“Beste beheerders, het wachtwoord van ons testaccount AABBCC01 is verlopen. Kunnen jullie dat resetten naar AABBCC00? Of blijft het wachtwoord gelijk aan de user-id?” Dit is een bijna letterlijke weergave van een mailtje van een testteam aan een beheerteam. Er wordt gevraagd om een nieuw wachtwoord, dat op één positie afwijkt van de user-id. Of daar zelfs gelijk aan is.
Ik kom daar zo op terug. Maar eerst dit. Oktober is traditioneel de
cybersecuritymaand. Een maand, waarin wereldwijd extra aandacht wordt gevraagd
voor de gevaren waarmee je te maken krijgt zodra je een voet op het internet
zet. Voor veel mensen ligt dat tijdstip tegenwoordig onmiddellijk na hun
geboorte, wanneer de trotse ouders de nieuwe wereldburger online zetten en
daarmee zijn eerste persoonsgegevens lekken: naam, geboortedatum, foto. Het woonadres
is voor een beetje googelaar gemakkelijk erbij te vinden. Ik ken – nog – geen
gevallen waarbij de gegevens van baby’s misbruikt zijn, waarschijnlijk omdat
bij hen niks te halen valt. Wat ik ermee wil aangeven is dat digitale presentie
tegenwoordig zowat onvermijdelijk is en vaak buiten het medeweten en al
helemaal zonder goedkeuring van de betrokkene plaatsvindt.
In Nederland vieren we de cybersecuritymaand met de campagne Alert Online (een initiatief van het
ministerie van Economische Zaken en Klimaat). Deze korte naam geeft precies
weer waar het om gaat: dat je alert bent als je online gaat. Want de tragiek
van die geweldige uitvinding, het internet, is dat het een afspiegeling is
geworden van het echte leven, compleet met pestkoppen, criminelen, spionnen en
idioten. Om dit onder de aandacht te brengen én om de weerbaarheid te
vergroten, organiseren tal van organisaties activiteiten. Die zijn voor een
deel gericht op de eigen medewerkers, maar er zijn ook tal van activiteiten
voor een breder publiek (vaak is deelname kosteloos, maar niet altijd).
Toen ik dat mailtje uit de eerste alinea onder ogen kreeg, verzuchtte
ik: “Wat hebben we aan al die mooie awareness-programma’s en -activiteiten, als
het al helemaal aan de basis misgaat? Jongens, we moeten een flinke stap
terugdoen, want we zijn mensen kwijtgeraakt terwijl we dachten dat we flink aan
het opstomen waren!” Want er is van alles mis met dat mailtje. Het begint ermee
dat de aanvrager zijn wachtwoord niet zelf wijzigt, maar dat aan een beheerder
overlaat, waardoor de geheimhouding wordt doorbroken. En de meest mensen
beseffen tegenwoordig dat een wachtwoord, dat (bijna) gelijk is aan het
user-id, niet in aanmerking komt voor de kwalificatie ‘sterk’. Oké, het gaat
hierbij slechts om een account in een testomgeving, maar het op peil houden van
een zekere basishygiëne is overál belangrijk. Net zoals ik ervan overtuigd ben
dat veilig gedrag thuis uitstraalt op hoe je je in je werk gedraagt, zo bang
ben ik dat onveilig gedrag in de ene omgeving meegenomen wordt naar een andere.
In de Luxemburgse stad Echternach vindt ieder jaar een processie plaats
om Sint Willibrordus te herdenken. Tot 1947 werden in deze optocht steeds drie
stappen vooruit gezet, gevolgd door twee stappen achteruit. Daar hebben we de
uitdrukking “processie van Echternach” aan overgehouden voor zaken die moeizaam
voortgang boeken doordat er steeds weer een stap terug moet worden gezet. Het
lijkt er nu op dat we met beveiligingsbewustzijn op het punt zijn beland dat we
een flinke stap terug moeten doen om de mensen, die we onderweg zijn
kwijtgeraakt, weer aan boord te krijgen. En zo’n mailtje herinnert ons ook
eraan dat we, terwijl we toch echt wel vooruitgang boeken, regelmatig in de
achteruitkijkspiegel moeten kijken om te zien of iedereen ons kan bijbenen.
Op slechts 1 enkele dag in het jaar vieren we Moederdag, terwijl
verreweg de meeste moeders het verdienen om vaker in het zonnetje te worden
gezet. Het thema informatiebeveiliging komt er met een hele maand aandacht al
wat beter van af. Moeders verdienen meer aandacht, digitale veiligheid vereist
het zelfs. Deze twee kwamen onlangs op een onverwachte plek samen. De
Amerikaanse informatiebeveiliger Micah Lee onderzocht een lijst van
twaalfduizend wachtwoorden. Daarin kwam maar liefst zeven keer ‘Jemoeder1’ voor
(‘je moeder’ is een populaire uitdrukking onder tieners).
En in de grote boze buitenwereld …
- heeft James Bond bewust geen iPhone.
- zou 007 anders goed op z’n digitale portemonnee moeten letten.
- wil nu ook de Duitse overheid weten hoe veilig Chinese smartphones zijn.
- vind je hier een top-10 van preventieve maatregelen tegen ransomware, en een stappenplan voor als het toch misgaat.
- heeft het ministerie van Buitenlandse Zaken het beleid geëvalueerd dat zich richt op cyberdreigingen van statelijke actoren.
- moet het hele middelbaar en hoger onderwijs op een SOC worden aangesloten.
- blokkeer je gemakkelijk iemand die je lastigvalt op social media, chat-apps of datingsites.
- neemt nu zelfs De Rechtspraak afscheid van de fax.
- verdwijnt een puber achter de tralies voor onder andere phishing.
- adviseert de NSA over het kiezen en beveiligen van VPN-servers.
- wil Bart Jacobs een privacy-vriendelijk sociaal netwerk starten.
- worden steeds meer virusscanners erg goed in hun werk.
- licht de overheid haar eigen gebruik van Facebook door.
Geen opmerkingen:
Een reactie posten