Zuivere koffie?

 

Afbeelding via Pixabay

“Jij bent toch degene die altijd die blogs over security schrijft?”, vroeg een collega die bij onze lunchtafel kwam staan. “Ik heb advies nodig van een security officer.” “Je boft,” antwoordde ik met een weids armgebaar, “hier zit een hele tafel vol security officers!”

Eerder die dag had ik al een mailtje van iemand anders ontvangen over dezelfde kwestie. Beide collega’s hadden mail ontvangen: er was een enquête over de koffie op kantoor. Graag voor het einde van de week in te vullen, en onder de eerste vijfhonderd deelnemers werden vijftig koffiepakketten verloot. Klik op deze link! Als je dat deed, kwam je op een pagina waar je je user-id en wachtwoord moest invullen. Daarna ging je door naar de enquête. Pas daarna beseften ze dat dit waarschijnlijk geen zuivere koffie was.

Omdat ik er hier over schrijf, snapte je waarschijnlijk al ergens halverwege de vorige alinea dat dit een typisch gevalletje phishing was. Het bijzondere van deze phish was echter dat we hem allemáál in onze mailbox hadden: het was een test in opdracht van het ministerie.

Veel organisaties sturen phishingtests naar hun medewerkers, enerzijds om te testen hoe alert de mensen zijn, anderzijds om hen bewust te maken van de gevaren die op ons loeren. Ze kunnen maar beter in zo’n test trappen dan in een echte phishingmail, is de onderliggende gedachte. En dan maar hopen dat ze er de volgende keer, bij een echte aanval, niet in trappen.

Even wat feitjes over deze test. De mail ging, verdeeld over twee dagen, naar zo’n dertigduizend medewerkers. Daarvan hebben er nogal wat op de link geklikt en een aardig aantal heeft vervolgens ook nog z’n wachtwoord ingevuld. Al met al zijn dat heel wat mensen, en als een echte aanvaller het op login-gegevens gemunt had, dan had hij dus flink wat wachtwoorden geoogst. Maar als dit een echte aanval was geweest, dan had er helemaal niemand geklikt – de aanval zou door onze technische maatregelen afgevangen zijn. Bijvoorbeeld omdat zoveel binnenkomende mailtjes vanuit één adres verdacht zijn. Of omdat de link waarop je moest klikken naar een niet-vertrouwd domein wees. Voor deze test werden bewust poortjes opengezet die normaliter potdicht zitten.

Wat had een crimineel met zo’n vette vangst kunnen doen? Nou, in beginsel helemaal niks! Onze beveiliging kent verschillende lagen en dit voorbeeld illustreert mooi waarom dat nodig is. Dat is overigens geen reden om welke laag dan ook te laten verslappen. Waakzaamheid blijft dus belangrijk.

Zo’n test is nog best ingewikkeld. Ik hoorde bijvoorbeeld dat het wat overredingskracht had gekost om de ingevulde wachtwoorden niet op te laten slaan. Sommigen zagen dat als buitenkans om ook meteen te onderzoeken hoeveel medewerkers zwakke wachtwoorden gebruiken. Dat het opslaan van al die wachtwoorden een bedreiging voor onze veiligheid zou kunnen zijn, werd even over het hoofd gezien. Verder moest ervoor worden gezorgd dat de privacy van medewerkers gewaarborgd blijft; het ingehuurde bureau zal alleen op afdelingsniveau rapporteren, en die afdelingen zijn ook nog eens geanonimiseerd.

Aan het einde van de tweede actiedag is via het intranet onthuld dat het om een test ging. Op dit moment staan er 69 reacties onder dat artikel en tot mijn verbazing is daar niet één boze reactie bij. Sterker nog, men is enthousiast – termen als leuk, eye-opener en top-actie zijn gebruikt. Mensen, die erin tuinden, komen daar eerlijk voor uit, en ik vind het mooi dat dit in onze organisatie gewoon kan. Er was ook iemand die het jammer vond dat zijn manager het team had gewaarschuwd, waardoor hij nu niet weet of hij erin getrapt zou zijn. Maar wat mij betreft hulde aan deze manager, die begrepen heeft dat security verder gaat dan zijn eigen laptop.

