Creatieve oplossingen

 

Afbeelding via Pixabay

Professor Barabas was zo vriendelijk om zijn teletijdmachine aan mij uit te lenen. Ik neem je mee naar de jaren negentig van de vorige eeuw en we landen op het Walterboscomplex in Apeldoorn, destijds de enige locatie in deze plaats waar wij kantoor hielden. De beide hoge torens waren er nog niet, en de ondergrondse gangen evenmin – als je van het ene gebouw naar het andere wilde, dan moest je buitenom.

Het bedrijfsrestaurant, dat toen nog gewoon kantine mocht heten, stond op de plek waar nu toren H staat, naast gebouw G. De kantine had een tegelvloer en een schrootjesplafond; de schrootjes zaten een centimeter uit elkaar en daarboven zat zwart doek. Op een zeker moment werd dat plafond vervangen door een strak, gesloten plafond. Het zag er fris uit, maar had een vervelende bijwerking: de akoestiek van de kantine was enorm verslechterd. In de oude situatie werd het geluid deels geabsorbeerd door het open plafond, nu werd alles weerkaatst. De kantine was erg rumoerig geworden en dat was bepaald niet prettig.

Een tijdje later werd de vloer voorzien van tapijttegels. Ik weet eigenlijk niet of dat een akoestische maatregel was of dat deze aanpassing sowieso in de planning zat, maar ik heb altijd het vermoeden gehad dat men hiermee de aangerichte schade wilde compenseren. Het probleem, dat werd veroorzaakt door de aanpassing van het plafond, werd op de vloer opgelost. En het werkte. Alleen: hoe handig is dat, tapijttegels in een kantine? Gemorste tomatensoep op een tegelvloer is geen probleem. Op tapijt wordt het een lelijke vlek.

Terug naar het recente verleden. Afgelopen zomer was het soms erg warm. Zo warm, dat de apparatuur in een technische ruimte op onze verdieping het erg benauwd kreeg. Dergelijke ruimtes zijn voorzien van extra toegangsbeveiliging – alleen met de juiste autorisatie op je pas kun je de deur openen. Maar omdat smeltende apparatuur ook niet zo’n goed idee was, had men een mobiele airco laten aanrukken en die in de deuropening gezet. De warme lucht uit de technische ruimte werd de kantoorruimte ingeblazen. Probleem opgelost. Toch?

Aanhangers van out-of-the-boxdenken vinden die tapijttegels en die airco misschien geweldig. Ikzelf neig er toch meer naar om problemen daar op te lossen waar ze ontstaan. Slechte akoestiek door een gesloten plafond? Doe iets aan het plafond. Oververhitte technische ruimte? Zorg voor koeling in die ruimte. Zeker als een outside-the-boxoplossing (dat schijnt beter Engels te zijn) vervelende bijwerkingen heeft, zoals een vlekkerige vloer in de kantine. Of wat dacht je van het doorbreken van de beveiliging van een technische ruimte, in combinatie met het nog wat verder opstoken van een kantoorruimte waarin het toch al behoorlijk warm was?

Als de ideale oplossing niet snel beschikbaar is, dan snap ik dat voor een alternatief wordt gekozen. Maar als je daarmee nieuwe risico’s introduceert, dan moet je daar compenserende maatregelen tegenoverstellen. Ooit, op dat oude Walterboscomplex, werd het ook een keer te heet. Toen werden de deuren van het rekencentrum opengezet, en bij iedere deur werd een beveiliger neergezet. Bij de open deur op onze etage zat niemand. Dat ze dat nou net moesten doen op de plek waar het securityteam zit…

Soms ontkom je er niet aan om problemen ergens anders dan bij de bron op te lossen. Stel, jouw organisatie wil gegevens in de cloud zetten. Maar omdat dat toch de computer van iemand anders is, zie je ongeautoriseerde toegang tot jouw gegevens als risico, onder andere door die fijne Amerikaanse wetgeving én het feit dat je bijna per definitie zaken doet met de VS als je naar de cloud gaat. Dan kun je maar één ding doen: je gegevens zodanig beschermen, dat iemand die er de hand op weet te leggen er niks aan heeft. Versleutelen dus, en wel zodanig dat niemand behalve jouw organisatie de sleutel heeft. Als de cloudleverancier de sleutel niet heeft, kan hij hem ook niet afgeven, al wordt een overheid of opsporingsdienst nog zo boos.

