vrijdag 31 januari 2020

Anti-biometrie


Er bestaat een extensie voor de Chrome-browser om biometrische herkenning aan de hand van je typgedrag tegen te gaan.

Wablief? Oké, ik ga ‘m even voor je ontleden. Webbrowsers van bijvoorbeeld Google (Chrome), Mozilla (Firefox) en Apple (Safari) bieden de mogelijkheid aan derden om extra functionaliteit aan de browser te geven. De programma’s, die deze extra functionaliteit bevatten, heten extensies of add-ons; uitbreidingen of toevoegingen in normaal Nederlands. Daar zijn er duizenden van en ze willen je helpen om bijvoorbeeld je bladwijzers te organiseren, het shoppen te vergemakkelijken (prijzen vergelijken, kortingscodes zoeken) of advertenties buiten de deur te houden (ad blockers). De categorie privacy en beveiliging van Firefox bevat op dit moment 2.174 extensies. Eén daarvan is de experimentele add-on behavioral-Keyboard-Privacy van onderzoeker Paul Moore. De add-on is drie jaar geleden voor het laatst bijgewerkt en heeft slechts 199 gebruikers. Maar daar gaat het niet om. Het gaat erom dat een dergelijke add-on überhaupt bestáát. Wat zit daar achter?

Vanuit de gedachte, dat wachtwoorden onvoldoende beveiliging bieden, of in ieder geval het gebruik van wachtwoorden als enig middel voor authenticatie, wordt er gezocht naar aanvullende of plaatsvervangende middelen. Dat zijn vaak biometrische middelen, zoals de vingerafdrukscanner en de gezichtsherkenning op je smartphone. Deze technologie is handiger en – mits goed geïmplementeerd – veiliger dan wachtwoorden, omdat zij gebruik maakt van unieke kenmerken van een persoon en niet afhankelijk is van diens intelligentie en beveiligingsbewustzijn.

Biometrie (Van Dale: het vast­stel­len van tel-, weeg- of meet­ba­re ei­gen­schap­pen van le­ven­de we­zens) heeft ook een schaduwkant. Je kunt er gebruik van maken om mensen te herkennen en zo hun gedrag en bewegingen te volgen. China hangt vol met camera’s met gezichtsherkenning. De weg oversteken bij rood licht levert je daardoor een boete op en je gezicht verschijnt op een groot scherm bij het kruispunt, bij wijze van naming & shaming.

Als je weet of denkt dat je wachtwoord is uitgelekt, dan wijzig je het. Daar zit ‘m het probleem bij biometrie: dat gaat daar niet. Vooruit, misschien kun je met een mesje of een rasp iets aan je vingerafdrukken doen, en je gezicht laten verbouwen is ook heel gangbaar – zij het meestal om esthetische redenen en niet omwille van je privacy. Bovendien is er voor de meeste mensen een grens aan het aantal keren dat ze een dergelijke behandeling willen ondergaan. Er zijn echter tal van biometrische technieken die niet kijken naar lichaamskenmerken, maar naar gedragskenmerken. En die kun je veel moeilijker ‘verbouwen’. Zo ben je bijvoorbeeld te herkennen aan de manier waarop je loopt, en aan je postuur. En aan je geur (honden zijn daar erg goed in). En aan de manier waarop je typt.

Op dat laatste haakt die add-on in. Herkenning op basis van typgedrag kijkt onder andere naar hoe lang je een toets indrukt, hoeveel tijd er tussen twee aanslagen in zit en hoe lang het duurt om bepaalde woorden te typen. En dat werkt verbazingwekkend snel en goed: het Zweedse bedrijf BehavioSec ontwikkelde een systeem dat na slechts 44 aanslagen bijna 100% herkenning gaf, met een betrouwbaarheid van 80%. Zo’n systeem kun je gebruiken voor nobele doelen, zoals het veilig laten inloggen van bankklanten, maar je kunt het ook gebruiken om mensen stiekem te herkennen. Om dat laatste tegen te gaan, verandert de add-on enkele kenmerken. De demo-website van BehavioSec scoort opeens maar nog 0,07% en het systeem heeft er 79% vertrouwen in dat de persoon achter het toetsenbord niet degene is die hij zegt te zijn, ondanks het juiste wachtwoord.

