Hoog in het vaandel

“Wij hebben de veiligheid van klantgegevens hoog in het vaandel staan.” Als je een mailtje ontvangt dat zo begint, dan weet je bij de meeste bedrijven dat ze tot gisteren helemaal niet zo bezig waren met de veiligheid van jouw gegevens. Die zijn namelijk uitgelekt.

Onder informatiebeveiligers doet een grap de ronde: er zijn twee soorten bedrijven – bedrijven, die gehackt zijn, en bedrijven, die niet weten dat ze gehackt zijn. Natuurlijk heeft deze knipoog-uitspraak een serieuze ondertoon: er wordt zoveel gehackt, dat het bijna niet anders kan dan dat op z’n minst iemand geprobeerd heeft om jouw bedrijf te hacken. Net zoals we als individu allemaal kennis hebben gemaakt met phishing.

Je moet er dus als bedrijf op zijn ingesteld dat hackers proberen bij je binnen te dringen. Met welk doel ze dat nastreven, hangt af van de aard van de hacker én van de aard van het bedrijf. Sommige hackers doen het gewoon omdat het kan – zo is het ooit begonnen. Anderen doen het om er geld aan te verdienen of om te spioneren, al dan niet in opdracht van hun regering. Het is dus zaak om je daar in alle redelijkheid tegen te beschermen. In alle redelijkheid, omdat de inspanning in balans moet zijn met het te verwachten geweld: elk bedrijf zou bestand moeten zijn tegen een huis-tuin-en-keukenhack, maar van een klein, onbelangrijk bedrijf kun je moeilijk verwachten dat het weerstand kan bieden tegen statelijke actoren. Die zijn waarschijnlijk ook helemaal niet in zo’n bedrijfje geïnteresseerd.

Tenzij… Ja, tenzij zo’n bedrijfje zaken doet met een bedrijf dat wél interessant is voor een inlichtingendienst. Dan kan dat onbeduidende bedrijf wel eens als springplank worden gebruikt. Bijvoorbeeld door de mailserver te hacken en vervolgens een mailtje naar dat belangrijke bedrijf te sturen, dat er dan uitziet als legitieme mail van het gehackte bedrijf. Als je zelf een belangrijk bedrijf hebt, is het goed om je te realiseren dat je toeleveringsketen als aanvalsroute naar jouw systemen kan worden gebruikt.

Ik dwaal af. Het ging immers om bedrijven die na een hack opeens toeteren hoe belangrijk jouw privacy wel niet voor ze is. Ik word altijd wat kregelig van kruipende zinnetjes als “We value your privacy”. Ja, nu opeens wel hè, denk ik dan, omdat je met de billen bloot moet, omdat de AVG voorschrijft dat je mij erover informeert als een hacker mijn gegevens bij jou heeft gestolen. Had dan beter opgelet!

Als ergens iets misgaat, of als iemand iets stoms doet, dan heb ik – ondanks mijn ergernis over het gebeurde – altijd de neiging om de zaak ook vanuit het perspectief van de ander te bekijken. Ah, je hebt je bord niet in de vaatwasser gezet omdat je dacht dat die vol was? Ja, dan begrijp ik het wel. Maar ja, die aanname had je niet moeten doen, je had het even moeten checken. Oh, je hebt je beveiliging de laatste drie jaar niet gecontroleerd omdat je ervan uitging dat die nog wel goed zou zijn? Ja, vanuit die aanname snap ik het, maar tenzij je de laatste tien jaar afgesneden was van de bewoonde wereld, had je kunnen weten dat cybercrime zich razendsnel ontwikkelt en dat beveiligingsmaatregelen regelmatig moeten worden geëvalueerd en bijgewerkt.

