bij Maria Genova, “deskundige tegen wil en dank en schrijfster van het boek Komt een vrouw bij de hacker”. Ik heb haar wel eens zien optreden; ze klinkt zo charmant als haar naam doet vermoeden maar veel belangrijker is natuurlijk dat ze ook echt een goed verhaal heeft dat mensen aanspreekt en enthousiasmeert. In dat artikel komt dat helaas veel minder goed uit de verf.

Aan het begin van een artikel moet je de lezers nieuwsgierig maken. De journaliste begint echter met: “Identiteitsfraude, het woord alleen al is zo taai en saai dat ik doorgaans acuut afhaak als ik er iets over lees”, en vervolgt dan met de opmerking dat termen als malware, phishing en bots veel te ingewikkeld zijn. Tja, hoe hard wil je je lezers wegpesten? Bent u er nog? Dan geeft ze je de genadeklap met de opmerking dat ze een deugdelijke virusscanner en firewall heeft en voor de rest de kop in het zand steekt. “Wel zo gemakkelijk.”

Een gemiste kans, want zodra Maria Genova aan het woord is kun je veel leren. Ze heeft het over zwakke wachtwoorden en het wegklikken van updates op je mobiel, en dat dat analoog is aan het open laten staan van ramen en deuren als je weggaat. Het artikel zoomt in op identiteitsfraude en geeft voorbeelden van wat er allemaal kan gebeuren: auto’s die op jouw naam staan, geld dat van je rekening verdwijnt omdat iemand uit jouw naam online shopt of telefoonabonnementen afsluit, nieuwe bankrekeningen en creditcards die op jouw naam staan, een namens jou gehuurd pand waarin een wietplantage is gehuisvest.

En kom dan maar eens van alle ellende af. In Genovas boek staat het verhaal van iemand die een rekening van 13 duizend euro ontving voor een maand bellen. Zijn gestolen ID-bewijs was genoeg om telefoonabonnementen, leningen en allerlei bestellingen mogelijk te maken. Hij staat nu te boek als wanbetaler en kan daardoor geen huis kopen. De boodschap is duidelijk: voorkomen is beter dan genezen. Zo adviseert Genova om geen kopie van je paspoort op je computer te bewaren (en dat bestand dan ook nog ‘kopie paspoort’ te noemen). “Criminelen scannen daarop in je computer.” Oe, jammer, daar komt de FUD-factor weer: fear, uncertainty and doubt. Moet de lezeres nu denken dat criminelen sowieso al in haar computer zitten? En wat te denken van dit zinnetje: “Zo kan een hacker binnen vijf minuten in alle medische systemen komen.” Onzin, want veel te algemeen gesteld. Ja, er bestaan slecht beveiligde systemen en áls criminelen toegang tot jouw computer hebben zullen ze vast wel eens op zoek gaan naar een kopietje paspoort, maar dit is angstzaaierij.

Toch nog even een paar goede tips uit het artikel. Kijk uit voor valse vacatures, die gebruikt worden om identiteitsgegevens te phishen. Laat niet overal (kopieën van) je paspoort, ID-kaart of rijbewijs achter (al is dat soms moeilijk, ik schreef daar eerder over). Het nut van een wachtwoordmanager wordt in een kader bij het artikel uitgelegd. Wees zuinig op je DigiD, want daar kan een kwaadwillende veel onheil mee aanrichten. Doe aangifte als je identiteit gestolen blijkt te zijn; als de politie niet thuis geeft (“Veel agenten weten er te weinig van af”), dan kun je aankloppen bij het Centraal Meldpunt Identiteitsfraude en -fouten (CMI). En Maria Genova vult bij online bestellingen niet alles naar waarheid in: “Ik was een brave burger, maar nu lieg ik zo veel mogelijk om mijn identiteit te beschermen”.

