Vroeger, in het tijdperk van het oude normaal, was er zowat iedere maand een introductiedag voor nieuwe medewerkers, stagiairs en inhuurkrachten*. In het programma was ook een uurtje ingeruimd voor informatiebeveiliging en business continuity management. We hadden een klein groepje mensen die deze presentatie bij toerbeurt gaven. Dat was altijd leuk om te doen, vooral als je tot wat interactie met de zaal kon komen. Maar ja, dat is voorlopig verleden tijd en de nieuwkomers moeten het doen met de online geplaatste presentatie. Speciaal voor jullie, nieuwe collega’s, probeer ik die presentatie hier een beetje tot leven te wekken. En misschien kunnen de oudgedienden er ook nog iets van opsteken…
Het verhaal begint met de basis van informatiebeveiliging: uitleg van de
termen beschikbaarheid, integriteit en vertrouwelijkheid (BIV, of CIA in het
Engels: confidentiality, integrity, availability). Beschikbaarheid betekent dat
gegevens en processen er zijn op het moment dat je ze nodig hebt. Integriteit
gaat niet over de integriteit van een persoon, waar je op zo’n introductiedag
ook van alles over hoort, maar over de juistheid en volledigheid van gegevens:
is alles er en zijn de gegevens niet onbedoeld gewijzigd? Vertrouwelijkheid
spreekt voor zichzelf: inzage van gegevens moet beperkt zijn tot medewerkers
die deze gegevens nodig hebben om hun werk te kunnen doen.
Geïllustreerd met een paar krantenkoppen leggen we uit dat er altijd wel
gaten in de beveiliging zitten. Dat komt doordat computers en software zo
ontzettend ingewikkeld zijn dat fouten onvermijdelijk zijn. Sommige van die fouten
hebben effect op de veiligheid van het systeem. Maar ook menselijk gedrag kan
tot inbreuken op de beveiliging letten. Als je een briefje met je wachtwoord in
je laptoptas bewaart dan kan iemand, die jouw tas steelt, vervolgens alles wat
jij ook kunt.
Nu is dit wel een heel duidelijk voorbeeld, maar het kan subtieler. Een
eindje verderop in de presentatie komt social
engineering aan de orde: het hacken van de mens. Een social engineer
probeert je informatie te ontfutselen of handelingen te laten verrichten zonder
dat je in de gaten hebt dat je iets geeft of doet wat je niet zou moeten geven
of doen. Hij doet research naar jou via social media, papt met je aan in het
café waar je elke donderdagavond zit en dringt na een paar van deze toevallige
ontmoetingen door tot de kern. Of hij belt je op, zegt dat hij van de Microsoft
Helpdesk is en dat hij je gaat helpen om een ernstig probleem op je computer op
te lossen, waarna hij óf je computer met malware besmet, óf je flink laat
betalen om ellende op te ruimen die je daarvoor helemaal niet had.
Een ander onderwerp is security by
design. Beveiliging is niet iets wat je achteraf nog even in een applicatie
of in infrastructuur inbouwt. Nee, je moet het meteen al in je ontwerp meenemen
om het effectief en betaalbaar te maken. Onze ontwikkelrichtlijnen helpen je
daarbij, en ze zorgen er ook voor dat de maatregelen van security in depth intact blijven. Dat laatste betekent dat we een
gelaagde beveiligingsstructuur hebben: de gegevens – onze kroonjuwelen – zitten
in het midden van een denkbeeldige ui. Als je daar één laag van afpelt, ben je
nog niet meteen bij de kern. En zo bereik je als kwaadwillende niet direct de
gegevens als je één beveiligingslaag hebt weten te doorbreken of omzeilen.
Afwijken van ontwikkelrichtlijnen kan dus van invloed zijn op deze gelaagde
beveiliging.
Natuurlijk praten we ook over phishing, maar daar heb ik het hier al
vaker over gehad (en dat zal vast nog wel vaker als hoofdonderwerp terugkomen,
vrees ik).