Doe je dat niet, dan ben je nalatig. Niemand kan zich tegenwoordig nog beroepen op “wist-ik-veel”. Een bedrijf heeft allerlei verplichtingen, en het principe van goed huisvaderschap is er daar een van. Ik vertrouw jou mijn gegevens toe, dan wil ik ook dat jij ze een redelijke mate van beveiliging biedt. Redelijk als in: voldoende bescherming tegen de dreigingen die je redelijkerwijs zou moeten kunnen weerstaan.

Laatst kreeg ik zo’n mailtje van een gehackt bedrijf. Het begon met het gebruikelijke jeukzinnetje, maar verderop in het mailtje werd mijn stemming toch iets milder. Ja, mijn NAW-gegevens waren buitgemaakt, maar ze gaven ook aan dat mijn wachtwoord én mijn bankrekeningnummer versleuteld waren opgeslagen en dus geen gevaar liepen. Het versleutelen van wachtwoorden is een open deur, maar dat ook het bankrekeningnummer was versleuteld, betekende dat bij dat bedrijf daadwerkelijk iemand had nagedacht over informatiebeveiliging. Of het een meesterzet was om het rekeningnummer te versleutelen laat ik even in het midden, waar het om gaat is dat er meer is gedaan dan het minimale, en nog wel bij een bedrijf waarvan ik het niet op voorhand had verwacht.

 

En in de grote boze buitenwereld …

• betaalde RTL losgeld, ondanks dat ze hun met ransomware besmette systemen zelf konden herstellen met intacte back-ups.
• onderzoekt de overheid of ze verzekeraars kan verbieden om losgeld te vergoeden bij een ransomware-aanval.
• kan een klein tekstbestand op de website een bedrijf helpen om geholpen te worden.
• stelen criminelen ook van criminelen.
• negeren sommige iPhone-apps de wens van gebruikers om hen niet te tracken.
• introduceert Apple tweefactorauthenticatie voor diensten van derden.
• maant de AIVD ons om belangrijke gegevens nu al te beschermen tegen aanvallen met quantumcomputers.
• waarschuwt het Litouwse NCSC voor Chinese smartphones.
• heeft het vorige bericht in Nederland tot Kamervragen geleid.
• lanceert Facebook een zonnebril met ingebouwde camera.
• brengt de terugkeer naar kantoor beveiligingsrisico’s met zich mee.
• werken Nederland en Duitsland samen aan een digitale identiteit.

Onvoorstelbaar

Een smalle, meanderende beek aan de rand van het dorp, waar ik opgroeide, markeert de grens met Duitsland. Als kind ging ik daar vaak met vriendjes spelen. Met onze rubberen laarzen aan konden we gemakkelijk in de beek staan; het water kwam amper boven je enkels uit. Er was daar ook een brug, vanwaar een pad naar een gehucht aan Duitse zijde met dezelfde naam als ons dorp leidde. Spelen op de grens maakte het een beetje spannend. Anders dan nu mocht je niet zomaar de grens oversteken, en al helemaal niet bij zo’n onbewaakte grensovergang. Als omwonende kon je in het statige pand van de plaatselijke brigade van de Koninklijke Marechaussee een grenskaart voor ‘klein grensverkeer’ krijgen. Ik mocht daarmee oversteken tussen grenspaal 193 en 205.

De beek loopt eigenlijk achter
 het witte huis langs.

Toen in juli van dit jaar het water steeg en de rampspoed in Limburg, België en Duitsland via de tv onze huiskamers binnensijpelde, zag ik ergens een foto van mijn dorp. Ook daar was de beek buiten zijn oevers getreden en de naastgelegen straat stond blank.

Eerder deze week was ik in mijn dromen terug in het dorp. Alleen was daar aan het einde van de weg nu geen beek, maar de zee. Er stond een hotel en er waren Aziatische toeristen. Verderop waren de contouren van een grote brug zichtbaar.

Met de zee zal het op die plek in het echt niet zo’n vaart lopen – het dorp ligt aan de voet van de Vaalserberg. Maar dat dat lieflijke beekje ooit zijn bedding te krap zou vinden, dat had ik ook niet verwacht. (Terwijl Wikipedia mij nu leert dat dit in vroeger tijden juist vaak gebeurde en dat het dorp daar misschien wel z’n naam aan dankt.)

