Mag ik je pincode even lenen?

Weten jouw collega’s en vrienden je pincode al? Echt niet? Vind je dit zo’n rare vraag dan?

Natuurlijk is dit een rare vraag. Wie geeft er nu zijn pincode weg. Dat doe je toch niet? Je hebt gelijk, dat zou ik zelf ook nooit doen. Niemand weet mijn pincode en ik ken niemand die zijn pincode met collega’s of anderen deelt.

Maar waarom doe je dat eigenlijk niet? Wel eens over nagedacht? Het heeft te maken met je “digitale” identiteit. Je identiteit die hoort bij je bankrekening. Zonder je pas heeft niemand iets aan je pincode, maar zonder je pincode heeft ook niemand iets aan je pas. Eigenlijk zijn je pas en je pincode je digitale identiteit bij de geldautomaat. Je bankpas zegt wie je bent en je pincode bevestigt wie je zegt dat je bent, zodat de geldautomaat het gevraagde bedrag uitkeert. Logisch dus dat je je pincode én je pas voor jezelf houdt.

Eigenlijk best een interessant ding: zo’n digitale identiteit. We hebben er allemaal mee te maken en we hebben er inmiddels één of meerdere van. Denk maar eens aan je digitale identiteit op Facebook, Gmail of Hotmail, maar ook je DigID om je belastingaangifte mee te doen of om de kinderbijslag mee te regelen.

Hoe zit dat dan met je wachtwoord (lees: je pincode om op Facebook of DigID te komen)? Geef je zomaar je Facebook-wachtwoord aan een collega? Of het wachtwoord van je Gmail of Hotmail? Of je DigID? Natuurlijk niet, dat doet niemand toch? De reden is vergelijkbaar met het geheimhouden van je pincode: je wilt niet dat mensen zich als jou voordoen en namens jou allerlei berichten de wereld insturen, zonder dat jij daar invloed op hebt.

Hoe is dat op je werk? Heb je daar ook een digitale identiteit? Jazeker, je gebruikersnaam en wachtwoord zijn jouw digitale identiteit op het netwerk en binnen je applicaties. Navraag bij werknemers binnen veel verschillende organisaties leert dat verbazingwekkend veel collega’s elkaars wachtwoorden kennen. Gewoon, omdat dat makkelijk is. Maar is dat echt nodig?

Als we zo zuinig zijn op onze privé-identiteiten, waarom dan niet op het werk? Houd er rekening mee dat je activiteiten op het netwerk en binnen je applicaties worden bijgehouden (gelogd). Deze logs zijn gekoppeld aan jouw gebruikersnaam, dus je digitale identiteit. Stel dat je collega onder jouw naam onbewust een foutje maakt, met allerlei gevolgen voor jouw bedrijf, klanten of medewerkers, toon dan maar aan dat jij het niet geweest bent. Kun je de gevolgen overzien? Zeker met de steeds verdergaande digitalisering (we gaan steeds meer digitaal werken) is het belangrijk dit te realiseren.

Je wachtwoord is tenslotte als je pincode, die leen je ook niet uit…

“Hoe was het vandaag op Facebook?”

Een oud-collega attendeerde me op deze boeiende vraag. Veel ouders vragen aan hun kind als het thuiskomt “Hoe was het op school?”. Een normale vraag, die we allemaal wel eens hebben gekregen. Want het belangrijkste deel van het sociale leven van een kind speelt zich tenslotte op school af. Alleen, dekt deze vraag in 2012 nog wel de lading? Mijn collega stelde voor om je kind ook regelmatig de vraag te stellen: “En hoe was het nou op Social Media?”. Daar heb ik even over nagedacht en ik moet zeggen dat ik het zeker geen gekke vraag vind. Sterker nog, het is misschien wel een essentieel onderdeel van de tegenwoordige opvoeding.

Kijk maar naar de belevingswereld van je kind. Zeggen wat je denkt is op Social Media een stuk gemakkelijker dan in real life. Voor sommigen is Social Media daarom een uitkomst, want achter stille muurbloempjes blijken soms bijzonder humoristische, intelligente en adremme kinderen te schuilen. Maar het heeft helaas ook een minder leuke kant: die relatieve anonimiteit van Social Media werkt on-line pesten in de hand. Daar zijn helaas veel voorbeelden van te vinden.

Scholen hebben allerlei maatregelen genomen (al dan niet door de overheid voorgeschreven) om (off-line) pestgedrag te herkennen en daar wat mee te doen. Het is bijvoorbeeld verplicht een pestprotocol te hebben. Maar hoe zit het dan met het herkennen (en bestrijden) van digitaal pesten? Dat ligt een stuk lastiger. Digitaal pesten gebeurt letterlijk in stilte, en de enige die deze stilte kan verbreken is het slachtoffer zelf. Dat vereist een belangrijke vertrouwensband tussen het gepeste kind en degene aan wie het durft te vertellen dat er wordt gepest. Het winnen van een dergelijk vertrouwen kost veel tijd. Vertrouwen… misschien wordt dat wel het onderwerp van een volgend blog.

