De dagen zijn nu wel érg kort. In meerdere opzichten: we naderen met
rasse schreden de kortste werkdag van de zon, en voor velen is het
kerstvakantie. Ik vrees dan ook dat deze aflevering van de Security (b)log de
leesstatistieken flink omlaaghaalt, althans de interne publicatie. De extern
gepubliceerde blog maakt nog wel kans op een gewone opkomst, want jullie hebben
nu ruim de tijd om mijn blog te lezen.
En dat is maar goed ook. We zijn namelijk een beetje geschrokken van een
poll die we hebben gehouden. Die poll ging over een klassiek onderwerp:
schermvergrendeling. Met tot nu toe tweeduizend stemmers geeft 72% van de
collega’s aan dat ze hun scherm altijd vergrendelen als ze hun laptop onbeheerd
achterlaten. Nog eens een vijfde deel van de respondenten vindt dit wel
belangrijk, maar vergeet het nog wel eens. Vijf procent vindt het vergrendelen
niet nodig omdat het kantoorpand voldoende bescherming biedt of omdat de
collega’s de boel in de gaten houden. En de laatste drie procent vertrouwt op
de automatische schermvergrendeling.
Nou hoor ik je denken: waar maakt’ie zich druk om? Negentig procent
vergrendelt het scherm of begrijpt op z’n minst de noodzaak om dat te doen.
Moet je die laatste 10% er ook nog uit persen? Nou, het gaat me niet zozeer om
de cijfers, maar meer om de gedachten die daarachter schuilgaan. In een reactie
laat een collega weten dat hij verschil maakt in werkomgeving. Heb je in een
team veel personeelsverloop, ken je niet iedereen en zijn er al eens incidenten
geweest waarbij iemand misbruik heeft gemaakt onbemande, openstaande
werkplekken? Dan is het wel duidelijk. Werk je echter in een hecht team dat aan
dezelfde zaken werkt en daar toch al regelmatig over overlegt, dan heb je geen
geheimen meer voor elkaar, zo betoogt hij. En dan hoef je ook je scherm niet te
locken. Iemand anders laat weten dat hij z’n collega’s vertrouwt en ook
telefoon en portemonnee laat liggen als hij even wegloopt.
Er zijn ook collega’s die prima kunnen beargumenteren waarom
schermvergrendeling een normale hygiëne-maatregel is. Bijvoorbeeld omdat je
werkt met gegevens van klanten, die deze gegevens hebben afgestaan en er
daardoor zelf geen controle meer over hebben. Of omdat we weliswaar in een
kantoorpand zitten, maar de beveiliging daarvan niet per se waterdicht is.
Ook het onderwerp ‘vertrouwen’ wordt ter discussie gesteld. Het is
menselijk dat we de meeste collega’s blindelings willen vertrouwen, maar mensen
kunnen in de problemen komen zonder dat jij het weet. En die mensen kunnen er
dan baat bij hebben om onder jouw identiteit iets te doen wat ze niet mogen
doen. Misschien niet uit eigener beweging, maar omdat ze door de omstandigheden
of door anderen min of meer gedwongen worden (denk aan gokschulden en afpersing).
En dat kunnen ook collega’s zijn waarmee je al jarenlang tot volle tevredenheid
samenwerkt. Zie het maar zo: we zijn met zovelen, dat we statistisch gezien
recht hebben op een aantal zwarte schapen. En die zijn er dan ook – hetzij door
aanleg, hetzij door omstandigheden. Een VOG helpt dan ook niet.
(Tussendoor even voor de duidelijkheid: ik sta hier niet individuele
collega’s af te fakkelen vanwege hun reacties. Het is juist lovenswaardig dat
zij hun zienswijze delen, want wij kunnen leren van hun drijfveren. Dank
daarvoor!)
Er wordt in deze context ook vaak op gewezen dat we, als ambtenaren,
toch allemaal de eed of belofte én een geheimhoudingsverklaring hebben
afgelegd. Maar geloof je nou echt dat iemand, die op het punt staat over de
schreef te gaan door onder jouw identiteit iets onoorbaars te doen, zich
dáárdoor laat tegenhouden? Als je naar Amerika reist, dan moet je onder andere
de vraag beantwoorden of je een terrorist bent. Niet omdat de autoriteiten
verwachten dat je die vraag eerlijk beantwoordt, maar om je (mede) daarop te
kunnen pakken als je er toch eentje blijkt te zijn: kijk, je hebt op dat
formulier gelogen en dat is een federal
crime! Nee, zo’n eed is een mooi gebaar, maar je mag er niet van uitgaan
dat zij iemand tegenhoudt.
De mooiste zin uit de reacties vind ik deze: “Je scherm op slot doen is
een van de minst ingrijpende handelingen die direct een risicoverminderend
resultaat heeft.” Kijk, het zit zo. De organisatie vindt het belangrijk dat je
dit doet. Het is heel gemakkelijk om te doen. Doe het gewoon. En vind je
ctrl-alt-del <even wachten> enter/klik te omslachtig? Gebruik dan de
combinatie Windowstoets-L (WL).
Met de L van lock.
De komende twee weken moeten
we het zonder verse Security (b)logs stellen.
En in de grote boze buitenwereld …
... heeft een spelletjesmaker vele miljoenen slecht beveiligde
wachtwoorden laten lekken. Dit is een periodieke herinnering dat je voor al je
accounts een uniek wachtwoord moet kiezen, zodat een lek beperkt blijft tot dat
ene account.
… kunnen cyberaanvallen ook schadelijk zijn voor de gezondheid.
... zijn meerdere glasvezelkabels in Oost-Europa tegelijkertijd
doorgesneden.
... verstopt deze malware zich achter plaatjes van sterren.
... staan tienduizenden Duitse studenten in de rij om persoonlijk een
nieuw e-mailwachtwoord in ontvangst te nemen.
... verzamelt de Chinese overheid enorm veel gegevens over burgers, en
beveiligt die amper.
... worden cyberverzekeringen normaal.
... is de speciale TPM-chip in je computer en telefoon, die
beveiligingssleutels veilig moet bewaren, lek.
... moeten IT-spelers eens eindelijk volwassen worden.
... pleit de minister van Justitie niet voor zwakke encryptie. Ik
herhaal: de minister pleit niet voor zwakke encryptie.
https://tweakers.net/nieuws/161246/minister-grapperhaus-ik-pleit-niet-voor-verzwakken-encryptie.html
... dreigen ransomware-criminelen tegenwoordig met de publicatie van
buitgemaakte bedrijfsgegevens als je niet betaalt.
... lees je hier de ontstaansgeschiedenis van ransomware.