Simultaan

Bij simultaanschaken neemt één schaker het gelijktijdig op tegen een aantal andere spelers. Die andere spelers zitten meestal in carré-opstelling achter tafels met hun schaakbord voor zich. De simultaanschaker loopt de hele tijd rondjes langs alle borden. Als hij bij een bord arriveert, moet de bijbehorende speler zijn zet doen. De simultaanspeler doet een tegenzet en loopt door naar het volgende bord. In 2011 vestigde de Iraanse schaakgrootmeester Ehsan Ghaem Maghami het wereldrecord simultaanschaken door maar liefst 604 partijen tegelijk te spelen. Daarvan won hij er 580. Houd dat beeld even vast.

De Baseline Informatiebeveiliging Overheid (BIO) is een lange lijst aan maatregelen die in onze ICT-diensten geïmplementeerd moeten zijn. Om na te gaan of dat ook daadwerkelijk zo is, bezoeken we – gewapend met een Excel-bestand waar de BIO in staat – de teams die deze diensten onder hun hoede hebben. Per regel noteren we of en hoe de maatregel geïmplementeerd is (het ‘hoe’ is belangrijk voor audits en bij veranderende omstandigheden). Op deze wijze voeren we een gap-analyse uit: we speuren naar de tekortkomingen. Als informatiebeveiliger treed je daarbij op als facilitator, die de maatregelen toelicht en in de spreadsheet noteert wat de inhoudelijk deskundigen roepen. Waar nodig worden ze daarbij door de facilitator uitgedaagd om scherper over de maatregel na te denken.

Nou hebben sommige teams meerdere diensten onder hun hoede. Dat betekent dat we zo’n team ook meerdere keren moeten ‘lastigvallen’ met een gap-analyse. Weliswaar heb je dan meestal te maken met andere mensen (van de desbetreffende subteams), maar een teammanager ziet met lede ogen aan hoe heel wat uren van zijn mensen worden opgeslurpt.

Bij een zo’n team heb ik onlangs een gap-analyse voor een ICT-dienst afgerond. Nog vier te gaan bij dat team; een hele belasting dus. Toen kwam de vraag of we de resterende analyses niet zouden kunnen combineren. Ik zag het meteen voor me: we zouden een potje simultaanschaak gaan spelen! Maar dan natuurlijk niet tégen elkaar, maar mét elkaar. We gingen drie van de vier resterende diensten doen, want de contactpersoon voor de laatste dienst was met vakantie.

Dit voornemen vergde wel wat aanpassingen aan de werkwijze. Een enkelvoudige gap-analyse doen we tegenwoordig vrij soepel online, maar daar zou deze exercitie te complex voor zijn, dat was wel duidelijk. We moesten dus naar kantoor. Daarvoor hadden we toestemming van onze afdelingshoofden nodig, en een ruimte waar we conform de coronaregels bijeen konden zijn. Gisteren vond de eerste sessie plaats.

Als facilitator kun je niet vier spreadsheets bijhouden, net zoals de simultaanschaker niet zelf alle schaakborden meesjouwt. Daarom werd afgesproken dat de deelnemers dat zelf zouden doen; voor elke ICT-dienst vulde de deelnemer dus zelf zijn sheet in. Mijn eigen laptop was aan een groot beeldscherm gekoppeld, zodat de deelnemers gemakkelijk konden zien waar we gebleven waren. Na de gebruikelijke toelichting, die in zo’n eerste sessie altijd even wat tijd kost, konden we van start met het echte werk. Ik lichtte de eerste maatregel toe en vroeg vervolgens aan de eerste deelnemer of die voor zijn dienst was ingeregeld. Nadat we allebei tevreden waren kon ik door naar de tweede deelnemer en daarna naar de derde. Vervolgens deden we hetzelfde spelletje met de tweede maatregel, enzovoorts. Soms overlegden de deelnemers ook met elkaar, of bracht de een de ander op een idee. Kortom, er was mooie interactie.

We zullen, net als bij gewone gap-analyses, nog een of twee sessies nodig hebben om de boel af te ronden, gewoon omdat het zo veel is. Ik kijk ernaar uit. Voor het eerst zeiden deelnemers na afloop van een BIO gap-analyse dat ze het leuk en interessant vonden. Meestal wordt de BIO toch als een moetje gezien – in tegenstelling overigens tot risicoanalyses, die we op soortgelijke wijze doen en die veel vaker positief gewaardeerd worden. Overigens helpen beide analyses een team om hun diensten beter te beveiligen. En daar doen we het natuurlijk voor; niet louter om een spreadsheet in te kleuren.

