Zoals het klokje thuis tikt

Afbeelding via Pixabay

Mijn opa en oma hadden, in het diepe Zuid-Limburg, een Friese staartklok aan de muur hangen. In hetzelfde dorp hing precies dezelfde klok bij mijn schoonouders. Onlangs deed mijn vrouw een interessante onthulling over hun exemplaar.

De tijd schreed volgens die klok langzamer voort dan in werkelijkheid. Ze hadden haar al eens naar een klokkenmaker in België gebracht. Een schoonmaakbeurt bracht geen soelaas. Toen verklapte iemand hen een speciaal trucje. Hij zei dat de klok waarschijnlijk een tikkeltje scheef wilde hangen. Dat bleek inderdaad te kloppen. Maar het uit het lood brengen ervan was millimeterwerk. Er gingen weken overheen voordat de juiste stand was gevonden. Andere klokken in huis dienden daarbij als referentiebron.

Ik heb een moderne bureaulamp met ingebouwde digitale klok. Mijn natuurkundedocent legde ooit uit dat elektrische klokken altijd de juiste tijd aangeven, omdat ze – als ik het goed onthouden heb – met de frequentie van de wisselspanning (50 Hertz) meetikken. Zo niet mijn bureaulampklok. Die moet ik om de paar weken opnieuw instellen. Gewoonlijk doe ik dat als zij twee minuten voorloopt, want dan wordt het mij te gortig. Ik verbaas mij dan telkens erover dat er anno 2025 nog klokken bestaan die het niet zo nauw nemen met de tijd.

Al deze klokken, die zich minder goed van hun taak kwijten, moet je interpreteren. “Oh ja, het is die klok, dus het zal in werkelijkheid iets vroeger/later zijn.” Bij klokken in andermans huis weet je dat vaak niet. Dan denk je misschien dat je toch al te laat bent voor de trein naar huis, terwijl je die nog gewoon had kunnen halen.

Interpreteren, dat doen we ook met beveiligingsbeleid. Als security officer krijg je vaak vragen in de trant van: iemand heeft zus of zo gedaan, mag dat eigenlijk wel? Het antwoord op die vraag staat slechts zelden letterlijk in een beleidsdocument. Je moet zo’n document dan als het ware een beetje scheef houden om de juiste informatie eruit te halen. We vinden dan altijd wel een of meerdere regels die van toepassing blijken te zijn op de aangekaarte situatie. Soms moet je het ook wíllen zien. Daarvoor gebruiken we professional judgement: je bent niet voor niets security officer, en als jij zegt dat iets wel of niet kan, dan is dat ook zo – jouw oordeel is gebaseerd op je professionaliteit.

Door de jaren heen heb ik een hele stoet aan collega’s zien langskomen waar het een of andere beveiligingssysteem over gepiept had. Zo’n melding leidt tot een beoordeling. Is het de moeite waard om hiervoor in actie te komen? Is het incident ernstig genoeg? Of is het meteen al duidelijk dat het om een per-ongelukje gaat en dat de gebruiker geen kwade bedoelingen had? Vooral dat laatste vind ik interessant: als het een melding betreft over iets waar iets kwaadaardigs achter zou kúnnen zitten, dan heb je mijn aandacht en mag je een onderhoud met je leidinggevende tegemoetzien. Die kent jou beter dan ik en heeft misschien nog andere puzzelstukjes, die samen het beeld schetsen van een doorgaans voorbeeldige werknemer – of juist niet.

In al die tijd heeft nog nooit iemand het in zijn hoofd gehaald om te vragen: en waar staat dan dat dat niet mag? Nee, ze voelen zich betrapt, zeggen sorry en beloven nooit meer zoiets stoms te doen. Want ik heb gelukkig ook maar zelden meegemaakt dat iemand kwade bedoelingen had. Meestal zijn dat soort incidenten het gevolg van goedbedoelde acties die helaas in strijd zijn met het beleid. Iedereen behoort de wet te kennen, zegt de wet, maar de praktijk zit iets anders in elkaar. We helpen ze graag om weer binnen de lijntjes te kleuren.

Mijn oma had een bijzonder tijdbeleid. Ze zette de klok tien minuten vooruit. Als ze dan ergens heen moest, was er altijd de geruststelling dat ze eigenlijk al weg had moeten zijn, maar dat ze gelukkig nog wat extra tijd had. Ik vond dat altijd net zo raar als klokken die zelf besluiten om een andere dan de juiste tijd weer te geven.

 

En in de grote boze buitenwereld …

• neemt het aantal Signal-gebruikers in Nederland fors toe, en dat is goed nieuws voor je privacy.
• krijgt online leeftijdverificatie tandjes, maar privacy-experts bijten terug.
• had deze prof-basketballer mogelijk een interessant bijbaantje.
• verlangt de EU meer transparantie van AI-makers.
• is er discussie over het gebruik van AI door politiediensten.
• pakt de Britse pres groot uit over de arrestatie van mogelijke cybercriminelen die een aantal winkelketens belaagden.
• schenden twee Belastingdienstsystemen de AVG; daarom moeten ze uitgezet worden.
• heeft de AI-recruiter van McDonald’s flink gelekt.
• wordt AI ook gebruikt voor het impersoneren van hooggeplaatste functionarissen.

 

Je innerlijke ik

Afbeelding via Copilot

“De beste inspiratie komt uit jezelf.” Dat is geen uitspraak van  Sun Tzu, de Chinese generaal uit de zesde eeuw voor Christus, uit wiens werk De kunst van het oorlogvoeren te pas en te onpas wordt geciteerd. Nee, dit citaat schrijven we toe aan ene Patrick Borsoi uit de twintigste eeuw ná Christus. Geen Chinees, geen generaal, maar – in alle bescheidenheid – wel bij vlagen slim.

Lezers vragen me wel eens hoe ik altijd weer aan de inspiratie voor een blog kom. Meestal antwoord ik dan dat ik goed om me heen kijk en dan vaak iets alledaags zie wat ik aan informatiebeveiliging kan linken. Of dat collega’s mij een tip geven, al dan niet uit hún dagelijks leven. Nu heb ik iets nieuws ontdekt: naar jezelf luisteren. Letterlijk.

Ik was te gast in de podcast van de KNVI, de Koninklijke Nederlandse Vereniging van Informatieprofessionals. Daar mocht ik vertellen over de Security (b)log en meer vakinhoudelijk over phishing, AI en quantum computing. Die podcast ging op 1 juli online en ik was natuurlijk een van de eersten om hem te beluisteren. Dat is trouwens best vreemd, maar dat zegt iedereen die een geluidsopname van zichzelf hoort. Waar het om gaat is dat ik mezelf iets hoorde zeggen wat ik nog nooit eerder heb gezegd en waarvan ik me ook niet meer herinner dat ik het had gezegd (de opname was anderhalve maand geleden).

Marijn Plomp is de vaste host van deze podcast en Sandra de Waart was die dag zijn sidekick. Omdat mijn blog als overkoepelend thema awareness (beveiligingsbewustzijn) heeft, vroeg Sandra mij: “Hoe maak je nou eigenlijk mensen bewust?” Want, zo voerde zij terecht aan, alleen maar zeggen “wees bewust!” helpt natuurlijk niet. Ik vergeleek dat met het verkeersbord dat een algemene waarschuwing voor gevaar geeft (driehoek met rode rand en een uitroepteken in het midden). Als je alleen dat bord ziet, dan weet je nog niets. Alleen als er een onderbord bij zit, waarop je kunt lezen wat het gevaar inhoudt, weet je wat je moet doen of laten. En nu komt het. Ik zei: “Ik probeer dat onderbord te zijn.” Door te duiden waarom iets een risico is, door het uit te leggen, maak je mensen bewust. Ze moeten het kunnen snappen, er een beleving bij hebben.