Al tien jaar lang is oktober de Europese cybersecuritymaand. In die maand vragen we extra aandacht voor dit belangrijke onderwerp. Dat doen we met allerlei interne activiteiten, maar ook daarbuiten vinden allerlei initiatieven plaats. De Security (b)logs zijn deze maand afgestemd op het interne programma.

 

En in de grote boze buitenwereld …

• moet je even je WhatsApp-app updaten. Nu.
• heeft Oekraïne een IT Army, met een Nederlandse kolonel.
• wilde een Amerikaanse vakgenoot geheime documenten aan het buitenland verkopen, maar dat pakte anders uit.
• kun je malware zelfs in het Windows-logo verstoppen.
• heeft de gemeente Buren het onderzoeksrapport over de bij hen uitgevoerde hackaanval vrijgegeven.
• zaten Zwitserse politieagenten opgesloten in hun eigen slimme auto.
• geven parkeerapps veel informatie vrij over hun gebruikers.
• kan je spellingchecker informatie lekken.
• zijn politieke partijen bang voor datalekken door het delen van informatie over cyberdreigingen.
• zijn sommige komma’s erg duur.
• hoor je je software alleen van bekende, betrouwbare bronnen te downloaden.
• heeft de overheid straks ook een leuke baan voor je als je geen diploma hebt.
• wil de staatssecretaris de BIO wettelijk verplicht stellen.
• kampt de IRS met hetzelfde probleem als de Nederlandse Belastingdienst: smishing.
• gaan twee Belastingdienstmedewerkers de gevangenis in voor het doorverkopen van kentekeninformatie.

 

Wet is wet

 

Afbeelding via Pixabay

“Carprof en AA-team maakt gebruik van de AVG (Algemene Verordening Gegevens-bescherming)”, stond in de brief van de garage. Ik schoot in de lach toen ik dit las. “Maakt gebruik van”.

Ze zullen het wel niet zo bedoeld hebben, maar ze hebben het wat ongelukkig opgeschreven. Net als alle wetgeving is ook de privacywetgeving geen snoepwinkel waar je alleen de snoepjes die jij het lekkerst vindt in de zak gooit. Evenmin kun je de AVG links laten liggen, of inruilen voor bijvoorbeeld de privacywet van Guatemala (een zuiver willekeurig voorbeeld).   

Het bijzondere van de AVG is dat het geen nationale wet is – zoals haar voorganger, de Wet bescherming persoonsgegevens (Wbp), dat wel was – maar een Europese (excuses als de aanduiding ‘wet’ theoretisch-juridisch niet klopt, maar het gaat erom dat het regels zijn waaraan je je moet houden en zo niet kun je straf krijgen).

Ik heb het hier al eens gehad over een Griekse autoverhuurder die snapte dat ik mijn gegevens na afloop van de huurperiode verwijderd wilde hebben én daar een formulier voor had. En dit jaar viel mij op dat ze er zelfs in Italiaanse hotels niet raar van opkeken dat ik niet onze paspoorten inleverde, maar slechts kopieën ervan. In Italië moet je altijd in een register worden ingeschreven en dat doen ze aan de hotelreceptie eigenlijk nooit à la minute – en dus willen ze je paspoort een tijdje houden.

Dit jaar namen ze dus genoegen met een kopie. Ik had voor de zekerheid een heel stapeltje kopieën meegenomen, maar ik kreeg alles weer netjes terug en had dus kunnen volstaan met één setje. Op die kopieën had ik onze BSN’s onleesbaar gemaakt (staat in de onderste tekstregels) en over de foto’s de tekst ‘Copy’ geschreven. Overigens viel mij op dat in de gloednieuwe paspoorten van de kinderen het BSN niet meer op de voorkant van de fotopagina staat. Dat is een goede aanpassing, die helemaal in lijn is met het AVG-uitgangspunt van dataminimalisatie: niet méér data opnemen dan nodig is voor het beoogde doel.

