Coronatest

Die ochtend werd Rik wakker, draaide zich om in bed en greep toen snel de rand van het bed vast, want hij voelde G-krachten die er in werkelijkheid helemaal niet konden zijn, hij lag immers in bed. Rik was duizelig, en niet zo’n beetje ook. Later die dag begonnen z’n darmen ook nog op te spelen, en wel aan beide uiteinden, als je snapt wat ik bedoel. Het werd een beroerde zondag.

Omdat Rik de volgende ochtend nog steeds duizelig was, belde hij met de huisarts. Die vertelde wat Rik ook al had gelezen: deze symptomen kúnnen duiden op covid. Testen dus, was het devies. En zo belde Rik naar de coronatestlijn van de GGD. Na het opdreunen van BSN, geboortedatum en nog meer persoonsgegevens kreeg hij te horen dat hij zich nog die middag kon laten testen. “Alleen nog even een paar vragen: bent u verkouden? Hoest u? Hebt u koorts? Benauwdheid? Verlies van reuk en/of smaak? Nee, allemaal niet? Dan kan ik helaas geen afspraak voor u maken, het spijt me.” “Ja maar, de huisarts…”. “Sorry meneer, ik kan niets voor u doen.” Een typisch geval van computer says ‘no’.

En toch kreeg Rik even later een bevestigingsmail voor zijn afspraak. Oh, die dame heeft zeker over haar hart gestreken en de afspraak alsnog doorgedrukt, dacht hij. En dus liet hij zich later die dag naar de teststraat brengen. De portier kon Rik echter niet vinden in de computer. Daar deden ze verder niet moeilijk over, alleen: zonder haakje in de computer konden ze nergens testgegevens aan ophangen. Of Rik dus even ter plekke naar de coronalijn wilde bellen voor een nieuwe afspraak. Maar dan mocht hij er wel even tussendoor, hij was er nu toch. En dus belde Rik andermaal. De afgezegde afspraak was nog zichtbaar, en dus moest Rik met de billen bloot. De dame aan de andere kant was vriendelijk, doch onverbiddelijk: duizeligheid kwam niet voor op haar lijstje en dus kon ze geen afspraak maken. Nee, aan de huisarts hadden ze daar geen boodschap. En ook niet aan het feit dan vanaf 1 december zelfs mensen zonder klachten getest mochten worden.

Rik had het bijna opgegeven, maar toen kreeg hij een ingeving. “En wat als ik nu een hoestaanval krijg?” “Dan,” antwoordde de GGD’ster na een lichte aarzeling, “maak ik nu een afspraak voor u.” En dus hoestte Rik voor de vorm een paar keer in zijn telefoon. Vijf minuten later wroette iemand met een wattenstaafje in Riks hersenen (die stokjes zijn zó lang hè) en keelholte en de volgende ochtend wist hij dat hij geen corona had.

In de informatiebeveiliging werken we met white- en ­blacklists, tegenwoordig ook wel allow- en denylists genoemd. Op de eerste staat wat wel mag, op de tweede wat niet mag. Afhankelijk van hoe je het inricht, mag iets wat op geen enkele lijst staat standaard niet of juist wel. Een voorbeeld hiervan is de wijze waarop wij met onze zakelijke werkplek het internet betreden. We mogen overal naar toe, behalve naar sites die in bepaalde categorieën vallen, zoals gokken, porno en bestandsuitwisseling. Die categorieën – en daarmee alle sites die erin vallen – staan op de blacklist. Soms komt het echter voor dat een medewerker een goede, zakelijke reden heeft om tóch een geblackliste site te bezoeken. Dan kan hij een verzoek indienen; als dat positief wordt beoordeeld, dan komt die site op de whitelist. Andersom kan ook: als bekend wordt dat een site, die normaliter bona fide is, door een hack opeens malware verspreid, dan wordt die site tijdelijk op de blacklist gezet en kan niemand er meer bij.