Verderop in de podcast doe ik een uitspraak die ik wel vaker bezig: “Ik word betaald om doem te denken.” Zoals er mensen zijn, die geld krijgen om de hele dag met Lego te spelen, zo mag ik me uitleven op de vraag: wat zou er zoal mis kunnen gaan? Daar waar anderen smullen van wat een systeem, een apparaat of een werkwijze allemaal kan, daar mag ik naar de donkere kant kijken. Dat is niet altijd gemakkelijk, omdat je daar nog weleens andermans enthousiasme mee tempert. Meestal wordt die blik op het foutpad toch gewaardeerd, omdat het uiteindelijke product er beter van wordt doordat er óók gekeken wordt naar aspecten waar we liever van wegkijken. In dat citaat over doemdenken zit natuurlijk een vette knipoog, maar het maakt wel kort en krachtig duidelijk dat risicoanalyses belangrijk zijn – al is het soms maar op de achterkant van een envelop.

Aan het einde van de podcast hoor ik mezelf nog zeggen dat ik de mens nodig heb als laatste verdedigingslinie. Want als de techniek er niet in slaagt om het onheil af te wenden, als bijvoorbeeld dat ene phishingmailtje toch door alle controles heen weet te komen, dan kan die medewerker, in wiens inbox het mailtje terechtkomt, het verschil maken tussen een gezonde en een kreupele organisatie. En met die laatste verdedigingslinie komen we dan toch weer een beetje uit bij Sun Tzu, die daar ongetwijfeld ook iets over heeft geschreven.

Beluister hier de KNVI-podcast.

 

En in de grote boze buitenwereld …

• hebben airlines de laatste tijd veel aandacht van cybercriminelen.
• sluiten ook criminele organisaties wel eens de deuren.
• wil Duitsland DeepSeek uitbannen.
• komen fysieke en digitale criminaliteit soms samen.
• gaat ook Defensie inzetten op het gebruik van AI en clouddiensten.
• rukt de politie voortaan ook uit voor digitale criminaliteit.
• is een ambtenaar bestraft voor het mailen van vertrouwelijke data naar zijn privéadres.

Russische roulette

Afbeelding via Pixabay

Soms pik je een bericht van de radio op waarbij je denkt: “Hè? Dat heb ik vast niet goed gehoord.” Zoals het bericht dat Pavel Doerov zijn fortuin nalaat aan al zijn honderd kinderen.

De man blijkt twee ‘echte’ kinderen te hebben, bij de overige – in totaal zijn dat er 104 – is bij slechts betrokken geweest als zaaddonor. Nou hoeven al die kinderen niet te vrezen dat ze niks overhouden als ze met zoveel halfbroertjes en -zusjes moeten delen. Ieder van hen kan, uitgaande van het huidige banksaldo van hun vader/donor, ruim 160 miljoen dollar tegemoet zien. Waar ze waarschijnlijk wel nog even op moeten wachten, want Doerov is pas veertig en springlevend. Zijn naam prijkt op indrukwekkende lijstjes: de op 119 na rijkste persoon ter wereld, de rijkste expat in de Verenigde Arabische Emiraten, de machtigste ondernemer in Dubai – dat soort dingen.

In Doerovs portefeuille zitten maar liefst vier paspoorten: hij is staatsburger van Rusland (hij is geboren in de Sovjet-Unie), Saint Kitts and Nevis (eilandjes in de Caribische Zee waar hij de suikerindustrie met een kwart miljoen dollar steunde), de Verenigde Arabische Emiraten en Frankrijk. De aanvraag voor dat laatste paspoort zou volgens Paul du Rove, zoals hij zich in dat land noemt, een 1-aprilgrap zijn geweest, die per ongeluk via een speciale procedure zou zijn goedgekeurd. Maar daardoor werd hij wél ook EU-burger.

Al deze feitjes (en nog veel meer) kun je ook nalezen op Wikipedia, maar waarom besteed ik er hier aandacht aan? Omdat Pavel Valerjevitsj Doerov ook nog de geestelijk vader en oprichter is van Telegram, de berichtendienst à la WhatsApp en Signal. En Telegram is nou niet bepaald een dienst die security- en privacymensen een warm hart toedragen. Ik zal uitleggen waarom dat zo is. Houd daarbij in gedachten dat de term cryptografie, die ik hier gebruik, niets te maken heeft met crypto-valuta zoals Bitcoin.

Als je berichten met iemand uitwisselt (met iemand appt), dan wil je doorgaans dat andere mensen, bedrijven of overheden niet mee kunnen lezen. Berichten worden daarom versleuteld. Deze encryptie zorgt ervoor dat alleen jij en je gesprekspartner de berichten kunnen lezen, omdat alleen jullie over de bijbehorende sleutels beschikken (dat heet end-to-end encryptie). Het mechanisme, dat de encryptie verzorgt, heet een cryptografisch protocol, dat op zijn beurt gebruikmaakt van cryptografische algoritmes. Doorgaans worden daar internationaal erkende standaarden voor gebruikt, die uitvoerig en door veel verschillende deskundigen zijn onderzocht. Dat maakt ze betrouwbaar. Bij Telegram vonden ze dat ze beter een eigen crypto-protocol konden maken. Dat geldt in de cryptografie als een doodzonde, omdat de kans groot is dat je je eigen fouten over het hoofd ziet. Hun protocol is ook niet volledig openbaar, waardoor onderzoek lastig is. Bovendien staat de versleuteling niet standaard aan. Bij andere berichtenapps is dat wel het geval.

Telegram en zijn oprichters kennen een turbulente geschiedenis. Doerov verliet Rusland na geruzie over zijn eerdere onderneming, VKontakte (het Russische Facebook). In het kort: hij had geweigerd om persoonlijke informatie over demonstranten aan de autoriteiten te overhandingen. In 2014 verliet hij Rusland en zette hij Telegram op. Volgens Doerov maakte Telegram tien jaar later voor het eerst winst, bij een omzet van meer dan een miljard dollar. Hoe Telegram in de tussenliggende tijd gefinancierd is, blijft wazig.

Ondanks het geruzie in Rusland weten we niet of er achterdeurtjes in Telegram zijn ingebouwd. Zo te lezen heeft Doerov een redelijke staat van dienst als het gaat om weerstand bieden aan graaiende autoriteiten. Op het wereldwijde toneel van spionage weet je echter nooit zeker of dat niet slechts voor de bühne is en of er, buiten ons zicht, niet toch het een en ander bekonkeld is. Het platform wordt door criminelen graag gebruikt om zaken te doen, misschien wel omdat Doerov c.s. hen geen strobreed in de weg leggen. In deze context heeft Frankrijk hem vorig jaar gearresteerd (en weer op borgtocht vrijgelaten). In ieder geval maken de ondoorzichtigheid en, eerlijk gezegd, ook de Russische roots, dat Telegram een platform is waarvan ik sterk afraad om het te gebruiken. Gebruik liever Signal – dat heeft een sterke positie op cryptografisch en privacy-gebied. Daar hoort wel met de kanttekening bij dat dit een Amerikaans product is en daarmee onder Amerikaanse wetgeving valt, die opsporingsdiensten allerlei mogelijkheden geeft om gegevens te vorderen. Overigens kunnen ze alleen gegevens afstaan die ze hebben; de inhoud van jouw berichten zijn end-to-end versleuteld en daardoor redelijk veilig. WhatsApp werkt precies zo, maar heeft een minder goede naam op het gebied van privacy omdat ze jouw profiel en gedrag te gelde maken.