Wat wilde dat garagebedrijf me nou eigenlijk vertellen met dat wat ongelukkige zinnetje? Dat ze gegevens van mij hebben en dat ze daar netjes – conform de wet – mee omgaan. En dat ze er dus geen gekke dingen mee doen, zoals doorverkopen aan een advertentiebedrijf. Dat ze me zélf af en toe een foldertje toesturen, is inherent aan de zakelijke relatie die ik met ze heb (denk ik).

Qua reclame is er trouwens wel iets geks aan de hand. Ik heb mijn auto vijf jaar geleden gekocht bij de plaatselijke Mitsubishi-dealer. Dat bedrijf is sinds een paar jaar geen officiële Mitsubishi-dealer meer; ze werken nu onder het label Carprof. Een paar honderd meter verderop woont de nieuwe officiële Mitsubishi-dealer. En die stuurt mij ook post, waarin hij het type, kenteken en bouwjaar van mijn auto vermeldt, compleet met het bedrag dat hij voor die auto overheeft als ik bij hem een nieuwe koop. Terwijl ik nog nooit bij dat bedrijf over de vloer ben geweest. Kennelijk kan een automerk mijn gegevens opvragen puur omdat ik een auto van dat merk heb.

Autobedrijven lijken die gegevens te koesteren en (dus?) niet op te schonen. Ik ontving nog jarenlang post van Peugeot, mijn vorige automerk. Totdat ik ze vroeg om daarmee te stoppen. Ook dat is een verworvenheid van de AVG: als je daarom vraagt, dan moet een bedrijf jouw gegevens weggooien. En nee, dat gaat niet op als je nog lopende verplichtingen aan dat bedrijf hebt.

Een bedrijf kan er niet voor kiezen om gebruik te maken van de AVG; ze hebben er gewoon aan te voldoen. Jij als particulier kunt wél gebruikmaken van de AVG. Door je rechten te kennen en ze toe te passen. Bijvoorbeeld door inzage te eisen in welke gegevens een bedrijf over jou heeft, foute gegevens te laten corrigeren en gegevens te laten verwijderen. Dat laatste wordt ook wel haast poëtisch aangeduid met ‘het recht om vergeten te worden’. Maar als je houdt van al die aandacht, dan mag je dat gerust zo laten. Niemand die je dwingt om gebruik te maken van de AVG.

 

En in de grote boze buitenwereld …

• vinden ze het gelukkig ook buiten Europa niet zo’n goed idee om oude harddisks door zomaar een bedrijf te laten afvoeren.
• kosten spoofing en vriend-in-noodfraude ons veel geld.
• kost phishing gelukkig soms ook de crimineel geld.
• zijn deze beide professoren fel tegen het gebruik van de public cloud door de Nederlandse overheid.
• zien we steeds vaker voorbeelden van supply chain attacks.
• is het misschien toch niet zo’n goed idee om je zwembad aan het internet te hangen.
• lekte American Airlines klant- en medewerkersgegevens na een geslaagde phishing-aanval.
• moet je altijd goed opletten waar je de komma plaatst.
• verhuist een bedrijf soms vanwege nieuwe wetgeving in een land.
• waarschuwt Windows 11 als je je wachtwoord in een onveilig bestand wilt opslaan.
• is multifactorauthenticatie een belangrijke maatregel, maar geen waterdichte.

 

Security officers

 

Afbeelding via Pixabay

Op mijn lijstje met onderwerpen van de blog staat onder andere deze zin: “Er bestaan ook business security officers”. Achter dit zinnetje gaat de constatering schuil dat veel collega’s dit niet weten. Hoogste tijd dus om eens uit de doeken te doen welke soorten informatiebeveiligers we zoal hebben en wat hun rol is.

