Kafka's kasteel

 

Afbeelding via Pixabay

Weet je nog dat kasteel waar ik vorige week over schreef?  Waar ze niemand vertrouwden, omdat ze ervan uitgingen dat de vijand al binnen de muren van het kasteel zat? Ik ben eens in de omgeving gaan rondlopen, en wat blijkt? Een eindje verderop staat nog een kasteel. En daar doen ze het helemaal anders.

Nog niet zo lang geleden hoorde ik op een congres de uitspraak: we moeten van ‘low trust, high tolerance’ naar ‘high trust, low tolerance’. Typisch zo’n uitspraak waarbij de zaal instemmend gromt, zonder nog precies te begrijpen wat dit betekent. Ik schrijf dat soort uitspraken dan op, om er later over na te denken. Het schrijven van een blog is een uitstekende manier om zo’n ei uit te broeden. Riemen vast, beste lezer, want ik weet op dit punt nog niet waar het verhaal heen gaat.

Die uitspraak bevat de veronderstelling dat veel organisaties werken vanuit een soort niet-vertrouwen (dat is iets anders dan wantrouwen), zo’n beetje als in het kasteel van vorige week. Daarom gelden er veel regels waar je je aan moet houden, want uit jezelf doe je waarschijnlijk niet het goede, zo is de gedachte. Niet omdat je het niet wilt, maar omdat je het allemaal niet kunt weten. Omdat er zoveel regels zijn, is het erg moeilijk om je overal aan te houden. Alleen al omdat je niet alle regels kent, maar ook omdat sommige regels niet werkbaar zijn, of omdat het soms niet uitkomt. Je weet wel, dat woordje ‘eigenlijk’. Als dat valt, dan weet je al dat er om een regel heen gewerkt gaat worden. De kasteelheer weet dat ook, en ziet daarom veel door de vingers: hij is erg tolerant, zolang de regels maar niet doelbewust en met kwade bedoelingen worden overtreden.

De uitspraak uit de tweede alinea impliceert dat die houding niet goed is, want tja, we ‘moeten’ immers naar dat andere model: veel vertrouwen, lage tolerantie. Deze kasteelheer gaat ervan uit dat iedereen die voor hem werkt zelf heel goed snapt wat wel en niet kan, omdat veel dingen nou eenmaal voor de hand liggen. Als je ergens naar binnen gaat, dan sluit je de deur achter je. Niet alleen omdat het anders tocht, maar ook omdat er anders misschien iemand naar binnen glipt die daar niet hoort te zijn. Als je de juwelen van de kasteelvrouwe beheert, dan snap je vast wel dat het niet de bedoeling is om ze voor een avondje aan je vriendin uit te lenen. Er zijn dus veel minder formele regels, maar wee je gebeente als je het vertrouwen beschaamt en ze erachter komen. Dan zit je binnen de kortste keren op water en brood in de kerker. Er is maar weinig tolerantie.

Ken je de roman Der Prozess van Franz Kafka? Dat verhaal draait om Josef K., die gearresteerd en uiteindelijk veroordeeld wordt zonder ooit geweten te hebben waarom. Kennelijk heeft hij gezondigd tegen regels, die hij niet kende – niet kon kennen. In zo’n kafkaëske situatie zou je wel eens gemakkelijk terecht kunnen komen als we op basis van ‘high trust, low tolerance’ werken. Geen fijne plek om te wonen, dat kasteel.

Wat te denken van een middenweg? Ik noem het ‘some trust, some tolerance’. Het zal vast wel zo zijn dat we wat teveel regels hebben, die toch niemand kent. Iedere burger wordt geacht de wet te kennen, zo heet het. Maar hoe realistisch is dat, als je het letterlijk neemt? Je weet toch ook zonder kennis van wetboeken dat je geen autobanden mag leksteken? Net zo zijn er tal van beveiligingsregels waar je je toch wel aan houdt. Of waar wat meer tolerantie geen kwaad kan. Ik erger me er steeds weer aan als de app, waarin ik het lesrooster van mijn dochter kan zien, me eruit gooit als ik eens een paar weken niet in die app heb gekeken. Dan moet ik opnieuw inloggen, en dan is het altijd even zoeken hoe dat ook alweer werkt, want het gaat anders dan elders (voor collega-ouders: ik heb het over Somtoday). Hoe spannend is nou helemaal wat er in die app staat? Laat hem toch lekker meeliften op de beveiliging van mijn telefoon. Zelfs de app van mijn bank is makkelijker (na een eerste strenge toelatingsprocedure).