En in de grote boze buitenwereld …

... lees je hier hoe skimmen werkt.

https://krebsonsecurity.com/2019/03/insert-skimmer-camera-cover-pin-stealer/

... raakt een fout in open source-software, waarmee beveiligingscertificaten worden gegenereerd, onder andere PKIoverheid, het certificatenstelsel dat door websites van de overheid wordt gebruikt. De veiligheid is niet in het geding.

https://www.security.nl/posting/601483/Logius+laat+mogelijk+duizenden+PKIoverheid-certificaten+intrekken

... hebben derden straks, met dank aan PSD2, toegang tot jouw bankgegevens – mits je toestemming geeft. Maar wat als jij niet, maar iemand aan wie je geld hebt overgemaakt wel toestemming geeft?

https://www.volkskrant.nl/economie/dit-zijn-de-5-grootste-zorgen-over-psd2-waarmee-bedrijven-straks-kunnen-meekijken-op-uw-bankrekening-br-~b99dc732

https://www.platform-investico.nl/artikel/de-nieuwe-wehkamp/

... is online stemmen nog lang niet veilig.

https://motherboard.vice.com/en_us/article/zmakk3/researchers-find-critical-backdoor-in-swiss-online-voting-system

... krijgt de Boeing 737 MAX-8 een software-update. Noot: het artikel noemt slechts enkele landen die hun luchtruim hebben gesloten voor dit vliegtuigtype, maar inmiddels vliegt het nergens meer.

https://www.engadget.com/2019/03/12/boeing-software-update-737-max/

... kan de politie voortaan zien waar je bent als je 112 belt. Tenminste, als je dat met een Android-toestel doet.

https://www.politie.nl/nieuws/2019/maart/12/00-locatie-van-112-beller-sneller-in-beeld.html

... wordt de positie van het Europese cybersecurity-agentschap ENISA versterkt en komt er een framework voor certificering van producten, processen en diensten.

https://ec.europa.eu/commission/news/cybersecurity-act-2018-dec-11_en

... zijn de social media gemanipuleerd rondom Brexit.

https://press.f-secure.com/2019/03/12/brexit-related-twitter-mischief-supported-by-global-far-right/

... blijft consumenten-biometrie nog tamelijk onbetrouwbaar.

https://arstechnica.com/gadgets/2019/03/the-galaxy-s10s-face-unlock-fooled-by-pictures-siblings/

... heeft Mark Zuckerberg de contouren omschreven van een Facebook waar privacy voorop staat.

https://www.securityweek.com/mark-zuckerberg-describes-new-privacy-centric-facebook

... speel je bij de Fraudehelpdesk deze nieuwe game om je kennis over social engineering te testen.

https://www.fraudehelpdesk.nl/kennis/test-je-kennis/ben-jij-oplichters-te-slim-af/

... is cybercrime simpel (te verhelpen).

https://peterzinn.nl/2019/03/11/cybercrime-is-simpel-te-verhelpen/

... is Citrix gehackt.

https://arstechnica.com/information-technology/2019/03/citrix-says-its-network-was-breached-by-international-criminals/

... verleggen phishers hun aandacht naar SaaS- en webmaildiensten.

https://www.helpnetsecurity.com/2019/03/05/apwg-phishing-q4-2018/

... gaat Chrome een einde maken aan aanvallen via besmette advertenties.

https://nakedsecurity.sophos.com/2019/03/13/chrome-will-soon-block-drive-by-download-malvertising/

vrijdag 8 maart 2019

Omgaan met risico

“Ja maar, hoevéél risico’s kun je dan aan? En wie loopt er eigenlijk risico?” Deze vragen stelde een lezer van de vorige Security (b)log, die over risk appetite oftewel risicobereidheid ging. In die blog legde ik uit hoe we deze materie vaktechnisch benaderen. Maar die lezer heeft kennelijk behoefte aan een meer filosofische benadering van het vraagstuk. Ik zet voor de gelegenheid mijn bèta-pet af en probeer hoe een gamma-petje mij staat.

De vaktechnische aanpak kwam erop neer dat je de kans op een bepaalde gebeurtenis in een diagram (de heatmap) uitzet tegen de gevolgen die het daadwerkelijk plaatsvinden van die gebeurtenis heeft (“het manifest worden van de dreiging” noemen we dat als we sjiek willen doen). De term ‘heatmap’ is interessant als je hem letterlijk neemt: hittekaart – hoeveel hitte voel je bij een bepaald risico? En wat vind je nog comfortabel? Als het in huis te warm wordt, dan zet je de thermostaat een graadje lager, en als je het buiten te warm hebt, dan zoek je de schaduw op; wordt het nog heter, dan duik je het zwembad in. Woon je ergens waar het structureel te warm voor je is, dan kun je overwegen om naar een koelere plek op aarde te verhuizen.