Laat ik maar bij mezelf en mijn soortgenoten bij de IV-organisatie (Informatievoorziening) beginnen. Niet omdat wij zo vreselijk belangrijk zijn, maar omdat ik het zo het beste kan uitleggen. Je kunt mij vele etiketjes opplakken: mijn officiële functie is het nietszeggende stafadviseur, ik noem mezelf meestal adviseur informatiebeveiliging en de titel information security officer past mij ook wel. Maar wat doen wij eigenlijk? We zijn eindverantwoordelijk voor de informatiebeveiliging van alles wat de IV-organisatie voortbrengt (applicaties en technische infrastructuur, zoals netwerken, servers en werkplekken). De crux zit ‘m daarbij in het voorvoegsel ‘eind’. De verantwoordelijk voor elk afzonderlijk product ligt namelijk gewoon in de lijnorganisatie – team, afdeling, onderdeel, ofwel: teammanager, afdelingshoofd, directeur. Als informatiebeveiligers helpen we de lijn bij het waarmaken van hun verantwoordelijkheid; we staan hen bij met advies, we helpen met risicoanalyses en bij het vaststellen of ze aan wet- en regelgeving voldoen (met name de Baseline Informatiebeveiliging Overheid, de BIO) en we reageren op meldingen van het type: “Hier gebeurt iets waar je eens naar zou moeten kijken”.

Vanuit onze eindverantwoordelijkheid hebben we ook een mening over van alles en nog wat. Als we constateren dat iets niet is zoals het zou moeten zijn, dan vinden we daar iets van. En dat is niet vrijblijvend. Maar we treden met deze pet op niet alleen corrigerend op, maar ook regelgevend. We schrijven en implementeren beveiligingsstandaarden voor de IV-organisatie, die invulling geven aan het geldende beleid. Dat proberen we zodanig te doen dat er ook echt mee kan worden gewerkt; daarvoor zoeken we afstemming met de mensen die er uiteindelijk mee te maken krijgen.

Dan de business security officers, de BSO’s, waar het allemaal om is begonnen. Zij zitten bij de verschillende organisatieonderdelen en zien erop toe het beveiligingsbeleid ook dáár wordt geïmplementeerd en nageleefd. De BSO’s gaan over integrale beveiliging, dus naast informatiebeveiliging bemoeien ze zich ook met fysieke beveiliging. Een medewerker uit zo’n organisatieonderdeel, die iets ziet dat hij onder de aandacht van ‘beveiliging’ wil brengen, kan bij z’n eigen BSO aankloppen. Alleen: veel mensen weten helemaal niet dat die BSO’s bestaan. Ze gaan dan op het intranet of in de interne telefoongids op zoek naar iemand die ze aan z’n jasje kunnen trekken en dan komen ze niet zelden uit bij ons team. Of ze komen rechtstreeks bij mij persoonlijk uit, want tja, als blogger steek je nu eenmaal net iets meer boven het maaiveld uit. Dat is niet erg hoor – ik heb liever een melding, die niet direct op de juiste plek landt, dan géén melding. Maar het zou natuurlijk een goede zaak zijn als de BSO’s ook wat meer naamsbekendheid zouden krijgen. [In de interne versie van deze blog staat hier een link naar een lijst van BSO’s.]

En dan hebben we nog de CSO en de CISO, respectievelijk chief security officer en chief information security officer. De eerste gaat over integrale beveiliging, de tweede specifiek over informatiebeveiliging. Zij maken het beveiligingsbeleid voor de hele organisatie (gebaseerd op ‘hoger’ beleid) en ondersteunen de organisatie bij het implementeren en naleven van beleid, kaders en richtlijnen. Dit is overigens nog maar de korte versie van de functiebeschrijvingen.

De boodschap van dit verhaal: wil je iets kwijt op het gebied van beveiliging, zoek het dan in eerste instantie dicht bij huis, bij je eigen BSO. Kom je er toch niet uit, dan zijn mijn collega’s en ik natuurlijk altijd bereid om je een duwtje in de juiste richting te geven. En als BSO’s advies nodig hebben vanuit IV, dan staan we uiteraard ook klaar.

 

En in de grote boze buitenwereld …

• wordt schaduw-ICT een steeds groter probleem voor organisaties.
• steelt deze phishing-pagina “van” de Griekse belastingdienst je wachtwoord zodra je het intikt.
• nemen ransomware-bendes in de VS vooral ziekenhuizen op de korrel.
• eist de Europese Commissie beter beschermde smartphones en deurbellen.
• mag je – juridisch gezien – je oude, kwetsbare router gewoon blijven gebruiken (maar slim is het niet).
• dwingen Aziatische mensensmokkelaars hun ‘klanten’ om cyberscams te plegen.
• misleidt de Amerikaanse Douane reizigers door te doen alsof je verplicht bent om je telefoon te ontgrendelen voor onderzoek.

