Awaremess

 

Afbeelding via Unsplash

Als je met tien vingers blind typt, dan hebben je vingers soms een eigen willetje. Gelukkig besef je meestal wel dat ze iets anders hebben geschreven dan de bedoeling was en dan is de backspace-toets je beste vriend. Onlangs had ik zo’n gevalletje, waarbij ik een grijns niet kon onderdrukken: ik typte niet ‘awareness’, maar ‘awaremess’. Het scheelt maar één poot, maar maakt wel meteen een heel verhaal los.

Awareness betekent bewustzijn. In mijn vak gaat het dan over beveiligingsbewustzijn: de mate waarin medewerkers beseffen dat ze een belangrijke rol in de informatiebeveiliging spelen, over de bijbehorende kennis beschikken en daar ook naar handelen. Maar het Engelse mess betekent: (war)boel, knoeiboel, rotzooi, mislukking (Van Dale).

Waar kwam nou die grijns op mijn gezicht vandaan? Het woord awaremess bestaat niet, maar je zou het kunnen interpreteren als warboel die ontstaat op het gebied van bewustzijn. En dat is precies waar we ons nu bevinden. Zo doen we veel om jullie te leren hoe je phishingmail kunt herkennen. Maar tegelijkertijd worden jullie gebombardeerd met legitieme e-mail die eruitziet alsof het phishing is. En dan wordt het een zooitje.

Ik geef twee voorbeelden. Alle ambtenaren hebben mail gehad (of krijgen die nog) van Shuttel, waarin stond dat we een nieuwe kaart voor het OV moesten aanvragen. Dat mailtje bevatte nogal wat indicatoren die op phishing duidden. De belangrijkste rode vlaggen waren de algemene aanhef (“Beste medewerker”), de waarschuwing dat je oude kaart geblokkeerd zou worden en – de belangrijkste – een link die, als je er met de muis boven zweefde, een heel andere bestemming toonde dan wat er stond: niet mijn.shuttelportal.nl/[enzovoorts], maar iets als fbdecbh.r.af.d.sendiobt2.com/tr/cl/[enzovoorts]. Het grappige is dat medewerkers ook aansloegen op iets dat helemaal geen phishing-indicator is. Men had bedacht dat sommige woorden in de mail vetgedrukt moesten zijn, maar in de eerste serie mailtjes werd dat verkeerd getoond: daar stond niet look & feel, maar —look & feel’. De codes, die ervoor moesten zorgen dat de tekst vet werd, werkten niet goed. Maar dat heeft dus niets met phishing te maken. De rest echter wel. Het enige dat hier wel goed ging is dat de omruilactie vooraf op het intranet was aangekondigd (alleen leest niet iedereen dat). En wat achteraf goed ging, is dat ik snel iemand bij de verantwoordelijke afdeling vond die mij begreep en ervoor zorgde dat de firma Shuttel hierop werd aangesproken. Voor ons kwam dat helaas te laat, maar bij andere ministeries zou het nu beter moeten gaan.

Het tweede voorbeeld komt dichter bij huis, want het gaat over een medium waarop deze blog wordt gepubliceerd: ons intranet. Een poosje geleden is dat intranet ingrijpend gewijzigd. En dus kwam er een mailtje met als onderwerp: “Enquête: Wat vind jij van het gepersonaliseerde intranet?” Dat mailtje komt van een extern adres maar toont als afzender wel de naam van onze organisatie: rode vlag! De algemene aanhef (“Beste lezer!”) en de kans om een “exclusief gepersonaliseerd aardigheidje met jouw avatar erop” te winnen, met daarbij tijdsdruk (“We geven er 15 weg, dus wees er op tijd bij”), maakten het alleen maar erger. En ten slotte was het mailtje onpersoonlijk ondertekend (“Team Online Redactie”) en was de enquête niet op het intranet (!) aangekondigd. Het eerste mailtje van een bezorgde collega is al binnen, en er zullen er nog wel meer volgen. En terecht. Nu hadden we vorige week een gezellige bijeenkomst met de bloggers en de intranetredactie, en toen werd verteld dat er een enquête zou komen. Ik weet dus bij toeval dat dit mailtje wél echt is en ik heb de redactie ingelicht over het phishy karakter van hun mail.

Andersom kan het ook misgaan. Medewerkers ontvingen een mailtje van een buitenlands adres, zonder onderwerp en tekst; het bevatte alleen een wazige link. Dan denk je: dit kán niet goed zijn. Toch? Desondanks hebben vijftien collega’s op die link geklikt. Onze beveiligingssystemen hebben die link geblokkeerd, en daarom weten we wie er geklikt hebben. Ik heb een paar van deze collega’s gesproken. En dan hoor je verhalen waardoor je toch begrijpt hoe iemand “zo stom kon zijn” om te klikken. Het meest schrijnend was het geval van een manager uit wiens team onlangs iemand was overleden – en de achternaam van deze collega kwam overeen met de naam van de afzender. De manager dacht daardoor dat de familie contact zocht. In een ander geval bevatte de mail ook de adressen van iemands broer waar hij al lang geen contact meer mee heeft en van nog een kennis. Waarschijnlijk hebben hackers adresboeken buitgemaakt en daarvan handig gebruikgemaakt bij het samenstellen van de mail. Het is dus veel te gemakkelijk om te zeggen: hoe kon je zo stom zijn. Hun handelen was niet stom, maar menselijk. Het stemt mij verdrietig dat criminelen die menselijkheid aan het wankelen brengen.

En zo is het best wel een zooitje op het gebied van beveiligingsbewustzijn. Mijn typfout was zo gek nog niet.

 

En in de grote boze buitenwereld …

• is een test-phish over salarisverhoging een onsmakelijk idee.
• moet je nu ook al je power-lampje afplakken.
• vervalste een ambtenaar rapporten over de beveiliging van DigiD.
• moeten financiële en ICT-dienstverleners aan de slag met DORA.
• kan een organisatie plotseling een stortvloed aan inzageverzoeken over zich heen krijgen.
• start de politie een internationaal netwerk voor het voorkomen en verstoren van cybercrime.
• worden Belgische rechters en politiemensen bespioneerd.
• vertraagde een DDoS-aanval de bekendmaking van examenuitslagen.
• is het verplicht periodiek wijzigen van wachtwoorden een achterhaalde gewoonte.
• wordt kunstmatige intelligentie getraind met privégegevens, nepnieuws en auteursrechtelijk beschermde zaken.