 |
| Afbeelding via Pixabay |
Informatiebeveiliging is een kwestie van vertrouwen. Dat klinkt misschien raar, omdat je gewend bent dat we in de digitale wereld juist alles en iedereen moeten wantrouwen (we hanteren zelfs de term ‘zero trust’) en onze beveiliging moeten baseren op wat er allemaal mis kan gaan. Maar uiteindelijk moet je toch vertrouwen op de mensen, procedures en producten die samen je beveiliging vormen. Het is dan sneu als dat vertrouwen beschaamd wordt.
Als
je gebruikmaakt van het internet, dan wil je daar geen pottenkijkers bij. Thuis
vertrouwen de meesten van ons erop dat onze internetprovider zich netjes
gedraagt. Als je buitenshuis bent, dan krijg je echter opeens te maken met
allerlei andere partijen die je internettoegang bieden: winkels, restaurants,
hotels, vliegvelden, noem maar op. Je
hebt geen flauw idee wie daarachter schuilgaat en of die partijen te vertrouwen
zijn. Maar gelukkig is daar een technische oplossing voor, met de naam VPN:
Virtual Private Network. Een VPN creëert een beveiligde ‘tunnel’ waar alleen
jouw internetverkeer doorheen gaat – vandaar de naam: het lijkt net alsof het
internet een besloten netwerk is geworden, speciaal voor jou.
In
feite verleg je je vertrouwen van de internetaanbieder naar de leverancier van
het VPN. Zonder VPN zou degene, die jou toegang biedt, kunnen meekijken; met
VPN zou de VPN-leverancier kunnen meekijken. Omdat die laatste een
beveiligingsdienst levert, waar je misschien zelfs voor betaalt, vertrouw je
erop dat je internetverkeer bij hen in veilige handen is. Overigens kun je er
doorgaans ook voor kiezen om niet de wifi van dat restaurant of hotel te
gebruiken, maar je mobiele dataverbinding (4G/5G). Deze zomer gingen we echter
op reis buiten Europa. Internetten via je simkaart is dan een kostbare zaak en
daarom wilden we flink gebruik kunnen maken van gratis wifi. Daarom heb ik een
VPN-abonnement afgesloten voor alle apparaten die we meenamen. Dat heeft
perfect gewerkt: geen merkbare vertraging en overal een veilig gevoel. Mijn
minder technische gezinsleden hebben er niks van gemerkt en dat is een goed
teken.
De
ellende begon toen we weer thuis waren. Twee weken geleden merkte ik toevallig
op dat het VPN op mijn telefoon uit stond. De bijbehorende app beweerde zelfs
dat ik geen abonnement had. Voor de zekerheid even gecheckt: ik had toch echt voor
twee jaar betaald. Dus hup, een berichtje naar de VPN-leverancier. Ondanks dat
het zondag was, kwam er al snel een bericht terug van het bedrijf: mijn
abonnement was geschorst vanwege verdacht gedrag – hun systemen hadden opgemerkt
dat via mijn account aan web scraping werd gedaan en dat mag niet van de
gebruiksvoorwaarden. Web scraping is het geautomatiseerd ‘leegtrekken’ van
websites, om alle informatie die daar staat in één keer naar je toe te halen.
Dat is bijvoorbeeld interessant voor een bedrijf dat wil weten wat z’n
concurrenten allemaal doen. En misschien haal je op die manier ook nog
informatie binnen die eigenlijk niet voor het publiek bedoeld is, zoals een
klantenbestand.
Ik
was nogal boos over die reactie. Ze hebben mij, als betalende klant, geschorst
zonder me daarover te informeren. Bovendien waren onze apparaten niet langer
beschermd en ik wist niet eens sinds wanneer. En ik werd valselijk beschuldigd.
Ik vroeg om opheldering en liet daarbij duidelijk merken dat ik niet blij was.
Deze keer kwam de reactie pas de volgende dag. Daarin werd volledig
voorbijgegaan aan mijn misnoegen. Ze wilden niet meer informatie delen over het
voorval, want met dat soort informatie zouden kwaadwillenden hun voordeel
kunnen doen. Maar ze gaven wel praktische tips. Het wachtwoord van mijn account
zou wel gelekt zijn, en ik werd gesommeerd om als de wiedeweerga ook het
wachtwoord van mijn e-mail te wijzigen. Ze gaven verder nog tips over sterke
wachtwoorden en hoe ik kon checken of mijn account gelekt was (via
haveibeenpwned.com, waar ik al jaren sta ingeschreven). Maar vooruit, ze hadden
er nog eens naar gekeken en wilden mijn account wel in ere herstellen.
In
een nieuw mailtje heb ik nog maar eens opnieuw verteld dat ik niet begrijp dat
ze me niet over de schorsing hadden ingelicht. En dat ik snap dat ze geen
informatie kunnen delen, maar dat ze zelf toch zouden moeten kunnen zien dat ik
niks verkeerds heb gedaan. En oh ja, ik vroeg ook nog voor compensatie voor de
tijd dat ze me onbeveiligd door het leven lieten gaan.
Wederom
lieten ze me een dag hangen. Toen speet het hen dat ik ontevreden was, en
bedankten ze me voor de tijd die ik had genomen om feedback te geven. Verdere
informatie wilden ze niet delen. Mijn account was weer geactiveerd, maar als
het nog eens gebeurt, dan is het voor altijd over en uit, voegden ze daar
dreigend aan toe.
Op
Twitter staan berichten van mensen met precies hetzelfde verhaal: na twee
maanden werden ze eruit gegooid op verdenking van web scraping. Misschien moeten
ze daar in Panama (want daar woont NordVPN) toch maar eens de werking van hun
tools bijstellen. In de tussentijd heeft mijn vertrouwen in deze
beveiligingsdienst een flinke deuk opgelopen.
En in de grote boze buitenwereld …
- had het Kadaster te maken met een ernstig beveiligingslek, waardoor ook jouw gegevens op straat lagen.
- heb je in New York slechts een creditcardnummer nodig om iemands metroreizen in te zien.
- is cybercrime plegen supergoedkoop.
- zijn de kopstukken van een van ‘s werelds grootste cybercrimebendes ontmaskerd.
- levert een aanval met ransomware je hoe dan ook een enorme kostenpost op.
- hebben opsporingsdiensten uit zeven landen gezamenlijk een groot botnet uit de lucht gehaald.
- heeft Scotland Yard te kampen met een supplychain-attack.
- kan bias in AI-algoritmes bedreigend zijn voor cloud-security.
- scherpt de Belastingdienst het beleid voor USB-sticks verder aan.
Geen opmerkingen:
Een reactie posten