Er lijkt nog niet echt een markt te zijn voor dit soort biometrie-frustrerende middelen, maar ik verwacht dat dit een hoge vlucht zal nemen als meer mensen beseffen welke middelen er allemaal bestaan om hen te volgen. Vooral kwetsbare groepen, zoals mensenrechtenactivisten in totalitaire staten, zullen gebruik willen maken van dergelijke technologieën. Ad-blockers zijn nu al redelijk gemeengoed in de strijd tegen opdringerige adverteerders. Wellicht gaan we straks ook allemaal aan de anti-biometrie.

En in de grote boze buitenwereld …


... zet ook Moskou in op gezichtsherkenning.
https://www.destentor.nl/tech/moskou-lanceert-grootste-systeem-voor-live-gezichtsherkenning~ad5f75dd

… kun je ook last hebben van de Citrix-kwetsbaarheid als je zelf helemaal geen Citrix hebt.
https://www.lochemsnieuws.nl/2020/01/24/gemeente-lochem-geen-citrix-maar-wel-weer-problemen/

... hebben onderzoekers nieuwe technologie voor optische encryptie ontwikkeld.
https://www.helpnetsecurity.com/2020/01/31/optical-stealth-encryption/

... moet je aan gebruikers van je gastennetwerk redelijk concreet vertellen hoe ze gemonitord worden.
https://blog.iusmentis.com/2020/01/31/moet-ik-bezoekers-ons-securitybeleid-onthullen-van-de-avg/

... geeft deze site inzicht in boetes die onder de AVG zijn opgelegd.
https://www.privacyaffairs.com/gdpr-fines/

... is het niet handig als een beveiligingsbedrijf klantgegevens doorverkoopt. Anti-virusproducent Avast deed het toch maar wist niet hoe gauw ze ermee moesten stoppen toen het uitkwam.
·         Over Avast: https://arstechnica.com/tech-policy/2020/01/avast-kills-off-jumpshot-the-subsidiary-that-sold-all-your-web-data/
·         Van Avast: https://blog.avast.com/a-message-from-ceo-ondrej-vlcek

... deelt ook je deurbel meer informatie dan je lief is.
https://www.eff.org/deeplinks/2020/01/ring-doorbell-app-packed-third-party-trackers

... kun je veel geld verdienen met het opsporen van kwetsbaarheden.
·         https://www.grahamcluley.com/win-1-5-million-hacking-an-android-phone/
·         https://tweakers.net/nieuws/162948/microsoft-start-xbox-bugbountyprogramma-met-beloningen-tot-20000-dollar.html

... omarmt Google het FIDO-protocol voor security keys en helpt daarmee tweefactorauthenticatie (2FA) een stap vooruit.
https://security.googleblog.com/2020/01/say-hello-to-opensk-fully-open-source.html

... gingen cybercriminelen ervandoor met de betaling voor een miljoenenschilderij.
https://nos.nl/l/2320990

... moet je bij het organiseren van een groot evenement ook rekening houden met cybersecurity.
https://www.ncsc.gov.uk/guidance/cyber-security-for-major-events

... moest een met ransomware besmet Canadees verzekeringsbedrijf bijna een miljoen dollar losgeld betalen. Gelukkig waren ze verzekerd.
https://www.cbc.ca/news/technology/unnamed-insurance-company-cyberattack-1.5445326

... waarschuwt een gratis webdienst bedrijven als een van hun medewerkers een phishing-mailtje heeft ontvangen.
https://www.zdnet.com/article/new-web-service-can-notify-companies-when-their-employees-get-phished/

... is Schiphol een van de weinige grote luchthavens die hun cybersecurity op orde hebben.
https://www.grahamcluley.com/airport-cybersecurity-study/

... houdt de Amerikaanse overheid haar Chinese drones aan de grond, uit angst voor spionage.
https://tweakers.net/nieuws/162882/vs-verbiedt-overheidsinstanties-te-vliegen-met-dji-drones.html

