Beste manager

 

Afbeelding van auteur

Beste manager, ik heb klachten over u ontvangen. U zou signalen over het niet naleven van beveiligingsvoorschriften wegwuiven, of een redenering verzinnen waarmee het lijkt alsof er wél aan die voorschriften wordt voldaan. Omdat ik mensen graag help bij het waarmaken van hun verantwoordelijk-heden, moesten we het daar maar eens samen over hebben.

U bent niet één specifieke manager en u werkt ook niet bij een specifiek onderdeel van onze grote organisatie. Ook het niveau doet er niet toe: dit verschijnsel kan zich overal in de organisatie op team-, afdelings- en directieniveau voordoen. Sterker nog, ik ben ervan overtuigd dat u zich ook buiten mijn eigen organisatie bevindt. Vandaar ook dat ik netjes ‘u’ zeg (bij ons tutoyeren we van laag tot hoog). En verder: wie de schoen past, trekke hem aan.

Het meest misbruikte woord in de informatiebeveiliging is weer eens gevallen: eigenlijk. De manager die de klachten van een medewerker aanhoort en dan zegt dat die “eigenlijk” wel gelijk heeft, maar dat hij er ook niks aan kan doen, of dat het nu eenmaal zo gaat (“als het niet kan zoals het moet, dan moet het maar zoals het kan”). Er zijn ongetwijfeld ook managers die zeggen dat zij over die afwijking mogen beslissen, omdat ze nu eenmaal manager zijn. Ja, managers zijn er inderdaad om beslissingen te nemen, maar niet álle managers mogen over álle zaken beslissen. En soms gaat iemand op dit moeilijke onderwerp zijn boekje te buiten, mogelijk zonder het zelf in de gaten te hebben. Sta er even bij stil of een bepaald besluit wel binnen uw mandaat past.

Maar de klachten, die mij ter ore komen, zijn helemaal niet zo moeilijk. Die gaan bijvoorbeeld over sleutelkastjes waarvan de sleutel bovenop het kastje ligt, of waarvan de code op een geeltje staat, ergens binnen een straal van een meter van dat kastje. Een fysieke sleutel is inderdaad lastig als je die met meerdere mensen moet delen, maar de code van nummerslot kan iedereen gemakkelijk vastleggen in (verrassing!) zijn password manager. Ik ben geen voorstander van het verplicht wijzigen van wachtwoorden na een bepaalde termijn, maar codes van fysieke sloten moet je juist wel regelmatig aanpassen, omdat afgesleten toetsen anders de code verraden.

Onze interne mail biedt de mogelijkheid om gevoelige berichten te versleutelen. Eén gemakkelijk te plaatsen vinkje zorgt ervoor dat het mailtje en eventuele bijlagen uitsluitend door de geadresseerde(n) kan worden ingezien; gemachtigden zien slechts een wit scherm. Denk eens aan deze optie bij het versturen van bijvoorbeeld persoonsgegevens van klanten of medewerkers, en bedenk daarbij dat de AVG een best wel strenge wet is. Deze tip is natuurlijk voor iedereen, maar van managers verwacht ik dat zij dit uitdragen.

Soms is het handig om in een uitnodiging voor een overleg ook meteen de relevante documenten op te nemen. Geen probleem, zolang die documenten maar geen vertrouwelijke gegevens bevatten. Omdat je agenda toegankelijk is voor alle collega’s, kunnen die ook allemaal de bijlagen lezen. En dan is het erg slordig als een afspraak voor een personeelsgesprek een beoordelingsformulier bevat. Stop vertrouwelijke informatie dus niet in de uitnodiging, maar stuur een separaat mailtje. In de uitnodiging kun je dan iets opnemen als “zie mijn mailtje van 16-12-2022 09:56”.

Je ziet het, vaak zit het ‘m in de kleine dingen waar je als manager best iets mee kunt, zonder grootste daden te hoeven verrichten. Als managers laten zien dat ze beveiliging serieus nemen, dan heeft dat ook effect op hun medewerkers. Neemt de manager het minder serieus, dan zal ook menige medewerker zijn schouders ophalen.

Laten we de managers helpen. Ben je bijvoorbeeld business security officer of datacoördinator (een aan de AVG gelinkte rol) en zie je dat iets niet goed gaat? Spreek het management er dan op aan. Zoek het desnoods hogerop en zorg dat je met een goed onderbouwd verhaal komt. Kortom: neem je taken serieus en zorg ervoor dat het management dat ook doet.

Van onze eigen manager kregen we een kerstbal (bedankt, Ton). Een onbreekbare, zei hij er expliciet bij. Net zo onbreekbaar moeten we ons opstellen bij het naleven van beveiligingsregels – en dat is iets anders dan star. Een andere teammanager bracht een op een conferentie gekregen kerstbal voor mij mee uit het buitenland (bedankt, Robin). Kijk, managers die zelfs ver buiten hun werk nog aan beveiliging denken, die moeten we hebben.

De Security (b)log keert na de kerstvakantie terug.

 

En in de grote boze buitenwereld …

• hebben politiediensten in onder andere Nederland, Duitsland en de VS vijftig DDoS-for-hire-diensten uit de lucht gehaald.
• moet je ook op Mastodon aan je beveiliging denken.
• zijn slecht gebouwde IoT-apparaten het asbest van het internet.
• heeft tachtig procent van de Nederlands zo’n slim apparaat in huis.
• kunnen Europese Microsoft-klanten er straks voor kiezen om hun gegevens alleen in Europa op te slaan.
• kunnen webwinkels beboet worden voor nepreviews.
• blinkt Nederland uit in cyberdiplomatie.
• heeft het NCSC de factsheet Open source security uitgebracht.
• heeft de AIVD weer de jaarlijkse kerstpuzzels gepubliceerd. Succes…

 

Linke vinkjes

 

Afbeelding via Pixabay

Het was koud, donker en nat toen ik gisteren voor zevenen het huis verliet om naar Amsterdam af te reizen. Op weg naar een congres dat al om negen uur begon en pas om half zes zou sluiten. Ik overwoog om wat eerder weg te gaan, vooral ook omdat het laatste onderdeel een paneldiscussie was, wat ik zelden interessant vind. Gelukkig deed ik het niet.

In het panel zaten informatiebeveiligers uit de bank- en verzekeringswereld. De gespreksleider stelde zijn eerste vraag: “Wat zien jullie als de grootste bedreiging voor informatiebeveiliging?” Je zou de standaard antwoorden verwachten: ransomware, phishing, te weinig budget. Maar nee. Een deelnemer nam kordaat het woord en sprak: “Compliance is onze grootste bedreiging.” Boem! Zo reageerde de zaal niet, maar ik van binnen wel. Die man sprak mij recht uit het hart. Laat ik het uitleggen.