Ik heb al vaak risicoanalyses begeleid bij teams die een technisch platform beheren, zoals Windows of het mainframe (ik noem deze slechts als voorbeeld voor technische platforms, niet omdat het onderstaande verhaal erover gaat). Daarbij maken we gebruik van een lijst van allerlei standaard dreigingen, zoals menselijke fouten, virussen, DDoS-aanvallen en uitval van een datacenter. De deskundigen van dat team moeten inschatten in hoeverre hun systeem kwetsbaar is voor zo’n dreiging. Speelt de dreiging een rol in hun context? Welke maatregelen zijn er geïmplementeerd?

Het gebeurt dan wel eens dat men zich een beeld van een dreiging vormt, dat beeld projecteert op het eigen platform en dan voorzichtig mompelt: “Neu, dat speelt bij ons niet zo. Je zou wel daar-en-daar aan kunnen denken, maar daar is zoveel kennis en/of inspanning voor nodig, dat zien we niet zo gauw gebeuren.” En dan zijn er ook nog allerlei maatregelen geëffectueerd, weliswaar niet specifiek op die dreiging gericht, maar wel bijdragend aan de bestrijding ervan. Prima geregeld, zou je denken: de dreiging is niet aannemelijk én er zijn maatregelen tegen.

En dan moet ik dus aan die overstroming denken. Ik heb daar toch een paar decennia lang gewoond, zij het hogerop in het dorp. En nooit zien aankomen dat die beek ooit buiten z’n oevers zou treden (oevers is eigenlijk al een groot woord). Nee, dat soort dingen gebeuren elders, maar toch niet hier?

Het is niet altijd gemakkelijk om te bepalen in hoeverre een dreiging, die op een lijst staat, op jouw systeem van toepassing is. Over het algemeen varen we hierin blind op wat de beheerders te vertellen hebben. Soms daag ik ze echter uit om iets verder te denken, en dat levert wel eens een oh-wacht-eens-even-momentje op: ja, als je het zó bekijkt, dan zou dat-en-dat wel eens mis kunnen gaan.

Ik zeg wel eens – met een mengeling van gepaste trots en zelfspot – dat ik word betaald om doem te denken. Dat mag misschien klinken als een verkapt excuus voor een wat ver doordravende fantasie, maar soms helpt het wel om ook de anderen net iets verder te laten kijken. Ik hoop dat de mensen in mijn dorp dat ook tijdig hebben gedaan.

En in de grote boze buitenwereld …

• schaft Microsoft het wachtwoord af.
• stelt een beveiligingsbedrijf gratis de decryptiesleutel beschikbaar aan slachtoffers van de ransomware van REvil.
• zag Apple zich genoodzaakt om updates uit te brengen die geen enkele nieuwe functionaliteit bevatten.
• gaat WhatsApp nu ook je back-up zodanig versleutelen dat alleen jij erbij kunt.
• ligt het Privacy Shield toch echt in de prullenbak, ook al hanteren Amerikaanse bedrijven het nog steeds.
• is het hoger onderwijs ‘digitaal kwetsbaar’.
• doet Rusland niets tegen ransomware-bendes.
• informeert de overheid voortaan álle bedrijven over digitale dreigingen, niet meer alleen de bedrijven die cruciaal zijn voor Nederland.
• zijn smartphonecamera’s ingrijpender dan politiecamera’s.

 

Bescherm je mail

Wat is het ergste dat je in het huishouden kan overkomen? Precies: dat de vaatwasser stuk gaat. Die van ons begon na de vakantie kuren te vertonen. Deed er drie in plaats van twee uur over. En als hij dan piepte dat hij klaar was, trof je soms je vuile vaat aan. En nu heeft hij er helemaal de brui aan gegeven. Eerst dacht ik nog dat het weer om dat rubbertje ging dat al vaker voor problemen heeft gezorgd. En dus werd voor luttele euro’s een nieuw exemplaar besteld en de vaat zolang opgespaard. Het nieuwe rubbertje bracht helaas niet de oplossing, waardoor we gisteravond de vaat van drie dagen moesten wegwerken.

