In het rapport Trends in veiligheid 2020 van Capgemini las ik dat 43% van de Nederlanders aangeeft dat ze in de afgelopen twaalf maanden geen slachtoffer van cybercriminaliteit zijn geweest. Ik moest meteen denken aan een wijsheid die al jaren de ronde doet onder informatiebeveiligers. Er zijn twee soorten bedrijven: bedrijven, die al eens gehackt zijn, en bedrijven, die niet weten dat ze al eens gehackt zijn. Ik denk dat je deze stelling ook op individuele burgers kunt toepassen, als je ‘gehackt’ vervangt door ‘in aanraking met cybercrime geweest zijn’.
Ik had in dat rapport graag een definitie van ‘slachtoffer’ gelezen. Ben
je al slachtoffer als je spam ontvangt, of ben je pas slachtoffer als je in een
phishingmail trapt of ransomware je computer gijzelt? Als ik presentaties geef,
vraag ik soms wie er al eens in aanraking
is geweest met cybercrime. Als dan niet iedereen de hand opsteekt, dan vraag ik
aan de ontkenners of ze werkelijk nog nooit een phishingmailtje hebben
ontvangen. En ik heb nog nooit meegemaakt dat die handen dan niet alsnog omhoog
gaan. Ik houd de definitie van slachtoffer graag breed.
Zoals iedereen wel eens te maken krijgt met verkeershufters, zo krijgt
ook iedereen wel eens te maken met cybercriminelen. En net zoals die wegpiraat
het niet op jou persoonlijk heeft voorzien, zo heeft ook de computerboef het
doorgaans niet op jou in het bijzonder voorzien – hij schiet gewoon met hagel
en hoopt dat een paar van die kogeltjes iets raken, waarbij ‘iets raken’ betekent
dat een potentieel slachtoffer toehapt, waardoor hij een écht slachtoffer
wordt.
Mijn conclusie heb ik al in de titel verklapt: iedereen komt vroeg of
laat in aanraking met computercriminaliteit en de meesten van ons hebben dat al
eens meegemaakt. Dat geldt zelfs voor mensen die geen computer, tablet of
smartphone hebben: hun gegevens kunnen gecompromitteerd worden door een hack of
lek bij een instantie of een bedrijf waar ze mee te maken hebben. In het
trendrapport staat dat ouderen (65+) oververtegenwoordigd zijn in de groep
ontkenners. In die leeftijdsgroep zullen ook wel de digilozen
oververtegenwoordigd zijn (ik weet ook wel dat veel ouderen enthousiaste
gebruikers zijn, maar in vergelijking met andere leeftijdsgroepen zijn er
ongetwijfeld relatief meer ouderen die geen behoefte hebben aan
computerspullen). Ik snap wel dat mensen zonder computer zich veilig wanen, en
het is sneu voor hen als het alsnog misgaat terwijl ze daar zelf niets tegen
kunnen doen.
Wat kun jij doen om het tij te keren? Om te beginnen: besef dat je
gisteren, vandaag en morgen in aanraking was, bent en zult zijn met cybercrime,
net zoals je vrijwel dagelijks iemand rare fratsen in het verkeer ziet
uithalen. Als je dat eenmaal beseft, dan kun je maatregelen treffen. Vraag je
om te beginnen bij ieder mailtje, waarbij je eerste gedachte “Huh?” is, af of
er inderdaad iets mis is met dat mailtje. Vreemde afzender, rare tekst in
combinatie met een bekende afzender, doet het mailtje erg z’n best om je op een
link te laten klikken of een bijlage te laten openen? Denk er dan goed over na
wie je de wedstrijd wilt laten winnen: je nieuwsgierigheid of je bescherming.
Als je twijfelt en wilt weten of dat mailtje echt van die afzender komt, dan
kun je hem of haar bellen, appen of sms’en om dat te vragen. Gezond verstand is
een goede raadgever.
En verder: gebruik een virusscanner en houd die up-to-date. In Windows
zit er standaard eentje die goed presteert en ook voor Android-toestellen
bieden diverse gerenommeerde fabrikanten een app aan (blijf weg bij onbekende
namen; er zijn namelijk ook valse apps met heel andere bedoelingen in omloop).
Stel overal waar dat mogelijk is tweefactorauthenticatie (2FA) in, zodat
iemand om in te loggen niet genoeg heeft aan alleen maar een wachtwoord. Als je
wachtwoord voor een site uitlekt, dan kan alsnog niemand met jouw account
inloggen, omdat hij die tweede factor (meestal je telefoon) niet in handen
heeft. Maar let op: er zijn ook slimmeriken die je benaderen met het verhaal
dat ze een code hebben aangevraagd maar per ongeluk jouw telefoonnummer hebben
ingetoetst. Een beveiligingscode die jij ontvangt, geef je nooit af. Zo simpel
is dat.
Er zijn nog veel meer tips te geven. Oktober is de Europese
cybersecurity-maand, dus je zult er vast nog wel een paar horen. Als we daar
met z’n allen wat extra aandacht aan schenken, en daarnaast ook nog de
coronamaatregelen naleven en (voor wie het aangaat) stoptober omarmen, dan
komen we deze maand op diverse fronten beter uit dan we erin gingen. En o ja, schenk
bij je aanpak ook wat aandacht aan kwetsbaardere groepen – leer je kinderen en
je ouders hoe ze veilig online kunnen gaan. En geef ze de link naar de Security
(b)log.
En in de grote boze buitenwereld …
- overschatten Nederlanders hun veiligheidskennis.
- staat op deze Belgische site een plezant filmke over tweefactorauthenticatie.
- heeft de Autoriteit Persoonsgegevens enkele aansprekende privacyverhalen gepubliceerd.
- probeert dit phishingmailtje het met een upgrade van Windows 7 naar 10.
- lenen ook nóg oudere Windows-versies zich voor allerlei ongein.
- heeft de politie een Groninger aangehouden die via een groot aantal valse sms’jes veel kostbare gegevens had verzameld.
- schetst deze auteur een donker beeld van de gemiddelde medewerker, die zich apathisch zou gedragen ten opzichte van cybersecurity.
- gaan we nog veel meer cryptojacking zien.
- gijzelt het koffiezetapparaat straks misschien menig huishouden.
- zijn kinderen met psychische problemen de dupe van een ernstig datalek.
- was het helemaal niet zo moeilijk geweest om bovenstaand lek te voorkomen.
- worden datalekken tegenwoordig best wel stevig beboet.
- lekken nogal wat medische apps gegevens.
- gingen afgelopen maandag nogal wat Amerikaanse alarmcentrales op zwart.
- vond deze week de One Conference plaats. Deze keer niet in het Haagse World Forum, maar online. Ze hebben er een fraai magazine over gemaakt.
- verhuist de cloud misschien wel naar de zeebodem.
- houdt deze werkgever zijn personeel in de gaten via screenshots.
Geen opmerkingen:
Een reactie posten