In en onder de mijn

 

Afbeelding via Pixabay

In Zuid-Limburg floreerde in de vorige eeuw de mijnbouw. Die activiteit begon overigens al rond het jaar 1100, toen de monniken van de abdij Rolduc in Kerkrade al in de grond wroetten.  Vanaf de 17^e eeuw werd het allemaal wat serieuzer, en in 1902 werden de Staatsmijnen opgericht. Uit mijn jeugd herinner ik me nog twee markante punten: een grote, pikzwarte bult in het landschap als we over de snelweg naar Heerlen reden en de Lange Jan, de 135 meter lange schoorsteen van de elektriciteitscentrale die bij een mijn hoorde, midden in diezelfde stad. In 1973 sloot de regering de mijnen. In Landgraaf herinneren nog diverse straatnamen aan die tijd: Koempel, Pungel, Houwer, Zeverij, Mijnlamp, Galerij, Aan de Schacht en nog meer.

Misschien is het wel deze geschiedenis die maakt dat ik wat moeilijk vat krijg op de term ondermijning. Die mijngangen zitten immers al onder de grond, wat kan daar nog onder zitten? Tegelijkertijd zit er toch een mooie metafoor in. Want ondermijning duidt op de verwevenheid van de onderwereld en de bovenwereld, ofwel criminaliteit en legaliteit. In de onderwereld gebeuren dingen die het daglicht niet verdragen, en in de mijngangen was het ook donker.

Maar wat is dat nou precies, die ondermijning? Op de site van de rijksoverheid komen ze ook niet met een heel concrete definitie: “Criminelen maken voor illegale activiteiten gebruik van legale bedrijven en diensten. Hierdoor vervagen normen en neemt het gevoel van veiligheid en leefbaarheid af. Dit effect heet ook wel ondermijning.” Als je doorklikt, wordt het een stuk duidelijker. Er wordt gesproken over het beïnvloeden en onderdrukken van bijvoorbeeld parlementariërs, ambtenaren en “onschuldige burgers” (alsof die beide andere steevast schuldig zijn…). Er kan zwaar geweld aan te pas komen, “tot aan liquidaties en explosies in woonwijken toe”.

Voorbeelden maken duidelijker waar het om draait als legale bedrijven worden betrokken bij criminele activiteiten: bij witwassen van crimineel vermogen worden banken gebruikt, drugs- en mensensmokkel lopen via havens en luchthavens en voor de aanleg van een hennepkwekerij hebben ze een elektricien nodig. Ambtenaren worden onder druk gezet of betaald om informatie door te spelen. Het gaat dan misschien om de adresgegevens van iemand waarmee ze nog een appeltje te schillen hebben. Dan kom je op het werkterrein van de Rijksrecherche: een opsporingsdienst die rechtstreeks onder het Openbaar Ministerie ressorteert. Het opsporen en onderzoeken van mogelijk strafbaar gedrag van ambtenaren is een van hun belangrijkste taken.

Op ons intranet staat een verplichte e-learning “Weerbaarheid: Bescherming bij benadering”. Aan de hand van indringende filmpjes wordt duidelijk hoe sluipend ondermijning in z’n werk gaat: een bezorgde kennis merkt dat je even wat krap bij kas zit, leent je een paar duizend euro en vindt vervolgens dat je moreel verplicht bent een wederdienst te leveren. Raak je daar eenmaal in verstrikt, dan kom je er niet meer gemakkelijk uit. De e-learning heeft indruk op mij gemaakt.

Wat dan weer jammer is, is dat er volgens diezelfde cursus maar liefst vijf verschillende meldpunten zijn: vier interne plus 112, voor als er acuut gevaar dreigt. “Hoe goed ken jij de verschillende meldpunten waar je terecht kunt?” Nou, weet je, mocht het ooit voorkomen dat ik met mogelijke ondermijning te maken krijg, dan zoek ik dan wel uit waar ik terecht kan. Het lijkt me een beetje onzinnig om nu uit het hoofd te leren bij welk loket ik in welke specifieke situatie moet aankloppen.

Criminelen onderscheiden niet goed tussen wat van hen is en wat van anderen is. Dat is het onderscheid tussen mijn en dijn. Wat me dan toch weer op slinkse wegen terugbrengt naar die steenkolenmijn van weleer.

Volgende week verschijnt er geen Security (b)log.

