Onder de motorkap

Foto van auteur

Traditiegetrouw hebben we ook dit jaar een kerstdorp in onze woonkamer gebouwd. Dat kostte vier dagen tijd en zo’n vijf vierkante meter ruimte, het vergde een gestructureerde aanpak en vereiste de nodige lenigheid. Maar het resultaat mag er dan ook zijn, vinden we zelf. Van begin december tot half januari genieten we van de warme uitstraling van dit winterse tafereel.

Ik kijk daar met heel andere ogen naar dan bezoekers. Want ik weet wat er allemaal onder de oppervlakte zit. Hoe al die lichtjes aan stroom komen, hoe de rotspartijen zijn gemaakt, dat er meters plakband en ettelijke nietjes in zijn verwerkt. Ik weet hoe de hoogteverschillen zijn ontstaan en ik ken de onderdelen van de spoortunnel, die ik – net als de skipiste – eigenhandig heb gebouwd. Ik heb de straat aangelegd en weet welke kabeltjes onder het asfalt liggen. Ik kijk ook dwars door de sneeuw heen en weet precies wat hij allemaal verbergt. En ik weet wat er allemaal eigenlijk niet helemaal klopt in dit tafereel.

De aloude metafoor van de ijsberg dient zich aan. Wat je majestueus boven het water ziet uittorenen, is slechts een fractie van de totale klomp bevroren water. Nou zijn de verhoudingen bij ons kerstdorp niet zo dramatisch, maar toch moet je ook hier niet onderschatten wat er onder de oppervlakte schuil gaat.

Ook het internet zit zo in elkaar. Boven de oppervlakte bevindt zich het internet waar jij en ik onze dagelijkse dingen doen en waar de Googles van deze wereld heersen. Onder de oppervlakte, onzichtbaar voor de meesten van ons, bevindt zich het dark web. Hier geen Google, maar criminelen die de dienst uitmaken. Je kunt er terecht voor allerlei diensten en producten, van DDoS-aanvallen tot drugs. Ik ben daar nog nooit geweest, maar ik heb genoeg presentaties van opsporingsdiensten uit binnen- en buitenland gezien om te weten hoe het daar aan toe gaat. Dat verschilt eigenlijk nauwelijks van het reguliere internet – behalve dan dat je er heel andere dingen koopt en dat je er niet zo gemakkelijk komt. Je kunt natuurlijk aan de bovenkant van de ijsberg vragen hoe je aan de onderkant komt, en als je dan op een site met serieuze uitleg komt, dan besef je al gauw dat je computer beschermende kleding nodig heeft voordat je naar de duistere onderkant afdaalt. En de URL’s die je daar bezoekt lijken niet op bijvoorbeeld buienradar.nl, maar heten ongeveer zo: zqktlwiuavvvqqtxxxvgvi7tyo4hjl5xgfuvxxx6otjiycgwqbym2qad.onion. Als eerzame burger heb je daar niks te zoeken, maar je kunt wel met een hoop ellende opgezadeld worden. Want zoals gezegd, het zijn de spelonken van het internet dat door tuig van de richel wordt bevolkt. En die criminelen kunnen zomaar belangstelling voor jou krijgen als je daar ronddoolt.

Ook wij informatiebeveiligers, toch in velerlei opzicht de tegenpolen van die stiekeme criminelen, houden op z’n tijd van wat geheimpjes. We hebben er zelfs een gelikte term voor: security by obscurity, wat ik maar vertaal in ‘veiligheid door geheimzinnigheid’. Dit staat te boek als een verguisde werkwijze, want in strikte zin houdt het in dat je beveiliging gebaseerd is op geheimhouding en dat je dan maar hoopt dat je geheim niet uitlekt. Je huissleutel verstoppen onder de deurmat is daar een voorbeeld van – eentje dat ook meteen duidelijk maakt dat het niet erg waarschijnlijk is dat nooit iemand je geheim zal ontdekken.

Zo zwart-wit wil ik het niet zien. Ik zeg altijd: security by obscurity voldoet nooit als enige beveiligingsmaatregel, maar het helpt wel. Voorbeeld: we hangen liever niet aan de grote klok welke systemen er allemaal bij ons draaien en met welke versie. Want dat alleen al is informatie waar kwaadwillenden iets aan hebben. Het is een puzzelstukje, en als ze daar maar genoeg van bij elkaar sprokkelen, dan krijgen ze het hele plaatje te zien. Door puzzelstukjes te verstoppen, gaan we dat tegen. Maar omdat je er nooit op kunt vertrouwen dat ze die stukjes niet toch vinden, moeten we al die systemen uiteraard toch beveiligen, en er daarbij van uitgaan dat indringers al veel verder zijn dan wij hopen. Dat is het assume breach-principe: ga er maar gerust van uit dat je al gehackt bent, en stem daar je verdere beveiliging op af. Mocht jouw huissleutel inderdaad onder de deurmat liggen, dan doe je er goed aan ook een alarminstallatie te installeren, zodat iemand die jouw geheim heeft ontdekt toch nog met een extra barrière wordt geconfronteerd.

In de tussentijd probeer ik van ons kerstdorp te genieten alsof ik geen weet heb van de opbouw ervan. En dat noem ik dan delight by ignorance.

De Security (b)log keert na de kerstvakantie terug.

 

En in de grote boze buitenwereld …

• kun je je huissleutel ook vervangen door een app.
• is China beter geworden.
• weet SpongeBob hoe hij AI kan jailbreaken.
• moeten Amerikaanse overheidsinstanties verplicht beveiligingsmaatregelen voor clouddiensten implementeren, te beginnen bij M365.
• zijn cybercriminelen minstens zo geavanceerd als statelijke actoren.
• verraadt Tinder de locatie van honderden Nederlandse militairen.
• worstelt ook de Amerikaanse defensie met de veiligheid van haar telefoons.
• blijft AI voor z’n beveiliging nog even afhankelijk van menselijke intelligentie.
• laat de beveiliging van Nederlandse overheidsdomeinen te wensen over.
• kan phishing duur uitpakken.
• gebruiken criminelen captcha’s om bij jou in te breken.

 

In klusbroek naar de cyberoorlog

Afbeelding via Pixabay

Klussen is niet echt mijn hobby, maar soms moet het nu eenmaal, nietwaar. En als ik dan aan de slag ga, dan draag ik daarbij een broek die ik 36 jaar geleden kreeg uitgereikt als dienstplichtig militair. Onverwoestbaar dat spul. En dat ik er nog steeds in pas, zegt misschien ook iets over mij…

Weet je wat de overeenkomst is tussen mijn klusbroek en het internet? Het zijn er zelfs twee: ten eerste is het internet eveneens van militaire komaf, en ten tweede is het zo ontworpen dat het in principe minstens zo onverwoestbaar is als deze gevechtstenuebroek.

