 |
| Afbeelding via Pixabay |
“Oh, ik dacht dat daar een wachtwoord op zat.” Dat was de reactie van
een collega die erop werd gewezen dat zijn team niet alleen informatie op een
bedenkelijke plek had staan, maar dat die informatie bovendien niet was
afgeschermd. En dat terwijl er best wel interessante dingen te lezen waren.
Die bedenkelijke plek was een clouddienst. En het lijkt erop dat een
privé-account voor die dienst is gebruikt. Van dit alles zakt mijn broek af tot
op mijn gebroken klomp. Laat me uitleggen waarom ik mij zo uitgekleed voel.
Om te beginnen het gebruik van die clouddienst. Mag ik er dan echt niet
van uitgaan dat onze ICT’ers weten dat nog steeds geldt: geen cloud, tenzij? En
dat dat ‘tenzij’ nogal beperkt is? Ja, er is verandering op komst, en een
clouddienst kan erg handig zijn, maar dat betekent nog lang niet dat je op
eigen houtje de cloud in mag.
“Ach, hebben we deze dienst niet ingekocht? Geen probleem, we gebruiken
mijn privé-account!” Serieus? Kan niet waar zijn, denk ik dan, maar
belangrijker: waarom is die gedachte niet opgekomen bij iemand in dat team?
Waarom is degene, die dit idee opperde, niet onmiddellijk en verontwaardigd tot
de orde geroepen? Ik zal het nog eens zo plat mogelijk uitleggen: voor je werk
gebruik je de spullen van de baas (op wat specifieke uitzonderingen na). Als de
baas iets niet in het assortiment heeft, dan kun je vragen of het kan worden
gekocht, maar je brengt niks mee van thuis.
En dan stond daar ook nog eens informatie die het daglicht niet kan
verdragen. Geen businessinformatie gelukkig, maar wel zaken waar bepaalde
lieden wel raad mee weten, ten koste van onze informatiebeveiliging.
Maar de zure kers bovenop de geschifte slagroom van dit misbaksel was
toch wel die reactie van: “Oh, ik dacht dat daar een wachtwoord op zat.” Zoiets
moet je niet dénken, zoiets moet je wéten. Beveiligen gaat niet vanzelf,
mensen. Je moet er wel wat aan doen. Niet alleen in foute situaties, zoals
hierboven, maar ook in normale situaties. Beveiliging is gemakkelijker als je
denkt. Daar staat dus ‘als’, niet ‘dan’.
Er zijn mensen die hun huis niet op slot doen als ze even een boodschap
gaan doen. Die nemen de benaming ‘nachtslot’ letterlijk. Als je een slecht slot
hebt, dan zijn inbrekers na 1 tot 2,5 minuten al binnen. Dat kan dus makkelijk
overdag. Een goed slot (drie SKG-sterren) verlengt deze tijd tot 3 à 5 minuten
en dat is kennelijk lang genoeg om boeven af te schrikken. Maar ook al sluit je de deur niet af, je trekt
haar in ieder geval achter je dicht. En als je twijfelt of je dat hebt gedaan,
dan keer je om en ga je kijken. In de digitale wereld gebruiken we onder andere
wachtwoorden om onze digitale inboedel te beschermen. Als je niet zeker weet of
je de toegang tot een systeem hebt beschermd, dan ga je kijken. Je denkt niet:
zal wel.
Herken je jezelf in dit verhaal? Dat betekent nog niet dat dit verhaal
daadwerkelijk over jou gaat. Het is al eerder voorgekomen dat iemand dacht dat
de Security (b)log over hem ging, terwijl ik mij op een ander (maar wel vrijwel
identiek) geval baseerde. Bovendien is dit een blog, waarin ik de vrijheid kan
nemen om verhalen aan te dikken, te romantiseren of zelfs helemaal uit mijn
duim te zuigen – al doe ik dat laatste zelden.
Wie de schoen past, trekke hem aan.
En in de grote boze buitenwereld …
- zijn wachtwoord van de helft van onze ministers gemakkelijk online te vinden.
- reageert de verantwoordelijke staatssecretaris daarop met de verplichting tot het regelmatig wijzigen van wachtwoorden (hetgeen juist contraproductief werkt).
- overhandigt Amazon videobeelden van Ring-deurbellen zonder toestemming van de eigenaar aan de politie (in ieder geval in de VS).
- wordt doxing strafbaar als dit wetsvoorstel erdoor komt.
- krijg je een seintje van de iKCheck!-app als iemand jouw rijbewijs controleert bij de RDW.
- wordt geïnvesteerd in de cybersecurity van het onderwijs.
- komt er ook geld voor het vergroten van de cyberweerbaarheid van bedrijven en organisaties.
- is Mantis het tot nu toe krachtigste botnet.
- komt Mozilla in actie tegen QWAC’s.
- waarschuwt de Nederlandse overheid voor het gebruik van openbare wifi-netwerken.
- geeft de Australische overheid tips voor het gebruik van social media en chat-apps.
- doen cybercriminelen zich voor als securitybedrijf.
Geen opmerkingen:
Een reactie posten