De zwakste schakel

 

Afbeelding via Pixabay

“We can’t make humans that much better.” Is dat een uitspraak van een buitenaards, al dan niet goddelijk wezen, dat gelaten vaststelt dat de mens ‘af’ is en dat we het met het huidige model moeten doen? Is Generatie Z (de ‘Zoomers’) ons eindstation en is die letter derhalve allesbehalve toeval?

Onzin. Het is een uitspraak van iemand op een beveiligingsconferentie en heeft betrekking op de rol van de mens in de strijd tegen digitale misdaad. Je weet wel, phishing en zo. De strekking van het verhaal was dat we al zóveel energie hebben gestopt in het opkrikken van het beveiligingsbewustzijn van onze collega’s, vrienden, familieleden en wildvreemden, dat die klus nu wel klaar is – beter dan dit wordt het niet.

Dat is natuurlijk niet waar. Althans, niet helemaal. We moeten sowieso door blijven gaan met onze missie omdat er nog steeds nieuwe mensen bij komen. En die nieuwe mensen moeten al op jonge leeftijd leren hoe ze zich veilig door de digitale wereld kunnen bewegen – door hún wereld, want Generatie Z wordt zo ongeveer met een smartphone in de hand geboren. Daar hoort speciale aandacht voor privacy bij. Dat zeg ik niet omdat vandaag de Europese dag van de privacy is, maar omdat het zo gemakkelijk is om geheel eigenhandig je privacy op te geven, en dan ook nog eens zonder dat je dat heel bewust doet. De knop ‘ja doe maar’ is altijd groter en mooier dan de ‘nee’-knop als je mag kiezen of een site cookies mag opslaan, of een app met je adresboek mag ‘synchroniseren’ (een schaamteloos eufemisme voor kopiëren), of ze je locatie mogen gebruiken. ‘Ja’ is het makkelijke antwoord, ‘nee’ levert je extra werk op terwijl je nú aan de slag wilt met die site of met die app.

Overigens valt het reuze mee met dat extra werk. Als je bij een cookie-melding aangeeft dat je de instellingen wilt aanpassen, dan staan die instellingen – als het goed is – standaard op ‘uit’. Je hoeft dan alleen nog op ‘instellingen opslaan’ te klikken, zonder al die instellingen na te lopen. Maar pas op: ook hier verschijnt vaak nog een verleidelijke knop waar ‘alles toestaan’ op staat, naast een veel minder opvallend linkje om de gekozen instellingen op te slaan. Bovendien zie je bij sommige instellingen ook nog een aparte instelling, die ‘gerechtvaardigd/legitiem belang’ heet en standaard aan staat (of niet eens kán worden uitgezet). Die term tussen aanhalingstekens komt uit de AVG, waarin gerechtvaardigd belang één van de grondslagen voor het verwerken van persoonsgegevens is. Bedrijven vinden direct marketing vaak een gerechtvaardigd belang (“anders kunnen we geen geld verdienen”), maar daar lijken de geleerden het nog niet over eens te zijn. Verreweg het prettigst vind ik sites die behalve ‘accepteer alles’ ook de optie ‘accepteer niets’ aanbieden.

Sommige mensen zijn wél helemaal klaar met voor beveiliging en privacy. Dat zijn de mensen die noch willen, noch kunnen meedoen. Cybercriminelen hebben het vaak op ouderen voorzien, maar het is veel te gemakkelijk om te beweren dat de voor awareness-activiteiten verloren groep alleen door bejaarden wordt bevolkt. Mijn moeder is 88 en bijzonder alert op digitale gekkigheid (“Patrick, wat moet ik hiermee?” is een regelmatig terugkerende tekst in WhatsApp, met daarbij een afbeelding van een scherm waarop een keuze moet worden gemaakt). Wat dat betreft kunnen de generaties A tot en met Z nog het nodige van haar leren. Maar aan de meeste totaalweigeraars valt niet veel eer te behalen. Overigens ken ik er daar bijzonder weinig van, maar dat is misschien omdat ze zich buiten mijn bubbel bevinden.