 

Blauwe helmen en hoge poortjes

 

Afbeelding via Pixabay

Het was zonnig, heet en dinsdag twee uur. Een langwerpig gebouw braakte honderden mannen met blauwe helmen uit. Plaats van handeling: de haven van de Italiaanse stad Ancona. En de blauwgehelmde mannen waren havenarbeiders, die klaar waren met werken. Ze spoedden zich te voet, op scooters, met busjes en met auto’s naar huis – het toeristische gezin, dat op weg was naar de triomfboog van keizer Trajanus, straal negerend.

Enkele weken later was het weer zonnig, warm en dinsdag. Eindelijk was er weer eens een zakelijke afspraak buiten de deur. Heerlijk om na zo’n lange tijd ergens anders over de vloer te komen, al moest ik daar wel een reis van twee uur met het OV voor overhebben. Maar gelukkig kun je in de trein redelijk goed werken. Je zou daar bijvoorbeeld een blog kunnen schrijven.

Om het kantoor van mijn gastheer stond een stevig hekwerk. Geen wonder, want het was het type organisatie waarvan iedereen snapt dat onbevoegden geweerd moeten worden. Ik was daar al eerder geweest, waardoor ik wist dat je, als voetganger, via een tourniquet (zo’n hoog draaihek waar je niet langs over overheen kunt) tot het terrein wordt toegelaten nadat je je bij de portier hebt gemeld. Deze keer was er iets vreemds aan de hand: de grote poort naast de voetgangersingang bleef openstaan, nadat een auto het terrein had verlaten. Ik had dus zo door kunnen lopen. Maar ja, netjes opgevoed en zo, dus ik ging toch maar bij dat tourniquet staan. De portier zei dat ik naar binnen mocht. Alleen: er was geen beweging in dat draaihek te krijgen. Heb het een paar keer geprobeerd, echt waar. Om uiteindelijk dan toch maar door die uitnodigende grote poort te glippen. Voor zover ik kan nagaan, heeft dat tot nu toe nog geen nadelige gevolgen voor mij gehad.

Eenmaal binnen bij de receptie kreeg ik vlot een pasje, ik was immers aangemeld. Ik voegde me bij andere wachtenden van hetzelfde overleg; we mochten niet zelfstandig met ons pasje door de poortjes, we moesten opgehaald worden door onze gastheer. Iemand uit ons gezelschap merkte op dat er iets opmerkelijks gebeurde als een medewerker zijn pasje aanbood bij de draaideur. Zijn naam verscheen op een display: “Goedemiddag, Maarten Appel!” We hadden het er even over of dat wel een goed idee is. De eigenaar van het pasje weet doorgaans zelf wel hoe hij heet, maar iemand die in die ruimte zit te wachten, zou de naam kunnen lezen. Hij weet dan: meneer A heeft een pasje voor organisatie B.

Nou en, zul je misschien zeggen. Of, moderner: boeie! Maar laat me je even meenemen in een spannend scenario, waarin iemand (bijvoorbeeld een boef of een spion) heel graag ergens naar binnen wil. In zo’n bastion kom je niet zomaar binnen, dat beseft hij ook wel. Hij heeft er ook niet zoveel aan om simpelweg een pasje te stelen, want medewerkers moeten, behalve hun pasje, ook nog hun vingerafdruk aanbieden bij de draaideur. En die kun je niet stelen – ho ho, niet zo snel. Vingerafdrukken kun je wél stelen. Maar daar komt wel wat bij kijken. De meesten van ons hoeven echt niet bang te zijn dat iemand onze vingerafdrukken verzamelt, er een afdruk van maakt en die vervolgens gebruikt om onze telefoon te ontgrendelen. Nee, als je rekening moet houden met dit soort aanvallen, dat zit je echt wel in domein van de georganiseerde criminaliteit en statelijke actoren (spionnen!) – twee werelden die, qua mogelijkheden waarover ze beschikken, steeds dichter bij elkaar komen.

