Zuivere koffie?

 

Afbeelding via Pixabay

“Jij bent toch degene die altijd die blogs over security schrijft?”, vroeg een collega die bij onze lunchtafel kwam staan. “Ik heb advies nodig van een security officer.” “Je boft,” antwoordde ik met een weids armgebaar, “hier zit een hele tafel vol security officers!”

Eerder die dag had ik al een mailtje van iemand anders ontvangen over dezelfde kwestie. Beide collega’s hadden mail ontvangen: er was een enquête over de koffie op kantoor. Graag voor het einde van de week in te vullen, en onder de eerste vijfhonderd deelnemers werden vijftig koffiepakketten verloot. Klik op deze link! Als je dat deed, kwam je op een pagina waar je je user-id en wachtwoord moest invullen. Daarna ging je door naar de enquête. Pas daarna beseften ze dat dit waarschijnlijk geen zuivere koffie was.

Omdat ik er hier over schrijf, snapte je waarschijnlijk al ergens halverwege de vorige alinea dat dit een typisch gevalletje phishing was. Het bijzondere van deze phish was echter dat we hem allemáál in onze mailbox hadden: het was een test in opdracht van het ministerie.

Veel organisaties sturen phishingtests naar hun medewerkers, enerzijds om te testen hoe alert de mensen zijn, anderzijds om hen bewust te maken van de gevaren die op ons loeren. Ze kunnen maar beter in zo’n test trappen dan in een echte phishingmail, is de onderliggende gedachte. En dan maar hopen dat ze er de volgende keer, bij een echte aanval, niet in trappen.

Even wat feitjes over deze test. De mail ging, verdeeld over twee dagen, naar zo’n dertigduizend medewerkers. Daarvan hebben er nogal wat op de link geklikt en een aardig aantal heeft vervolgens ook nog z’n wachtwoord ingevuld. Al met al zijn dat heel wat mensen, en als een echte aanvaller het op login-gegevens gemunt had, dan had hij dus flink wat wachtwoorden geoogst. Maar als dit een echte aanval was geweest, dan had er helemaal niemand geklikt – de aanval zou door onze technische maatregelen afgevangen zijn. Bijvoorbeeld omdat zoveel binnenkomende mailtjes vanuit één adres verdacht zijn. Of omdat de link waarop je moest klikken naar een niet-vertrouwd domein wees. Voor deze test werden bewust poortjes opengezet die normaliter potdicht zitten.

Wat had een crimineel met zo’n vette vangst kunnen doen? Nou, in beginsel helemaal niks! Onze beveiliging kent verschillende lagen en dit voorbeeld illustreert mooi waarom dat nodig is. Dat is overigens geen reden om welke laag dan ook te laten verslappen. Waakzaamheid blijft dus belangrijk.

Zo’n test is nog best ingewikkeld. Ik hoorde bijvoorbeeld dat het wat overredingskracht had gekost om de ingevulde wachtwoorden niet op te laten slaan. Sommigen zagen dat als buitenkans om ook meteen te onderzoeken hoeveel medewerkers zwakke wachtwoorden gebruiken. Dat het opslaan van al die wachtwoorden een bedreiging voor onze veiligheid zou kunnen zijn, werd even over het hoofd gezien. Verder moest ervoor worden gezorgd dat de privacy van medewerkers gewaarborgd blijft; het ingehuurde bureau zal alleen op afdelingsniveau rapporteren, en die afdelingen zijn ook nog eens geanonimiseerd.

Aan het einde van de tweede actiedag is via het intranet onthuld dat het om een test ging. Op dit moment staan er 69 reacties onder dat artikel en tot mijn verbazing is daar niet één boze reactie bij. Sterker nog, men is enthousiast – termen als leuk, eye-opener en top-actie zijn gebruikt. Mensen, die erin tuinden, komen daar eerlijk voor uit, en ik vind het mooi dat dit in onze organisatie gewoon kan. Er was ook iemand die het jammer vond dat zijn manager het team had gewaarschuwd, waardoor hij nu niet weet of hij erin getrapt zou zijn. Maar wat mij betreft hulde aan deze manager, die begrepen heeft dat security verder gaat dan zijn eigen laptop.

Al tien jaar lang is oktober de Europese cybersecuritymaand. In die maand vragen we extra aandacht voor dit belangrijke onderwerp. Dat doen we met allerlei interne activiteiten, maar ook daarbuiten vinden allerlei initiatieven plaats. De Security (b)logs zijn deze maand afgestemd op het interne programma.

 

En in de grote boze buitenwereld …

• moet je even je WhatsApp-app updaten. Nu.
• heeft Oekraïne een IT Army, met een Nederlandse kolonel.
• wilde een Amerikaanse vakgenoot geheime documenten aan het buitenland verkopen, maar dat pakte anders uit.
• kun je malware zelfs in het Windows-logo verstoppen.
• heeft de gemeente Buren het onderzoeksrapport over de bij hen uitgevoerde hackaanval vrijgegeven.
• zaten Zwitserse politieagenten opgesloten in hun eigen slimme auto.
• geven parkeerapps veel informatie vrij over hun gebruikers.
• kan je spellingchecker informatie lekken.
• zijn politieke partijen bang voor datalekken door het delen van informatie over cyberdreigingen.
• zijn sommige komma’s erg duur.
• hoor je je software alleen van bekende, betrouwbare bronnen te downloaden.
• heeft de overheid straks ook een leuke baan voor je als je geen diploma hebt.
• wil de staatssecretaris de BIO wettelijk verplicht stellen.
• kampt de IRS met hetzelfde probleem als de Nederlandse Belastingdienst: smishing.
• gaan twee Belastingdienstmedewerkers de gevangenis in voor het doorverkopen van kentekeninformatie.