Cadeautje

 

 “Beste collega, wij willen de vorming van ons nieuwe organisatieonderdeel niet ongemerkt voorbij laten gaan. Daarom bieden we je hierbij een cadeaubon van 5 euro van de HEMA aan voor iets lekkers bij de koffie.”

In de dagelijkse stortvloed aan e-mail zit veel rommel. Mijn eigen zakelijke inbox staat, als ik er niks aan doe, stijf van de mails van bedrijven die iets willen slijten. De laatste tijd worden ze wat brutaler, door het onderwerp te beginnen met ‘Betr.:’ of ‘Re:’, zodat het lijkt alsof ze op jouw mail reageren. Soms hebben ze zelf al eerder gemaild en beginnen ze met: “Ik snap dat je het druk hebt, waardoor je mijn mailtje misschien hebt gemist. Wanneer schikt het om alsnog te bellen?” Dat eerste mailtje had ik heus gezien – en bewust genegeerd, want geen interesse. De mail van veel afzenders laat ik via een filter automatisch afvoeren, maar zo’n filter vergt onderhoud, waardoor ik er vaak voor kies om mailtjes even gauw met de hand weg te kieperen in plaats van de afzender aan het filter toe te voegen. En zo ben ik dan toch weer vaak als de houthakker, die tot diep in de nacht moest doorwerken omdat hij geen tijd nam om zijn bijl te slijpen.

Tussen al die externe e-mails zitten er echter ook een paar die ik wél wil lezen. Van dat adviesbureau bijvoorbeeld, of van een bedrijf dat een rapport aanbiedt dat ook echt interessant belooft te zijn. Je moet dus oppassen dat je niet het kind met het badwater weggooit.

Een mailtje zoals in de intro viel een poosje geleden op de digitale mat van een aantal collega’s. En een deel van die collega’s mieterde ‘m in een hoge boog bij het afval. De een dacht aan spam, de ander aan phishing. Ze namen niet de moeite om even na te vragen of ze inderdaad een cadeautje van de baas hadden ontvangen. Achteraf was het nog een heel gedoe om deze mensen toch aan paar tompoucen of zo te helpen. Want toen ze eenmaal wisten dat die bon echt was, wilden ze hem natuurlijk toch wel heel graag hebben.

Toen corona nog jong was en het thuiswerken onwennig, kreeg je wel eens een doosje thuis met wat lekkers erin. De afzender was een bedrijf waar je misschien nog nooit van had gehoord, maar in het pakje lag een kaart met de groeten en een hart onder de riem van je eigen management. De inhoud at en dronk je smakelijk op. De digitale variant hierop wordt ook vaak door een extern bedrijf verzorgd, en net als bij een pakje staat de naam van dát bedrijf in de afzender. En omdat we er al jaren op hameren dat je alert moet zijn op phishing, betekent de combinatie van een externe afzender en iets verleidelijks voor velen een rode vlag. Weg cadeaubon.

Ik heb er al vaker voor gepleit – en doe het nog maar eens – om dergelijke goedbedoelde acties vergezeld te laten gaan van een andere vorm van communicatie. Dat kan bijvoorbeeld je manager zijn die in het teamoverleg aankondigt dat je de komende week je mail in de gaten moet houden omdat er iets leuks aankomt. Of een bericht op het intranet. Hoe meer details je daarbij geeft, hoe veiliger het wordt. Je wilt natuurlijk geen geslaagde phishing-actie omdat een medewerker dacht dat een vage aankondiging op dát mailtje sloeg. Een aankondiging in de trant van “Donderdag krijg je namens ons management een mail van bedrijf X met het onderwerp ‘Verrassing!’” verklapt bijna niks maar voorkomt wel ongelukken.

