Checklist

 

Afbeelding via Pixabay

De vakantie staat voor de deur (en dus klimmen we momenteel door het raam het huis in en uit, haha). Het logeerbed, dat hier achter mij staat, vult zich langzaam met spullen die volgens onze uitgebreide checklist mee moeten. De auto staat blinkend gepoetst in de garage te trappelen om mee te mogen, in de wetenschap dat hij halverwege de eerste reisdag al een vuile snoet zal hebben. Maar ja, je wilt toch in een schone auto vertrekken, nietwaar.

We zijn toe aan versie 21 van onze checklist, het is dus best wel een gerijpt document. En toch is het ook heel dynamisch: we verzinnen ieder jaar wel iets wat óók mee moet, en evenzeer schrappen we items omdat we ze toch nooit nodig hebben. Het voorportaal van dat schrappen is: dit hoeft déze keer niet mee. Als dat een paar keer gebeurt, verdwijnt het item definitief van de lijst. Dat gebeurt sowieso op de lijst van de kinderen, maar zeker ook op de algemene lijst. De lijst evolueert ook mee de manier waarop we op vakantie gaan: we hadden een huisje-op-vakantiepark-fase, een stacaravan-op-camping-fase, en nu zitten we in de privéhuis-met-zwembad-fase. Iedere fase brengt deels haar eigen behoefte aan spullen met zich mee. Natuurlijk zijn er ook spullen die altijd meegaan, ongeacht hoe de vakantie eruitziet. Aan onderbroeken is nu eenmaal altijd behoefte.

Lang voordat ik de term checklist relateerde aan vakantie, wist ik al dat piloten met checklists werken. Eentje voor de start, een andere voor de landing, en nog talloze andere voor tussendoor, onder andere voor als het mis gaat. Al die checklists moeten ervoor zorgen dat piloten de juiste dingen in de juiste volgorde doen. Het staat nu eenmaal erg slordig als zo’n grote Airbus al op de grond staat en de wielen nog moeten worden uitgeklapt. Weten piloten dat dan zelf niet? Natuurlijk wel. En ze doen ook heus niet de hele vlucht alleen op basis van lijstjes. Maar het helpt wel om op de spannendste momenten, wanneer er veel moet gebeuren en dus ook veel kan misgaan, niets te missen.

Nou schuilt er in dergelijke lijstjes ook een gevaar. Zoals je vroeger op een gegeven moment wist wat het volgende liedje op het cassettebandje zou zijn (shuffle play kon niet op een sequentieel opslagmedium), zo weet je ook wel hoe zo’n checklist verder gaat. Dat kan ertoe leiden dat je op de automatische piloot gaat werken, in de veronderstelling dat je het wel weet. Overigens heb ik de cockpit inmiddels weer verlaten, want voor zover ik weet werken de piloten in passagiersvliegtuigen de checklist altijd met z’n tweeën af, hetgeen de kans op het nemen van afkortingen behoorlijk verkleint. Elders kan routine wel degelijk tot missers leiden. Als je deze blog uit hebt, moet je maar eens naar dit filmpje kijken.

Als ik naar mijn eigen werk kijk, zie ik ook wel een paar checklists. Alleen heten ze dan SOP’jes – Standard Operating Procedures. Ze hebben een iets ander karakter dan een echte checklist. Het zijn meer een soort handleidingen, zo van: als je zus wilt, dan moet je dat zo doen. Handig voor nieuwe medewerkers of voor dingen die je niet zo vaak doet, maar ook voor taken die uit veel of complexe stappen bestaan. Soms komen ICT’ers er te laat achter dat ze iets hadden moeten doen. Zo had ik vanochtend iemand aan de lijn die meldde dat ze vergeten waren om een verplichte beveiligingstest uit te voeren. Gevolg: de stekker ging uit die applicatie. Een checklist had dit kunnen voorkomen.

Zelfs voor het maken van deze blog gebruik ik een – bescheiden – checklist. Daar staat bijvoorbeeld op dat ik moet controleren of ik niet ergens “ik wordt” of zo heb getypt. Ik ken de dt-regels op mijn duimpje, maar mijn blind typende vingers hebben soms een eigen willetje. En ondanks dat op mijn lijstje staat dat ik dat moet checken, lukt het me wel eens om een blog met een dt-fout te publiceren. Op het intranet zit daar gelukkig nog een redactie tussen, maar dat geldt niet voor de externe publicatie. Gevolg: het schaamrood op de kaken. Elke checklist werkt nu eenmaal alleen als je er goed gebruik van maakt.