Compliance is, simpel uitgedrukt, het voldoen aan wet- en regelgeving. Begrijp me niet verkeerd – natúúrlijk moeten we voldoen aan wetten en regels, zeker als overheidsorganisatie. We zijn er echter in doorgeschoten, omdat we veel dingen niet meer doen om de organisatie optimaal te beveiligen, maar om alle vinkjes te halen en daarmee de auditors tevreden te stemmen.

Zo moeten we voldoen aan de BIO, de Baseline Informatiebeveiliging Overheid. De BIO bestaat uit zo’n 250 regeltjes. Je moet aan ieder regeltje voldoen, tenzij je er een goed verhaal bij hebt (pas toe of leg uit/comply or explain). Je moet hoe dan ook al die regels langs, al was het maar om te bepalen of je eraan moet voldoen. Vervolgens moet je óf uitleggen waarom je er niet aan hoeft te voldoen, óf je moet bewijs leveren dát je eraan voldoet. Je gaat daarbij op zoek naar de gaten tussen de regels en de feitelijke toestand – je doet een gap-analyse.

En dan kun je ook nog naar drie verschillende stadia kijken: opzet, bestaan en werking. Opzet houdt in dat een maatregel is beschreven, bijvoorbeeld in beleid of een ontwerp. Bestaan betekent dat de beschreven maatregel ook daadwerkelijk is getroffen, en voor aantoonbare werking is het noodzakelijk dat de maatregel meerdere keren heeft bewezen effectief te zijn. Eigenlijk is ‘stadium’ niet het juiste woord. Het is namelijk niet per se eerst opzet, vervolgens bestaan en ten slotte werking. Ik ken talloze situaties waarbij een maatregel al jaren prima werkt zonder ooit beschreven te zijn. De werking scoort dan groen, maar de opzet rood.

In de afgelopen jaren hebben we die exercitie uitgevoerd bij ons datacenter. En dan niet lekker abstract over het hele datacenter heen, maar voor elke afzonderlijke dienst die dat datacenter aan zijn klanten levert: netwerken, mainframe hosting, endpoints (bijvoorbeeld jouw laptop) en nog talloze andere zaken waarvan ik vroeger het bestaan niet eens vermoedde. Los van het feit dat deze operatie ons heel veel inzichten heeft verschaft, was het ook een megaklus.

Onze organisatie is natuurlijk veel meer dan alleen een datacenter. En wat denk je: die hele organisatie moet aan de BIO voldoen. Dan kom je dus uit op dat hogere abstractieniveau. Een paar jaar geleden hebben we al die BIO-maatregelen verdeeld over de organisatieonderdelen. In een aantal grote overleggen werd voor elke maatregel bepaald bij welk onderdeel zij thuishoort. De IV-organisatie, waar ook het datacenter onder valt, oogstte 42 maatregelen (ik kan een knipoog naar The hitchhiker’s guide tot he galaxy hier op mijn boekenplank niet onderdrukken). De overige maatregelen vallen onder verantwoordelijkheid van andere organisatieonderdelen. En ondanks het beperkte aantal maatregelen waar wij iets over moeten roepen, is het een puist werk. Taai werk ook, want het is vaak lastig om de benodigde informatie te achterhalen. Ondanks het hogere abstractieniveau waar je iets over moet roepen, heb je toch detailinformatie nodig om je uitspraken te onderbouwen.

En al die compliance, zo verzuchtte het panel op het congres, slokt alle tijd en geld op, waardoor er niets meer over is om de beveiliging ook daadwerkelijk te verbeteren. In de jacht naar groene vinkjes sneeuwt het echte werk onder en ontstaat de illusie van veiligheid. We zijn zo druk met het blinkend poetsen van de auto, dat we er niet aan toekomen om tekortkomingen onder de motorkap op te lossen. Terwijl dat veel belangrijker is dan de buitenkant.

Laten we dat soort lijstjes toch vooral gebruiken om in praktische zin beveiligingsissues te adresseren en op te lossen. Compliance volgt dan vanzelf – niet als doel, maar als bijproduct.

 

En in de grote boze buitenwereld …

• zou iedere softwareontwikkelaar nu wel moeten weten wat SQL injection is, maar het kan nooit kwaad om het nog een keer uit te leggen.
• heeft groothandel Macro weer last van een aanval op het moederbedrijf, die in oktober plaatsvond.
• kun je straks je iCloud-backup zodanig versleutelen, dat Apple er zelf niet meer bij kan – en de opsporingsdiensten ook niet.
• treden Europese politiediensten hard op tegen geldezels.
• ondersteunt Chrome inloggen zonder wachtwoord.
• onderzoekt de overheid of er een nationaal anti-phishingschild moet komen.
• kun je natuurlijk ook een luidspreker hacken.
• vindt de staatssecretaris dat de Belastingdienst onvoldoende logt om corruptie effectief te kunnen bestrijden.

 

Wachtwoorden - nóg een keer

 

Afbeelding via Pixabay

De Security (b)log van vorige week met de titel Wachtwoorden – ja alweer leverde een aantal vragen op die de moeite waard zijn om ze voor een breder publiek te beantwoorden. Dus daar gaan we, nóg een keer wachtwoorden!  

Er kwam een opmerkelijke werkwijze langs, die in gewichtige taal al gauw het label zero knowledge opgeplakt zou kunnen krijgen. Als een site om een wachtwoord vraagt, dan klikt de gebruiker iedere keer op “wachtwoord vergeten”. Doorgaans stuurt de site dan een herstelbericht naar het bij haar bekende e-mailadres. De link in die mail leidt je naar een pagina om een nieuw wachtwoord in te stellen. Daar ramt de gebruiker op een stel willekeurige toetsen, waarbij hij geen enkele moeite doet om het nieuwe wachtwoord te onthouden. Want de volgende keer doet hij gewoon weer hetzelfde. Of ik daar iets van wil vinden.

Mijn eerste twee gedachten hierbij zijn: “hé, wat creatief” en “oei, wat bewerkelijk”. De combinatie van die beide gedachten is: prima bruikbaar voor accounts waar je maar zelden komt. Je bestelt een cadeau op een site waar je nog nooit eerder was en waar je waarschijnlijk voorlopig niet meer hoeft te zijn, maar ze willen per se dat je een account aanmaakt. Lijkt me prima om dit systeem in dat geval te gebruiken. Maar voor accounts die je vaker nodig hebt lijkt het me minder bruikbaar; je bent dan telkens erg lang bezig om binnen te komen. Nog even een tip: je doet er goed aan om het wachtwoord eerst in de Kladblok of desnoods in een nieuw Word-document te typen en van daaruit naar de wachtwoordvelden te kopiëren, aangezien je anders een uitdaging hebt om in het tweede wachtwoordveld nog eens hetzelfde wachtwoord te typen. Daarna sluit je het bestand, zonder het op te slaan. Weet je trouwens wie erg goed is in het verzinnen van dat soort wachtwoorden? Password managers… (zie verderop).