De overtreffende trap van simultaanschaken is blind simultaanschaken. Daarbij mag de simultaanschaker de borden niet zien en hij moet dus alles in zijn hoofd doen. Het wereldrecord staat op naam van de in Oezbekistan geboren Amerikaanse grootmeester Timur Gareyev, die in 2016 maar liefst 48 partijen in zijn hoofd speelde en er daar 35 van won. Ik heb trouwens niet de ambitie om welke analyses dan ook blind uit te gaan voeren.

De Security (b)log keert na de zomervakantie terug.

En in de grote boze buitenwereld …

• richten veel spear phishing attacks zich tegenwoordig juist op lagere medewerkers.
• gaan beveiliging en gebruikerservaring hand in hand.
• jeuken de handen van de AIVD-baas om harder op te kunnen treden tegen cyberaanvallen.
• heeft het Israëlische ministerie van Defensie invallen gedaan bij de NSO Group, die spyware levert aan regeringen en onlangs in opspraak kwam door de Pegasus-affaire.
• voelt de NSO Group ook de hete adem van de rest de wereld in haar nek en heeft zij besloten om tijdelijk niet aan bepaalde landen te leveren.
• maakt president Biden werk van de bescherming van kritische infrastructuur tegen cyberaanvallen.
• zou een cyberaanval wel eens tot een echte oorlog kunnen leiden, zegt Biden.
•  wordt geavanceerde malware – net als allerlei andere dure software – gekraakt, waardoor ook minder slimme hackers er gebruik van kunnen maken.
• maakt Google nu nog meer werk van bug hunting.
• maken leveranciers van beveiligingsproducten helaas ook fouten.
• geeft de NSA beveiligingsadviezen die in de praktijk door weinig mensen zullen worden opgevolgd.
• is dit nog zo’n goedbedoeld NSA-advies.
• vindt in Nederland momenteel veel bankhelpdeskfraude plaats.

Escher

Ken je het werk van M.C. Escher? Zo nee, neem dan hier even een kijkje om een indruk te krijgen van het werk van deze wereldberoemde Nederlandse graficus uit de vorige eeuw, zodat je snapt waar ik het in deze blog over heb. En als je hem wel kent, dan klik je waarschijnlijk ook op die link, want Eschers werk is zo fascinerend dat je er steeds opnieuw naar wilt kijken.

Escher is onder andere bekend om zijn prenten van onmogelijke bouwwerken, zoals Belvédère, Waterval en Relativiteit. De eerste afbeelding toont een bouwsel waarvan de tweede verdieping haaks op de eerste lijkt te staan. Pp het bankje voor het bouwwerk zit iemand te spelen met een onmogelijke kubus. Waterval is een perpetuum mobile, waarbij water naar boven stroomt, naar beneden stort en – aangedreven door het waterrad? – opnieuw naar boven klimt, en Relativiteit laat zien dat elke trap aan vier kanten kan worden gebruikt.

In 1998 was er een Escher-tentoonstelling in de Kunsthal in Rotterdam. Behalve natuurlijk het werk van de kunstenaar was er ook een bijzondere attractie met de naam Escher – the ride van Daniel Dugour. De attractie bestond uit een platform van een paar vierkante meter op hydraulische poten, dat opgesteld stond voor een scherm. Op dat scherm werd een film vertoond waarop Belvédère te zien was. Staande op dat bewegende platform had je de illusie dat je naar het bouwsel toe vloog, compleet met wind in de haren dankzij enkele ventilatoren. Je kwam steeds dichterbij, maar opeens zwenkte het vliegende tapijt naar rechts en kreeg je het bouwwerk te zien van een andere kant dan Escher had bedoeld, waardoor het ‘bedrog’ zichtbaar werd: pilaren, die op de statische litho lijken te rusten op plaatsen waar ze helemaal niet bij kunnen, zweefden in deze dynamische voorstelling, gezien vanaf de zijkant, opeens in de lucht. Het kunstwerk was ontmaskerd.