In het onderdeel business continuity management leggen we uit wat het
betekent als onze ICT uitvalt en wie daar allemaal last van heeft. BCM richt
zich op het voorkomen van dergelijke calamiteiten. En als ze zich dan tóch
voordoen, dan wil je ze zo goed mogelijk beheersen en zo snel mogelijk
terugkeren naar de normale situatie. Daar zorgt BCM voor, uiteraard op
voorwaarde dat je het vooraf allemaal goed hebt ingericht. Het is leuk dat je
een back-up maakt, maar je zult ook moeten testen of je die gegevens succesvol
kunt herstellen als het nodig is. BCM draait om het maken van plannen én het
testen van die plannen. Centraal in die plannen staan de continuïteit van het
bedrijfsproces, de veiligheid van medewerkers en bezoekers en de reputatie van
de organisatie. En als er dan een keer iets aan de hand is, dan wil je ook een
goed geoliede crisisorganisatie hebben, die de situatie het hoofd biedt.
Aan het einde van de presentatie maken we reclame voor de Security
(b)log. Het is dan altijd leuk om te zien dat sommige nieuwkomers enthousiast
knikken omdat ze hem al gevonden hebben. En de anderen wórden hopelijk nog
enthousiast. Niet zozeer voor mij, maar omdat we in onze organisatie nu eenmaal
graag werken met mensen die op de hoogte zijn van informatiebeveiliging en BCM.
En in de grote boze buitenwereld …
... scoort Nederland de vijfde plek op de National Cyber Power Index
2020 van Harvard. Die index is berekend op basis van de intenties die een land
heeft en het vermogen die het heeft om die intenties waar te maken.
https://www.belfercenter.org/publication/national-cyber-power-index-2020/
... heeft het Witte Huis beveiligingsnormatiek voor ruimteschepen
opgesteld.
https://www.zdnet.com/article/white-house-publishes-a-cyber-security-rulebook-for-space-systems/
... kun je data in strikt juridische zin niet stelen, maar je kunt daar
wel voor gestraft worden.
https://blog.iusmentis.com/2020/09/09/data-is-niets-maar-een-man-uit-spijkenisse-kon-ze-wel-stelen/
... bemoeien Russische staatshackers zich inmiddels met beide kampen in
de Amerikaanse verkiezingen.
https://www.wired.com/story/russias-fancy-bear-hackers-are-hitting-us-campaign-targets-again/
... legt dit artikel uit wat een RAT is.
https://www.darkreading.com/edge/theedge/rats-101-the-grimy-trojans-that-scurry-through-remote-access-pipes/b/d-id/1337996
... is hashing niet hetzelfde als encryptie.
https://www.troyhunt.com/we-didnt-encrypt-your-password-we-hashed-it-heres-what-that-means
... worden er gelukkig ook wel eens WhatsApp-fraudeurs opgespoord en
veroordeeld.
https://www.security.nl/posting/670507/Celstraf+voor+duo+dat+tientallen+mensen+via+WhatsApp+oplichtte
... verdenkt de Ierse privacytoezichthouder Facebook ervan data van
EU-burgers naar de VS te hebben gestuurd.
https://www.security.nl/posting/670501/Facebook+onderzocht+wegens+versturen+van+data+EU-burgers+naar+VS
... kan het MKB gratis phishingtests tegemoet zien.
https://www.security.nl/posting/670276/Ministerie+van+Economische+Zaken+geeft+duizend+phishingtests+weg
... weet je telefoon straks of je te diep in het glaasje hebt gekeken.
https://www.security.nl/posting/670150/Smartphone+kan+detecteren+wanneer+gebruiker+dronken+is
… haalt komiek Micheal McIntyre de gebruikelijke eisen, die aan
wachtwoorden worden gesteld, snoeihard onderuit.
https://youtu.be/aHaBH4LqGsI
Geen opmerkingen:
Een reactie posten