Zelf je sleutel beheren maakt de zaak een stuk complexer en dan krijg je ook nog eens minder waar voor je geld, omdat de cloudleverancier bepaalde functionaliteit niet kan leveren, doordat hij de gegevens niet kan lezen (te denken valt aan allerlei statistieken die best interessant zouden kunnen zijn voor jouw organisatie). Als je het allemaal zelf doet en minder functies krijgt, zal dat wel in de prijs schelen, hoor ik je denken. Klopt, maar dan precies de verkeerde kant op: het wordt schrikbarend duurder, hebben we in een recente aanbesteding ervaren.

Nog even over dat Walterbos. Dat schrijf je dus zo. En niet Walter Bos, of zelfs (echt gezien!) Wouter Bos (voormalig staatssecretaris en later minister van Financiën). Meneer Walter was notaris te Apeldoorn en liet een bos aanleggen. Dat werd dus het Walterbos. De naastgelegen school hanteert de spelling Walterbosch, maar wij stoppen bij de s.

Mogelijk verschijnen er de komende weken geen of minder Security (b)logs in verband met een conferentie en vrije dagen/vakantie.

En in de grote boze buitenwereld …

• doen de grote cloudleveranciers onder politieke druk meer aan security.
• heeft Apple stiekem jouw privacy-instellingen aangepast.
• kun je niet alles zorgeloos verspreiden wat ChatGPT je influistert.
• moeten beleidsmakers misschien eens op dienstreis naar China, om daar te leren hoe we niet met biometrie willen omgaan.
• geeft Facebook toe aan de druk van regeringen en ziet desinformatie door de vingers.
• heeft (uitgerekend) TikTok een desinformatienetwerk blootgelegd.
• doet datzelfde TikTok niets tegen een account dat willekeurige mensen doxt.
• zijn bezorgrobots ook heel handig voor de politie, want ze filmen hun omgeving non-stop.
• toont Bing Chat giftige advertenties.
• is een zero day-kwetsbaarheid een dringende aanleiding om je software te updaten.
• zijn sommige zero day’s erg veel geld waard.
• bepleiten sommige Europese landen het toestaan van spyware op telefoons van journalisten.
• moet je als cybercrimineel natuurlijk wel je eigen informatiebeveiliging op orde hebben.
• heeft de Oekraïense overheid een rapport over de cybertactiek van Rusland gepubliceerd.

 

 

Mr. Bean wil eruit

 

Afbeelding via Wikipedia

Groot-Brittannië heeft  enkele geweldige komieken voortgebracht, en Rowan Atkinson is er daar onbetwist een van – vooral in de rol van Mr. Bean, uit de jaren negentig van de vorige eeuw. Deze zwijgzame, sluwe stuntelaar werkt nog steeds op mijn lachspieren.

Zoals in dit filmpje, waarin hij het tarief van de parkeergarage wat al te gortig vindt en allerlei manieren bedenkt om gratis langs de slagboom te komen. Ga nu eerst maar dat filmpje kijken – hierna volgen spoilers.

Om de garage gratis te kunnen verlaten, moet de slagboom omhoog. Dat gebeurt doorgaans als een auto in- of uitrijdt. Mr. Bean wacht dan ook als een roofdier op het geëigende moment en slaat uiteindelijk succesvol toe met zijn Mini. Voor mijn verdere verhaal is het een beetje jammer dat hij niet achter een andere auto aan naar buiten rijdt, maar via de inrit ervandoor gaat, daarbij de auto (nou ja, auto) die naar binnen wil, in z’n achteruit dwingend.