“Hoe was ’t op school?” is een vraag die ik vrijwel dagelijks aan mijn kinderen stel. De vraag “Hoe was ’t op Facebook?” zit zeker nog niet tussen m’n oren. Het zal denk ik een kwestie van wennen zijn, maar ík ga er in ieder geval mee aan de slag!

Wil ik dat wel weten van mijn kind?

Laatst had ik een boeiend gesprek met iemand. Hij was Facebook-vriend van zijn eigen dochter. Toen zij er nog maar net “op zat” was dat een goed idee. Zo kon hij een beetje in de gaten houden of ze geen vreemden in de vriendenlijst had. En wat ze zo’n beetje uitspookte op dat gekke internet. En af en toe hadden ze een goed gesprek over wat nu wel en wat niet goed/slim/verstandig is om te delen of te bespreken op Facebook. Een logische keuze van een opvoeder met een opgroeiende dochter.

Inmiddels is de dochter 16 en speelt het grootste deel van haar sociale leven zich af op internet. Hij vroeg zich hardop af of het wel verstandig is om nog Facebook-vriend van haar te blijven. Hij zag steeds meer uitspraken en andere uitingen van haar, die hij eigenlijk niet wil weten. Hij vergeleek het met zichzelf: toen hij zelf 16 was bevonden de meeste van zijn sociale contacten zich ver bij zijn ouders vandaan. Dat is een natuurlijk proces wat hoort bij het volwassen worden. Je moet tijdens het opgroeien toch leren je eigen keuzes te maken, zonder dat je steeds over je schouder door je ouders wordt gesouffleerd.

Misschien is het ontvrienden van je eigen kind ook gewoon een onderdeel van dit natuurlijke proces. Je moet je kind op een bepaald moment toch loslaten, ook op social media. En wanneer het moment daar is, is per kind verschillend.  Ik moet zeggen dat ik respect heb voor deze vader. Hij snapt dat het belangrijkste deel van zijn rol als opvoeder er al op zit. Iets om over na te denken en om misschien zelf ook een keuze te maken.

Voor mij is de keuze nog niet zo moeilijk: mijn dochter zit nog niet op Facebook. Maar tegen de tijd zullen we het er samen nog maar eens over hebben.

“Schat, was het nou DigiD of Digi-D?”

Blijkbaar is dit een vraag die in veel Nederlandse huishoudens wordt gesteld. Het Waalwijkse reclamebureau Digi-D wordt met grote regelmaat verward met overheidsdienst DigiD, wat zorgt voor de digitale identiteit van de Nederlandse burger. Die verwarring hoeft op zich niet erg te zijn, want je kan bij het reclamebureau toch niet inloggen met je nationale digitale identiteit. Bovendien is de site van Digi-D duidelijk die van een marketing- en reclameburau en heeft duidelijk niets te maken met onze overheid.

Maar één van de oorzaken komt toch bij onze eigen overheid vandaan. Een korte Google-actie leert dat heel veel gemeenten zelf niet weten hoe je DigiD schrijft. Dat betekent in de praktijk dan mensen dus foutief worden doorverwezen naar reclamebureau Digi-D door hun eigen lokale overheid! En dat is op z’n minst toch wel zorgelijk te noemen.

Mag je dan niet gewoon van de burger anno 2012 verwachten dat hij in staat is zelfstandig de juiste DigiD te vinden en hier hun vragen aan te stellen? De overheid vindt blijkbaar van wel, maar de praktijk is weerbarstiger.

Veel mensen proberen e-mails met vragen naar DigiD te sturen. Het blijkt dat al meer dan tienduizend Nederlanders al zoekende op het contactformulier van het reclamebureau uitkwamen en hier hun vraag stelden. Overigens sturen ze niet alleen vragen, maar ook allerlei vertrouwelijke informatie, waaronder hun gebruikersnaam en wachtwoord.  Hoe mensen de site van Digi-D (duidelijk een reclamebureau) verwarren met die van DigiD is mij persoonlijk een raadsel, maar het blijkt bij een aanzienlijk aantal medeburgers toch te gebeuren.

Wat nu? De meest eenvoudige maatregel (en gezien de media-aandacht is de kans best aanwezig dat ’t nu eindelijk gaat gebeuren) is het reclamebureau van naam laten veranderen en de domeinnaam laten verwijzen naar de echte DigiD. Is dat nou een fraaie oplossing? Nou, nee. De symptomen zijn dan misschien de wereld uit, maar het begint natuurlijk bij de verantwoordelijkheid van de overheden die moeten leren hoe ze de naam van hun eigen producten spellen. En daarnaast moeten ze duidelijker zijn naar hun burger. Meer voorlichting dan? Misschien…, maar of dat helpt?

Want ondanks de vele instructies, brieven en campagnes zijn er nog steeds tienduizenden Nederlanders die niet snappen dat hun digitale identiteit, genaamd DigiD, toegang geeft tot al hun fiscale en andere overheidsgerelateerde informatie. En er is niemand anders die daar iets mee te maken heeft. En dan te bedenken dat er uitgebreid in het nieuws is geweest dat DigiD’s misbruikt zijn om belastingfraude mee te plegen. Overheidsorgaan DigiD zal nooit om een wachtwoord vragen, maar mensen moeten ook leren om verantwoord met hun digitale identiteit om te gaan. Het is dus nog maar de vraag of nóg meer voorlichting de sleutel tot succes is.