We kunnen dus waarschijnlijk toe met wat minder regels, maar we moeten ook leren om minder tolerant te zijn. Het gebeurt nog te vaak dat iemand iets doet op een manier waarvan hij donders goed weet dat het zo niet hoort, maar het – uiteraard met de beste bedoelingen, daar twijfel ik niet aan – toch op die wijze voor elkaar bokst. Het werkt weliswaar, maar er kleven te grote risico’s aan, die mogelijk over het hoofd zijn gezien. Tolerantie moet je dan ook niet nemen, die moet je krijgen. Van degene die de verantwoordelijkheid draagt.

Een nieuw kasteel dus, op gepaste afstand van dat van Kafka. Met bewoners die zich in alle redelijkheid houden aan regels die vooral regelen wat niet voor iedereen voor de hand ligt. Dat werkt overigens alleen voor mensen. Voor systemen houden we toch maar liever vast aan zero trust.

Volgende week verschijnt er geen Security (b)log.

 

En in de grote boze buitenwereld …

• heeft een ransomware-bende haar slachtoffer bij de autoriteiten aangegeven.
• is er een mapping gemaakt tussen NIS2, ISO27002 en de BIO.
• woont de peetvader van alle hackers in India.
• heeft de Duitse cybersecurity-organisatie BSI haar rapport over de ontwikkeling van quantumcomputers geactualiseerd. [DUITS]
• is de tweede podcast van het Team High Tech Crime uit.
• steelt deze malware je cryptomunten via foto’s op je Android-telefoon.
• is het goed om een ad-blocker te gebruiken.
• adviseert de Autoriteit Persoonsgegevens negatief op de ‘datasurveillancewet’.
• mogen ambtenaren straks geen ChatGPT meer gebruiken.
• is een alarmcentrale voor ouderen in nood platgelegd door een cyberaanval.

 

Het kasteel is lek

 

Afbeelding via Pixabay

Assume breach – ga er maar gerust van uit dat je systemen gecompromitteerd zijn, dus dat hackers zich toegang hebben weten te verschaffen tot jouw ICT-middelen zonder dat je het hebt opgemerkt. Het is natuurlijk geen fijn uitgangspunt. Het betekent zoveel als: mijn beveiliging zal falen en ik kan dat niet tegenhouden. Het klinkt alsof je het hoofd in de schoot legt, als een capitulatie. Zo is het echter niet bedoeld. Nee, de assume breach-gedachte wil je erop wijzen dat je tegenstanders zoveel kansen hebben om jouw kasteel binnen te dringen, dat het simpelweg ondoenlijk is om alle gaatjes altijd afdoende te beschermen.

Laat mij de kasteelmetafoor wat verder uitdiepen aan de hand van de aloude gelijkenis zoals we die in de informatiebeveiliging kennen, met de kasteelgracht, de ophaalbrug en de kroonjuwelen in de robuuste donjon. In die vergelijking wordt juist benadrukt hoe goed we het allemaal voor elkaar hebben met onze gelaagde beveiliging. Ik wil het er juist over hebben dat die laagjes allemaal hun zwakke punten kennen.

Laten we beginnen bij de slotgracht. Die is makkelijk: in de winter kun je er soms gewoon overheen lopen (ja jongelui, vroeger werd het in de winter zó koud dat ‘s lands wateren bevroren). Ik denk dat menige trotse, middeleeuwse kasteelheer lelijk op z’n neus keek toen bleek dat zijn geniale waterbarrière ook zonder bootjes eenvoudig kon worden genomen, als de vijand maar het juiste moment afwachtte. Voor het normaal oversteken van dat watertje hebben we de ophaalbrug. Wat gebeurt er als de kettingen of touwen, waarmee de brug wordt opgehaald, knappen? Dan valt het brugdek naar beneden en kan iedereen er overheen. Vanuit beveiligingsperspectief wil je niet dat als iets stuk is, de onveilige situatie de standaard wordt.

Maar gelukkig hebben we nog het valhek, dat de opening in de kasteelmuur afsluit. Als de kettingen daarvan knappen, dan valt het omlaag en is de toegang versperd. Tenminste, als het niet door de ongecontroleerde val scheef gaat en daardoor klem komt de zitten. Dan blijft het juist weer open en kan de vijand alsnog naar binnen.

Als laatste is daar nog de donjon, de kloeke woontoren van de kasteelheer. Die heeft dikke muren en smalle ramen. De dure spullen en de belangrijke mensen zullen wel bovenin hebben gezeten, het verst bij een indringer vandaan. Ik ben alleen bang dat ze geen kant op konden als de vijand een vuurtje ging stoken.