In tegenstelling tot het coronatestgebeuren kennen wij dus wél uitzonderingen en ontheffingen. En dat is ook goed zo. Je kunt geen organisatie runnen en daarbij in alle gevallen star aan de regeltjes vasthouden. Als iemand een erg goede reden heeft om van de regels af te wijken, dan moet dat kunnen. Met een risicoanalyse bepaal je of het verantwoord is om een uitzondering te maken. Dat is lang niet altijd een dik rapport; soms is het gewoon een instant afweging op basis van professional judgement, een andere keer gaat het helemaal tot aan de directeur of nog hogerop. Uiteraard hebben die managers dan wel goede informatie nodig. En dat beseffen ze zelf natuurlijk ook; laatst mailde zo iemand: “Gelet op jullie adviezen, in de veronderstelling dat de adviseurs hier meer verstand van hebben dan ik (daar is ook niet heel veel voor nodig), in het besef van de urgentie, geef ik toestemming”.

De GGD had Rik heus wel zonder vals voorwendsel willen testen, maar dat kon de computer domweg niet aan: er moest iets worden aangevinkt en duizeligheid kwam niet voor in het lijstje (waarom niet eigenlijk?). Soms word je niet gestuit door starre regels, maar door starre programma’s. Een vakje ‘overige’ doet dan wonderen.

 

En in de grote boze buitenwereld …

• wist een Nederlandse journalist zich kinderlijk eenvoudig toegang te verschaffen tot een videoconferentie van Europese defensieministers.
• leidde dit incident tot Kamervragen.
• is niet alleen de beveiliging van je eigen systemen van belang, maar ook van die van je leveranciers en providers.
• heeft zelfs het Vaticaan te maken met cyberaanvallen.
• heeft de EU richtlijnen voor het beveiligen van het internet der dingen gepubliceerd. Het gaat me niet zozeer om de inhoud van het rapport (dat is meer iets voor de liefhebbers), maar om het langzaam doorsijpelende besef dat er nog heel wat te winnen valt bij het beveiligen van IoT-devices.
• staan er neppe Minecraft mods in Google Play, die maar één doel hebben: advertenties tonen.
• luistert je robotstofzuiger je nu ook al af. Met z’n ogen.
• maken ook criminelen dankbaar gebruik van de diensten van Google.
• is iedereen even vatbaar voor internetfraude.

 

Vang de phish

Phishing is hot, want er is een heleboel geld mee te verdienen. Het Europese agentschap voor cybersecurity, ENISA, heeft daar een mooi rapport over geschreven. Ik zal daar in deze blog uit voorlezen, en uiteraard zal ik dat hier en daar aanvullen met een eigen kijk op de zaak, anders zou het geen blog zijn.

Voor de zekerheid eerst maar even de definitie die het rapport hanteert: phishing is de frauduleuze poging om gebruikersgegevens zoals gebruikersnamen, wachtwoorden, creditcardgegevens of zelfs geld te stelen, waarbij social engineering-technieken worden toegepast. Met andere woorden: ze willen gegevens of geld van je jatten en doen dat door je op slinkse wijze over te halen om daar zelf aan mee te werken. Een soort elektronische babbeltruc dus. Je kunt daar zowel zakelijk als privé mee te maken krijgen. Nee, ik moet het anders zeggen: ik weet zeker dat je er privé al vaker mee te maken hebt gehad (tenzij je volledig offline leeft) en de kans is groot dat je er vroeg of laat ook zakelijk mee te maken krijgt. Voor wat betreft dat laatste zien we nu al veel gevallen van collega’s die phishing-sms’jes (‘smishing’) ontvangen. Overigens is e-mail nog wel het meest gebruikte medium voor phishing, maar wees je ervan bewust dat het je dus ook via andere kanalen kan bereiken – bijvoorbeeld via social media en WhatsApp (dat laatste noemen we ook wel WhatsApp-fraude). Voor wat betreft je zakelijke e-mail ben je trouwens wel redelijk goed beveiligd door allerlei technische maatregelen, maar helaas kun je daar niet blind op varen.