Ook al heb je honderd kinderen en een bovengemiddeld vette bankrekening, dat maakt nog niet dat je een goede  huisvader bent. Ik zie teveel rode vlaggen om Doerov en zijn Telegram te kunnen vertrouwen.

 

En in de grote boze buitenwereld …

• Heeft zelfs het Amerikaanse Huis van Afgevaardigden WhatsApp in de ban gedaan.
• Heeft het continent van de Nigeriaanse prins nu zelf last van cybercrime.
• Is AI-manipulatie soms ook voor experts moeilijk te herkennen.
• Heeft Iran zijn internettoegang geblokkeerd om het land te beschermen tegen cyberaanvallen, zegt Iran.
• Is Iran in ieder geval al tientallen miljoenen in crypto-valuta kwijtgeraakt aan hackers.
• Zijn gehackte vliegtuigmaatschappijen er altijd als de kippen bij om te melden dat de vliegveiligheid niet is geraakt.
• Kunnen ook printers kwetsbaar zijn.
• Zijn sommige servers zelfs kwetsbaar als ze uit staan.
• Promoot het Britse NCSC het gebruik van password managers en vooral van passkeys.

In het theater

Foto van auteur

De Rode Zaal van het Meervaart Theater in Amsterdam is op de foto nog leeg. Enkele minuten later was hij gevuld met zo’n driehonderd medewerkers van het Landelijk Incasso Centrum (LIC) van de Belastingdienst. En die laptop, die is van mij.

Een paar maanden geleden was de organisatie van deze jaarbijeenkomst enthousiast geworden over mijn blogs. Waarschijnlijk onder de wat riskante aanname “als hij leuk kan schrijven, dan zal hij ook wel leuk kunnen vertellen” nodigden ze me uit om een deel van het programma voor mijn rekening te nemen. En dus toog ik dinsdag, de spoorwegstaking trotserend, naar de hoofdstad. Ik had drie missies: vóór de lunch een presentatie in het keuzeprogramma, na de lunch een plenaire presentatie in die grote zaal en aan het einde van de dag nog eens hetzelfde verhaal als ’s ochtends, maar dan voor een andere groep van zo’n veertig man. Hoewel, “man”: de collega’s, die in zaal 9 naar mij kwamen luisteren, waren voor 92% vrouw. Iemand zoals ik, uit de ICT én de security, ziet in z’n werk zelden zoveel vrouwen bij elkaar. Ze vormden een hartstikke leuk, geïnteresseerd publiek, en gaven mij een mooi inkijkje in wat er bij hen speelt.

Die uitnodiging had ik met name te danken aan mijn blog over Girl’s Day. (Korte samenvatting: voor een presentatie aan meisjes van een middelbare school had ik hun namen gegoogeld en laten zien wat ik – amateur op dat gebied – allemaal te weten was gekomen.) Dat verhaal wilden ze bij het LIC ook wel eens horen. Er was één verschil: op Girl’s Day ging mijn verhaal over de aanwezige meisjes, terwijl het in de Meervaart niet over het aanwezige publiek ging, maar over diezelfde meisjes (natuurlijk heb ik noch in de ene, noch in de andere presentatie namen of te pijnlijke details genoemd). Desondanks was de spanning ook in de Rode Zaal van de gezichten af te lezen. Vooral de onthulling dat presentaties, die je maakt met de gratis versie van Powerpoint-alternatief Prezi, openbaar op het internet staan, leidde tot een “Oh!” vanuit de zaal. Een filmpje, waarin een ‘waarzegger’ in een tent moeiteloos allerlei details over zijn klanten boven water krijgt, maakte het af.

Mijn andere presentatie droeg de titel Phish & Chats en ging over phishing, chat-apps en kunstmatige intelligentie. Het eerste deel was voor velen een feest der herkenning: “Wie heeft er nog nooit een phishingmailtje ontvangen?” Niemand. “Hoi pap, dit is mijn nieuwe telefoonnummer.” Geroezemoes in de zaal. Engels, met Indiaas accent: “Hallo, dit is de Microsoft Helpdesk.” Ja-knikkende hoofden. Natuurlijk heb ik ze ook wat handvatten gegeven om phishing te herkennen – want iedere individuele medewerker kan op een kwade dag zomaar de laatste verdedigingslinie van de organisatie zijn, als hij of zij een phishingmailtje in de mail aantreft. Dan wil je echt heel graag dat de collega daar adequaat op reageert.

Het onderdeel chat-apps ging over de voors en tegens van verschillende van deze apps. In het kort: gebruik WhatsApp niet voor je werk vanwege privacy-issues en gebruik Telegram sowieso niet. Voor chatten binnen de rijksoverheid is Webex beschikbaar. Verder is Signal een uitstekende keus.

Ook het onderwerp kunstmatige intelligentie (AI) viel onder de noemer ‘chats’ van Phish & Chats, want al die handige hulpjes zoals ChatGPT, Gemini en Copilot zijn slimme chat-bots: je kunt letterlijk met ze kletsen. Ik heb besproken hoe ze werken, hoe ik er vanuit mijn vak tegenaan kijk en wat onze organisatie wel en niet toestaat (wel: Copilot Chat; niet: de rest).

Voor mij leverde deze dag een warm bad in duimpjes, complimenten en bedankjes op. En ik hoop dat de mensen, die dat nog niet deden, nu ook de Security (b)log gaan lezen. Niet voor mij, maar om vertrouwd te raken met wat er speelt in de informatiebeveiliging en met jouw eigen rol daarin. Binnenkort ben ik te gast bij een team dichter bij huis, en na de zomer ben ik weer present op de vaktechnische dagen van onze EDP-auditors. Gisteren hebben we besproken waar ik het zoal over zou kunnen hebben en daar ga ik de komende tijd een rode draad in zoeken. Tussendoor kom ik nog een keertje langs als gast in een podcast. Maar daarover later meer.

 

En in de grote boze buitenwereld …

• holt je privacy in WhatsApp nog verder achteruit.
• vindt deze privacy-organisatie daar ook wat van.
• vinden scammers altijd weer nieuwe wegen.
• plegen de Russen een nieuwe vorm van social engineering.
• blijft oud nieuws soms gewoon actueel.
• opereerde deze ransomware-bende vanuit een hotel in Thailand.
• worstelen ze ook in Zwitserland met de alomtegenwoordige Amerikaanse cloud. [DUITS]
• maak je misschien wel gebruik van een Chinese VPN-app.

Den Haag plat

Afbeelding via Pixabay

Je hebt het inmiddels wel gehoord: over ruim een week wordt Den Haag een onneembare vesting. Mensen die in de wijde omgeving van het World Forum wonen en werken ondervinden al weken de nodige hinder van de grootste veiligheidsoperatie aller tijden. Maar net als bij een ijsberg zie je ook nu niet het hele plaatje.

Het vorige event dat aan deze schaalgrootte kon tippen was de Nuclear Security Summit in 2014. Die bracht ook tientallen wereldleiders naar datzelfde congrescentrum. In de elf jaar die sindsdien zijn verstreken is de dreiging op het gebied van cybersecurity enorm toegenomen. Zowel de aanvalsmethodes als de mensen daarachter zijn slimmer geworden. Veel slimmer. En uitgekookter. En dat is gemeen, omdat je je daar als gewone burger maar moeilijk tegen kunt wapenen.

“Maar wat heb ik, als gewone burger, met die hele NAVO-top te maken?”, hoor ik je denken. De meesten van ons hebben daar inderdaad weinig tot niets mee van doen – in directe zin althans. Toch kun je er wel degelijk mee in aanraking komen, al zul je lang niet altijd weten dat er een verband met die bijeenkomst is.

