SBOM

 

Als computertoestanden al een week steeds weer opduiken in het algemene nieuws, zoals het Journaal, dan weet je dat het ernstig is. Een maand geleden fluisterde Alibaba, het Chinese internethandelsbedrijf, iets in het oor bij softwarebedrijf Apache: ze waren een foutje tegengekomen in het programma log4j.

Dat ‘fluisteren’ noemden we vroeger responsible disclosure, tegenwoordig wordt de chiquere term coordinated vulnerability disclosure gehanteerd. De inhoud van de boodschap blijft gelijk: iemand ontdekt een kwetsbaarheid in een systeem en meldt dat aan de maker of eigenaar ervan. Dat heette dus vroeger ‘verantwoord’ en nu ‘gecoördineerd’, maar je zou het ook gewoon ‘netjes’ kunnen noemen. De alternatieven zijn namelijk minder fraai: de ontdekker zou zijn vondst aan de grote klok kunnen hangen, waarna hackers met minder goede bedoelingen er misbruik van zouden kunnen maken. Of hij houdt het stil en zoekt zelf een manier om er zijn voordeel mee te doen. Dat is een favoriete hobby van inlichtingendiensten, maar je kunt ook criminele toepassingen bedenken. Zolang de eigenaar van een brakke website of de producent van kwetsbare software geen weet heeft van de kwetsbaarheid, komt er ook geen verbeterde versie. We spreken dan van een zero-day vulnerability.

In het geval van de kwetsbaarheid in log4j is dus zo’n nette melding gedaan, maar dat betekent niet dat er dan meteen een oplossing is. Anderen hebben de kwetsbaarheid waarschijnlijk ook ontdekt en hebben haar gebruikt om in systemen binnen te dringen. Een spannend moment is altijd als een fabrikant roept: “Hé, er is een nieuwe versie van mijn programma, want de oude bevat een foutje.” Dat is het startschot voor een race tussen hackers en de gebruikers van dat programma. De hackers weten dat de oude versie kwetsbaar is, en ze weten ook dat gebruikers niet altijd snel kunnen of willen updaten, en soms niet eens weten dat ze dat zouden moeten doen. Die tijd kunnen ze gebruiken voor hun snode plannen. En even tussen haakjes: “gebruikers”, dat zijn in dit geval niet jij en ik – de gewone computergebruikers – maar organisaties die log4j gebruiken in hun eigen software en online systemen.

Het is allang niet meer zo dat een programmeur zijn eigen programma’s van A tot Z zelf schrijft, zoals wij dat in de jaren negentig nog deden met onze COBOL-programma’s. Nee, tegenwoordig worden er allerlei modules van anderen gebruikt. Want waarom zou je steeds weer zelf het wiel moeten uitvinden? Sommige van die modules kun je kopen, andere kun je gratis vinden in de wereldwijde community van de open source software. Het idee daarachter is dat we alles met elkaar delen én elkaars werk kunnen controleren. Log4j wordt onder een open source-licentie beschikbaar gesteld, wat inhoudt dat iedereen het vrijelijk mag gebruiken, aanpassen en verspreiden.

Een groot probleem bij deze kwetsbaarheid (die overigens de naam log4shell heeft) is dat vaak niet bekend is wáár het zeer populaire log4j overal wordt gebruikt. Het is niet zo’n programma als Word of Outlook dat iedereen kent; het is een softwarecomponent voor logging, het vastleggen van systeemactiviteiten. Vergelijk het voor het gemak maar met de aloude scheepslogboeken, waarin wordt bijgehouden wie wat wanneer heeft gedaan. Logging is belangrijk om bij geconstateerde fouten uit te kunnen pluizen waar het mis ging. Log4j is verweven met allerlei systemen. Sommige (veel?) organisaties weten niet eens dat deze software ergens in de ingewanden van hun systemen draait. En organisaties, die dat wél weten, hebben vaak geen overzicht van wáár het dan overal in zit. Het is een heidense klus om dat alsnog in kaart te brengen. Voeg daaraan toe de druk van de race tegen hackers en je hebt een mooi recept voor stress. Veel systeembeheerders en softwarebouwers hebben deze week lange dagen gemaakt om naar log4j te speuren en over te stappen op de nieuwe versie (want die is er sinds 9 december).

In oktober gaven Allan Friedman en Bart van Riel op de One Conference in Den Haag een presentatie over de Software Bill of Materials. De SBOM is een digitale lijst van componenten waaruit een computerprogramma bestaat. Zoals op een pak hagelslag of een fles shampoo precies staat wat erin zit, zo bevat de SBOM alle ingrediënten van de desbetreffende software. Als dan op een kwade dag één van die componenten een kwetsbaarheid blijkt te bevatten, dan is het een peulenschil om na te gaan waar die component overal in zit. Althans, in theorie – het veronderstelt namelijk wel dat de SBOM compleet en actueel is, en dat is een hele opgave. Het mechanisme werkt ook alleen als iedereen meedoet. Zoals Friedman zo mooi zei: “We’re all-in the supply chain. Most of us somewhere in the middle.” En dat betekent dat je er niet bent met het SBOM’en van je zelfgemaakte systemen – je bent ook afhankelijk van je leveranciers om een volledig beeld te hebben. En jouw afnemers zijn weer afhankelijk van jou.

Voor het bestrijden van log4shell zouden SBOM’s zeer welkom geweest zijn. Voor sommige organisaties misschien wel cruciaal. Als je momenteel strijdt tegen log4shell, dan heb je daar nu weinig aan. Maar als het straks weer rustig is, doe je er goed aan om je eens in SBOM te verdiepen. De website van CISA, waar Friedman deze kar trekt, is een goed startpunt daarvoor. En oh ja, zet je in de tussentijd schrap voor ransomware-aanvallen als gevolg van log4shell.

De Security (b)log keert na de kerstvakantie terug.

 

En in de grote boze buitenwereld …

• onderstreept dit bericht de ernst van log4shell.
• is dit een makkelijk leesbare uitleg van log4shell.
• vind je hier een meer technische uiteenzetting over log4shell.
• drongen de Chinezen bij de Nederlandse overheid binnen ten tijde van de Citrix-crisis in 2020.
• wordt Huawei toch weer gelinkt aan Chinese surveillanceprogramma’s.
• ligt een deel van het Openbaar Ministerie plat door een computerstoring.
• zijn heel veel computerchips kwetsbaar voor aanvallen.
• verdwijnt een Nederlandse criminele cyberdienstverlener achter Duitse tralies.
• is Volvo het slachtoffer geworden van digitale spionage.
• mopperen de inlichtingendiensten weer eens op de inlichtingenwet (vanuit hun optiek heel begrijpelijk, maar ja, privacy).
• heeft de AIVD zijn jaarlijkse kerstpuzzels gepubliceerd.
• heeft minister Grapperhaus de Big Brother Award weer gewonnen.
• worden eigenaren van cryptovaluta bestolen via het Klembord.
• gaan er miljoenen extra naar de Autoriteit Persoonsgegevens.