En nu is het weer tijd voor de vakantiechecklist!

De Security (b)log keert na de zomervakantie terug.

 

En in de grote boze buitenwereld …

• kan de cloud niet goed tegen de hitte.
• maken we ons met z’n allen best wel druk om cyberdreigingen (als iemand ernaar vraagt).
• mogen overheden straks besluiten nemen in online vergaderingen.
• ronselt de Chinese cyberspionage-industrie personeel op universiteiten om buitgemaakte documenten te vertalen.
• belicht de podcast ‘In de ban van Rian’ leven en werk van deze cybercharlatan.
• duurt de digitale oorlog van Rusland ook maar voort.
• heeft ARTIS z’n security en continuity kennelijk goed op orde.
• gaat je Windows-11-account tien minuten op slot als je te vaak een verkeerd wachtwoord invoert.
• is een Chinese gps-tracker misschien toch niet zo’n goed idee.
• sluis je informatie van een besmette air-gapped computer naar buiten met de SATA-kabel als antenne.
• krijgen rijksambtenaren een verplichte cursus digitale weerbaarheid (en iBewustzijn dan?).

 

Doe jij je huis op slot?

 

Afbeelding via Pixabay

“Oh, ik dacht dat daar een wachtwoord op zat.” Dat was de reactie van een collega die erop werd gewezen dat zijn team niet alleen informatie op een bedenkelijke plek had staan, maar dat die informatie bovendien niet was afgeschermd. En dat terwijl er best wel interessante dingen te lezen waren.

Die bedenkelijke plek was een clouddienst. En het lijkt erop dat een privé-account voor die dienst is gebruikt. Van dit alles zakt mijn broek af tot op mijn gebroken klomp. Laat me uitleggen waarom ik mij zo uitgekleed voel.

Om te beginnen het gebruik van die clouddienst. Mag ik er dan echt niet van uitgaan dat onze ICT’ers weten dat nog steeds geldt: geen cloud, tenzij? En dat dat ‘tenzij’ nogal beperkt is? Ja, er is verandering op komst, en een clouddienst kan erg handig zijn, maar dat betekent nog lang niet dat je op eigen houtje de cloud in mag.

“Ach, hebben we deze dienst niet ingekocht? Geen probleem, we gebruiken mijn privé-account!” Serieus? Kan niet waar zijn, denk ik dan, maar belangrijker: waarom is die gedachte niet opgekomen bij iemand in dat team? Waarom is degene, die dit idee opperde, niet onmiddellijk en verontwaardigd tot de orde geroepen? Ik zal het nog eens zo plat mogelijk uitleggen: voor je werk gebruik je de spullen van de baas (op wat specifieke uitzonderingen na). Als de baas iets niet in het assortiment heeft, dan kun je vragen of het kan worden gekocht, maar je brengt niks mee van thuis.

En dan stond daar ook nog eens informatie die het daglicht niet kan verdragen. Geen businessinformatie gelukkig, maar wel zaken waar bepaalde lieden wel raad mee weten, ten koste van onze informatiebeveiliging.

Maar de zure kers bovenop de geschifte slagroom van dit misbaksel was toch wel die reactie van: “Oh, ik dacht dat daar een wachtwoord op zat.” Zoiets moet je niet dénken, zoiets moet je wéten. Beveiligen gaat niet vanzelf, mensen. Je moet er wel wat aan doen. Niet alleen in foute situaties, zoals hierboven, maar ook in normale situaties. Beveiliging is gemakkelijker als je denkt. Daar staat dus ‘als’, niet  ‘dan’.

Er zijn mensen die hun huis niet op slot doen als ze even een boodschap gaan doen. Die nemen de benaming ‘nachtslot’ letterlijk. Als je een slecht slot hebt, dan zijn inbrekers na 1 tot 2,5 minuten al binnen. Dat kan dus makkelijk overdag. Een goed slot (drie SKG-sterren) verlengt deze tijd tot 3 à 5 minuten en dat is kennelijk lang genoeg om boeven af te schrikken.  Maar ook al sluit je de deur niet af, je trekt haar in ieder geval achter je dicht. En als je twijfelt of je dat hebt gedaan, dan keer je om en ga je kijken. In de digitale wereld gebruiken we onder andere wachtwoorden om onze digitale inboedel te beschermen. Als je niet zeker weet of je de toegang tot een systeem hebt beschermd, dan ga je kijken. Je denkt niet: zal wel.