Het internet startte in 1969 (!) onder de naam ARPANET als project van het Amerikaanse ministerie van Defensie. Er was behoefte aan een robuust netwerk, dat niet afhankelijk zou zijn van een centraal systeem. Deze wens leverde een gedistribueerd systeem op, waardoor een bom op één server (het is dan het midden van de Koude Oorlog) niet de hele boel zou platleggen. Daar zijn ze aardig in geslaagd: ik kan me niet herinneren dat het internet als geheel ooit is uitgevallen. Dat gebeurde overigens lokaal wel in 2019 op de Tonga-eilanden, na een breuk in de glasvezelkabel naar Nieuw-Zeeland, lees ik op Wikipedia. Maar dat is dan ook precies een voorbeeld van hoe het niet moet: het idee achter de robuustheid is dat, wanneer een verbinding wegvalt, de data een andere route naar hun doel zoeken. Als je een eiland bent en via één kabel met de rest van de wereld bent verbonden, dan heb je een single point of failure in je systeem – en dat staat haaks op de filosofie achter het internet.

Hoewel Nederland geen eiland is, is ook ons internet niet zo onaantastbaar als je zou willen. Bijna al ons internationale verkeer loopt namelijk via één knooppunt, de Amsterdam Internet Exchange (AMS-IX). Als dat plat gaat, dan zijn er nog wel andere verbindingen met de buitenwereld, maar die zouden dan wel eens overbelast kunnen raken. Gelukkig is AMS-IX wel verdeeld over meerdere locaties, waardoor de kans, dat het knooppunt volledig uitvalt, niet zo groot is. In Nederland gebeurt ontzettend veel op het internet: kantoormensen kunnen thuis werken, we shoppen ons wezenloos en via sociale media staan we in contact met de rest van de wereld. Je moet er toch niet aan denken dat dit voor langer dan tien minuten verstoord raakt hè.

De secretaris-generaal van de NAVO liet ons deze week weten dat we ons mentaal moeten voorbereiden op een oorlog. Ik weet niet hoe dat bij jou binnenkwam, maar de uitspraak van Mark Rutte viel mij rauw op het dak. Oorlog, dat is iets uit de tijd van mijn ouders en speelt zich in onze tijd elders op de wereld af. Toegegeven, Oekraïne ligt op nog geen vijftienhonderd kilometer van mijn huis, maar dichterbij zal het toch niet komen? Dan roep ik toch even het boek Het is oorlog maar niemand die het ziet van Huib Modderkolk in herinnering. Rutte zal met zijn uitspraak niet direct aan een digitale oorlog hebben gedacht, maar feitelijk woedt die al jaren. De inlichtingendiensten noemen regelmatig het illustere kwartet Rusland, China, Iran en Noord-Korea als het gaat om statelijke actoren die ons aanvallen. Hun doelen zijn spionage, geld, ontwrichting, sabotage en beïnvloeding. Rutte pleit voor tanks en straaljagers, maar hopelijk fluistert hem ook iemand in dat digitale defensie een topprioriteit moet zijn. Vroeger gold dat je een oorlog had gewonnen als je het luchtruim beheerste. Tegenwoordig is macht over cyberspace minstens zo belangrijk. Een veilige digitale infrastructuur is veel minder tastbaar dan Leopards en F35’s – ik moet de eerste router in camouflagekleuren nog tegenkomen. Hopelijk leidt die onzichtbaarheid niet tot gebrek aan aandacht.

Op het label van mijn klusbroek staat de naam H. van Puijenbroek. Dat blijkt een textielfabrikant te zijn die al sinds 1925 een vaste leverancier van onze krijgsmacht is. Verder blijkt dat die broek voor € 49 te koop wordt aangeboden, als “zeldzame vondst”. En had ik de bijbehorende jassen maar niet weggegeven: die worden aangeboden voor bijna tweehonderd euro. Dan had ik ze nu verkocht en het geld in mijn oorlogskas kunnen stoppen. Want vanwege de geopolitieke dreigingen adviseren banken en ministers om contant geld in huis te hebben. Want als “ze” de boel hier lamleggen en we niet meer kunnen pinnen, willen we toch blijven eten. Gelukkig wordt fysiek geld door de meeste supermarkten nog steeds als ruilmiddel geaccepteerd. 

 

En in de grote boze buitenwereld …

• krijgt de NAVO in 2028 een nieuw cyber center.
• komt spionage soms in het nieuws.
• heeft Google een mijlpaal bereikt op het gebied van quantum computing.
• heeft de laatste tijd vooral de cloud last van uitval, in het bijzonder die van Microsoft.
• hadden echter ook sociale media deze week last van uitval.
• kon de multifactorauthenticatie van Microsoft Azure gemakkelijk worden omzeild.
• zijn lang niet alle cybercriminelen betrouwbaar.
• neemt Firefox afscheid van een privacy-instelling, omdat die toch niet zou werken.
• kan je iPhone binnenkort locatiegegevens verwijderen van foto’s die je gaat delen.
• hebben de Nederlandse inlichtingendiensten een dreigingenanalyse op kunstmatige intelligentie gepubliceerd.
•  

Kijk me aan

Afbeelding via Pixabay

Hoe ontgrendel jij je mobiel, tablet of laptop? Met een wachtwoord, een pincode, je vingerafdruk of misschien zelfs met je gezicht? Er zijn legio mogelijkheden en je kon dan ook wachten op de vraag of gezichtsherkenning wel veilig is. Een paar jaar geleden was mijn antwoord: op zakelijke toestellen zou ik het niet gebruiken, privé lijkt me geen probleem – tenminste, als je een beetje een normaal leven hebt. Maar klopt die stelling wel? Tijd voor wat onderzoek, zodat jij er niet zelf in hoeft te duiken.

Gezichtsherkenning is een vorm van biometrische identificatie, waarbij unieke kenmerken van je lichaam worden vergeleken met een opgeslagen patroon. Andere vormen van biometrie zijn bijvoorbeeld de vingerafdruk- en handpalmscan, de irisscan en stemherkenning. Deze technieken werken anders dan de goede oude vingerafdrukken die je kent van de politie, waarbij met geïnkte vingers een afdruk op papier wordt gemaakt die dan vergeleken wordt met de afdrukken die de inbreker op het raam heeft achtergelaten. In plaats daarvan wordt de scan vertaald in een biometrisch profiel, waarbij onder andere wordt gekeken naar de afstand tussen je ogen, de afstand tussen neus en mond, de vorm van je jukbeenderen en de afmetingen van je gezicht. Geavanceerdere systemen maken een 3D-scan en gebruiken infraroodbeelden, waardoor het profiel nauwkeuriger wordt. Nog beter wordt het als technologie wordt gebruikt om te controleren of de camera naar een levende persoon kijkt. Bij het ontgrendelen worden de dan waargenomen kenmerken vergeleken met het opgeslagen profiel. Het is dus niet zo dat foto’s van toen en nu met elkaar worden vergeleken.

Ik heb vanochtend een stoet aan artikelen over dit onderwerp gelezen, en het antwoord op de vraag of gezichtsherkenning een veilige methode is om je apparaat te ontgrendelen blijkt te zijn: het hangt ervan af om welk apparaat het gaat. FaceID van Apple maakt vanaf de iPhone X gebruik van de geavanceerdere technieken die ik hierboven beschreef en wordt daardoor als veilig beschouwd. Voor Android-toestellen geldt een ander verhaal, zo ontdekte de Consumentenbond. Die herhaalde in 2023 zijn onderzoek van vier jaar eerder en moest concluderen dat er weinig was veranderd: nog steeds konden ze 43% van de onderzochte toestellen voor de gek houden met een foto. Het gaat dan vooral om toestellen aan de onderkant en in het midden van de prijslijst, hoewel ook een paar duurdere toestellen door de mand vielen. Bijna alle Samsung-toestellen deden het goed.

