Je hebt twee parameters om risico te verkleinen: een veilig slot en een zo klein mogelijke buit. Wat mij de laatste tijd verontrust, is het feit dat de security-inspanningen binnen ons mooie ict-vakgebied er bijna uitsluitend op gericht zijn om het slot steeds een heel klein beetje degelijker te maken, maar dat we tegelijkertijd overal om ons heen vooral initiatieven zien die de potentiële buit juist groter maken.
Dit komt doordat handig en veilig meestal lijnrecht tegenover elkaar staan en onze maatschappij nu eenmaal veel meer affiniteit heeft met handig dan met veilig.
Tegenwoordig regel je al je bankzaken – spaarrekeningen, hypotheken en beleggingen – met hetzelfde pasje en dezelfde pincode. Heel handig. Je logt op steeds meer sites in met hetzelfde Facebook- of Google-account. Zelfs in webshops. En betalen in die webshop doe je met PayPal, ook daarvoor is alleen een wachtwoord nodig. Bijzonder handig allemaal.
Niet alleen commerciële bedrijven volgen deze strategie, overheden doen het ook. Steeds meer overheidsdiensten gebruiken DigiD, waar je met één wachtwoord al toegang tot krijgt. De Belastingdienst, die inmiddels vrijwel alles van ons weet en verzamelt, gebruikt DigiD om je aangifte vooringevuld aan te kunnen bieden. Leuker kunnen ze het niet maken, maar wel veel gemakkelijker. Echt, ongelooflijk handig: alles onder handbereik met alleen maar één wachtwoord.
Als je de vergelijking trekt met de bekende spreuk van de politie (‘auto op slot, buit eruit’), doen we natuurlijk onze auto netjes op slot (een gammel slotje overigens), maar maken we de buit steeds groter. We stapelen bij wijze van spreken al onze waardevolle spulletjes, in het zicht, op de achterbank.
Maar goed, het is geen populaire boodschap, ik weet het. Er zal niet gauw een bank adverteren met ‘uit het oogpunt van beveiliging kunt u bij ons niet al uw bankzaken op één plek regelen’. Er is ook geen autofabrikant te vinden die adverteert met ‘uit veiligheidsoverwegingen heeft ons nieuwste model geen 200 pk’.
Lieve lezer, zullen wij nu niet met z’n allen even wachten tot de beveiliging echt onfeilbaar is, voordat we al onze gegevens op dezelfde plek bewaren? Auto op slot, maar vooral: buit eruit!
Ron van Wieringen, account director bij GX Software
Dit artikel is eerder verschenen in Computable magazine jaargang 48, nummer 7, september 2015.
Kwestie van risico’s vermijden waar mogelijk en zoveel mogelijk spreiden van risico’s.
Internetbankieren op een smartphone niet doen. (Leg maar eens uit aan de bank dat je smartphone gecompromitteerd is omdat je een ‘stoute’ app had geïnstalleerd.)
Inloggen met facebook of google account niet doen en altijd de eigen inlog gebruiken. Is dat niet mogelijk dan jammer de bammer. (Überhaupt gebruik maken van deze diensten zou ik iedereen afraden.)
Wie nog gebruik maakt van Paypal moet de algemene voorwaarden nog maar eens goed nalezen. Die zijn net zo onacceptabel als die van facebook en google. U geeft letterlijk uw privé leven aan deze bedrijven die dit aan de hoogste bieders verkopen. Bijv dat google uw wifi thuis heeft geindexeerd via een streetview auto én uw wifi wachtwoord die in uw telefoon staat in de cloud wordt gebackupped en de encryptie sleutel daarvan bij google ligt.
Bitcoin of een variant hiervan is en goedkoper en veiliger.
DigiD kom je niet omheen. Maar als er sprake is van niet overheid eenvoudig weigeren om met DigiD te werken. Deze is bedoeld voor om in de context van de overheid te gebruiken. Dat er feature creep plaatsvindt dat andere commerciële partijen dit ook willen gebruiken is onacceptabel.
@ Johan Duinkerken: helemaal goed.
Sterker nog, alle wachtwoord beveiligde zaken alleen vanaf eigen hardware benaderen!
Alleen 2-factor challenge-response beveiligde zaken bij uitzondering elders benaderen.
+tip: gebruik altijd bekabeld netwerk, geen wifi. (is 3G/4G goed beveiligd?)
+tip2: vermijd de cloud!!!
@Johan
Je hebt een paar zeer goede punten! Echter, ik ben het op één punt niet met je eens.
Internetbankieren op een “gesloten” telefoon is zeer veilig. Een gesloten telefoon is bijvoorbeeld een Windows Phone of iPhone zonder jailbreak. Met een bankspecifieke app kan een bank extra beveiliging over het gecertificeerde SSL verkeer heen leggen. Een MitM aanval, een reëel gevaar op een pc, is op een telefoon vrijwel uitgesloten.
“..onze maatschappij nu eenmaal veel meer affiniteit heeft met handig dan met veilig.”
Je noemt een in mijn ogen op z’n minst een even groot probleem die daar ten grondslag aan licht, en dat is privacy.
De meesten denken nog steeds dat als je geen crimineel bent, je niks te verbergen hebt, maar als consument, burger, patient, heb je belangen. Als jij weet wat de inkoopprijzen zijn van de keukenboer, sta jij 1-0 voor, en als hij weet wat jouw salaris is, wat je voor je auto en je vorige keuken hebt betaald, hoe duur jouw huis is, etc. dan staat hij 1-0 voor.
Als jij na 20 jaar van iets wordt beschuldigd, omdat je op oude camerabeelden te zien bent, dan is het onwaarschijnlijk dat jij ook alle gegevens nog bij de hand en helder hebt die jouw onschuld bewijzen. Het zijn niet de burgers maar grote bedrijven die het initiatief nemen om informatie op te slaan, dus burgers staan per definitie al 1-0 achter.
Maar net als met roken komt het daadwerkelijk besef pas veel later met kanker.