Escher en Dugour leren ons met hun werk dat perspectief allesbepalend is voor wat je ziet. Alleen als je er ‘goed’ voor staat, zie je het ‘juiste’ beeld – het beeld zoals de maker het bedoelt. Kijk je van een andere kant, dan zie je een vertekend beeld. Of is dat misschien juist de waarheid?

In mijn werk is het belangrijk om je los te kunnen rukken van de in eerste instantie voor de hand liggende kijkrichting. Iemand, die iets bij je aandraagt, is – en dat kun je hem niet kwalijk nemen – vaak vastgepind in een bepaald perspectief. Dan krijg je bijvoorbeeld een melding als deze: “Dat team doet iets wat niet mag met ons systeem!” Je kunt dan natuurlijk naar dat team toestappen en “foei!” zeggen. Of je gaat eerst eens vragen wat er precies aan de hand is. Misschien eerst bij beide partijen afzonderlijk, en daarna, vooral als je twee verschillende beelden krijgt voorgeschoteld, samen. De laatste tijd heb ik wel vaker twee partijen bijeengeroepen. Men is dan doorgaans niet alleen zachter naar elkaar toe dan in de mail, maar men staat ook open voor het verhaal van de ander. “Oh, is dát wat je wilt? Maar als we het dan eens samen zus en zo inrichten, dan krijg jij wat je wilt op een manier waar wij geen problemen mee hebben.”

Ander voorbeeld. Ik heb al vaak meegemaakt dat iemand melding maakt van een (vermeend) beveiligingsincident. Vaak op geëmotioneerde, urgente toon. Als je zo’n melding vanuit het perspectief van de melder zou oppakken, dan zou je bij wijze van spreken onmiddellijk iemand moeten laten arresteren. Ik heb geleerd om dat vooral niet te doen. Lang geleden kwam mijn toenmalige leidinggevende eens bij me met het verhaal dat hij van iemand had gehoord dat <vul-zelf-maar-iets-vreselijks-in> was gebeurd. En of ik meteen maatregelen wilde nemen. Ik vroeg hem wie de melder was. Dat wilde hij eerst niet zeggen, hij deed een beetje geheimzinnig alsof hij de identiteit van de melder moest beschermen. Ik bleef aandringen en zei dat ik anders geen onderzoek kon doen. Schoorvoetend kreeg ik de naam van de melder. Ik belde hem op en wat denk je? Een storm in een glas water. Dat is een terugkerende observatie: soms relativeren mensen uit zichzelf hun verhaal als je ze persoonlijk spreekt.

Lang geleden kreeg ik een mok cadeau waarop een werk van Escher is afgebeeld. Althans, dat heb ik decennialang geloofd. Omdat ik hier de titel van dat werk wilde noemen, ging ik het opzoeken. En wat denk je? Nergens te vinden. Ja, iets soortgelijks, maar niet precies die afbeelding. Zo komt na al die jaren aan het licht dat ik uit een vervalsing heb zitten drinken. Tja, perspectief hè.

 

En in de grote boze buitenwereld …

• speelt perspectief ook een belangrijke rol bij het (laten) gebruiken van spionagesoftware.
• werd die spionagesoftware op heel wat belangrijke mensen losgelaten.
• heeft Caseya de decryptor voor de REvil-ransomare in handen gekregen.
• betalen veel ransomware-slachtoffers toch losgeld, omdat het restoren van hun (intacte) back-ups te lang zou duren.
• toont deze infographic de grootste cybersecurity-incidenten van de laatste tien jaar (vanuit Amerikaans perspectief).
• kun je op oneigenlijke wijze root worden op Linux-systemen.
• heeft TikTok in Nederland een fikse boete gekregen voor het schenden van de privacy van kinderen.
• heeft The Wall Street Journal het algoritme ontrafelt waarmee TikTok je interesses weet te achterhalen.
• kwam deze printerkwetsbaarheid wel na érg lange tijd aan het licht.
• werden criminelen op heterdaad betrapt “toen zij bezig waren met spoofing”.
• kon je gemakkelijk een vals toegangsbewijs krijgen in de CoronaCheck-app.

 

Vonken

Dan denk je dus dat je als oude rot in het vak alles al wel eens hebt gezien, en dan komt er opeens een type dreiging voorbij waarvan je tot dat moment niet besefte dat je er rekening mee hebt te houden. Of wist jij dat de vonken van je mobiele telefoon afspatten?