Op Windows-pc’s is Windows Hello beschikbaar. Dat maakt gebruik van infraroodcamera’s om een 3D-scan van je gezicht te maken. Het systeem kan ook checken of het naar een levend wezen zit te kijken, waardoor je het niet gemakkelijk kunt foppen met een foto. Beschikt je computer niet over de benodigde camera’s, dan is gezichtsherkenning niet beschikbaar.

Natuurlijk heb ik de proef op de som genomen en mijn privé-telefoon naar een foto op mijn beeldscherm laten kijken. En vervolgens heb ik gezichtsherkenning op dat toestel gauw uitgeschakeld… De vingerafdrukscanner blijf ik wel gebruiken, want dat is veiliger dan een pincode omdat die kan worden afgekeken. En waar je gezichtsherkenning vaak met een foto kunt foppen, is dat met een vingerafdruk vele malen moeilijker. Sommige Android-toestellen hebben nog patroonherkenning, waarbij je met je vinger een patroon tekent op een raster van negen punten. Het gebruik daarvan wordt zo’n beetje unaniem afgeraden, omdat iemand die over je schouder meekijkt dat patroon heel gemakkelijk kan onthouden. Bovendien verraden vetsporen op het scherm ook het nodige.

Tijdens de research voor deze blog is mij iets opgevallen. Ik heb gezocht op “gezichtsherkenning veilig” en op “face recognition safe”. De Nederlandstalige artikelen gaven goed antwoord op de vraag die ik had, terwijl de Engelstalige artikelen vooral ingingen op het privacy-aspect van gezichtsherkenning: voor welke doelen is deze technologie allemaal te misbruiken? Privacy speelt met name een rol wanneer biometrische gegevens in databases worden opgeslagen. En weer zien we die Chinees bij rood oversteken en een paar dagen later per post een bekeuring ontvangen. Maar ook criminelen zijn geïnteresseerd in technologie waarmee je op basis van een (heimelijk genomen) foto informatie over iemand kunt vergaren. En ten slotte vrezen nogal wat mensen dat de politie hun telefoon wel heel gemakkelijk kan ontgrendelen – je kunt je gezicht nu eenmaal niet uitzetten (net zo min als vingerafdrukken overigens). Terwijl je wel kunt weigeren om je pincode af te staan.

Volgende week verschijnt er geen Security (b)log.

 

En in de grote boze buitenwereld …

• zijn er ook nog andere wegen om telefoons te ontgrendelen.
• worden valse QR-codes op parkeerautomaten geplakt.
• verkopen Chinese ambtenaren gegevens van burgers op de zwarte markt.
• roept D-Link gebruikers van bepaalde VPN-routers dringend op het apparaat te vervangen.
• proberen phishers onder de radar te blijven met behulp van vectorafbeeldingen.
• verraden de telefoons van Amerikaanse militairen en spionnen hun locatie.
• doen we het allemaal voor niets.
• vinden criminelen Black Friday ook leuk.
• denkt de minister van V&J dat decryptieplicht voor chat-apps een dilemma is.
• begrijpt diezelfde minister wel dat de politie meer verstand van de onlinewereld moet krijgen.
• wordt zelfs de naam van het NCSC misbruikt in een phishingcampagne.

 

 

Veilig water

Afbeelding via Pixabay

Heb je ‘m al gezien? Hij rukt op in onze kantoren. Zonder enige aankondiging – of ik moet iets gemist hebben. Onwennig keken we elkaar aan. Die dag ging ik de eerste keer toch nog naar die ander, maar daarna kon ik mijn nieuwsgierigheid niet langer bedwingen en stapte ik moedig op hem af. Ik raakte hem aan en er verschenen pretlichtjes. Het was even zoeken hoe het precies moest, maar uiteindelijk kreeg ik wat ik wilde. Een mok vol heet water. We hebben het over de Borg & Overström E6, een apparaat dat koud, gekoeld, bubbelend en heet water levert. Thee- en waterdrinkers worden verwend.

Hoe ik erbij kom om de Security (b)log aan een drinking water solution te wijden? Nou, als in de naam van een waterautomaat Overström staat, dan heb je mijn aandacht. Nomen est omen – of in goed Nederlands: what’s in a name. En inderdaad zie ik dat het toestel op onze verdieping een beetje lekt. Maar ook het eerste deel van de naam is absoluut een trigger, maar dat snappen alleen fans van Star Trek. Tipje van de sluier voor alle anderen: de Borg, dat zijn die gezellige ruimtewezens van “You will be assimilated. Resistance is futile.”

Er ligt geen handleiding naast de B&O (oeps, die afkorting was al van een ander bedrijf). Hoezo handleiding, hoor ik je denken, als je nog niet persoonlijk hebt kennisgemaakt met de E6. Maar dat apparaat geeft zijn water niet zomaar prijs. Het heeft vijf knoppen: eentje voor elk van de genoemde producten plus eentje met een hangslot erop. Aha, daar zit de link met security!

Dan denk je dus dat je het apparaat eerst moet ontgrendelen met die knop en vervolgens op de knop van je keuze moet drukken. Fout! Na twee aanrakingen gebeurt er namelijk helemaal niets. Nou ja, je krijgt een kleine lichtshow op de plek waar je water had verwacht. Maar geen water. Huh? Na een dagje oefenen ben ik eruit. Je moet ‘m eerst met een tedere aanraking wakker kussen, vervolgens de boel ontgrendelen met de hangslotjesknop en dán pas op de knop van het gewenste product drukken. Et voilà, zolang je vinger op die plek rust, stroomt er water. In één keer een volle mok – een ware vooruitgang ten opzichte van de koffieautomaten waar je voor hetzelfde doel tweemaal moest tappen, of de ‘kan’-knop moest gebruiken.

Ondertussen vragen collega’s zich af waarom er überhaupt een vergrendeling op die toestellen zit. Ik antwoord dan steevast: om kinderen tegen het hete water te beschermen. Welke kinderen dan? Ja precies. Die zijn uiterst zeldzaam in onze kantooromgeving, en ik vermoed zomaar dat hetzelfde geldt voor het overgrote deel van de andere klanten van dit Britse bedrijf (dat had je niet gedacht hè, dat ze daarvandaan komen).

Ik heb al eerder geschreven over beveiligingsmaatregelen, die in een bepaalde context overbodig zijn, en daardoor onnodig voor oponthoud zorgen. Kijk, bij een kokendwaterkraan op kantoor snap ik wel dat daar een soort beveiliging op zit waardoor je heel bewust voor kokend water moet kiezen. Het zou sneu zijn als je je handen door een bedieningsfout met kokend water staat te wassen. Maar bij een tappunt doe je dat niet, en het lukt ook niet om er met je mond onder te gaan hangen als je geen beker maar wel dorst hebt. Bovendien hebben de koffieautomaten ook geen vergrendeling.