Dat systeempje maakt overigens nog eens duidelijk dat het van groot belang is om je e-mail goed te beschermen. Immers: als een aanvaller toegang heeft tot je mail, dan kan hij zelf ook overal op “wachtwoord vergeten” klikken en vervolgens via het herstelbericht toegang tot al die sites krijgen – onder jouw naam.

Sommige mensen zijn sceptisch over wachtwoordkluizen. Zijn die apps wel veilig? Zou er niet toch een achterdeurtje in zitten? Het eerlijke antwoord: dat weten we niet, althans niet met zekerheid. Kijk, zo’n password manager is software, en software bevat per definitie fouten. Een deel van die fouten is van invloed op de veiligheid van het product. Bovendien draait een dergelijke app meestal niet geïsoleerd op jouw apparaat, maar synchroniseert het de gegevens via de cloud, zodat je je kluis op al je apparaten kunt gebruiken. Met andere woorden: jouw wachtwoorden staan meestal niet op je apparaat, maar op een computer ergens ter wereld. Onder het motto ‘toeval bestaat niet’ ontving ik net vanochtend een mailtje van LastPass, de password manager die ik vroeger gebruikte. Er was “ongebruikelijke activiteit” in de door hen gebruikte clouddienst. Hackers konden gebruikersinformatie inzien. Maar, zo benadrukken ze, de wachtwoorden zijn versleuteld en omdat jij de enige bent die de sleutel kent, lopen die geen gevaar. Ze laten in het midden of die versleutelde wachtwoorden wel zijn buitgemaakt. Maar in moedwillig aangebrachte achterdeurtjes geloof ik niet zo, zolang je maar geen password managers gebruikt die uit verdachte landen zoals Rusland of China komen. Sommige producten zijn open source, hetgeen iedereen de mogelijkheid biedt om het programma binnenstebuiten te keren (of dat ook echt gebeurt, is een tweede). En misschien vindt uitgerekend een kwaadwillende een kwetsbaarheid.

Het verplichte gebruik van een mix van hoofdletters, kleine letters, cijfers en overige tekens roept ook steeds vragen op. Het belangrijkste element van een goed wachtwoord is zijn lengte, maar ook het aantal karakters waar je uit kunt kiezen doet een duit in het zakje. Als je alleen kleine letters gebruikt, dan heeft een aanvaller, die je wachtwoord probeert te raden, een kans van 1 op 26 per positie dat hij goed zit. Gebruik je daarnaast ook hoofdletters, dan wordt die kans een stuk kleiner: 1 op 52. Gooi je er ook nog cijfers en 'rare tekens' bij, dan wordt de kans op goed raden nóg kleiner. Dat werkt vervolgens mooi door in de lengte van het wachtwoord: bij een wachtwoord van 3 tekens met alleen kleine letters is het aantal mogelijkheden 26*26*26 = 17.576. Gebruik je daarnaast hoofdletters, dan kun je daarmee al 52*52*52 = 140.608 verschillende wachtwoorden maken. Met wachtwoordlengte 8 ga je naar respectievelijk bijna 209 miljard en bijna 53,5 biljoen mogelijkheden. Merk op dat het uitbreiden van het aantal mogelijke karakters in dit voorbeeld slechts acht keer zoveel mogelijkheden geeft, terwijl het langer maken van het wachtwoord twaalf miljoen keer zoveel mogelijke wachtwoorden oplevert. Dat lijkt idioot veel, maar bedenk dat aanvallers vaak een heleboel computers aan het werk zetten om wachtwoorden te kraken. Vele handen maken licht werk!

Samenvattend: gebruik lange wachtwoorden, liefst gegenereerd door en opgeslagen in een betrouwbare app. En zoals altijd: zet overal waar dat kan tweefactorauthenticatie/tweestapsverificatie aan.

 

En in de grote boze buitenwereld …

• lees je hier wat er aan de hand is bij LastPass.
• kan het WK voetbal gemakkelijk leiden tot cyberdreigingen.
• wil de politie van San Francisco dodelijke robots inzetten.
• zijn privégegevens van alle leden en oud-leden van Forum voor Democratie gelekt.
• maakt TikTok jouw gegevens vandaag toegankelijk voor medewerkers in China.
• kun je dat ook op humoristische wijze uitleggen.
• profiteren criminelen nog steeds van Log4j.
• gaan Microsoft 365 en de AVG niet goed samen.
• hebben Russische hackers het gemunt op Nederlandse gasinstallaties.
• kijk je hier naar Mikko Hyppönen’s presentatie If it’s smart, it’s vulnerable.
• zit er een privacy-aspect aan het uploaden van je adresboek naar een online dienst.
• mag het NCSC eindelijk dreigingsinformatie delen met niet-vitale bedrijven.
• snuffelen sommige laptop- en telefoonreparateurs rond in je apparaat.
• moeten we een noodpakket in huis halen voor het geval een cyberaanval het land platlegt.

 

Wachtwoorden - ja, alweer

 

Afbeelding via Pixabay

Vandaag is het Nationale Check-je-wachtwoorden-dag. Dat is een initiatief van techwebsite Tweakers en het Openbaar Ministerie, en de intranetredactie vroeg mij om een extra blog aan deze dag te wijden. Ik sta altijd open voor verzoeknummers, waar ik dan op geheel eigen wijze invulling aan geef.

Eerst maar eens kijken naar de website die bij het initiatief hoort. Daar lezen we het volgende: Als internetter word je geconfronteerd met veel websites die vereisen dat je een gebruikersaccount aanmaakt en een wachtwoord kiest. Veel mensen vinden het moeilijk om al die verschillende wachtwoorden te bedenken en te onthouden. Dat heeft helaas als gevolg dat veel Nederlanders niet veilig omgaan met hun wachtwoorden, door bijvoorbeeld wachtwoorden te kiezen die makkelijk te raden zijn, of wachtwoorden te hergebruiken. Via de Nationale Check je Wachtwoorden Dag willen we mensen hiervan bewustmaken en uitleggen dat het bedenken en onthouden van goede wachtwoorden niet moeilijk hoeft te zijn.

De pagina met wachtwoordtips bevat tot mijn verbazing slechts vier tips. Laten we eens naar die tips kijken. Nummer 1: gebruik een wachtwoord van minimaal acht tekens. Mwah, acht tekens is tegenwoordig wat aan de krappe kant. Tegenwoordig wordt twaalf als veilig minimum beschouwd. Zou men bang zijn dat het dan te moeilijk is om het te onthouden? Daar hebben we een oplossing voor; zie verderop.