Onze tienerdochter ontving deze week een brief van Amazon. Er komt maar nog weinig fysieke post binnen, laat staan voor de kinderen. Nieuwsgierig opende ze de brief. Die bood een gratis proeflidmaatschap voor Amazon Prime. Ik heb uitgelegd dat het geadresseerde reclame was of, zoals we dat in de digitale wereld noemen: spam. “En nu?”, vroeg dochterlief beteuterd. Net als spam behandelen, zei ik: weggooien, tenzij ze je iets bieden wat je graag wilt hebben én waarvoor je wilt betalen (want we weten allemaal waar een gratis proeflidmaatschap toe leidt).

 

En in de grote boze buitenwereld …

• maakt de politie gebruik van Google-advertenties om jonge boefjes, die googelen op ‘DDoS’, te waarschuwen. Ronald Prins interviewde Floor Jansen van het Team High Tech Crime voor zijn Cyberhelden-podcast.
• hackte Sinterklaas een bank. Een podcast van techjournalist Daniël Verlaan.
• hebben Britse en Amerikaanse CISO’s het zwaar.
• worden veel internetshoppers opgelicht.
• waarschuwde het Digital Trust Center al honderden bedrijven voor digitale dreigingen.
• liet LockBitSupp, een grote speler in de wereld van ransomware, zich interviewen.
• wordt de macht van de grote online platforms in Europa aan banden gelegd.
• acht de Consumentenbond sociale media ongeschikt voor kinderen.
• adviseert de Amerikaanse overheid weer eens om Bluetooth, wifi en andere communicatieprotocollen uit te schakelen als je ze niet nodig hebt. Vanuit beveiligingsperspectief is dat een goed advies, maar is het ook werkbaar?
• waarschuwt Apple gebruikers als ze zien dat die door statelijke actoren worden aangevallen.
• past WhatsApp zijn privacybeleid aan na een fikse Europese boete. Let wel: alleen het beleid is aangepast, niet wat ze met je gegevens doen.
• is het lastig dat sites verschillende wachtwoordregels hanteren.

Android Enterprise

“Android Enterprise is best wel goed tegenwoordig”, meldde een system engineer uit het team dat zich met mobiele zaken bezighoudt. En dat ik daar misschien ook eens wat over kon schrijven. Dat is zo’n onderwerp waar ik dan eerst wat research voor moet doen, maar inmiddels heb ik me ingelezen en vind ik het onderwerp inderdaad de moeite waard. Het feit dat ik dit bespreek betekent overigens niet dat ik vóór Android of tegen een ander mobiel operating system ben; ik bekijk het onderwerp vanuit mijn eigen invalshoek en geef het beeld weer dat ik ervan heb.

Als je in de winkel een smartphone koopt, dan kun je daarmee doen wat je wilt: naar believen apps en accounts installeren, informatie van hot naar her slepen en systeeminstellingen naar je eigen smaak aanpassen. Je kunt je voorstellen dat dit niet altijd gewenst is als een toestel zakelijk wordt gebruikt. Als het beleid van een organisatie bijvoorbeeld zegt dat je geen informatie in de cloud mag zetten, dan is het niet handig als je een zakelijk document met een paar vegen naar Dropbox of zo verplaatst. En terwijl je op een privétoestel ervoor zou kunnen kiezen om er geen enkele vergrendeling op te zetten, vindt je werk het geen goed idee als zakelijke documenten en e-mail door iedereen kunnen worden ingezien die toevallig het toestel in handen krijgt.

Hoe verenig je deze beide werelden? Maar eerst: waarom zou een organisatie dat willen? Ik denk dat hier de gunfactor een rol speelt: een toestel, dat potdicht zit en waar je privé helemaal niets mee kunt, is saai. Je werkgever snapt ook wel dat je het weerbericht wilt kunnen raadplegen, of zelfs je privémail en je social media. Tegelijkertijd moet alles wat zakelijk is, zakelijk blijven. En dus ging men op zoek naar een manier om recht te doen aan zowel de zakelijke als de privébelangen.

