Als je van huis weggaat, doe je de deur achter je op slot. Voordat je oversteekt, kijk je links en rechts. En na een toiletbezoek was je je handen. Bijna tachtig procent gebruikt eenzelfde wachtwoord voor meerdere online-diensten. Eén op de twaalf internetters heeft online met oplichting te maken gehad. Meer dan veertig procent trapt in phishingmails.
Hygiëne vinden we normaal en leren we al in groep één van het primair onderwijs. Op een gegeven moment krijgen kinderen een eigen huissleutel en o wee, als ze dan vergeten de deur op slot te doen. Later volg je eerste verkeersexamen op de fiets. Maar leren goed met wachtwoorden om te gaan? Dat leert de juf of meester je niet – terwijl iedereen een smartphone heeft en een computer gebruikt en toegang tot internet heeft. En iedereen dus wachtwoorden en pincodes heeft. Iedereen. Dat is gek, heel gek.
Expliciet
Om het expliciet te zeggen: het kennen van online-veiligheidsregels hoort bij de absolute basis van onderwijs. Ik noem dit de cybersecurity essentials. Hieronder versta ik:
-
Voor elk account een uniek niet te raden wachtwoord
-
Gebruik tweestapsverificatie waar mogelijk
-
Gebruik een wachtwoordmanager
-
Herken phishingmails en weet een legitieme webadres of e-mail te herkennen
-
Doorzie pogingen van oplichting
-
Maak backups
-
Syncen met Google Drive / iCloud / Microsoft Onedrive / Dropbox is geen backup
Dit zijn de absolute basisregels. Een beginnetje zogezegd. Hoeveel van deze regels kun jij afvinken? Er is een redelijk kans dat dit er nul zijn, en maar weinigen kunnen ze alle zeven afvinken. Deze bijdrage is niet geschreven om de basisregels bij te brengen, maar om het onder aandacht te plaatsen dat we fout bezig zijn.
Genoemde regels moeten gewoon een onderdeel van primair onderwijs zijn, net als lezen, schrijven, rekenen en aardrijkskunde. En zo moeilijk is het niet. Maar omdat wij de digitale-hygiënevaardigheden als volwassenen niet beheersen, zijn we niet in staat onze kinderen – en ouders – te beschermen. En dat moet veranderen. Als we dit nu goed doen in de basis, dan zal de volgende generatie een stuk veiliger opgroeien.
Wat ik met de onderste regel van de cybersecurity essentials bedoel? Dat een iCloud- of Google Drive-sync geen backup is. Als je per ongeluk ransomware activeert op je computer, dan versleutel je onbedoeld alle bestanden op je computer. Als deze synchroniseren met bijvoorbeeld Dropbox, dan worden de bestanden in je Dropbox dus ook gewoon versleuteld. En dat is maar een voorbeeld.
Als iemand toegang krijgt tot je computer, dan kan deze ook alle bestanden verwijderen of ontoegankelijk maken. Hetzelfde geldt bij het maken van backups op een externe harde schijf. Als er ingebroken wordt, of je huis brandt af, dan ben je alsnog al je data kwijt.
Motivatie
Maar hoe moet het nu verder met ‘ons’? Wij gaan niet meer naar school. Hoe gaan wij van cybersecurity essentials een gewoonte maken? Dat is nog best lastig, zeker als je de opsomming herkent, maar er niet naar handelt. Dan kun je jezelf afvragen: waarom doe ik het niet?
Dat komt omdat weten iets anders is dan doen. Om ons gedrag te veranderen en nieuwe gewoontes aan te leren, is er meer nodig. Namelijk motivatie. Als je al een keer bent opgelicht, zal dit je motivatie enorm helpen. Maar veel mensen erkennen het gevaar nog niet. In het verleden heb ik een keer mazzel gehad. Ik vond het rijden met een autogordel beperkend aanvoelen. Ook het hebben van een airbag stond niet hoog op mijn wensenlijstje. Totdat ik een keer achter een collega reed ergens op een dijk in Ter Aar. Een vrachtwagen met oplegger moest ergens langs de dijk zijn en tijdens het kijken naar de huisnummers reed hij ineens midden op de weg. Mijn collega kon geen kant op en kwam frontaal in botsing. Met grote schrik stopte ik mijn auto om te hulp te schieten en ik zag mijn collega uitstappen en aan zijn bloedende neus voelen. Dat was het enige wat hij had terwijl zijn auto helemaal in puin lag. Hij had zijn gordel om en had airbags. Dit was in de jaren negentig. Pas toen kwam het besef dat als ik voor had gereden, ik er niet met een bloedneus vanaf was gekomen.