... hoef je geen geld uit te geven voor een goede virusscanner: het standaard met Windows meegeleverde Windows Defender komt in deze test als topper naar voren (en dat is niet voor het eerst).
https://www.av-test.org/en/antivirus/home-windows/


Gepost door op Geen opmerkingen:
Labels: , , , ,

vrijdag 24 januari 2020

Veilig mailen


Rolf wilde een bestand met vertrouwelijke inhoud naar Dolf sturen. Nou was Rolf bepaald geen digibeet en hij had wel eens iets gelezen over de gevaren die helaas gepaard gaan met het gebruik van computers. Daardoor wist Rolf dat je ervan moet uitgaan dat mail niet beveiligd is. In de analogie met gewone, papieren post moet je e-mail op gelijke hoogte positioneren als een briefkaart: iedereen die de briefkaart ziet langskomen, kan lezen wat erop staat.

Omdat Rolf dit allemaal wist, en bovendien besefte dat hij een vertrouwelijk bestand ging mailen, beveiligde hij het bestand met een wachtwoord. Als je dat wachtwoord niet weet, dan kun je de inhoud van het bestand niet lezen. Zo gezegd, zo gedaan: het mailtje met versleutelde bijlage zocht zijn weg naar Dolf en niemand die het zag langskomen kon het lezen.

Ook Dolf niet, trouwens. Dat laatste snapte Rolf ook wel, en dus stuurde hij er gauw een mailtje achteraan: “Beste Dolf, het wachtwoord voor het bestand, dat ik je zojuist stuurde, is gY6lw3#p[F).” Oei, dat is nou jammer.

Rolf snapte zo’n beetje hoe e-mail werkt, maar hij was niet consequent in zijn handelen. Want dat tweede mailtje is net zo transparant als het eerste. En als je het eerste beveiligt, waarom zou je dan denken dat je met het tweede mailtje wél zomaar vertrouwelijke informatie kunt versturen?

Stel, hacker Harry onderschept het mailtje met het versleutelde bestand. Er is dan geen enkele reden om te veronderstellen dat Harry niet ook het mailtje met het wachtwoord onderschept. En dus kan Harry gniffelend kennis nemen van wat er in dat bestand staat. Vervolgens kan hij daarmee doen wat hij wil, bijvoorbeeld laten uitlekken, of iemand ermee afpersen.

Misschien dacht je zonet: “Ja, nogal wiedes dat je dat niet zo moet doen!”, of in een moderner jasje: “Duh!” Dan moet ik je toch teleurstellen. Bovenstaand verhaal is namelijk niet tot stand gekomen doordat ik zat te mijmeren over wat gebruikers zoal fout zouden kunnen doen. Nee, iemand ‘van de werkvloer’ vertelde mij dat de geschetste werkwijze daar schering en inslag is. En dat de meeste van zijn collega’s ervan overtuigd zijn dat ze de boel op deze wijze goed beveiligen.

Hoe moet het dan wel? Door het wachtwoord via een ander kanaal door te spelen, zoals dat heet. Als de beveiligde informatie per mail is verstuurd, dan geef je het wachtwoord langs een andere weg door – dat is alles behalve e-mail. Dus bijvoorbeeld telefonisch, per sms, WhatsApp, desnoods huur je een postduif. Waar het om gaat is dat het wachtwoord niet dezelfde route aflegt als het bestand. Om dezelfde reden bewaar je in je laptoptas ook geen briefje waar je wachtwoord op staat.

Er zijn tegenwoordig allerlei mooie afkortingen waar technologie achter schuilgaat die ervoor moet zorgen dat e-mail wél veilig is: STARTTLS, DNSSEC en DANE moeten samen je e-mail beschermen tegen afluisteren. Maar al dat moois werkt alleen als de hele keten, van verzender tot ontvanger, eraan meedoet. Als jouw organisatie of jouw provider dat niet doet, dan werkt het niet. En omdat deze standaarden voor veilige e-mail nog niet overal zijn ingevoerd, moeten we helaas nog stellen: ga ervan uit dat je e-mail kan worden afgeluisterd.