En hier komt Android Enterprise (AE) ten tonele (ook de niet-Android-wereld heeft daar oplossingen voor, maar die laat ik voor nu buiten beschouwing). Met AE krijgt je smartphone een gespleten persoonlijkheid: het ene deel is zakelijk, het andere privé. In AE-termen spreken we over containers, en die containers zitten op slot. Er is geen verkeer tussen hen mogelijk. Overigens bestaan er verschillende varianten, grofweg te verdelen in: het toestel is van mij en ik gebruik het ook voor mijn werk (BYOD – Bring Your Own Device) en andersom: het toestel is van de baas en ik mag het ook privé gebruiken (COPE – Company Owned, Personally Enabled). Varianten, waarbij je privé helemaal niks kunt, laat ik hier buiten beschouwing.

Het toepassen van containers heeft zowel voor de organisatie als voor de gebruiker voordelen. Zo kan de organisatie de zakelijke container wissen als daar aanleiding toe is, zonder de privécontainer te raken. Met andere woorden: als de zaak je telefoon wist, ben je je foto’s, privémails en -apps en eigen documenten niet kwijt. Zo heb je op je mobiel een nette scheiding tussen werk en privé. En je werkgever kan erop vertrouwen dat zakelijke gegevens niet via privé-accounts uitlekken. Althans, niet al te gemakkelijk; als iemand een zakelijk mailtje moedwillig doorstuurt naar privé, dan komt die informatie natuurlijk alsnog in de buitenwereld terecht (tenzij daar weer andere maatregelen tegen zijn getroffen). De containerisatie beschermt op zichzelf dus met name tegen per-ongelukjes.

Ieder enigszins modern Android-toestel bevat AE. Op je privé-apparaat merk je daar niks van. Om het te activeren, moet een organisatie de nodige handelingen verrichten (enrolment). En AE alleen doet nog niks: je hebt een systeem voor enterprise mobility management (EMM; ook wel mobile device management (MDM) genoemd) nodig dat er gebruik van maakt. AE is slechts de verbindingslaag tussen EMM en Android. (Voor de techneuten: AE biedt API’s om bepaalde functies aan te spreken).

AE geeft organisaties de mogelijkheid om haar belangen te beschermen in een wereld waarin zakelijk en privé steeds meer versmelten. Daar horen ook spelregels bij, want je kunt niet alles in de techniek oplossen. Als aan medewerkers wordt uitgelegd wat het doel van technische maatregelen is, zullen ze beter begrijpen hoe ze ermee moeten omgaan en dat daar bepaalde verantwoordelijkheden bij horen. Daar hoort ook het besef bij dat je niet probeert om technische maatregelen te omzeilen; je zou dan namelijk de grens tussen ‘per ongeluk’ en ‘moedwillig’ overschrijden.

 

En in de grote boze buitenwereld …

• is hier weer de jaarlijkse waarschuwing dat cybercriminelen rond de feestdagen extra actief zijn.
• geldt die waarschuwing niet alleen voor de VS.
• betekende de verkorting crypto altijd cryptografie, maar die betekenis heeft de strijd verloren van cryptocurrency.
• kan het ministerie van Justitie en Veiligheid wel wat digitale leertjes gebruiken.
• had de Kamer van Koophandel de autorisaties voor gevoelige gegevens niet op orde.
• werkt de webwinkel van Amazon bepaald niet volgens het need-to-know principe: iedere medewerker kan alles zien.
• voorkom je met deze tips dat malware je Android-toestel besmet.
• gaat Microsoft Edge met je gegevens aan de haal.
• probeerde de BBC om Russische cybercriminelen in hun eigen land op te sporen.
• is de gemeente Ede gephisht.
• hadden criminelen het wel heel erg voorzien op deze bejaarde Haagse dame.
• heeft de bevolking niet veel vertrouwen in het vermogen van de politie om cybercrime te bestrijden.

 

King Nassos

 

We blijven nog even op Kreta, want daar was veel te beleven. Dat begon al meteen na aankomst op het vliegveld van Heraklion. Meestal heeft een reisbureau een bus geregeld voor de transfer naar het hotel, maar omdat er tijdens de boeking wat dingen misgingen, had het reisbureau als goedmakertje een privétransfer voor ons geregeld. Het was even zoeken, maar uiteindelijk vonden we buiten de aankomsthal een man die een minitablet vasthield waar mijn naam in koeienletters op stond.

