Security-awareness, niet alleen voor Tibetaanse monniken!

LaptopOp Security.nl stond een bericht over Tibetaanse monniken die digitale veiligheidslessen krijgen. Ik dacht direct: zou voor de rest van de wereldbevolking ook wel goed zijn, daar hoef je geen Tibetaanse monnik voor te zijn. Gewoon, een beetje nadenken bij wat je doet als je achter je computer zit, of als je informatie verwerkt.

Je mag tenslotte ook niet zomaar met een auto de weg op, je moet eerst weten hoe je met zo’n gevaarte om moet gaan, omdat er anders ongelukken gebeuren. Met een computer (maar ook in het omgaan met “fysieke” informatie) is het niet anders. Ik heb wel vaker gepleit voor verplichte training voordat je de digitale snelweg op gaat.

Vraagje: Is er binnen jullie bedrijf wel eens aandacht voor security? Staat het op de agenda in je afdelingsoverleg? Denken je collega’s na over de risico’s die de organisatie loopt? Heb je wel eens met het team een sessie “herken de phishing mail” gedaan?

Alleen al met elkaar er over praten helpt al enorm. Bij awareness-trainingen hoor ik heel vaak opmerkingen als “goh, nooit over nagedacht” of “ja, eigenlijk heel logisch dat je nadenkt bij wat je doet. Maar nu ik de risico’s ken, snap ik ook beter waarom het belangrijk is”.

Ken je de risico’s van je organisatie? En weet je of je medewerkers voldoende bagage hebben om met de risico’s om te gaan? Met een kleine inspanning kan al veel resultaat worden behaald!

Vertrouw je je virusscanner?

Vandaag las ik een (on)verwacht nieuwsbericht over het vertrouwen in virusscanners. Het bericht stelt dat veel mensen hun antivirussoftware de beste bescherming vinden tegen de risico’s van internetgebruik. En dat is onterecht vindt het artikel. Dat vind ik zelf overigens ook ;-).

Dat wordt verteld dat een virusscanner alleen niet voldoende is, is natuurlijk goed nieuws voor fabrikanten van security-oplossingen die dit al langer weten. Maar de vraag is dan: wat moet je binnen je bedrijf nog meer doen dan alleen die virusscanner installeren? Daar zegt het artikel niet veel over.

Deze vraag is ook lastig te beantwoorden, want veel bedrijven hebben eigenlijk geen idee wat nou precies de risico’s zijn die ze lopen. Laat staan dat ze weten wat de juiste maatregelen zijn om die risico’s te beheersen. Maar dát er meer nodig is dan alleen een virusscanner, moge duidelijk zijn. Niemand wil (te) slecht beveiligd zijn, maar aan de andere kant ook geen overbodige maatregelen nemen en daarmee te veel geld uitgeven. En dan is “niets doen” een veel gekozen strategie.

Het is waarschijnlijk niet verrassend, maar een passend niveau van beveiliging bereik je door een combinatie van maatregelen. Niet alleen technische maatregelen, maar ook organisatorische maatregelen (mensen/processen/techniek). En het is belangrijk dat deze maatregelen onder controle zijn. Helaas bestaat er nog geen koop-dit-product-want-dan-ben-je-veilig-oplossing. En tot die tijd ben je genoodzaakt goed over de risico’s na te denken.

Daarom: vertrouwen op je virusscanner is goed, maar goed en gestructureerd risicomanagement is beter!

Over een gehackt Afrikaans vliegveld en een Europees computerrijbewijs

Laatst was ik op bezoek op een vliegveld in een Afrikaans land. En dat was voor een informatiebeveiliger flink afzien. Niet vanwege de temperatuur, die was geweldig. Maar wel vanwege datgene wat ik aantrof. Netwerkkabels kriskras door het gebouw. Kabels letterlijk aan elkaar geknoopt. Een nagenoeg onbeheerd netwerk. Pc’s met de meest wazige software erop; het meeste niet-werkgerelateerd uiteraard. Mensen hadden echt vanalles op hun pc geïnstalleerd. Ik heb nog nooit zoveel “handige” toolbars bij elkaar gezien. Mensen die klikken op iedere link. (Ik dacht eigenlijk dat phishing mails vanuit Afrika naar Nederland worden gestuurd vanwege het feit dat Afrikanen er niet in trappen. Niets is minder waar, ook in Afrika worden te pas en te onpas bijlagen geopend en op “opportunistische links” geklikt.) Ik ga er vanuit dat het hele vliegveld volledig gecompromitteerd is door hackers. En de medewerkers op het vliegveld maar roepen dat ’t allemaal zo traag is, dat printers niet meer werken en dat pc’s het vaak niet doen… Sja, geen commentaar. Of juist wel eigenlijk…

Ik heb me de laatste tijd af zitten vragen of we hier iets van kunnen leren. En dat kunnen we mijns inziens zeker! Een strakke beheerorganisatie is zo gek nog niet. Dichttimmeren dat netwerk; alleen goedgekeurde applicaties toestaan en voor de rest geen mogelijkheden geven om software te installeren. Voorwaarde is uiteraard wel dat goed is nagedacht over de informatievoorziening. Degelijk informatiemanagement is daarom een vereiste op het moment dat je gebruikers gaat beperken in bevoegdheden.