Aan veel Security (b)logs gaat gedegen research vooraf. Voor deze editie wilde ik de website van Borg & Overström raadplegen. Maar in plaats van de gewenste site kreeg ik een scherm van Cloudflare voorgeschoteld: “Sorry, you have been blocked.” Ik zou iets gedaan hebben wat de beveiliging getriggerd heeft. Terwijl ik alleen maar vanuit de zoekmachine (startpage.com) op de link van het bedrijf heb geklikt. Ach ja, gelukkig leiden er meer wegen naar Rome en mocht ik op een ander apparaat wel naar die site. Ik wist trouwens niet dat je zulke ronkende teksten kon fabriceren over waterspuwers! De meeste teksten zou je bijna ongewijzigd kunnen overnemen om het nieuwste model elektrische auto aan de man te brengen (“evolved environmental sustainability, energy-efficiency and intelligent technology” en “we aim to inspire the every day with original design and thoughtful innovation”). Maar goed, ik werd dus geblokt en heb geen idee waarom. Zouden ze onze organisatie geblacklist hebben?

Je kunt de E6 ook contactloos bedienen, via Bluetooth – een innovatie dankzij corona. Ik citeer maar weer even mijn Finse held Mikko Hyppönen: als het verbonden is, is het kwetsbaar. Als dat maar niet tot een overströming leidt.

 

En in de grote boze buitenwereld …

• maakt Amerika zich op voor een tijdperk van nog meer overheidstoezicht.
• is nummerplaatherkenning daar een onderdeel van.
• linkt bovenstaand artikel naar een kaart waarop wereldwijd locaties van ANPR-camera’s te zien is (behalve in Nederland…).
• maken ook criminelen graag gebruik van de gegevens die de politie heeft.
• gebruikt deze ransomware de securitytool BitLocker voor het versleutelen van je harde schijf.
• start je iPhone automatisch opnieuw op als je hem drie dagen lang niet hebt gebruikt.
• gebruikt de Secret Service locatiegegevens op basis van de toestemming die je aan apps op je telefoon geeft.
• dringt Europa er bij Temu op aan om onze consumentenrechten te respecteren.
• heeft de FBI misschien ook wel jouw apparaat geschoond, gewoon hier in Nederland.

De EU en AI

 

Afbeelding via Pixabay

Ai, we gaan het over een wat ingewikkeld onderwerp hebben: AI. Oftewel artificial intelligence, dan wel kunstmatige intelligentie. Dat we in het Nederlands meestal de Engelse afkorting gebruiken, komt misschien wel omdat we ‘KI’ in het Nederlands associëren met kunstmatige inseminatie, bedenk ik net. Overigens geeft de Dikke Van Dale beide betekenissen voor de afkorting ki (ja, in kleine letters).

Ik heb al eerder gezegd dat je niet aan een informatiebeveiliger moet vragen of je AI mag gebruiken voor je werk, want dan volgt er een risicoanalyse waarvan de uitkomst ongetwijfeld zal zijn: niet doen. Nee, beslissingen over het toepassen van bepaalde vormen van technologie horen bij ‘de business’ te liggen, of, met misschien een betere term, bij de beslissers. Ze mogen zich gerust laten beïnvloeden door onze risicoanalyses, maar er zijn meer factoren waar beslissers rekening mee moeten en/of willen houden.

Soms ligt de beslissing nog hoger, op politiek niveau. Dat is met AI ook het geval. Er is een heuse Europese AI Act, oftewel een verordening op kunstmatige intelligentie (een verordening is wetgeving die in de hele EU van toepassing is, zonder afzonderlijke interpretatie per land). Doel van de AI Act is dat we veilige AI-systemen krijgen, die onze fundamentele rechten respecteren. Die rechten omvatten transparantie, traceerbaarheid, non-discriminatie en milieuvriendelijkheid. En de systemen moeten – om schadelijke gevolgen te voorkomen – onder menselijk toezicht staan.

De verordening verdeelt het AI-landschap in vier risiconiveaus. Het hoogste niveau bevat systemen die een onacceptabel risico voor de veiligheid, bestaanszekerheid en rechten van mensen vormen en daarom verboden zijn. Voorbeelden die de EU hierbij noemt zijn speelgoed met stembediening dat gevaarlijk gedrag aanmoedigt en real-time biometrische identificatie (denk hierbij aan de in China wél toegepaste gezichtsherkenning bij verkeerslichten: loop je door rood, krijg je een bekeuring op de mat).

De volgende categorie bevat systemen die een hoog, maar acceptabel risico vormen. Ze kunnen een negatieve invloed hebben op onze veiligheid en fundamentele rechten, en ze vallen uiteen in twee subcategorieën: systemen, die onder productveiligheidswetgeving van de EU vallen, zoals speelgoed, auto’s, luchtvaart, medische apparatuur en liften, en systemen die in bepaalde gebieden vallen, zoals kritieke infrastructuur, onderwijs, werkgelegenheid, wetshandhaving en migratie. Dergelijke systemen worden beoordeeld voordat ze op de markt mogen worden gebracht, en daarna gedurende hun hele levensduur. Nationale toezichthouders moeten een klachtenprocedure inrichten.

Nog een niveau lager gaat het over systemen waarbij het risico op misleiding bestaat. Hier zit de generatieve AI in, die zelf content creëert, zoals ChatGPT en Gemini. Kunstmatig gegenereerde content moet als zodanig gemerkt worden. Dus als je op een website met een AI-chatbot kletst, dan moeten ze je dat duidelijk vertellen. Ook deepfakes – filmpjes, foto’s en geluidsfragmenten waarin het door manipulatie lijkt alsof iemand iets doet of zegt – moeten een labeltje krijgen. AI-systemen, die een minimaal risico vormen, worden niet gereguleerd. Je kunt hierbij denken aan games en spamfilters. Volgens de EU valt de overgrote meerderheid van de nu gebruikte AI-systemen in deze categorie.

De AI-Act wordt gefaseerd ingevoerd. In februari volgend jaar worden de onacceptabele systemen verboden. Een half jaar later moeten de nationale toezichthouders in het zadel zitten. Volgend jaar worden ook de transparantieregels voor algemene AI (zoals ChatGPT) van kracht. En weer een jaar later worden de regels voor de hoog-risicosystemen van kracht.

Het is prettig om te zien dat de EU dit onderwerp tijdig bij de horens vat. Maar ik heb ook niet de illusie dat iedereen zich aan de regelgeving zal houden. Met name criminelen hebben er een handje van om de wet te overtreden. Zij zullen heus wel deepfakes blijven gebruiken om mensen te laten geloven dat een familielid in nood verkeert en dringend geld nodig heeft.

 

En in de grote boze buitenwereld …

• hebben ook militairen behoefte aan AI-regelgeving.
• is ChatGPT geen formele bron.
• haalde de Belastingdienst de luchtverkeersleiding onderuit.
• moet je soms teruggrijpen op ouderwetse systemen.
• verzamelt deze website Europese alternatieven voor digitale producten en diensten.
• worden ethische hackers in Duitsland wettelijk beschermd.
• moet je alert zijn op phishing vanuit booking.com.
• wil Australië kinderen en tieners van social media weren, om hun mentale gezondheid te beschermen.