De plaatselijke apparatenboer was nog zo vriendelijk om ons een tip te geven: laat de stekker een half uur uit het stopcontact, waardoor de vaatwasser een harde reset krijgt. Want misschien was het wel een softwarefout. Voor de zekerheid hebben we ter plekke alvast een nieuwe uitgezocht, met de afspraak dat we gingen bellen als de reset niet zou helpen. Dat moet ik dus zo gaan doen (over drie minuten gaan ze open). (…) Yes, hij wordt morgen al geleverd!

Wat is het ergste dat je in het digitale huishouden kan overkomen? Dat ze je bankrekening hacken? Mwah, dat valt reuze mee. De meeste mensen zijn alerter als het om geld gaat (toch?) en de toegang tot online bankieren is tegenwoordig beschermd met tweefactorauthenticatie: je hebt je telefoon erbij nodig. En in bepaalde gevallen (als je zelf niks stoms hebt gedaan) draait de bank op voor de kosten. Nee, het ergste dat je kan overkomen is dat je e‑mail wordt gehackt.

Je e-mail is veel meer dan een elektronische variant van de gleuf in je voordeur. Anders dan de brievenbus gebruik je je e-mailadres ook voor identificatie- en authenticatiedoeleinden: je zegt ermee wie je bent en als je het wachtwoord van een website kwijt bent, dan sturen ze je een mailtje om je wachtwoord te resetten. Vooral vanwege dat laatste speelt e-mail een cruciale rol in het digitale huishouden.

Stel, een hacker bemachtigt het wachtwoordbestand van een site waar jij een account hebt. LinkedIn bijvoorbeeld (dat gebeurde daadwerkelijk in 2012; daarbij werden de slecht beveiligde wachtwoorden van miljoenen mensen gestolen). De hacker weet dan twee cruciale dingen van deze mensen: het e-mailadres en het bijbehorende LinkedIn-wachtwoord. HIj weet echter óók dat nog steeds veel mensen hetzelfde wachtwoord voor meerdere sites gebruiken. Hij kan dus proberen of hij met die gegevens kan inloggen bij amazon.com, coolblue.nl of mijnmedischegeschiedenis.nl (dit zijn willekeurige voorbeelden). Maar hij kan zijn geluk ook proberen bij e-mailproviders.

Als hij inderdaad in je mailbox weet binnen te dringen, dat heeft hij de jackpot te pakken. Niet omdat hij nu je diepste geheimen kan lezen; die interesseren hem niet. Wat hem wél interesseert, is waar jij accounts hebt. En dan maakt het niet meer uit of je daar allemaal verschillende wachtwoorden hebt: hij gaat naar een website, vult jouw e‑mailadres in en klikt op ‘wachtwoord vergeten’. De site stuurt vervolgens een wachtwoord-reset-mailtje naar jou. Waarschijnlijk heb je dan zelf al helemaal geen toegang meer tot je mailbox, omdat hij het wachtwoord daarvan al heeft gewijzigd. En door het wachtwoord van andere sites te resetten, verschaft hij zich onder jouw identiteit toegang tot die sites.

Wat hij daar vervolgens mee kan, hangt helemaal af van de aard van een site. Hij zou gegevens die hij daar aantreft kunnen gebruiken om je te chanteren (“betaal of ik maak je gegevens openbaar”). Bij online winkels, die betaling achteraf toestaan of die de gegevens van jouw creditcard hebben, kan hij op jouw kosten winkelen. Als afleveradres gebruikt hij het adres van een katvanger, zodat hij zelf buiten schot blijft.