Van diezelfde conferentie heb ik nog een ander citaat meegebracht, dat mooi aansluit bij het eerste: “Mensen zijn niet de zwakste schakel, maar de meest kwetsbare”. Kijk, dat is een uitspraak naar mijn hart. Je kunt het een individu niet aanrekenen dat de techniek nog onvoldoende in staat is om ons te beschermen tegen digitaal ongerief. De mens is op tweeërlei manieren kwetsbaar: enerzijds is hij – net als beveiligingssoftware – niet in staat om feilloos het kaf van het koren te scheiden, en anderzijds is het diezelfde mens die uiteindelijk het slachtoffer zal zijn. Want ook al gaat het in eerste instantie misschien om het hacken van een computer, uiteindelijk gaat het toch om de bestanden van of over mensen. Zelfs als het om bedrijfsspionage gaat, worden mensen geraakt, namelijk de mensen van wie de gestolen geheimen zijn.

Mensen zijn dus kwetsbaar, en veel beter wordt het niet, als je de beide citaten combineert. Ik weiger dit te accepteren, want afgezien van de totaalweigeraars kunnen we door voorlichting en overtuiging toch echt nog het nodige bereiken, dwars door alle generaties heen. Gewoon allemaal flink ons best doen.

 

En in de grote boze buitenwereld …

• interviewde een Deense krant Edward Snowden naar aanleiding van een klokkenluidersschandaal in Denemarken. (Als je op deze site cookies afwijst, moet je ze halverwege het artikel toch accepteren om de rest te kunnen lezen.)
• kwam een twaalf jaar oude ernstige kwetsbaarheid in Linux aan het licht.
• verscheen een nieuwe test van virusscanners voor Windows-thuisgebruikers.
• plundert deze Android-malware eerst je bankrekening en zet vervolgens je toestel terug naar fabrieksinstellingen.
• hebben nabestaanden vaak grote problemen om het digitale domein van hun dierbare te betreden.
• gaat het Witte Huis voor zero trust.
• klagen vier van de Verenigde Staten Google aan voor het zonder toestemming tracken van gebruikers.
• hebben ziekenhuizen een inhaalslag te maken op het gebied van informatiebeveiliging.
• kunnen ziekenhuizen daarvoor een beroep doen op ZORRO.
• bepleit de Autoriteit Persoonsgegevens het afschermen van persoonsgegevens in het Kadaster en het Handelsregister.
• koopt een bedrijf zero-days in mailprogramma’s op.
• stapt het laatste faxbolwerk over op beveiligde e-mail.

 

Dag van de Privacy

 

Weet jij nog wat je deed op 28 januari 1981 (als je toen überhaupt al bestond)? Ik zat toen op het atheneum en had er geen flauw benul van dat op deze grijze woensdag het Europese Dataprotectieverdrag (het Verdrag van Straatsburg) werd ondertekend. Zo oud is privacy dus al. Sinds 2007 vieren we op die datum de Europese Dag van de Privacy. Deze blog schrijf ik in aanloop naar die dag.

Als we de geschiedenis van de privacy snel vooruitspoelen, dan komen we onvermijdelijk uit in 2018, het geboortejaar van de Algemene Verordening Gegevensbescherming (AVG, of GDPR voor anglofielen). Voor de meesten van ons zal dat het startpunt zijn van de bewuste, in de wet geborgde aanwezigheid van het fenomeen privacy – al hadden we in Nederland natuurlijk al lang de Wet bescherming persoonsgegevens (2001).

De AVG geeft de Europese burger wereldwijd vergaande rechten. Een kleine drie jaar geleden schreef ik over een Grieks autoverhuurbedrijf, dat ik had verzocht om mijn gegevens te verwijderen. Ze hadden daar een keurig formulier voor en ik gaf Griekenland toen een 8 voor AVG-kunde. Na ontvangst van het beloofde mailtje over het daadwerkelijk verwijderen van mijn gegevens zouden ze een 9 krijgen. Zo ver is het echter nooit gekomen – waarschijnlijk hadden ze mijn e-mailadres ook weggegooid.