Dat zit zo. Grote gebeurtenissen als deze werken als een magneet op wat we met een verzamelterm ‘kwaadwillenden’ noemen. Zoals zakkenrollers afkomen op een markt, zo komen cybercriminelen en spionnen af op zo’n event van wereldformaat. Dat gebeurt om drieërlei redenen: geld verdienen, informatie buitmaken en invloed uitoefenen. Het eerste is vooral het domein van criminelen, al zijn ook sommige schurkenstaten daar van regeringswege bepaald niet vies van (ik kijk naar jullie, Noord-Korea).

Informatie buitmaken zou je vooral toedichten aan statelijke actoren uit Rusland, China en Irak (en nog een handjevol andere landen die niet op het openbare lijstje staan), maar je mag de criminelen ook hier niet uitvlakken: met ransomware-aanvallen leggen ze niet alleen organisaties plat, maar stelen ze ook gegevens, om vervolgens te dreigen met openbaarmaking. Dat vergroot hun kans dat ze losgeld ontvangen.

Invloed uitoefenen kan op verschillende manieren. Eén daarvan is het verspreiden van desinformatie. Daarmee kun je niet alleen de publieke opinie beïnvloeden, maar ook die van conferentiegangers; er zijn zelfs staatshoofden die zich gemakkelijk door desinformatie laten meeslepen. Je kunt ook invloed op zo’n top uitoefenen door hem te verstoren, waardoor bijvoorbeeld de planning in de war raakt en agendapunten komen te vervallen – in het extreme zelfs de hele bijeenkomst.

Wat ook de achtergrond van dat soort activiteiten is, ze komen samen bij jou als achteloze burger omdat ze alle drie een zelfde mogelijk startpunt hebben: phishing. Je ziet dan ook rond dergelijke evenementen een flinke toename aan phishing-pogingen, vaak met het evenement als thema. Je zou bijvoorbeeld een mailtje kunnen krijgen dat afkomstig lijkt te zijn van de gemeente Den Haag, met als inhoud: “Ondervindt u hinder van de NAVO-top, bijvoorbeeld doordat u niet op uw werk kunt komen? Vraag dan hier een schadeloosstelling aan.” Kwaadwillenden weten donders goed dat ze meer kans maken als ze met hun verhaal een gevoelige snaar weten te raken en ze geld in het vooruitzicht stellen.

Gewone phishing is schieten met hagel: het bericht gaat naar heel veel mensen en dan zien ze wel of er iemand hapt. Daarnaast wordt er ook gericht gephisht. Dat heet spearphishing. Dan hebben ze een specifiek doelwit op de korrel en wordt de phishing maatwerk. In de context van de NAVO-top zal dit ook wel toenemen.

Ik vraag me wel af hoe ze het ‘m in het Vaticaan flikken. Daar overleed de paus en vijf dagen later vond zijn uitvaart plaats, waarbij veel hoogwaardigheidsbekleders – inclusief de Amerikaanse president – acte de présence gaven. Nederland is al maanden bezig met de veiligheidsoperatie rondom de NAVO-top. Misschien wordt het eens tijd voor een informatieve dienstreis naar Rome.

 

En in de grote boze buitenwereld …

• is spionage soms heel geavanceerd.
• draagt de ware CISO een hoody en een spijkerbroek.
• vormen gestolen gegevens de brandstof voor de digitale onderwereld.
• verzetten Wikipedia-redacteuren zich tegen AI-samenvattingen, omdat ze vrezen voor de integriteit van de informatie.
• maakt AI inderdaad ‘wel eens’ pijnlijke fouten.
• was je telefoonnummer niet veilig bij Google.
• zijn je gegevens bij een Europese dochter van een Amerikaans bedrijf wél veilig; althans, wettelijk.

 

Van pantoffels naar biometrie

Afbeelding via Pixabay

Sommige verpleeghuizen gebruiken gezichtsherkenning om dementerende ouderen binnen te houden, berichtte het NOS Journaal een paar maanden geleden. Omdat ik altijd ‘aan’ sta als het om mogelijke onderwerpen voor deze blog gaat, heb ik dat toen genoteerd. En nu kom ik er eindelijk aan toe om uit te leggen waarom die rapportage mijn aandacht trok.

Gezichtsherkenning is een vorm van biometrie, net als bijvoorbeeld een vingerafdrukscan of stemherkenning. Biometrie betekent zoveel als ‘het meten van biologische kenmerken’. De techniek is gebaseerd op het feit dat ieder mens een aantal unieke kenmerken bezit. Op basis daarvan kun je iemand identificeren. En ter geruststelling: bij het toepassen van biometrie wordt niet je complete vingerafdruk of een foto van je gezicht opgeslagen. In plaats daarvan worden enkele specifieke eigenschappen vastgelegd, zoals de afstand tussen je ogen en andere verhoudingen. Bij het controleren of je ergens toegang hebt, wordt via een camera of scanner gecontroleerd of die eigenschappen terug te vinden zijn. Daarom werkt de vingerafdrukscan op je telefoon opeens minder goed als je flink aan het klussen bent geweest: je vinger is dan dermate opgeruwd dat de match niet kan worden gemaakt.

We gebruiken biometrie dus om ergens toegang toe te krijgen. Niet om géén toegang te krijgen. Maar dat is nou precies wat die verpleeghuizen wél doen. De buitendeur staat er gewoon open, maar als de camera iemand ziet aankomen die niet naar buiten mag omdat dat niet veilig is voor hem of haar, dan gaat de deur op slot. De verpleeghuizen vinden het geweldig: "Anders moeten we voor alle bewoners de deuren gesloten houden. Nu draaien we dat om: de deuren zijn open."

En wat als een gewiekste bewoner een snor opplakt, schoot het meteen door mijn hoofd. Of een zonnebril opzet. Grote kans dat hij dan niet wordt herkend en alsnog vrolijk naar buiten loopt. Nu weet ik niet of gewiekst en dement kunnen samengaan, maar ja, ik ben het aan mijn stand verplicht om ervan uit te gaan dat dingen mis kunnen gaan. Edward Murphy is mijn rolmodel (je weet wel, die van die wet: alles wat fout kán gaan, zál fout gaan). 

Wat we daar zien, is biometrie op z’n kop. Waarom wordt biometrie niet op de gebruikelijke manier toegepast? Iedereen die naar buiten mag, staat in het systeem. Wordt hij of zij herkend, dan zwaait de deur open. Komt iemand aansloffen die niet naar buiten mag en dus niet in het systeem staat, dan blijft de deur dicht. Je moet dan van goeden huize komen om het systeem te foppen.

Voordat die verpleeghuizen overstapten op biometrie, gebruikten ze polsbandjes of sensoren in de sloffen van hun cliënten. Ook toen al werkten ze met open deuren, die voor sommigen op slot gingen. Maar daar kon je natuurlijk gemakkelijk omheen werken: sloffen uit en hoppa, je stond buiten. En een beetje gefrummel aan zo’n polsbandje bleek ook al te werken. Overigens heeft de overstap naar biometrie een dubbel gezicht: enerzijds werkt een voor iedereen zichtbaar bandje stigmatiserend, anderzijds maakt de nauwelijks zichtbare biometrie het lastig om in verzet te komen – een recht dat óók dementerenden hebben.

Een verpleeghuis is geen gevangenis. Alleen bewoners, waarvoor het vanwege hun staat niet veilig is om alleen naar buiten te gaan, worden – met toestemming van henzelf of hun vertegenwoordiger – binnengehouden. Bezoekers zijn welkom en moeten vrijelijk in en uit kunnen lopen. Open deuren geven een ontspannen gevoel, en dragen daarmee bij aan een waardig bestaan. Vanuit die invalshoek begrijp ik de omgekeerde werkwijze, en ik kan me voorstellen dat er niet heel veel cliënten zullen zijn die het systeem weten te hacken. Voor de meeste andere toepassing houd ik echter graag vast aan biometrie zoals zij bedoeld is.