Het Engelse woord tailgating betekent dat je gevaarlijk dicht achter een andere auto aanrijdt: bumperkleven in goed Nederlands. Daarnaast kennen ze in Noord-Amerika ook nog tailgating parties: feestjes waarbij mensen zich al barbecueënd en drinkend verzamelen bij de open achterklep (tailgate) van hun auto’s. Maar dat zijn natuurlijk niet de betekenissen waar ik het hier over wil hebben.

In de beveiliging hebben we de term tailgating geadopteerd voor het onbevoegd achter iemand aan een beveiligde zone betreden, waarbij je dus meelift op de toegangsrechten van die persoon. Neem bijvoorbeeld rokers, die samenscholen bij de achteringang van hun bedrijf. Als ze uitgedampt zijn, gaan ze weer naar binnen. Net op dat moment komt iemand aanlopen die doet alsof hij daar ook thuishoort, en dan is de kans groot dat ze de deur voor hem open houden, vooral als hij ook nog een grote doos meesjouwt en dus z’n handen vol heeft. We noemen dit ook wel piggybacking.

Ik ken niet al onze kantoren, maar daar waar ik wel over de vloer ben geweest, waren overal poortjes geïnstalleerd om onbevoegden tegen te houden. Je opent ze met je pasje en ze sluiten zich vrij snel achter je. Bijna onmogelijk om onopvallend met iemand mee naar binnen te glippen. En het poortje voor iemand openhouden – zou je al op dat idee komen – is ook niet echt een optie. Wel herinnering ik mij een pand in Utrecht waar de poortjes maandenlang openstonden, als ik het goed heb onthouden omdat ze niet met onze toegangspasjes wilden samenwerken. Misschien waren het nog de poortjes van de vorige bewoner.

We hebben ook ingangen met draaideuren, ook wel tourniquets genoemd. Je biedt je pasje aan, stapt in de draaideur en die veegt je vervolgens zachtjes naar binnen. Eén persoon per keer; als je er met z’n tweeën in gaat, begint hij te piepen en draait hij andersom, zodat je weer buiten staat. Hoe weet die draaideur dan dat er twee mensen in staan? Door het gewicht. Bij ons gaat de anekdote rond dat ergens een tourniquet moest worden bijgesteld omdat een forse collega steeds werd uitgespuugd. En dan hoop ik maar dat dat bijstellen niet van buitenaf kan plaatsvinden door een paneeltje open te schroeven en een beetje aan een knop te draaien.

In een interne poll gaf maar liefst 78% van de deelnemers aan dat ze bekend zijn met de beveiligingsrisico’s van tailgating. Toch maar even voor dat resterende kwart, en voor degenen die niet meegestemd hebben: wat zijn die risico’s dan? Stel, je komt thuis aan, opent je voordeur en merkt dat een vreemde mee naar binnen wil. Dat vind je waarschijnlijk geen goed idee. En zo werkt het op het werk ook: je wilt principieel geen onbevoegde vreemden binnen hebben. Wat is hun doel? Stelen, hacken, informatie verzamelen, wie weet zelfs een aanslag plegen? (Ja sorry, ik word nu eenmaal betaald om doem te denken.)

Soms kun je zelf weinig tegen tailgating doen. Als ik op de fiets bij mijn kantoor aankom, dan opent het schuifhek zich als ik mijn pasje voor de kaartlezer houd. Als ik door het hek ben, dan duurt het nog best een hele poos voordat het zich weer sluit. Ik maak daar vaak genoeg zelf gebruik van door achter een collega aan naar binnen te fietsen. Pal buiten die poort staan ook vaak rokers; wie zegt me dat daar niet een keer iemand staat die er helemaal niet thuishoort? (Zijdelingse opmerking: kunnen jullie asjeblieft wat verder bij de poort vandaan gaan staan? Ik moet nu altijd mijn adem inhouden als ik voor de poort sta te wachten, omdat ik niet mee wil roken. Alvast bedankt!)

