vrijdag 20 december 2019

Doe het gewoon


De dagen zijn nu wel érg kort. In meerdere opzichten: we naderen met rasse schreden de kortste werkdag van de zon, en voor velen is het kerstvakantie. Ik vrees dan ook dat deze aflevering van de Security (b)log de leesstatistieken flink omlaaghaalt, althans de interne publicatie. De extern gepubliceerde blog maakt nog wel kans op een gewone opkomst, want jullie hebben nu ruim de tijd om mijn blog te lezen.

En dat is maar goed ook. We zijn namelijk een beetje geschrokken van een poll die we hebben gehouden. Die poll ging over een klassiek onderwerp: schermvergrendeling. Met tot nu toe tweeduizend stemmers geeft 72% van de collega’s aan dat ze hun scherm altijd vergrendelen als ze hun laptop onbeheerd achterlaten. Nog eens een vijfde deel van de respondenten vindt dit wel belangrijk, maar vergeet het nog wel eens. Vijf procent vindt het vergrendelen niet nodig omdat het kantoorpand voldoende bescherming biedt of omdat de collega’s de boel in de gaten houden. En de laatste drie procent vertrouwt op de automatische schermvergrendeling.

Nou hoor ik je denken: waar maakt’ie zich druk om? Negentig procent vergrendelt het scherm of begrijpt op z’n minst de noodzaak om dat te doen. Moet je die laatste 10% er ook nog uit persen? Nou, het gaat me niet zozeer om de cijfers, maar meer om de gedachten die daarachter schuilgaan. In een reactie laat een collega weten dat hij verschil maakt in werkomgeving. Heb je in een team veel personeelsverloop, ken je niet iedereen en zijn er al eens incidenten geweest waarbij iemand misbruik heeft gemaakt onbemande, openstaande werkplekken? Dan is het wel duidelijk. Werk je echter in een hecht team dat aan dezelfde zaken werkt en daar toch al regelmatig over overlegt, dan heb je geen geheimen meer voor elkaar, zo betoogt hij. En dan hoef je ook je scherm niet te locken. Iemand anders laat weten dat hij z’n collega’s vertrouwt en ook telefoon en portemonnee laat liggen als hij even wegloopt.

Er zijn ook collega’s die prima kunnen beargumenteren waarom schermvergrendeling een normale hygiëne-maatregel is. Bijvoorbeeld omdat je werkt met gegevens van klanten, die deze gegevens hebben afgestaan en er daardoor zelf geen controle meer over hebben. Of omdat we weliswaar in een kantoorpand zitten, maar de beveiliging daarvan niet per se waterdicht is.

Ook het onderwerp ‘vertrouwen’ wordt ter discussie gesteld. Het is menselijk dat we de meeste collega’s blindelings willen vertrouwen, maar mensen kunnen in de problemen komen zonder dat jij het weet. En die mensen kunnen er dan baat bij hebben om onder jouw identiteit iets te doen wat ze niet mogen doen. Misschien niet uit eigener beweging, maar omdat ze door de omstandigheden of door anderen min of meer gedwongen worden (denk aan gokschulden en afpersing). En dat kunnen ook collega’s zijn waarmee je al jarenlang tot volle tevredenheid samenwerkt. Zie het maar zo: we zijn met zovelen, dat we statistisch gezien recht hebben op een aantal zwarte schapen. En die zijn er dan ook – hetzij door aanleg, hetzij door omstandigheden. Een VOG helpt dan ook niet.

(Tussendoor even voor de duidelijkheid: ik sta hier niet individuele collega’s af te fakkelen vanwege hun reacties. Het is juist lovenswaardig dat zij hun zienswijze delen, want wij kunnen leren van hun drijfveren. Dank daarvoor!)

