In het theater

Foto van auteur

De Rode Zaal van het Meervaart Theater in Amsterdam is op de foto nog leeg. Enkele minuten later was hij gevuld met zo’n driehonderd medewerkers van het Landelijk Incasso Centrum (LIC) van de Belastingdienst. En die laptop, die is van mij.

Een paar maanden geleden was de organisatie van deze jaarbijeenkomst enthousiast geworden over mijn blogs. Waarschijnlijk onder de wat riskante aanname “als hij leuk kan schrijven, dan zal hij ook wel leuk kunnen vertellen” nodigden ze me uit om een deel van het programma voor mijn rekening te nemen. En dus toog ik dinsdag, de spoorwegstaking trotserend, naar de hoofdstad. Ik had drie missies: vóór de lunch een presentatie in het keuzeprogramma, na de lunch een plenaire presentatie in die grote zaal en aan het einde van de dag nog eens hetzelfde verhaal als ’s ochtends, maar dan voor een andere groep van zo’n veertig man. Hoewel, “man”: de collega’s, die in zaal 9 naar mij kwamen luisteren, waren voor 92% vrouw. Iemand zoals ik, uit de ICT én de security, ziet in z’n werk zelden zoveel vrouwen bij elkaar. Ze vormden een hartstikke leuk, geïnteresseerd publiek, en gaven mij een mooi inkijkje in wat er bij hen speelt.

Die uitnodiging had ik met name te danken aan mijn blog over Girl’s Day. (Korte samenvatting: voor een presentatie aan meisjes van een middelbare school had ik hun namen gegoogeld en laten zien wat ik – amateur op dat gebied – allemaal te weten was gekomen.) Dat verhaal wilden ze bij het LIC ook wel eens horen. Er was één verschil: op Girl’s Day ging mijn verhaal over de aanwezige meisjes, terwijl het in de Meervaart niet over het aanwezige publiek ging, maar over diezelfde meisjes (natuurlijk heb ik noch in de ene, noch in de andere presentatie namen of te pijnlijke details genoemd). Desondanks was de spanning ook in de Rode Zaal van de gezichten af te lezen. Vooral de onthulling dat presentaties, die je maakt met de gratis versie van Powerpoint-alternatief Prezi, openbaar op het internet staan, leidde tot een “Oh!” vanuit de zaal. Een filmpje, waarin een ‘waarzegger’ in een tent moeiteloos allerlei details over zijn klanten boven water krijgt, maakte het af.

Mijn andere presentatie droeg de titel Phish & Chats en ging over phishing, chat-apps en kunstmatige intelligentie. Het eerste deel was voor velen een feest der herkenning: “Wie heeft er nog nooit een phishingmailtje ontvangen?” Niemand. “Hoi pap, dit is mijn nieuwe telefoonnummer.” Geroezemoes in de zaal. Engels, met Indiaas accent: “Hallo, dit is de Microsoft Helpdesk.” Ja-knikkende hoofden. Natuurlijk heb ik ze ook wat handvatten gegeven om phishing te herkennen – want iedere individuele medewerker kan op een kwade dag zomaar de laatste verdedigingslinie van de organisatie zijn, als hij of zij een phishingmailtje in de mail aantreft. Dan wil je echt heel graag dat de collega daar adequaat op reageert.

Het onderdeel chat-apps ging over de voors en tegens van verschillende van deze apps. In het kort: gebruik WhatsApp niet voor je werk vanwege privacy-issues en gebruik Telegram sowieso niet. Voor chatten binnen de rijksoverheid is Webex beschikbaar. Verder is Signal een uitstekende keus.

Ook het onderwerp kunstmatige intelligentie (AI) viel onder de noemer ‘chats’ van Phish & Chats, want al die handige hulpjes zoals ChatGPT, Gemini en Copilot zijn slimme chat-bots: je kunt letterlijk met ze kletsen. Ik heb besproken hoe ze werken, hoe ik er vanuit mijn vak tegenaan kijk en wat onze organisatie wel en niet toestaat (wel: Copilot Chat; niet: de rest).

Voor mij leverde deze dag een warm bad in duimpjes, complimenten en bedankjes op. En ik hoop dat de mensen, die dat nog niet deden, nu ook de Security (b)log gaan lezen. Niet voor mij, maar om vertrouwd te raken met wat er speelt in de informatiebeveiliging en met jouw eigen rol daarin. Binnenkort ben ik te gast bij een team dichter bij huis, en na de zomer ben ik weer present op de vaktechnische dagen van onze EDP-auditors. Gisteren hebben we besproken waar ik het zoal over zou kunnen hebben en daar ga ik de komende tijd een rode draad in zoeken. Tussendoor kom ik nog een keertje langs als gast in een podcast. Maar daarover later meer.

 

En in de grote boze buitenwereld …

• holt je privacy in WhatsApp nog verder achteruit.
• vindt deze privacy-organisatie daar ook wat van.
• vinden scammers altijd weer nieuwe wegen.
• plegen de Russen een nieuwe vorm van social engineering.
• blijft oud nieuws soms gewoon actueel.
• opereerde deze ransomware-bende vanuit een hotel in Thailand.
• worstelen ze ook in Zwitserland met de alomtegenwoordige Amerikaanse cloud. [DUITS]
• maak je misschien wel gebruik van een Chinese VPN-app.

