Beste manager

 

Afbeelding van auteur

Beste manager, ik heb klachten over u ontvangen. U zou signalen over het niet naleven van beveiligingsvoorschriften wegwuiven, of een redenering verzinnen waarmee het lijkt alsof er wél aan die voorschriften wordt voldaan. Omdat ik mensen graag help bij het waarmaken van hun verantwoordelijk-heden, moesten we het daar maar eens samen over hebben.

U bent niet één specifieke manager en u werkt ook niet bij een specifiek onderdeel van onze grote organisatie. Ook het niveau doet er niet toe: dit verschijnsel kan zich overal in de organisatie op team-, afdelings- en directieniveau voordoen. Sterker nog, ik ben ervan overtuigd dat u zich ook buiten mijn eigen organisatie bevindt. Vandaar ook dat ik netjes ‘u’ zeg (bij ons tutoyeren we van laag tot hoog). En verder: wie de schoen past, trekke hem aan.

Het meest misbruikte woord in de informatiebeveiliging is weer eens gevallen: eigenlijk. De manager die de klachten van een medewerker aanhoort en dan zegt dat die “eigenlijk” wel gelijk heeft, maar dat hij er ook niks aan kan doen, of dat het nu eenmaal zo gaat (“als het niet kan zoals het moet, dan moet het maar zoals het kan”). Er zijn ongetwijfeld ook managers die zeggen dat zij over die afwijking mogen beslissen, omdat ze nu eenmaal manager zijn. Ja, managers zijn er inderdaad om beslissingen te nemen, maar niet álle managers mogen over álle zaken beslissen. En soms gaat iemand op dit moeilijke onderwerp zijn boekje te buiten, mogelijk zonder het zelf in de gaten te hebben. Sta er even bij stil of een bepaald besluit wel binnen uw mandaat past.

Maar de klachten, die mij ter ore komen, zijn helemaal niet zo moeilijk. Die gaan bijvoorbeeld over sleutelkastjes waarvan de sleutel bovenop het kastje ligt, of waarvan de code op een geeltje staat, ergens binnen een straal van een meter van dat kastje. Een fysieke sleutel is inderdaad lastig als je die met meerdere mensen moet delen, maar de code van nummerslot kan iedereen gemakkelijk vastleggen in (verrassing!) zijn password manager. Ik ben geen voorstander van het verplicht wijzigen van wachtwoorden na een bepaalde termijn, maar codes van fysieke sloten moet je juist wel regelmatig aanpassen, omdat afgesleten toetsen anders de code verraden.

Onze interne mail biedt de mogelijkheid om gevoelige berichten te versleutelen. Eén gemakkelijk te plaatsen vinkje zorgt ervoor dat het mailtje en eventuele bijlagen uitsluitend door de geadresseerde(n) kan worden ingezien; gemachtigden zien slechts een wit scherm. Denk eens aan deze optie bij het versturen van bijvoorbeeld persoonsgegevens van klanten of medewerkers, en bedenk daarbij dat de AVG een best wel strenge wet is. Deze tip is natuurlijk voor iedereen, maar van managers verwacht ik dat zij dit uitdragen.

Soms is het handig om in een uitnodiging voor een overleg ook meteen de relevante documenten op te nemen. Geen probleem, zolang die documenten maar geen vertrouwelijke gegevens bevatten. Omdat je agenda toegankelijk is voor alle collega’s, kunnen die ook allemaal de bijlagen lezen. En dan is het erg slordig als een afspraak voor een personeelsgesprek een beoordelingsformulier bevat. Stop vertrouwelijke informatie dus niet in de uitnodiging, maar stuur een separaat mailtje. In de uitnodiging kun je dan iets opnemen als “zie mijn mailtje van 16-12-2022 09:56”.

Je ziet het, vaak zit het ‘m in de kleine dingen waar je als manager best iets mee kunt, zonder grootste daden te hoeven verrichten. Als managers laten zien dat ze beveiliging serieus nemen, dan heeft dat ook effect op hun medewerkers. Neemt de manager het minder serieus, dan zal ook menige medewerker zijn schouders ophalen.

Laten we de managers helpen. Ben je bijvoorbeeld business security officer of datacoördinator (een aan de AVG gelinkte rol) en zie je dat iets niet goed gaat? Spreek het management er dan op aan. Zoek het desnoods hogerop en zorg dat je met een goed onderbouwd verhaal komt. Kortom: neem je taken serieus en zorg ervoor dat het management dat ook doet.