 

En in de grote boze buitenwereld …

• kijk je straks op het vergrendelscherm van je Samsung-telefoons naar advertenties waarin je zelf voorkomt.
• zijn de nieuwe beveiligde DM’s van Twitter/X niet echt veilig.
• heeft Microsoft toch niet de mail van het Internationaal Strafhof uitgezet, zegt Microsoft.
• vallen cybercriminelen ook wel eens hun soortgenoten aan.
• moet je oppassen voor valse versies van Zoom (en soortgelijke programmatuur).
• willen AI-bedrijven te snel vooruit, ten koste van onze veiligheid.
• bespioneerden Facebook en Instagram je op je Android-telefoon.
• lees je hier nog veel meer over hoe je werd bespioneerd.
• waarschuwt dit filmpje voor deepfakes.

Van alles wat

Afbeelding via Pixabay

Een paar weken geleden was ik op een conferentie. Ik heb daar veel aantekeningen gemaakt en ik kan de presentaties terugkijken. Wat kan ik daar het beste mee doen? Na wat bladeren heb ik de knoop doorgehakt: ik ga je trakteren op wat losse citaten en laat daar mijn eigen gedachten op los.

Als opwarmertje heb ik een gemakkelijke open deur voor je: “Als je iemand alleen online hebt ontmoet, dan is dat altijd een vreemde.” Deze komt uit een presentatie over weerbaarheid tegen scams. Je zult het eens moeten zijn met deze stelling, maar handel je er ook naar? Of wil je toch graag geloven dat die aardige persoon ook integer is? Dat is erg moeilijk. In de vorige eeuw, toen het internet nog niet gemeen was, ontmoette ik iemand in online forum (kent nog iemand CompuServe?). We hadden gezellige gesprekken over de toestand in de wereld en over observaties in het dagelijkse leven. Later gingen we rechtstreeks mailen, en op mijn bruiloft heb ik hem voor het eerst in het echt ontmoet. Als ik bovenstaand citaat ter harte had genomen, dan was ik deze vriendschap misgelopen. Destijds bestond cybercrime nog niet en was het online leven een stuk gemakkelijker.

Een handige tip om niet het slachtoffer van bedriegers te worden: never pay to get paid. Oftewel: als iemand je gouden bergen belooft maar wel vooraf geld van jou nodig heeft om dat waar te kunnen maken, dan is er iets aan de hand. Dat begon destijds met die Nigeriaanse prins die een fortuin met je wilde delen maar wel wat geld nodig had om dat fortuin vrij te maken, en tegenwoordig krijg je misschien werk aangeboden waarbij een kleine inspanning rijk beloond zal worden – maar dan moeten er wel eerst bepaalde kosten gemaakt worden. Trap er niet in.

Dan een leuke tip waar je meteen je voordeel mee kunt doen: verander de naam van je gastennetwerk in “snellere wifi”. Dan willen al je gasten – en vooral de gasten van je kinderen – op dát netwerk. En dat is precies waar je ze wilt hebben. Want je gastennetwerk staat los van het netwerk dat toegang biedt tot je privégegevens. Haaks daarop staat dan wel weer het idee om al je Internet of Things (IoT)-apparaten op het gastennetwerk aan te sluiten. De gedachte daarachter is dat IoT-apparaten relatief gemakkelijk gehackt kunnen worden en dat je liever niet wilt dat een hacker toegang heeft tot je gegevens. Maar wil je wel dat al je gasten bij je vaatwasser, wasdroger en zonnepanelen kunnen? Lastige keuzes.

Soms sluit een uitspraak van de ene spreker aan op die van een andere. Zo ook deze twee: “8% van de gebruikers in je organisatie leiden tot 80% van het risico” en “Nieuwe medewerkers zijn de grootste bedreiging: ze klikken makkelijk op links omdat ze de risico’s niet begrijpen.” Die eerste zou ik zelf vooral linken aan medewerkers die in het “niet kunnen & niet willen”-kwadrant zitten: ze weten niet hoe ze zich veilig moeten gedragen en ze zijn ook niet bereid om hun gedrag aan te passen, waardoor ze moeilijk bereikbaar zijn. Maar voor de tweede spreker schuilt het gevaar met name in nieuwe medewerkers. Daar kun je wél wat aan doen. Daarom zijn wij al jaren aangehaakt bij het introductieprogramma voor nieuwe medewerkers en trakteren we de verse collega’s op een presentatie waarin we ze spelenderwijs langs de belangrijkste aspecten van informatiebeveiliging, bedrijfscontinuïteit en privacy leiden. En we maken reclame voor de Security (b)log, zodat het niet bij een eenmalige ontmoeting blijft.

Als er één onderwerp als rode draad door al die honderden presentaties liep, dan was het wel kunstmatige intelligentie. Een spreker vond dat 90% van de zogenaamde AI-experts geen idee heeft waar ze over praten, en dat de overige 10% maar bar weinig weet. En dat is normaal, betoogde hij, want AI bestaat uit heel veel sub-disciplines en het is belangrijk dat experts veel afweten van hún deelonderwerp. Zoals je met hartproblemen niet naar een hersenchirurg gaat, zo moet je ook op het gebied van AI de juiste specialist opzoeken.

Als laatste een citaat dat bleef hangen omdat het zo lekker binnenkomt: “Generative AI is autocorrect/type ahead on steroids.” Ik ga ‘m even voor je ontleden. Generatieve AI is de bij het brede publiek bekende vorm van kunstmatige intelligentie, die zelfstandig iets genereert; je kent het bijvoorbeeld van ChatGPT. Autocorrect ken je vooral van je telefoon; het behoedt je enerzijds voor typfouten, maar zorgt soms voor pijnlijke situaties omdat de “correctie” vervelend uitpakt (bij mij werd ooit “Hoi Carmen” vervangen door “Hoi varken”). Type ahead is het zusje hiervan, ook bekend van je mailprogramma dat tijdens het typen van een adres al roept: ik weet wie je bedoelt! Nou, en dit allemaal voorzien van de nodige doping, dat is dus AI. Met alle gemakken van dien, maar ook met een versterking van alle ongemakken. Het bericht aan Carmen heb ik nog op tijd gestopt, maar als AI er vrolijk op los hallucineert en ons een verhaal voorschotelt dat kant noch wal raakt, dan is het een stuk moeilijker om dat te ontdekken.

Volgende week verschijnt er geen Security (b)log.

 

En in de grote boze buitenwereld …

• mag Meta nu Europese data gebruiken om z’n AI te trainen.
• verzet Signal zich tegen Microsoft Recall.
• vraagt Arjen Lubach zich af of Trump Nederland digitaal kan platleggen.
• laat dit voorbeeld zien hoe dat platleggen werkt.
• deelt Telegram gegevens met autoriteiten en verdedigt het de vrije meningsuiting.
• wordt Windows quantum-proof.
• heeft de Technische Universiteit Eindhoven het rapport over de cyberaanval van januari gepubliceerd.
• kun je deepfakes herkennen door te kijken of er bloed door de aderen van het gezicht stroomt.

 

Bord voor de kop

 

Foto van auteur

Kijk eens even goed naar de foto en probeer te bedenken waarom ik dit plaatje met maar één doel heb geschoten: er een blog over maken.

We bevinden ons in een hotel. Onder in beeld zie je een trap naar beneden. Daarboven hangt een waarschuwingsbord: “Waarschuwing – kijk uit”. Hoeveel mensen zouden er al van deze trap zijn gekukeld omdat ze naar dit bord keken? Het trekt je aandacht, waardoor je blik niet meer is gericht op de gevaarlijke situatie zelf: de trap. Je loopt met open ogen in de valkuil. Letterlijk.