Binnen bedrijfsnetwerken kan e-mail trouwens wel prima beveiligd zijn. Als je bij ons in een intern mailtje het vakje ‘Versleutelen’ aanvinkt, dan mag je erop vertrouwen dat alleen de geadresseerden jouw mailtje kunnen lezen. Zelfs collega’s, die gemachtigd zijn voor de mailbox van een geadresseerde, kunnen deze mail niet lezen.

Gelukkig begrijpen steeds meer mensen het belang van informatiebeveiliging. Vertrouwelijkheid van gegevens, waar het hierboven om gaat, is waarschijnlijk het aspect dat het gemakkelijkst te begrijpen is. Het is mooi dat veel mensen het snappen, maar nog mooier is het natuurlijk als ze ook weten hoe ze moeten handelen. Maar dan wel graag van A tot Z, want anders pleeg je schijnveiligheid. Je schrijft per slot van rekening ook niet je pincode op je pinpas. Toch?

En in de grote boze buitenwereld …


... weet opeens heel Nederland wat Citrix is.
https://www.nrc.nl/nieuws/2020/01/21/alle-lichten-staan-al-een-poosje-op-rood-bij-de-digitale-veiligheid-a3987512

... hebben ransomware-criminelen een kliniek voor plastische chirurgie aangevallen en vervolgens ook nog de patiënten afgeperst.
https://www.grahamcluley.com/plastic-surgery-patients-ransomware/

... zou de telefoon van Amazon-baas Bezos gehackt zijn door de Saoedische kroonprins.
Journalistiek artikel: https://www.vice.com/en_us/article/v74v34/saudi-arabia-hacked-jeff-bezos-phone-technical-report
Populair artikel: https://www.grahamcluley.com/jeff-bezos-whatsapp-hacked/

... is de baas van Google voorstander van een moratorium op gezichtsherkenningstechnologie. Microsoft is tegen.
https://www.reuters.com/article/us-google-eu/alphabet-ceo-backs-temporary-ban-on-facial-recognition-microsoft-disagrees-idUSKBN1ZJ18O

... kun je allerlei trucjes toepassen om systemen voor gezichtsherkenning om de tuin te leiden.
https://josephsteinberg.com/how-to-prevent-facial-recognition-technology-from-identifying-you/

... ontstond er commotie nadat een beveiligingsbedrijf het advies uitbracht om sms in de ban doen als middel voor tweefactorauthenticatie (2FA).
https://www.forbes.com/sites/kateoflahertyuk/2020/01/21/the-surprising-truth-about-sms-security/#7a6902637a25

... heeft dat beveiligingsbedrijf zijn uiting gauw genuanceerd.
https://hotforsecurity.bitdefender.com/blog/five-major-us-wireless-carriers-are-vulnerable-to-sim-swapping-22085.html?cid=soc%7Cc%7ctw%7CH4S

... kun je aardig onthand zijn als je password manager het even niet doet.
https://www.zdnet.com/article/lastpass-is-in-the-midst-of-a-major-outage/

... weet deze dashcam waar je bent. En vertelt dat aan iedereen die het weten wil.
https://www.vice.com/en_us/article/wxedxb/blackvue-dashcams-users-location-tracked

... heeft de baas van een bedrijf, dat andere bedrijven helpt om zich te beschermen tegen DDoS-aanvallen, zelf DDoS-aanvallen laten uitvoeren.
https://krebsonsecurity.com/2020/01/ddos-mitigation-firm-founder-admits-to-ddos/

... zijn er weer eens wat gegevens uitgelekt.
·         https://www.grahamcluley.com/microsoft-data-breach/
·         https://nakedsecurity.sophos.com/2020/01/22/regus-spills-data-of-900-staff-on-trello-board-set-to-public/
·         https://www.zdnet.com/article/hacker-leaks-passwords-for-more-than-500000-servers-routers-and-iot-devices/
·         https://www.helpnetsecurity.com/2020/01/21/mitsubishi-electric-data-breach/


Gepost door op Geen opmerkingen:
Labels: , , , ,

vrijdag 17 januari 2020

Procedures volgen


Gewoontegetrouw stapte Paul in de stoptrein van Apeldoorn naar Deventer Colmschate, net als een boel andere forensen. Normaliter stapt de machinist in Apeldoorn uit, loopt naar de andere kant van de trein en rijdt deze weer terug naar waar hij vandaan kwam. Zo niet echter op die bewuste dag. De machinist dacht dat zijn dienst erop zat. En weg was hij.