Maar dat niet alleen. Ik pleit voor een examen wat mensen met goed gevolg moeten afleggen voordat ze op internet mogen. Of eigenlijk überhaupt een computer mogen bedienen. Er zijn meerdere initiatieven, zoals het European Computing Driving License. (Er is ook een Amerikaanse versie, een Afrikaanse versie zou welkom zijn). De gedachte hierachter is dat je zonder dit rijbewijs niet de digitale snelweg op mag. Anders krijg je ongelukken.

Het hebben van een autorijbewijs is geen garantie dat je geen ongeluk krijgt, maar de kans op ongelukken is een stuk kleiner als iedere chauffeur weet hoe je een auto moet bedienen en zich ook nog eens aan (dezelfde) regels houdt. Als je dat namelijk niet weet en doet, is een auto feitelijk een levensgevaarlijk moordwapen. Het wordt meer en meer duidelijk dat dit voor het bedienen van een computer ook geldt.

Gezien de enorme digitalisering van onze maatschappij, leidt het op grote schaal foutief bedienen van computers tot enorme schade. Denk maar aan de DDoS-aanvallen op de Belastingdienst, ING, SNS Bank, ABNAMRO, KLM en DigID de laatste tijd. Laatst las ik op security.nl een quote dat het internet inmiddels een oorlogsgebied is geworden. Gezien de initiatieven van zo’n beetje alle landen op het gebied van cybercrime en cyberwar is dat nog niet zo’n gek statement. Het verontrustende is dat argeloze gebruikers in hun ontwetendheid een pion worden in deze digitale oorlogsvoering.

Het hele rijbewijs hoeft voor mij overigens niet hoor. Maar het volgen en begrijpen van de security-module (op de pagina onderaan) zou voor veel wereldgenoten geen overbodige luxe zijn. Een idee van de onderwerpen:

Beveiligingsbegrippen:
– Kan gegevensbedreigingen kennen en herkennen;
– Kan waarde van informatie begrijpen en bewaken;
– Kan persoonlijke beveiliging bewaken en beschermen;
– Kan bestandsbeveiliging bewaken en beschermen.

Malware
Weet de definitie en functie van Malware en kan soorten Malware herkennen, de werking begrijpen en de werking van bescherming begrijpen.

Netwerkbeveiliging
– Het weten wat een netwerk inhoudt en de functies hiervan kennen
– Netwerkverbindingen en de consequenties voor beveiliging weten
– Draadloze beveiliging en de consequenties voor beveiliging kennen
– Toegangsbeheer begrijpen en deze kunnen toepassen

Veilig internetgebruik
– Surfen op het internet en de gevaren begrijpen, voorzorgen kunnen nemen

Communicatie
– De gevaren van e-mail begrijpen en voorzorgen kunnen nemen
– De gevaren van Instant Messaging begrijpen en voorzorgen kunnen nemen

Dit lijkt me toch minimaal basiskennis voor verantwoord gebruik van IT-middelen. En nee, ik heb geen aandelen bij het ECDL.

Mag ik je pincode even lenen?

Weten jouw collega’s en vrienden je pincode al? Echt niet? Vind je dit zo’n rare vraag dan?

Natuurlijk is dit een rare vraag. Wie geeft er nu zijn pincode weg. Dat doe je toch niet? Je hebt gelijk, dat zou ik zelf ook nooit doen. Niemand weet mijn pincode en ik ken niemand die zijn pincode met collega’s of anderen deelt.

Maar waarom doe je dat eigenlijk niet? Wel eens over nagedacht? Het heeft te maken met je “digitale” identiteit. Je identiteit die hoort bij je bankrekening. Zonder je pas heeft niemand iets aan je pincode, maar zonder je pincode heeft ook niemand iets aan je pas. Eigenlijk zijn je pas en je pincode je digitale identiteit bij de geldautomaat. Je bankpas zegt wie je bent en je pincode bevestigt wie je zegt dat je bent, zodat de geldautomaat het gevraagde bedrag uitkeert. Logisch dus dat je je pincode én je pas voor jezelf houdt.

Eigenlijk best een interessant ding: zo’n digitale identiteit. We hebben er allemaal mee te maken en we hebben er inmiddels één of meerdere van. Denk maar eens aan je digitale identiteit op Facebook, Gmail of Hotmail, maar ook je DigID om je belastingaangifte mee te doen of om de kinderbijslag mee te regelen.