Soms worden beveiligingsmaatregelen misbruikt om je een veilig gevoel te geven terwijl je je in een gevaarlijke situatie bevindt. Zo zijn er phishing-mailtjes waarin wordt gewaarschuwd voor phishing. Als je op de ‘voor meer informatie’-link klikt, dan kom je netjes op de phishing-informatiepagina van het echte bedrijf terecht. Dat kan je het gevoel geven dat je een legitiem mailtje voor je neus hebt. Want boeven gaan je heus niet op het bestaan van criminaliteit wijzen, toch? Ze gaan je toch niet op het idee brengen dat er iets aan de hand zou kunnen zijn, ze willen toch niet dat je daarover nadenkt?

Cybercrime draait om vertrouwen. Als je het vertrouwen van je slachtoffer weet te winnen, ben je binnen. Je wint het vertrouwen door je als degelijke partij te profileren, die je als extra service waarschuwt voor gevaren. Daarmee sluipen ze jouw wereld binnen en kijken jullie samen naar de grote boze buitenwereld. Dat schept een band. En daarmee vertrouwen.

In datzelfde mailtje staat echter ongetwijfeld ook een link die je naar een valse website brengt. Omdat het mailtje zo betrouwbaar overkomt, ben je eerder geneigd om ook daar op te klikken. Hebbes.

Blijft natuurlijk de vraag: waarom zou je in hemelsnaam zo’n bordje boven een trap aanbrengen? Dat zal wel met de Amerikaanse claimcultuur te maken hebben. “Heel vervelend dat u van de trap bent gevallen, maar ja, we hadden u gewaarschuwd hè, dus u krijgt geen schadevergoeding.” Iedereen weet ook zo wel dat je moet uitkijken met trappen – ook zonder zo’n bord. Bovendien was dit de enige trap in het hotel met een waarschuwing. Er zal wel ooit iemand op die plek de diepte in gestort zijn, waarna deze trap als Gevaarlijke Plek werd aangemerkt.

 

En in de grote boze buitenwereld …

• zijn berichten ‘namens de overheid’ ook altijd goed om vertrouwen te wekken.
• is het niet handig om je mail bij een Amerikaans bedrijf onder te brengen.
• leidt AI tot meer paranoia.
• kregen deze cybercriminelen een koekje van eigen deeg.
• heeft Europa nu een eigen kwetsbaarhedendatabase.
• wordt de Europese security-organisatie Enisa in verband gebracht met de stroomstoring in Spanje en Portugal.
• moet je opnieuw zelf in actie komen als Meta z’n AI niet met jouw gegevens mag trainen.
• is cyberspionage vanaf nu strafbaar.

 

Ontmoeting met sterren

Afbeelding via Pixabay

Ik heb sterren ontmoet. Bruce Schneier hield een toespraak, Adi Shamir en Whitfield Diffie zaten in een panel, Ron Rivest stond op een armlengte afstand en Dave Maasland zat naast me in de kroeg.

Je kent deze namen waarschijnlijk alleen als je een vakgenoot bent – alhoewel, Dave Maasland is nog wel eens op de Nederlandse tv te zien. Blijf hoe dan ook toch maar doorlezen, want ook zonder deze mensen te kennen kun je hier iets opsteken.

Ron Rivest en Adi Shamir zijn de ‘R’ en de ‘S’ in RSA. Die naam ken je wellicht van je tweefactorauthenticatie, de extra beveiligingsstap die je soms moet zetten om ergens in te loggen. RSA is tegenwoordig een bedrijf dat onder andere dit soort hulpmiddelen maakt, maar van oorsprong is RSA een cryptografisch algoritme dat belangrijk is voor de versleuteling van onze gegevensuitwisseling. De ‘A’ is trouwens van Len Adleman, maar die heb ik op deze conferentie – de RSA Conference! – niet gezien. Whitfield Diffie, die in hetzelfde panel zat als Adi Shamir, is bekend van een ander cryptografisch algoritme (Diffie-Hellman).

In dat panel gaven een aantal cryptografen hun kijk op de wereld. Shamir sneerde naar de bitcoin en zijn soortgenoten: de wereld zou beter af zijn zonder cryptovaluta. Diffie merkte op dat consumentenproducten kennelijk goed genoeg worden gevonden voor high security toepassingen – Signalgate, de affaire waaruit bleek dat hoge Amerikaanse functionarissen Signal gebruiken, lag nog vers in het geheugen. Overigens beaamde Diffie dat de beveiliging van Signal prima in elkaar zit. Verder besprak het panel de dreiging van quantum computing, die er in het kort op neerkomt dat de beveiliging, die onder andere RSA ons biedt, in de toekomst kan worden gekraakt. Bovendien stelen buitenlandse regimes nu al onze gegevens, om ze te zijner tijd door de quantumcomputer te halen. Daarom is het zaak om zo snel mogelijk vervangende crypto-algoritmes te ontwikkelen, maar dat is niet gemakkelijk. Diffie: “Het is alsof je in 1945 een algoritme moest ontwikkelen dat nu nog steeds werkt.” Shamir adviseerde, in lijn met een Europese aanbeveling, om voorlopig dubbele encryptie toe te passen.

Bruce Schneier is ook wereldberoemd in onze wereld. Hij verspreidt zijn gratis nieuwsbrief al jarenlang over de hele wereld en geeft daarin inzichten en meningen over nieuwe ontwikkelingen. Zijn toespraak ging over vertrouwen in kunstmatige intelligentie. Vertrouwen is een ingewikkeld begrip, betoogde hij, vooral als het gaat om vertrouwen in vreemden (‘social trust’). We dreigen AI als vriend te beschouwen, maar het is een dienst. Bovendien is het een dubbelagent: hij dient zowel jou als zijn aanbieder. Maar we hebben geen keuze; we moeten ons aan AI toevertrouwen. Het tijdperk van de agentic AI breekt aan: je hebt een persoonlijke assistent die dingen voor je regelt. De AI-agent heeft toegang tot je mail en je agenda en weet alles van je. Dat wil je ook, want daardoor kan hij je optimaal ondersteunen. Schneier gebruikte het reserveren van een tafel als voorbeeld. Vroeger belde je naar het restaurant, tegenwoordig reserveer je via hun website en straks laat je de AI-agent een restaurant zoeken en een reservering maken. Hij weet wat je lekker vindt en wanneer je kunt.

We hebben dus betrouwbare AI nodig. Integriteit zal volgens Schneier het belangrijkste probleem zijn, omdat de meeste aanvallen op AI te maken hebben met de juistheid van gegevens. Hij noemde als voorbeeld stickers die op lantaarnpalen worden geplakt om zelfrijdende auto’s te misleiden. Er is wetgeving nodig om tot betrouwbare AI te komen, maar huidige wetgeving (zoals de Europese AI Act) reguleert de AI zelf in plaats van de mensen achter de AI, en dat is volgens Schneier de foute weg. Hij bepleit een publiek AI-model met politieke verantwoordelijkheid, als tegenwicht voor corporate AI.

Informatiebeveiligers zijn ook maar mensen en daarom had de organisatie ook een aantal ‘echte’ sterren op het toneel gebracht. Zoals filmmaker Ron Howard (onder andere Apollo 13 en A beautiful mind (twee Oscars)), die werd geïnterviewd door zijn dochter en vakgenote. Of basketbal-legende Earvin “Magic” Johnson, die met zijn toegankelijkheid en een motiverend verhaal de zaal voor zich won. En ten slotte was daar nog acteur/zanger/komiek Jamie Foxx, die voor een komische afsluitende noot zorgde. Maar hij stak ons ook een hart onder de riem: “Wat jullie doen is misschien de belangrijkste job in de geschiedenis van de mensheid.” Community was volgens hem het toverwoord.