Gelukkig is onze fysieke beveiliging uit meerdere lagen opgebouwd. Het hek mag dan een relatief zwakke barrière zijn, maar daarmee ben je er nog niet. De genoemde poortjes, draaideuren en niet te vergeten receptionisten en beveiligers doen hun best om ongewenste personen buiten de deur te houden.

 

En in de grote boze buitenwereld …

• stoken de Britten de crypto-oorlog weer op.
• twitterde het gehackte account van Trump jr. dat pa Donald was overleden.
• is ook het Internationaal Gerechtshof in Den Haag gehackt.
• begaan medewerkers van tech-giganten ook wel eens een blunder.
• komen de kwantumcomputers er (misschien) aan, en dus moet je je daartegen wapenen.
• worden betaalgegevens van hotelgasten gephisht door eerst het hotel te hacken.
• trekt deze Android-malware eerst je bankrekening leeg en reset daarna je toestel naar fabrieksinstellingen.

Doe-het-zelf

 

Afbeelding via flightaware.com (begin en eind van de vlucht ontbreken)

Binnenkort begint onze zoon aan zijn opleiding tot verkeersvlieger. Hij had nog een cadeau van ons tegoed voor het behalen van zijn vwo-diploma en daar hebben we een luchtig uitje van gemaakt.

Hier zowat om de hoek ligt vliegveld Teuge (officieel International Airport Teuge, maar stel je daar niet teveel bij voor). Op Teuge kun je een proefvliegles boeken. En nou lijkt het misschien wat vreemd om iemand, die volgende maand aan een professionele pilotenopleiding begint, zo’n amateurvlucht te laten maken, maar het leek ons allemaal juist leuk om een beetje te kunnen ervaren wat hij straks gaat meemaken. Probleem was alleen dat we thuis met z’n vieren zijn en de Cessna 172, waar ze mee vliegen, een vierzitter is. En we wilden toch ook graag iemand met een afgeronde pilotenopleiding aan boord hebben. Om niemand buiten de boot te laten vallen, hebben we niet één, maar twee vliegtuigen geregeld. En in dat tweede vliegtuig zat ik gisteren rechtsvoor.

Dat was een bijzonder interessante ervaring. Ik heb ervan genoten, en mijn zoon dubbel en dwars – hij was al supergemotiveerd en dat vuurtje is alleen maar verder aangewakkerd. Maak ik zou ik niet zijn als ik tijdens dit uitje niet ook mijn securitybril had opgehad. Zoals je mag verwachten, is veiligheid een centraal thema in de luchtvaart, en dat is in de kleine luchtvaart niet anders. Wel wordt het daar anders ingevuld: het is voornamelijk een kwestie van doe-het-zelven. Er is namelijk geen verkeersleiding. Iedere piloot vertelt via de radio wat hij gaat doen, zodat ander verkeer daarvan op de hoogte is. En op het vliegveld luistert ook iemand naar de radio, maar dat is geen officiële verkeersleider.

Op weg naar startbaan 08 zette piloot Tommy zijn Cessna uit de jaren zeventig schuin op de taxibaan, zodat hij goed in de richting waar inkomend verkeer vandaan zou kunnen komen kon kijken. Er kwam inderdaad een vliegtuig aan, en Tommy moest zelf inschatten of hij nog voor dat vliegtuig kon starten. Daarbij moest hij er ook rekening mee houden dat een ander vliegtuig net aan het starten was. Het paste niet, dus wij moesten even wachten. Eenmaal in de lucht moest de piloot constant alert zijn op eventueel ander vliegverkeer. Verder is het allemaal niet zo ingewikkeld – een beetje als autorijden, maar dan 3D, omdat je ook nog omhoog en omlaag kunt. Bovendien gaat de tijd sneller: het ene moment vlogen we nog boven paleis Het Loo aan de noordkant van Apeldoorn, een paar minuten later zaten we al boven onze wijk aan de andere kant van de stad, waar we een extra rondje vlogen om ons huis te zoeken (wat nog knap lastig was).