Ik dus ook niet. Heb het ook nog nooit waargenomen. En na wat leeswerk is wel duidelijk dat “de vonken ervan afspatten” schromelijk overdreven is. Het gaat om zogenaamde microvonkjes, die in een gewoon mobieltje in de elektronica kunnen ontstaan. Google laat me in de steek als ik meer over microvonken wil weten, maar ik weet nu wel opeens dat je uiterst nauwkeurige metaalbewerkingen kunt uitvoeren met een techniek die microvonkfrezen heet. Dat is een klassiek gevalletje websurfen: je zoekt iets op en drie muisklikken later zit je bij een compleet ander onderwerp.

Die ieniemienievonkjes kunnen geen kwaad, maak ik op uit het blote feit dat er voor de gewone googelaar niets over te vinden is. Geen gevaar dus, tenzij je je in een explosieve omgeving bevindt, waar de kleinste vonk al tot een ramp kan leiden. Die omgevingen kom je bijvoorbeeld tegen in de olie- en gasindustrie, maar ook in het laadruim van een schip of in meel- en suikersilo’s, waar zich stofexplosies kunnen voordoen. Als je in een dergelijke omgeving moet werken en daar een smartphone bij nodig hebt, dan wil je er heel graag eentje hebben met een minder opvliegend karakter. En die toestellen bestaan. Ze voldoen aan de Europese ATEX 114-richtlijn (ATmosphères EXplosibles) en dragen een officieel keurmerk. De ATEX-richtlijn kent een aantal zones, die de wereld indeelt op basis van de kans dat er een explosief gasmengsel of een explosiegevaarlijke stofwolk aanwezig is. Op basis daarvan kun je bepalen welke smartphone je moet hebben. En die ga je niet vinden bij Apple of Samsung. Het zijn speciale Android-toestellen met een stevig prijskaartje. De meeste zien er ook heel stoer en robuust uit, zo van: als je in een explosiegevaarlijke omgeving werkt, dan laat je je telefoon vast wel een keertje vallen. Geen toestellen voor mensen die van verfijnd design houden.

Voor mij was dit de periodieke herinnering aan het feit dat je, als je nadenkt over risico’s, verder moet kijken dan je neus lang is. We zijn geneigd om na te denken over de bekende dreigingen en ons daartegen te wapenen. Dat wordt ook in de hand gewerkt door risicoanalysemethodes die uitgaan van een vaste lijst van dreigingen, zoals IRAM. Om daar enigszins een mouw aan te passen vraag ik aan het begin van een risicoanalysesessie altijd aan de aanwezige materiedeskundigen of zij op voorhand al risico’s kunnen noemen waar ze wakker van liggen. Als die risico’s worden afgedekt door het standaardlijstje is dat mooi, en anders loop je minder kans dat ze over het hoofd worden gezien omdat iedereen zich heeft blindgestaard op dat lijstje.

Eerder deze week sprak ik een NCSC-expert op het gebied van risicoanalyses. Hij hamerde erop dat je, als je probeert om de kans op een gebeurtenis in te schatten, rekening moet houden met de actor achter die gebeurtenis. Daarvoor moet je om te beginnen weten met wie je te maken zou kunnen krijgen. Kijk je bijvoorbeeld naar de dreiging van een DDoS-aanval (die je website platlegt), dan moet je je afvragen of jouw organisatie op de korrel zou kunnen worden genomen door statelijke actoren en georganiseerde criminaliteit, of dat je ‘slechts’ rekening hoeft te houden met verveelde pubers. Bij elke potentiële actor moet je je drie dingen afvragen: over hoeveel geld kan hij beschikken, hoeveel kennis heeft hij en hoe groot is zijn bereidheid om de aanval uit te voeren. Dat geeft een beter beeld van de kans op een gebeurtenis dan inschattingen op basis van… ja, van wat eigenlijk? Overigens zie ik het als groot voordeel van de IRAM-methodiek dat je niet zelf hoeft na te denken over de kans op een gebeurtenis, maar vooral focust op de maatregelen die je tegen een dreiging hebt getroffen. Maar ja, dan ga je toch weer inschatten hoe goed die maatregelen zijn. Nadenken over actoren kan daar echt bij helpen.

En dan heb je opeens te maken met zo’n dreiging als explosiegevaar, die op het eerste oog niets met ICT – en dus met informatiebeveiliging – te maken heeft. Tot je beseft dat ICT-apparatuur daar wel degelijk een rol bij kan spelen. Bij zo’n type dreiging is er geen actor in de zin van kwaadwillende. De actor is hier de gebruiker, die zich ervan bewust moet zijn dat hij in een risicovolle omgeving moet werken en daarom z’n privémobieltje thuis moet laten.

