Parkeren in de cloud

 

Eigen foto

Daar in de verte staat’ie: de auto van de collega die ons wel even zou wegbrengen. Je ziet hem door een spleet in de gesloten stalen poort van de parkeergarage van het Joegoslaviëtribunaal in Den Haag.

We spoelen even 14 uur terug. Toen ging namelijk in het World Forum de tweedaagse ONE Conference van start, waar een kleine tweeduizend informatiebeveiligers uit binnen- en buitenland zich verzamelden om zich bij te laten praten over hun vakgebied. Ook wij waren met een delegatie aanwezig en omdat we in Den Haag bleven slapen, gingen we gezellig samen naar de Chinees. Na afloop van een voortreffelijke maaltijd wilden we met tram of bus naar ons hotel, maar die ene collega, die vlakbij woont en met de auto was, wilde ons ook wel even rijden. Aangekomen bij de parkeergarage (om 22.42 uur) leek zijn auto eerst onvindbaar, maar na enige tijd zoeken – en lichte twijfels over het parkeergeheugen van onze collega – kwamen we dus bij die stalen poort en zagen we hem staan. Onbereikbaar.

De portier van het bijbehorende hotel was zo vriendelijk om met ons mee te lopen. “Ah, ik zie het al. U staat in de garage van het Tribunaal.” De garage wordt gebruikt door hotelgasten, conferentiegangers en dus ook door medewerkers van het Tribunaal. ’s Ochtends werd onze onfortuinlijke collega door een verkeersregelaar precies dat gedeelte in gewuifd. De bewuste poort stond toen gewoon open en er was geen enkele aanduiding dat dit een speciaal gedeelte van de garage was. De verkeersregelaar wist misschien niet dat de poort ’s avonds op slot zou gaan, of hij verwachtte niet dat een conferentiebezoeker nog zo laat z’n auto zou willen ophalen. Via de intercom bij de slagboom legde de portier contact met de beveiliger van het Tribunaal. Die had wel een kaart waarmee hij de poort zou kunnen openen, maar die was zoek. Uiteindelijk konden we de garage om 23.16 uur verlaten. En zo kun je dus door het bezoeken van een informatiebeveiligingsconferentie verstrikt raken in fysieke beveiligingsmaatregelen. Dit had ik zo niet kunnen bedenken. Maar ik moet het eigenlijk over de conferentie hebben.

De oorlog in Oekraïne was daar een vrij prominent onderwerp. Dit is namelijk de eerste echte oorlog die niet alleen te land, ter zee en in de lucht wordt uitgevochten, maar ook in “de cyber”, zoals dat in militaire kringen heet. Vanaf dag één ging men elkaar behalve fysiek ook digitaal te lijf, en waarschijnlijk ook al eerder. Een van de sprekers, Cristin Flynn Goodwin van Microsoft, hield ons voor dat een gevecht tegen een statelijke actor in je eigen datacenter te vergelijken is met een man-tegen-mangevecht: moeizaam en bloederig. Landen, die je digitaal aanvallen, hebben het voorzien op de ideeën en de informatie die regeringen nodig hebben om besluiten te nemen over belangrijke actuele zaken, aldus Goodwin. Daarbij hebben ze het vooral voorzien op denktanks, non-gouvernementele organisaties (NGO’s), diplomaten, beleidsadviseurs en academici.

Goodwins punt was dat je als organisatie niet in je uppie bent opgewassen tegen al dat digitale geweld. Je kunt je gegevens daarom veel beter in de cloud opslaan, waar je de bescherming geniet van een grote service provider (waarbij het mooier zou zijn geweest om niet alleen het eigen bedrijf te noemen).  Die grote cloudleveranciers beschikken over alle denkbare middelen om jouw kroonjuwelen optimaal te beschermen, is de gedachte.

Van nature wil een land zijn kroonjuwelen dichtbij, op eigen grondgebied houden. Verder schrijft de AVG voor dat persoonsgegevens van EU-burgers in Europa moeten worden opgeslagen (onder bepaalde voorwaarden mag het ook daarbuiten). Maar, zo betoogde Goodwin, dat is niet altijd verstandig. Zij vertelde dat Oekraïne belangrijke delen van zijn nationale ICT volledig buiten de eigen landsgrenzen heeft gestald. Ook andere landen moeten zich op een dergelijk scenario voorbereiden, en het ook testen. Dat klinkt best eng, maar ik kan me voorstellen dat het voor Oekraïne een kopzorg minder is. Althans, zolang de verbindingen met die verre cloud standhouden.