Toen de treinpassagiers dat door hadden, stapten ze ook uit, want vanaf perron vier zou weldra de intercity naar het oosten vertrekken. Toen ze het zich in die trein gemakkelijk hadden gemaakt, nadenkend over hoe ze vanaf het intercitystation op hun eindbestemming moesten komen, werd echter duidelijk dat ze die puzzel niet meer hoefden op te lossen. De machinist van de intercity was namelijk ter ore gekomen dat de trein op het andere perron geen meester (leuk spoorwegjargon) had, en om redenen waar wij slechts naar kunnen gissen had iemand – de machinist, de treindienstleider? – beslist dat de intercitymachinist de stoptrein zou overnemen. En zo kon het gebeuren dat uiteindelijk een lege stoptrein richting Deventer vertrok en een volle intercity in Apeldoorn strandde.

Wat kunnen we leren van deze gebeurtenissen? Laat ik om te beginnen een open deur intrappen: mensen maken fouten. En als meerdere mensen, die in hetzelfde proces zitten, min of meer gelijktijdig fouten maken, dan wordt de impact groter. Eerst was het probleem van Paul overzichtelijk: hij moest van het grote station op zijn eindbestemming zien te komen, terwijl zijn fiets een station verderop stond. Door de dubbele fout was Pauls probleem groter geworden: hij was nog steeds in Apeldoorn en zou dus op z’n minst later dan zijn bedoeling was thuis zijn.

Ook NS had een dubbel probleem: eentje op personeelsgebied en eentje op materieelgebied. Wie moest de in de steek gelaten intercity uit Apeldoorn wegrijden? Beide problemen zitten in deze ene zin: “wie” en “wegrijden”, als in: de trein is nu elders nodig, maar als hij daar niet beschikbaar is, hoe moeten de mensen die ermee zouden moeten reizen vervoerd worden? Ik denk dat die dag nog aardig wat mensen vertraging hebben opgelopen en in een propvolle trein hebben gezeten.

Tot zover de open deur. Maar er valt meer te leren. Bijvoorbeeld dat er een verschil kan zijn tussen wat je denkt te weten en hoe het echt zit. Die eerste machinist was ervan overtuigd dat hij voor die dag klaar was. Omdat hij dat zo zeker wist, heeft hij niet nog even z’n rooster gecheckt. Iets dergelijks heb ik laatst meegemaakt met een leverancier. Als je bij hem iets bestelt, dan stuurt hij een mailtje naar een beheeradres van jouw internetdomein. Als je dat mailtje beantwoordt, dan toon je daarmee aan dat jij de eigenaar van dat domein bent. In hun procedure (in jargon liefkozend een SOP’je geheten: Standard Operating Procedure) staat dat ze dat mailtje moeten sturen naar webmaster@hetdomeinwaarhetomgaat.nl. In dezelfde SOP staat een uitzondering: als het om een bestelling van óns gaat, dan moet dat controlemailtje niet naar webmaster, maar naar postmaster, omdat achter webmaster collega’s zitten die helemaal niets met deze materie te maken hebben, terwijl we postmaster wél zelf in de hand hebben.

Web- en postmaster zijn zogenaamde administratieve contacten
die standaard bij een internetdomein horen.
Als je “iets moet” van de houder van een domein
maar geen persoonlijk e-mailadres kent,
dan kun je daarheen mailen.
Voorbeelden van internetdomeinen zijn
overheid.nl en europa.eu.

In een SOP staat stap voor stap uitgelegd wat je moet doen. Ontzettend handig voor nieuwkomers. Maar als je zo’n procedure x keer hebt uitgevoerd, raak je natuurlijk vertrouwd met de stappen. Uiteindelijk kijk je amper nog naar je SOP, omdat je het toch wel weet. Maar bij uitzonderingen gaat het dus mis. Het controlemailtje van die leverancier wordt soms naar onze webmaster in plaats van naar de postmaster gestuurd. Gevolg: vertraging in de bestelling, met als worst case onbeschikbaarheid van onze diensten. Leerpunt: als het om belangrijke zaken gaat, kijk dan toch maar in je beschrijving of rooster, ook als dat niet nodig lijkt.