Omdat er afspraken zijn over de aanvliegroute naar Teuge, is landen best overzichtelijk. Je komt aanzetten vanuit het zuiden, maakt een bocht naar links, gevolgd door tweemaal rechts en dan ben je netjes uitgelijnd met landingsbaan 08 (die gek genoeg een half uurtje geleden nog startbaan was). De officieuze verkeersleiding vroeg een ander vliegtuig om een wat langere aanloop te maken omdat er parachutisten gingen springen, maar wij konden direct door. Tommy schrok even toen hij de rempedalen intrapte, want de wielen van het vliegtuig blokkeerden. Iets rustiger remmen dan maar, de baan was toch lang zat. En zo stond iedereen weer veilig aan de grond (nou ja, de dames waren achterin wel een klein beetje misselijk geworden).

In de informatiebeveiliging hebben we tot op zekere hoogte wel een soort verkeersleiding. Die bestaat uit allerlei systemen die bewaken dat we niet in ‘turbulenties’ terechtkomen, bijvoorbeeld op verdachte websites. Weer andere systemen zorgen voor een veilige ‘vliegroute’ door verbindingen te versleutelen. En de virusscanner kun je vergelijken met de beveiligingscontroles op het vliegveld (waar ik laatst over schreef): zoals de virusscanner foute programmatuur buiten de deur houdt, zo houden die controles foute passagiers aan de grond.

Maar ja, dat werkt dus allemaal slechts tot op zekere hoogte. Daarboven begint toch ook bij ons een beetje het doe-het-zelven. Goed opletten wat er allemaal langs komt vliegen, niet overal willen landen en geen snoepjes aannemen van vreemden. Jij bent die piloot, die achter z’n toetsenbord of mobiel scherm goed moet opletten. Daarbij mag je vertrouwen op diverse veiligheidssystemen, maar je moet ook beseffen dat jouw gedrag medebepalend is voor hoe de vlucht verloopt. Mocht je een keer onzeker zijn: er zit altijd een copiloot naast je waar je mee kunt overleggen. Dat kan een teamgenoot, je manager, de servicedesk of een security officer zijn. Samen zorgen we voor een veilige vlucht door het digitale luchtruim.

En zoals de Duitsers zo mooi zeggen als ze net iets geweldigs hebben meegemaakt: nur fliegen ist schöner (alleen vliegen is leuker). Mijn zoon gaat inderdaad een fantastisch beroep leren.

 

En in de grote boze buitenwereld …

• past dit verhaal perfect bij het bovenstaande.
• moet de basisbeveiliging beter op orde zijn.
• heeft de grote luchtvaart (uiteraard) te maken met cybercrime.
• valt ook bij casino’s veel geld te halen.
• heeft de KNVB zich laten afpersen.
• wil het Witte Huis dat ook andere regeringen zich uitspreken tegen het betalen van losgeld bij een ransomware-aanval.
• moet je ook in de officiële app-stores goed opletten dat je de juiste app kiest.
• regent het momenteel kwetsbaarheden in allerlei toepassingen.
• geeft dit informatieblad van de Amerikaanse overheid inzicht in de dreiging van deepfakes.
• heeft betere beveiliging in een gratis product ook een prijs.

 

Sleutels namaken

 

Foto van auteur

Herinner je je Mister Minit nog? In mijn herinnering waren dat van die kiosken in warenhuizen waar je schoenen kon laten herstellen en sleutels kon laten namaken. In diezelfde herinnering zie ik het logo, een mannetje in een rood jasje, dat een uitnodigend gebaar maakt. Tot mijn verrassing bestaat Mister Minit nog. Tegenwoordig draagt hij een blauwe polo en heeft hij in Nederland slechts drie vestigingen. Ten zuiden en oosten van ons land is hij veel groter. En hij heeft bijgeleerd – hij repareert nu ook je horloge en graveert je naam op een pen of naambord.