Daarna kon ik met mijn drie collega’s en 44 duizend andere conferentiegangers weer terug naar onze eigen tijdzone. We hebben er samen een interessante én leuke week van gemaakt. En de band tussen ons team en het SOC is er ook nog eens inniger door geworden. Dat heb je goed gedaan, JW.

 

En in de grote boze buitenwereld …

• werd Bruce Schneier geïnterviewd naar aanleiding van zijn RSA-toespraak.
• is Schneier lovend over advies van het Britse NCSC over advanced cryptography.
• is een veiligheidskeurmerk voor AI onmogelijk.
• draait Signalgate nu om een onveilige – zelfs al gehackte – kloon van de Signal-app.
• is de Chinese cyberdreiging groter dan de Russische.
• ontbrak de basis-wachtwoordhygiëne bij een Amerikaanse inlichtingenchef.
• kan AI zien waar een foto is gemaakt.

De remmen van de fatbike

 

Afbeelding via bol.com

Fatbikes. Alleen dat woord al. Ik blijf hier maar weg van de brede discussie over dit jonge fenomeen op de weg. Maar ik wil het wel hebben over iets dat ik gepaard zie gaan aan het berijden van zo’n ding: het remmen à la Fred Flintstone.

Je weet toch hoe Fred zijn auto afremt? Letterlijk met de hakken in het zand. En de laatste tijd zie ik steeds vaker dat jeugdige fatbikers hun tweewieler net als Fred tot stilstand proberen te krijgen door hun beide voeten op de grond te zetten. Vaak slingeren ze daarbij vervaarlijk heen en weer. Uiteindelijk komen ze net op tijd tot stilstand.

Zit er iemand in de zaal die ervaring heeft met het rijden op zo’n ding? Zijn de remmen werkelijk zo slecht dat je een Fredje moet doen om op tijd stil te staan? Of hebben we het hier over opgevoerde exemplaren, waarbij de remmen, die amper voldoen aan de voorschriften, te kort schieten zodra de fiets sneller gaat dan bedoeld en toegestaan?

Even iets anders; je snapt zo waarom ik dit erbij haal. Eerder deze week kwam ik met de trein door Gouda. Op het station viel mijn oog op de openluchtfietsenstalling. Aan weerskanten van die stalling – die slechts twee fietslengtes plus een gangpad breed is – stonden zo’n beetje om de tien meter beveiligingscamera’s opgesteld. Ik heb ze niet geteld, maar het waren er in ieder geval absurd veel. Je zou bijna denken dat de camera’s bijziend zijn.

Ziehier twee voorbeelden van beveiligingsmaatregelen die worden genomen in situaties waarin de werking van de eigenlijke maatregelen – remmen en sloten – in de praktijk onvoldoende is gebleken. In de informatiebeveiliging hebben we ook van die maatregelen. Meestal gaat het daarbij om techniek die niet voor de volle honderd procent waarmaakt wat je ervan hoopt. Bijvoorbeeld een virusscanner die toch dat allernieuwste virus erdoor laat, of die mailscanner die dat ene mailtje niet als phishing herkent. In die situaties komt het probleem op het bordje van de gebruiker terecht.

En daarom hebben we jouw inzet nodig, beste lezer. Jij bent de remschoen die op het laatste moment, als al het andere heeft gefaald, nog kan ingrijpen. Jij bent onze laatste verdedigingslinie. En dat is precies de reden waarom ik zoveel energie steek in het up-to-date houden van je kennis op mijn vakgebied. Je hoeft niet alle ins en outs te weten, maar wel de dingen die – letterlijk – van levensbelang kunnen zijn voor de organisatie, zoals het herkennen van phishing-mail.

Ik weet het, dat kan moeilijk zijn. Meer dan alertheid kan ik niet van je vragen. Help ons om onze fatbike, desnoods al slingerend, op tijd tot stilstand te brengen.

De komende twee weken verschijnt er geen Security (b)log.

 

En in de grote boze buitenwereld …

• zijn niet alle awareness-campagnes even effectief.
• start nu ook je Android-telefoon opnieuw op als je hem drie dagen niet aanraakt.
• had de moeder van Appie vorig jaar een flink datalek door een cyberaanval.
• heeft Google vorig jaar ruim vijf miljard advertenties geblokkeerd. Veel daarvan waren door AI gegenereerd.
• leek het er even op dat het gedaan was met de CVE’s.
• moeten alle rijksambtenaren op weerbaarheidstraining.
• gaat een gezichtsscan bepalen of je oud genoeg bent voor Discord.
• heeft de politie veertien jaar lang niet goed gelakt.
• kun je beter geen gekraakte computerprogramma’s downloaden.
• is de CISO Mindmap 2025 gepubliceerd.

Dovemansoren

Afbeelding via Pixabay

“Heb jij al eens een blog geschreven over het spanningsveld tussen security en gebruiksgemak?”, vroeg een collega. “Vast wel”, antwoordde ik, “maar wat is jouw aanleiding om daarnaar te vragen?” “Mijn vrouw.”

Ik snapte meteen wat hij bedoelde. Niet dat mijn gezin het allemaal niet begrijpt hoor. Maar we hadden laatst wat mensen over de vloer, waaronder een stel dat bij elkaar opgeteld ongeveer mijn leeftijd heeft. Zij vroeg om het wifi-wachtwoord, en ik noemde het wachtwoord van ons gastennetwerk. Dat is gemakkelijk te onthouden en daarom niet erg ingewikkeld (iets als fiets3oven) – het is toch maar het gastennetwerk en daarmee kun je niet bij onze gegevens. Zij reageerde tot mijn verrassing echter met: “Poh, wat een moeilijk wachtwoord!” En ze noemde spontaan hun eigen wifi-wachtwoord, dat ik zou inschalen in de categorie “20^e eeuw”.

Een afkeurende blik kon ik niet vermijden, maar vervolgens deed ik een voorzichtige, uiterst vriendelijke poging om uit te leggen dat een dergelijk wachtwoord geen goede keus is. En het is bepaald niet zo dat ik onervaren of onhandig ben in het uitleggen van dat soort dingen. Maar in dit geval was mijn uitleg aan dovemansoren gericht. “Ach, bij ons gebeurt toch nooit iets”, zei de jongedame. Het was echter vooral haar blik die boekdelen sprak: waar maakt die man zich druk om? Ik nam nog een nieuw aanloopje en begon over wachtwoorden van andere, misschien belangrijkere accounts – vanuit de wetenschap dat mensen die links onverstandig handelen, dat meestal rechts ook doen. De muur van onbegrip was echter dermate hoog dat ik haar, ondanks alle ervaring, niet wist te slechten. En ik besefte dat ik het hierbij moest laten; die mensen waren hier voor de gezelligheid, niet om de les gelezen te krijgen.

Mijn vrouw en dochter, die dit allemaal hadden meegekregen, waren inmiddels al ruimschoots door de vloer gezakt. Los van het feit dat tieners er slecht tegen kunnen als hun vader zoiets doet, hadden de beide dames veel sneller dan ik in de gaten dat ik aan een mission impossible was begonnen. Hun opluchting was dan ook groot toen ik het onderwerp liet varen en we overgingen op koetjes en kalfjes.

Beveiliging en gebruiksgemak staan op gespannen voet met elkaar. Ga maar na: als je je huis op slot hebt gedaan, dan sta je net iets langer in de regen als je weer thuis komt. Iedereen begrijpt echter dat deze maatregel is bedoeld om buitenstaanders buiten te houden – die heten niet voor niets zo. Bij informatiebeveiliging werkt het net zo: legitieme gebruikers wil je eigenlijk geen strobreed in de weg leggen, maar omdat de meeste systemen nu eenmaal niet voor iedereen zijn bedoeld, moet er een slot op deur.