Herken je jezelf in dit verhaal? Dat betekent nog niet dat dit verhaal daadwerkelijk over jou gaat. Het is al eerder voorgekomen dat iemand dacht dat de Security (b)log over hem ging, terwijl ik mij op een ander (maar wel vrijwel identiek) geval baseerde. Bovendien is dit een blog, waarin ik de vrijheid kan nemen om verhalen aan te dikken, te romantiseren of zelfs helemaal uit mijn duim te zuigen – al doe ik dat laatste zelden.

Wie de schoen past, trekke hem aan.

 

En in de grote boze buitenwereld …

• zijn wachtwoord van de helft van onze ministers gemakkelijk online te vinden.
• reageert de verantwoordelijke staatssecretaris daarop met de verplichting tot het regelmatig wijzigen van wachtwoorden (hetgeen juist contraproductief werkt).
• overhandigt Amazon videobeelden van Ring-deurbellen zonder toestemming van de eigenaar aan de politie (in ieder geval in de VS).
• wordt doxing strafbaar als dit wetsvoorstel erdoor komt.
• krijg je een seintje van de iKCheck!-app als iemand jouw rijbewijs controleert bij de RDW.
• wordt geïnvesteerd in de cybersecurity van het onderwijs.
• komt er ook geld voor het vergroten van de cyberweerbaarheid van bedrijven en organisaties.
• is Mantis het tot nu toe krachtigste botnet.
• komt Mozilla in actie tegen QWAC’s.
• waarschuwt de Nederlandse overheid voor het gebruik van openbare wifi-netwerken.
• geeft de Australische overheid tips voor het gebruik van social media en chat-apps.
• doen cybercriminelen zich voor als securitybedrijf.

 

Hoe chat jij?

Afbeelding via Pixabay

“WhatsApp en Telegram, moet ik daar wat mee?”, vroeg een collega. Mijn antwoord was zo helder als een beekje in de Alpen: “Niet zakelijk gebruiken.”

Waarom heb ik daar zo’n uitgesproken mening over? Omdat ik er onderzoek naar heb gedaan op basis van de vraag: welke apps voor instant messaging kun je vanuit beveiligings- en privacyperspectief het beste inzetten voor zakelijk gebruik, en welke kun je maar beter links laten liggen? Bij beveiliging gaat het er in wezen om of de app gebruik maakt van degelijke versleuteling, zodat niemand kan meelezen – ook niet de aanbieder van de berichtendienst zelf. Privacy draait om het vertrouwen dat je mag hebben in de manier waarop de aanbieder omgaat met gebruikers- en verkeersgegevens. Dat laatste gaat over wie wanneer met wie contact heeft en dergelijke.

Het is ook interessant om naar het verdienmodel te kijken. Een oud gezegde luidt: als iets gratis is, dan ben jij het product. Met andere woorden: je betaalt dan door je gegevens, zoals naam, e-mailadres en geboortedatum af te staan, die de aanbieder bijvoorbeeld kan doorverkopen aan reclamebedrijven.

De inhoud van je berichten is veilig bij WhatsApp. Ze worden betrouwbaar versleuteld en de sleutels zitten alleen op het toestel van de gebruiker, waardoor WhatsApp zelf niet kan meelezen en ze opsporings- en inlichtingendiensten niet verder kunnen helpen als die erom vragen. Maar WhatsApp laat wel steken vallen op het gebied van de privacy. De app komt uit de stal van Meta, het advertentiebedrijf waar onder andere ook Facebook deel van uitmaakt. Het is algemeen bekend dat Meta zijn geld verdient door jouw gegevens handig te gebruiken (daarom noem ik het ook een advertentiebedrijf). Als je dat – als particulier of als organisatie – geen fris idee vindt, dan moet je WhatsApp niet gebruiken.

Dan Telegram. Die app is van Russische oorsprong, al woont het bedrijf daar niet meer. Ze verhuizen steeds als de ICT-regelgeving in het land van vestiging hen niet aanstaat. Momenteel zitten ze in Dubai, al is het bedrijf juridisch gevestigd in de VS en het VK. Het verdienmodel is vaag: de oprichter zegt er zijn eigen spaargeld in te hebben gestoken, en daarna is geld opgehaald bij diverse investeerders. Een belangrijker punt van kritiek heeft betrekking op de beveiliging: die staat standaard uit, en als je ‘m aanzet, dat maak je gebruik van een door Telegram zelf ontwikkeld cryptografisch protocol, waar de meeste informatiebeveiligers hun neus voor ophalen, omdat het niet door de gemeenschap kan worden getoetst. Bovendien kan Telegram over de sleutel beschikken waarmee berichten worden versleuteld, en kan het bedrijf berichten lezen of anderen laten meelezen. Groeps-chats kunnen al helemaal niet versleuteld worden.