 

Actor

De meeste mensen zullen bij het lezen van het woord actor denken dat het om het Engelse woord voor acteur gaat. In de beveiligingswereld (en ik vermoed ook in de inlichtingenwereld) kennen we het woord echter ook in een Nederlandse versie (en dan zeg je dus gewoon ‘aktor’).

In mijn wereld is een actor iemand die een bepaalde handeling verricht of zou kunnen verrichten, die op enigerlei wijze een nadelige invloed heeft op iets dat wij willen beschermen. Die actor kan onbedoeld of onbewust iets doen, maar hij kan ook heel doelbewust te werk gaan. In dat laatste geval spreken we ook wel van een kwaadwillende.

Jij kunt gemakkelijk een onschuldige actor zijn. Je hoeft maar een mailtje naar een verkeerd adres te sturen of je hebt de poppen misschien wel aan het dansen. Als beheerder zou je per ongeluk iets open kunnen zetten wat dicht hoort te zijn – misschien werd je wel afgeleid door een telefoontje en zag je iets over het hoofd. Of je opent in goed vertrouwen een bijlage van een – naar later blijkt – phishingmailtje. Dergelijke menselijke fouten kunnen ons allemaal overkomen. Je kunt proberen om ze zoveel mogelijk te voorkomen door je ervan bewust te zijn dát dergelijke fouten nu eenmaal op de loer liggen.

Maar die kwaadwillenden, of bad actors (ook het Engels kent de term in deze betekenis), dat is een ander verhaal. In oktober verscheen het rapport Threat landscape 2021 van ENISA, het EU-agentschap voor cybersecurity. Zij onderscheiden daarin vier soorten dreigingsactoren: statelijke actoren, cybercriminelen, huurlingen en hacktivisten.

Statelijke actoren of state-sponsored actors staan helemaal bovenaan de piramide. Zij werken direct of indirect voor de regering van een land en kunnen daardoor beschikken over vaak zeer ruime middelen, die voor allerlei verschillende doeleinden worden ingezet. Eén van die doelen is spionage. Het ENISA-rapport meldt dat er de afgelopen periode veel corona-gerelateerde spionage-operaties zijn waargenomen. Die zijn bijvoorbeeld gericht op het vergaren van informatie over vaccins en andere wetenschappelijke informatie over het virus. Statelijke actoren richten zich ook op disruptie: ontwrichting van bijvoorbeeld de maatschappij in een land of van een productieproces. Een bekend voorbeeld van dat laatste is Stuxnet, een virus dat in 2010 het nucleaire programma van Iran een grote klap toebracht. Vermoed wordt dat de VS en Israël achter deze actie zaten. Nederlandse inlichtingendiensten hadden een belangrijke rol bij het binnenbrengen van Stuxnet in een Iraanse nucleaire installatie. Verder kan disruptie bewerkstelligd worden door het verspreiden van desinformatie. Sommige landen houden er ‘fabrieken’ op na waarvandaan onder valse identiteiten nepnieuws wordt verspreid om de publieke opinie in een land te beïnvloeden. Beruchte statelijke actoren komen uit Rusland, China, Iran en Noord-Korea. Maar ook westerse landen, zoals de VS en ons eigen land, beschikken over offensieve cybercapaciteiten.

Cybercriminelen vormen de groep actoren waar jij, ik, bedrijfsleven en overheid het meest last van hebben. Ze zijn in staat om met weinig middelen grote groepen potentiële slachtoffers te benaderen en door die grote massa genoeg geld binnen te harken om er goed van rond te kunnen komen. De besten van hen rijden rond in dure bolides en leiden een zeer luxe leven. Niet zelden wonen ze in Rusland en zolang ze hun eigen landgenoten met rust laten, hebben ze weinig te vrezen van de autoriteiten. Af en toe wordt er eentje opgepakt als hij zo dom is om in het buitenland vakantie te vieren. Want doordat ze online nogal pronken met hun bezittingen, zijn ze wel op radar bij de internationale opsporingsdiensten. Volgens ENISA is social engineering, het ‘hacken’ of manipuleren van de mens, het belangrijkste wapen van cybercriminelen. Denk maar aan phishing – ook daar komt het thema corona duidelijk in beeld, bijvoorbeeld in valse mailtjes over vaccinaties, overheidssteun of mondkapjes. Criminelen maken ook dankbaar gebruik van het vele thuiswerken en de plotselinge noodzaak om nieuwe technologieën toe te passen, die inderhaast lang niet altijd correct werden geïmplementeerd.

Nog even in het kort de overige twee soorten actoren. De huurlingen (hackers for hire) zijn mensen die vooral op zoek gaan naar kwetsbaarheden in systemen, malware ontwikkelen en als ‘dienstverlener’ optreden. Ze hebben vooral overheden als klant. Hacktivisten streven ernaar om, vanuit een bepaalde overtuiging, op digitale wijze aandacht voor hun doel te vragen dan wel instituties, die handelen in strijd met die doelen, te hinderen. Volgens ENISA leiden zij momenteel een vrij marginaal bestaan. Zelfs de pandemie heeft niet tot een opleving geleid, vooral omdat hacktivisten niet beschikken over de technische capaciteiten om grootschalig te kunnen acteren.

 

En in de grote boze buitenwereld …

• komt corona-phishing ook in Nederland voor.
• treedt het Amerikaanse leger op tegen ransomwarebendes.
• moesten driehonderd Britse SPAR-winkels hun deuren sluiten na een ransomware-aanval.
• zijn hotels ook populaire doelwitten voor ransomwarecriminelen.
• eist het Openbaar Ministerie fikse gevangenisstraffen tegen leden van een cybercrimebende.
• is zelfs je digitale kladblok niet altijd veilig.
• werken slimme elektriciteitsmeters niet in de buurt van deze Britse luchtmachtbasis.
• bevatten ruim honderdvijftig typen printers van HP een ernstige kwetsbaarheid.
• wordt de interne e-mail van IKEA misbruikt voor het verspreiden van malware.
• schakelen universiteiten slimme camera’s uit na privacyprotesten.
• worden 1,6 miljoen WordPress-sites aangevallen.
• is dit de periodieke herinnering aan de noodzaak om ook wifi-apparatuur regelmatig van updates te voorzien.
• is de Amerikaanse vice-president erg beveiligingsminded.
• waarschuwt de Nederlandse Vereniging van Banken voor telefoon-spoofing.
• pleit de Nederlandse regering ervoor dat iPads en iPhones hun apps ook van andere plekken dan de Apple App Store moeten kunnen halen.
• heeft Google een groot botnet verstoord.
• wil de politie cyberinformanten.

 

Cadeautje

 

 “Beste collega, wij willen de vorming van ons nieuwe organisatieonderdeel niet ongemerkt voorbij laten gaan. Daarom bieden we je hierbij een cadeaubon van 5 euro van de HEMA aan voor iets lekkers bij de koffie.”