Een bekende NS-slogan luidde: waar zouden we zijn zonder de trein? Paul weet daar inmiddels het antwoord op. Maar hij had nog een andere spoorwijsheid: als je een trein wilt stoppen, dan moet je er niet voor gaan staan (want dat doet zeer), maar erin. Dat is ook een mooie hint voor informatiebeveiligers: als je invloed wilt uitoefenen, spring dan op die trein. Niet om hem te stoppen overigens, maar om hem verder te helpen.

Deze blog is geschreven in een trein die mij stipt volgens de dienstregeling van Schiphol naar Apeldoorn bracht.

En in de grote boze buitenwereld …


... wil Chrome binnen twee jaar third party cookies in de ban doen, omdat Google onze privacy nu eenmaal hoog in het vaandel heeft staan.
https://blog.chromium.org/2020/01/building-more-private-web-path-towards.html

... lees je in dit artikel wat we al lang wisten: (ook) belangrijke mensen vertonen onveilig gedrag.
https://www.securityweek.com/many-high-risk-users-have-bad-security-habits-google-survey

... staat Google klaar om deze high-risk users te beschermen. En dat hebben ze nu nog eenvoudiger gemaakt.
https://blog.google/technology/safety-security/new-advanced-protection-program-account-security-instant/

... betaalt de verzekering (uiteindelijk) het losgeld als een bedrijf niet op een andere manier van ransomware af kan komen.
https://www.nu.nl/tech/6024296/gegijzeld-door-ransomware-verzekeraar-dekt-losgeld-uiteindelijk-altijd.html

... dreigen ransomware-criminelen steeds vaker met het openbaar maken van gegevens van het slachtoffer als deze het losgeld niet betaalt.
https://www.databreachtoday.com/alarming-trend-more-ransomware-gangs-exfiltrating-data-a-13612

... oordeelde de Nederlandse rechter dat dergelijke afpersing niet strafbaar is.
https://blog.iusmentis.com/2020/01/16/huh-afpersen-is-niet-verboden-als-je-dreigt-met-openbaarmaking/

... maken scammers handig gebruik van de ransomware-aanval op Travelex.
https://www.grahamcluley.com/travelex-warns-customers-of-phone-scam-threat-in-wake-of-ransomware-attack/

... is het uitzetten van een computer nog geen garantie dat hij niet met ransomware wordt besmet.
https://www.security.nl/posting/639215/Ransomware+gebruikt+Wake-on-Lan+om+uitgezette+pc%27s+te+versleutelen

... zijn twee Amerikaanse gemeentes gehackt via hun niet gepatchte SharePoint-omgevingen.
https://www.zdnet.com/article/fbi-nation-state-actors-have-breached-two-us-municipalities/

... waarschuwt het NCSC dat de actuele kwetsbaarheid in Citrix niet volledig wordt verholpen door de beschikbare patch. Het NCSC adviseert om Citrix uit te zetten, omdat er actief misbruik wordt gemaakt van de kwetsbaarheid.
https://www.ncsc.nl/actueel/nieuws/2020/januari/16/door-citrix-geadviseerde-mitigerende-maatregelen-niet-altijd-effectief

... viel het Medisch Centrum Leeuwarden ten prooi aan deze Citrix-exploit.
https://www.security.nl/posting/639362/Citrix-servers+ziekenhuis+Leeuwarden+mogelijk+doelwit+aanval

... kreeg ook Windows deze week te maken met een ernstige kwetsbaarheid. Dit werd door de NSA naar buiten gebracht, wat op zich al interessant is.
https://www.ncsc.nl/actueel/nieuws/2020/januari/14/installeer-patches-van-microsoft-voor-cryptoapi-en-rdp-gateway