Voor jou als burger is de AVG vaak een zegen, maar voor jou als medewerker kan de AVG het je soms knap lastig maken. Je kunt niet meer zomaar handige Excel-lijstjes maken waar persoonsgegevens in voorkomen. Let wel: er staat niet: “je kunt niet”, er staat: “je kunt niet zomaar”. Er kan namelijk best veel onder de AVG, zolang dat maar zorgvuldig en binnen de regels gebeurt. Gooi een veelbelovend idee dus niet bij voorbaat overboord, maar bespreek het met je datacoördinator. En als je voor je werk bepaalde gegevens nodig hebt maar je krijgt ze niet, want tja, de AVG hè, geef dan niet meteen op. Soms wordt de AVG helaas als smoes gebruikt om iets niet te hoeven doen.

Privacy is dus best een ingewikkeld onderwerp, maar zoals bij zoveel dingen kom je ook hier een heel eind door je gezonde verstand te gebruiken. Daarbij is het handig om te weten wat zoal persoonsgegevens zijn en dat daar ook sommige gegevens onder vallen die jijzelf misschien niet direct tot een persoon kunt herleiden, zoals het kenteken van een auto of het ip-adres van een computer. Het gaat erom dat een gegeven tot een persoon kán worden herleid, door mensen die over de juiste gereedschappen beschikken. Als ik als burger een BSN zie, dan weet ik niet over wie het gaat en is er niet direct een privacy-issue. Maar er zijn mensen, zoals belastingambtenaren, die een BSN wél aan een persoon kunnen koppelen. Net zoals een kenteken mij niets zegt maar een garagehouder met toegang tot RDW-gegevens wel kan achterhalen wiens auto het is.

Er zijn nog steeds mensen die beweren dat ze niks te verbergen hebben en dat al die ophef over privacy wat hen betreft niet zo hoeft. Die mensen geef ik een uitspraak in overweging van Edward Snowden, de man die ons de ogen heeft geopend over grootschalig overheidstoezicht: “Arguing that you don't care about the right to privacy because you have nothing to hide is no different than saying you don't care about free speech because you have nothing to say” (als je zegt dat het recht op privacy je niks kan schelen omdat je niks te verbergen hebt, is dat hetzelfde als zeggen dat het recht op vrije meningsuiting je niks kan schelen omdat je niks te zeggen hebt). Voor wie het even wat minder filosofisch wil, heb ik dit filmpje in de aanbieding. En om je aan het denken te zetten over wat je zelf allemaal aan privacygevoelige informatie op straat gooit, is dit filmpje een aanrader.

 

En in de grote boze buitenwereld …

• wordt privacy aangevoerd als argument in de strijd om de ja/nee-sticker.
• lees je in de reacties op bijgaand artikel veel argwaan over het idee van de EU om een eigen DNS-dienst op te zetten.
• lekt de Safari-browser gegevens over internetactiviteit en gebruikersidentiteit.
• heeft ook Chrome een lek.
• konden Zoom-gesprekken worden afgeluisterd.
• kraakten criminelen een handelsplatform voor cryptovaluta en maakten daarbij vele miljoenen buit.
• filosofeert de internetjurist over wie er opdraait voor de schade aan de onderzeese kabel van Tonga.
• is voor criminelen kennelijk niets meer heilig.
• heeft de politie een dienstverlener van cybercriminelen uit de lucht gehaald.
• hebben de Russen toch een keer een hackergroep opgepakt.
• is er nieuwe UEFI-malware aangetroffen op een moederbord.

 

Geeltje

Een paar weken geleden kwam mijn vrouw thuis van het tuincentrum. Ze had niet alleen de nodige kerstattributen bij zich, maar ook een foto waarvan ze dacht dat ik daar misschien wel iets mee kon. Na tien jaar is deze blog niet alleen een deel van mijzelf geworden, maar leeft mijn hele gezin mee. Vandaag is mijn vrouw jarig en dat maakt het extra leuk om haar foto vandaag te gebruiken. Van harte schat!