In Australië en Nieuw-Zeeland is Mister Minit heel groot, maar ik weet niet of hij ooit de VS heeft betreden. Daar hebben ze sowieso een andere oplossing voor het namaken van sleutels: automaten. Het bedrijf Minutekeys (hé, ik zie een overeenkomst!) heeft automaten (‘kiosks’) in de entree van grote supermarkten, zoals Walmart. Die automaten kunnen sleutels van woningen, kantoren en hangsloten namaken. Sleutels met de merking ‘Do Not Duplicate’ en sleutels van schoolgebouwen of andere sleutels waar een beperking op rust, worden niet nagemaakt.

Ken je die Engelse uitdrukking “what could possibly go wrong?” Het is natuurlijk weer mijn beroepsdeformatie die ervoor zorgt dat ik me bij zo’n machine meteen afvraag wat er zoal mis zou kunnen gaan. Toen ik voor het eerst zo’n automaat zag, schoot ik ook meteen in die modus. Een machine, waarbij je geheel anoniem – je kunt ook met contanten betalen – een sleutel kunt laten namaken, biedt perspectieven voor kwaadwillenden. Daar zijn die automaten natuurlijk helemaal niet voor bedoeld; ze zijn er om jou sleutels te laten namaken van sloten die van jou zijn. Maar is het zo vergezocht dat iemand een sleutel ‘leent’, die snel laat namaken en het origineel gauw teruglegt? Je bent aan het sporten, iemand brengt een bezoekje aan de kleedkamer, haalt jouw huissleutel op en gaat even langs zo’n automaat. Vooraf heeft hij bij de sporthal staan posten, dus hij weet bij wie die tas hoort waar de sleutel in zat. Na het sporten volgt hij je naar huis. Nu weet hij waar je woont en hij heeft de sleutel van je huis al. Hij hoeft alleen nog een gunstig moment af te wachten om de boel leeg te halen. Andere scenario’s zijn welkom (alleen voor onderzoeksdoeleinden).

Zoals trouwe lezers weten, begint deze blog vaak met een situatie uit het echte leven, die ik vervolgens een twist geef richting informatiebeveiliging. Dat is niet altijd gemakkelijk; soms begin ik met schrijven en vraag me onderwijl af hoe ik die situatie in hemelsnaam naar mijn vakgebied toe kan praten. Daar zat ik nu ook beetje mee, maar het eten van een appel bracht uitkomst. Want tijdens het eten kan ik niet schrijven, maar wel lezen. En dus begon ik alvast wat artikelen voor de rubriek En in de grote boze buitenwereld… te lezen. Blijkt er dus twee dagen geleden een artikel te zijn verschenen over iemand uit Boskoop, die op het dark web sleutels kocht voor de wachtwoordkluizen (password managers) van ruim duizend mensen. Daardoor kon hij beschikken over de wachtwoorden van alle accounts die iemand daar in had staan: e-mail, online winkels, noem maar op. Hij kon spullen bestellen en de bestelbevestigingen uit de mail verwijderen, zodat er geen haan naar kraaide. Alleen de bankrekening van het slachtoffer maakte melding van de bestellingen.

Betekent dat nu dat password managers toch niet veilig zijn? Nou, nee. De wachtwoorden van die kluizen werden gejat met behulp van malware. Als je een computer of een mobiel apparaat hebt zonder goede virusscanner, dan loop je het risico op een besmetting. Criminelen kunnen dan malware installeren die het wachtwoord voor je kluis afvangt als je zelf de kluis opent. Het is dus niet de kluis zelf die niet veilig is – de kluis staat alleen in een onveilige omgeving. Als je een echte brandkast in de publieke ruimte neerzet, moet je ook niet raar opkijken als sommige mensen over je schouder meekijken als je de code invoert.

Bij deze dan ook weer de periodieke oproep om te zorgen voor goede bescherming tegen malware. Dat hoeft je niet eens geld te kosten. Zo presteert bijvoorbeeld de in Windows ingebouwde virusscanner (Microsoft Defender Antivirus) prima – maar alleen als hem niet hebt uitgezet. Ook voor Android-toestellen zijn er prima gratis en betaalde apps beschikbaar (die je uiteraard alleen van Google Play haalt). Ik adviseer dan ook zeker om je Android-toestel ermee te beveiligen. Gebruikers van iPhones en iPads moeten nog steeds vertrouwen op het inherent veilige ecosysteem dat Apple voor deze apparaten meent te hebben; er staan geen virusscanners in de App Store (wel talrijke andere beveiligingsapps).