Ik zei al dat er veel geld omgaat in deze vorm van criminaliteit. ENISA heeft becijferd dat bedrijven vorig jaar voor 22,2 miljard euro het schip in gingen. Hoe werkt dat dan? De crimineel gebruikt eerst phishing om credentials te verzamelen – de combinatie van gebruikersnaam en wachtwoord. Als hij die eenmaal in bezit heeft en zijn slachtoffer ruikt geen lont, dan kan hij die credentials gebruiken om op het bedrijfsnetwerk in te loggen en meer informatie over de organisatie te verzamelen. Als hij voldoende op de hoogte is van hoe de organisatie in elkaar zit en wat de namen zijn van bepaalde sleutelfiguren, dan kan hij een gerichte aanval (spearphishing attack) lanceren op een medewerker die bij het geld kan. De aanvaller doet zich daarbij voor als een bepaalde medewerker, de directeur of misschien zelfs een vertrouwde leverancier en vraagt met een slimme smoes om geld naar een bepaalde bankrekening over te maken. Hij verpakt zijn verzoek in een overtuigende smoes, waarbij hij vaak ook aangeeft dat dit supervertrouwelijk is en een beroep doet op de discretie van zijn slachtoffer. Ondertussen heeft die niets in de gaten omdat het mailtje van een bekende afzender lijkt te komen. Deze vorm van fraude heet ook wel business e-mail compromise (BEC).

De phishingmail, waar het allemaal mee begint, bevat vaak een kwaadaardige bijlage en dat is dan weer meestal een Microsoft Office-document (in 42,8% van alle gevallen in 2019, zegt ENISA). In één derde van de gevallen kwam het woord ‘betaling’ in het onderwerp voor. Webmail en SaaS-diensten (Software-as-a-Service), met Office365 als koploper, vormen de belangrijkste doelwitten. En daarbij maakt de cybercrimineel graag gebruik van PhaaS: phishing-as-a-Service. Voor slechts vijftig tot tachtig dollar kun je een maand lang gebruikmaken van dergelijke phishingdiensten, waarvan er vorige jaar ruim vijfduizend bestonden.

Maar er is ook goed nieuws: vrijwel alle kwaadaardige mail vereist menselijk handelen om effectief te zijn. Met andere woorden: als de ontvanger niet op de aangeboden link klikt, de bijlage niet opent of de waarschuwing voor gevaarlijke inhoud (macro’s) serieus neemt, dan sterft de phish. En dus luidt het belangrijkste advies van ENISA: leid uw medewerkers op. En doe vervolgens een phishing-simulatie om te testen of ze het ook gesnapt hebben.

Wat ook geweldig goed helpt is tweefactorauthenticatie/tweestapsverificatie. Als dat bij een account aan staat, dan moet je, in ieder geval als je op een nieuw apparaat aanlogt, een code opgeven die (meestal) op je mobieltje verschijnt. Omdat de phisher daar niet over beschikt, komt hij niet verder. Maar pas op: ze zijn tegenwoordig zo brutaal dat ze je appen, sms’en of bellen met de smoes dat hún code per ongeluk naar jou is gestuurd, en of ze die asjeblieft mogen hebben. Geef nooit een code af die jij ontvangt; mocht er werkelijk een misverstand zijn, dan moet die ander maar een nieuwe code aanvragen. En natuurlijk heb je voor iedere online dienst een ander, sterk wachtwoord, dat je handig laat beheren door een password manager-app.

Ten slotte nog leuk weetje: dertig procent van alle phishingmailtjes ontvang je ’s maandags. Wrijf dus na het weekend eerst je ogen goed uit voordat je je mail opent.

 

En in de grote boze buitenwereld …

• combineerden deze phishers het nuttige met het aangename: ze werkten vanaf een vakantiepark.
• verdwenen twee Hilversumse phishers voor langere tijd achter de tralies.
• helpen banken slachtoffers van WhatsApp-fraude door hen de naam van de oplichter te geven.
• was het mogelijk om ongezien een Webex-meeting binnen te dringen.
  Pro tip: je kunt een vergadering of je persoonlijke ruimte op slot doen; dat kan ook automatisch na bijvoorbeeld vijf minuten.
• maakt thuiswerken je vatbaar voor afpersing.
• testte AV-test beveiligingssoftware voor MacOS Catalina.
• trekt deze ransomware de aandacht van zijn slachtoffer via de printer.
• is vooral het eerste commentaar op dit artikel over slimme deurbellen interessant.
• mag niet zomaar iedereen de Erasmusbrug aanzetten.
• voldoen veel politiesystemen niet aan de privacyregels van de Wet politiegegevens.
• moet de Autoriteit Persoonsgegevens haar groeistuipen nog even ophouden.
• heeft ook de Fraudehelpdesk last van fraude.