Den Haag plat

Afbeelding via Pixabay

Je hebt het inmiddels wel gehoord: over ruim een week wordt Den Haag een onneembare vesting. Mensen die in de wijde omgeving van het World Forum wonen en werken ondervinden al weken de nodige hinder van de grootste veiligheidsoperatie aller tijden. Maar net als bij een ijsberg zie je ook nu niet het hele plaatje.

Het vorige event dat aan deze schaalgrootte kon tippen was de Nuclear Security Summit in 2014. Die bracht ook tientallen wereldleiders naar datzelfde congrescentrum. In de elf jaar die sindsdien zijn verstreken is de dreiging op het gebied van cybersecurity enorm toegenomen. Zowel de aanvalsmethodes als de mensen daarachter zijn slimmer geworden. Veel slimmer. En uitgekookter. En dat is gemeen, omdat je je daar als gewone burger maar moeilijk tegen kunt wapenen.

“Maar wat heb ik, als gewone burger, met die hele NAVO-top te maken?”, hoor ik je denken. De meesten van ons hebben daar inderdaad weinig tot niets mee van doen – in directe zin althans. Toch kun je er wel degelijk mee in aanraking komen, al zul je lang niet altijd weten dat er een verband met die bijeenkomst is.

Dat zit zo. Grote gebeurtenissen als deze werken als een magneet op wat we met een verzamelterm ‘kwaadwillenden’ noemen. Zoals zakkenrollers afkomen op een markt, zo komen cybercriminelen en spionnen af op zo’n event van wereldformaat. Dat gebeurt om drieërlei redenen: geld verdienen, informatie buitmaken en invloed uitoefenen. Het eerste is vooral het domein van criminelen, al zijn ook sommige schurkenstaten daar van regeringswege bepaald niet vies van (ik kijk naar jullie, Noord-Korea).

Informatie buitmaken zou je vooral toedichten aan statelijke actoren uit Rusland, China en Irak (en nog een handjevol andere landen die niet op het openbare lijstje staan), maar je mag de criminelen ook hier niet uitvlakken: met ransomware-aanvallen leggen ze niet alleen organisaties plat, maar stelen ze ook gegevens, om vervolgens te dreigen met openbaarmaking. Dat vergroot hun kans dat ze losgeld ontvangen.

Invloed uitoefenen kan op verschillende manieren. Eén daarvan is het verspreiden van desinformatie. Daarmee kun je niet alleen de publieke opinie beïnvloeden, maar ook die van conferentiegangers; er zijn zelfs staatshoofden die zich gemakkelijk door desinformatie laten meeslepen. Je kunt ook invloed op zo’n top uitoefenen door hem te verstoren, waardoor bijvoorbeeld de planning in de war raakt en agendapunten komen te vervallen – in het extreme zelfs de hele bijeenkomst.

Wat ook de achtergrond van dat soort activiteiten is, ze komen samen bij jou als achteloze burger omdat ze alle drie een zelfde mogelijk startpunt hebben: phishing. Je ziet dan ook rond dergelijke evenementen een flinke toename aan phishing-pogingen, vaak met het evenement als thema. Je zou bijvoorbeeld een mailtje kunnen krijgen dat afkomstig lijkt te zijn van de gemeente Den Haag, met als inhoud: “Ondervindt u hinder van de NAVO-top, bijvoorbeeld doordat u niet op uw werk kunt komen? Vraag dan hier een schadeloosstelling aan.” Kwaadwillenden weten donders goed dat ze meer kans maken als ze met hun verhaal een gevoelige snaar weten te raken en ze geld in het vooruitzicht stellen.

Gewone phishing is schieten met hagel: het bericht gaat naar heel veel mensen en dan zien ze wel of er iemand hapt. Daarnaast wordt er ook gericht gephisht. Dat heet spearphishing. Dan hebben ze een specifiek doelwit op de korrel en wordt de phishing maatwerk. In de context van de NAVO-top zal dit ook wel toenemen.

Ik vraag me wel af hoe ze het ‘m in het Vaticaan flikken. Daar overleed de paus en vijf dagen later vond zijn uitvaart plaats, waarbij veel hoogwaardigheidsbekleders – inclusief de Amerikaanse president – acte de présence gaven. Nederland is al maanden bezig met de veiligheidsoperatie rondom de NAVO-top. Misschien wordt het eens tijd voor een informatieve dienstreis naar Rome.

 

En in de grote boze buitenwereld …

• is spionage soms heel geavanceerd.
• draagt de ware CISO een hoody en een spijkerbroek.
• vormen gestolen gegevens de brandstof voor de digitale onderwereld.
• verzetten Wikipedia-redacteuren zich tegen AI-samenvattingen, omdat ze vrezen voor de integriteit van de informatie.
• maakt AI inderdaad ‘wel eens’ pijnlijke fouten.
• was je telefoonnummer niet veilig bij Google.
• zijn je gegevens bij een Europese dochter van een Amerikaans bedrijf wél veilig; althans, wettelijk.

