Mijn smartphone is twee jaar oud. Hij doet het nog prima. Oké, ik moet
af en toe een vetrandje wegsnijden, ik heb gemerkt dat het voor de goede
werking van het apparaat gunstig is als zo’n tien procent van de opslagruimte
vrij blijft. Wordt het geheugen te vol, dan krijgt hij nukken. Dat is redelijk
goed te managen door af en toe de bezem erdoor te halen (daar bestaan apps
voor) en – mijn meest recente ingreep – de foto’s niet langer op het toestel op
te slaan, maar in de cloud. Die boot heb ik, als gediplomeerd cloud-scepticus,
lang afgehouden. Ook voor mij geldt echter dat informatiebeveiliging om
evenwicht vraagt tussen de eisen die je hebt aan de bescherming van je gegevens
enerzijds en je functionele eisen anderzijds. Een belangrijke functionele eis is:
hij moet het soepeltjes doen. Wordt dat belemmerd, dan moet daar een oplossing
voor komen. En voor die oplossing moet je soms, weloverwogen, water bij wijn doen
(Château Securité).
Waar mijn scepsis vandaan komt? Gewoon, van de drie aspecten die iedere
informatiebeveiliger met de paplepel krijgt ingegoten: beschikbaarheid,
integriteit, vertrouwelijk. BIV in goed Nederlands, of CIA voor de
Angelsaksisch georiënteerden onder ons (Confidentiality, Integrity,
Availability). Begin ik bij de B, dan vraag ik me af: is mijn fotocollectie
beschikbaar als ik haar nodig heb? Door de jaren heen zijn er genoeg
voorbeelden te vinden van clouddiensten die down
waren, waardoor klanten niet bij hun gegevens konden. Bovendien maakt mijn
telefoon, net als de jouwe, gebruik van een ‘gratis’ opslagdienst en heb ik dus
weinig te willen. Integriteit gaat over de juistheid en volledigheid van
gegevens. Ik ben niet bang dat ‘ze’ eens lekker gaan zitten fotoshoppen,
waardoor mijn foto’s niet meer kloppen. Wat wel zou kunnen gebeuren is dat
enkele foto’s zoek raken, dan is de collectie dus niet meer volledig. En tja,
vertrouwelijkheid. In gebruiksvoorwaarden staat meestal dat de aanbieder van
een opslagdienst letterlijk alles met jouw bestanden mag doen. Vervolgens doen
ze dat natuurlijk niet, omdat het slecht voor zou uitpakken voor hun business:
de meeste klanten houden niet zo van dergelijke openheid. Maar je weet nooit of
er een keer een beveiligingsinstellinkje nét verkeerd staat, waardoor zomaar
iemand jouw kiekjes kan bekijken.
Maar dat terzijde – ik ging het deze week helemaal niet over de cloud
hebben. Het onderwerp van deze blog is nog steeds mijn telefoon, die het – mits
ik regelmatig onderhoud pleeg – nog prima doet. Maar nu komt het: hij krijgt
geen updates meer. En niet alleen geen Android-updates meer (daar zou ik wel
mee kunnen leven), maar ook geen beveiligingsupdates meer. De laatste was van
augustus vorig jaar. Oeps. Zo lang geleden al? Hoe kon dat gebeuren? Simpel.
Zolang je updates krijgt, zie je daar meldingen over op je telefoon: hé, er
staat een nieuwe update voor je klaar. Maar als die stroom opdroogt, dan stuurt
de fabrikant van jouw toestel – want die gaat over de updates – je géén bericht
dat de koek op is. Je moet dus al bijna zelf op een dag bedenken: hè, ik heb al
lang geen updates meer gehad, laat ik eens kijken of ik ze überhaupt nog krijg.
Op de website van de fabrikant van mijn toestel staat het klip en klaar: uw
toestel wordt niet meer ondersteund.
Ik verkeer nu in gewetensnood. Moet ik een nieuwe telefoon kopen? Alleen
maar omdat de mijne geen updates meer krijgt, terwijl hij nog gewoon
functioneert? Computers – en dus ook smartphones – waarvan de software niet
regelmatig geüpdatet wordt, lopen een verhoogd beveiligingsrisico. Alle
software bevat fouten, en sommige van die fouten hebben impact op de
beveiliging van het apparaat. Ze kunnen kwetsbaar worden voor aanvallen van
buitenaf, waardoor een kwaadwillende inzage in je gegevens kan krijgen,
gegevens kan stelen en ze eventueel laten uitlekken, of ‘in je toestel kruipen’
en er alles mee doen wat hij/zij maar wil. Geen prettige gedachte.
Gelukkig heb ik compenserende maatregelen genomen. Niet nu pas hoor, die
beveiligingsmaatregelen waren er altijd al. Ik heb een virusscanner draaien. Ja,
op mijn telefoon. Er is namelijk ontzettend veel malware voor
Android-toestellen in de wereld. En ik heb een VPN-app (Virtual Private
Network), die ervoor zorgt dat ik, wanneer ik buiten de deur op een
wifi-netwerk zit, over een versleutelde verbinding beschik. Daarbij zij
opgemerkt dat een VPN geen absolute beveiliging biedt; het betekent slechts dat
je je vertrouwen verlegt van de aanbieder van het wifi-netwerk naar de
aanbieder van het VPN.
Misschien lost mijn dilemma zichzelf op. Twee jaar geleden heeft het
hele gezin dezelfde telefoon gekocht. Mijn zoon stapte vorig jaar al over op
een nieuwer model, vanwege betere camera’s en meer geheugen. Die van mijn
dochter crashte onlangs en was alleen via een fabrieksreset weer tot leven te
krijgen. En het toestel van mijn vrouw heeft ook wel eens kuren. Waarschijnlijk
gaan ze gewoon op tijd kapot en dan moeten we wel nieuwe kopen.
En in de grote boze buitenwereld …
... word ik “op mijn wenken bediend” met deze kwetsbaarheid, waarvoor
mijn telefoon geen update zal ontvangen.
... kan ook een achtergrondfoto je Android-toestel laten crashen.
... wordt het bestaan van een VPN ook wel eens misbruikt in
phishingmails.
... haakte de actualiteit razendsnel in op de Security (b)log van vorige
week. Ook BN’ers worden het slachtoffer van WhatsApp-fraude.
... loopt er een miljardenclaim tegen Google omdat de Chrome-browser
gegevens verzamelt terwijl je hem in incognito-modus gebruikt.
... volgen Amerikaanse opsporingsdiensten mobieltjes van verdachten nu
vanuit de lucht. Daarbij pikken ze echter ook signalen van veel andere
telefoons op.
... is het lastig om te controleren of een corona-telefoontje of -sms’je
inderdaad van de GGD afkomstig is. De Britse overheid denkt dat dat wel zal
meevallen.
... wordt het in Nederland wettelijk verboden om misbruik te maken van
de toekomstige corona-app. Ik ben benieuwd of dat ook misbruik omvat zoals in
het vorige artikel is beschreven.
... hadden kwaadwillenden de mogelijkheid om je Apple-account over te
nemen.
... werkt TNO aan het quantumproof
maken van verbindingen.
... moet je kennelijk naar de rechter stappen als je wilt dat een
toezichthouder een oordeel over je velt. In dit geval: VoetbalTV vs. de
Autoriteit Persoonsgegevens.
... is de uitdrukking “never waste a good crisis” aan veel mensen niet
besteed.
Geen opmerkingen:
Een reactie posten