Tip 2: stel nooit één enkel woord in als uw wachtwoord. Mee eens, want dan staat je wachtwoord in het woordenboek en hackers zijn er erg goed in om buitgemaakte wachtwoordbestanden geautomatiseerd tegen een woordenboek aan te houden. Dat maakt een wachtwoord als autoband kansloos. Net zo kansloos overigens als aut0b@nd, want dat trucje staat ook in de hackerwoordenboeken.

De derde tip luidt: gebruik minimaal één woord en een cijfercombinatie die alleen u kent. Dus zoiets als autoband2022? Daarmee wordt het wachtwoord in ieder geval langer, en lengte is echt de belangrijkste factor. De geadviseerde cijfercombinatie wordt helaas al gauw een jaartal, verjaardag of de pincode van je bankpas, die het wachtwoord niet echt sterker maken en misschien zelfs een risico introduceren (ja, ik doel op die pincode).

Maar gelukkig zeggen ze in tip 4: gebruik geen geboortedata, adressen of iets anders dat eenvoudig is te raden. Helemaal mee eens. Deze tip is vooral bedoeld om doelgerichte aanvallen op specifieke personen af te wenden. Als een kwaadwillende niet een willekeurig iemand, maar jou op het oog heeft, dan gaat hij alles wat hij over je kan vinden gebruiken voor zijn aanval. Alle persoonlijke informatie, ook al is het nog zo ver gezocht, is dus taboe voor gebruik als (onderdeel van) wachtwoord.

Na de genummerde tips komen er toch nog een paar extra tips. Dat je je wachtwoord niet op een post-it moet schrijven. En over beveiligingsvragen – er zijn nog steeds sites die je verplichten om op te geven hoe je eerste huisdier/schooljuf/liefje heette, of soortgelijke vragen – zeggen ze dat je geen vragen moet kiezen waarop anderen het antwoord weten. Ik zeg het krachtiger: lieg! Wat is uw geboorteplaats? Banaan. Hoe heette uw eerste schooljuf? Fotolijstje. Natuurlijk moet je die leugens wel ergens opslaan, anders heb je er niks aan.

En dat brengt me op de beloofde oplossing om al die geheimen te onthouden: de wachtwoordkluis/ passwordmanager/wachtwoordmanager – een app die je wachtwoorden en andere geheime informatie voor je onthoudt, terwijl jij zelf alleen het wachtwoord van die app hoeft te onthouden. Volgens onderzoek in opdracht van Tweakers gebruikt slechts 7% van de Nederlanders zo’n app. Dat is echt betreurenswaardig weinig. Dus bij deze een oproep aan de overige 93%: download nú een wachtwoordmanager en neem ‘m in gebruik. Kijk even welke het beste bij jou past; op de website staan er drie, maar er zijn veel meer (pssst: mijn favoriet is Bitwarden). En nog een extra tip: wachtwoordmanagers zijn ook geweldig in het verzinnen van sterke wachtwoorden.

Dit is een Security (b)log special. Daarom (en vanwege een paar vrije dagen) is er deze week geen nieuws uit de grote boze buitenwereld.

Bescherm het universum

 

Afbeelding via Pixabay

Het is geen eerlijke strijd. Een hacker hoeft maar één piepklein gaatje te vinden om ergens in te breken, terwijl wij het hele universum moeten beschermen. Als de hacker een systeem weet te vinden waar de laatste security patch ontbreekt en hij heeft een exploit waarmee hij het gevonden lek kan uitbuiten, dan is hij binnen. We hebben zóveel systemen waar zóveel software op draait, dat er altijd wel ergens een kwetsbaarheid is. Het is niet eerlijk. Deze verzuchting heb ik mijn gehoor tijdens talloze presentaties voorgehouden.  

Ken je MythBusters, het vaak spectaculaire programma van Jamie Hyneman en Adam Savage, dat op Discovery Channel werd uitgezonden? Afgelopen woensdag waande ik mij in een speciale aflevering hiervan, toen Etay Maor op het Risk Event van ISACA een keynote gaf getiteld “Busting cyber security myths”. De allereerste mythe, die hij fijntjes de grond in boorde, was precies wat in de alinea hierboven staat. Ai.

Hij deed dat aan de hand van de MITRE ATT&CK matrix (sorry, maar bij de MITRE Corporation vinden ze dat je “attack” zo hoort te schrijven). Die matrix is veertien kolommen breed, en in de laatste staat welke soorten impact een aanval zoal kan hebben: datamanipulatie en –vernietiging, versleuteling van gegevens (ransomware) en denial of service, om er maar een paar te noemen. En in alle andere kolommen staan activiteiten die een aanvaller kan ontplooien om de gewenste impact te bereiken. Dat begint in de eerste kolom met allerlei vormen van verkenning, daarna komen het vergaren van de benodigde spullen, het verkrijgen van toegang en vervolgens nog allerlei stappen om het beoogde systeem in je macht te krijgen. Iedere kolom is een soort keuzemenu. Niet dat een aanvaller deze matrix zal gebruiken om te bepalen hoe hij te werkt zal gaan – deze matrix richt zich op analisten, die zo tot een beter begrip van een aanval kunnen komen.

Om zijn punt te maken heeft Etay Maor de REvil ransomware gemapt op de MITRE ATT&CK matrix. Dat was trouwens vrij gemakkelijk, want op de site van MITRE is die ransomware al helemaal ontleed; Maor hoefde alleen nog de bijbehorende vakjes in de matrix in te kleuren. Dat leverde maar liefst veertien rode vakjes op, verdeeld over zeven kolommen. Veel van die vakjes kun je ook nog eens uitklappen. De laatste kolom, met de impact, bevat nog eens vier rode vakjes. De maker van REvil moest dus heel wat meer doen dan één gaatje zoeken. De complete tabel met activiteiten voor REvil is veertig rijen lang. Overigens is REvil niet zomaar ransomware, maar ransomware-as-a-service (RaaS). Dat betekent dat REvil een dienst is die door anderen kan worden afgehuurd. Ja mensen, ook de onderwereld kent dienstverleners.

Terug naar de vermeende oneerlijke strijd. Mijn startpunt was een verhouding van één op oneindig – één gaatje ten opzichte van het hele universum. Het voorbeeld van Maor brengt de verhouding naar veertig op oneindig. Ik blijft toch wel vinden dat het oneerlijk verdeeld is, al kijk ik er nu wat genuanceerder naar.