Een boef van een maatje kleiner kan wel proberen om allerlei puzzelstukjes te verzamelen. Als hij weet dat ene Maarten Appel* daar werkt, dan kan hij proberen meer te weten te komen over deze persoon. Dat is niet zo moeilijk – de meesten van ons zijn een open boek op internet en social media. Die informatie kan handig van pas komen als je iemand wilt afpersen of bedreigen. Als de crimineel de puzzel compleet heeft, kan hij toeslaan. Bijvoorbeeld door onze Maarten ertoe te bewegen hen toegang tot het gebouw te verschaffen, of informatie aan te leveren. Ik doe zelf allesbehalve verkrampt over mijn identiteit, maar als mijn naam onnodig op een beeldscherm verschijnt, dan vind ik dat toch minder prettig. Mensen, die gezien hun positie eerder ‘in aanmerking’ komen voor een ‘speciale behandeling’, moeten hun gedrag en hun digitale presentie daarop aanpassen, om zo zichzelf en hun omgeving te beschermen. En dat is bepaald niet gemakkelijk.

Die havenarbeiders moesten ook door een poortje. In het gebouw, waaruit zij tevoorschijn kwamen, stonden er vele naast elkaar. De havenautoriteiten zullen graag willen weten wie wanneer op het haventerrein aanwezig is. Handig in geval van calamiteiten en andere onregelmatigheden. En zo heeft iedere werkgever weer z’n eigen overwegingen om bepaalde beveiligingsmaatregelen al dan niet in te voeren.

*) De naam Maarten Appel is aan mijn fantasie ontsproten.

 

En in de grote boze buitenwereld …

• kun je vingerafdrukken dus inderdaad stelen.
• is de credential stuffing attack de reden waarom je niet overal hetzelfde wachtwoord moet gebruiken.
• gaat de Nederlandse overheid een aantal cybersecurityorganisaties samenvoegen.
• is Instagram beboet wegens het onvoldoende beschermen van de gegevens van kinderen.
• dreigt de term white hat bounty te devalueren.
• leidde corona ertoe dat veel meer mensen online gingen gamen, en dat is ook criminelen opgevallen.
• is TikTok al dan niet gehackt.
• is deze moderne vorm van malware-preventie gemakkelijk te omzeilen.
• kan de nieuwe iPhone 14 je leven reden (althans, in Noord-Amerika).
• kan BitLocker ook tegen je gebruikt worden.
• weet ook Facebook niet waar jouw gegevens overal zijn opgeslagen.

De bellende broekzak

 

Afbeelding via Unsplash

Verkoudheid, files en broekzakgesprekken zijn van die eeuwenoude ergernissen (als in: ze bestonden al in de vorige eeuw) waar de wetenschap maar geen goede oplossingen voor weet te vinden. Ik kom daarop omdat onze zoon, die momenteel de intreeweek van de Universiteit van Amsterdam ondergaat en ‘dus’ niet al te vroeg naar bed gaat, ons in de vorige nacht om 2.48 uur per ongeluk wakker belde. Een typisch broekzakgesprek dus.

Het enige wat we hoorden was hevig geroezemoes uit de een of andere Amsterdamse uitgaansgelegenheid, en de volgende ochtend kregen we daar, via Snapchat, ook de beelden bij geleverd. Voor de zekerheid riepen we nog een paar keer zijn naam in de telefoon, uiteraard zonder reactie. Ach ja, ik word liever zo uit bed gebeld dan dat er echt iets aan de hand is. De schade bleef nu beperkt tot wat hartkloppingen aan onze kant van de verbinding en nog een tijdje wakker liggen omdat ik in gedachten al de contouren van deze blog aan het schetsen was.

Broekzakgesprekken komen tot stand als een telefoon onbedoeld wordt geactiveerd door druk of beweging in de broekzak. Soms leidt een combinatie van toevallige ‘indrukken’ tot een telefoonverbinding. Een andere keer leidt het gewoon tot een scherm dat aangaat en onnodig stroom verbruikt. M’n zoon kan erover meepraten: als hij naar z’n gebruiksstatistieken kijkt, ziet hij enorm veel schermtijd. Het verbaast me dus niks dat we juist door zíjn broekzak werden gebeld.