Sommige van die sloten zijn hinderlijker dan andere, en soms kunnen ze ronduit vervelend zijn, bijvoorbeeld om ze vaak op slot gaan. Als het vervelend wordt, dan zijn mensen geneigd om beveiligingsmaatregelen te omzeilen. Het moge duidelijk zijn dat de organisatie dergelijke creativiteit niet op prijs stelt. Daarom vind ik het altijd belangrijk dat je kunt begrijpen waarom een bepaalde maatregel van kracht is. En dus heb ik voor een tweetal maatregelen, waarbij ikzelf vaak denk: “Waarom werkt dit toch zo”?, navraag gedaan.

In beide gevallen kwam het antwoord neer op: dat zou niet zo moeten zijn. Gevolgd door technische uitleg waaruit valt op te maken dat er helemaal geen beveiligingsmaatregel in het spel is, althans: geen maatregel die verklaart wat ik beleef. Er is waarschijnlijk gewoon iets niet goed. Dat kan dus ook: dat je denkt dat iets een kromme beveiligingsmaatregel is, maar dat er iets anders aan de hand is.

Hopelijk kan die collega zijn vrouw ervan overtuigen dat sommige maatregelen belangrijk zijn. En hopelijk herkent hij situaties waarin er gewoon iets stuk is en het gedrag niet de schuld van de beveiliging is.

 

En in de grote boze buitenwereld …

• snappen sommige hooggeplaatste functionarissen niet dat ze geen persoonlijke e-mail voor het werk moeten gebruiken.
• is Gmail’s end-to-end encryptie geen echte E2EE.
• zijn er namaaktelefoons met malware in omloop.
• was de grote storing van vorig jaar in het Defensie-netwerk niet te voorkomen.
• is crisiscommunicatie een vak apart.
• wordt de Zweedse belastingdienst voor de rechter gesleept omdat hij gegevens van burgers verkoopt.
• wil iemand wel heel graag Chinese domeinen hacken.

De telefoon doet het niet

Afbeelding via Pixabay

Mijn opa en oma hadden telefoonnummer 1331. Die vier cijfers waren alles wat je nodig had om hen te bereiken. Belde je van verder weg, dan kwam daar nog netnummer 04454 voor.

De nummers van familie en vrienden wist je in die tijd uit je hoofd. Andere nummers had je in zo’n speciale telefoonklapper staan: je stelde een schuifje in op de eerste letter van de achternaam, drukte op een knop en het ding floepte open en toonde een kaartje met alle namen en nummers die bij die letter hoorden. Met de hand geschreven.

Thuis hadden we lange tijd helemaal geen telefoon. Daar kon je in de jaren zeventig prima mee leven. En die ene keer dat je echt iemand moest bellen, klopte je aan bij de buren. Je gaf ze dan een kwartje voor de kosten. Of je ging naar de telefooncel in het dorp. Ook daar had je kwartjes nodig. Dat waren belangrijke muntjes. Jammer dat ze er niet meer zijn.

Toen we uiteindelijk dan toch telefoon kregen, waren vier cijfers nog steeds voldoende. Wij hadden 4006. De PTT was de monopolist en iedereen had hetzelfde toestel: de T65, met draaischijf en krulsnoer. Het stond in de woonkamer en als je in de keuken bezig was, met de deur dicht, dan miste je wel eens een telefoontje. En dat wist je pas als de beller het later nog eens probeerde (“Waren jullie niet thuis?”). Daarom lieten mijn ouders diezelfde PTT een extra bel in de hal installeren. Daar betaalde je, net als voor de T65, huur voor.

Vele jaren later kocht ik – aarzelend – mijn eerste mobiele telefoon. Een Panasonic, met een antenne die zo’n twee centimeter boven het toestel uitstak. Het toestel had een klein LCD-display en fysieke toetsen. Je kon ermee bellen en sms’en. Vergeleken met de T65 was het aantal functies verdubbeld. Wow!

Kijk eens waar we nu staan. Zowat iedereen loopt de hele dag rond met een computer op zak, waarmee je toevallig ook kunt telefoneren. Dat kan op verschillende manieren. Via je simkaart (het ouderwetse bellen, met een telefoonnummer van maar liefst tien cijfers), maar ook – al dan niet met bewegende beelden – via andere apps. Je kunt er zelfs mee vergaderen, zo weten we sinds de coronapandemie – desnoods met mensen in alle uithoeken van de wereld. De meeste mensen hebben de vaste telefoon de deur uit gedaan. Of er nooit eentje gehad.

Maar wat als dat allemaal plotseling niet meer werkt? Niemand is meer bereikbaar, althans niet telefonisch. Je kunt alleen nog indirect met elkaar communiceren. Via e-mail of via chat-apps. Welke impact heeft dat op ons sociale en professionele bestaan? Tal van onderwerpen hebben baat bij live interactie; als die via mail moeten, dan kan het ‘gesprek’ gemakkelijk de verkeerde kant op gaan doordat de een de ander verkeerd begrijpt.

Als telefonie én videovergaderen langdurig zouden uitvallen, dan zouden we ongetwijfeld weer vaker naar kantoor gaan. Dan zou het weer zoals vroeger worden: maximaal één dag thuiswerken. Iedereen heeft zo zijn persoonlijke voorkeur, maar ik koester het thuiswerken. Een dag per week in het kippenhok zitten (en, toegegeven, ook zelf aan het geklets meedoen) is voor mij wel genoeg.

Wat doen we eraan om te voorkomen dat alles uitvalt? Diversiteit speelt een sleutelrol. We hebben in Nederland drie mobiele netwerken (Vodafone, Odido en KPN (de erfgenaam van de PTT!)). Alle andere aanbieders liften mee op deze netwerken. Het is voor organisaties financieel en vanuit beheeroogpunt aantrekkelijk om hun telefonie bij één aanbieder onder te brengen. Maar als daar dan een keer iets goed misgaat, dan heeft meteen de hele organisatie een black-out. Het zou dus beter zijn om je kansen te spreiden. Je zou dan zelfs zover moeten gaan dat de medewerkers van een team niet allemaal bij dezelfde aanbieder zitten. Ik zie een leuke administratieve uitdaging…

Maar is het de moeite waard? We hebben toch nooit langdurige uitval? Ik durf er in het huidige tijdsgewricht niet meer blindelings van uit te gaan dat dat zo blijft. Er spelen vreemde krachten in de wereld. Die krachten zouden er op enig moment baat bij kunnen hebben dat een land vleugellam wordt. Daar willen we liever niet aan denken. En juist daarom moeten we het wel doen.

 

En in de grote boze buitenwereld …

• zat de hoofdredacteur van The Atlantic ongevraagd in een Signal-groep van de Amerikaanse regering.
• is dit het oorspronkelijke artikel van The Atlantic over de Amerikaanse plannen om de Houthi’s te bombarderen.
• kunnen lager geplaatsten zich een dergelijke fout niet veroorloven.
• gaat SignalGate niet over Signal.
• spint Signal wel garen bij SignalGate.
• heeft een van de SignalGate-deelnemers ook informatie gelekt via een Amerikaanse Tikkie-variant.
• heeft Signal een handige feature om te voorkomen dat je de verkeerde persoon toevoegt.
• kun je controleren of je online accounts gehackt zijn.
• kan een aangevallen luchthaven altijd nog overstappen op whiteboards.
• werkt ChatGPT verslavend.
• is ook Troy Hunt (van Havibeenpwned) niet veilig voor phishing.
• is de Rijkscloud weer een stapje dichterbij.