Er wordt in deze context ook vaak op gewezen dat we, als ambtenaren, toch allemaal de eed of belofte én een geheimhoudingsverklaring hebben afgelegd. Maar geloof je nou echt dat iemand, die op het punt staat over de schreef te gaan door onder jouw identiteit iets onoorbaars te doen, zich dáárdoor laat tegenhouden? Als je naar Amerika reist, dan moet je onder andere de vraag beantwoorden of je een terrorist bent. Niet omdat de autoriteiten verwachten dat je die vraag eerlijk beantwoordt, maar om je (mede) daarop te kunnen pakken als je er toch eentje blijkt te zijn: kijk, je hebt op dat formulier gelogen en dat is een federal crime! Nee, zo’n eed is een mooi gebaar, maar je mag er niet van uitgaan dat zij iemand tegenhoudt.

De mooiste zin uit de reacties vind ik deze: “Je scherm op slot doen is een van de minst ingrijpende handelingen die direct een risicoverminderend resultaat heeft.” Kijk, het zit zo. De organisatie vindt het belangrijk dat je dit doet. Het is heel gemakkelijk om te doen. Doe het gewoon. En vind je ctrl-alt-del <even wachten> enter/klik te omslachtig? Gebruik dan de combinatie Windowstoets-L (WL). Met de L van lock.

De komende twee weken moeten we het zonder verse Security (b)logs stellen.

En in de grote boze buitenwereld …


... heeft een spelletjesmaker vele miljoenen slecht beveiligde wachtwoorden laten lekken. Dit is een periodieke herinnering dat je voor al je accounts een uniek wachtwoord moet kiezen, zodat een lek beperkt blijft tot dat ene account.
https://tweakers.net/nieuws/161382/172-miljoen-slecht-beveiligde-wachtwoorden-zijn-uitgelekt-bij-gamemaker-zynga.html

… kunnen cyberaanvallen ook schadelijk zijn voor de gezondheid.
https://www.nytimes.com/2019/12/16/us/strobe-attack-epilepsy.html

... zijn meerdere glasvezelkabels in Oost-Europa tegelijkertijd doorgesneden.
https://www.bbc.com/news/technology-50851420

... verstopt deze malware zich achter plaatjes van sterren.
https://nakedsecurity.sophos.com/2019/12/19/hiding-malware-downloads-in-taylor-swift-pics-new-sophoslabs-report/

... staan tienduizenden Duitse studenten in de rij om persoonlijk een nieuw e-mailwachtwoord in ontvangst te nemen.
https://www.bbc.com/news/technology-50838673

... verzamelt de Chinese overheid enorm veel gegevens over burgers, en beveiligt die amper.
https://www.nytimes.com/2019/12/17/technology/china-surveillance.html

... worden cyberverzekeringen normaal.
https://tweakers.net/reviews/7550/cyberverzekeringen-worden-normaal-bescherming-tegen-avg-boetes-en-losgeld.html

... is de speciale TPM-chip in je computer en telefoon, die beveiligingssleutels veilig moet bewaren, lek.
https://tpm.fail

... moeten IT-spelers eens eindelijk volwassen worden.
https://www.ictmagazine.nl/columns/weg-met-it-pubers/

... pleit de minister van Justitie niet voor zwakke encryptie. Ik herhaal: de minister pleit niet voor zwakke encryptie.
https://tweakers.net/nieuws/161246/minister-grapperhaus-ik-pleit-niet-voor-verzwakken-encryptie.html

... dreigen ransomware-criminelen tegenwoordig met de publicatie van buitgemaakte bedrijfsgegevens als je niet betaalt.
https://krebsonsecurity.com/2019/12/ransomware-gangs-now-outing-victim-businesses-that-dont-pay-up/

... lees je hier de ontstaansgeschiedenis van ransomware.
https://peterzinn.nl/2019/12/16/de-evolutie-van-ransomware/


Gepost door op Geen opmerkingen:
Labels: , , , , ,

vrijdag 13 december 2019

Reality check


Een trouwe lezer van de Security (b)log, werkzaam bij organisatie X, heeft het boek Het is oorlog maar niemand die het ziet van Huib Modderkolk gelezen. Hij schrijft hierover: “Het leest als een spannende detective maar het opent wel je ogen. Er gebeurt blijkbaar dagelijks al véél meer dan we beseffen. Hoe één onachtzame medewerker of een niet uitermate goed beveiligd systeem tot zéér grote gevolgen kan leiden. Dat er dagelijks aanvallen zijn op datacenters waar buitenlandse mogendheden achter zitten, maar ook criminelen.”