In de dagelijkse stortvloed aan e-mail zit veel rommel. Mijn eigen zakelijke inbox staat, als ik er niks aan doe, stijf van de mails van bedrijven die iets willen slijten. De laatste tijd worden ze wat brutaler, door het onderwerp te beginnen met ‘Betr.:’ of ‘Re:’, zodat het lijkt alsof ze op jouw mail reageren. Soms hebben ze zelf al eerder gemaild en beginnen ze met: “Ik snap dat je het druk hebt, waardoor je mijn mailtje misschien hebt gemist. Wanneer schikt het om alsnog te bellen?” Dat eerste mailtje had ik heus gezien – en bewust genegeerd, want geen interesse. De mail van veel afzenders laat ik via een filter automatisch afvoeren, maar zo’n filter vergt onderhoud, waardoor ik er vaak voor kies om mailtjes even gauw met de hand weg te kieperen in plaats van de afzender aan het filter toe te voegen. En zo ben ik dan toch weer vaak als de houthakker, die tot diep in de nacht moest doorwerken omdat hij geen tijd nam om zijn bijl te slijpen.

Tussen al die externe e-mails zitten er echter ook een paar die ik wél wil lezen. Van dat adviesbureau bijvoorbeeld, of van een bedrijf dat een rapport aanbiedt dat ook echt interessant belooft te zijn. Je moet dus oppassen dat je niet het kind met het badwater weggooit.

Een mailtje zoals in de intro viel een poosje geleden op de digitale mat van een aantal collega’s. En een deel van die collega’s mieterde ‘m in een hoge boog bij het afval. De een dacht aan spam, de ander aan phishing. Ze namen niet de moeite om even na te vragen of ze inderdaad een cadeautje van de baas hadden ontvangen. Achteraf was het nog een heel gedoe om deze mensen toch aan paar tompoucen of zo te helpen. Want toen ze eenmaal wisten dat die bon echt was, wilden ze hem natuurlijk toch wel heel graag hebben.

Toen corona nog jong was en het thuiswerken onwennig, kreeg je wel eens een doosje thuis met wat lekkers erin. De afzender was een bedrijf waar je misschien nog nooit van had gehoord, maar in het pakje lag een kaart met de groeten en een hart onder de riem van je eigen management. De inhoud at en dronk je smakelijk op. De digitale variant hierop wordt ook vaak door een extern bedrijf verzorgd, en net als bij een pakje staat de naam van dát bedrijf in de afzender. En omdat we er al jaren op hameren dat je alert moet zijn op phishing, betekent de combinatie van een externe afzender en iets verleidelijks voor velen een rode vlag. Weg cadeaubon.

Ik heb er al vaker voor gepleit – en doe het nog maar eens – om dergelijke goedbedoelde acties vergezeld te laten gaan van een andere vorm van communicatie. Dat kan bijvoorbeeld je manager zijn die in het teamoverleg aankondigt dat je de komende week je mail in de gaten moet houden omdat er iets leuks aankomt. Of een bericht op het intranet. Hoe meer details je daarbij geeft, hoe veiliger het wordt. Je wilt natuurlijk geen geslaagde phishing-actie omdat een medewerker dacht dat een vage aankondiging op dát mailtje sloeg. Een aankondiging in de trant van “Donderdag krijg je namens ons management een mail van bedrijf X met het onderwerp ‘Verrassing!’” verklapt bijna niks maar voorkomt wel ongelukken.

Onze tienerdochter ontving deze week een brief van Amazon. Er komt maar nog weinig fysieke post binnen, laat staan voor de kinderen. Nieuwsgierig opende ze de brief. Die bood een gratis proeflidmaatschap voor Amazon Prime. Ik heb uitgelegd dat het geadresseerde reclame was of, zoals we dat in de digitale wereld noemen: spam. “En nu?”, vroeg dochterlief beteuterd. Net als spam behandelen, zei ik: weggooien, tenzij ze je iets bieden wat je graag wilt hebben én waarvoor je wilt betalen (want we weten allemaal waar een gratis proeflidmaatschap toe leidt).

 

En in de grote boze buitenwereld …

• maakt de politie gebruik van Google-advertenties om jonge boefjes, die googelen op ‘DDoS’, te waarschuwen. Ronald Prins interviewde Floor Jansen van het Team High Tech Crime voor zijn Cyberhelden-podcast.
• hackte Sinterklaas een bank. Een podcast van techjournalist Daniël Verlaan.
• hebben Britse en Amerikaanse CISO’s het zwaar.
• worden veel internetshoppers opgelicht.
• waarschuwde het Digital Trust Center al honderden bedrijven voor digitale dreigingen.
• liet LockBitSupp, een grote speler in de wereld van ransomware, zich interviewen.
• wordt de macht van de grote online platforms in Europa aan banden gelegd.
• acht de Consumentenbond sociale media ongeschikt voor kinderen.
• adviseert de Amerikaanse overheid weer eens om Bluetooth, wifi en andere communicatieprotocollen uit te schakelen als je ze niet nodig hebt. Vanuit beveiligingsperspectief is dat een goed advies, maar is het ook werkbaar?
• waarschuwt Apple gebruikers als ze zien dat die door statelijke actoren worden aangevallen.
• past WhatsApp zijn privacybeleid aan na een fikse Europese boete. Let wel: alleen het beleid is aangepast, niet wat ze met je gegevens doen.
• is het lastig dat sites verschillende wachtwoordregels hanteren.

Android Enterprise

“Android Enterprise is best wel goed tegenwoordig”, meldde een system engineer uit het team dat zich met mobiele zaken bezighoudt. En dat ik daar misschien ook eens wat over kon schrijven. Dat is zo’n onderwerp waar ik dan eerst wat research voor moet doen, maar inmiddels heb ik me ingelezen en vind ik het onderwerp inderdaad de moeite waard. Het feit dat ik dit bespreek betekent overigens niet dat ik vóór Android of tegen een ander mobiel operating system ben; ik bekijk het onderwerp vanuit mijn eigen invalshoek en geef het beeld weer dat ik ervan heb.

Als je in de winkel een smartphone koopt, dan kun je daarmee doen wat je wilt: naar believen apps en accounts installeren, informatie van hot naar her slepen en systeeminstellingen naar je eigen smaak aanpassen. Je kunt je voorstellen dat dit niet altijd gewenst is als een toestel zakelijk wordt gebruikt. Als het beleid van een organisatie bijvoorbeeld zegt dat je geen informatie in de cloud mag zetten, dan is het niet handig als je een zakelijk document met een paar vegen naar Dropbox of zo verplaatst. En terwijl je op een privétoestel ervoor zou kunnen kiezen om er geen enkele vergrendeling op te zetten, vindt je werk het geen goed idee als zakelijke documenten en e-mail door iedereen kunnen worden ingezien die toevallig het toestel in handen krijgt.