Van onze eigen manager kregen we een kerstbal (bedankt, Ton). Een onbreekbare, zei hij er expliciet bij. Net zo onbreekbaar moeten we ons opstellen bij het naleven van beveiligingsregels – en dat is iets anders dan star. Een andere teammanager bracht een op een conferentie gekregen kerstbal voor mij mee uit het buitenland (bedankt, Robin). Kijk, managers die zelfs ver buiten hun werk nog aan beveiliging denken, die moeten we hebben.

De Security (b)log keert na de kerstvakantie terug.

 

En in de grote boze buitenwereld …

• hebben politiediensten in onder andere Nederland, Duitsland en de VS vijftig DDoS-for-hire-diensten uit de lucht gehaald.
• moet je ook op Mastodon aan je beveiliging denken.
• zijn slecht gebouwde IoT-apparaten het asbest van het internet.
• heeft tachtig procent van de Nederlands zo’n slim apparaat in huis.
• kunnen Europese Microsoft-klanten er straks voor kiezen om hun gegevens alleen in Europa op te slaan.
• kunnen webwinkels beboet worden voor nepreviews.
• blinkt Nederland uit in cyberdiplomatie.
• heeft het NCSC de factsheet Open source security uitgebracht.
• heeft de AIVD weer de jaarlijkse kerstpuzzels gepubliceerd. Succes…

 

Linke vinkjes

 

Afbeelding via Pixabay

Het was koud, donker en nat toen ik gisteren voor zevenen het huis verliet om naar Amsterdam af te reizen. Op weg naar een congres dat al om negen uur begon en pas om half zes zou sluiten. Ik overwoog om wat eerder weg te gaan, vooral ook omdat het laatste onderdeel een paneldiscussie was, wat ik zelden interessant vind. Gelukkig deed ik het niet.

In het panel zaten informatiebeveiligers uit de bank- en verzekeringswereld. De gespreksleider stelde zijn eerste vraag: “Wat zien jullie als de grootste bedreiging voor informatiebeveiliging?” Je zou de standaard antwoorden verwachten: ransomware, phishing, te weinig budget. Maar nee. Een deelnemer nam kordaat het woord en sprak: “Compliance is onze grootste bedreiging.” Boem! Zo reageerde de zaal niet, maar ik van binnen wel. Die man sprak mij recht uit het hart. Laat ik het uitleggen.

Compliance is, simpel uitgedrukt, het voldoen aan wet- en regelgeving. Begrijp me niet verkeerd – natúúrlijk moeten we voldoen aan wetten en regels, zeker als overheidsorganisatie. We zijn er echter in doorgeschoten, omdat we veel dingen niet meer doen om de organisatie optimaal te beveiligen, maar om alle vinkjes te halen en daarmee de auditors tevreden te stemmen.

Zo moeten we voldoen aan de BIO, de Baseline Informatiebeveiliging Overheid. De BIO bestaat uit zo’n 250 regeltjes. Je moet aan ieder regeltje voldoen, tenzij je er een goed verhaal bij hebt (pas toe of leg uit/comply or explain). Je moet hoe dan ook al die regels langs, al was het maar om te bepalen of je eraan moet voldoen. Vervolgens moet je óf uitleggen waarom je er niet aan hoeft te voldoen, óf je moet bewijs leveren dát je eraan voldoet. Je gaat daarbij op zoek naar de gaten tussen de regels en de feitelijke toestand – je doet een gap-analyse.

En dan kun je ook nog naar drie verschillende stadia kijken: opzet, bestaan en werking. Opzet houdt in dat een maatregel is beschreven, bijvoorbeeld in beleid of een ontwerp. Bestaan betekent dat de beschreven maatregel ook daadwerkelijk is getroffen, en voor aantoonbare werking is het noodzakelijk dat de maatregel meerdere keren heeft bewezen effectief te zijn. Eigenlijk is ‘stadium’ niet het juiste woord. Het is namelijk niet per se eerst opzet, vervolgens bestaan en ten slotte werking. Ik ken talloze situaties waarbij een maatregel al jaren prima werkt zonder ooit beschreven te zijn. De werking scoort dan groen, maar de opzet rood.

In de afgelopen jaren hebben we die exercitie uitgevoerd bij ons datacenter. En dan niet lekker abstract over het hele datacenter heen, maar voor elke afzonderlijke dienst die dat datacenter aan zijn klanten levert: netwerken, mainframe hosting, endpoints (bijvoorbeeld jouw laptop) en nog talloze andere zaken waarvan ik vroeger het bestaan niet eens vermoedde. Los van het feit dat deze operatie ons heel veel inzichten heeft verschaft, was het ook een megaklus.