De vraag is: wat doe je eraan? Hoe bescherm je het universum, of specifieker: het cyberuniversum? Dat begint met security by design, het van meet af aan meenemen van beveiliging in het ontwerp van je applicatie en je infrastructuur. Want als het ontwerp van een nieuwe auto al helemaal klaar is en je er dan pas achter komt dat er nog remmen in moeten, dan wordt het knap lastig – en kostbaar. Verderop in het proces, tijdens de realisatie, is het zaak om die security mindset vast te houden. Daar komt het vakmanschap bij om de hoek kijken. De remleidingen moeten goed aangesloten worden en testen op lekkage is ook wel zo prettig. En als het product dan eenmaal draait, dan is het zaak om de boel goed te onderhouden (in de auto-analogie vind je dat vanzelfsprekend). Daar hoort het besef bij dat hard- en software per definitie fouten bevat, en dat een deel van die fouten niet alleen schadelijk kan zijn voor de beveiliging van het product zelf, maar ook impact kan hebben op andere producten. Je moet daar naar blijven zoeken zolang als het product in gebruik is, en gevonden gebreken moet je tijdig verhelpen. Voordat iemand anders ze vindt en er oneerlijk gebruik van maakt.

Op donderdag 24 november verschijnt een special naar aanleiding van Check-je-wachtwoorden-dag. De reguliere Security (b)log vervalt in die week.

 

En in de grote boze buitenwereld …

• heeft het Digital Trust Center al heel wat bedrijven gewaarschuwd voor kwetsbaarheden.
• betaalt Google honderden miljoenen dollars voor het onterecht verzamelen van locatiegegevens.
• kun je natuurlijk ook een satelliet hacken, zegt dit hoofd ruimtebeveiliging.
• moet je beveiligingscamera’s niet verstoppen.
• hebben Meta-medewerkers Facebook- en Instragram-accounts van gebruikers gekaapt.
• zit er misschien wel Russische software in je telefoon.
• moet de overheid de privacy-risico’s van het gebruik van Amerikaanse cloudopslagdiensten beter beschrijven.
• daalt het aantal meldingen van WhatsApp-fraude.
• vind je hier een aanpak voor het terugkrijgen van geld dat je door WhatsApp-fraude bent kwijtgeraakt.
• is het WK voetbal schadelijk voor je privacy.
• heeft een ziekenhuismedewerker bijna honderd patiëntendossiers ongeoorloofd ingezien.

 

Oplossing zoekt probleem

 

Afbeelding: Reviver

In Californië, Arizona en Michigan mag tegenwoordig iedereen z’n auto voorzien van een elektronische kentekenplaat. Toen ik dit las was mijn eerste gedachte: wat zou er mis kunnen gaan? (Of eigenlijk het veel cynischer klinkende: what could possibly go wrong?)

Eerst maar even de (vermeende) voordelen van zo’n beeldscherm op je auto. Het is hip, en zeker Californië is een staat waar veel hippe mensen wonen. En wat kan zo’n schermpje dan doen voor die hippe mensen? Wel, om te beginnen natuurlijk het voor de hand liggende: het kenteken van de auto tonen. Verder moeten Amerikanen hun registratie jaarlijks verlengen en dat kan met zo’n plaat automatisch. Daarna wordt het wat frivoler: je kunt kiezen tussen light en dark mode en een persoonlijke tekstregel toevoegen. En uiteraard kan het schermpje ook reclame tonen.

Het bedrijf Reviver, de patenthouder, dicht zijn product, de RPlate, diverse mogelijkheden  toe die de publieke veiligheid kunnen verbeteren. Zo kan het scherm een melding tonen als het voertuig gestolen is, of als er een amber alert is uitgegeven voor een vermist kind. En je kunt ‘m heel handig beheren met je smartphone, via bluetooth. En natuurlijk heeft hij 5G-connectivity en heeft de duurdere versie GPS, zodat je je auto altijd kunt terugvinden.

Natuurlijk heeft de fabrikant ook aan de beveiliging van dit apparaat gedacht: “encrypted TLS/SSL communication, advanced data encryption, zero hardware data storage”. Er worden dus – van achteren naar voren lezend – geen gegevens opgeslagen, maar die gegevens zijn wel geavanceerd versleuteld (wat dat ook moge betekenen). Communicatie is op dezelfde wijze beveiligd als tussen je browser en een website.

Tja. Even los van voor de hand liggende vragen rond nut en noodzaak, wil ik toch even naar de beveiligings- en privacy-aspecten kijken van deze oplossing-zonder-probleem (een typering van beveiligingsgoeroe Bruce Schneier). Een andere coryfee in mijn vakgebied, Mikko Hyppönen, zegt altijd: als het verbonden is, is het kwetsbaar. Je moet ervan uitgaan dat deze kentekenplaat in principe kan worden gehackt. Een voor de hand liggende ‘toepassing’ voor een gehackt kenteken is natuurlijk het vervalsen ervan. Maar wat dacht je van een onterechte melding dat een auto is gestolen? Zeker in Amerika, waar agenten al gauw de hand naar hun heup brengen, lijkt het me geen pretje om rond te rijden met een auto die roept dat hij gestolen is, of waar “HELP!” op staat. De uitvinders voorzien ook nog toepassingen voor betaald parkeren (waarbij de kentekenplaat het bonnetje achter de voorruit vervangt) en voor mindervaliden (het displayen van een rolstoel). Als je dat kunt beïnvloeden, dan ligt een oneerlijk leven van gratis parkeren – zelfs op gereserveerde plekken – in het verschiet.

Qua privacy duiken de voor de hand liggende vragen op: wie kan mij allemaal volgen? Waar je wanneer bent kan een boel informatie over jouw leven prijsgeven. Hoe gemakkelijk voel je je bij die gedachte? Natuurlijk hebben we daar helemaal geen elektronische kentekenplaat voor nodig – afhankelijk van je instellingen weet je telefoon, die je nog vaker bij je hebt dan je auto, dat ook allemaal, en deelt dat met advertentiebedrijven als Google en Apple. Het privacy-aspect lijkt dus niet eens zo spannend bij dit product.

Blijft de vraag: waarom zou je? De marketing richt zich op twee speerpunten: lifestyle en de automatische kentekenverlenging. Het eerste punt zie je terug in de reviews, waarbij vooral auto’s zijn afgebeeld die jij en ik ons niet kunnen veroorloven. En over het tweede punt doen reageerders nogal cynisch: alsof het zo moeilijk zou zijn om je kenteken op de ouderwetse manier te verlengen. En waarom zou je zo’n ding niet kopen? Misschien vanwege de beveiligingsrisico’s, en anders vanwege de prijs: de goedkoopste versie kost $ 19,95 per maand.

Ik zie ons in Nederland niet zo snel met zo’n gimmick rondrijden. Mocht het er ooit wel van komen, dan hoef je niet bang te zijn voor grove taal op de persoonlijke tekstregel. Je kunt namelijk alleen teksten tonen die door de autoriteiten zijn goedgekeurd. Zonder deze beperking zouden de platen in Nederland natuurlijk over de toonbank vliegen.