 

En in de grote boze buitenwereld …

• zijn phishingtests zinloos.
• laat je nieuwe horloge even iets langer op zich wachten.
• verschuift de werkwijze van ransomware van encryptie naar afpersing.
• bieden Britse inlichtendiensten aan om alle scholen in dat land te beschermen tegen ransomware.
• gebruikt Twitter/X niet langer gegevens van EU-gebruikers voor het trainen van z’n AI.
• vraagt generatieve AI om een andere aanpak van cybersecurity.
• maakt de overheid ondertussen volop gebruik van AI (maar AI is niet hetzelfde als generatieve AI).
• zien AI-chatbots dingen die jij niet ziet - en dat is gevaarlijk.
• is ladders verbieden geen goede maatregel tegen woninginbraken.
• omzeilen sommige Amerikanen het verbod op de malware-scanner van Kaspersky.

 

Watersnood

 

Afbeelding gegenereerd door ChatGPT

Apeldoorn, vrijdag 4 oktober 2024, 18.22 uur:  bij 70 duizend huishoudens ploft een mailbom op de mat: het drinkwater is besmet met de e.coli-bacterie (in de krant liefdevol de ‘poepbacterie’ genoemd), u dient het water drie minuten te koken alvorens het te drinken. Ook voor tandenpoetsen en het wassen van groente moet je afgekookt water gebruiken.

De bevolking spoedt zich acuut en massaal naar de supermarkt om flessenwater in te slaan. De nood is hoog – in één supermarkt gaan mensen zelfs op de vuist voor de laatste paar flessen. We zien beelden die we kennen uit verre landen, met mensen die winkelkarretjes voortduwen die maximaal zijn gevuld.  Aan het einde van de avond is dan ook nergens meer een fles te koop. Er wordt nog net niet geplunderd. Een winkelier vertelt in de krant hoe snel het water over de toonbank ging, en dat hij voor de volgende dag niet de gebruikelijke duizend liter, maar tien keer zoveel heeft besteld. De plaatselijke persfotograaf legt een auto vast waarvan de bagageruimte volledig is gevuld met waterflesjes. Ik heb ze geteld: er ligt rond de 140 liter water in die auto.

En wij? Wij bleven rustig thuis zitten. Want enerzijds vertrouwen wij erop dat als het waterleidingbedrijf zegt dat een paar minuten koken afdoende is, dat ook echt zo is, en anderzijds hebben wij al jaren een noodvoorraad drinkwater, precies voor dit soort gevallen. En we letten op de houdbaarheidsdatum, zodat het water tijdig ververst wordt (wat niet wegneemt dat het toch een beetje muf smaakt). En zo zijn er nog meer spullen die je maar beter in huis hebt voor als er eens iets raars aan de hand is. Een voorraadje voedsel ligt natuurlijk voor de hand; bedenk daarbij dat je misschien geen gas of elektriciteit hebt om het te bereiden en dat je het dus koud moet kunnen eten. Oplaadbare lampen zijn alleen leuk zolang er stroom is – lampen die (ook) op batterijen werken zijn beter, mits je voldoende volle batterijen in huis hebt. Een radio op batterijen is handig om op de hoogte te blijven van de voortgang van de misère.

In de ICT is dit het vakgebied van Business Continuity Management. BCM’ers regelen onder andere dat áls het een keer misgaat, áls onze ICT wordt getroffen door een calamiteit, de gevolgen beperkt blijven en we weer zo snel mogelijk terug zijn bij normaal. Dat doen ze door erop toe te zien dat teams, die verantwoordelijk zijn voor het in de lucht houden van ICT-diensten, optimaal voorbereid zijn op eventualiteiten. Er liggen plannen klaar en die plannen worden getest. En voor grote, ingrijpende gebeurtenissen trainen ze het crisismanagementteam, zodat ook deze mensen weten wat ze te doen staat als de dingen een keer heel anders lopen dan de bedoeling is.

Zoals het voorbeeld van de watersnood in Apeldoorn en de omliggende dorpen aangeeft, is het ook handig om thuis iets aan BCM te doen (al zou ik het dan misschien eerder HCM noemen: Home Continuity Management). Hierboven gaf ik al een aanzet tot een boodschappenlijstje; op de overheidswebsite denkvooruit.nl vind je nog meer informatie. Daar lees je bijvoorbeeld dat het ook handig is om wat contant geld in huis te hebben. Want bij een massale uitval van elektriciteit of netwerkverbindingen kun je ook niet meer pinnen, en de geldautomaat zal ook zijn sorry-scherm tonen. Dan ben je blij als je calamiteitencontanten in huis hebt en wél boodschappen kunt doen.