 

Vertrokken

Onlangs hebben we een teamgenoot uitgezwaaid. Hij zet zijn carrière nu in een andere organisatie voort. Als iemand uit een vierkoppig team vertrekt, dan heeft dat alleen al een flinke impact voor het werkvolume. En als het iemand betreft die in de drie jaar, waarin hij in je team zat, ruimschoots zijn meerwaarde heeft getoond, dan gaat het gemis veel  verder dan alleen 25% capaciteit.

Het heeft mij aan het denken gezet: wat zijn de kwaliteiten die we nu missen, en die we dus in zijn opvolger terug willen zien? En meer in het algemeen: wat maakt je tot een goede tactische security officer bij een groot datacenter?

Toen deze collega drie jaar geleden vanuit een ander team en een andere discipline bij ons kwam, was er meteen een persoonlijke klik. Is het een open deur als ik zeg dat dat onontbeerlijk is? Ik denk dat er best wel beroepen en functies zijn waarin je effectief kunt samenwerken zonder elkaar aardig te vinden. Maar ik heb ondervonden dat het in ons vak enorm helpt als je op ongeveer dezelfde golflengte zit en niet iedere discussie op het nulpunt hoeft te beginnen.

En wat hébben we gediscussieerd. Hoe zie jij dit, hoe zullen we dat aanpakken, wat vinden we hiervan? Het waren discussies zonder hakken en zand; de winst ging naar degene met de beste argumenten, maar het voelde helemaal niet als winnen – het was overeenstemming bereiken. Bijna alsof je als buitenstaander naar een stapeltje argumenten kijkt en op basis daarvan tot een conclusie komt. Zo klinisch begonnen de discussies natuurlijk niet, iedereen had een bepaald uitgangspunt – daar kwamen die argumenten natuurlijk vandaan. Samen vonden we nog aanvullende documenten. En als we er zelf niet uitkwamen, haalden we anderen erbij. Sommige discussies duurden twee minuten, andere misschien wel twee weken of langer, altijd gericht op een optimale uitkomst.

Als er een nieuwe medewerker in een team komt, dan wordt er vaak wat plichtmatig over ‘vers bloed’ gesproken. Zo van: wij zitten hier al jaren, het kan geen kwaad om de boel eens wat op te schudden en nieuwe inzichten, werkwijzen en technieken te introduceren. Dat zie je ook wel bij sommige stagiairs: die hebben tijd en gelegenheid om zich in een bepaald onderwerp vast te bijten en het tot op de bodem uit te zoeken. Dat levert soms standpunten op die wat naïef kunnen overkomen, doordat er bij die jonkies wel diepte, maar nog geen breedte in zit; er zijn nu eenmaal vaak ook andere afhankelijkheden en belangen. Het verse bloed heeft vooral meerwaarde als het vermengd wordt met oud bloed, met de kennis en ervaring van de zittende teamleden. Zo versterk je elkaar, zo hebben we ook met deze collega gemerkt.

Dat brengt me op het onderwerp organisatiesensitiviteit. Daar heb je een flinke dosis van nodig. Onder andere om recht te kunnen doen aan het aloude adagium choose your battles wisely. Maar organisatiesensitiviteit gaat veel verder dan alleen weten hoe de organisatie in elkaar zit en aanvoelen hoe zij zal reageren. Sommige mensen hebben een gebruiksaanwijzing, en het is erg handig om die te kennen. En je moet ook kunnen aanvoelen hoe handig een bepaalde formulering is. We gingen een keer samen naar een overleg met een teammanager. In de uitnodiging hadden we slechts het te bespreken onderwerp (een productnaam) benoemd, zonder verdere toelichting. Dat zette onze gesprekspartner op het verkeerde been: hij dacht dat wij een lans wilden breken voor dat product, waardoor we veel energie moesten steken in het resetten van het startpunt. We hebben dit als leerpunt genoteerd.

Ik zou bijna vergeten om het over vakkennis te hebben. Maar ja, dat ligt ook voor de hand hè. Ik ben niet zo onder de indruk van de lange reeksen afkortingen die sommige mensen achter hun naam hebben staan, vooral omdat ik weet dat sommige daarvan (niet alle!) tamelijk hol zijn. Misschien heeft mijn houding ten aanzien van certificeringen te maken met het feit dat ik zelf uit de tijd kom dat er geen opleidingen voor informatiebeveiliging bestonden. Je moest het doen met boeken (Paul Overbeek!), losse cursussen en kennis die inhuurkrachten inbrachten (ik heb nog met Paul mogen samenwerken, maar zeker in de begintijd heb ik enorm veel van allerlei tijdelijke collega’s geleerd).