Al gauw werd duidelijk dat deze chauffeur een prater was. Het belangrijkste gespreksonderwerp was de werkdruk van de transferchauffeurs. Gedurende het toeristenseizoen maken die mensen enorm lange dagen, met tussen twee diensten slechts een paar uurtjes tijd om te slapen. Een collega van onze chauffeur was een keer tijdens een dienst  zó moe, dat hij zijn klant verzocht om zelf achter het stuur te gaan zitten. Ondertussen zien de bazen van de chauffeurs alleen klanten die vervoerd moeten worden en auto’s die beschikbaar zijn – niet de mens achter het stuur en zijn fysieke behoeftes.

Aan het einde van de vakantie werden we door dezelfde chauffeur opgehaald. Wederom was de werkdruk een belangrijk gespreksonderwerp, maar al dat rijden – zo’n tweehonderdduizend kilometer per seizoen! – leverde wel enorm veel ervaring op. Onze chauffeur raakte maar niet uitgepraat over zijn rijkwaliteiten. Hij zou de weg zelfs geblinddoekt vinden, kende elke bocht, wist waar je veilig kon inhalen en waar de flitskasten stonden. Ook pochte hij over zijn grote aandacht voor veiligheid. Hij was de koning van de weg – “You can call me King Nassos”.

Ondertussen hadden wij toch een iets andere beleving bij zijn rijgedrag. Nassos had zijn handen alleen aan het stuur als dat nodig was om de rijrichting van zijn Skoda te beïnvloeden. De rest van de tijd gebruikte hij ze om zijn woorden kracht bij te zetten, en soms, als hij naar mij luisterde, lagen ze gewoon in zijn schoot. Ondertussen lag de snelheid ruim boven de waardes die de borden aangaven en de afstand tot voorliggers ruim onder wat mij veilig leek – en we zijn wat dat betreft best iets gewend in Nederland. Het zien van een geit op de rijbaan droeg ook al niet bij aan het gevoel van veiligheid, vooral niet nadat Nassos vertelde dat er ook zwarte exemplaren zijn, die in het donker nog wel eens worden aangereden. Dat komt hard aan als je 80 km/h of nog harder rijdt. En oh ja, op onze heenweg was het pikkedonker en op de terugweg schemerde het. Maar gelukkig reed hij altijd ‘Europese stijl’ als hij gasten vervoerde. Alleen als hij alleen was, reed hij ‘Griekse stijl’.

Zelfoverschatting en chronische vermoeidheid vormen een gevaarlijke cocktail. Niet alleen in het wegverkeer, maar ook achter de computer. Toegegeven, er zijn slechts weinig mensen dodelijk verongelukt door op een onbewaakt moment op een verkeerde link te klikken. Toch kan een vals gevoel van veiligheid grote gevolgen hebben. Zo dacht iemand bij Transavia twee jaar geleden dat een wachtwoord à la ‘123456’ goed genoeg was. Gevolg: persoonsgegevens van tienduizenden klanten gelekt, en daarom nu een boete van vier ton van de Autoriteit Persoonsgegevens. En het zou me niet verbazen als de ransomware-aanval, die de MediaMarkt momenteel in z’n greep houdt, eveneens te herleiden is tot de een of andere onachtzaamheid bij een beheerder of gebruiker. De criminelen hebben een prijskaartje van vijftig miljoen aan deze gijzeling gehangen. Ik denk dat iemand bij MM ijverig aan het uitrekenen is hoeveel omzet ze door deze aanval missen en of het niet goedkoper is om het losgeld te betalen (vaak valt over de hoogte daarvan nog te onderhandelen). Daar waar het in de auto verstandig is om beide handen aan het stuur te houden, is het achter de computer soms wijs om toetsenbord en muis even los te laten en een paar tellen extra na te denken. En daarbij een nederige houding aan te nemen: veel internetcriminelen zijn slimmer, uitgekookter en gehaaider dan jij en ik.