Dit zou voldoende motivatie moeten geven om aan de slag te gaan. Al was het omdat je dan je kinderen en ouders ook kunt helpen. Maar er is nog iets nodig om je aan de cybersecurity essentials te houden: de tools en middelen die je faciliteren in veilig online-gedrag. Ofwel, je moet ook de gelegenheid krijgen het juiste te kunnen doen. Het is niet makkelijk om voor elk account een ander wachtwoord te verzinnen. Je kunt wachtwoorden wel in je browser opslaan, maar naast dat dit minder veilig is, heb je ook wachtwoorden die je niet in de browser toepast. Daarnaast wil je soms ook meer dan alleen een wachtwoord opslaan, of wil je iets dat de wachtwoorden voor je bedenkt. En daar kan een wachtwoordmanager je bij helpen, naast dat dit erg veilig is. Ook voor het herkennen van legitieme links heb je kennis nodig. Die moet ergens vandaan komen.
Het veranderen van gedrag is dus een combinatie van motivatie, weten en de gelegenheid krijgen. Maar het begint allemaal met het onderkennen dat we de cybersecurity essentials nog massaal niet kennen of negeren.
Een begin
Heb je een organisatie met medewerkers? Dan is de kans groot dat je medewerkers de basis in online-veiligheid nog niet voldoende kennen en toepassen. Dat is een probleem, want het maakt je organisatie kwetsbaar. Naar school gaan je medewerkers niet, dus als je er iets aan wilt veranderen, moet je in actie komen. Een awareness-e-learning aanschaffen is niet voldoende, maar wel een begin. Daarbij moet je medewerkers dus ook motiveren en hen de gelegenheid bieden zich aan de cybersecurity essentials te houden. Zo wordt Nederland weer een klein stukje veiliger.
(Nog een kleine pro-tip. Betalen en online-bankieren doe je veilig met de app op je telefoon. Dat is veiliger dan de browser op je computer. Je app zal namelijk altijd de werkelijke rekening en bedrag laten zien, terwijl je in de browser op je computer gefopt kan worden met een nepsite. Ik kan je talloze voorbeelden geven en boeken vullen, maar dat bewaar ik voor een volgend stuk.)
Henri,
Het personaliseren van allerlei online diensten middels een account zorgt voor een onachtzaamheid in het gebruik van wachtwoorden, de inspanning versus de waarde is vaak een hele logische afweging als we kijken naar het ontbreken van 2FA. Deze ‘awareness’ toepassend denk ik dat het aanmelden bij Computable om een reactie te mogen geven van een heel andere waarde is dan de toegang tot mijn bankrekening en uiteraard geldt hetzelfde voor de 70 partner portalen waarvoor ik een account/wachtwoord heb die ik gelukkig niet om de 90 dagen hoef te wijzigen. Oja, wat betreft het bedenken van sterke wachtwoorden die je ook kunt onthouden mis ik nog wat tips.
Betreffende je volgende 2 punten over oplichting mist je verhaal ‘body’ en moeten we klaarblijkelijk op deel 2 wachten en ik ga daarom nog even op ‘mijn handen’ zitten.
Je laatste 2 punten kan ik beamen, één-op-één synchronisatie is geen back-up maar er kan wel sprake van zijn als cloud storage iets anders gebruikt wordt. Het gebruik van cloud storage als back-up target waarbij je een ander account gebruikt voor de scheiding van rechten geeft al bescherming tegen ransomware, een read-only voor de gebruiker volstaat om data terug te kunnen zetten zoals we vroeger op diskettes zo’n schuifje hadden die het overschrijven onmogelijk maakte. Heb je toevallig een tip voor goede back-up software?
it is saai
security is saai
wat zou it security dan zijn ?
geeft niks hoor.
pensioen, ook niet interessant.
statistiek, bah
wetenschappelijk onderzoek, neuh
algemene voorwaarden, click ok.
cultuurfilosofische analyse, toch niet jack weer ?
dataclassificatie, later
hoor en wederhoor, gaap
regressietests, niet leuk
riscanalysis, geen zin in
kleine lettertjes, zzzz
Ik werd via LinkedIn erop gewezen dat mijn artikel online stond. Deze had ik voor de kerst al ingeleverd.
