Juristen kunnen goede vragen stellen, heb ik gemerkt. Dat wisten we
natuurlijk al – ze verdienen er zo ongeveer hun brood mee, lijkt me. Maar soms
komen ze dus ook met slimme vragen als het om informatiebeveiliging gaat.
Zo was er onlangs iemand die naar de rechtbank moest en daarvoor afdrukken
van documenten nodig had. Ze wist dat ze die niet naar haar privéaccount mocht
mailen om ze vervolgens op haar privéprinter af te drukken. Maar ze had wel een
alternatief gevonden: bij haar printer hoort een app, waarmee ze vanaf haar
iPad ‘rechtstreeks’ kan printen. Gelukkig informeerde ze eerst of het gebruik
van die app is toegestaan. Printen op deze wijze is namelijk helemaal niet zo
rechtstreeks, maar gaat in veel gevallen via de cloud. Je weet wel, de computer
van iemand anders. In dit geval die van Apple, want de bewuste app maakt
gebruik van de iCloud. Onze documenten horen niet in de publieke cloud te
staan, want we hebben vaak onvoldoende zekerheid over de bescherming van
informatie die daar staat en als de servers van die cloud zich buiten Europa
bevinden, heb je al gauw met de AVG te maken. Ik kon deze collega nog wel een
tip aan de hand doen: je kunt proberen of je printer werkt als je hem met een
USB-kabel aan je laptop aansluit. Soms werkt dat (namelijk als er op je laptop
een geschikte driver voor die printer staat). Vraag je wel af of je die
printjes écht nodig hebt. In de thuissituatie zijn je digitale documenten beter
beschermd dan papier.
Een andere jurist ging niet naar de rechtbank, maar zou vanuit zijn
eigen huis deelnemen aan een online zitting. Hij vroeg zich af of ‘ze’ in staat
zouden zijn om zijn privéadres te achterhalen, bijvoorbeeld middels het
gebruikte IP-adres (het adres waarmee een computer aan het internet hangt). De
rechtbank zou gebruik maken van Skype for Business en op basis daarvan ben ik eens
wat gaan rondneuzen. Ik vond bij Microsoft, de fabrikant van Skype, keurige
documentatie over verschillende types contactpersonen en wat die van jou kunnen
zien en hoe je dat kunt beïnvloeden. Die handleidingen gaan er echter wel van
uit dat je een account hebt; je hebt er weinig aan als je als gast deelneemt
aan een sessie. Verder vond ik nog wat onafhankelijke artikelen die beschreven
dat je in ieder geval bij het gewone Skype (de niet-businessversie) IP-adressen
kunt achterhalen.
Met al die informatie kon ik geen sluitend antwoord op de gestelde vraag
formuleren. Adequaat beveiligen betekent dat je kijkt hoe groot een dreiging
voor jou is en hoeveel moeite je moet, kunt en wilt doen om je daartegen te
beschermen. Ik weet niet hoe spannend deze specifieke zitting zou zijn, maar ik
kon deze collega wel een paar tips geven. Ten eerste: zet wifi uit op het apparaat waarmee
je gaat skypen en maak in plaats daarvan gebruik van een 4G-verbinding.
Daardoor geef je je IP-adres niet prijs. Als het apparaat zelf geen simkaart
heeft, dan kun je de wifi-hotspot van je (zakelijke) smartphone gebruiken. Ten
tweede: zet als extra maatregel ‘locatie’ uit op de smartphone. En ten derde,
als het een héél spannende zitting is: ga te rade bij een digitaal rechercheur.
Overigens waren mijn adviezen een beetje sneu voor deze collega, omdat een
smartphone niet bij zijn functie hoort en hij het dus moet doen met een
niet-slim toestel. Misschien kan deze case onze werkgever erbij helpen om
dergelijke functionarissen ook op het zakelijke vlak de eenentwintigste eeuw
binnen te loodsen.
En dan was er nog die collega bij wie thuis werd ingebroken, waarbij
zijn zakelijke laptop werd meegenomen. Een klant, wiens persoonlijke gegevens
op die laptop stonden en die over de diefstal geïnformeerd was, stuurde een
waslijst aan specifieke vragen op, bijvoorbeeld over versleuteling, het
blokkeren van de laptop en over tijdstippen. De teamleider van de
onfortuinlijke collega, een jurist, kwam via omwegen bij mij terecht en vroeg
me te helpen bij de beantwoording van de vragen. De meeste vragen konden in
algemene zin worden beantwoord: al onze laptops zijn versleuteld. Ook al haalt
de inbreker de harde schijf (vergeef me deze nostalgische term) eruit en
koppelt hij haar aan een andere computer, de inhoud blijft voor hem verborgen.
Tenzij op die laptop een geeltje met user-id en wachtwoord geplakt zat,
natuurlijk. Want voor een legitieme gebruiker – of iemand die over diens credentials beschikt – is de
versleuteling transparant, zoals dat zo mooi heet. Zo’n geeltje was er
natuurlijk niet, want iedereen weet dat je dat niet moet doen. Als het nodig is
om je wachtwoord op te schrijven, dan bewaar je dat niet bij je laptop. De
beste plek daarvoor is een password manager op je smartphone.
De inbreker kan nog proberen om een geldige combinatie van user-id en
wachtwoord te raden, maar daar heeft hij maar een zeer beperkt aantal pogingen
toe. Daarna blokkeert de werkplek en is het over en uit. Een geruststellende
gedachte.
En in de grote boze buitenwereld …
... doen spionnen er ook goed aan om wat beter over
informatiebeveiliging na te denken.
... wordt Australië aangevallen.
... heeft China een quantumverbinding gelegd over een grote afstand. Een
dergelijke verbinding is zowat onkraakbaar.
... geeft dit artikel een kijkje in een desinformatiecampagne.
... is het in Amerika kennelijk raadzaam om een burner phone mee te nemen naar een demonstratie. Dit is een
handleiding voor het inrichten van een demonstratiemodel.
... stopt Intel bescherming tegen malware in z’n processoren.
... kijkt de Autoriteit Persoonsgegevens kritisch naar TikTok.
... stoppen je slimme apparaten ermee als het root-certificaat verloopt.
... loopt de jeugdzorg achter met informatiebeveiliging.
... moet je nog steeds niet zomaar alle QR-codes scannen.
... moet een Zuid-Afrikaanse bank miljoenen bankpassen vervangen omdat
de master key is gestolen.
... maakt de politie ook graag gebruik van social media.
... is het nu toch echt tijd om Flash Player op te ruimen, zegt de
fabrikant.
... uit deze professor zich kritisch over corona-apps die gebruikmaken
van de technologie die Apple en Google hiervoor bieden.
Geen opmerkingen:
Een reactie posten