Maar dan niet gelijk gaan hamsteren hè. Hier bij ons moest de burgemeester eraan te pas komen om de bevolking op te roepen om niet te pakken wat je pakken kunt en rekening met elkaar te houden – gun de ander ook wat, was de boodschap. Ik moest terugdenken aan dat filmpje uit de coronatijd, waarin een schaterende heftruckchauffeur door een immens magazijn reed dat tot de nok toe was gevuld met wc-papier. Dat was toen het product waarvan we opeens vreesden dat het op zou raken. De run op water in Apeldoorn is nog opmerkelijker omdat het een lokaal probleem is. Overigens zijn heel wat mensen al naar omliggende steden uitgeweken om aan water te komen.

Terwijl water koken een prima alternatief is. Toegegeven, het is een beetje lastig. Ik ben zo gewend om mijn theewater uit de kokendwaterkraan te tappen, dat ik vanochtend straal langs de gevulde thermosfles keek en mijn mok onder de kraan vulde en pas toen de thee klaar was besefte dat ik fout zat. Voor het tandenpoetsen hebben we een fles water in de badkamer staan, gewoon omdat dat handiger is. Gekookt water moet nu eenmaal eerst afkoelen voordat je het voor dergelijke toepassingen kunt gebruiken.

Ondertussen is de waterleidingmaatschappij druk bezig om vier waterreservoirs, die elk drie miljoen liter water bevatten, te inspecteren. Daarvoor moeten ze leeg, maar dat kan niet allemaal tegelijk omdat er dan geen water meer uit de kraan komt. Dat is de reden waarom het zo lang duurt – in ieder geval tot en met de 14^e moeten we ons kraanwater wantrouwen. Vandaag (vrijdag) krijgen we weer een update. Hopelijk met goed nieuws. En ik ben ook wel benieuwd naar de oorzaak. Ondertussen heb ik mijn dagelijkse appel zojuist maar met een velletje keukenrol afgeveegd in plaats van hem onder de kraan te wassen. Ach ja, die kleine ongemakken.

 

En in de grote boze buitenwereld …

• is een Amerikaanse waterleidingmaatschappij gehackt.
• heeft de Nederlandse politie een beheerder van een drugsmarkt op het darkweb gearresteerd.
• kun je natuurlijk ook air-gapped computers hacken.
• geldt in Australië een meldplicht voor het betalen van losgeld bij een ransomware-aanval.
• zijn bij de grote politiehack ook privégegevens en foto’s van enkele politiemensen buitgemaakt.
• proberen cybercriminelen de spaarpunten van sporters te stelen.
• zijn de data van 31 miljoen gebruikers van The Internet Archive gestolen.
• hebben de Chinezen de tapkamers van Amerikaanse telecombedrijven gehackt.
• denken de meeste ambtenaren dat ze cybersecurity wel snappen.

 

Het Zandmannetje

 

Afbeelding via Pixabay

Er zijn landen op de wereld waar criminele organisaties arme sloebers ontvoeren en ze vervolgens dwingen om zeventien uur per dag scams uit te sturen. Dat zei Nathaniel Gleicher, global head of counter fraud van Meta deze week op de jaarlijkse ONE Conference in Den Haag.

Meta, het moederbedrijf van onder andere Facebook, Instagram en WhatsApp, is nou niet direct de lieveling van privacy-minded burgers. Maar wat Gleicher op deze conferentie te vertellen had, doet er toe. Want laat het bovenstaande even inzinken: er worden mensen tegen hun wil vastgehouden om jou, met roodomrande ogen en klotsende wallen, te bestoken met bedrieglijke berichten. Het woordenboek vertaalt scam naar het in mijn oren wat zwak klinkende ‘zwendel’, maar gelukkig staat scam al vijftien jaar ook gewoon in de Van Dale. In mijn wereld slaat scam op bedrog via valse berichten. Dat kan bijvoorbeeld een sms’je zijn over een pakketje waar zogenaamd een probleem mee is, een bericht op WhatsApp dat begint met “Hoi pap, ik heb een nieuw telefoonnummer” of een mailtje waarin “de bank” zegt dat ze een veiligheidscontrole doorvoeren en daarvoor jouw medewerking nodig hebben. Kortom, zo’n beetje alles wat je onder de brede noemer phishing kunt scharen. En daarmee zijn we bij een volgend thema aanbeland waar onze organisatie in deze securitymaand aandacht aan willen schenken.