Om met een vrolijke noot af te sluiten nog het volgende. Toen ik me in het ATEX-verhaal verdiepte, kwam ik onder andere terecht op de website van Vonk bv, een bedrijf dat onder andere vonkvrije telefoons levert. Geinig.

 

En in de grote boze buitenwereld …

• waarschuwt de politie voor sms’jes over voicemailberichten waar een link in zit.
• trekt Microsoft ten strijde tegen bedrijven die cyberwapens leveren.
• wordt doxing strafbaar (als het aan de minister ligt).
• zijn de websites van REvil, de hackergroep achter de recente wereldwijde ransomware-aanval, uit de lucht.
• kun je rijk worden met een tip aan de Amerikaanse overheid over statelijke ransomwarebendes.
• zitten er een hoop juridische haken en ogen aan het betalen van losgeld na een ransomware-aanval.
• zijn er nog steeds problemen met de printspooler van Windows.
• helpt de EU het MKB om zich tegen cyberaanvallen te beschermen.
• wil Instagram een veilige omgeving creëren.
• werken politie en deurwaarders samen tegen online oplichting.
• werd LinkedIn gebruikt als aanvalsroute voor iPhones en iPads.
• kun je natuurlijk ook een laadpaal hacken.
• kon de gezichtsherkenning van Windows Hello worden omzeild.

 

Geketend

De kans is groot, dat je tot voor kort nog nooit had gehoord van de term supply chain attack. Misschien kende je die term nog steeds niet, maar je hebt ongetwijfeld gehoord van de ransomware-aanval die momenteel wereldwijd bedrijven knevelt. En daar ligt dus een supply chain attack aan ten grondslag.

De supply chain, dat is in goed Nederlands de toeleverings- of productieketen. Die keten kan uit vele schakels bestaan, beginnend bij de levering van grondstoffen aan de fabrikant en eindigend bij de levering aan de afnemer. Daartussen kunnen allerlei transporten, productieprocessen en handelsactiviteiten liggen. En al die schakels bieden kwaadwillenden een ingang om het uiteindelijke product te manipuleren.

Een cybercrimineel, die bijvoorbeeld met ransomware aan de slag wil, kan proberen om zoveel mogelijk individuen of bedrijven te besmetten. Voor de gemiddelde crimineel is dat best lucratief: zo’n schot hagel kost niet veel en het is altijd wel raak. Maar als je in de toeleveringsketen gaat zitten, en je kwaadaardige toevoeging daar aan een product weet toe te voegen, dan krijg je alle afnemers van dat product op een presenteerblaadje aangereikt.

Wat we in de afgelopen week zagen gebeuren, was supply chain attack 2.0. Bij deze aanval werd niet de leverancier aangevallen, maar de leverancier van de leverancier. Dat zit zo. Veel bedrijven regelen (delen van) hun ICT-beheer niet zelf, maar hebben dat uitbesteed aan zogeheten managed service providers (MSP’s). Er zijn MSP’s die zich beperken tot het aanbieden van hun eigen producten en diensten, bijvoorbeeld op het vlak van netwerken, applicaties, infrastructuur of beveiliging. Veel MSP’s bieden ook andere diensten aan. Je kunt ook het volledige beheer uitbesteden. Zo ‘ontzorgen’ MSP’s hun klanten.

Die MSP’s maken gebruik van software om hun werk te doen. Kaseya VSA is een product dat ze gebruiken voor onderhoud en monitoring van de systemen van hun klanten. VSA zit dus diep in de klantsystemen, waardoor het slim kon worden gebruikt als vehikel om de ransomware te bezorgen. En hoe groter de MSP, hoe meer slachtoffers.

Je hoeft geen klant van een MSP te zijn om getroffen te kunnen worden door een – andere – supply chain attack. Ook hard- en software die je ‘gewoon koopt’ kan ergens in de keten gecompromitteerd zijn. Dat kan extreme vormen aannemen: in 2013 meldde Der Spiegel dat de NSA computers onderschepte die besteld waren door personen of organisaties die de inlichtingendienst in het vizier had. Vervolgens werd daar malware of zelfs extra hardware aan toegevoegd, waarna het pakje werd bezorgd alsof er niets aan de hand is.