Vervolgens heeft deze lezer zich afgevraagd hoe graag buitenstaanders nu eigenlijk informatie uit zijn eigen organisatie zouden willen hebben. En hoe goed is organisatie X nu écht daartegen beveiligd? De lezer is geen techneut maar beseft wel heel goed dat ook niet-technische gaten in de beveiliging kunnen leiden tot het lekken van gegevens. Zo ziet hij sleutelkastjes openstaan waar leidinggevenden schouderophalend langs lopen. Bij interne verhuizingen – uitgevoerd door externe verhuizers – worden dossiers met beursgevoelige informatie in open containers vervoerd. Managers geven toe dat dat ‘eigenlijk’ niet zo hoort, maar berusten er verder in.

Hé, daar komt mijn stokpaardje voorbij gehobbeld. Ik herhaal het maar nog eens: ‘eigenlijk’ is het meest misbruikte woord in de informatiebeveiliging. Telkens wanneer iemand zegt dat iets eigenlijk niet mag of dat het eigenlijk anders moet, weet je dat hij een voor zichzelf acceptabele smoes heeft bedacht om zich niet aan de een of andere regel te houden. Ik besef terdege dat het soms om argumenten gaat die hout snijden, maar ik zie ook vaak dat men zich er toch wel erg gemakkelijk van afmaakt. Ik wil dus dat jullie voortaan allemaal, als je het woord ‘eigenlijk’ gebruikt in relatie tot iets wat met beveiliging te maken heeft, even stilstaan bij wat je zegt en je afvraagt of je je met net iets meer moeite niet tóch aan die regel kunt houden die je dreigt te gaan omzeilen. En breid deze opdracht gerust uit tot het domein van de veiligheid: “Ik weet dat je hier eigenlijk niet mag inhalen, maar …”. Heb je nou écht zo’n haast dat je de analyse van de wegbeheerder aan je laars moet lappen?

Terug naar mijn lezer. Die vraagt zich af of het veel moeite zou kosten om in zijn organisatie te infiltreren, of om gevoelige informatie te bemachtigen middels omkoping of afpersing. De onderliggende vraag luidt: wegen de kosten en inspanningen voor criminelen en statelijke actoren op tegen de voordelen die ze uit X bv kunnen halen? Dat deze vraag voor allerlei organisaties met ja wordt beantwoord, wordt door nieuwsberichten bevestigd. Politiemensen die informatie doorsluizen naar criminelen. Douaniers die een oogje dichtknijpen bij containers met smokkelwaar. Diefstal van intellectueel eigendom bij hightech bedrijven. Het komt gelukkig – voor zover bekend – in Nederland maar sporadisch voor. Corruptie is hier nog groot nieuws. Of economische spionage hier te lande ook zo klein is, durf ik niet te zeggen.

Nog even over die openstaande sleutelkastjes bij X bv. Van de week vroeg iemand zich af waarom die kastjes, waarin belangrijke sleutels van zeer degelijke sloten worden bewaard, zelf toch zo vaak zijn voorzien van een uiterst knullig slotje. Als op een deur of kast een gecertificeerd slot zit, dan wil je kennelijk datgene wat zich achter dat slot bevindt, goed beveiligen. Als je vervolgens de sleutel van dat slot zowat onder de deurmat legt, dan introduceer je daarmee een wel heel zwakke schakel in de beveiliging van je spullen.