Wat overigens ook helpt tegen het verkrijgen van illegale toegang tot je password manager, is als je die app opent met je vingerafdruk in plaats van met het wachtwoord. Die kunnen Mister Minit en de automaten van Minutekeys nog niet namaken.

 

En in de grote boze buitenwereld …

• kunnen digitale sleutels dus ook ongemerkt worden nagemaakt.
• lees je hier meer over hoe dat werkte.
• lijkt het erop dat vorig jaar buitgemaakte LastPass-kluizen gekraakt zijn.
• werkt deze exploit voor Apple-producten zonder dat de gebruiker ook maar iets hoeft te doen.
• is je nieuwe auto een privacy-nachtmerrie op wielen.
• presenteert Chrome advertenties op basis van je browsergeschiedenis.
• zijn er (voorlopig) weer afspraken gemaakt over de doorgifte van persoonsgegevens naar de VS.
• is een slimme kuisheidsgordel misschien toch niet zo’n goed idee.
• werkt de rijksoverheid aan een visie op het gebruik van kunstmatige intelligentie.
• onderstreept dit artikel het belang van security by design.

 

 

Virtueel vertrouwen

Afbeelding via Pixabay

Informatiebeveiliging is een kwestie van vertrouwen. Dat klinkt misschien raar, omdat je gewend bent dat we in de digitale wereld juist alles en iedereen moeten wantrouwen (we hanteren zelfs de term ‘zero trust’) en onze beveiliging moeten baseren op wat er allemaal mis kan gaan. Maar uiteindelijk moet je toch vertrouwen op de mensen, procedures en producten die samen je beveiliging vormen. Het is dan sneu als dat vertrouwen beschaamd wordt.

Als je gebruikmaakt van het internet, dan wil je daar geen pottenkijkers bij. Thuis vertrouwen de meesten van ons erop dat onze internetprovider zich netjes gedraagt. Als je buitenshuis bent, dan krijg je echter opeens te maken met allerlei andere partijen die je internettoegang bieden: winkels, restaurants, hotels, vliegvelden, noem maar op.  Je hebt geen flauw idee wie daarachter schuilgaat en of die partijen te vertrouwen zijn. Maar gelukkig is daar een technische oplossing voor, met de naam VPN: Virtual Private Network. Een VPN creëert een beveiligde ‘tunnel’ waar alleen jouw internetverkeer doorheen gaat – vandaar de naam: het lijkt net alsof het internet een besloten netwerk is geworden, speciaal voor jou.

In feite verleg je je vertrouwen van de internetaanbieder naar de leverancier van het VPN. Zonder VPN zou degene, die jou toegang biedt, kunnen meekijken; met VPN zou de VPN-leverancier kunnen meekijken. Omdat die laatste een beveiligingsdienst levert, waar je misschien zelfs voor betaalt, vertrouw je erop dat je internetverkeer bij hen in veilige handen is. Overigens kun je er doorgaans ook voor kiezen om niet de wifi van dat restaurant of hotel te gebruiken, maar je mobiele dataverbinding (4G/5G). Deze zomer gingen we echter op reis buiten Europa. Internetten via je simkaart is dan een kostbare zaak en daarom wilden we flink gebruik kunnen maken van gratis wifi. Daarom heb ik een VPN-abonnement afgesloten voor alle apparaten die we meenamen. Dat heeft perfect gewerkt: geen merkbare vertraging en overal een veilig gevoel. Mijn minder technische gezinsleden hebben er niks van gemerkt en dat is een goed teken.