Hoe verenig je deze beide werelden? Maar eerst: waarom zou een organisatie dat willen? Ik denk dat hier de gunfactor een rol speelt: een toestel, dat potdicht zit en waar je privé helemaal niets mee kunt, is saai. Je werkgever snapt ook wel dat je het weerbericht wilt kunnen raadplegen, of zelfs je privémail en je social media. Tegelijkertijd moet alles wat zakelijk is, zakelijk blijven. En dus ging men op zoek naar een manier om recht te doen aan zowel de zakelijke als de privébelangen.

En hier komt Android Enterprise (AE) ten tonele (ook de niet-Android-wereld heeft daar oplossingen voor, maar die laat ik voor nu buiten beschouwing). Met AE krijgt je smartphone een gespleten persoonlijkheid: het ene deel is zakelijk, het andere privé. In AE-termen spreken we over containers, en die containers zitten op slot. Er is geen verkeer tussen hen mogelijk. Overigens bestaan er verschillende varianten, grofweg te verdelen in: het toestel is van mij en ik gebruik het ook voor mijn werk (BYOD – Bring Your Own Device) en andersom: het toestel is van de baas en ik mag het ook privé gebruiken (COPE – Company Owned, Personally Enabled). Varianten, waarbij je privé helemaal niks kunt, laat ik hier buiten beschouwing.

Het toepassen van containers heeft zowel voor de organisatie als voor de gebruiker voordelen. Zo kan de organisatie de zakelijke container wissen als daar aanleiding toe is, zonder de privécontainer te raken. Met andere woorden: als de zaak je telefoon wist, ben je je foto’s, privémails en -apps en eigen documenten niet kwijt. Zo heb je op je mobiel een nette scheiding tussen werk en privé. En je werkgever kan erop vertrouwen dat zakelijke gegevens niet via privé-accounts uitlekken. Althans, niet al te gemakkelijk; als iemand een zakelijk mailtje moedwillig doorstuurt naar privé, dan komt die informatie natuurlijk alsnog in de buitenwereld terecht (tenzij daar weer andere maatregelen tegen zijn getroffen). De containerisatie beschermt op zichzelf dus met name tegen per-ongelukjes.

Ieder enigszins modern Android-toestel bevat AE. Op je privé-apparaat merk je daar niks van. Om het te activeren, moet een organisatie de nodige handelingen verrichten (enrolment). En AE alleen doet nog niks: je hebt een systeem voor enterprise mobility management (EMM; ook wel mobile device management (MDM) genoemd) nodig dat er gebruik van maakt. AE is slechts de verbindingslaag tussen EMM en Android. (Voor de techneuten: AE biedt API’s om bepaalde functies aan te spreken).

AE geeft organisaties de mogelijkheid om haar belangen te beschermen in een wereld waarin zakelijk en privé steeds meer versmelten. Daar horen ook spelregels bij, want je kunt niet alles in de techniek oplossen. Als aan medewerkers wordt uitgelegd wat het doel van technische maatregelen is, zullen ze beter begrijpen hoe ze ermee moeten omgaan en dat daar bepaalde verantwoordelijkheden bij horen. Daar hoort ook het besef bij dat je niet probeert om technische maatregelen te omzeilen; je zou dan namelijk de grens tussen ‘per ongeluk’ en ‘moedwillig’ overschrijden.

 

En in de grote boze buitenwereld …

• is hier weer de jaarlijkse waarschuwing dat cybercriminelen rond de feestdagen extra actief zijn.
• geldt die waarschuwing niet alleen voor de VS.
• betekende de verkorting crypto altijd cryptografie, maar die betekenis heeft de strijd verloren van cryptocurrency.
• kan het ministerie van Justitie en Veiligheid wel wat digitale leertjes gebruiken.
• had de Kamer van Koophandel de autorisaties voor gevoelige gegevens niet op orde.
• werkt de webwinkel van Amazon bepaald niet volgens het need-to-know principe: iedere medewerker kan alles zien.
• voorkom je met deze tips dat malware je Android-toestel besmet.
• gaat Microsoft Edge met je gegevens aan de haal.
• probeerde de BBC om Russische cybercriminelen in hun eigen land op te sporen.
• is de gemeente Ede gephisht.
• hadden criminelen het wel heel erg voorzien op deze bejaarde Haagse dame.
• heeft de bevolking niet veel vertrouwen in het vermogen van de politie om cybercrime te bestrijden.

 

King Nassos

 

We blijven nog even op Kreta, want daar was veel te beleven. Dat begon al meteen na aankomst op het vliegveld van Heraklion. Meestal heeft een reisbureau een bus geregeld voor de transfer naar het hotel, maar omdat er tijdens de boeking wat dingen misgingen, had het reisbureau als goedmakertje een privétransfer voor ons geregeld. Het was even zoeken, maar uiteindelijk vonden we buiten de aankomsthal een man die een minitablet vasthield waar mijn naam in koeienletters op stond.

Al gauw werd duidelijk dat deze chauffeur een prater was. Het belangrijkste gespreksonderwerp was de werkdruk van de transferchauffeurs. Gedurende het toeristenseizoen maken die mensen enorm lange dagen, met tussen twee diensten slechts een paar uurtjes tijd om te slapen. Een collega van onze chauffeur was een keer tijdens een dienst  zó moe, dat hij zijn klant verzocht om zelf achter het stuur te gaan zitten. Ondertussen zien de bazen van de chauffeurs alleen klanten die vervoerd moeten worden en auto’s die beschikbaar zijn – niet de mens achter het stuur en zijn fysieke behoeftes.

Aan het einde van de vakantie werden we door dezelfde chauffeur opgehaald. Wederom was de werkdruk een belangrijk gespreksonderwerp, maar al dat rijden – zo’n tweehonderdduizend kilometer per seizoen! – leverde wel enorm veel ervaring op. Onze chauffeur raakte maar niet uitgepraat over zijn rijkwaliteiten. Hij zou de weg zelfs geblinddoekt vinden, kende elke bocht, wist waar je veilig kon inhalen en waar de flitskasten stonden. Ook pochte hij over zijn grote aandacht voor veiligheid. Hij was de koning van de weg – “You can call me King Nassos”.

Ondertussen hadden wij toch een iets andere beleving bij zijn rijgedrag. Nassos had zijn handen alleen aan het stuur als dat nodig was om de rijrichting van zijn Skoda te beïnvloeden. De rest van de tijd gebruikte hij ze om zijn woorden kracht bij te zetten, en soms, als hij naar mij luisterde, lagen ze gewoon in zijn schoot. Ondertussen lag de snelheid ruim boven de waardes die de borden aangaven en de afstand tot voorliggers ruim onder wat mij veilig leek – en we zijn wat dat betreft best iets gewend in Nederland. Het zien van een geit op de rijbaan droeg ook al niet bij aan het gevoel van veiligheid, vooral niet nadat Nassos vertelde dat er ook zwarte exemplaren zijn, die in het donker nog wel eens worden aangereden. Dat komt hard aan als je 80 km/h of nog harder rijdt. En oh ja, op onze heenweg was het pikkedonker en op de terugweg schemerde het. Maar gelukkig reed hij altijd ‘Europese stijl’ als hij gasten vervoerde. Alleen als hij alleen was, reed hij ‘Griekse stijl’.