“Hoeveel beter zijn onze veiligheidsscenario's dan de genoemde voorbeelden in het boek?”, vraagt de lezer zich af. Kijk, aan de ene kant heb je scenario’s, beleid, intentie en risk appetite. Aan de andere kant heb je de medewerkers van een organisatie, die daar dagelijks mee moeten omgaan. Als die beide kanten niet netjes op elkaar aansluiten – bijvoorbeeld doordat de ene kant tot onwerkbare situaties leidt of doordat de andere kant te laks is – dan ziet het er op papier allemaal hartstikke goed uit, maar heb je, als organisatie, in werkelijkheid een probleem waarvan je waarschijnlijk niet eens weet dat je het hebt. En als een kritische medewerker naar aanleiding van eenvoudige constateringen te verstaan krijgt dat hij wel héél kritisch is, dan maak ik me zorgen over de beveiligingscultuur bij X. Maar eigenlijk zou de baas van die organisatie zich daar druk over moeten maken.

X bv is natuurlijk een gefingeerde naam. De medewerker van X kent de Security (b)log via securityblogpatrick.blogspot.nl.

En in de grote boze buitenwereld …


... vragen veel websites niet op de juiste manier of je hun cookies lust.
https://autoriteitpersoonsgegevens.nl/nl/nieuws/ap-veel-websites-vragen-op-onjuiste-wijze-toestemming-voor-plaatsen-tracking-cookies

... geeft jouw auto straks informatie door aan Rijkswaterstaat.
https://tweakers.net/nieuws/161136/rijkswaterstaat-verwacht-in-2020-veiligheidsdata-van-500000-autos-te-ontvangen.html

... zijn de laadpassen van elektrische auto’s gemakkelijk te klonen.
https://nos.nl/l/2314365

... loop je bij het online kopen van namaakartikelen de kans dat je creditcardgegevens worden gestolen.
https://blog.malwarebytes.com/threat-analysis/2019/12/hundreds-of-counterfeit-online-shoe-stores-injected-with-credit-card-skimmer/

... zijn IoT-devices nu eenmaal erg kwetsbaar, zeker als de handleiding niet wordt gelezen – of als die handleiding te vrijblijvend is. Enkele gezinnen met jonge kinderen kwamen daar op een heel vervelende manier achter.
·         https://www.washingtonpost.com/nation/2019/12/12/she-installed-ring-camera-her-childrens-room-peace-mind-hacker-accessed-it-harassed-her-year-old-daughter/
·         https://www.wired.com/story/ring-hacks-exemplify-iot-security-crisis/

... willen consumenten veilige IoT-devices.
https://www.helpnetsecurity.com/2019/12/12/consumers-iot-security/

... heeft een robot ruim duizend cybersecurityvoorspellingen gelezen en vervolgens zijn eigen voorspellingen gemaakt. Garbage in, garbage out...
https://www.cyberscoop.com/2020-cyber-predictions-kelly-shortridge/

... kunnen tools om de beveiliging te testen natuurlijk ook door aanvallers worden gebruikt.
https://www.scmagazineuk.com/penetration-testing-tools-infosecuritys-jekyll-hyde/article/1668571

... zijn op hardware gebaseerde wachtwoordkluizen ook niet per definitie veilig.
https://www.securityweek.com/hardware-based-password-managers-store-credentials-plaintext

... krijgen we nieuwe verkiezingssoftware.
https://www.security.nl/posting/635164/Overheid+laat+volledig+nieuwe+verkiezingssoftware+ontwikkelen

... helpt Microsoft beheerders van Office 365 in de strijd tegen phishing.
https://www.cso.com.au/article/669570/microsoft-actually-it-admins-also-blame-phishing-attacks-working-against-users/

... helpt Amazon beheerders van S3-buckets in de strijd tegen datalekken.
https://businessinsights.bitdefender.com/amazon-battles-leaky-s3-buckets-with-a-new-security-tool

... hebben onderzoekers een nieuw record gehaald voor het kraken van encryptiesleutels.
https://www.darkreading.com/vulnerabilities---threats/scientists-break-largest-encryption-key-yet-with-brute-force/d/d-id/1336560

... werden Afrikaanse IP-adressen onder de toonbank verhandeld.
https://krebsonsecurity.com/2019/12/the-great-50m-african-ip-address-heist/



Gepost door op Geen opmerkingen:
Labels: , , ,

vrijdag 6 december 2019

Awareness officer


Soms hoor je een term waarbij je denkt: bestaat dit echt of nemen ze me in het ootje? Dat had ik deze week toen de term ‘certified awareness officer’ viel. Dat leek me toch wel een bijzondere specialisatie, want in mijn optiek hoort het kweken van security awareness – bewustzijn op het gebied van informatiebeveiliging – tot de kerntaken van iedere informatiebeveiliger.

