Daan had net een potje Fortnite
op de iPad uitgespeeld en zapte nu wat verveeld door de andere apps op het
apparaat. Eigenlijk mocht dat niet van zijn vader, en bijster interessant was
het ook niet: Daan begreep maar niets van al die moeilijke grotemensentaal die
hij in die saaie apps zag staan. Zijn vingers gleden gedachteloos over het
virtuele toetsenbord, tot het sein ‘bedtijd!’ werd gegeven.
Erik, de vader van Daan, moest de volgende ochtend bij zijn
leidinggevende komen. Die had Karel, een collega uit een andere afdeling,
briesend aan de telefoon gehad. Karel was woest op Erik, omdat die hem een
mailtje had gestuurd waar achtereenvolgens – vergezeld door de nodige emoji’s –
het weerbericht, de bitcoinkoersen en een stukje van een LinkedIn-profiel in
stonden, in antwoord op een serieuze vraag van Karel over een bepaalde klant.
Als je het zo achter elkaar leest, dan snap je waarschijnlijk wel wat er
gebeurd is: Daan had met de zakelijke iPad van zijn vader gespeeld en daarbij
al knippend en plakkend een antwoord op Karels mail gedicht én verzonden. Op
die manier was Erik behoorlijk in verlegenheid gebracht. Klinkt dit je
onwaarschijnlijk in de oren? Dat had ik ook, toen ik een paar jaar geleden van
een geschrokken collega een variant op de tweede alinea kreeg toegezonden met
de opening: “Help, mijn mail is gehackt!” Pas na wat stevig doorvragen gaf Erik
schoorvoetend toe dat z’n zoontje ‘wel eens’ op de iPad van de baas mocht
spelen. Case closed. Niks geen hack.
In ons beleid staat dat je zakelijke apparatuur ‘beperkt’ privé mag
gebruiken. Onlangs kwam ik er achter dat sommige mensen een wat brede uitleg
geven aan de term privégebruik: privé, dat is thuis, en dus mag mijn apparaat
thuis worden gebruikt. Door iedereen.
En dat klopt dus niet. Je moet namelijk niet uitgaan van het apparaat,
maar van het account dat toegang geeft tot het apparaat. En dat account is
persoonsgebonden, wat weer inhoudt dat je er niemand anders gebruik van mag
laten maken – en dat staat ook in het beleid.
“Maar ik open mijn iPad toch gewoon met een pincode of een
vingerafdruk?”, hoor ik je denken. Ja, dat klopt wel, maar los van het feit dat
daar ook gewoon een account achter zit (ook al hoef je geen user-id in te
typen), geeft het apparaat – als het eenmaal ontgrendeld is – ook toegang tot
je zakelijke e-mail en misschien nog andere apps die aan jouw als persoon
(werknemer!) gekoppeld zijn. Wie toegang heeft tot je iPad, heeft vaak automatisch
ook toegang tot deze apps, en kan dus bijvoorbeeld uit jouw naam mail
verzenden. En leg dan op het werk maar eens uit dat jij dat niet zelf hebt
gedaan.
‘Beperkt privégebruik’ houdt bij ons dus per definitie in: privégebruik door
jou, de medewerker aan wie het apparaat is verstrekt. En niet door bijvoorbeeld
een collega of huisgenoot. “Ik ga vanavond thuis een moeilijk gesprek hebben”,
verzuchtte onlangs een collega na mijn uitleg hierover. Hij was een Erik, die
in alle oprechtheid dacht dat gamende kinderen onder het begrip privégebruik
vielen. En omdat die collega mijn uitleg begreep en heel integer is, moest hij
dus die avond aan z’n zoontje uitleggen dat het gedaan was met gamen op de iPad
van papa.
Het spijt me voor dat jochie en voor al die andere kinderen, die – nu
jij dit gelezen hebt – ook niet meer op de tablet, smartphone of laptop van pa
of ma terecht kunnen. Maar hé, ik heb een organisatie te beschermen, en daar
horen nu eenmaal spelregels bij. Het te allen tijde moeten kunnen herleiden van
een handeling naar een persoon is er daar één van, vandaar dat je niemand
anders onder jouw account mag laten werken – of spelen.
Volgende week komt er geen
Security (b)log.
En in de grote boze buitenwereld …
... is de uitvinder van knippen/plakken overleden.
... is de uitvinder van knippen/plakken overleden.
... valt er weinig te gamen als de cloud uitvalt.
... worden we steeds vaker aangevallen vanuit de publieke cloud.
... wordt er in de cloud nogal wat verkeerd geconfigureerd.
... weet je niet of cloud-apps wel veilig met jouw bestanden omgaan.
... kun je een echte kaars aansteken met je telefoon. Hoe veilig zou dat
zijn?
… mag je hopen dat de servers van jouw VPN wél goed beveiligd zijn.
... zegt Google dat de ToTok-app spyware bevat. Vervolgens zeggen de
makers van de app tegen hun gebruikers dat ze de waarschuwing van Google maar
moeten negeren.
... stellen CEO’s tegenwoordig moeilijkere vragen aan CISO’s dan alleen
maar: “Zijn we goed beveiligd?”
... kan een ‘1’ je een heel ongemakkelijk gevoel geven.
... vertelt deze app je welke IoT-devices er in de buurt zijn en wat ze
met jouw data doen.
... heeft het onderwijs in Limburg het de laatste tijd zwaar te
verduren.
... is het niet zo handig om de kantoorautomatisering van een gasfabriek
aan de besturing van die fabriek te koppelen.
... blijven hotels dankbare doelwitten voor hackers.
... is social engineering ook
dat je tienermeisjes inzet om soldaten van de vijand ertoe te verleiden om
spyware op hun telefoon te installeren.
... zijn vorig jaar alleen al in Nederland ruim vierduizend frauduleuze
webwinkels offline gehaald.