 

En in de grote boze buitenwereld …

• had je natuurlijk kunnen voorzien dat betalen-voor-verificatie allerlei ongewenst gebruik veroorzaakt.
• vraag je je af wat er bij een bedrijf aan de hand is als op dezelfde dag de topmensen voor security, privacy en compliance allemaal ontslag nemen.
• hoef je bij online bestellingen niet je echte naam op te geven.
• hebben afpersers van een Australische ziektekostenverzekering, die hun zin niet kregen, informatie over abortussen openbaar gemaakt.
• konden Pixel-telefoons ontgrendeld worden door de simkaart er opnieuw in te stoppen.
• vertrouwt je browser ook certificaten die niet per se betrouwbaar zijn.
• schrijven tegenwoordig zelfs gewone kranten over het beveiligen van smartphones.
• heeft het NCSC de factsheet over het kiezen van berichtenapps geupdatet (maar ze geven nog steeds geen  waarde-oordeel).
• wacht een uit Oekraïne gevluchte dienstplichtige cybercrimineel op zijn uitlevering aan de VS door Nederland.
• bestelde een basisschoolleerling per ongeluk voor een half miljoen euro aan lesmateriaal.

 

Beestenboel

 

Afbeelding via Pixabay

Begeleid door een felle herfstzon wandelde ik afgelopen dinsdag met een teamgenoot door de afdeling Dinosaurussen van de dierentuin in Amersfoort. Gek hè, dat een dierentuin, die over het algemeen levende wezens verzamelt, ook een stukje bos heeft ingericht met beelden van al lang uitgestorven beesten. Net zo gek als de aanwezigheid van een speeltuin, trouwens. Kwam je nou om dieren te kijken of om te wippen?

Als je denkt dat onze aanwezigheid daar, tijdens werktijd, nog veel vreemder is, dan moet je bedenken dat dierentuinen ook ruimtes hebben die ze verhuren voor bijeenkomsten. En wij hadden die middag dus een bijeenkomst van ons organisatieonderdeel, het CTO Office, verantwoordelijk voor de optimale en effectieve inzet van technologie in de hele organisatie. Na een overzichtelijk praatje van onze directeur (de chief technology officer, ofwel CTO) moesten we in groepen uiteengaan om over een bepaald thema te praten. Je kent dat wel: de groepen zijn vooraf zó samengesteld, dat je vooral niet met eigen teamgenoten bij elkaar zit, zodat je ook eens met andere mensen in contact komt. Ik zat – lekker puh – in een groepje waarvan ik twee IT-architecten al kende; de een door het werk, de ander door een praatje bij de koffieautomaat. De anderen, een licentiebeheerder en een contractmanager, kende ik van gezicht.

Het thema, dat op ons bordje lag, heette: snel, beter, veiliger. Technologie moet snel ter beschikking van onze medewerkers komen. Kennelijk mag de kwaliteit daarbij ook wat omhoog en tja, het besef dat het veiliger moet is gelukkig ook doorgedrongen tot de hogere echelons. In menige organisatie betekent dat niet veel meer dan  comfortabel abstract roepen dat het veiliger moet, de werkvloer achterlatend in een vertwijfeld “hoe dan?” Want het gat tussen de erkenning dat het veiliger moet en de praktische uitwerking van zo’n oekaze heeft al gauw canyoneske afmetingen. Welkom in het spanningsveld tussen ‘dat mag zo niet’ en ‘maar anders werkt het niet’.

Dat ze ons met dit thema aan het werk zetten, toont zowel lef als de  behoefte om er daadwerkelijk invulling aan te geven. Het eerste wat wij opschreven, was dat je niet alleen snel, beter en veiliger moet zijn, maar ook flexibel. Dat is als het ware de katalysator die de andere drie eigenschappen een handje helpt. Flexibel in combinatie met veiliger betekent dat je niet maximaal beveiligt, maar optimaal. Dat betekent ook dat je in bepaalde situaties – ik denk bijvoorbeeld aan testomgevingen – soepeler kunt zijn. Beveiligingsbeleid en -normatiek voorziet daar echter niet in; dergelijke documenten lijken blind te zijn voor de complexe omgeving van een grote ICT-organisatie.

Dat brengt ons bij risicobereidheid (in het Engels pakkend risk appetite geheten). Hoeveel risico wil een organisatie nemen? Een bedrijf, dat dingen produceert met een korte time to market, zal over het algemeen een grotere risicobereidheid hebben dan, zeg, een overheidsinstantie. Dat product moet immers snel in de winkel liggen en dan kun je je geen al te frivole beveiligingsoverhead veroorloven. Kijk maar naar slimme apparaten zoals babyfoons, beveiligingscamera’s en broodroosters, die van het internet of things een gevaarlijke beestenboel maken.

Onze constatering was dat we meer moeten differentiëren in de risico’s waarmee we te maken hebben. Daar hoort onlosmakelijk bij dat eenduidig vaststaat wie waarvoor verantwoordelijk is. Een van de architecten wilde die verantwoordelijkheid zo laag mogelijk beleggen. Ik wist hem ervan te overtuigen dat we toch op z’n minst op het niveau van een afdelingshoofd moeten gaan zitten, omdat anders het eigen belang te zwaar gaat wegen: als een team een doel moet bereiken, dan zal een teammanager over het algemeen eerder bereid zijn om risico’s te accepteren. Risico’s hebben echter de neiging om een bredere uitwerking te hebben dan één team en moeten dus ook in die bredere context gewogen worden. Enige afstand tot de werkvloer helpt daarbij.

Gisteren sprak ik een afdelingshoofd dat vaak te maken heeft met risicobehandeling. We hebben namelijk een proces ingericht dat regelt dat wanneer iemand iets wil dat volgens de regels niet mag maar wel (op dat moment) nodig is om voortgang te waarborgen, moet opschrijven wat dat inhoudt en welk risico de organisatie loopt. En dat formulier moet worden voorgelegd aan het afdelingshoofd. Omdat het de laatste tijd de spuigaten uitloopt, gaat hij actief de boer op om verandering te bewerkstelligen. Het nemen van die risico’s is namelijk in veel gevallen niet echt nodig, mits men zich enige inspanning wil getroosten om aan een robuuste oplossing te werken. Dit afdelingshoofd neemt duidelijk zijn verantwoordelijkheid voor beveiliging, daarbij het belang van de operatie niet uit het oog verliezend. Want beveiliging gaat óók over beschikbaarheid.

Een andere dierentuingroep, die ook met het thema ‘snel, beter, veiliger’ was belast, had opgeschreven: lees de Security (b)log! Dat is natuurlijk een geweldige altijd-goed-actie.