De zoekmachine leverde dus wel degelijk hits voor deze zoektermen, al was ‘certified’ net iets te hoog gegrepen. Ik vond in Nederland een instituut dat je in één dag meent te kunnen opleiden tot Security Awareness Officer – geen speciale voorkennis vereist. Lijkt me een erg ambitieuze onderneming. Een ander instituut doet er drie dagen over om je voor deze rol op te leiden, en dan ben je in staat om je management te overtuigen van de noodzaak om aan bewustwording, gedragsbeïnvloeding en communicatie rondom informatiebeveiliging te werken, om passende maatregelen en activiteiten in te voeren én de effectiviteit van die maatregelen aan te tonen.

Het aantonen van de effectiviteit is lastig. Medewerkers vóór en na een campagne vragen stellen om hun bewustzijn te peilen levert een vertekend beeld op doordat je altijd een deel sociaal wenselijke antwoorden krijgt. Je zou kunnen kijken naar het aantal beveiligingsincidenten ervoor en erna, maar ook dat is in de praktijk moeilijk. De statistieken over bijvoorbeeld onderschepte malware zijn van zichzelf al zo wispelturig dat je daar geen bewustwordingseffect in zult herkennen. Je zou kunnen kijken naar het aantal mensen dat in foute mails op linkjes of bijlagen klikt, maar het aantal dergelijke mails dat nog weet door te dringen tot onze mailboxen is zo gering, dat dat ook geen representatief beeld zal opleveren. 

Ik ben een verklaard tegenstander van het versturen van lokmails naar medewerkers. Veel bedrijven doen dat wel: zelf een phishingmail in elkaar zetten, die naar medewerkers sturen en als ze dan ergens op klikken roepen: ha, dat had je nou niet moeten doen! Dat zou niet in onze bedrijfscultuur passen, vind ik. Door uitlokking loop je het risico dat medewerkers zich tegen de informatiebeveiligers gaan keren. Wellicht zou ik hier anders tegenaan kijken als ik in een andere organisatie zou werken. Waarmee ik maar wil zeggen: awareness is maatwerk. In een meer hiërarchische organisatie, met medewerkers die wellicht wat minder assertief zijn, kan dit juist een heel goed middel zijn.

Zelf ben ik meer van het faciliteren: wat kan ik doen om het voor jou gemakkelijker te maken om je netjes te gedragen? Ik ben bijvoorbeeld erg gecharmeerd van programma’s die je de mogelijkheid geven om met één druk op te knop te melden dat je een binnengekomen mailtje niet vertrouwt, waarna deskundigen in de organisatie kunnen onderzoeken of jouw gevoel juist was.

Het Amerikaanse SANS, naar eigen zeggen veruit het grootste instituut voor informatiebeveiligingsopleidingen ter wereld, spreekt liever van een security awareness & communications officer. In een functieomschrijving uit 2014 constateerde de auteur dat hij het woord communicatie wel erg vaak had gebruikt, veel vaker dan het woord security, en dat moet volgens hem toch wel betekenen dat communicatie een erg belangrijk onderdeel van awareness is. Tja, logisch, want hoe anders dan via communicatie kun je iemand bewust maken?

Graag had ik hier willen noteren dat in de gevonden omschrijvingen de toevoeging ‘cyber’ niet voorkwam, maar datzelfde SANS steekt daar helaas een stokje voor. In hun framework, waarin ze de cybersecurity workforce beschrijven, noteren ze drie cyberrollen: de Cyber Instructional Curriculum Developer, de Cyber Instructor en de Cyber Workforce Developer and Manager.