Nassos wist ons zonder ook maar één echt gevaarlijke situatie op het vliegveld te krijgen; hij hoefde nooit hard te remmen of uit te wijken. Bij zijn koningschap hoorde ook het één zijn met zijn voertuig en precies te weten wat de auto aankon. Hij wist dus ook dat hij vrij kansloos zou zijn als hij, met in totaal vijf personen in de auto, een moeilijke manoeuvre zou moeten uitvoeren, en daar hield hij, op zijn eigen wijze, rekening mee. Ik naam afscheid van hem met de welgemeende woorden: “Thank you, King Nassos. Keep it safe.”

 

En in de grote boze buitenwereld …

• zijn bij de MediaMarkt geen klantgegevens gestolen.
• wil een Amerikaans wetsvoorstel losgeldbetalingen maximeren op een ton.
• is de VDL Groep een maand na de ransomware-aanval weer volledig up and running.
• deelt de Chrome-browser op Android-apparaten standaard gegevens van de bewegingssensoren met alle sites die je bezoekt.
• gebruiken criminelen sms als opmaat voor een frauduleus telefoongesprek.
• wordt de Taiwanese overheid zo’n vijf miljoen keer per dag digitaal lastiggevallen.
• gebruiken criminelen welbekende platforms als LinkedIn als dekmantel voor hun louche spelletjes.
• ligt je cv misschien wel op straat.
• gebruiken criminelen steeds vaker bitcoin-automaten en QR-codes om hun slachtoffers geld af te troggelen.
• worden html-pagina’s gebruikt om kwaadaardige code te smokkelen.
• zijn onze bruggen en rioleringssystemen niet “op grote schaal” kwetsbaar.
• zijn de versleutelde back-ups van WhatsApp niet waterdicht.
• stuitte booking.com op een Amerikaanse spion in hun systemen.

Verleiders

 

Er zijn van die vakantieoorden waar je rond etenstijd – wat overigens een zeer ruim begrip is – niet over straat kunt gaan zonder om de haverklap door een meer of minder vasthoudend type te worden uitgenodigd om plaats te nemen in een restaurant. De etablissementen, die dergelijke praktijken hanteren, hebben daar speciale medewerkers voor. Iedereen heeft zijn eigen stijl: de een is charmant, de ander is opdringerig en er was ook een restaurant waar, anders dan op de meeste plaatsen, een dame deze rol vervulde, waarbij kennelijk vooral werd ingezet op haar uiterlijk.

Het woord ouvreuse schiet door mijn hoofd. Dat is zo’n woord dat je zelden of nooit gebruikt, maar wel in een grijs verleden hebt geleerd. Mocht je het niet meer weten: dat is iemand die je in een schouwburg of bioscoop aanwijst waar jouw plaats is. Maar ik laat dat woord maar weer los, want als je een ouvreuse tegenkomt, dan ga je uit vrije wil ergens heen. Laat ik voor deze horecamedewerkers dan toch maar de term verleider gebruiken.

Menige verleider heeft een vlotte babbel, want hij krijgt slechts  korte tijd aandacht van een passant. Hij probeert in te schatten of iemand op zoek is naar eten. Als hij raadt waar je vandaan komt en je met woorden uit je eigen taal aanspreekt, dan levert dat extra punten op. Wij werden onlangs op Kreta verrassend vaak als Nederlanders ingeschat; ik vermoed dat ze afgaan op zaken als haarkleur en lichaamslengte. Er zijn verleiders die je heel charmant bejegenen, zoals die ene man die in verzorgd Engels een praatje aanknoopte en op een afwijzing reageerde met: “I respect that”. We zijn daar daadwerkelijk een keer gaan eten. Omdat het restaurant vlakbij ons hotel lag, zagen we de man nog vaak aan de overkant van de straat staan, en steeds groette hij als een heer. Maar er zijn ook verleiders die je de weg versperren, beginnen te blèren over een gratis aperitief en je ook nog verontwaardigd blijven volgen als je om ze heenloopt. En er zijn rustige types, die je alleen maar wijzen waar je de menukaart kunt inzien.