Geen stijl

 

Afbeelding via Pixabay

Als je ergens een sticker met de tekst VEILIG op plakt, is het dan veilig? Dat hangt ervan af. Als die sticker wordt geplakt nadat de veiligheid gecontroleerd is, en er afspraken zijn dat die sticker alleen dán geplakt wordt, dan mag je er inderdaad van uitgaan dat het gestickerde ding veilig is – tenminste, als aan die sticker te zien is dat hij echt is. In alle andere gevallen slaat zo’n sticker natuurlijk helemaal nergens op. Sterker nog: het werkt schijnveiligheid in de hand.

Laatst sprak ik een collega die een mooie webapplicatie beheert. Bij het maken van dat programma waren ze één ding vergeten: de huisstijl. En dat vonden de mensen, die over de huisstijl waken, geen goed idee. Want, zo vond men, dan gaan gebruikers denken dat het een valse website is, waar enge dingen zouden kunnen gebeuren. Zet ons huisstijllogo erop, zeiden ze, dan is duidelijk dat de site veilig is.

Onzin. Als cybercriminelen de laatste jaren érgens goed in zijn geworden, dan is het wel het natuurgetrouw nabouwen van websites. Ze gaan kijken hoe de echte website eruitziet en kopiëren de complete huisstijl: logo’s, foto’s, lettertype, schrijfstijl, ja zelfs de waarschuwing voor cybercriminelen, die tegenwoordig op veel sites staat, nemen ze over. Aan het uiterlijk valt de veiligheid dus niet af te lezen.

Maar, zei de beheerder, gebruikers van mijn applicatie kunnen in de URL-balk van de browser zien dat de getoonde webpagina in ons domein zit. Maar dat werkt dus óók niet. Want voor de gemiddelde gebruiker is dat gewoon een brug te ver. Of heb jij nog nooit gezien dat iemand in de zoekbalk van Google ‘buienradar.nl’ intikt en vervolgens via de zoekresultaten naar die website gaat? In plaats van ‘buienradar.nl’ (de URL) meteen in de URL-balk (helemaal bovenin de browser) in te tikken, zodat je meteen op de juiste plek belandt? Veel gebruikers hebben een blinde vlek voor de URL-balk, laat staan dat ze gaan kijken wat daar staat en op basis daarvan ook nog eens kunnen bepalen of ze op een bonafide site zijn aanbeland.

Terzijde: de hier geschetste werkwijze introduceert een extra probleem. Cybercriminelen slagen er goed in om hun valse sites hoog in de zoekresultaten te laten tonen. Zo kan het dus gebeuren dat je via je zoekmachine op een valse site terechtkomt. Tip: als je de URL weet, tik die dan in de URL-balk in, niet in Google (of een andere zoekmachine). Ga je vaker naar een site, maak er dan een bookmark/bladwijzer voor, zodat je niet hoeft te typen. Met bookmarks voorkom je bovendien dat je door een typfout (‘buienrader.nl’) alsnog op een valse site terechtkomt. Criminelen bouwen namelijk graag websites met URL’s die erg lijken op die van de echte websites. En dan hopen ze dat jij een typfout maakt en bij hen belandt. Typosquatting heet dat. Een typo is een typfout, en squatting betekent kraken (als in: een woning kraken).

Ondanks dit alles heb ik er bij de beheerder voor gepleit om de huisstijl toe te passen. Ben ik dan voor schijnveiligheid? Geenszins. Maar ik wil voorkomen dat het onterechte meldingen regent van gebruikers die denken dat ze op een valse site zitten – de collega’s van de ICT-servicedesk hebben het al druk genoeg, dus als ik ze een aantal false positives kan besparen, dan doe ik dat graag. Bovendien trainen wij gebruikers in het herkennen van gevaren. Ik noem dat rode vlaggen. Hoe meer rode vlaggen, hoe aannemelijker dat het foute boel is. Voor bijvoorbeeld phishing kan ik zo een aantal rode vlaggen opdreunen: een onpersoonlijke aanhef (“Beste klant”), afwijkend afzenderadres (bol.nl in plaats van bol.com) of een link naar een afwijkend domein (bol.com.klantenservice.nl). Tip: zo’n URL moet je van rechts naar links lezen; dus alleen als bol.com helemaal rechts staat, bezoek je het domein van die webwinkel. Daar mag overigens nog wel iets achter staan, beginnend met een ‘/’: bol.com/klantenservice is een pagina in het domein bol.com. Maar bol.com.klantenservice.nl is dus niet van bol.com.

Ik ben natuurlijk even op de pagina van die interne webapplicatie gaan kijken. En wat zie ik? In een hoekje prijkt ons huisstijllogo! Er is water bij de wijn gedaan, in de hoop dat iedereen nu tevreden is. En ze gaan nog een stap verder: de applicatie zal worden aangesloten op single sign-on, zodat bezoekers niet meer handmatig hoeven in te loggen. Een slimme zet, want als je het gevoel hebt dat je misschien op een valse site bent en daar dan ook nog op moet inloggen, versterkt dat het gevoel van onveiligheid.

 

En in de grote boze buitenwereld …

• voerde dit security-bedrijf een jarenlang gevecht tegen Chinese staatshackers.
• onthullen de Strava-accounts van bodyguards waar wereldleiders uithangen.
• spreekt dit artikel van een quantum-hype.
• heeft een internationale politie-coalitie een infostealer-operatie opgeruimd.
• horen ontslagen medewerkers niet meer te kunnen inloggen.
• wordt ransomware alleen maar erger.

 

In en onder de mijn

 

Afbeelding via Pixabay

In Zuid-Limburg floreerde in de vorige eeuw de mijnbouw. Die activiteit begon overigens al rond het jaar 1100, toen de monniken van de abdij Rolduc in Kerkrade al in de grond wroetten.  Vanaf de 17^e eeuw werd het allemaal wat serieuzer, en in 1902 werden de Staatsmijnen opgericht. Uit mijn jeugd herinner ik me nog twee markante punten: een grote, pikzwarte bult in het landschap als we over de snelweg naar Heerlen reden en de Lange Jan, de 135 meter lange schoorsteen van de elektriciteitscentrale die bij een mijn hoorde, midden in diezelfde stad. In 1973 sloot de regering de mijnen. In Landgraaf herinneren nog diverse straatnamen aan die tijd: Koempel, Pungel, Houwer, Zeverij, Mijnlamp, Galerij, Aan de Schacht en nog meer.

Misschien is het wel deze geschiedenis die maakt dat ik wat moeilijk vat krijg op de term ondermijning. Die mijngangen zitten immers al onder de grond, wat kan daar nog onder zitten? Tegelijkertijd zit er toch een mooie metafoor in. Want ondermijning duidt op de verwevenheid van de onderwereld en de bovenwereld, ofwel criminaliteit en legaliteit. In de onderwereld gebeuren dingen die het daglicht niet verdragen, en in de mijngangen was het ook donker.

Maar wat is dat nou precies, die ondermijning? Op de site van de rijksoverheid komen ze ook niet met een heel concrete definitie: “Criminelen maken voor illegale activiteiten gebruik van legale bedrijven en diensten. Hierdoor vervagen normen en neemt het gevoel van veiligheid en leefbaarheid af. Dit effect heet ook wel ondermijning.” Als je doorklikt, wordt het een stuk duidelijker. Er wordt gesproken over het beïnvloeden en onderdrukken van bijvoorbeeld parlementariërs, ambtenaren en “onschuldige burgers” (alsof die beide andere steevast schuldig zijn…). Er kan zwaar geweld aan te pas komen, “tot aan liquidaties en explosies in woonwijken toe”.