... delen dating-apps nogal wat gevoelige informatie met hun zakenpartners.
https://www.nytimes.com/2020/01/13/technology/grindr-apps-dating-data-tracking.html


Gepost door op Geen opmerkingen:
Labels: , , , , ,

vrijdag 10 januari 2020

Goede hoop


Ik houd niet van voorspellingen. Het is erg makkelijk om in december iets te roepen over de ontwikkelingen in het volgende jaar op het gebied van ransomware, kunstmatige intelligentie, kwantumcomputing en de onvermijdelijke blockchain hoewel die hype alweer een beetje op z’n retour lijkt te zijn). Gemakkelijk dus, en geen hond die aan het eind controleert of jouw voorspellingen zijn uitgekomen. Met name grote leveranciers trakteren je in december op een overdaad aan glazenbolberichten.

Nee, ik ben meer van ‘hoop doet leven’. En als ik mijn eerste werkweek van dit decennium als maatstaf mag nemen, dan ben ik erg hoopvol gestemd. Wat mij extra zonnig stemt is dat die hoop niet voortkomt uit goede voornemens, maar uit concrete activiteiten. Ik neem je mee op een reisje door mijn agenda van de afgelopen week.

Als overheidsinstantie moeten wij voldoen aan de BIO, de Baseline Informatiebeveiliging Overheid (voorheen de BIR, met de R van Rijksdienst; de BIO is er voor de héle overheid). De BIO telt ruim honderd maatregelen, die deels rechtstreeks zijn overgenomen uit de ISO27002 (een internationale norm voor informatiebeveiliging) en deels door de overheid zelf zijn bedacht, als aanvulling op de ISO-maatregelen. Al deze maatregelen bestrijken diverse aspecten, waardoor je al gauw geneigd bent om bij een bepaalde maatregel te zeggen: daar ga ik niet over. Welnu, deze week hadden we een organisatiebreed overleg om de buit te verdelen. Welke afdeling is verantwoordelijk voor welke maatregel en wie gaat over de implementatie? Dat is nog best een ingewikkelde puzzel, maar de rand van die puzzel hebben we alvast gelegd (en in de aanloop naar deze sessie hebben een aantal collega’s al een heleboel voorbereid, waarvoor dank). De uitkomsten van dit initiatief gaan ons echt helpen om de BIO op efficiënte wijze te implementeren.

Dat dat ook nodig is, weet ik uit ervaring. In het datacenter zijn we al een tijdje bezig met de BIR compliancy check (nu dus BIO), waarmee we nagaan of onze diensten en systemen aan de eisen voldoen. Daarbij lopen we inderdaad vaak aan tegen de vraag: wat moet ik met deze maatregel? Ik had een gesprek met iemand die de invuloefening voor zijn dienst zelf had ingevuld en daar ook tegenaan liep. Hij had overigens prima in de gaten dat de BIR/BIO werkt op basis van ‘pas toe of leg uit’ (comply or explain) – óf je doet het, óf je hebt een goed verhaal waarom je het niet doet, bijvoorbeeld omdat een bepaalde maatregel elders voor jou is belegd. Of omdat je andere maatregelen hebt, waarmee je hetzelfde doel bereikt.

We zijn niet alleen bezig met al deze voorgeschreven maatregelen, maar we kijken ook vanuit bedreigingen. We doen dus risicoanalyses. Dat gebeurt op initiatief van de teams en vanuit ons team faciliteren we deze sessies; je kunt ze bij ons bestellen. Deze week heb ik afspraken over twee nieuwe risicoanalyses kunnen maken, en vanmiddag ga ik er een doen die al voor de kerst gepland was. Dat winkeltje loopt dus ook lekker. Wat daar overigens heel erg bij helpt is een MT-besluit; managementsteun is hierin onmisbaar. In ieder geval om de boel op te starten. De ervaring leert dat mensen enthousiast worden van risicoanalyses zodra ze zien dat ze er daadwerkelijk baat bij hebben en niet alleen met een verplicht nummertje bezig zijn.