De Nederlandse overheid heeft sinds kort nieuw beleid ten aanzien van de public cloud. Zij switchte van “nee, tenzij” naar “ja, mits”. Mijn grootste zorg daarbij is toch de beschikbaarheid van de gegevens. Een eigen datacenter geeft je nou eenmaal een gevoel van tastbaarheid, van het tegen de borst kunnen houden van de gegevens als het spannend wordt. Maar als je erover nadenkt, slaat dat nergens op. Eén kruisraket, één ransomware-aanval en het is gedaan met je gegevens. En toch zit er een extra dimensie aan die cloud: wat als jouw land ruzie krijgt met het land van de cloudleverancier?

Als je auto op je eigen inrit staat, kun je er altijd bij. Staat hij in een parkeergarage, dan bepaalt de beheerder van die garage of je weg kunt. Zelfs externe factoren kunnen een rol spelen: jaren geleden bleek een reuzenrad op het Apeldoornse Marktplein zo zwaar te zijn dat men vreesde dat de parkeergarage onder het plein het gewicht niet zou kunnen dragen. Mensen, die hun auto daar hadden geparkeerd, konden pas weer bij hun auto toen het reuzenrad was afgebroken. Ik zie moeilijke keuzes op ons afkomen.

 

En in de grote boze buitenwereld …

• worden er druk lessen getrokken uit de oorlog in Oekraïne.
• maken cloudleveranciers natuurlijk ook fouten, getuige dit forse lek bij Microsoft.
• vindt Microsoft dat de ontdekker van dat lek schromelijk overdrijft.
• zit het Nederlandse hoger onderwijs al volop in de cloud.
• is er politieke aversie tegen Amerikaanse cloudleveranciers.
• wordt ransomware gebruikt ter voorbereiding van fysieke oorlogen.
• zijn niet alleen ambtenaren slachtoffer geworden van de ransomware-aanval op ID-ware.
• was de politie een ransomware-bende te slim af.
• lijken we een redelijk privacyminnend volkje te zijn.
• gebruikten aanvallers uitgerekend een kwetsbaarheid in een virusscanner om een andere virusscanner uit te schakelen.
• is het verschil tussen “aan” en “bcc” een datalek.
• beschuldigt Texas Google van het verzamelen van biometrische gegevens.

 

De drie biggetjes

Afbeelding via Pixabay

Er waren eens drie biggetjes, die de wijde wereld in trokken en daar elk een eigen huis bouwden. Het eerste biggetje maakte zich er gemakkelijk van af en bouwde een huis van stro. Het tweede bouwde een wat steviger houten huis, terwijl het derde zich uitsloofde en een solide stenen huis metselde.

Je kent dit sprookje waarschijnlijk wel, maar voor de volledigheid maak ik het nog even af. De grote boze wolf had trek in een karbonaadje en blies het huisje van stro omver, waarna hij de bewoner verslond. Na een tijdje had hij weer honger en belde hij aan bij het houten huis. De bewoner zag via z'n slimme deurbel wie er voor de deur stond en deed niet open. De wolf haalde heel diep adem en wist ook dit bouwsel omver te blazen. Ook biggetje nummer twee werd met huid en haar verorberd. En zoals dat in sprookjes nu eenmaal gaat, was niet lang daarna ook het derde huis aan de beurt. De bewoner, die de wolf al via z'n beveiligingscamera's had zien aankomen, deed natuurlijk niet open. Toen de wolf merkte dat hij dit stevige huis onmogelijk omver kon blazen, klom hij op het dak en liet zich door de schoorsteen naar beneden glijden. Het biggetje was zich echter bewust van deze kwetsbaarheid en had maatregelen getroffen: onderaan de schoorsteen stond een pan kokend water klaar. Wolf erin, deksel erop, en het biggetje leefde nog lang en gelukkig.

De wolf en de drie biggetjes is een Engels sprookje uit de 19e eeuw en heeft een duidelijke boodschap: wie goed z'n best doet, komt beter uit de strijd. Ik verbaas me altijd over de gruwelijkheden waarmee sprookjesschrijvers destijds kinderen bestookten, maar het zal wel de tijdgeest geweest zijn. Het sprookje gaat echter niet alleen over ijver, maar ook over bedreigingen. "Kijk uit, kinderen, er loeren allerlei gevaren op jullie! Hoe beter je je daartegen wapent, hoe groter de kans dat je er zonder kleerscheuren van afkomt."