Maar het kan ook minder extreem. Wat te denken van open source software – (stukjes) programmatuur die iedereen vrijelijk kan downloaden en vervolgens inbouwen in z’n eigen software? Het gebruik van open source is algemeen geaccepteerd, maar durf je er blind op te vertrouwen dat er geen extra’s aan die software zijn toegevoegd? Het is in ieder geval verstandig om open source alleen uit betrouwbare bronnen te betrekken, maar garanties biedt dat ook niet. Een andere mogelijkheid, die ik zo kan bedenken, is dat een aanvaller het gemunt heeft op compilers (programma’s die het werk van een programmeur vertalen in code die de computer kan uitvoeren). Als je daar je kwaadaardige inhoud aan weet toe te voegen, dan zorgt de compiler er vervolgens voor dat alle software, die ermee wordt gecompileerd, besmet raakt.

Geen prettige gedachte. Maar wat doe je eraan? Preventief kun je er weinig tegen doen, want hoe moet je weten dat een product iets extra’s bevat? Als bekend wordt dat er iets aan de hand is, moet je vaak snel handelen. In het voorbeeld van Kaseya moest de boel met de hoogste spoed worden uitgezet. En toen een paar jaar geleden het verhaal rondging over een extra chip in bepaalde servers, hebben sommige rekencentra hun servers stuk voor stuk uit het rack getrokken om met een vergrootglas op zoek te gaan naar die chip. Organisaties, die ervoor kiezen om alle spullen in eigen huis te houden (‘on-prem’), zijn soms in het nadeel ten opzichte van organisaties die in de cloud werken: zij moeten allemaal zelf actie ondernemen, terwijl cloud-gebaseerde oplossingen vaak in één keer voor alle klanten van de gecompromitteerde leverancier kunnen worden gefixt.

Nog even iets heel anders. Hierboven gebruikte ik het woord ontzorgen. Ik hoorde dat woord jaren geleden voor het eerst toen Centraal Beheer het in reclamespotjes ging gebruiken. Ik heb het altijd vreemd gevonden, want het lijkt erg op het Duitse ‘entsorgen’, maar dat betekent zoveel als weggooien (Entsorgung is afvalverwerking). Het woord staat pas sinds 2006 in Van Dale (door dat CB-spotje?) en kent twee betekenissen: zorgen wegnemen, maar ook: minder intensief  verzorgen. Die tweede betekenis past beter bij de actuele situatie rond Kaseya VSA. En vooruit, nu ik toch met talige spitsvondigheden bezig ben: momenteel is menig bedrijf geketend door zijn toeleveringsketen.

 

En in de grote boze buitenwereld …

• lees je hier meer details over de aanval via Kaseya VSA.
• was die aanval bijna voorkomen door Nederlandse ethische hackers.
• mag je beveiligingsupdates ook al niet meer blindelings vertrouwen.
• bevat de printfunctionaliteit van Windows een belangrijke kwetsbaarheid, die ook door de extra patch van Microsoft niet volledig is verholpen.
• lees je hier hoe je de printfunctionaliteit in Windows voorlopig uitzet.
• heeft de NCTV het Cybersecuritybeeld Nederland 2021 uitgebracht.
• gaat de EU het blokkeren van accounts reguleren.
• betoogt de Finse beveiligingsguru Mikko Hyppönen in dit Engelstalige filmpje (met Japanse ondertiteling) dat complexiteit de vijand van security is. Hij spreekt ook over supply chain attacks en ransomware.
• zouden Russische hackers de Amerikaanse Republikeinen hebben aangevallen.
• is de officiële Formule 1-app gehackt (voetnoot: de F1 wordt door nogal wat security-bedrijven gesponsord).
• genereerde de Kaspersky Password Manager slechte wachtwoorden (vrij technisch artikel, maar de inleiding en de conclusie zijn de moeite waard).
• heeft British Airways een schikking getroffen met de slachtoffers van een groot datalek.
• moeten woningzoekenden oppassen dat ze niet op verhuursites van criminelen terechtkomen.
• kan het NCSC voortaan de databases van Have I Been Pwned doorzoeken op de aanwezigheid van e-mailadressen van ambtenaren en politici.
• is het niet handig als slechts één beheerder de belangrijke wachtwoorden van het bedrijf kent.