Risicomanagement kent vier opties om risico’s te behandelen: maatregelen treffen om de risico’s te verkleinen (“risico’s mitigeren” in sjiek-spraak), accepteren, vermijden en verzekeren. In bovenstaand voorbeeld (waarin het risico oververhitting is) zijn het draaien aan de thermostaat, het opzoeken van de schaduw en de plons in het zwembad voorbeelden van mitigerende maatregelen. Ga je verhuizen, dan vermijd je het risico. Je kunt ook in een hoekje gaan zitten zweten, dan accepteer je het risico – en ga je ervan uit dat je, mocht je daadwerkelijk oververhit raken, de schade kunt beperken en herstellen (dat is een belangrijk uitgangspunt bij risicoacceptatie!). Je kunt je niet verzekeren tegen oververhitting. De ziektekostenverzekering dekt alleen het risico dat je failliet gaat door medische kosten die hoger zijn dan je zelf kunt dragen.

Tegen sommige risico’s kun je je dus niet verzekeren, al zijn wij Nederlanders wel wereldkampioen verzekeren. Je kunt geen fiets, mobieltje of bril meer kopen zonder dat daar een verzekering bij wordt aangeboden. Vraag je je wel eens af of het niet goedkoper is om je níet te verzekeren? Hoe groot is de kans dat je fiets wordt gestolen als je haar alleen thuis, achter het hek van je kantoor en in bewaakte fietsenstallingen stalt? Hoe duur was je mobieltje en na hoeveel maanden uitgespaarde verzekeringspremie heb je het geld voor een nieuw exemplaar bij elkaar gespaard? Iets spannender: durf je een hoger eigen risico op je ziektekostenverzekering te nemen? Historische gegevens spelen daarbij uiteraard een rol: maak je jaar in jaar uit hoge kosten, dan ben je per saldo goedkoper uit met een hogere premie. Ben je zo gezond als een vis, dan kun je hopen dat dat zo blijft én je kunt redeneren dat de premie, die je uitspaart door het extra eigen risico, de kosten dekt die je misschien (!) in een bepaald jaar moet maken als toch je een keer pech hebt. Je kunt ook vooruitkijken: zegt de tandarts dat je over een tijdje aan een kroon toe bent, dan kun je ervoor kiezen om dán wel tandartskosten mee te verzekeren.

Hoeveel risico’s je aankunt is dus, behalve de uitkomst van een koele rekensom met een heatmap, ook – en misschien vooral – een kwestie van gevoel, én van inzicht in je situatie. Als je gewoon bang bent voor gebeurtenissen die je schade kunnen berokkenen, of als je weinig geld of andere resources hebt om ontstane schade te herstellen, dan zul je je tamelijk risicomijdend opstellen. Mensen met een yolo-mentaliteit (you only live once) zullen juist meer en hogere risico’s nemen. Overigens doen die mensen er wel goed aan om toch ook met een schuin oog naar hun portemonnee te kijken.

Dan nog de vraag wie er eigenlijk risico loopt. Nou, primair natuurlijk degene die met de gebakken peren zit als het misgaat. Op het gebied van informatiebeveiliging hebben we het dan bijvoorbeeld over een gegevenseigenaar wiens gegevens foetsie zijn, of uitgelekt. Die eigenaar moet kosten maken om terug te kunnen keren naar de correcte situatie en om zijn imago te herstellen. Secundair kunnen ook derden risico lopen, bijvoorbeeld de mensen waarvan gegevens kunnen uitlekken doordat een bedrijf, waarmee zij zaken doen, zijn beveiliging niet op orde heeft of er een losse privacy-moraal op nahoudt. Deze (potentiële) slachtoffers kunnen zelf amper mitigerende maatregelen treffen. Zij kunnen het risico accepteren of vermijden. In die laatste categorie zie je de laatste tijd steeds meer mensen afscheid nemen van diensten van Facebook en Google. Hoewel ook dat natuurlijk weer risico’s met zich meebrengt…