Onze organisatie is natuurlijk veel meer dan alleen een datacenter. En wat denk je: die hele organisatie moet aan de BIO voldoen. Dan kom je dus uit op dat hogere abstractieniveau. Een paar jaar geleden hebben we al die BIO-maatregelen verdeeld over de organisatieonderdelen. In een aantal grote overleggen werd voor elke maatregel bepaald bij welk onderdeel zij thuishoort. De IV-organisatie, waar ook het datacenter onder valt, oogstte 42 maatregelen (ik kan een knipoog naar The hitchhiker’s guide tot he galaxy hier op mijn boekenplank niet onderdrukken). De overige maatregelen vallen onder verantwoordelijkheid van andere organisatieonderdelen. En ondanks het beperkte aantal maatregelen waar wij iets over moeten roepen, is het een puist werk. Taai werk ook, want het is vaak lastig om de benodigde informatie te achterhalen. Ondanks het hogere abstractieniveau waar je iets over moet roepen, heb je toch detailinformatie nodig om je uitspraken te onderbouwen.

En al die compliance, zo verzuchtte het panel op het congres, slokt alle tijd en geld op, waardoor er niets meer over is om de beveiliging ook daadwerkelijk te verbeteren. In de jacht naar groene vinkjes sneeuwt het echte werk onder en ontstaat de illusie van veiligheid. We zijn zo druk met het blinkend poetsen van de auto, dat we er niet aan toekomen om tekortkomingen onder de motorkap op te lossen. Terwijl dat veel belangrijker is dan de buitenkant.

Laten we dat soort lijstjes toch vooral gebruiken om in praktische zin beveiligingsissues te adresseren en op te lossen. Compliance volgt dan vanzelf – niet als doel, maar als bijproduct.

 

En in de grote boze buitenwereld …

• zou iedere softwareontwikkelaar nu wel moeten weten wat SQL injection is, maar het kan nooit kwaad om het nog een keer uit te leggen.
• heeft groothandel Macro weer last van een aanval op het moederbedrijf, die in oktober plaatsvond.
• kun je straks je iCloud-backup zodanig versleutelen, dat Apple er zelf niet meer bij kan – en de opsporingsdiensten ook niet.
• treden Europese politiediensten hard op tegen geldezels.
• ondersteunt Chrome inloggen zonder wachtwoord.
• onderzoekt de overheid of er een nationaal anti-phishingschild moet komen.
• kun je natuurlijk ook een luidspreker hacken.
• vindt de staatssecretaris dat de Belastingdienst onvoldoende logt om corruptie effectief te kunnen bestrijden.

 

Wachtwoorden - nóg een keer

 

Afbeelding via Pixabay

De Security (b)log van vorige week met de titel Wachtwoorden – ja alweer leverde een aantal vragen op die de moeite waard zijn om ze voor een breder publiek te beantwoorden. Dus daar gaan we, nóg een keer wachtwoorden!  

Er kwam een opmerkelijke werkwijze langs, die in gewichtige taal al gauw het label zero knowledge opgeplakt zou kunnen krijgen. Als een site om een wachtwoord vraagt, dan klikt de gebruiker iedere keer op “wachtwoord vergeten”. Doorgaans stuurt de site dan een herstelbericht naar het bij haar bekende e-mailadres. De link in die mail leidt je naar een pagina om een nieuw wachtwoord in te stellen. Daar ramt de gebruiker op een stel willekeurige toetsen, waarbij hij geen enkele moeite doet om het nieuwe wachtwoord te onthouden. Want de volgende keer doet hij gewoon weer hetzelfde. Of ik daar iets van wil vinden.

Mijn eerste twee gedachten hierbij zijn: “hé, wat creatief” en “oei, wat bewerkelijk”. De combinatie van die beide gedachten is: prima bruikbaar voor accounts waar je maar zelden komt. Je bestelt een cadeau op een site waar je nog nooit eerder was en waar je waarschijnlijk voorlopig niet meer hoeft te zijn, maar ze willen per se dat je een account aanmaakt. Lijkt me prima om dit systeem in dat geval te gebruiken. Maar voor accounts die je vaker nodig hebt lijkt het me minder bruikbaar; je bent dan telkens erg lang bezig om binnen te komen. Nog even een tip: je doet er goed aan om het wachtwoord eerst in de Kladblok of desnoods in een nieuw Word-document te typen en van daaruit naar de wachtwoordvelden te kopiëren, aangezien je anders een uitdaging hebt om in het tweede wachtwoordveld nog eens hetzelfde wachtwoord te typen. Daarna sluit je het bestand, zonder het op te slaan. Weet je trouwens wie erg goed is in het verzinnen van dat soort wachtwoorden? Password managers… (zie verderop).

Dat systeempje maakt overigens nog eens duidelijk dat het van groot belang is om je e-mail goed te beschermen. Immers: als een aanvaller toegang heeft tot je mail, dan kan hij zelf ook overal op “wachtwoord vergeten” klikken en vervolgens via het herstelbericht toegang tot al die sites krijgen – onder jouw naam.