Het schillenmodel is gebaseerd op de hoop dat als de ene schil doorbroken is, de volgende schillen de aanvaller alsnog tegenhouden. Maar is het dan zo ondenkbaar dat alle schillen tegelijkertijd lek zijn? De slotgracht is bevroren, het valhek is vastgeroest en de vijand, die ongehinderd naar binnen marcheert, rookt de kasteelheer uit. Maar je vergeet de boogschutters! Tja, dat is dan een kwestie van aanvallen met een voldoende sterk en goed uitgerust leger.

Ga er dus maar van uit dat de aanvaller al binnen is, zegt de assume breach-mindset. Misschien staat hij nog niet bovenin de donjon, maar loopt hij wel al rond binnen de muren van je kasteel. Hij is vermomd en wacht op een goed moment om zijn slag te slaan. Wat doe je dan, als je denkt te weten dat de vijand in vermomming al binnen is? Dan vertrouw je niemand meer. In security-termen: zero trust. Je gaat ervan uit dat niemand te vertrouwen is en dat je dus iedere keer, dat iemand iets wil, je moet controleren of dat mag. Dus niet: “Ha Jan, kom binnen”, maar: “Ha Jan, even controleren of je er nog steeds in mag.”  Dat veronderstelt op zijn beurt weer dat helder is wát er allemaal mag: klopt het wel dat zóveel medewerkers toegang hebben tot dat belangrijke systeem? Of kun je dat aanvalsoppervlak verkleinen door een betere autorisatiestructuur? Hoe meer mensen iets kunnen, hoe meer mensen een aanvaller kan proberen te misleiden via bijvoorbeeld phishing. Een andere belangrijke maatregel in deze context is tweefactorauthenticatie: je zegt wel dat dit jouw user-id en wachtwoord is, maar dat alleen is niet goed genoeg om toegang te krijgen.

In het fysieke kasteel werkt nul vertrouwen maar tot op zekere hoogte. De kasteelheer zal uiteindelijk zijn lijfwachten en zijn kok moeten kunnen vertrouwen. Hij kan wel extra maatregelen treffen: de juwelen uit de vitrinekast halen en in een afgesloten kist opbergen bijvoorbeeld. Dan maak je het een aanvaller toch weer een stukje moeilijker. En dat is waar het in ons vak om draait.

 

En in de grote boze buitenwereld …

• torpedeert Flipper je iPhone en iPad.
• heeft het Team High Tech Crime van de politie een eigen podcast.
• frauderen criminele organisaties met zogenaamd niet aangekomen pakjes.
• zijn er aan de andere kant ook steeds meer malafide webshops.
• plaatsten diverse politieke partijen illegaal cookies.
• moeten topmanagers zich verdiepen in kunstmatige intelligentie.
• zijn in Bletchley Park belangrijke eerste stappen gezet richting veilig gebruik van kunstmatige intelligentie.
• is ‘ontkoppelen’ misschien wel het nieuwe toverwoord voor onze online privacy en veiligheid.
• is iedereen in de organisatie verantwoordelijk voor informatiebeveiliging.
• legt de Autoriteit Persoonsgegevens nog eens uit hoe gemakkelijk wachtwoorden te kraken zijn.
• uiten vijfhonderd wetenschappers hun bezorgdheid over artikel 45 van eIDAS.

 

 

Verraden door je telefoon

 

Afbeelding via Pixabay

Afgelopen dinsdag was ik in het auditorium van het Van der Valk-hotel in Venlo. Ja, dat was even slikken; zo’n collegezaal is een tikkeltje intimiderend, maar na vier presentaties aan groepen collega’s over de risico’s van je online bestaan zat hij me als gegoten.

Een belangrijk onderdeel van die risico’s heeft te maken met je privacy. Want terwijl jij lekker gratis allerlei apps zit te gebruiken, doen de meeste apps daarnaast ook nog iets voor zichzelf: ze verzamelen data over jou. En die informatie verkopen ze door aan advertentiebedrijven, die deze informatie weer gebruiken om profielen te maken. Daar hangt niet per se meteen jouw naam aan vast: mobiele toestellen werken met een advertentie-ID, die gekoppeld is aan je toestel. Is je privacy daardoor goed beschermd? Mwah.

Zoals wel vaker in de informatiebeveiliging draait het hierbij om wie je bent, of soms ook wat je bent. Neem bijvoorbeeld phishing. Dat kan op twee manieren: de crimineel gebruikt een sleepnet en ziet dan wel wat hij vangt, of hij gebruikt een speer om precies dat ene visje te verschalken dat hij wil hebben. Bijvoorbeeld omdat hij weet dat die persoon bij het geld van het bedrijf kan en daardoor een mooi doelwit is om een mailtje ‘van de directeur’ te ontvangen, waarin staat dat hij onmiddellijk een mooi bedrag naar een bepaalde bankrekening moet overmaken. Deze vorm van phishing heet spearphishing; je begrijpt nu waarom.