Voorbeelden maken duidelijker waar het om draait als legale bedrijven worden betrokken bij criminele activiteiten: bij witwassen van crimineel vermogen worden banken gebruikt, drugs- en mensensmokkel lopen via havens en luchthavens en voor de aanleg van een hennepkwekerij hebben ze een elektricien nodig. Ambtenaren worden onder druk gezet of betaald om informatie door te spelen. Het gaat dan misschien om de adresgegevens van iemand waarmee ze nog een appeltje te schillen hebben. Dan kom je op het werkterrein van de Rijksrecherche: een opsporingsdienst die rechtstreeks onder het Openbaar Ministerie ressorteert. Het opsporen en onderzoeken van mogelijk strafbaar gedrag van ambtenaren is een van hun belangrijkste taken.

Op ons intranet staat een verplichte e-learning “Weerbaarheid: Bescherming bij benadering”. Aan de hand van indringende filmpjes wordt duidelijk hoe sluipend ondermijning in z’n werk gaat: een bezorgde kennis merkt dat je even wat krap bij kas zit, leent je een paar duizend euro en vindt vervolgens dat je moreel verplicht bent een wederdienst te leveren. Raak je daar eenmaal in verstrikt, dan kom je er niet meer gemakkelijk uit. De e-learning heeft indruk op mij gemaakt.

Wat dan weer jammer is, is dat er volgens diezelfde cursus maar liefst vijf verschillende meldpunten zijn: vier interne plus 112, voor als er acuut gevaar dreigt. “Hoe goed ken jij de verschillende meldpunten waar je terecht kunt?” Nou, weet je, mocht het ooit voorkomen dat ik met mogelijke ondermijning te maken krijg, dan zoek ik dan wel uit waar ik terecht kan. Het lijkt me een beetje onzinnig om nu uit het hoofd te leren bij welk loket ik in welke specifieke situatie moet aankloppen.

Criminelen onderscheiden niet goed tussen wat van hen is en wat van anderen is. Dat is het onderscheid tussen mijn en dijn. Wat me dan toch weer op slinkse wegen terugbrengt naar die steenkolenmijn van weleer.

Volgende week verschijnt er geen Security (b)log.

 

En in de grote boze buitenwereld …

• zijn phishingtests zinloos.
• laat je nieuwe horloge even iets langer op zich wachten.
• verschuift de werkwijze van ransomware van encryptie naar afpersing.
• bieden Britse inlichtendiensten aan om alle scholen in dat land te beschermen tegen ransomware.
• gebruikt Twitter/X niet langer gegevens van EU-gebruikers voor het trainen van z’n AI.
• vraagt generatieve AI om een andere aanpak van cybersecurity.
• maakt de overheid ondertussen volop gebruik van AI (maar AI is niet hetzelfde als generatieve AI).
• zien AI-chatbots dingen die jij niet ziet - en dat is gevaarlijk.
• is ladders verbieden geen goede maatregel tegen woninginbraken.
• omzeilen sommige Amerikanen het verbod op de malware-scanner van Kaspersky.

 

Watersnood

 

Afbeelding gegenereerd door ChatGPT

Apeldoorn, vrijdag 4 oktober 2024, 18.22 uur:  bij 70 duizend huishoudens ploft een mailbom op de mat: het drinkwater is besmet met de e.coli-bacterie (in de krant liefdevol de ‘poepbacterie’ genoemd), u dient het water drie minuten te koken alvorens het te drinken. Ook voor tandenpoetsen en het wassen van groente moet je afgekookt water gebruiken.

De bevolking spoedt zich acuut en massaal naar de supermarkt om flessenwater in te slaan. De nood is hoog – in één supermarkt gaan mensen zelfs op de vuist voor de laatste paar flessen. We zien beelden die we kennen uit verre landen, met mensen die winkelkarretjes voortduwen die maximaal zijn gevuld.  Aan het einde van de avond is dan ook nergens meer een fles te koop. Er wordt nog net niet geplunderd. Een winkelier vertelt in de krant hoe snel het water over de toonbank ging, en dat hij voor de volgende dag niet de gebruikelijke duizend liter, maar tien keer zoveel heeft besteld. De plaatselijke persfotograaf legt een auto vast waarvan de bagageruimte volledig is gevuld met waterflesjes. Ik heb ze geteld: er ligt rond de 140 liter water in die auto.

En wij? Wij bleven rustig thuis zitten. Want enerzijds vertrouwen wij erop dat als het waterleidingbedrijf zegt dat een paar minuten koken afdoende is, dat ook echt zo is, en anderzijds hebben wij al jaren een noodvoorraad drinkwater, precies voor dit soort gevallen. En we letten op de houdbaarheidsdatum, zodat het water tijdig ververst wordt (wat niet wegneemt dat het toch een beetje muf smaakt). En zo zijn er nog meer spullen die je maar beter in huis hebt voor als er eens iets raars aan de hand is. Een voorraadje voedsel ligt natuurlijk voor de hand; bedenk daarbij dat je misschien geen gas of elektriciteit hebt om het te bereiden en dat je het dus koud moet kunnen eten. Oplaadbare lampen zijn alleen leuk zolang er stroom is – lampen die (ook) op batterijen werken zijn beter, mits je voldoende volle batterijen in huis hebt. Een radio op batterijen is handig om op de hoogte te blijven van de voortgang van de misère.

In de ICT is dit het vakgebied van Business Continuity Management. BCM’ers regelen onder andere dat áls het een keer misgaat, áls onze ICT wordt getroffen door een calamiteit, de gevolgen beperkt blijven en we weer zo snel mogelijk terug zijn bij normaal. Dat doen ze door erop toe te zien dat teams, die verantwoordelijk zijn voor het in de lucht houden van ICT-diensten, optimaal voorbereid zijn op eventualiteiten. Er liggen plannen klaar en die plannen worden getest. En voor grote, ingrijpende gebeurtenissen trainen ze het crisismanagementteam, zodat ook deze mensen weten wat ze te doen staat als de dingen een keer heel anders lopen dan de bedoeling is.

Zoals het voorbeeld van de watersnood in Apeldoorn en de omliggende dorpen aangeeft, is het ook handig om thuis iets aan BCM te doen (al zou ik het dan misschien eerder HCM noemen: Home Continuity Management). Hierboven gaf ik al een aanzet tot een boodschappenlijstje; op de overheidswebsite denkvooruit.nl vind je nog meer informatie. Daar lees je bijvoorbeeld dat het ook handig is om wat contant geld in huis te hebben. Want bij een massale uitval van elektriciteit of netwerkverbindingen kun je ook niet meer pinnen, en de geldautomaat zal ook zijn sorry-scherm tonen. Dan ben je blij als je calamiteitencontanten in huis hebt en wél boodschappen kunt doen.