Ik ben ook een verleider. Ik probeer je tot veilig gedrag te verleiden. Anders dan bij die horeca-verleiders gaan mijn kunsten je geen geld kosten, maar word je in bepaalde gevallen juist ervoor behoed dat je geld kwijtraakt. Denk daarbij maar aan zaken als phishing en vriend-in-nood fraude, waar ik het in mijn blog vaak over heb. Primair ben ik er natuurlijk om onze organisatie veilig te maken en te houden, maar ik ben ervan overtuigd dat een goede ICT-hygiëne voor thuis ook uitstraalt naar het werk: ben je thuis alert op phishing, dan ben je het op je werk vanzelf ook.

Wat ik niet wil zijn, is zo’n irritante verleider die je de weg verspert en pas tevreden is als je doet wat hij zegt. Natuurlijk, bepaalde dingen kunnen écht niet, maar vaak komen we er samen wel uit door na te gaan wat je wilt bereiken en hoe we dat binnen de kaders van het beleid kunnen realiseren. Misschien had je een bepaalde werkwijze op het oog die vanuit beveiligingsoptiek niet wenselijk is, maar dan kunnen we kijken wat er wél kan. Voorbeeld: als je zakelijk gebruik wilt maken van WhatsApp of Telegram zeg ik nee, maar ik noem ook meteen gezonde alternatieven (bijvoorbeeld Signal).

Geef mij maar die rustige en charmante types, die ook wel begrijpen dat je slechts voor hun deur staat omdat je nou eenmaal moet eten, of in mijn vak: die snappen dat beveiliging niet jouw hobby is, maar dat je komt shoppen omdat je donders goed begrijpt dat informatiebeveiliging een topprioriteit voor iedere gegevensverwerkende organisatie is. Ik wil je verleiden door je inzicht te geven. Want als je zelf inziet waarom iets een risico is, dan is dat voor ons beiden veel prettiger en gemakkelijker werken.

Er was ook een restaurant dat geen verleider had. In plaats daarvan stond er een bord op de stoep met in het Engels de volgende tekst: “Wij pushen u niet hierheen – wij worden aanbevolen door Lonely Planet, de Rough Guide en nog veertig andere reisgidsen.” Kijk, dat bevalt me wel. Dat je niet meer zelf de boer op hoeft, maar dat de klanten vanzelf naar je toe komen omdat je kwaliteiten geroemd worden. Maar omdat veel mensen nog onvoldoende beseffen dat ze honger hebben, blijf ik voorlopig nog wel even bloggen.

 

En in de grote boze buitenwereld …

• bellen phishing-bots je op om een 2FA-code te bemachtigen.
• is een dozijn (vermoedelijke) cybercriminelen opgepakt voor de aanval op de gemeente Lochem.
• stelt de EU vanaf 2024 beveiligingseisen aan slimme apparaten.
• zijn er een hoop goede virusscanners voor Android-apparaten.
• vraagt het MKB om teveel persoonsgegevens.
• heeft ook het onderwijs te maken met privacyrisico’s.
• gebruikt de MediaMarkt toch maar geen vingerafdrukscanners meer.
• zijn Europese cryptosleutels, waarmee coronapassen kunnen worden vervaardigd, gestolen.
• krijgt de VS een nieuw cyberbureau.
• doet een oplichter, die het op Engelstaligen in Nederland lijkt te hebben gemunt, zich voor als iemand van de ‘National Police’ of het ‘Dutch Supreme Court’.
• is het kennelijk nodig om oliebedrijven wettelijk te gaan verplichten hun digitale beveiliging op orde te hebben.
• kun je multimiljonair worden als je toevallig weet wie de mensen achter de hack op Colonial Pipeline zijn.