Informatiebeveiligers praten vaak over het spreekwoordelijke geeltje waarop een wachtwoord staat. Nou, zo spreekwoordelijk is dat papiertje dus helemaal niet. Bij dat tuincentrum hebben ze niet begrepen wat de bedoeling van een wachtwoord is en zo te zien vinden ze het lastig. Mocht u deze blog toevallig lezen, meneer Kleinbussink (algemeen directeur), doe er dan uw voordeel mee.

Op een kaartjesautomaat op het station zit geen wachtwoord, want daar moet iedereen gebruik van kunnen maken. Maar als een systeem wordt beschermd met een wachtwoord, dan is het kennelijk niet de bedoeling dat onbevoegden er gebruik van kunnen maken; de eigenaar van het systeem wil iets beschermen. Als medewerkers dat niet begrijpen, bijvoorbeeld omdat niemand het ze heeft uitgelegd, dan kun je hen niet kwalijk nemen dat ze niet aan informatiebeveiliging denken.

De foto legt meerdere fouten bloot. Ten eerste natuurlijk dat briefje zelf, dat daar zo pontificaal in beeld hangt – had het dan onder het toetsenbord geplakt. Dat er letterlijk op staat dat het om het wachtwoord gaat (“ww”) maakt het ook niet sterker. En over sterk gesproken: Kerst2021 is bepaald geen sterk wachtwoord, omdat het zo voor de hand ligt (ik kan niet wachten op de volgende kerstperiode, waarin we vast weer spullen uit het tuincentrum nodig hebben…). Verder impliceert het briefje dat iedereen gebruikmaakt van hetzelfde account. Afhankelijk van wat je daarmee kunt, hoeft dat geen probleem te zijn. Maar als je er bijvoorbeeld bestellingen mee kunt doen of ermee kunt mailen, dan hecht je er als bedrijf misschien toch belang aan dat je kunt achterhalen wie er op een bepaald moment achter de knoppen heeft gezeten.

Ik moet wel een slag om de arm houden, want ik ben niet bekend met de dynamiek van winkels in het algemeen en tuincentra in het bijzonder. Misschien hoeft er helemaal niets te worden beschermd, misschien biedt het account waar dit wachtwoord bij hoort geen toegang tot niet-openbare functies of gegevens. En misschien werkt het in zo’n winkel gewoon niet als iedereen steeds met zijn eigen account moet in- en uitloggen. Maar zelfs dan: hoe moeilijk kan het zijn om alle medewerkers een wachtwoord uit het hoofd te laten leren – zeker als het zo’n makkelijk wachtwoord is?

Dan wordt het nu tijd om de hand in eigen boezem te steken. Ik heb waarschijnlijk geen collega’s die wachtwoorden etaleren zoals op de foto te zien is. Maar ik heb wél collega’s die wachtwoorden noteren op plekken waar ze niet thuishoren. En dan gaat het heus niet om wachtwoorden van persoonlijke accounts – nee, het gaat bijvoorbeeld om de wachtwoorden van niet-persoonlijke accounts die in de testomgeving worden gebruikt. Het is handig als iedereen binnen een team die gemakkelijk kan opzoeken. De toegang is echter vaak niet beperkt tot teamleden. Bovendien zijn het vaak tranentrekkend slechte wachtwoorden. Terwijl je dergelijke accounts ook gemakkelijk in een password manager kunt onderbrengen en het wachtwoord daarvan alleen deelt met de belanghebbenden. En eens in de zoveel tijd wijzig je dat wachtwoord (en dan bedoel ik niet van xxx2021 in xxx2022), want er verlaat wel eens iemand het team nietwaar.