De verwerpelijke activiteiten van cybercriminelen zijn een probleem voor Gleicher, omdat zijn platforms daarvoor worden misbruikt. En even los van de morele verplichting om daar iets tegen te doen, heeft Meta hier ook een duidelijk zakelijk belang bij: als je op Instagram steeds maar weer geconfronteerd wordt met fraude, dan blijf je daar op den duur weg, of je wordt op z’n minst zo achterdochtig dat je nergens meer op klikt, ook niet op bonafide bijdragen. En dat kost Meta geld.

Meta verdeelt fraude en scams in drie probleemsoorten: actoren, gedrag en inhoud. Onder actoren valt alles wat te maken heeft met valse identiteit: je denkt dat een bericht van een vriend of een beroemde artiest is, maar in werkelijkheid zit er een crimineel achter. Onder gedrag vatten ze alles wat een crimineel doet: misleiding, spam, ja zelfs op je (romantische) gevoelens inspelen. En onder inhoud schaart het bedrijf celebrity bait (BN’ers als lokaas), financiële deals en liefdadigheid, om er maar een paar te noemen.

Gleicher wil dit krachtig bestrijden, maar daar mogen zijn miljarden normale, goedwillende gebruikers niet al teveel last van hebben, want ook dat zou ook slecht zijn voor de zaken. En dus focust hij op de kwaadwillenden. Een belangrijk onderdeel daarvan is het zo snel mogelijk uit de lucht halen van nep-accounts. Daarvoor kijken ze naar het gedrag van een account. Staat er bijvoorbeeld in een bio dat je in Nederland woont, maar komt alle activiteit uit een land hier ver vandaan, dan is dat een rode vlag. En ze gebruiken kunstmatige intelligentie om te onderzoeken of iemand foto’s van beroemdheden misbruikt. Denk daarbij aan een foto van Gerard Joling of Elon Musk met een gouden tip om ‘via deze link’ bitcoins aan te schaffen.

Criminelen maken gebruik van mechanismen voor eerlijke mensen. Weet je je wachtwoord niet meer? Dan klik je op een link en kun je via een mailtje een nieuw wachtwoord instellen. Maar als een crimineel jouw mail gehackt heeft, dan kan hij dat namens jou doen (het is dan ook belangrijk om te beseffen dat je mail verreweg je belangrijkste account is). Meta probeert daar met innovatieve ontwikkelingen een stokje voor te steken. Zo beproeven ze momenteel een nieuwe werkwijze voor het terugkrijgen van je account: je moet dan een nieuwe selfie opsturen, die ze vergelijken met foto’s in je profiel. Het idee daarachter is dat criminelen niet zomaar aan een verse selfie van jou kunnen komen.

Scams lopen over verschillende schijven, bijvoorbeeld social media en banken. Eén partij alleen kan scams daardoor moeilijk herkennen. Op de ONE Conference kondigde Gleicher het FIRE-programma aan (Fraud Intelligence Reciprocal Exchange), waarin Britse en Australische banken informatie bij Meta aanleveren. In een eerdere fase van het programma heeft dat al geleid tot het verwijderen van zo’n 20 duizend valse accounts.

En zo strooit Meta zoveel mogelijk zand in de raderen van internetcriminelen. Je zou kunnen zeggen dat Gleicher het Zandmannetje van de social media is.

Met dank aan Erwin Bos voor de titelsuggestie.

 

En in de grote boze buitenwereld …

• heeft Meta echter nog een lange weg te gaan.
• is Meta zwaar beboet voor het onveilig opslaan van miljoenen wachtwoorden.
• kregen Amerikaanse klanten van het daar inmiddels verboden Kaspersky ongevraagd een andere virusscanner geïnstalleerd.
• is een Brits nucleair complex beboet wegens tekortkomingen in de cybersecurity.
• bevatten veel omvormers voor zonnepanelen een standaard wachtwoord, wat ze kwetsbaar maakt.
• is het Cybercrimebeeld Nederland 2024 gepubliceerd.
• onthield Nederland zijn steun aan het Europese CSAM-voorstel, dat kinderporno wil bestrijden door monitoring op alle toestellen.
• werken uiteraard ook bij de politie mensen die niet alle phishing herkennen.
• stonden politiefunctionarissen op de loonlijst van een Amerikaanse cybercrimineel.
• heb je misschien helemaal geen VPN nodig.