Zelfoverschatting en chronische vermoeidheid vormen een gevaarlijke cocktail. Niet alleen in het wegverkeer, maar ook achter de computer. Toegegeven, er zijn slechts weinig mensen dodelijk verongelukt door op een onbewaakt moment op een verkeerde link te klikken. Toch kan een vals gevoel van veiligheid grote gevolgen hebben. Zo dacht iemand bij Transavia twee jaar geleden dat een wachtwoord à la ‘123456’ goed genoeg was. Gevolg: persoonsgegevens van tienduizenden klanten gelekt, en daarom nu een boete van vier ton van de Autoriteit Persoonsgegevens. En het zou me niet verbazen als de ransomware-aanval, die de MediaMarkt momenteel in z’n greep houdt, eveneens te herleiden is tot de een of andere onachtzaamheid bij een beheerder of gebruiker. De criminelen hebben een prijskaartje van vijftig miljoen aan deze gijzeling gehangen. Ik denk dat iemand bij MM ijverig aan het uitrekenen is hoeveel omzet ze door deze aanval missen en of het niet goedkoper is om het losgeld te betalen (vaak valt over de hoogte daarvan nog te onderhandelen). Daar waar het in de auto verstandig is om beide handen aan het stuur te houden, is het achter de computer soms wijs om toetsenbord en muis even los te laten en een paar tellen extra na te denken. En daarbij een nederige houding aan te nemen: veel internetcriminelen zijn slimmer, uitgekookter en gehaaider dan jij en ik.

Nassos wist ons zonder ook maar één echt gevaarlijke situatie op het vliegveld te krijgen; hij hoefde nooit hard te remmen of uit te wijken. Bij zijn koningschap hoorde ook het één zijn met zijn voertuig en precies te weten wat de auto aankon. Hij wist dus ook dat hij vrij kansloos zou zijn als hij, met in totaal vijf personen in de auto, een moeilijke manoeuvre zou moeten uitvoeren, en daar hield hij, op zijn eigen wijze, rekening mee. Ik naam afscheid van hem met de welgemeende woorden: “Thank you, King Nassos. Keep it safe.”

 

En in de grote boze buitenwereld …

• zijn bij de MediaMarkt geen klantgegevens gestolen.
• wil een Amerikaans wetsvoorstel losgeldbetalingen maximeren op een ton.
• is de VDL Groep een maand na de ransomware-aanval weer volledig up and running.
• deelt de Chrome-browser op Android-apparaten standaard gegevens van de bewegingssensoren met alle sites die je bezoekt.
• gebruiken criminelen sms als opmaat voor een frauduleus telefoongesprek.
• wordt de Taiwanese overheid zo’n vijf miljoen keer per dag digitaal lastiggevallen.
• gebruiken criminelen welbekende platforms als LinkedIn als dekmantel voor hun louche spelletjes.
• ligt je cv misschien wel op straat.
• gebruiken criminelen steeds vaker bitcoin-automaten en QR-codes om hun slachtoffers geld af te troggelen.
• worden html-pagina’s gebruikt om kwaadaardige code te smokkelen.
• zijn onze bruggen en rioleringssystemen niet “op grote schaal” kwetsbaar.
• zijn de versleutelde back-ups van WhatsApp niet waterdicht.
• stuitte booking.com op een Amerikaanse spion in hun systemen.

Verleiders

 

Er zijn van die vakantieoorden waar je rond etenstijd – wat overigens een zeer ruim begrip is – niet over straat kunt gaan zonder om de haverklap door een meer of minder vasthoudend type te worden uitgenodigd om plaats te nemen in een restaurant. De etablissementen, die dergelijke praktijken hanteren, hebben daar speciale medewerkers voor. Iedereen heeft zijn eigen stijl: de een is charmant, de ander is opdringerig en er was ook een restaurant waar, anders dan op de meeste plaatsen, een dame deze rol vervulde, waarbij kennelijk vooral werd ingezet op haar uiterlijk.

Het woord ouvreuse schiet door mijn hoofd. Dat is zo’n woord dat je zelden of nooit gebruikt, maar wel in een grijs verleden hebt geleerd. Mocht je het niet meer weten: dat is iemand die je in een schouwburg of bioscoop aanwijst waar jouw plaats is. Maar ik laat dat woord maar weer los, want als je een ouvreuse tegenkomt, dan ga je uit vrije wil ergens heen. Laat ik voor deze horecamedewerkers dan toch maar de term verleider gebruiken.

Menige verleider heeft een vlotte babbel, want hij krijgt slechts  korte tijd aandacht van een passant. Hij probeert in te schatten of iemand op zoek is naar eten. Als hij raadt waar je vandaan komt en je met woorden uit je eigen taal aanspreekt, dan levert dat extra punten op. Wij werden onlangs op Kreta verrassend vaak als Nederlanders ingeschat; ik vermoed dat ze afgaan op zaken als haarkleur en lichaamslengte. Er zijn verleiders die je heel charmant bejegenen, zoals die ene man die in verzorgd Engels een praatje aanknoopte en op een afwijzing reageerde met: “I respect that”. We zijn daar daadwerkelijk een keer gaan eten. Omdat het restaurant vlakbij ons hotel lag, zagen we de man nog vaak aan de overkant van de straat staan, en steeds groette hij als een heer. Maar er zijn ook verleiders die je de weg versperren, beginnen te blèren over een gratis aperitief en je ook nog verontwaardigd blijven volgen als je om ze heenloopt. En er zijn rustige types, die je alleen maar wijzen waar je de menukaart kunt inzien.

Ik ben ook een verleider. Ik probeer je tot veilig gedrag te verleiden. Anders dan bij die horeca-verleiders gaan mijn kunsten je geen geld kosten, maar word je in bepaalde gevallen juist ervoor behoed dat je geld kwijtraakt. Denk daarbij maar aan zaken als phishing en vriend-in-nood fraude, waar ik het in mijn blog vaak over heb. Primair ben ik er natuurlijk om onze organisatie veilig te maken en te houden, maar ik ben ervan overtuigd dat een goede ICT-hygiëne voor thuis ook uitstraalt naar het werk: ben je thuis alert op phishing, dan ben je het op je werk vanzelf ook.

Wat ik niet wil zijn, is zo’n irritante verleider die je de weg verspert en pas tevreden is als je doet wat hij zegt. Natuurlijk, bepaalde dingen kunnen écht niet, maar vaak komen we er samen wel uit door na te gaan wat je wilt bereiken en hoe we dat binnen de kaders van het beleid kunnen realiseren. Misschien had je een bepaalde werkwijze op het oog die vanuit beveiligingsoptiek niet wenselijk is, maar dan kunnen we kijken wat er wél kan. Voorbeeld: als je zakelijk gebruik wilt maken van WhatsApp of Telegram zeg ik nee, maar ik noem ook meteen gezonde alternatieven (bijvoorbeeld Signal).

