Als je van huis weggaat, doe je de deur achter je op slot. Voordat je oversteekt, kijk je links en rechts. En na een toiletbezoek was je je handen. Bijna tachtig procent gebruikt eenzelfde wachtwoord voor meerdere online-diensten. Eén op de twaalf internetters heeft online met oplichting te maken gehad. Meer dan veertig procent trapt in phishingmails.
Hygiëne vinden we normaal en leren we al in groep één van het primair onderwijs. Op een gegeven moment krijgen kinderen een eigen huissleutel en o wee, als ze dan vergeten de deur op slot te doen. Later volg je eerste verkeersexamen op de fiets. Maar leren goed met wachtwoorden om te gaan? Dat leert de juf of meester je niet – terwijl iedereen een smartphone heeft en een computer gebruikt en toegang tot internet heeft. En iedereen dus wachtwoorden en pincodes heeft. Iedereen. Dat is gek, heel gek.
Expliciet
Om het expliciet te zeggen: het kennen van online-veiligheidsregels hoort bij de absolute basis van onderwijs. Ik noem dit de cybersecurity essentials. Hieronder versta ik:
-
Voor elk account een uniek niet te raden wachtwoord
-
Gebruik tweestapsverificatie waar mogelijk
-
Gebruik een wachtwoordmanager
-
Herken phishingmails en weet een legitieme webadres of e-mail te herkennen
-
Doorzie pogingen van oplichting
-
Maak backups
-
Syncen met Google Drive / iCloud / Microsoft Onedrive / Dropbox is geen backup
Dit zijn de absolute basisregels. Een beginnetje zogezegd. Hoeveel van deze regels kun jij afvinken? Er is een redelijk kans dat dit er nul zijn, en maar weinigen kunnen ze alle zeven afvinken. Deze bijdrage is niet geschreven om de basisregels bij te brengen, maar om het onder aandacht te plaatsen dat we fout bezig zijn.
Genoemde regels moeten gewoon een onderdeel van primair onderwijs zijn, net als lezen, schrijven, rekenen en aardrijkskunde. En zo moeilijk is het niet. Maar omdat wij de digitale-hygiënevaardigheden als volwassenen niet beheersen, zijn we niet in staat onze kinderen – en ouders – te beschermen. En dat moet veranderen. Als we dit nu goed doen in de basis, dan zal de volgende generatie een stuk veiliger opgroeien.
Wat ik met de onderste regel van de cybersecurity essentials bedoel? Dat een iCloud- of Google Drive-sync geen backup is. Als je per ongeluk ransomware activeert op je computer, dan versleutel je onbedoeld alle bestanden op je computer. Als deze synchroniseren met bijvoorbeeld Dropbox, dan worden de bestanden in je Dropbox dus ook gewoon versleuteld. En dat is maar een voorbeeld.
Als iemand toegang krijgt tot je computer, dan kan deze ook alle bestanden verwijderen of ontoegankelijk maken. Hetzelfde geldt bij het maken van backups op een externe harde schijf. Als er ingebroken wordt, of je huis brandt af, dan ben je alsnog al je data kwijt.
Motivatie
Maar hoe moet het nu verder met ‘ons’? Wij gaan niet meer naar school. Hoe gaan wij van cybersecurity essentials een gewoonte maken? Dat is nog best lastig, zeker als je de opsomming herkent, maar er niet naar handelt. Dan kun je jezelf afvragen: waarom doe ik het niet?
Dat komt omdat weten iets anders is dan doen. Om ons gedrag te veranderen en nieuwe gewoontes aan te leren, is er meer nodig. Namelijk motivatie. Als je al een keer bent opgelicht, zal dit je motivatie enorm helpen. Maar veel mensen erkennen het gevaar nog niet. In het verleden heb ik een keer mazzel gehad. Ik vond het rijden met een autogordel beperkend aanvoelen. Ook het hebben van een airbag stond niet hoog op mijn wensenlijstje. Totdat ik een keer achter een collega reed ergens op een dijk in Ter Aar. Een vrachtwagen met oplegger moest ergens langs de dijk zijn en tijdens het kijken naar de huisnummers reed hij ineens midden op de weg. Mijn collega kon geen kant op en kwam frontaal in botsing. Met grote schrik stopte ik mijn auto om te hulp te schieten en ik zag mijn collega uitstappen en aan zijn bloedende neus voelen. Dat was het enige wat hij had terwijl zijn auto helemaal in puin lag. Hij had zijn gordel om en had airbags. Dit was in de jaren negentig. Pas toen kwam het besef dat als ik voor had gereden, ik er niet met een bloedneus vanaf was gekomen.