Ga nou niet meteen allemaal solliciteren. We hebben namelijk op dit moment helemaal geen openstaande vacature. Dat heeft te maken met organisatorische veranderingen, waardoor ons team op een andere plek terecht gaat komen. Vanuit de oude plek wordt geen vacature meer opengesteld en de nieuwe plek kán dat nog niet doen. We zullen het dus nog een tijdje met z’n drieën moeten zien te rooien. Gelukkig zijn de hier genoemde kwaliteiten ook bij de achterblijvers aanwezig. Ja, we zijn nog steeds een leuk teampje.

 

En in de grote boze buitenwereld …

• helpt corona om het tekort aan informatiebeveiligers terug te dringen. Maar we zijn er nog lang niet.
• was een ransomware-aanval op een ziekenhuis toch niet doorslaggevend in de dood van een Duitse patiënte.
• kun je natuurlijk ook een brug hacken.
• maken ransomwarecriminelen tegenwoordig gebruik van advertenties op Facebook om hun slachtoffers onder druk te zetten.
• pleit Microsoft voor het afschaffen van sms als middel voor tweestapsverificatie (two-factor authentication, 2FA). Bedenk wel: sms is altijd beter dan helemaal geen 2FA.
• is het Privacy Shield niet meer geldig, maar een nieuwe regeling voor doorgifte van persoonsgegevens aan bedrijven buiten Europa is er nog niet.
• verdienen datingscammers miljoenen aan hun Nederlandse slachtoffers.
• was er wel degelijk sprake van verkiezingsfraude – ten faveure van de kiwi.
• adviseert de Kiesraad om stemmen per brief te beperken. Helaas vermeldt het artikel daar geen redenen voor.
• kun je hier bijdragen aan de Digital Meet-up Privacy & Security van Tweakers.net bekijken.
• richt een Indonesisch botleger zich op Nederland.
• verplicht Zoom zich door een schikking om beter om te gaan met de beveiliging van hun videoconferencing-product.
• heeft Bits of Freedom een aantal tips voor de verbetering van je online veiligheid op een rijtje gezet. (En nu maar hopen dat de ouderwetse graphics de lezers niet afschrikken.)
• werden weer eens miljoenen hotelgasten de dupe van slechte beveiliging van hun gegevens.
• gebruikte een 17-jarige phisher een QR-code op een echte brief om mensen in de val te lokken.
• raden we altijd dringend af om apps te installeren uit andere dan de officiële app stores, maar nu blijkt uit onderzoek dat de meeste malafide Android-apps uit de Google Play Store komen.

 

Sensing

Sensing. Laat dit woord eens even smelten op je tong. Misschien heb je, zo zonder context, de neiging om er een Aziatische draai aan te geven: sen-sing. Maar nee, het is ‘gewoon’ Engels. Het woordenboek (Van Dale) vertaalt het werkwoord in ‘(zintuiglijk) waarnemen’, maar in de techniek kan het ook ‘opsporen, registreren, ontdekken, meten, aftasten’ betekenen. Met een combinatie van de algemene en de technische vertaling kom je aardig in de buurt van het onderwerp van deze blog.

Ik zag de term in het rapport Trends in Veiligheid 2020 van Capgemini. Om de context goed te begrijpen, moet je weten dat er een verschil is tussen ‘veiligheid’ en ‘beveiliging’ – althans in mijn wereld. Veiligheid gaat over de klassieke beleving: hoe veilig zijn mens en maatschappij? Denk daarbij aan terrorismebestrijding en het algemene gevoel van veiligheid. Dat is een abstracter niveau dan het niveau waarop beveiliging zich afspeelt, want daarbij gaat het bijvoorbeeld concreet om de beveiliging van een evenement of een gebouw (fysieke beveiliging) of om de beveiliging van ICT-systemen (dat noemen we doorgaans logische beveiliging, wat misschien niet de meest logische benaming is; digitale beveiliging had ook gekund (en hoor ik daar iemand ‘cyber’ roepen?)).