Binnenkort gaan we actie hiertegen ondernemen. Als lezer van deze blog heb je een voorsprong: breng de boel nú op orde zodat jouw team straks groen scoort. En tegen mijn soortgenoten bij andere organisaties zeg ik: ga er maar niet van uit dat dit bij jou niet voorkomt. Zoekt en gij zult vinden. En als je iets hebt gevonden, leg dan uit waarom dat zo niet kan, want als je collega’s het begrijpen, dan zijn ze eerder geneigd om te veranderen. Misschien wordt het dan toch nog een vrolijke Kerst2022.

 

En in de grote boze buitenwereld …

• heeft de politie 2.500 Nederlanders gewaarschuwd dat hun e-mailadressen en wachtwoorden zijn uitgelekt.
• baart het eventuele gebruik van de verdwijnfunctie voor Signal-chats door bestuurders zorgen.
• wordt de chat-app Telegram misschien geblokkeerd in Duitsland.
• mogen de kwetsbaarhedenspeurneuzen van het Nederlandse DIVD een mooie donatie van een Amerikaans securitybedrijf op hun bankrekening tegemoet zien.
• lees je hier meer achtergronden over DIVD (achter betaalmuur).
• liggen de gegevens van de gamers onder ons mogelijk op straat.
• hackt Noord-Korea zijn harde valuta bij elkaar.
• neigt het kabinet bij een cyberaanval eerder naar sancties dan naar een tegenaanval.
• kon een jeugdige hacker zich op afstand toegang verschaffen tot diverse Tesla’s.
• valt er geld te verdienen met het hacken van Tesla’s.
• moesten Amerikaanse gedetineerden in de cel blijven vanwege een ransomware-aanval op hun accommodatie.
• stapte een hotelketen door een ransomware-aanval versneld en radicaal over van Windows op CloudReady (Chrome OS) van Google.
• oordeelde de Oostenrijkse privacytoezichthouder dat het gebruik van Google Analytics in strijd is met de AVG.
• wordt het gebruik van Google Analytics hierdoor mogelijk verboden in Nederland.
• mag een bedrijf niet zomaar foto’s van medewerkers online zetten.
• vergoedt de bank geen geld dat je zelf naar een oplichter overmaakt.
• is online identificatie bij een bank nog niet zo gemakkelijk - voor beide partijen.
• kun je het 2G-netwerk op je mobieltje het beste uitschakelen (als dat op jouw toestel mogelijk is).

 

Thuiswerken

 

Lezersvraag: we werken massaal thuis, maar hoe doen we dat veilig? Mocht je nu denken: “Goh, da’s ook lekker op tijd!”, dan kan ik je geruststellen. Enerzijds besteden we natuurlijk al sinds het begin van de pandemie aandacht aan veilig thuiswerken, anderzijds juich ik het toe als collega’s zich – wanneer dan ook – even achter het oor krabben en zich een dergelijke vraag stellen. Bovendien gebruik ik graag de kracht van de herhaling en ga ik dus met plezier in op deze vraag.

Het belangrijkste punt uit ons beveiligingsbeleid is: je verricht je werkzaamheden op zakelijke apparatuur. Bestanden “naar huis mailen” en er vervolgens op je privécomputer mee aan de slag gaan is bij ons simpelweg verboden. En ook niet nodig: je hebt een moderne laptop en je kunt de kosten voor bijvoorbeeld een fatsoenlijk beeldscherm of een toetsenbord declareren. Heb je dergelijke apparatuur al aan je privécomputer hangen en wil je geen dubbele spullen? Koop dan voor een paar tientjes een KVM-switch (Keyboard/Video/Mouse), waarmee je twee computers verbindt met één setje randapparatuur (muis, toetsenbord en beeldscherm) en gemakkelijk tussen beide computers kunt schakelen.

Er is één uitzondering op het bovenstaande: videovergaderen mag wél op privé-apparatuur. Sterker nog, dat mag juist niet op je zakelijke laptop, omdat dan alle videovergaderingen via dezelfde internetverbinding naar buiten zouden gaan en dat zou een te grote belasting voor ons netwerk kunnen zijn. Door op mobiele of privé-apparaten te vergaderen, wordt de benodigde capaciteit uitgesmeerd over de internetproviders van de deelnemers. Maar let op: als je een presentatie moet geven of anderszins informatie wilt delen, dan mag je dat natuurlijk niet naar je privémail sturen. Daarvoor mag je sinds een poosje wél je zakelijke laptop gebruiken.