Hoe zit dat dan met je wachtwoord (lees: je pincode om op Facebook of DigID te komen)? Geef je zomaar je Facebook-wachtwoord aan een collega? Of het wachtwoord van je Gmail of Hotmail? Of je DigID? Natuurlijk niet, dat doet niemand toch? De reden is vergelijkbaar met het geheimhouden van je pincode: je wilt niet dat mensen zich als jou voordoen en namens jou allerlei berichten de wereld insturen, zonder dat jij daar invloed op hebt.

Hoe is dat op je werk? Heb je daar ook een digitale identiteit? Jazeker, je gebruikersnaam en wachtwoord zijn jouw digitale identiteit op het netwerk en binnen je applicaties. Navraag bij werknemers binnen veel verschillende organisaties leert dat verbazingwekkend veel collega’s elkaars wachtwoorden kennen. Gewoon, omdat dat makkelijk is. Maar is dat echt nodig?

Als we zo zuinig zijn op onze privé-identiteiten, waarom dan niet op het werk? Houd er rekening mee dat je activiteiten op het netwerk en binnen je applicaties worden bijgehouden (gelogd). Deze logs zijn gekoppeld aan jouw gebruikersnaam, dus je digitale identiteit. Stel dat je collega onder jouw naam onbewust een foutje maakt, met allerlei gevolgen voor jouw bedrijf, klanten of medewerkers, toon dan maar aan dat jij het niet geweest bent. Kun je de gevolgen overzien? Zeker met de steeds verdergaande digitalisering (we gaan steeds meer digitaal werken) is het belangrijk dit te realiseren.

Je wachtwoord is tenslotte als je pincode, die leen je ook niet uit…

“Hoe was het vandaag op Facebook?”

Een oud-collega attendeerde me op deze boeiende vraag. Veel ouders vragen aan hun kind als het thuiskomt “Hoe was het op school?”. Een normale vraag, die we allemaal wel eens hebben gekregen. Want het belangrijkste deel van het sociale leven van een kind speelt zich tenslotte op school af. Alleen, dekt deze vraag in 2012 nog wel de lading? Mijn collega stelde voor om je kind ook regelmatig de vraag te stellen: “En hoe was het nou op Social Media?”. Daar heb ik even over nagedacht en ik moet zeggen dat ik het zeker geen gekke vraag vind. Sterker nog, het is misschien wel een essentieel onderdeel van de tegenwoordige opvoeding.

Kijk maar naar de belevingswereld van je kind. Zeggen wat je denkt is op Social Media een stuk gemakkelijker dan in real life. Voor sommigen is Social Media daarom een uitkomst, want achter stille muurbloempjes blijken soms bijzonder humoristische, intelligente en adremme kinderen te schuilen. Maar het heeft helaas ook een minder leuke kant: die relatieve anonimiteit van Social Media werkt on-line pesten in de hand. Daar zijn helaas veel voorbeelden van te vinden.

Scholen hebben allerlei maatregelen genomen (al dan niet door de overheid voorgeschreven) om (off-line) pestgedrag te herkennen en daar wat mee te doen. Het is bijvoorbeeld verplicht een pestprotocol te hebben. Maar hoe zit het dan met het herkennen (en bestrijden) van digitaal pesten? Dat ligt een stuk lastiger. Digitaal pesten gebeurt letterlijk in stilte, en de enige die deze stilte kan verbreken is het slachtoffer zelf. Dat vereist een belangrijke vertrouwensband tussen het gepeste kind en degene aan wie het durft te vertellen dat er wordt gepest. Het winnen van een dergelijk vertrouwen kost veel tijd. Vertrouwen… misschien wordt dat wel het onderwerp van een volgend blog.

“Hoe was ’t op school?” is een vraag die ik vrijwel dagelijks aan mijn kinderen stel. De vraag “Hoe was ’t op Facebook?” zit zeker nog niet tussen m’n oren. Het zal denk ik een kwestie van wennen zijn, maar ík ga er in ieder geval mee aan de slag!

Wil ik dat wel weten van mijn kind?

Laatst had ik een boeiend gesprek met iemand. Hij was Facebook-vriend van zijn eigen dochter. Toen zij er nog maar net “op zat” was dat een goed idee. Zo kon hij een beetje in de gaten houden of ze geen vreemden in de vriendenlijst had. En wat ze zo’n beetje uitspookte op dat gekke internet. En af en toe hadden ze een goed gesprek over wat nu wel en wat niet goed/slim/verstandig is om te delen of te bespreken op Facebook. Een logische keuze van een opvoeder met een opgroeiende dochter.