 

Van pantoffels naar biometrie

Afbeelding via Pixabay

Sommige verpleeghuizen gebruiken gezichtsherkenning om dementerende ouderen binnen te houden, berichtte het NOS Journaal een paar maanden geleden. Omdat ik altijd ‘aan’ sta als het om mogelijke onderwerpen voor deze blog gaat, heb ik dat toen genoteerd. En nu kom ik er eindelijk aan toe om uit te leggen waarom die rapportage mijn aandacht trok.

Gezichtsherkenning is een vorm van biometrie, net als bijvoorbeeld een vingerafdrukscan of stemherkenning. Biometrie betekent zoveel als ‘het meten van biologische kenmerken’. De techniek is gebaseerd op het feit dat ieder mens een aantal unieke kenmerken bezit. Op basis daarvan kun je iemand identificeren. En ter geruststelling: bij het toepassen van biometrie wordt niet je complete vingerafdruk of een foto van je gezicht opgeslagen. In plaats daarvan worden enkele specifieke eigenschappen vastgelegd, zoals de afstand tussen je ogen en andere verhoudingen. Bij het controleren of je ergens toegang hebt, wordt via een camera of scanner gecontroleerd of die eigenschappen terug te vinden zijn. Daarom werkt de vingerafdrukscan op je telefoon opeens minder goed als je flink aan het klussen bent geweest: je vinger is dan dermate opgeruwd dat de match niet kan worden gemaakt.

We gebruiken biometrie dus om ergens toegang toe te krijgen. Niet om géén toegang te krijgen. Maar dat is nou precies wat die verpleeghuizen wél doen. De buitendeur staat er gewoon open, maar als de camera iemand ziet aankomen die niet naar buiten mag omdat dat niet veilig is voor hem of haar, dan gaat de deur op slot. De verpleeghuizen vinden het geweldig: "Anders moeten we voor alle bewoners de deuren gesloten houden. Nu draaien we dat om: de deuren zijn open."

En wat als een gewiekste bewoner een snor opplakt, schoot het meteen door mijn hoofd. Of een zonnebril opzet. Grote kans dat hij dan niet wordt herkend en alsnog vrolijk naar buiten loopt. Nu weet ik niet of gewiekst en dement kunnen samengaan, maar ja, ik ben het aan mijn stand verplicht om ervan uit te gaan dat dingen mis kunnen gaan. Edward Murphy is mijn rolmodel (je weet wel, die van die wet: alles wat fout kán gaan, zál fout gaan). 

Wat we daar zien, is biometrie op z’n kop. Waarom wordt biometrie niet op de gebruikelijke manier toegepast? Iedereen die naar buiten mag, staat in het systeem. Wordt hij of zij herkend, dan zwaait de deur open. Komt iemand aansloffen die niet naar buiten mag en dus niet in het systeem staat, dan blijft de deur dicht. Je moet dan van goeden huize komen om het systeem te foppen.

Voordat die verpleeghuizen overstapten op biometrie, gebruikten ze polsbandjes of sensoren in de sloffen van hun cliënten. Ook toen al werkten ze met open deuren, die voor sommigen op slot gingen. Maar daar kon je natuurlijk gemakkelijk omheen werken: sloffen uit en hoppa, je stond buiten. En een beetje gefrummel aan zo’n polsbandje bleek ook al te werken. Overigens heeft de overstap naar biometrie een dubbel gezicht: enerzijds werkt een voor iedereen zichtbaar bandje stigmatiserend, anderzijds maakt de nauwelijks zichtbare biometrie het lastig om in verzet te komen – een recht dat óók dementerenden hebben.

Een verpleeghuis is geen gevangenis. Alleen bewoners, waarvoor het vanwege hun staat niet veilig is om alleen naar buiten te gaan, worden – met toestemming van henzelf of hun vertegenwoordiger – binnengehouden. Bezoekers zijn welkom en moeten vrijelijk in en uit kunnen lopen. Open deuren geven een ontspannen gevoel, en dragen daarmee bij aan een waardig bestaan. Vanuit die invalshoek begrijp ik de omgekeerde werkwijze, en ik kan me voorstellen dat er niet heel veel cliënten zullen zijn die het systeem weten te hacken. Voor de meeste andere toepassing houd ik echter graag vast aan biometrie zoals zij bedoeld is.

 

En in de grote boze buitenwereld …

• kijk je straks op het vergrendelscherm van je Samsung-telefoons naar advertenties waarin je zelf voorkomt.
• zijn de nieuwe beveiligde DM’s van Twitter/X niet echt veilig.
• heeft Microsoft toch niet de mail van het Internationaal Strafhof uitgezet, zegt Microsoft.
• vallen cybercriminelen ook wel eens hun soortgenoten aan.
• moet je oppassen voor valse versies van Zoom (en soortgelijke programmatuur).
• willen AI-bedrijven te snel vooruit, ten koste van onze veiligheid.
• bespioneerden Facebook en Instagram je op je Android-telefoon.
• lees je hier nog veel meer over hoe je werd bespioneerd.
• waarschuwt dit filmpje voor deepfakes.