Dit zou voldoende motivatie moeten geven om aan de slag te gaan. Al was het omdat je dan je kinderen en ouders ook kunt helpen. Maar er is nog iets nodig om je aan de cybersecurity essentials te houden: de tools en middelen die je faciliteren in veilig online-gedrag. Ofwel, je moet ook de gelegenheid krijgen het juiste te kunnen doen. Het is niet makkelijk om voor elk account een ander wachtwoord te verzinnen. Je kunt wachtwoorden wel in je browser opslaan, maar naast dat dit minder veilig is, heb je ook wachtwoorden die je niet in de browser toepast. Daarnaast wil je soms ook meer dan alleen een wachtwoord opslaan, of wil je iets dat de wachtwoorden voor je bedenkt. En daar kan een wachtwoordmanager je bij helpen, naast dat dit erg veilig is. Ook voor het herkennen van legitieme links heb je kennis nodig. Die moet ergens vandaan komen.
Het veranderen van gedrag is dus een combinatie van motivatie, weten en de gelegenheid krijgen. Maar het begint allemaal met het onderkennen dat we de cybersecurity essentials nog massaal niet kennen of negeren.
Een begin
Heb je een organisatie met medewerkers? Dan is de kans groot dat je medewerkers de basis in online-veiligheid nog niet voldoende kennen en toepassen. Dat is een probleem, want het maakt je organisatie kwetsbaar. Naar school gaan je medewerkers niet, dus als je er iets aan wilt veranderen, moet je in actie komen. Een awareness-e-learning aanschaffen is niet voldoende, maar wel een begin. Daarbij moet je medewerkers dus ook motiveren en hen de gelegenheid bieden zich aan de cybersecurity essentials te houden. Zo wordt Nederland weer een klein stukje veiliger.
(Nog een kleine pro-tip. Betalen en online-bankieren doe je veilig met de app op je telefoon. Dat is veiliger dan de browser op je computer. Je app zal namelijk altijd de werkelijke rekening en bedrag laten zien, terwijl je in de browser op je computer gefopt kan worden met een nepsite. Ik kan je talloze voorbeelden geven en boeken vullen, maar dat bewaar ik voor een volgend stuk.)
Jan, technische back-up oplossingen voor elektronische registerkassa’s en POS zijn er in vele soorten. De vraag is of een technische oplossing aan de juiste, in dezen de Oostenrijkse, wetgeving voldoet. Dit is de Gesamte Rechtsvorschrift für Registrierkassensicherheitsverordnung (RKSV) en aanverwante wetgeving. Daar hebben Nederlandse ICT-ers en WC-eenden geen verstand van. Als het kassasysteem voldoet aan de wet- en regelgeving voor de doelgroep, dan zal deze een back-up bestand kunnen genereren die aan de wet- en regelgeving voldoet; zonder wettelijk vereiste integriteit geen validiteit. Waar de back-up mag worden opgeslagen, hoe vaak, hoe lang en waaraan de beveiliging van de back-up moet voldoen, dat staat ook in de Oostenrijkse wetgeving (deels voortkomend uit de EU richtlijnen). Datzelfde geldt ook voor het moeten kunnen verwerken van een origineel back-up bestand om de compleetheid (volgens de wet) te kunnen verifiëren met behulp van bijv. een eindemaandfactuur en eindejaarfactuur.
Gooi ik een stukje brood in de vijver…..
“Het nadeel van versioning bij ransomware en drive sync is dat de restore dan vaak niet geautomatiseerd is en op “per bestand” basis plaatsvindt. Ofwel; de restore schaalt niet.”
“data vaak één keer geschreven mogen worden en daarna nooit meer gewijzigd.”
“zodanig opgeslagen wordt dat deze niet meer gewijzigd kan worden”
“de uitdaging van Jan met de ‘Edge storage’ in een POS-systeem”
“Waar de back-up mag worden opgeslagen, hoe vaak, hoe lang en waaraan de beveiliging van de back-up moet voldoen”
Zolang systemen voorzien zijn van een Windows-, Linux- of MAC-smaakje kun je met een client-server backup aanpak uit de voeten. Vanuit de Open Source wereld heeft Urbackup een aantal fraaie mogelijkheden.
Zoek je het meer in betaalde mogelijkheden, kijk dan eens naar Acronis, MSP360 of Ahsay.
Van deze 3 gaat Acronis het verst met zijn notaris backup en aantonen dat opgeslagen gegegevens niet meer gewijzigd zijn.
Alle genoemde tools zijn schaalbaar; zowel backup als restore.