 

En in de grote boze buitenwereld …

• legt Arjen Lubach uit wat ransomware is.
• valt het nog enigszins mee met de recent ontdekte bugs in OpenSSL.
• heeft TikTok-personeel in (onder andere) China toegang tot data van Europese gebruikers.
• is Dropbox gehackt via phishing.
• kan een datalek ook gewoon op papier.
• zouden de Russen de telefoon van de vorige Britse premier gehackt hebben.
• gaat de Amerikaanse overheid optreden tegen desinformatie op social media.
• wil het Rode Kruis een digitaal embleem, dat de IT van de organisatie in oorlogssituaties moet beschermen.
• heeft Oostenrijk een stokje gestoken voor een plan van de Europese Commissie om alle Europese chatberichten te controleren.
• verdiende dit bedrijf veel geld met het toepassen van dark patterns.
• stelen malafide PyPI-packages je inloggegevens.
• geeft de Amerikaanse overheid advies over multifactorauthenticatie die niet middels phishing kan worden omzeild.
• is de privacy zone van Strava niet waterdicht.

 

Parkeren in de cloud

 

Eigen foto

Daar in de verte staat’ie: de auto van de collega die ons wel even zou wegbrengen. Je ziet hem door een spleet in de gesloten stalen poort van de parkeergarage van het Joegoslaviëtribunaal in Den Haag.

We spoelen even 14 uur terug. Toen ging namelijk in het World Forum de tweedaagse ONE Conference van start, waar een kleine tweeduizend informatiebeveiligers uit binnen- en buitenland zich verzamelden om zich bij te laten praten over hun vakgebied. Ook wij waren met een delegatie aanwezig en omdat we in Den Haag bleven slapen, gingen we gezellig samen naar de Chinees. Na afloop van een voortreffelijke maaltijd wilden we met tram of bus naar ons hotel, maar die ene collega, die vlakbij woont en met de auto was, wilde ons ook wel even rijden. Aangekomen bij de parkeergarage (om 22.42 uur) leek zijn auto eerst onvindbaar, maar na enige tijd zoeken – en lichte twijfels over het parkeergeheugen van onze collega – kwamen we dus bij die stalen poort en zagen we hem staan. Onbereikbaar.

De portier van het bijbehorende hotel was zo vriendelijk om met ons mee te lopen. “Ah, ik zie het al. U staat in de garage van het Tribunaal.” De garage wordt gebruikt door hotelgasten, conferentiegangers en dus ook door medewerkers van het Tribunaal. ’s Ochtends werd onze onfortuinlijke collega door een verkeersregelaar precies dat gedeelte in gewuifd. De bewuste poort stond toen gewoon open en er was geen enkele aanduiding dat dit een speciaal gedeelte van de garage was. De verkeersregelaar wist misschien niet dat de poort ’s avonds op slot zou gaan, of hij verwachtte niet dat een conferentiebezoeker nog zo laat z’n auto zou willen ophalen. Via de intercom bij de slagboom legde de portier contact met de beveiliger van het Tribunaal. Die had wel een kaart waarmee hij de poort zou kunnen openen, maar die was zoek. Uiteindelijk konden we de garage om 23.16 uur verlaten. En zo kun je dus door het bezoeken van een informatiebeveiligingsconferentie verstrikt raken in fysieke beveiligingsmaatregelen. Dit had ik zo niet kunnen bedenken. Maar ik moet het eigenlijk over de conferentie hebben.

De oorlog in Oekraïne was daar een vrij prominent onderwerp. Dit is namelijk de eerste echte oorlog die niet alleen te land, ter zee en in de lucht wordt uitgevochten, maar ook in “de cyber”, zoals dat in militaire kringen heet. Vanaf dag één ging men elkaar behalve fysiek ook digitaal te lijf, en waarschijnlijk ook al eerder. Een van de sprekers, Cristin Flynn Goodwin van Microsoft, hield ons voor dat een gevecht tegen een statelijke actor in je eigen datacenter te vergelijken is met een man-tegen-mangevecht: moeizaam en bloederig. Landen, die je digitaal aanvallen, hebben het voorzien op de ideeën en de informatie die regeringen nodig hebben om besluiten te nemen over belangrijke actuele zaken, aldus Goodwin. Daarbij hebben ze het vooral voorzien op denktanks, non-gouvernementele organisaties (NGO’s), diplomaten, beleidsadviseurs en academici.

Goodwins punt was dat je als organisatie niet in je uppie bent opgewassen tegen al dat digitale geweld. Je kunt je gegevens daarom veel beter in de cloud opslaan, waar je de bescherming geniet van een grote service provider (waarbij het mooier zou zijn geweest om niet alleen het eigen bedrijf te noemen).  Die grote cloudleveranciers beschikken over alle denkbare middelen om jouw kroonjuwelen optimaal te beschermen, is de gedachte.

Van nature wil een land zijn kroonjuwelen dichtbij, op eigen grondgebied houden. Verder schrijft de AVG voor dat persoonsgegevens van EU-burgers in Europa moeten worden opgeslagen (onder bepaalde voorwaarden mag het ook daarbuiten). Maar, zo betoogde Goodwin, dat is niet altijd verstandig. Zij vertelde dat Oekraïne belangrijke delen van zijn nationale ICT volledig buiten de eigen landsgrenzen heeft gestald. Ook andere landen moeten zich op een dergelijk scenario voorbereiden, en het ook testen. Dat klinkt best eng, maar ik kan me voorstellen dat het voor Oekraïne een kopzorg minder is. Althans, zolang de verbindingen met die verre cloud standhouden.

De Nederlandse overheid heeft sinds kort nieuw beleid ten aanzien van de public cloud. Zij switchte van “nee, tenzij” naar “ja, mits”. Mijn grootste zorg daarbij is toch de beschikbaarheid van de gegevens. Een eigen datacenter geeft je nou eenmaal een gevoel van tastbaarheid, van het tegen de borst kunnen houden van de gegevens als het spannend wordt. Maar als je erover nadenkt, slaat dat nergens op. Eén kruisraket, één ransomware-aanval en het is gedaan met je gegevens. En toch zit er een extra dimensie aan die cloud: wat als jouw land ruzie krijgt met het land van de cloudleverancier?

Als je auto op je eigen inrit staat, kun je er altijd bij. Staat hij in een parkeergarage, dan bepaalt de beheerder van die garage of je weg kunt. Zelfs externe factoren kunnen een rol spelen: jaren geleden bleek een reuzenrad op het Apeldoornse Marktplein zo zwaar te zijn dat men vreesde dat de parkeergarage onder het plein het gewicht niet zou kunnen dragen. Mensen, die hun auto daar hadden geparkeerd, konden pas weer bij hun auto toen het reuzenrad was afgebroken. Ik zie moeilijke keuzes op ons afkomen.