Maar dan niet gelijk gaan hamsteren hè. Hier bij ons moest de burgemeester eraan te pas komen om de bevolking op te roepen om niet te pakken wat je pakken kunt en rekening met elkaar te houden – gun de ander ook wat, was de boodschap. Ik moest terugdenken aan dat filmpje uit de coronatijd, waarin een schaterende heftruckchauffeur door een immens magazijn reed dat tot de nok toe was gevuld met wc-papier. Dat was toen het product waarvan we opeens vreesden dat het op zou raken. De run op water in Apeldoorn is nog opmerkelijker omdat het een lokaal probleem is. Overigens zijn heel wat mensen al naar omliggende steden uitgeweken om aan water te komen.

Terwijl water koken een prima alternatief is. Toegegeven, het is een beetje lastig. Ik ben zo gewend om mijn theewater uit de kokendwaterkraan te tappen, dat ik vanochtend straal langs de gevulde thermosfles keek en mijn mok onder de kraan vulde en pas toen de thee klaar was besefte dat ik fout zat. Voor het tandenpoetsen hebben we een fles water in de badkamer staan, gewoon omdat dat handiger is. Gekookt water moet nu eenmaal eerst afkoelen voordat je het voor dergelijke toepassingen kunt gebruiken.

Ondertussen is de waterleidingmaatschappij druk bezig om vier waterreservoirs, die elk drie miljoen liter water bevatten, te inspecteren. Daarvoor moeten ze leeg, maar dat kan niet allemaal tegelijk omdat er dan geen water meer uit de kraan komt. Dat is de reden waarom het zo lang duurt – in ieder geval tot en met de 14^e moeten we ons kraanwater wantrouwen. Vandaag (vrijdag) krijgen we weer een update. Hopelijk met goed nieuws. En ik ben ook wel benieuwd naar de oorzaak. Ondertussen heb ik mijn dagelijkse appel zojuist maar met een velletje keukenrol afgeveegd in plaats van hem onder de kraan te wassen. Ach ja, die kleine ongemakken.

 

En in de grote boze buitenwereld …

• is een Amerikaanse waterleidingmaatschappij gehackt.
• heeft de Nederlandse politie een beheerder van een drugsmarkt op het darkweb gearresteerd.
• kun je natuurlijk ook air-gapped computers hacken.
• geldt in Australië een meldplicht voor het betalen van losgeld bij een ransomware-aanval.
• zijn bij de grote politiehack ook privégegevens en foto’s van enkele politiemensen buitgemaakt.
• proberen cybercriminelen de spaarpunten van sporters te stelen.
• zijn de data van 31 miljoen gebruikers van The Internet Archive gestolen.
• hebben de Chinezen de tapkamers van Amerikaanse telecombedrijven gehackt.
• denken de meeste ambtenaren dat ze cybersecurity wel snappen.

 

Het Zandmannetje

 

Afbeelding via Pixabay

Er zijn landen op de wereld waar criminele organisaties arme sloebers ontvoeren en ze vervolgens dwingen om zeventien uur per dag scams uit te sturen. Dat zei Nathaniel Gleicher, global head of counter fraud van Meta deze week op de jaarlijkse ONE Conference in Den Haag.

Meta, het moederbedrijf van onder andere Facebook, Instagram en WhatsApp, is nou niet direct de lieveling van privacy-minded burgers. Maar wat Gleicher op deze conferentie te vertellen had, doet er toe. Want laat het bovenstaande even inzinken: er worden mensen tegen hun wil vastgehouden om jou, met roodomrande ogen en klotsende wallen, te bestoken met bedrieglijke berichten. Het woordenboek vertaalt scam naar het in mijn oren wat zwak klinkende ‘zwendel’, maar gelukkig staat scam al vijftien jaar ook gewoon in de Van Dale. In mijn wereld slaat scam op bedrog via valse berichten. Dat kan bijvoorbeeld een sms’je zijn over een pakketje waar zogenaamd een probleem mee is, een bericht op WhatsApp dat begint met “Hoi pap, ik heb een nieuw telefoonnummer” of een mailtje waarin “de bank” zegt dat ze een veiligheidscontrole doorvoeren en daarvoor jouw medewerking nodig hebben. Kortom, zo’n beetje alles wat je onder de brede noemer phishing kunt scharen. En daarmee zijn we bij een volgend thema aanbeland waar onze organisatie in deze securitymaand aandacht aan willen schenken.

De verwerpelijke activiteiten van cybercriminelen zijn een probleem voor Gleicher, omdat zijn platforms daarvoor worden misbruikt. En even los van de morele verplichting om daar iets tegen te doen, heeft Meta hier ook een duidelijk zakelijk belang bij: als je op Instagram steeds maar weer geconfronteerd wordt met fraude, dan blijf je daar op den duur weg, of je wordt op z’n minst zo achterdochtig dat je nergens meer op klikt, ook niet op bonafide bijdragen. En dat kost Meta geld.

Meta verdeelt fraude en scams in drie probleemsoorten: actoren, gedrag en inhoud. Onder actoren valt alles wat te maken heeft met valse identiteit: je denkt dat een bericht van een vriend of een beroemde artiest is, maar in werkelijkheid zit er een crimineel achter. Onder gedrag vatten ze alles wat een crimineel doet: misleiding, spam, ja zelfs op je (romantische) gevoelens inspelen. En onder inhoud schaart het bedrijf celebrity bait (BN’ers als lokaas), financiële deals en liefdadigheid, om er maar een paar te noemen.

Gleicher wil dit krachtig bestrijden, maar daar mogen zijn miljarden normale, goedwillende gebruikers niet al teveel last van hebben, want ook dat zou ook slecht zijn voor de zaken. En dus focust hij op de kwaadwillenden. Een belangrijk onderdeel daarvan is het zo snel mogelijk uit de lucht halen van nep-accounts. Daarvoor kijken ze naar het gedrag van een account. Staat er bijvoorbeeld in een bio dat je in Nederland woont, maar komt alle activiteit uit een land hier ver vandaan, dan is dat een rode vlag. En ze gebruiken kunstmatige intelligentie om te onderzoeken of iemand foto’s van beroemdheden misbruikt. Denk daarbij aan een foto van Gerard Joling of Elon Musk met een gouden tip om ‘via deze link’ bitcoins aan te schaffen.

Criminelen maken gebruik van mechanismen voor eerlijke mensen. Weet je je wachtwoord niet meer? Dan klik je op een link en kun je via een mailtje een nieuw wachtwoord instellen. Maar als een crimineel jouw mail gehackt heeft, dan kan hij dat namens jou doen (het is dan ook belangrijk om te beseffen dat je mail verreweg je belangrijkste account is). Meta probeert daar met innovatieve ontwikkelingen een stokje voor te steken. Zo beproeven ze momenteel een nieuwe werkwijze voor het terugkrijgen van je account: je moet dan een nieuwe selfie opsturen, die ze vergelijken met foto’s in je profiel. Het idee daarachter is dat criminelen niet zomaar aan een verse selfie van jou kunnen komen.

Scams lopen over verschillende schijven, bijvoorbeeld social media en banken. Eén partij alleen kan scams daardoor moeilijk herkennen. Op de ONE Conference kondigde Gleicher het FIRE-programma aan (Fraud Intelligence Reciprocal Exchange), waarin Britse en Australische banken informatie bij Meta aanleveren. In een eerdere fase van het programma heeft dat al geleid tot het verwijderen van zo’n 20 duizend valse accounts.