Een vaak gehoorde vraag is: is mijn wifi wel veilig genoeg voor het werk? Het misschien wat verrassende antwoord luidt: dat doet er niet toe. De verbinding tussen je laptop en de systemen op kantoor is namelijk beveiligd met een VPN, een Virtual Private Network. Alles, wat over de lijn gaat, is versleuteld. Ook al heb je een slecht beveiligd wifinetwerk (of heb je geen flauw idee hoe veilig je wifi is), dat maakt voor het werk niet uit. Overigens is het voor jezelf, voor je privégebruik, wel aan te raden om je daar wat in de verdiepen. Volg op z’n minst de aanbevelingen van je provider op. Daarnaast zou ik de wachtwoorden van het modem en het wifinetwerk wijzigen, zodat je zeker weet dat er geen standaard (fabrieks)wachtwoorden worden gebruikt, die een hacker gemakkelijk zou kunnen achterhalen. Verzin de nieuwe wachtwoorden bij voorkeur niet zelf maar laat ze genereren door een password manager, waar je ze ook veilig in opslaat. Maak ze lekker lang, minimaal twaalf tekens, twintig is beter – je hoeft ze toch niet vaak in te typen.

Veel modems hebben drie wifinetwerken: twee verschillende frequenties voor je eigen netwerk (2,4 GHz, 5 GHz) en een gastennetwerk. Let erop dat je alle wachtwoorden aanpast, en dat het gastennetwerk een ander wachtwoord krijgt dan de andere netwerken. Geef je bezoekers alleen toegang tot het gastennetwerk; dat is gescheiden van je gewone netwerk en dan weet je zeker dat je gasten geen toegang hebben tot jouw gegevens. Let er ook op dat je kinderen alleen het wachtwoord van het gastennetwerk aan vriendjes geven. Dat wachtwoord zou ik, met het oog op het gebruiksgemak, wat simpeler houden.

Zorg ervoor dat huisgenoten en bezoekers geen zicht hebben op vertrouwelijke informatie. Een snelle manier om je werkplek te vergrendelen als je even weg bent is de toetscombinatie Windows-L (de Windows-toets vind je links op je toetsenbord, naast de alt-toets; de L staat voor lock, als in: je werkplek locken).

Thuiswerken betekent niet per se dat je thuis bent als je werkt – je kunt dat in principe overal doen. Ook dan is al het bovenstaande waar. Let er dan wel nog beter dan thuis op dat onbevoegden geen zicht hebben op je scherm. Ga bijvoorbeeld met je rug naar de muur zitten, zodat niemand van achteren kan meekijken. En als je op stap gaat en je laptop meeneemt, wil je dan asjeblieft geen briefje met het wachtwoord in je laptoptas stoppen?

 

En in de grote boze buitenwereld …

• kan een datalek ook gewoon op papier.
• mogen Zwitserse soldaten alleen nog de Zwitserse chat-app Threema gebruiken.
• duikt 22 jaar na de millenniumbug opnieuw een datumprobleem op.
• verdwijnt malware op mobiele apparaten doorgaans als je het toestel uitzet, maar nu hebben onderzoekers een truc ontdekt om dit te omzeilen.
• moeten eigenaren van een NAS van QNAP aan de slag om hun systeem te beveiligen.
• hebben je Android-apps misschien wel meer permissies dan je denkt.
• illustreert deze bekendmaking van de New Yorkse openbaar aanklager waarom het een slecht idee is om hetzelfde wachtwoord voor meerdere accounts te gebruiken.
• bepleit de Fraudehelpdesk het aanzetten van tweefactorauthenticatie in WhatsApp.
• laat deze test zien dat niet alle virusscanners afdoende beschermen tegen ransomware.