Een heel ander onderwerp was deze week het creëren van een single point of truth voor informatie over het verantwoord omgaan met gegevens. Nu is die informatie nog erg versnipperd, maar nu komt er een website op het intranet die alle informatie over dit onderwerp vanuit onder andere de aspecten informatiebeveiliging, privacy en archivering gaat ontsluiten. Een prima initiatief, dat ervoor gaat zorgen dat onze medewerkers beter worden geholpen om verantwoord om te gaan met onze kostbare gegevens.

Ook binnen ons eigen team streven we voortdurend naar verbetering. Deze week hebben we afspraken gemaakt om een procesje verder te professionaliseren, waardoor we beter in control zijn. Dit soort kleine verbeteringen moet je niet onderschatten.

In oktober mocht ik een presentatie geven op de jaarlijkse conferentie van onze EDP-auditors, en deze week ontving ik een uitnodiging voor een reprise, omdat ik in de evaluatie in de top-10 was beland. Een leuke opsteker! Bezoekers, die voor een andere parallelsessie hadden gekozen, krijgen nu alsnog de kans om mijn verhaal aan te horen.

Je ziet het: na één week 2020 ben ik al erg positief gestemd. Ik hoop dat positivisme vast te houden en op jullie allemaal – zowel collega’s als externe lezers – uit te stralen. Dat betekent overigens niet dat voortaan iedere Security (b)log een feel good story is. Helaas blijft het noodzakelijk om minder vrolijke zaken (zoals cybercrime) te bespreken. Maar ik schrijf het wel zo op dat je er uiteindelijk beter van wordt.

En in de grote boze buitenwereld …


... kan een bedrijf best veel communicatiefouten maken als het slachtoffer is van ransomware.
https://www.grahamcluley.com/travelex-ransomware/

... heeft de bovenstaande besmetting plaatsgevonden via een nog steeds niet gepatchte Pulse Secure-server.
https://tweakers.net/nieuws/161938/virus-bij-gwk-travelex-zou-ransomware-zijn-die-binnenkwam-via-pulse-secure-lek.html

... kan ransomware het einde betekenen voor een bedrijf.
https://www-zdnet-com.cdn.ampproject.org/c/s/www.zdnet.com/google-amp/article/company-shuts-down-because-of-ransomware-leaves-300-without-jobs-just-before-xmas/

... bevat de gereedschapskist van onderzoekscollectief Bellingcat een heleboel handige tools.
https://docs.google.com/document/d/1BfLPJpRtyq4RFtHJoNpvWQjmGnyVkfE2HYoICKOGguA/edit#heading=h.lem6xugu8h29

... houden Nederlandse providers zich netjes aan de regels voor netneutraliteit.
https://tweakers.net/nieuws/162108/acm-nederlandse-providers-houden-zich-aan-netneutraliteitregels.html

... gaat de cockpit van de Boeing 737 op zwart als het vliegtuig zeven specifieke vliegvelden vanuit het westen nadert.
https://www.theregister.co.uk/2020/01/08/boeing_737_ng_cockpit_screen_blank_bug/

... moeten Firefox-gebruikers hun browser nú updaten.
https://www.grahamcluley.com/stop-everything-update-firefox-now/

... is het verstandig om je digitale nalatenschap goed te regelen.
https://www.sans.org/security-awareness-training/resources/digital-inheritance

... kan een slimme phishingmail ervoor zorgen dat criminelen toegang krijgen tot jouw cloud-account (bijvoorbeeld Office365) en die toegang zelfs blijven houden nadat je je wachtwoord hebt gewijzigd. Ook tweefactorauthenticatie helpt hier niet tegen.
https://krebsonsecurity.com/2020/01/tricky-phish-angles-for-persistence-not-passwords/

... leeft de milleniumbug nog steeds voort.
https://josephsteinberg.com/y2k-type-bug-hits-new-york-city-and-various-businesses-20-years-after-y2k/

 ... waren computervirussen vroeger veel liever.
https://time.com/4068738/computer-virus-first-early

... kan iets wat in het ene geval een uitstekende maatregel is, in een ander geval een onzinnige maatregel zijn.
https://twitter.com/ChrisADale/status/1213873351879467008/photo/1


Gepost door op Geen opmerkingen:
Labels: , , ,
Abonneren op: Posts (Atom)