Ben je geschrokken? Gelukkig zijn er ook chat-apps beschikbaar die een kritische blik redelijk goed kunnen weerstaan. Binnen de gehele rijksoverheid kunnen we chatten met Webex, dat we ook gebruiken om online te vergaderen. Deze app van het Amerikaanse bedrijf Cisco wordt voor ons gehost in Amsterdam, hetgeen privacy-technisch goed uitkomt. De privacy- en beveiligingsaspecten zijn uitvoerig onderzocht en goed bevonden.

Kijk je naar de publiek beschikbare chat-apps, dan zijn er twee die positief opvallen: Threema en Signal. Het Zwitserse Threema laat zich voorstaan op de mogelijkheid om anoniem te blijven en het naleven van de AVG, en ook met de versleuteling van het berichtenverkeer zit het helemaal goed. Aan dat alles hangt wel een prijskaartje: van eenmalig enkele euro’s voor consumenten tot een maandelijkse bijdrage per toestel voor bedrijfslicenties. En dat maakt Signal interessant: dat is ‘gewoon’ gratis en toch niet commercieel, omdat de app wordt gefinancierd met donaties. Vooraanstaande cryptografen en privacyvoorvechters geven de voorkeur aan Signal, en dat geeft mij het vertrouwen dat zowel de berichtenbeveiliging als de privacy dik in orde zijn.

Een poosje geleden zag ik een teammanager wit wegtrekken toen ik hem vroeg of zijn team Telegram gebruikt (ik had zoiets opgevangen). Hij was oprecht geschrokken toen hij besefte dat dat niet zo’n goede keus was. Zijn team is daarna snel overgestapt op Signal. Ook veel andere teams hebben de overstap al gemaakt.  Wie volgt?

 

En in de grote boze buitenwereld …

• beschikt je iPhone straks over extreme mogelijkheden om je tegen zeer gerichte aanvallen te beschermen.
• heeft de Oekraïense politie een bende opgepakt die zich voordeed als de EU.
• vormen ransomware en statelijke actoren de belangrijkste digitale dreigingen voor Nederland.
• liggen politiegegevens van een miljard Chinezen op straat doordat een ambtenaar per ongeluk zijn wachtwoord in een blog vermeldde en een crimineel dat zag.
• voeren criminelen online sollicitatiegesprekken met behulp van deepfake-technologie.
• heeft de gemeente Buren het rapport over de malware-aanval op de gemeente vrijgegeven voor publicatie.
• boekt de Universiteit Maastricht drie ton winst bij dankzij de spraakmakende ransomware-aanval uit 2019.
•  spreekt Mikko Hypponen over de cyberoorlog in Oekraïne.
• wil de Tweede Kamer dat het kabinet end-to-end versleuteling blijft steunen.
• gaat het kabinet de cyberweerbaarheid van het mkb verhogen.
• schrapt de Douane het BSN uit het EORI-nummer.
• heeft het NIST vier kwantumbestendige cryptografische algoritmes gekozen.

 

Zo doen wij dat

 

Het Mediapark in Hilversum is voor mij geen voor de hand liggende werklocatie. En toch ging ik daar vorige week vrijdag, nota bene op de elfde verjaardag van de Security (b)log, aan de slag. Ondanks de locatie kwam daar geen camera aan te pas, zelfs geen microfoon. Ik trad dan ook niet op voor de vaderlandse radio- en tv-industrie, maar voor een groep studenten van Make IT Work, een omscholingstraject van de Hogeschool van Amsterdam.

De eerste zin die ik over deze opleiding lees op hun website luidt: “Een Security Specialist is verantwoordelijk voor de operationele aspecten van de informatiebeveiliging.” En toch stond ik daar om een gastcollege over risicoanalyse te geven. Op het eerste oog lijkt dat onderwerp niet te passen bij operationele aspecten, maar toen ik werd benaderd voor dit gastcollege en we het onderwerp bespraken, kwamen we toch hierop uit. Later, bij de bespreking van mijn concept, kreeg ik nog de suggestie om bepaalde, wat meer theoretische stukken achterwege te laten, “want deze studenten zijn doeners”. Ik toog dus met gemengde gevoelens naar Hilversum; ik had een goed verhaal op zak, maar zou het bij deze groep ook aanslaan?