Nou hoorden wij in dit geval slechts uitgaansgeluiden, maar wat als je telefoon per ongeluk uitbelt terwijl je in een vertrouwelijk overleg zit, of een privégesprek hebt dat verder niemand iets aangaat? Als dat in een verder rustige ruimte plaatsvindt, dan is zo’n gesprek aan de andere kant best wel te volgen. Dat kan pijnlijke situaties opleveren, en misschien kan zelfs vertrouwelijke informatie (zakelijk dan wel privé) uitlekken. Ik ken overleggen waarbij de telefoons verplicht helemaal moeten worden uitgeschakeld.

Wat kun je nog meer doen tegen bellende broekzakken? Flip phones (die toestellen die je dichtvouwt) zijn er immuun tegen. Verder zijn er voor Android apps die om een extra bevestiging vragen voordat er daadwerkelijk wordt gebeld. Niet echt handig lijkt me, want als je echt wilt bellen moet je steeds een extra hobbel nemen en bovendien kan je broekzak die laatste actie ook nog wel doen. Je treft dergelijke apps dan ook niet aan in de top-zoveel. Gelukkig is er een heel gemakkelijke manier om broekzakbellen te voorkomen: vergrendel je telefoon voordat je ‘m in je broekzak stopt. Je weet wel, gewoon even kort op de uit-knop drukken, zodat het scherm inactief wordt. Je telefoon is sowieso al beveiligd met een pincode, vingerafdruk, gezichtsscan of desnoods een swipe-patroon (toch?). De meeste broekzakken zullen er niet in slagen om de telefoon te ontgrendelen.

Broekzakken lijken graag naar 112 te bellen en houden zo de alarmcentrale onnodig bezet. In het extreme doorgetrokken zou dat kunnen betekenen dat een ander gesprek, waarbij elke seconde telt, daardoor te laat binnenkomt. Broekzakgesprekken kunnen levens kosten.

Er zijn meer manieren waarop je geheel onbedoeld informatie kunt lekken. Bijvoorbeeld doordat iemand over je schouder meekijkt naar je scherm, het zogenaamde shoulder surfing. Als je in de trein lekker wilt werken op de laptop maar niet wilt dat iemand kan meekijken, dan moet je óf in een hoekje gaan zitten, óf een privacyscherm voor je beeldscherm plaatsen. Zo’n scherm is een polarisatiefilter, dat het licht slechts in één richting doorlaat, waardoor je alleen iets ziet als je er recht voor zit.

Een bekende analoge wijze om gegevens te lekken is het verliezen of per ongeluk tonen van papieren documenten (ik bedoel u, mevrouw Ollongren). Rondslingerende briefjes met wachtwoorden vallen ook in deze categorie. Je mond voorbijpraten is een zo vanzelfsprekende manier om informatie te lekken dat ik bijna zou vergeten om ‘m te noemen.

Morgen komt zoonlief weer thuis en dan kan ik hem ermee pesten dat hij z’n telefoon niet onder controle heeft.

 

En in de grote boze buitenwereld …

• luistert je telefoon je echt niet zomaar af.
• proberen criminelen je te lokken met een energietoeslag.
• kent de Apple Mac wel degelijk antivirusmaatregelen.
• blogt het NCSC over risicominimalisatie.
• heeft een Russische cybercrimineel zich uitvoerig laten interviewen.
• moeten smartphones langer beveiligingsupdates krijgen, zegt Brussel.
• start de ANWB een digitale-wegenwacht.
• hebben veel mobiele apps te maken met een kwetsbare supply chain.
• wacht de Belastingdienst nog maar even met de invoering van het nieuwe fraudesysteem.
• doet Japan de floppy in de ban.
• wil Telegram van Duitse gebruikers horen hoe gul de chat-app moet zijn met het verstrekken van informatie aan de politie.
• was de aftapvoorziening van KPN onvoldoende beveiligd.
• mag de overheid voortaan gebruikmaken van de public cloud (maar natuurlijk niet individueel op eigen houtje).