Geef mij maar die rustige en charmante types, die ook wel begrijpen dat je slechts voor hun deur staat omdat je nou eenmaal moet eten, of in mijn vak: die snappen dat beveiliging niet jouw hobby is, maar dat je komt shoppen omdat je donders goed begrijpt dat informatiebeveiliging een topprioriteit voor iedere gegevensverwerkende organisatie is. Ik wil je verleiden door je inzicht te geven. Want als je zelf inziet waarom iets een risico is, dan is dat voor ons beiden veel prettiger en gemakkelijker werken.

Er was ook een restaurant dat geen verleider had. In plaats daarvan stond er een bord op de stoep met in het Engels de volgende tekst: “Wij pushen u niet hierheen – wij worden aanbevolen door Lonely Planet, de Rough Guide en nog veertig andere reisgidsen.” Kijk, dat bevalt me wel. Dat je niet meer zelf de boer op hoeft, maar dat de klanten vanzelf naar je toe komen omdat je kwaliteiten geroemd worden. Maar omdat veel mensen nog onvoldoende beseffen dat ze honger hebben, blijf ik voorlopig nog wel even bloggen.

 

En in de grote boze buitenwereld …

• bellen phishing-bots je op om een 2FA-code te bemachtigen.
• is een dozijn (vermoedelijke) cybercriminelen opgepakt voor de aanval op de gemeente Lochem.
• stelt de EU vanaf 2024 beveiligingseisen aan slimme apparaten.
• zijn er een hoop goede virusscanners voor Android-apparaten.
• vraagt het MKB om teveel persoonsgegevens.
• heeft ook het onderwijs te maken met privacyrisico’s.
• gebruikt de MediaMarkt toch maar geen vingerafdrukscanners meer.
• zijn Europese cryptosleutels, waarmee coronapassen kunnen worden vervaardigd, gestolen.
• krijgt de VS een nieuw cyberbureau.
• doet een oplichter, die het op Engelstaligen in Nederland lijkt te hebben gemunt, zich voor als iemand van de ‘National Police’ of het ‘Dutch Supreme Court’.
• is het kennelijk nodig om oliebedrijven wettelijk te gaan verplichten hun digitale beveiliging op orde te hebben.
• kun je multimiljonair worden als je toevallig weet wie de mensen achter de hack op Colonial Pipeline zijn.

 

Nep-phish

Tijdens de onlangs in Den Haag gehouden ONE Conference was phishing natuurlijk een onvermijdelijk onderwerp. De meeste phishing-presentaties gaan over de omvang van het probleem, het geniepige van de criminelen achter deze valse mailtjes en waar wij tegenwoordig overal op moeten letten als we e-mail ontvangen. Maar er was één spreekster die het over een andere boeg gooide.

Fleur van Leusden, chief information security officer (CISO) van de Autoriteit Consument en Markt, sprak haar gehoor toe over nep-phishingmails, die veel organisaties gebruiken om te testen of hun medewerkers wel goed opletten. De security-afdeling stelt dan een mailtje op dat de geadresseerden moet verleiden om op een link te klikken. Doe je dat, dan kom je op een website die in je gezicht schreeuwt: DIT WAS EEN TEST! Van Leusden betoogde dat het niet handig is om dergelijke testmailtjes te versturen. Want het kan ertoe leiden dat medewerkers daarna niet meer aan de bel trekken als ze échte phishing ontvangen, omdat ze denken dat het wel weer zo’n test zal zijn, of omdat ze bang zijn te worden uitgelachen als het geen phishing blijkt te zijn. Het versturen van een nep-phish kan ook het vertrouwen van medewerkers in de beveiligingsorganisatie schaden, terwijl je dat vertrouwen juist moet koesteren – je hebt al die medewerkers hard nodig in de strijd tegen cybercrime en daarvoor heb je een klimaat nodig waarin mensen zich bij je durven te melden als ze toch op zo’n link hebben geklikt. In sommige organisaties moet je zelfs vrezen dat je een slechte beoordeling krijgt als je zakt voor een phishingtest.

Het is ook niet eerlijk. Al die tips die we geven om phishing te herkennen komen niet exclusief in phishingmail voor. Spelfouten? Niks bijzonders, er worden dagelijks talloze mailtjes verstuurd met soms tenenkrommende spelling. Vreemde afzender? Veel bedrijven hebben het versturen van hun spam reclame uitbesteed, waardoor hun eigen naam niet in het afzenderadres voorkomt. Rare link? Heb je wel eens gezien hoe raar sommige valide links er uitzien, bijvoorbeeld als je op ‘wachtwoord vergeten’ hebt geklikt en dan een mailtje krijgt om je wachtwoord te resetten? En zelfs de urgentie, die bijna altijd door phishingmail wordt uitgestraald, komt in de echte wereld ook voor. Zo’n wachtwoordresetlink bijvoorbeeld is vaak ook maar beperkt houdbaar.

Informatiebeveiligers zijn slecht in het verzenden van fake phishing, betoogde Van Leusden. We maken namelijk gebruik van insider information. Als voorbeeld liet ze een testmailtje van een Amerikaans bedrijf zien, waarin werd aangekondigd dat alle medewerkers een ‘holiday bonus’ van $ 650 zouden krijgen omdat het bedrijfsfeest vanwege corona niet kon doorgaan. De verzender van dat mailtje wéét dus dat er normaliter zo’n feest is en denkt daar handig op in te spelen. Maar dat maakt het juist heel moeilijk om het mailtje als phishing te herkennen. Echte phishing gaat over creditcards of zo. Tenzij het spearphishing is, maar die wordt niet – zoals het woord al aangeeft – naar het hele bedrijf gestuurd, maar slechts naar die ene persoon die de crimineel op de korrel heeft. En het is sowieso niet handig om zo’n nep-phish naar iedereen in het bedrijf te sturen, want ook dat maakt detectie moeilijker. Er is niemand die bij de koffieautomaat zegt: “Hè, wat raar, ik heb die mail niet gehad!” Bovendien is de kans groot dat de techniek zo’n mailtje, dat naar de hele organisatie is gezonden, eruit filtert.

Wat je met zo’n phishingtest meet, is niet hoe kwetsbaar de organisatie is voor phishing, aldus Van Leusden, maar hoe goed het beveiligingsteam is in het voor de gek houden van de organisatie. Kortom: het levert je niet op waar het je om te doen was.