Ik ben parttime sprookjesverteller. Niet alleen elke vrijdagochtend, als ik deze blog schrijf, maar soms ook tijdens mijn andere werkzaamheden. Net als de onbekende bedenker van bovenstaand sprookje wijs ook ik mensen op bedreigingen en laat ik ze maatregelen implementeren om risico's te verkleinen. Meestal met zakelijke taal en een technische inslag, maar soms veroorloof ik me een verhaal om iets duidelijk te maken. Een van mijn favoriete verhalen is dat van Joost Tonino, voormalig officier van justitie te Amsterdam. Mr. Tonino had zijn met een virus besmette privécomputer als grofvuil op straat gezet, maar een taxichauffeur was de vuilniswagen voor en leverde de pc af bij Peter R. de Vries. Er bleken vertrouwelijke zakelijke gegevens én kinderporno op te staan. Einde carrière als OvJ. Dit verhaal vertel ik als we het tijdens risicoanalyses hebben over het onzorgvuldig weggooien van gegevensdragers. Maar ook in andere situaties haal ik er graag een anekdote of metafoor bij om iets uit te leggen.

Gisteren mocht ik aanschuiven bij een afdelings-MT om het over de naleving van bepaalde regels te hebben. Het ging erom dat die afdeling vaak verzoeken van een andere afdeling ontvangt om iets te doen wat strijdig is met het beveiligingsbeleid. Ze willen dan een ontheffing om dat toch voor elkaar te krijgen, omdat hun systeem anders niet kan functioneren. Als we hen erop wijzen hoe het eigenlijk moet, zeggen ze soms: "Dat kan niet op ons systeem!" Als ze echter de tijd nemen om er serieus naar te kijken, dan blijkt het wel degelijk te kunnen, al moeten ze er soms een beetje moeite voor te doen. Ach, het zijn net kinderen. Die roepen ook vaak dat ze iets niet kunnen, terwijl ze het nog nooit geprobeerd hebben. En als ze het dan, na wat aansporing, toch blijken te kunnen, zijn ze daar apetrots op.

En zo proberen informatiebeveiligers constant het gedrag van mensen zodanig te beïnvloeden dat ze binnen de lijntjes blijven kleuren. Dat gebeurt langs de formele weg - beleid, standaarden, instructies - maar ik zet liever in op bewustwording. Want als ik het voor elkaar krijg dat je begrijpt waarom je iets moet doen of laten, als je snapt dat jij of de organisatie anders risico's lopen, dan zul je eerder bereid zijn om de juiste afslag te nemen.

We zitten nog midden in de cybersecuritymaand. Er zijn dus nog steeds allerlei activiteiten onder de vlag van alert online gaande. Maak er gebruik van en laat zien dat je ook actief aan je beveiligingsbewustzijn werkt.

Met dank aan Wendie voor de inspiratie.

 

En in de grote boze buitenwereld …

• schakelt de politie Frans Bauer in voor de strijd tegen vriend-in-noodfraude.
• trappen ook jongeren in phishing.
• kan een crimineel je natuurlijk ook gewoon bellen en vragen om malware te installeren.
• maken criminelen misbruik van de energiecrisis.
• is het Centrum voor Veiligheid en Digitalisering in Apeldoorn geopend.
• controleren sociale media niet of je echt meerderjarig bent.
• vormt spyware in bepaalde landen een serieus probleem voor journalisten.
• geeft deze website tien lessen over hoe fraude werkt (maar die lessen doen het niet op mijn iPad).
• is de Belastingdienst bij sommige criminelen wél populair.
• moet het kabinet daar tekst en uitleg over geven aan de Tweede Kamer.
• log je met passkeys zonder wachtwoord in op websites.

De geschiedenis van de sleutel

 

Afbeelding via Pixabay

Je fiets, je auto en je huis hebben één ding gemeen: er zit een slot op. En bij al die sloten horen sleutels. Sloten hebben een lange geschiedenis – naar het schijnt bestaan ze al meer dan zesduizend jaar. Door de eeuwen heen dienden al die sloten hetzelfde doel: binnenlaten wie naar binnen mag, de rest buitensluiten.

Er zijn ook altijd mensen geweest die tóch ergens naar binnen wilden waar ze niet naar binnen mochten. De meesten halen hun schouders op en denken “jammer dan”, maar sommigen proberen echt binnen te komen. Die mensen noemen we inbrekers. Ze hebben een heel scala aan mogelijkheden om de opgeworpen barrière te slechten, bijvoorbeeld gereedschap voor lockpicking (waarmee je cilindersloten kunt openpeuteren), de Poolse sleutel (in gebruik bij fietsendieven) en de aloude koevoet. Waarbij moet worden opgemerkt dat die laatste niet wordt gebruikt om het slot te openen, maar eromheen te werken.