Terug naar de reclamewereld. Er worden dus profielen gemaakt voor reclamedoeleinden, maar wie zegt dat die profielen alleen voor dat doel kunnen worden gebruikt? Stel, je beschikt over zo’n verzameling profielen. Je zou dan  een kaart kunnen maken waarop je alle toestellen in een bepaald gebied ziet. Je weet niet van wie ze zijn, je ziet alleen de advertentie-ID’s. Vervolgens zou je een van die ID’s eruit kunnen lichten en de vraag als het ware omdraaien: waar is dit toestel overal geweest? Dat levert misschien een beeld op van plaatsen waar het toestel vaak is. En dat biedt dan weer de mogelijkheid om te achterhalen waar iemand werkt én waar hij woont.

Voor de meesten van ons is dat geen bedreiging – daar zijn we niet interessant genoeg voor. Maar je zult maar een crimineel zijn en dus de politie achter je aan hebben. Door het gebruik van informatie, die eigenlijk is bedoeld voor het plaatsen van advertenties, kunnen ze misschien dicht bij je in de buurt komen. Helaas werkt het ook de andere kant op: je zult maar opsporingsambtenaar zijn en met het soort criminelen te maken hebben dat óók over dergelijke informatie kan beschikken. Weliswaar heb je daar ook gespecialiseerde software voor nodig. Nette bedrijven, die zoiets zouden kunnen maken, zouden een dergelijk product waarschijnlijk alleen leveren aan opsporingsdiensten. Helaas wordt de georganiseerde criminaliteit ook steeds slimmer en bovendien hebben ze geld zat om iets dergelijks te laten bouwen. Dat kan een serieuze dreiging zijn. In het kader van personeelszorg heeft de FIOD dan ook gevraagd om een blog over dit onderwerp. Maar natuurlijk kan het ook voor andere collega’s en voor mensen daarbuiten relevant zijn.

Je kunt hier vrij gemakkelijk iets aan doen. De advertentie-ID van je toestel kan namelijk worden uitgezet. Daardoor word je onzichtbaar op de kaart, en komt je toestel niet in beeld als iemand de vraag mocht stellen: welke toestellen zijn rond acht uur ‘s ochtends en vijf uur ‘s middags rond dit kantoorpand aanwezig? Advertentiebedrijven als Google en Meta zullen je erop wijzen dat je dan ‘minder relevante’ reclame te zien krijgt. So what! Die reclame voor kinderwagens schuif ik dan wel net zo gemakkelijk terzijde als reclame voor hardloopschoenen. En oh ja, als je tijdens je werk ook je privételefoon op zak hebt, dan wil je de advertentie-ID ook op dat toestel om zeep helpen. Hier staat compact beschreven hoe je dat doet in iOS/IpadOS en in Android. En in dit filmpje legt John Oliver (de Brits-Amerikaanse Arjen Lubach) nog eens uit hoe het verhandelen van jouw gegevens in z’n werk gaat. Het hele filmpje is interessant; spoel door naar 10:10 als je alleen het stuk over telefoonlocatie wilt zien.

Bovenstaande tips zijn natuurlijk alleen bedoeld voor mensen aan de goede kant van de wet. Voor criminelen is het juist aan te raden om de tips niet op te volgen, want dat zou allerlei nare consequenties kunnen hebben.

En in de grote boze buitenwereld …

• loopt Amerika voorop met het reguleren van AI.
• investeert Nederland in een eigen AI-taalmodel.
• lees je hier alles wat je nodig hebt voor een businesscase voor IAM-programma’s.
• is de CISO van SolarWinds aangeklaagd wegens fraude.
• hebben tientallen regeringen plechtig beloofd om nooit toe te geven aan ransomware-eisen.
• lees je hier de complete verklaring. Ook Nederland doet mee.
• is betalen wel vaak de gemakkelijkste oplossing bij een ransomware-aanval.
• helpen overheidssancties (een beetje) tegen ransomware.
• is een bedrijf als Boeing ongetwijfeld een vette vis voor ransomwarecriminelen.
• is de overstap naar post-quantum cryptografie voor veel organisaties helemaal niet zo moeilijk.
• heeft de rechter een Amersfoorter veroordeeld voor het maken en verspreiden van een deepfakevideo.
• wordt een botnet soms door anderen dan de politie om zeep geholpen.