 

En in de grote boze buitenwereld …

• worden er druk lessen getrokken uit de oorlog in Oekraïne.
• maken cloudleveranciers natuurlijk ook fouten, getuige dit forse lek bij Microsoft.
• vindt Microsoft dat de ontdekker van dat lek schromelijk overdrijft.
• zit het Nederlandse hoger onderwijs al volop in de cloud.
• is er politieke aversie tegen Amerikaanse cloudleveranciers.
• wordt ransomware gebruikt ter voorbereiding van fysieke oorlogen.
• zijn niet alleen ambtenaren slachtoffer geworden van de ransomware-aanval op ID-ware.
• was de politie een ransomware-bende te slim af.
• lijken we een redelijk privacyminnend volkje te zijn.
• gebruikten aanvallers uitgerekend een kwetsbaarheid in een virusscanner om een andere virusscanner uit te schakelen.
• is het verschil tussen “aan” en “bcc” een datalek.
• beschuldigt Texas Google van het verzamelen van biometrische gegevens.

 

De drie biggetjes

Afbeelding via Pixabay

Er waren eens drie biggetjes, die de wijde wereld in trokken en daar elk een eigen huis bouwden. Het eerste biggetje maakte zich er gemakkelijk van af en bouwde een huis van stro. Het tweede bouwde een wat steviger houten huis, terwijl het derde zich uitsloofde en een solide stenen huis metselde.

Je kent dit sprookje waarschijnlijk wel, maar voor de volledigheid maak ik het nog even af. De grote boze wolf had trek in een karbonaadje en blies het huisje van stro omver, waarna hij de bewoner verslond. Na een tijdje had hij weer honger en belde hij aan bij het houten huis. De bewoner zag via z'n slimme deurbel wie er voor de deur stond en deed niet open. De wolf haalde heel diep adem en wist ook dit bouwsel omver te blazen. Ook biggetje nummer twee werd met huid en haar verorberd. En zoals dat in sprookjes nu eenmaal gaat, was niet lang daarna ook het derde huis aan de beurt. De bewoner, die de wolf al via z'n beveiligingscamera's had zien aankomen, deed natuurlijk niet open. Toen de wolf merkte dat hij dit stevige huis onmogelijk omver kon blazen, klom hij op het dak en liet zich door de schoorsteen naar beneden glijden. Het biggetje was zich echter bewust van deze kwetsbaarheid en had maatregelen getroffen: onderaan de schoorsteen stond een pan kokend water klaar. Wolf erin, deksel erop, en het biggetje leefde nog lang en gelukkig.

De wolf en de drie biggetjes is een Engels sprookje uit de 19e eeuw en heeft een duidelijke boodschap: wie goed z'n best doet, komt beter uit de strijd. Ik verbaas me altijd over de gruwelijkheden waarmee sprookjesschrijvers destijds kinderen bestookten, maar het zal wel de tijdgeest geweest zijn. Het sprookje gaat echter niet alleen over ijver, maar ook over bedreigingen. "Kijk uit, kinderen, er loeren allerlei gevaren op jullie! Hoe beter je je daartegen wapent, hoe groter de kans dat je er zonder kleerscheuren van afkomt."

Ik ben parttime sprookjesverteller. Niet alleen elke vrijdagochtend, als ik deze blog schrijf, maar soms ook tijdens mijn andere werkzaamheden. Net als de onbekende bedenker van bovenstaand sprookje wijs ook ik mensen op bedreigingen en laat ik ze maatregelen implementeren om risico's te verkleinen. Meestal met zakelijke taal en een technische inslag, maar soms veroorloof ik me een verhaal om iets duidelijk te maken. Een van mijn favoriete verhalen is dat van Joost Tonino, voormalig officier van justitie te Amsterdam. Mr. Tonino had zijn met een virus besmette privécomputer als grofvuil op straat gezet, maar een taxichauffeur was de vuilniswagen voor en leverde de pc af bij Peter R. de Vries. Er bleken vertrouwelijke zakelijke gegevens én kinderporno op te staan. Einde carrière als OvJ. Dit verhaal vertel ik als we het tijdens risicoanalyses hebben over het onzorgvuldig weggooien van gegevensdragers. Maar ook in andere situaties haal ik er graag een anekdote of metafoor bij om iets uit te leggen.

Gisteren mocht ik aanschuiven bij een afdelings-MT om het over de naleving van bepaalde regels te hebben. Het ging erom dat die afdeling vaak verzoeken van een andere afdeling ontvangt om iets te doen wat strijdig is met het beveiligingsbeleid. Ze willen dan een ontheffing om dat toch voor elkaar te krijgen, omdat hun systeem anders niet kan functioneren. Als we hen erop wijzen hoe het eigenlijk moet, zeggen ze soms: "Dat kan niet op ons systeem!" Als ze echter de tijd nemen om er serieus naar te kijken, dan blijkt het wel degelijk te kunnen, al moeten ze er soms een beetje moeite voor te doen. Ach, het zijn net kinderen. Die roepen ook vaak dat ze iets niet kunnen, terwijl ze het nog nooit geprobeerd hebben. En als ze het dan, na wat aansporing, toch blijken te kunnen, zijn ze daar apetrots op.

En zo proberen informatiebeveiligers constant het gedrag van mensen zodanig te beïnvloeden dat ze binnen de lijntjes blijven kleuren. Dat gebeurt langs de formele weg - beleid, standaarden, instructies - maar ik zet liever in op bewustwording. Want als ik het voor elkaar krijg dat je begrijpt waarom je iets moet doen of laten, als je snapt dat jij of de organisatie anders risico's lopen, dan zul je eerder bereid zijn om de juiste afslag te nemen.

We zitten nog midden in de cybersecuritymaand. Er zijn dus nog steeds allerlei activiteiten onder de vlag van alert online gaande. Maak er gebruik van en laat zien dat je ook actief aan je beveiligingsbewustzijn werkt.

Met dank aan Wendie voor de inspiratie.

 

En in de grote boze buitenwereld …

• schakelt de politie Frans Bauer in voor de strijd tegen vriend-in-noodfraude.
• trappen ook jongeren in phishing.
• kan een crimineel je natuurlijk ook gewoon bellen en vragen om malware te installeren.
• maken criminelen misbruik van de energiecrisis.
• is het Centrum voor Veiligheid en Digitalisering in Apeldoorn geopend.
• controleren sociale media niet of je echt meerderjarig bent.
• vormt spyware in bepaalde landen een serieus probleem voor journalisten.
• geeft deze website tien lessen over hoe fraude werkt (maar die lessen doen het niet op mijn iPad).
• is de Belastingdienst bij sommige criminelen wél populair.
• moet het kabinet daar tekst en uitleg over geven aan de Tweede Kamer.
• log je met passkeys zonder wachtwoord in op websites.