Het genoemde rapport kiest positie op het snijvlak van veiligheid en beveiliging en heeft een artikel gewijd aan sensing. De auteurs definiëren de term als volgt: “Onder sensing verstaan we slim digitaal waarnemen met behulp van sensoren, waarbij een waarneming wordt vertaald naar een melding of aanbeveling.” Als ik die definitie lees, dan moet ik aan het dashboard van mijn auto denken. Die bevat allerlei sensoren, die hem continu in de gaten houden en lampjes doen oplichten of piepjes doen klinken als een meting buiten de geldende bandbreedte valt (bijvoorbeeld bandenspanning te laag) of als ze denken dat ik op het punt sta iets stoms te doen (bijvoorbeeld van rijbaan wisselen terwijl er een andere auto in mijn dode hoek zit). Het rapport weet natuurlijk ook dat we dat soort dingen al langer doen, maar het haalt het internet der dingen erbij: de sensoren zijn IoT-devices geworden, die via het internet met elkaar verbonden zijn en er desnoods voor zorgen dat een automatische reactie volgt. Ze spreken dan van Informatie Gestuurd Optreden en voeren voorbeelden op uit het domein van de veiligheid: toezicht op afstand door NVWA, het monitoren van vitale infrastructuur, maar ook de beveiliging van de muur tussen de VS en Mexico (‘Smart Border’). Maar je kunt er ook zakkenrollers in een outlet center mee vangen, weten ze in Roermond.

Zouden we sensing ook kunnen inzetten voor informatiebeveiliging? Doorgaans beschouwen we de fysieke beveiliging van ICT-systemen als onlosmakelijk onderdeel van de integrale beveiliging ervan, en dan weet ik wel raad met sensing. Denk bijvoorbeeld aan camera’s die het hek rond een datacenter in de gaten houden en die zelf een seintje geven als iets groters dan een vogel of een kat in de buurt komt, zodat beveiligers niet de hele tijd naar beeldschermen hoeven te turen.

Bij digitale beveiliging maken we ook gebruik van sensoren, al zijn die niet zozeer fysiek en tastbaar van aard, zoals de ABS- en botssensoren in je auto dat zijn. Wij maken doorgaans gebruik van sensoren in de vorm van programmacode, die data in de gaten houdt, en noemen dat monitoring. Hoeveel data komt er binnen op onze webserver? Is dat meer dan de ingestelde drempelwaarde? Dan is er mogelijk sprake van een DDoS-aanval. Het systeem kan dat signaleren en aanbevelingen doen, keurig volgens de definitie van de term sensing. Maar je kunt nog een stapje verder gaan door geautomatiseerd maatregelen te treffen. Je moet dan vooraf goed bedenken wat wel en niet automatisch mag worden afgehandeld – het middel moet niet erger zijn dan de kwaal.

Een andere verschijningsvorm van monitoring is het Nationaal Detectie Netwerk (NDN). In dit samenwerkings-verband wordt dreigingsinformatie gedeeld onder de deelnemers, waardoor een organisatie gebruik kan maken van sensoren in andere organisaties. Maar ook de inlichtingendiensten en het NCSC (Nationaal Cyber Security Centrum) leveren en verrijken informatie. De doelgroep van het NDN bestaat uit de rijksoverheid en vitale organisaties.

Ondertussen zit ik met een schuin oog naar de Amerikaanse presidentsverkiezingen te kijken. Op dit moment (vrijdagmiddag 1 uur) is het nog steeds spannend, maar trekt vooral het gedoe eromheen de aandacht. De zittende president, die het onderspit dreigt te delven, slaat om zich heen met rechtszaken en leugens. Misschien zouden deze verkiezingen ook baat hebben bij sensing, om het proces transparant te maken voor de kiezers. En wat meer – of eigenlijk: veel meer – sense zou ook welkom zijn.

 

En in de grote boze buitenwereld …

• moeten ambtenaren eens wat minder whatsappen.
• is het pijnlijk als een site, die je ‘hacker-IQ’ wil testen, lek is.
• hebben we te kampen met ruim vierhonderd nieuwe dreigingen per minuut.
• zul je je favoriete aperitief misschien een tijdje moeten missen.
• is een jonge Hagenaar opgesloten op verdenking van het aanbieden van phishing panels.
• overspoelde verkiezingsnieuws deze week mijn tijdlijn, waardoor het beveiligingsnieuws bijna volledig ondersneeuwde. Dat maakt de grote boze buitenwereld deze week erg klein.