Hallo Jaap,
een die de situatie kent. Wat hier stoort is, dat de kleine ondernemers een systeem voorgeschreven kregen dat in zichzelf te komplex is voor de doelgroep.
Ook al voldoet het kassasysteem aan de wet moet de eigenaar een aantal handelingen doen die hem/haar vreemd zijn.
Na enkele jaren blijkt dat men zelf geen backup maakt, dat moet automatisch.
De wettelijk voorgeschreven vorm van backup (DEP – Data ErfassungsProtokol) moet 1 x per 3 maanden onveranderlijk bewaard worden, dat gaat aan de realiteit voorbij. Een CD/DVD branden is techniek die inmiddels achterhaald is.
Momenteel wordt voor al mijn klanten een volledige backup van de database (dagelijks) en de software (na iedere update) gemaakt, daarmee zou een restore mogelijk moeten zijn.
Omdat dat alles op gewone PC’s loopt en voor betroffenen alles te duur is mag je je vragen of de hardware niet een te groot risiko vormt, ik heb een langzaam degenererend systeem gehad waar ook de backups niet meer bruikbaar waren. Je kunt niet alles voor alle klanten kontinu kontroleren, ook niet automatiisch, PC-hardware is geen high-availbility-hardware.
Illustratief is de kontrolle door de balastingdienst, 2 man sterk, wilde met mobieltje de QR-Kode uitlezen voor de kontrole, werkt niet.
20 minuten later realiseert men dat het telefoonsignaal niet door die dikke granieten muren komt.
De bedenker van de RSKV, A-Trust is rijk geworden maar had dan ook hele goede vriendjes in de politiek.
Kort gezegd, het rammelt aan alle kanten waar het de randvoorwaarden betreft, wellicht dat dit nederlandse initiatief daarom in nederland niet ingevoerd is . . . .
Zoals ik het lees stelt RKSV dat elke afzonderlijke contante transactie met inbegrip van de elektronische handtekening moet worden vastgelegd en opgeslagen. Ik vermoed daarom dat de QR-code enkel bedoeld was om de geldigheid van de door A-trust uitgegeven certificaten te controleren. Kortom, is kasregister wie het zegt te zijn zonder password manager van Henri maar met een cryptografische module waarover RKSV eisen stelt als het om de cryptografische algoritmen gaat. Klagen over de ‘stempelaar’ is een optie maar we hebben het over machine-genereerde data in de edge ter controle van een (fiscaal belastbaar) proces waarin de integriteit steeds vaker door cryprografische modules bepaald wordt. In dit geval de omzetteller waarvan ook het LOGBOEK van de gegevensregistratie gepreserveerd moet worden, bedankt voor u stem op Hugo!
Wij van WC-eend kunnen ook allerlei oplossingen in de vijver gooien maar de preservering van bepaalde data uit de edge is volgens mij wat anders dan een back-up. En als het niks mag kosten dan hoef je deze oude mopper duikeend niet te bellen want dat zijn vaak de klanten die de rekening niet betalen. Mijn eigen kleine WC-eendjes hebben al geleerd dat je een oude kale mopperduik eend niet kunt plukken;-)
Henri,
Met 25 (+1) reacties ben je nummer 1 in Meest besproken maar de discussie ging dan ook alle kanten uit. Van de traditionele kantoorautomatisering met DHV gingen we naar de edge van een omzetteller door de kleitablet die Jan in de vijver gooide. Nu staat bij edge computing veelal niet de gebruiker centraal maar de klant en deze wordt steeds vaker bediend door een machine waar niet alleen cryptografische modules een steeds belangrijkere rol in gaan spelen maar ook de biometrische modules. De vraag is dan ook of we straks nog onze kinderen een eigen huissleutel geven met het risico op verlies. Tenslotte wordt biometrische technologie wereldwijd ingezet in een breed scala aan verticale markten voor fysieke toegangscontrole. Soms met 2FA als ID-beheer voor bezoekers van een voetbalstadion maar vaak volstaat de ‘digitale handdruk’ als vervanger voor een sleutel.
Het wachten is dus op een volgende stuk, ouderwets met de ZZP-er als DHV-ers of wat meer op de nieuwe digitale realiteit van een chatbot als DHV-er gericht. Ik vrees namelijk dat de traditionele kantoortuinen een voltooid verleden zijn en dat we straks flexibele ontmoetingsplaatsen hebben met een fysiek toegangsbeleid op basis van biometrische templates die veel makkelijker uit te wisselen zijn dan sleutels. Ik zou bijna zelf jouw vervolgverhaal schrijven;-)