Dit nieuws is natuurlijk een mooie “gratis reclame”-stunt van het reclamebureau in kwestie. Slim aangepakt, want ze maken er gelijk een bewustwordingscampagne van, door de website zuinigopuwdigid.nl in het leven te roepen. Kent gelijk het hele land je bedrijf. Maar bekijk het eens van de andere kant: dit wordt misschien wel de meest succesvolle beveiligingscampagne rondom DigiD ooit. Kan de overheid nog wat van leren.

Wat er niet op staat, staat er niet op…

Momenteel circuleert er een filmpje over internet waarin willekeurige voorbijgangers in een stad bij een “waarzegger” langsgaan. Deze waarzegger bevindt zich in een soort circustent in een drukke winkelstraat. De bezoekers zijn gefascineerd over wat de waarzegger allemaal over hen weet te vertellen. Van waar ze wonen tot de lichamelijke kwalen waar ze al een tijdje last van hebben. Het wordt helemaal ongelofelijk als de waarzegger ook nog eens allerlei financiële feiten opsomt, waaronder het bedrag wat vorige maand aan kleding is uitgegeven, welk saldo er nu op de rekening staat én welk rekeningnummer de bezoeker heeft.

Als clou blijkt de waarzegger helemaal geen waarzegger te zijn, maar wordt hij gesouffleerd door een team gemaskerde(?) “hackers” (sinds wanneer dragen hackers maskers?). Terwijl het slachtoffer op bezoek is, wordt real-time op internet naar gegevens gezocht in publieke systemen. De waarzegger vertelt het slachtoffer dus feitelijk informatie die publiek op internet staan.

Het filmpje blijkt een initiatief te zijn van de Belgische federatie van de financiële sector. De doelstelling is bewustwording te creëren voor veilig internetbankieren. Gezien de reacties op dit filmpje lijkt de opzet prima geslaagd.

Echter, bij het zien vroeg ik me direct af hoe realistisch het filmpje nu is. Zijn er écht mensen die hun bankrekeningnummer op Facebook zetten? Of hun saldo doortwitteren? Persoonlijk ken ik ze (voor zover ik weet) niet. Het blijkt dat het filmpje door een reclamebureau is gemaakt. Daarmee ga ik er vanuit dat het hele filmpje geacteerd is, inclusief de slachtoffers. Is daarmee het hele filmpje onzin en feitelijk onjuist?

Dat vraag ik me af. Tijdens bewustwordingssessies kom ik toch met grote regelmaat mensen tegen die rustig op hun (niet-afgeschermde) Facebook–pagina zetten dat het erg leuk is op vakantie. En dat terwijl hun woonplaats en andere persoonlijke informatie er gewoon publiek bij staat. Even naam en woonplaats intypen op de digitale telefoongids en je weet precies waar ’s nachts wat te halen valt, zonder dat je lastig wordt gevallen.

Nu kun je er eens een uurtje voor gaan zitten en de privacy-instellingen van Facebook eens aanscherpen. Op hetzelfde moment kun je dan nadenken over wat je wel en wat je niet op Facebook hoort te zetten.

Maar wat een werk allemaal, en waarom zo ingewikkeld doen? Misschien is het wel veiliger als je gewoon je negatieve banksaldo op Facebook zet. Weet gelijk de hele wereld dat er bij jou niets te halen valt.

Welkom bij SecVision

Hulp nodig bij beveiligings- of privacyvraagstukken? SecVision helpt u zonder het ingewikkeld te maken. Altijd passend bij uw organisatie.

SecVision is een kleinschalig bedrijf met veel expertise op het gebied van informatiebeveiliging en privacy, met zo’n 20 jaar ervaring in diverse branches als zorg, notariaat, IT, overheden en de grootzakelijke markt.

Normen als ISO27001, ISO27002, NEN7510 en Baseline Informatiebeveiliging Overheid (BIO) kennen voor SecVision geen geheimen. En dat geldt ook voor de Algemene Verordening Gegevensbescherming (AVG/GDPR). Wij helpen u dan ook graag met specifieke vraagstukken of certificering.

SecVision is gespecialiseerd in de organisatorische kant van informatiebeveiliging. Kernwoorden hierbij zijn information security management, risicomanagement en bewustwordingsprogramma’s. SecVision richt zich op kortdurende projecten, waarbij we uw organisatie een vliegende start geven en informatiebeveiliging (al dan niet opnieuw) op de kaart zetten.

Informatie is er in veel soorten en maten. Als informatiebeveiliger houden wij ons bezig met het waarborgen van de beschikbaarheid, integriteit en vertrouwelijkheid van deze drie vormen van uw informatie. Hierbij vinden wij het belangrijk dat we onderwerpen als bruikbaarheid, werkbaarheid en efficiency niet uit het oog te verliezen. We zoeken daarom altijd naar de juiste balans tussen werkbaarheid en veiligheid.