Sommige mensen zijn sceptisch over wachtwoordkluizen. Zijn die apps wel veilig? Zou er niet toch een achterdeurtje in zitten? Het eerlijke antwoord: dat weten we niet, althans niet met zekerheid. Kijk, zo’n password manager is software, en software bevat per definitie fouten. Een deel van die fouten is van invloed op de veiligheid van het product. Bovendien draait een dergelijke app meestal niet geïsoleerd op jouw apparaat, maar synchroniseert het de gegevens via de cloud, zodat je je kluis op al je apparaten kunt gebruiken. Met andere woorden: jouw wachtwoorden staan meestal niet op je apparaat, maar op een computer ergens ter wereld. Onder het motto ‘toeval bestaat niet’ ontving ik net vanochtend een mailtje van LastPass, de password manager die ik vroeger gebruikte. Er was “ongebruikelijke activiteit” in de door hen gebruikte clouddienst. Hackers konden gebruikersinformatie inzien. Maar, zo benadrukken ze, de wachtwoorden zijn versleuteld en omdat jij de enige bent die de sleutel kent, lopen die geen gevaar. Ze laten in het midden of die versleutelde wachtwoorden wel zijn buitgemaakt. Maar in moedwillig aangebrachte achterdeurtjes geloof ik niet zo, zolang je maar geen password managers gebruikt die uit verdachte landen zoals Rusland of China komen. Sommige producten zijn open source, hetgeen iedereen de mogelijkheid biedt om het programma binnenstebuiten te keren (of dat ook echt gebeurt, is een tweede). En misschien vindt uitgerekend een kwaadwillende een kwetsbaarheid.

Het verplichte gebruik van een mix van hoofdletters, kleine letters, cijfers en overige tekens roept ook steeds vragen op. Het belangrijkste element van een goed wachtwoord is zijn lengte, maar ook het aantal karakters waar je uit kunt kiezen doet een duit in het zakje. Als je alleen kleine letters gebruikt, dan heeft een aanvaller, die je wachtwoord probeert te raden, een kans van 1 op 26 per positie dat hij goed zit. Gebruik je daarnaast ook hoofdletters, dan wordt die kans een stuk kleiner: 1 op 52. Gooi je er ook nog cijfers en 'rare tekens' bij, dan wordt de kans op goed raden nóg kleiner. Dat werkt vervolgens mooi door in de lengte van het wachtwoord: bij een wachtwoord van 3 tekens met alleen kleine letters is het aantal mogelijkheden 26*26*26 = 17.576. Gebruik je daarnaast hoofdletters, dan kun je daarmee al 52*52*52 = 140.608 verschillende wachtwoorden maken. Met wachtwoordlengte 8 ga je naar respectievelijk bijna 209 miljard en bijna 53,5 biljoen mogelijkheden. Merk op dat het uitbreiden van het aantal mogelijke karakters in dit voorbeeld slechts acht keer zoveel mogelijkheden geeft, terwijl het langer maken van het wachtwoord twaalf miljoen keer zoveel mogelijke wachtwoorden oplevert. Dat lijkt idioot veel, maar bedenk dat aanvallers vaak een heleboel computers aan het werk zetten om wachtwoorden te kraken. Vele handen maken licht werk!

Samenvattend: gebruik lange wachtwoorden, liefst gegenereerd door en opgeslagen in een betrouwbare app. En zoals altijd: zet overal waar dat kan tweefactorauthenticatie/tweestapsverificatie aan.

 

En in de grote boze buitenwereld …

• lees je hier wat er aan de hand is bij LastPass.
• kan het WK voetbal gemakkelijk leiden tot cyberdreigingen.
• wil de politie van San Francisco dodelijke robots inzetten.
• zijn privégegevens van alle leden en oud-leden van Forum voor Democratie gelekt.
• maakt TikTok jouw gegevens vandaag toegankelijk voor medewerkers in China.
• kun je dat ook op humoristische wijze uitleggen.
• profiteren criminelen nog steeds van Log4j.
• gaan Microsoft 365 en de AVG niet goed samen.
• hebben Russische hackers het gemunt op Nederlandse gasinstallaties.
• kijk je hier naar Mikko Hyppönen’s presentatie If it’s smart, it’s vulnerable.
• zit er een privacy-aspect aan het uploaden van je adresboek naar een online dienst.
• mag het NCSC eindelijk dreigingsinformatie delen met niet-vitale bedrijven.
• snuffelen sommige laptop- en telefoonreparateurs rond in je apparaat.
• moeten we een noodpakket in huis halen voor het geval een cyberaanval het land platlegt.