En wij? Wij hebben nog geen nepmailtjes verzonden. We hebben wel in de startblokken gestaan: het mailtje, een leuke domeinnaam, de tekst die je te zien krijgt als je op de link in het mailtje klikt – alles ligt op de plank. Ergens hogerop in de organisatie is er toch nog aarzeling om door te zetten. In deze cybersecuritymaand, waarin alles om bewustwording draait, mag je gerust weten dat ook onze organisatie flirt met de mogelijkheid om zo’n phishingtest te doen. Daar hoort namelijk ook bij dat je vooraf vertelt wat je gaat doen. Maar áls we het gaan doen, dan zal ik in ieder geval nog eens kritisch naar het mailtje kijken, om niet in de door Van Leusden geschetste valkuilen te stappen. Je moet een eerlijke kans krijgen om het mailtje als phishing te herkennen.

Ik vertrouw erop dat je net zo alert blijft als je al was, of iets alerter wordt als dat nodig is. Denk in ieder geval nooit: ha leuk, dat zal zo’n testmailtje zijn, ik ben wel benieuwd wat er gebeurt als ik op die link klik…

Je kunt de presentatie van Fleur van Leusden (en de rest van de ONE Conference) hier terugkijken.

Volgende week verschijnt er geen Security (b)log.

 

In in de grote boze buitenwereld …

• passen sommige telefoonmerken hun Android-versie zodanig aan, dat veel gegevens worden gedeeld met diverse partijen.
• krijgen we meer internetagenten.
• mag Rusland niet meepraten op de internationale top over cybercrime.
• delen de MIVD en de AIVD te gemakkelijk persoonsgegevens met buitenlandse inlichtingendiensten.
• doen cybercriminelen zich nu ook voor als politieagent.
• schaft Microsoft het wachtwoord af, maar is de juridische wereld daar nog niet klaar voor.
• moeten grote Australische bedrijven voortaan ransomware-aanvallen melden bij de autoriteiten.
• waarschuwde de politie per brief afnemers van “DDoS-leveranciers” dat ze verkeerd bezig zijn.
• zijn Office365-accounts populaire doelwitten.

 

Wild

Born to be wild. Deze slogan was lange tijd te lezen als je over de A2 langs de fabriek van VDL Nedcar reed. Hij stond op de zijkant van een verhoging waarop een Mini stond die leek op te stijgen. De leus was een aardige woordgrap: de autofabriek staat in de Limburgse plaats Born.

Woensdagnacht werden ze helemaal wild in Born, maar dan niet omdat het zoveelste leuke autootje van de band rolde of zo. Nee, moederbedrijf VDL Groep werd het slachtoffer van een cyberaanval, die onder andere de Nedcar-fabriek volledig platlegde – als in: er rolt daar nu even geen enkele auto meer van de band. Ook de rest van de 105 bedrijven van het concern, verdeeld over negentien landen, is “in meer of mindere mate” door de aanval getroffen, zegt het bedrijf.

Het lijkt erop dat het concern door een ransomware-aanval is getroffen, al houdt het bedrijf de kaken nog stijf op elkaar over de aard van de cyberaanval. Er is daar heel wat te halen: de concernomzet bedroeg vorig jaar bijna 4,7 miljard euro. Cybercriminelen, die ook steeds verder professionaliseren, hebben geleerd dat aan grote bedrijven meer kan worden verdiend dan aan particulieren.

Tegenwoordig gaat het bij ransomware vaak niet meer alleen om het versleutelen van bestanden. Bij een besmetting worden ook gegevens gestolen, en dan bestaat de eis van de criminelen uit twee delen: betaal om je gegevens te kunnen ontsleutelen én om ons de buitgemaakte gegevens niet te laten publiceren. Dat laatste ligt – zeker bij een technologiebedrijf – gevoelig. VDL doet veel meer dan alleen auto’s en bussen. Zo zijn ze ook een belangrijke toeleverancier voor ASML, dat wereldwijd de markt leidt voor machines die computerchips maken. Bij deze aanval zijn niet alleen de bedrijfsgeheimen van VDL in het geding, maar mogelijk ook die van hun klanten. Om erger te voorkomen heeft VDL alle onlinesystemen uitgezet. Lassers kunnen nog wel werken, maar zo’n beetje iedereen, die afhankelijk is van informatiesystemen, zit thuis.

Bij de vele nieuwsbronnen die ik over dit voorval geraadpleegd heb, valt één zin in De Telegraaf op: “Doordat veel processen verregaand zijn geautomatiseerd en gedigitaliseerd, raakt de aanval ook de productie.” Dat impliceert dat er geen scheiding is aangebracht tussen IT en OT, waarbij IT de informatietechnologie voor kantoormensen is en OT fabrieksmensen bedient (operational technology). Zo’n scheiding is van cruciaal belang bij installaties die rampen kunnen veroorzaken; denk daarbij aan chemiefabrieken, waterkeringen en luchtvaart. Je moet er toch niet aan denken dat een terrorist door middel van een phishing-mail aan een KLM-medewerker uiteindelijk toegang krijgt tot de systemen aan boord van een vliegtuig. Ook ‘gewone’ industriële bedrijven doen er goed aan om IT en OT van elkaar gescheiden te houden, zo laat de VDL-hack maar weer eens zien.

Maar dan moet de bedrijfsleiding de problematiek wel begrijpen én gepaste maatregelen willen treffen (lees: bereid zijn om substantieel in beveiliging te investeren). Op Twitter schreef iemand: “Ik heb daar een aantal jaren geleden voor een paar maanden rondgelopen. De ICT'ers zijn goede mensen maar vanuit VDL werd iedere cent omgekeerd. Er was nergens geld voor. Het was roeien met de riemen die ze hadden.” Ik kan dat bericht niet verifiëren, maar VDL zou niet het enige bedrijf zijn waar dat zo werkt. Journalist Huib Modderkolk beschrijft in zijn boek Het is oorlog maar niemand die het ziet hoe het op dat punt eraan toeging bij de APM-terminals in de Rotterdamse haven, die in 2017 werden getroffen door een ransomware-aanval die begon bij moederbedrijf Maersk in Oekraïne en van daaruit de hele wereld over ging: APM had totaal geen oog voor digitale beveiliging. Software werd niet ge-updatet, er waren virusscanners noch firewalls in gebruik op kritische systemen en verbindingen. Waarschuwingen van beveiligingsdeskundigen werden in de wind geslagen.

Vorig jaar was VDL ook al het doelwit van een hackaanval, schrijft NRC, maar die kon worden afgeweerd. Je zou verwachten dat zo’n gebeurtenis het management wel wakker schudt. Of dat nodig was en ook is gebeurd, weet ik niet. Maar ik kan ook niet uitsluiten dat men dacht: de aanval is afgeweerd, dus we zijn hartstikke veilig; geen verdere actie nodig. Voor mensen, die zo denken, haal ik maar weer eens een oud gezegde van stal: beveiliging is geen product, maar een proces.

De hit Born to be wild van Steppenwolf uit 1969 bevat de volgende regels: “Fire all of your guns at once/And explode into space”. Dat eerste lijkt inmiddels bij VDL te zijn gebeurd. Hopelijk blijft het tweede ze daar in Born bespaard.