Zoals je in een omscholingstraject mag verwachten, was het publiek van zeer diverse pluimage. Iemand die in de offshore had gewerkt, en iemand die rechten had gestudeerd maar daar nooit iets mee had gedaan bijvoorbeeld. Maar ze zaten stuk voor stuk op het puntje van hun stoel en ze stelden vragen die duidelijk maakten dat dit onderwerp een schot in de roos was. Sterker nog, ik heb zelden voor een groep gestaan die zó geïnteresseerd en gemotiveerd was. Daar word ik zelf ook enthousiast van, en dat schijn ik dan ook uit te stralen – het heeft ons een paar jaar geleden al eens een nieuwe teamgenote opgeleverd.

Mijn verhaal ging dus over risicoanalyses, maar het begon met de BIO – de Baseline Informatiebeveiliging Overheid. Want dát is voor mij de formele reden om me met risicoanalyses bezig te houden; in de BIO staat simpelweg dat het moet. Het organisatieonderdeel waar ik een paar jaar geleden werkte, ons datacenter, besefte destijds ook zonder die verplichting al dat risicoanalyses belangrijk en nuttig zijn, en het MT besloot dan ook dat alle geleverde diensten een risicoanalyse moesten ondergaan. Zo’n besluit is ontzettend belangrijk – nu hoef ik niet bij een team aan te kloppen en te vragen of ik asjeblieft een risicoanalyse mag komen doen, maar ze vragen mij of ik bij deze exercitie kan komen helpen. Zo is de lijn niet alleen verantwoordelijk, zoals dat zo mooi heet, maar ook in de lead. Tegenwoordig werk ik voor de CTO van onze ICT-organisatie, de Chief Technology Officer. Maar het faciliteren van risicoanalyses is gelijk gebleven.

Terug naar mijn studenten. Dat ik ze eerst met de nodige theorie over de BIO en de risicoanalyse bestookte was onvermijdelijk, maar daarna doken we de praktijk in: we gingen daadwerkelijk een stukje risicoanalyse uitvoeren, net zoals ik dat op kantoor zou doen. Een van hun docenten had me verteld dat de groep enthousiast was over het DigiNotar-debacle uit 2011 (in het kort: DigiNotar was een uitgever van digitale certificaten, werd gehackt en verzweeg dat; lees maar verder op Wikipedia). Het onderwerp van onze risicoanalyse werd dan ook: certificatenbeheer. We behandelden enkele dreigingen uit de lijst van de risicoanalyse en bespraken wat die zouden betekenen als de studenten verantwoordelijk zouden zijn voor het certificatenbeheer. Het leverde hen een paar mooie eye-openers op, maar vooral inzicht in wat zo’n risicoanalyse nou eigenlijk behelst.

De organisatie had twee uur ingepland voor mijn gastcollege. Toen ik vlak voor het einde vroeg of uitloop mogelijk was, zag ik gretig knikkende hoofden. Uiteindelijk heb ik daar ruim drie uur gestaan. Achteraf vertelden de studenten me wat mijn verhaal uniek maakte: ik was de eerste gastdocent die vertelde én liet zien hoe wij ons werk in het echt doen. Ik moest terugdenken aan de opmerking dat deze studenten doeners zijn. Dat had ik geïnterpreteerd als een soort niveau-aanduiding, maar nu weet ik dat deze mensen veel meer in hun mars hebben dan het uitvoeren van operationele taken. ‘Doeners’ betekent hier dan ook: mensen die weten hoe ze complexe zaken met behulp van de juiste hulpmiddelen moeten aanpakken. Precies waar een hogeschool voor staat.

 

En in de grote boze buitenwereld …

• trekt de politie samen met het bedrijfsleven ten strijde tegen het misbruik van inloggegevens.
• leidt een ransomware-aanval op een maaltijddienst mogelijk tot honger bij ouderen.
• is ook ARTIS getroffen door ransomware.
• valt deze nieuwe, geavanceerde malware routers in Europa en Noord-Amerika aan.
• ervaren de inlichtingendiensten de Toetsingscommissie Inzet Bevoegdheden als hinderlijk.
• verzamelde een databedrijf jarenlang illegaal medische dossiers.
• moeten straks meer sectoren verplicht melding maken van cyberincidenten.
• moeten organisaties beter omgaan met opensourcecomponenten.
• betekent het gebruik van Amerikaanse clouddiensten niet automatisch een privacyschending.
• trapte een vijfde van de geteste mkb-medewerkers in een phishingmail.
• gebruiken nog steeds veel mensen hetzelfde wachtwoord op meerdere plekken.
• worden etenswaren in de strijd gegooid om te achterhalen of pakketjes onderweg geopend zijn.