In feite ben ik ongemerkt al minstens acht jaar lang security awareness officer, want zo lang bestaat de Security (b)log. Iedere week probeer ik jullie aandacht te trekken voor informatiebeveiliging, en gisteren is daar een nieuwe mijlpaal aan toegevoegd, toen Sinterklaas aan honderden collega’s het Security (b)logboek uitreikte – een bloemlezing uit de honderden wekelijkse afleveringen. Bij de uitreiking van het eerste exemplaar heeft onze directeur de hoop uitgesproken dat ik nog heel lang doorga met de blog en dat is een onmisbaar steuntje in de rug. Uit lezersreacties en -aantallen  valt op te maken dat de formule aanslaat, en ik kan alleen maar hopen dat zij daarnaast ook het gewenste effect heeft, want dat is ook hierbij amper te meten. Alleen wanneer zo af en toe iemand een bedankje stuurt omdat ik hem of haar een handigheidje of weetje heb aangereikt, weet ik met zekerheid dat het schrijven van die blog de moeite waard was. In alle andere gevallen rest de awareness officer slechts hoop.

En in de grote boze buitenwereld …


... houdt de Amerikaanse belastingdienst een nationale security awareness week voor klanten en professionals.
https://www.us-cert.gov/ncas/current-activity/2019/11/19/national-tax-security-awareness-week-december-2-6

... zijn notitie-apps niet alleen handig voor de gebruiker, maar soms ook voor anderen. Opslaan in de cloud = opslaan op de computer van iemand anders.
https://www.vice.com/en_us/article/j5yyxp/evernote-search-warrant-gave-data-to-us-government

... is cryptojacking vaak een symptoom van gaten in de beveiliging.
https://www.helpnetsecurity.com/2019/12/06/cryptojacking-attacks/

... versleutelen tegenwoordig de meeste Android-apps hun netwerkverkeer.
https://www.securityweek.com/google-80-android-apps-encrypt-traffic-default

... kunnen Android-apps de permissies van andere apps jatten. Dat is slecht nieuws voor gebruikers van tweefactorauthenticatie – voor ons allemaal dus.
https://tweakers.net/nieuws/160654/onderzoekers-vinden-kwetsbaarheid-om-android-permissies-over-te-nemen.html

... stelt dit artikel ons een wachtwoordloze toekomst in het vooruitzicht.
https://securelink.net/nl-nl/insights/passwordless-authenticatie-veiliger-eenvoudiger-en-sneller/

... kun je je Apple-horloge maar beter op slot houden.
https://www.destentor.nl/tech/gebruiker-apple-pay-te-beroven-via-horloge~a5f6237f/

... komt resilience in beeld als security faalt.
https://josephsteinberg.com/cyber-resilience-vs-cyber-security-business-leaders-must-understand-the-difference 

... doen de inlichtingendiensten hun naam alle eer aan.
https://tweakers.net/nieuws/160664/inlichtingendiensten-bewaren-te-veel-data-om-aan-wiv-te-kunnen-voldoen.html

... verplaatst Twitter niet-Europese gebruikers van Dublin naar San Francisco om te kunnen experimenteren zonder met de AVG te botsen.
https://www.reuters.com/article/us-twitter-privacy/twitter-makes-global-changes-to-comply-with-privacy-laws-idUSKBN1Y622J

... vormen slimme apparaten een factor van betekenis bij huiselijk geweld.
https://blog.avast.com/erica-olsen-of-nnedv-on-iot

... staan sms’jes ook maar gewoon in een database. En die kan dus uitlekken.
https://techcrunch.com/2019/12/01/millions-sms-messages-exposed/

... is het hergebruiken van wachtwoorden helemaal niet zo’n slecht idee. Huh?
https://johnopdenakker.com/why-password-reuse-is-bad/


Gepost door op Geen opmerkingen:
Labels: , , , ,
Abonneren op: Posts (Atom)