Inmiddels is de dochter 16 en speelt het grootste deel van haar sociale leven zich af op internet. Hij vroeg zich hardop af of het wel verstandig is om nog Facebook-vriend van haar te blijven. Hij zag steeds meer uitspraken en andere uitingen van haar, die hij eigenlijk niet wil weten. Hij vergeleek het met zichzelf: toen hij zelf 16 was bevonden de meeste van zijn sociale contacten zich ver bij zijn ouders vandaan. Dat is een natuurlijk proces wat hoort bij het volwassen worden. Je moet tijdens het opgroeien toch leren je eigen keuzes te maken, zonder dat je steeds over je schouder door je ouders wordt gesouffleerd.

Misschien is het ontvrienden van je eigen kind ook gewoon een onderdeel van dit natuurlijke proces. Je moet je kind op een bepaald moment toch loslaten, ook op social media. En wanneer het moment daar is, is per kind verschillend.  Ik moet zeggen dat ik respect heb voor deze vader. Hij snapt dat het belangrijkste deel van zijn rol als opvoeder er al op zit. Iets om over na te denken en om misschien zelf ook een keuze te maken.

Voor mij is de keuze nog niet zo moeilijk: mijn dochter zit nog niet op Facebook. Maar tegen de tijd zullen we het er samen nog maar eens over hebben.

“Schat, was het nou DigiD of Digi-D?”

Blijkbaar is dit een vraag die in veel Nederlandse huishoudens wordt gesteld. Het Waalwijkse reclamebureau Digi-D wordt met grote regelmaat verward met overheidsdienst DigiD, wat zorgt voor de digitale identiteit van de Nederlandse burger. Die verwarring hoeft op zich niet erg te zijn, want je kan bij het reclamebureau toch niet inloggen met je nationale digitale identiteit. Bovendien is de site van Digi-D duidelijk die van een marketing- en reclameburau en heeft duidelijk niets te maken met onze overheid.

Maar één van de oorzaken komt toch bij onze eigen overheid vandaan. Een korte Google-actie leert dat heel veel gemeenten zelf niet weten hoe je DigiD schrijft. Dat betekent in de praktijk dan mensen dus foutief worden doorverwezen naar reclamebureau Digi-D door hun eigen lokale overheid! En dat is op z’n minst toch wel zorgelijk te noemen.

Mag je dan niet gewoon van de burger anno 2012 verwachten dat hij in staat is zelfstandig de juiste DigiD te vinden en hier hun vragen aan te stellen? De overheid vindt blijkbaar van wel, maar de praktijk is weerbarstiger.

Veel mensen proberen e-mails met vragen naar DigiD te sturen. Het blijkt dat al meer dan tienduizend Nederlanders al zoekende op het contactformulier van het reclamebureau uitkwamen en hier hun vraag stelden. Overigens sturen ze niet alleen vragen, maar ook allerlei vertrouwelijke informatie, waaronder hun gebruikersnaam en wachtwoord.  Hoe mensen de site van Digi-D (duidelijk een reclamebureau) verwarren met die van DigiD is mij persoonlijk een raadsel, maar het blijkt bij een aanzienlijk aantal medeburgers toch te gebeuren.

Wat nu? De meest eenvoudige maatregel (en gezien de media-aandacht is de kans best aanwezig dat ’t nu eindelijk gaat gebeuren) is het reclamebureau van naam laten veranderen en de domeinnaam laten verwijzen naar de echte DigiD. Is dat nou een fraaie oplossing? Nou, nee. De symptomen zijn dan misschien de wereld uit, maar het begint natuurlijk bij de verantwoordelijkheid van de overheden die moeten leren hoe ze de naam van hun eigen producten spellen. En daarnaast moeten ze duidelijker zijn naar hun burger. Meer voorlichting dan? Misschien…, maar of dat helpt?

Want ondanks de vele instructies, brieven en campagnes zijn er nog steeds tienduizenden Nederlanders die niet snappen dat hun digitale identiteit, genaamd DigiD, toegang geeft tot al hun fiscale en andere overheidsgerelateerde informatie. En er is niemand anders die daar iets mee te maken heeft. En dan te bedenken dat er uitgebreid in het nieuws is geweest dat DigiD’s misbruikt zijn om belastingfraude mee te plegen. Overheidsorgaan DigiD zal nooit om een wachtwoord vragen, maar mensen moeten ook leren om verantwoord met hun digitale identiteit om te gaan. Het is dus nog maar de vraag of nóg meer voorlichting de sleutel tot succes is.

Dit nieuws is natuurlijk een mooie “gratis reclame”-stunt van het reclamebureau in kwestie. Slim aangepakt, want ze maken er gelijk een bewustwordingscampagne van, door de website zuinigopuwdigid.nl in het leven te roepen. Kent gelijk het hele land je bedrijf. Maar bekijk het eens van de andere kant: dit wordt misschien wel de meest succesvolle beveiligingscampagne rondom DigiD ooit. Kan de overheid nog wat van leren.