En zo strooit Meta zoveel mogelijk zand in de raderen van internetcriminelen. Je zou kunnen zeggen dat Gleicher het Zandmannetje van de social media is.

Met dank aan Erwin Bos voor de titelsuggestie.

 

En in de grote boze buitenwereld …

• heeft Meta echter nog een lange weg te gaan.
• is Meta zwaar beboet voor het onveilig opslaan van miljoenen wachtwoorden.
• kregen Amerikaanse klanten van het daar inmiddels verboden Kaspersky ongevraagd een andere virusscanner geïnstalleerd.
• is een Brits nucleair complex beboet wegens tekortkomingen in de cybersecurity.
• bevatten veel omvormers voor zonnepanelen een standaard wachtwoord, wat ze kwetsbaar maakt.
• is het Cybercrimebeeld Nederland 2024 gepubliceerd.
• onthield Nederland zijn steun aan het Europese CSAM-voorstel, dat kinderporno wil bestrijden door monitoring op alle toestellen.
• werken uiteraard ook bij de politie mensen die niet alle phishing herkennen.
• stonden politiefunctionarissen op de loonlijst van een Amerikaanse cybercrimineel.
• heb je misschien helemaal geen VPN nodig.

 

Indringers

 

Afbeelding via Pixabay

In 2007 wandelde een Nederlandse ingenieur het Iraanse nucleaire complex van Natanz binnen en installeerde daar een waterpomp. Deze Erik van Sabben had nog een tweede opdrachtgever: de AIVD. En zo kon het gebeuren dat de centrifuges, die nodig zijn om uranium te verrijken, door het beruchte Stuxnet-virus in de soep draaiden. Dit is natuurlijk de ultrakorte versie van het verhaal. Het lange, spannende verhaal staat in het boek Het is oorlog maar niemand die het ziet van Volkskrant-onderzoeksjournalist Huib Modderkolk.

Eerder deze week wandelde een Nederlandse ingenieur het Nederlandse nucleaire complex van Almelo binnen. Niet om wat dan ook te installeren, en ook niet met een geheime agenda. Nee, want dat was ik, samen met zo’n dertig vakgenoten, en we kwamen voor een rondleiding en een presentatie over een holistische kijk op beveiliging.

Ik kwam dus vanaf de parkeerplaats aanwandelen en stuitte op een metershoog hekwerk. Daar zat een voetgangerspoort in, met een intercom erbij. Er kwamen net mensen van de andere kant aanlopen, dus ik dacht, ik vraag hen wel. Want ik was ook wel nieuwsgierig hou zij zouden reageren. Blijkt dat die poort helemaal niet op slot zat. Ik werd met een wijds armgebaar verwelkomd en mij werd vriendelijk gewezen waar ik me moest melden.

Kom je daar echt zo gemakkelijk binnen? Nou, dat valt gelukkig wel mee. Je krijgt een pasje en daarmee kun je door een poortje. Daarna kun je, als bezoeker, eigenlijk maar één kant op: naar het ontvangstgebouw. En van daaruit ben je constant onder begeleiding.

Oktober is traditioneel securitymaand. Veel organisaties – ook de onze – besteden dan extra veel aandacht aan beveiliging. Eén van de onderwerpen, die we deze keer in de spotlights zetten, is fysieke beveiliging. Daar speel jij als medewerker een wat ongemakkelijke rol in. We willen namelijk dat je wat minder vriendelijk bent. Indringers komen vaak binnen doordat een vriendelijke medewerker de deur voor hen openhoudt. Nou is dat doorgaans bij de ingangen van onze panden niet echt aan de orde, omdat je door een klaphekje moet. Maar denk ook eens aan die inpandige deuren, die je met een pasje moet openen. Bij zo’n deur is het dus de bedoeling dat alleen geautoriseerd personeel naar binnen gaat. Natuurlijk mag je die deur best openhouden voor iemand waarvan je weet dat die daar thuishoort, maar bij onbekenden is een vriendelijk “Zou je zelf even je pasje willen aanbieden?” op zijn plaats. En als je iemand zonder pasje ziet lopen, dan zou je net zo vriendelijk kunnen vragen of diegene zijn pasje kwijt is, en hem zo nodig naar de receptie begeleiden. Ik weet dat dit lastig is en daarom ben ik blij dat deze situatie zich in principe niet kan voordoen. Maar ja, in principe hè. Misschien is dat wel een extra reden om tóch iets te zeggen.

Nog even terug naar het bezoek. De security manager vertelde eerst over de fysieke dreigingen waar een uraniumverrijkingsfabriek mee te maken heeft. Je kunt gemakkelijk zelf bedenken uit welke hoek die dreigingen komen: criminelen, terroristen en activisten. Ook de beveiligingsmaatregelen zijn niet zo moeilijk: hekwerken, beveiligers, alarmsystemen. Daarna ging het over digitale dreigingen, waarbij dezelfde actoren een rol spelen. En daar komt het holistische (‘alomvattende’) karakter van hun aanpak in beeld: de maatregelen tegen cyberdreigingen zijn van dezelfde soort als die tegen fysieke dreigingen. Je moet dat in z’n geheel bekijken, want een aanvaller zal daar ook geen strikte scheiding in aanbrengen. Die probeert misschien wel om via een virus of een hack de alarmsystemen uit te schakelen, waarna hij zich fysiek toegang tot het complex verschaft. En misschien heeft hij het dan helemaal niet voorzien op uranium, maar op gegevens. Bij de meeste organisaties zullen boeven en spionnen proberen om de begeerde gegevens via het internet te bemachtigen, maar bij een dergelijke fabriek zijn de écht belangrijke gegevens ge-air-gapped: er zit letterlijk lucht tussen de desbetreffende computers en het de buitenwereld, oftewel: ze hangen uitsluitend in een strikt besloten netwerk. Dan moet je dus al een kraak zetten om erbij te kunnen.

Tijdens die rondleiding kwam ik oog in oog te staan met precies zo’n installatie waar het met Stuxnet om draaide: de centrifuges waarmee uranium wordt verrijkt, zodat het als brandstof voor kerncentrales kan dienen. Met het boek van Modderkolk in het achterhoofd was dit wel een bijzonder momentje. Er is echt wel iets voor nodig om die dingen kapot te krijgen. De oudste installatie in Almelo draait namelijk al veertig jaar non-stop en zonder enig onderhoud. Kom daar maar eens om in de ICT.

Met dank aan Urenco voor de gastvrijheid en aan de Security Academy voor de organisatie.

 

En in de grote boze buitenwereld …

• zijn industriële systemen erg kwetsbaar als ze aan het internet hangen.
• waren miljoenen auto’s kwetsbaar door een fout op de website van de fabrikant.
• kun je sommige systemen maar beter even met de hand bedienen.
• hebben ook illegale diensten wel eens last van inbrekers.
• maakt NIST een einde aan een aantal onzinnige wachtwoordpraktijken.
• legt deze Cyber Glossary allerlei termen uit de cybersecurity uit.
• kun je ChatGPT hacken via valse herinneringen.
• heeft een internationaal verbond van inlichtingen- en securitydiensten een advies voor het beveiligen van Active Directory gepubliceerd.
•