Je kunt niet verhinderen dat je wachtwoord bij een hack wordt buitgemaakt. Maar gelukkig kun je wel de reikwijdte van die diefstal beperken. Daartoe activeer je, overal waar het maar kan, tweefactorauthenticatie (2FA, ook wel tweestapsverificatie of multifactorauthenticatie (MFA) genoemd). Dat zorgt ervoor dat alleen een wachtwoord niet voldoende is om in te loggen – je hebt ook nog de bijbehorende telefoon nodig, waar een code naar ge-sms’t wordt of waarop een code wordt gegenereerd door een authenticator-app. Daarnaast zorg je ervoor dat je overal andere wachtwoorden gebruikt, zodat een inbraak bij de ene site niet automatisch gevolgen heeft voor andere sites. En het belangrijkste: zorg dat in ieder geval je e-mail een uniek wachtwoord heeft. Doe het nu!

Nog een tip voor keukenkopers: maak apparatuur niet het sluitstuk van de deal. Na het uitzoeken van fronten, grepen, een keukenblad en een kraan zeg je te gemakkelijk ja tegen de voorgestelde apparatuur. Analoog hieraan een digitale tip: als je een nieuw e-mailaccount maakt, geef het wachtwoord dan ook de aandacht die het verdient. Laat het bij voorkeur genereren door je password manager.

 

En in de grote boze buitenwereld …

• zijn dit de belangrijkste aanvallen van de laatste twintig jaar.
• moet je altijd oppassen met het openen van bestanden waarvan je de herkomst niet kent.
• konden onderzoekers bij andermans spullen in de cloud konden komen.
• kan WhatsApp een paar van jouw end-to-end versleutelde berichten lezen als iemand jou aan WhatsApp rapporteert.
• logt zelfs de Zwitserse e-mailprovider ProtonMail soms IP-adressen.
• bestaan er onderhandelaars voor ransomware.
• waarschuwt een ransomware-bende om vooral geen gebruik te maken van zo’n onderhandelaar.
• heeft een hacker privégegevens van HAN-medewerkers en -studenten gepubliceerd omdat de hogeschool zich niet wilde laten afpersen.
• loopt Apple flink achter met het oplossen van kwetsbaarheden.

 

Frans

Als je naar een ander land reist, dan ben je in dat land te gast. En als iets in dat land je niet aanstaat, dan is dat jouw probleem, niet dat van het land. Ik kan dus moeilijk op de Fransen foeteren omdat velen van hen geen of gebrekkig Engels spreken. Had ik maar fatsoenlijk Frans moeten leren voordat ik erheen ging! Dat gezegd hebbende: het is best lastig dat veel Fransen geen goed Engels spreken. (Voor de goede orde: mijn eigen Engels is ook verre van perfect (laten we zeggen een 7)).

In de horeca valt het allemaal reuze mee. Toen ik in de vorige eeuw voor het eerst naar Parijs ging, keken obers je nog vies aan als je geen Frans sprak en je kreeg zeker geen antwoord in het Engels. Tegenwoordig staan ze je zelfs in café Le centre de nulle part (mijn woordenboekvertaling van The middle of nowhere) zodanig te woord dat je krijgt wat je wilt hebben. Maar buiten de horeca? Bij de ingang van een waterpretpark wilde ik iets vragen en daarom vervoegde ik mij bij het loket met opschrift Accueil (receptie). De eerste jongedame die me daar te woord stond, haalde na twee wanhopige pogingen om mij te begrijpen haar collega erbij, waarvan ze ten onrechte vermoedde dat die het Engels beter beheerste. Uiteindelijk kreeg ik een antwoord, alleen vraag ik me in dat soort situaties altijd af of ze niet op de gok yes of no zeggen om van je af te zijn.