En toen werd de computer uitgevonden. Al snel – in 1961 – bedacht men dat daar ook een slot op moest. Ik heb zelf nog pc’s gebruikt die een fysiek slot hadden, maar het wachtwoord is toch het meest gebruikte mechanisme. Het wachtwoord op zich was niet nieuw; reeds de oude Romeinen maakten er gebruik van, en ik herinner me van oude wildwestfilms dat iedereen, die het fort wilde betreden, bij de poort het wachtwoord moest noemen.

In die goede oude tijd hadden we één wachtwoord. Dat kon je gemakkelijk onthouden, al was het alleen maar omdat er nog geen eisen waren waaraan het moest voldoen. In de moderne tijden hebben we allemaal tientallen accounts, op het werk en privé, en de wachtwoorden daarvan moeten aan de soms meest verschrikkelijke eisen voldoen, die ook nog eens overal anders zijn. Zo kwam ik er gisteravond achter dat mijn bank wél een bijzonder karakter eist, maar dat dat geen accent circonflexe (^) mag zijn. En terwijl ik daar best een reden voor kan bedenken, vraag ik mij dan gelijk af waarom dit karakter elders wel mag worden gebruikt.

Ik heb het al eerder geschreven: wachtwoorden hebben hun langste tijd gehad. Niet alleen omdat we het beu zijn, maar vooral omdat ze (mede daardoor overigens) hun beveiligingswaarde verliezen. Ik durf wel te stellen dat iedereen, die geen password manager gebruikt, ofwel zijn wachtwoorden ergens opschrijft, ofwel zwakke wachtwoorden gebruikt (waar ik ook het gebruik van hetzelfde wachtwoord op verschillende plaatsen toe reken). Dat opschrijven hoeft overigens nog niet zo slecht te zijn, mits je het een beetje slim aanpakt. Een schrift met de titel “Al mijn wachtwoorden”, zoals negen jaar geleden op tv was te zien bij Ellen DeGeneres, is een minder goed idee. 

Biometrie is voor sommige toepassingen een mooi alternatief. Je telefoon ontgrendel je soepel met je vingerafdruk of met gezichtsherkenning. Zelfs vuurwapens worden ermee uitgerust (al is nog nooit zo’n smart gun verkocht, zegt Wikipedia). Er zijn ook robuustere – en dus duurdere – biometrische systemen die bijvoorbeeld je iris scannen, of je handpalm. Bij die laatste kan, behalve naar de vorm van je hand, ook worden gekeken naar het patroon van de aderen in de hand. Biometrie kan letterlijk diep gaan.

Een alternatief voor het inloggen bij websites is de FIDO-standaard (Fast Identity Online). Bij gebruik van FIDO registreer je je eenmalig bij een website. Vervolgens kun je er inloggen met behulp van je mobiele apparaat of je computer, waarbij je eventueel een FIDO USB-key gebruikt, die je alleen hoeft aan raken om in te kunnen loggen. Maar ondanks ronkende teksten op de website van de FIDO Alliance (“FIDO is widespread and growing fast!”), heb ik het nog nooit op een website gezien. Grote spelers als Google, Facebook en Dropbox zijn aangesloten, maar kennelijk niet voor Nederlandse gebruikers.

Veranderen is moeilijk, zo blijkt maar weer. Maar ooit zullen er mensen zijn die niet meer weten wat een wachtwoord is, net zoals er nu al miljoenen mensen rondlopen die de tijd zonder computer en smartphone niet hebben meegemaakt, of mensen die niet weten wat een floppy is. Tot die tijd: gebruik een password manager. En overal waar het kan twee/multifactorauthenticatie (2FA/MFA, ook wel tweestapsverificatie genoemd).

 

En in de grote boze buitenwereld …

• vinden veel mensen unieke wachtwoorden te veel gedoe.
• denken ook veel mensen, die zich geen zorgen maken om hun online veiligheid, dat ze hun zaakjes goed voor elkaar hebben.
• helpt deze website je om een overzicht van al je slimme apparaten te maken, en geeft ze je vervolgens tips voor het updaten ervan.
• is er ook kritiek op de kritiek op het nieuwe cloudbeleid van de overheid.
• moeten we vaker aangifte doen van cybercrime.
• vindt de Duitse overheid iPhones en iPads best wel veilig.
• doen veel kleine bedrijven niet aan security awareness.
• volgt TikTok je ook als je er zelf helemaal geen gebruik van maakt.