De ellende begon toen we weer thuis waren. Twee weken geleden merkte ik toevallig op dat het VPN op mijn telefoon uit stond. De bijbehorende app beweerde zelfs dat ik geen abonnement had. Voor de zekerheid even gecheckt: ik had toch echt voor twee jaar betaald. Dus hup, een berichtje naar de VPN-leverancier. Ondanks dat het zondag was, kwam er al snel een bericht terug van het bedrijf: mijn abonnement was geschorst vanwege verdacht gedrag – hun systemen hadden opgemerkt dat via mijn account aan web scraping werd gedaan en dat mag niet van de gebruiksvoorwaarden. Web scraping is het geautomatiseerd ‘leegtrekken’ van websites, om alle informatie die daar staat in één keer naar je toe te halen. Dat is bijvoorbeeld interessant voor een bedrijf dat wil weten wat z’n concurrenten allemaal doen. En misschien haal je op die manier ook nog informatie binnen die eigenlijk niet voor het publiek bedoeld is, zoals een klantenbestand.

Ik was nogal boos over die reactie. Ze hebben mij, als betalende klant, geschorst zonder me daarover te informeren. Bovendien waren onze apparaten niet langer beschermd en ik wist niet eens sinds wanneer. En ik werd valselijk beschuldigd. Ik vroeg om opheldering en liet daarbij duidelijk merken dat ik niet blij was. Deze keer kwam de reactie pas de volgende dag. Daarin werd volledig voorbijgegaan aan mijn misnoegen. Ze wilden niet meer informatie delen over het voorval, want met dat soort informatie zouden kwaadwillenden hun voordeel kunnen doen. Maar ze gaven wel praktische tips. Het wachtwoord van mijn account zou wel gelekt zijn, en ik werd gesommeerd om als de wiedeweerga ook het wachtwoord van mijn e-mail te wijzigen. Ze gaven verder nog tips over sterke wachtwoorden en hoe ik kon checken of mijn account gelekt was (via haveibeenpwned.com, waar ik al jaren sta ingeschreven). Maar vooruit, ze hadden er nog eens naar gekeken en wilden mijn account wel in ere herstellen.

In een nieuw mailtje heb ik nog maar eens opnieuw verteld dat ik niet begrijp dat ze me niet over de schorsing hadden ingelicht. En dat ik snap dat ze geen informatie kunnen delen, maar dat ze zelf toch zouden moeten kunnen zien dat ik niks verkeerds heb gedaan. En oh ja, ik vroeg ook nog voor compensatie voor de tijd dat ze me onbeveiligd door het leven lieten gaan.

Wederom lieten ze me een dag hangen. Toen speet het hen dat ik ontevreden was, en bedankten ze me voor de tijd die ik had genomen om feedback te geven. Verdere informatie wilden ze niet delen. Mijn account was weer geactiveerd, maar als het nog eens gebeurt, dan is het voor altijd over en uit, voegden ze daar dreigend aan toe.

Op Twitter staan berichten van mensen met precies hetzelfde verhaal: na twee maanden werden ze eruit gegooid op verdenking van web scraping. Misschien moeten ze daar in Panama (want daar woont NordVPN) toch maar eens de werking van hun tools bijstellen. In de tussentijd heeft mijn vertrouwen in deze beveiligingsdienst een flinke deuk  opgelopen.

 

En in de grote boze buitenwereld …

• had het Kadaster te maken met een ernstig beveiligingslek, waardoor ook jouw gegevens op straat lagen.
• heb je in New York slechts een creditcardnummer nodig om iemands metroreizen in te zien.
• is cybercrime plegen supergoedkoop.
• zijn de kopstukken van een van ‘s werelds grootste cybercrimebendes ontmaskerd.
• levert een aanval met ransomware je hoe dan ook een enorme kostenpost op.
• hebben opsporingsdiensten uit zeven landen gezamenlijk een groot botnet uit de lucht gehaald.
• heeft Scotland Yard te kampen met een supplychain-attack.
• kan bias in AI-algoritmes bedreigend zijn voor cloud-security.
• scherpt de Belastingdienst het beleid voor USB-sticks verder aan.