In deze vakantie moest ik ook nog communiceren met ambulancepersoneel, verpleegsters en artsen (het was achteraf niet zo’n ernstige situatie, dank u). De drie vriendelijke ambulanciers spraken amper Engels, maar met een combinatie van simpel Engels, roestig schoolfrans en handen en voeten kon ik hen toch duidelijk maken wat er aan de hand was. Ze besloten dat een ritje naar het nabijgelegen kinderziekenhuis zinvol was. De verpleegkundige, die ons daar opving, sprak heel redelijk Engels, en de dame van de administratie, die ik vroeg of ze Engels sprak, antwoordde zelfs op een toon die grote vanzelfsprekendheid uitstraalde. Ook met de artsen viel vrij goed te praten, al had ik van dergelijke hoogopgeleide mensen verwacht dat ze beter verstaanbaar zouden zijn. Maar ja, in Frankrijk worden de mensen nu eenmaal veel minder aan het Engels blootgesteld dan bij ons. Het belangrijkste is echter dat ze ons keurig hebben geholpen. En dat voor slechts een paar tientjes.

Als ik over informatiebeveiliging praat met leken op mijn vakgebied, dan zit ik soms in net zo’n situatie. Met echte leken kun je tamelijk gemakkelijk over een onderwerp als bijvoorbeeld phishing praten, omdat je nul voorkennis mag veronderstellen en er zelf zoveel vanaf weet. Het is dan natuurlijk nog wel zaak om die kennis begrijpelijk over te brengen en niet in jargon te vervallen of een warrig verhaal af te steken; dan zou ik de Fransman zijn. Ook met managers valt goed te praten, mits je over het vermogen beschikt om hen duidelijk te maken wat je van ze verwacht en vooral goed kunt uitleggen waarom dat belangrijk is.

De moeilijkste gesprekken heb ik met techneuten. Die kennen hun systemen van binnen en van buiten en ze weten ook alles over de beveiligingsinstellingen ervan. Ik weet vaak maar een beetje van hun systemen en praat over beveiliging in conceptuele, normatieve en beleidstermen. Dat lijkt soms op vakantie in Frankrijk. Termen, waarvan ik vermoed dat ze voor mij niet relevant zijn, probeer ik te negeren, en als iets belangrijk lijkt, dan vraag ik om uitleg. Want ik moet hun verhaal snappen om mijn eigen verhaal daarop af te kunnen stemmen en om te begrijpen hoe ik hen kan helpen. De techneuten weten meestal niet hoeveel of hoe weinig ik van hun materie afweet en zijn geneigd om kennis te veronderstellen die er niet is. In de toeristenbranche werken ze met vlagspeldjes, die aangeven welke talen iemand spreekt. Soms ben ik daar jaloers op. Dus, beste techneuten: ik doe mijn best om jullie taal te spreken; komen jullie mij ook een beetje tegemoet?

Ooit vroeg ik in het buitenland aan iemand: “Do you speak English?” Zijn verrassende antwoord luidde: “Yes, and probably better than you.” Dat soort mensen, die aan beide kanten hebben gestaan, moet je koesteren. Net als mensen die over een onverwacht talent beschikken. Ik was met mijn dochter meegereden in de ambulance. Vrouw en zoon volgden op eigen gelegenheid. Bij de receptie van het ziekenhuis informeerden ze naar ons, maar de receptioniste sprak geen woord Engels. Een beveiliger bleek echter prima Duits te spreken en kon hen verder helpen. Leerpunt: soms ligt de oplossing ergens anders dan waar je haar zoekt.

 

En in de grote boze buitenwereld …

• maakt Edward Snowden zich ernstig zorgen over een nieuwe ‘feature’ van de iPhone.
• leest Instagram verjaardagswensen om te controleren of je je echte geboortejaar hebt opgegeven.
• wil de politie graag meer fotograferen dan alleen je kenteken.
• moet WhatsApp een flinke AVG-boete betalen.
• krijg je vaak geen schadevergoeding als jouw gelekte gegevens misbruikt zijn.
• krijgen slachtoffers van WhatsApp-fraude sowieso geen vergoeding.
• moet je ook je oortjes up-to-date houden.