 

En in de grote boze buitenwereld …

• zijn cyberaanvallen in Nederland aan de orde van de dag.
• staat daar een forse toename van het aantal cybersecuritybedrijven tegenover.
• wil de Tweede Kamer actie tegen ransomware.
• gaan we misschien wel de krijgsmacht inzetten bij een ransomware-aanval.
• waarschuwde Google duizenden gebruikers dat ze doelwit waren van Russische phishing.
• meldde ook Microsoft dat veel cyberaanvallen uit Rusland komen.
• is in de VS wetgeving in de maak die bedrijven verplicht om losgeldbetalingen te melden.
• gaat Google automatisch tweefactorauthenticatie aanzetten.
• hadden hackers vijf jaar lang toegang tot een bedrijf dat wereldwijd sms-berichten routeert.
• vragen kaartverkopers soms meer gegevens dan nodig en wenselijk is.
• heeft de AIVD een cybersecurity-aanpak gepubliceerd.
• kun je de presentaties van de ONE Conference terugkijken.

 

Twee stappen terug

“Beste beheerders, het wachtwoord van ons testaccount AABBCC01 is verlopen. Kunnen jullie dat resetten naar AABBCC00? Of blijft het wachtwoord gelijk aan de user-id?” Dit is een bijna letterlijke weergave van een mailtje van een testteam aan een beheerteam. Er wordt gevraagd om een nieuw wachtwoord, dat op één positie afwijkt van de user-id. Of daar zelfs gelijk aan is.

Ik kom daar zo op terug. Maar eerst dit. Oktober is traditioneel de cybersecuritymaand. Een maand, waarin wereldwijd extra aandacht wordt gevraagd voor de gevaren waarmee je te maken krijgt zodra je een voet op het internet zet. Voor veel mensen ligt dat tijdstip tegenwoordig onmiddellijk na hun geboorte, wanneer de trotse ouders de nieuwe wereldburger online zetten en daarmee zijn eerste persoonsgegevens lekken: naam, geboortedatum, foto. Het woonadres is voor een beetje googelaar gemakkelijk erbij te vinden. Ik ken – nog – geen gevallen waarbij de gegevens van baby’s misbruikt zijn, waarschijnlijk omdat bij hen niks te halen valt. Wat ik ermee wil aangeven is dat digitale presentie tegenwoordig zowat onvermijdelijk is en vaak buiten het medeweten en al helemaal zonder goedkeuring van de betrokkene plaatsvindt.

In Nederland vieren we de cybersecuritymaand met de campagne Alert Online (een initiatief van het ministerie van Economische Zaken en Klimaat). Deze korte naam geeft precies weer waar het om gaat: dat je alert bent als je online gaat. Want de tragiek van die geweldige uitvinding, het internet, is dat het een afspiegeling is geworden van het echte leven, compleet met pestkoppen, criminelen, spionnen en idioten. Om dit onder de aandacht te brengen én om de weerbaarheid te vergroten, organiseren tal van organisaties activiteiten. Die zijn voor een deel gericht op de eigen medewerkers, maar er zijn ook tal van activiteiten voor een breder publiek (vaak is deelname kosteloos, maar niet altijd).

Toen ik dat mailtje uit de eerste alinea onder ogen kreeg, verzuchtte ik: “Wat hebben we aan al die mooie awareness-programma’s en -activiteiten, als het al helemaal aan de basis misgaat? Jongens, we moeten een flinke stap terugdoen, want we zijn mensen kwijtgeraakt terwijl we dachten dat we flink aan het opstomen waren!” Want er is van alles mis met dat mailtje. Het begint ermee dat de aanvrager zijn wachtwoord niet zelf wijzigt, maar dat aan een beheerder overlaat, waardoor de geheimhouding wordt doorbroken. En de meest mensen beseffen tegenwoordig dat een wachtwoord, dat (bijna) gelijk is aan het user-id, niet in aanmerking komt voor de kwalificatie ‘sterk’. Oké, het gaat hierbij slechts om een account in een testomgeving, maar het op peil houden van een zekere basishygiëne is overál belangrijk. Net zoals ik ervan overtuigd ben dat veilig gedrag thuis uitstraalt op hoe je je in je werk gedraagt, zo bang ben ik dat onveilig gedrag in de ene omgeving meegenomen wordt naar een andere.

In de Luxemburgse stad Echternach vindt ieder jaar een processie plaats om Sint Willibrordus te herdenken. Tot 1947 werden in deze optocht steeds drie stappen vooruit gezet, gevolgd door twee stappen achteruit. Daar hebben we de uitdrukking “processie van Echternach” aan overgehouden voor zaken die moeizaam voortgang boeken doordat er steeds weer een stap terug moet worden gezet. Het lijkt er nu op dat we met beveiligingsbewustzijn op het punt zijn beland dat we een flinke stap terug moeten doen om de mensen, die we onderweg zijn kwijtgeraakt, weer aan boord te krijgen. En zo’n mailtje herinnert ons ook eraan dat we, terwijl we toch echt wel vooruitgang boeken, regelmatig in de achteruitkijkspiegel moeten kijken om te zien of iedereen ons kan bijbenen.

Op slechts 1 enkele dag in het jaar vieren we Moederdag, terwijl verreweg de meeste moeders het verdienen om vaker in het zonnetje te worden gezet. Het thema informatiebeveiliging komt er met een hele maand aandacht al wat beter van af. Moeders verdienen meer aandacht, digitale veiligheid vereist het zelfs. Deze twee kwamen onlangs op een onverwachte plek samen. De Amerikaanse informatiebeveiliger Micah Lee onderzocht een lijst van twaalfduizend wachtwoorden. Daarin kwam maar liefst zeven keer ‘Jemoeder1’ voor (‘je moeder’ is een populaire uitdrukking onder tieners).

En in de grote boze buitenwereld …

• heeft James Bond bewust geen iPhone.
• zou 007 anders goed op z’n digitale portemonnee moeten letten.
• wil nu ook de Duitse overheid weten hoe veilig Chinese smartphones zijn.
• vind je hier een top-10 van preventieve maatregelen tegen ransomware, en een stappenplan voor als het toch misgaat.
• heeft het ministerie van Buitenlandse Zaken het beleid geëvalueerd dat zich richt op cyberdreigingen van statelijke actoren.
• moet het hele middelbaar en hoger onderwijs op een SOC worden aangesloten.
• blokkeer je gemakkelijk iemand die je lastigvalt op social media, chat-apps of datingsites.
• neemt nu zelfs De Rechtspraak afscheid van de fax.
• verdwijnt een puber achter de tralies voor onder andere phishing.
• adviseert de NSA over het kiezen en beveiligen van VPN-servers.
• wil Bart Jacobs een privacy-vriendelijk sociaal netwerk starten.
• worden steeds meer virusscanners erg goed in hun werk.
• licht de overheid haar eigen gebruik van Facebook door.