@Dino: Wat wil je dat ik zeg of schrijf? 🙂 Overigens ben ik van WC-eend en laat je graag zien hoe het ook leuk kan zijn…
Oudlid: Allereerst pleit ik voor het gebruik van een wachtwoord manager en zakelijk diensten vind ik een single-sign-on best een goed idee. Als iemand dan uit dienst gaat, blokkeert dan ook direct de toegang op diverse gelinkte apps. Met een wachtwoord manager hoef je ook geen wachtwoorden te verzinnen. Mijn standaard practice is overigens drie woorden nemen en die scheiden met een teken. Bijvoorbeeld 1Appel!roos!vier zestien tekens, prima wachtwoord, voldoet aan zo’n beetje alle eisen en is redelijk makkelijk met de hand in te voeren als dat een keer nodig is.
Tweestapsverificatie vind ik een vereiste en het wordt al steeds een stukje makkelijk gemaakt. Maar goede oplichters weten die stap ook prima te omzeilen. Ik vond mijn stukje eigenlijk al te lang en body vergt vaak toch wel iets meer woorden.
Maar goed, dit is weer op inhoud. Ik pleit er echt voor dat deze basis gewoon op school gegeven wordt, samen met een lesje privacy. Je hoeft maar één keer goede content te maken die daarna een beetje bijgehouden wordt met bijvoorbeeld nieuwe voorbeelden van oplichting en daar kun je een heel land een stukje veiliger maken.
Op de werkvloer pleit ik voor DHV-ers. De BHV-er ken je, maar dit is de Digitale Hulpverlener. Een laagdrempelige collega die je helpt met vragen of bijvoorbeeld het gebruiken van een wachtwoordmanager.
Wat betreft tips voor back-up… Tegenwoordig heeft praktisch iedereen Google of Microsoft, daar kun je betaald ook extra diensten aan koppelen. Denk bijvoorbeeld aan backupify. Maar als je niet vast wilt zitten aan nog een abonnement kun je denken aan
http://www.resilio.com . Ook dit is overigens sync. Zo sync ik de computer van mijn moeder en gebruik ik de standaard Windows 10 drive back-up functies. Zo is mijn moeder beschermt tegen brand en inbreken en kan ik in geval van ransomware gewoon een oudere versie terugzetten. Zakelijk moet je wel twee keer nadenken wat zeker in de cloud zijn restore tijden behoorlijk lang. Bittorent is een prachtig protocol en apart dat niemand er nog een dienst voor ontwikkeld heeft.
Dino heeft de ‘Corona Blues’ waardoor alles saai en eentonig is. Betreffende je voorbeeld voor een sterk wachtwoord zou je ook nog kunnen variëren met cijfers die pretenderen letters te zijn: 1@pp3l!R00s!V1er. Ik weet niet hoeveel brute rekenkracht nodig is om dit soort sterke wachtwoorden te kraken maar ik weet wel dat je abuis bent aangaande het gebruikersbeheer.
Betreffende de DHV-er hoop ik niet dat de lamme de blinde gaat leiden want het gebruik van een wachtwoord manager is nog niet eens het topje van ijsberg, a fool with a tool als het om tintelende vingers gaat omdat ik al te lang op mijn handen heb gezeten:-)
Betreffende een back-up tool heb ik een (gratis) advies voor bedrijven, laat keus niet aan de gebruiker maar zorg voor een centralisatie en RATIONALISATIE want één van de grootste fouten in de beveiliging is het verlies van data doordat werknemers allerlei bedrijfsinformatie in BYO oplossingen zetten. Wij van WC-eend verkopen natuurlijk graag een enterprise oplossing maar het kan ook goedkoper hoewel de kosten van het toegankelijk houden van data je zomaar $200 miljoen aan bitcoins kan schelen als je het wachtwoord niet meer hebt.
Interessant dat je wijst op bittorrent, zeker als het gaat om de omgekeerde back-up. Ik zeg namelijk altijd dat je het ontwerp van een back-up in omgekeerde volgorde moet doen en dus moet kijken naar de snelheid van een (gedeeltelijk) herstel van je dienstverlening. Want als je moeder eerst de olifant via jouw door het rietjes moet zuigen om vervolgens één stukje ervan nodig te hebben dan vrees ik dat je veel tijd kwijt bent met het vinden van een bonnetje;-)
Als je benieuwd bent naar mijn ideeën ik heb geen ‘Corona Blues’ maar zou weleens eens wat nieuwe gezichten willen zien in de dagelijkse videocalls.
Voor de liefhebbers nog wat aanvullende tips rondom een backup.
Ik geef de voorkeur aan een client-server backup oplossing; bijvoorbeeld in de vorm van Urbackup. Deze is ook beschikbaar voor veel voorkomende NAS-en.
Een dergelijke aanpak is wat beter af te schermen tegen malware/ransomware doordat zowel client- als server-kant niet via een standaard Microsoft mechanisme (AD of SMB) te bevragen is.
Er is keuze uit een server component of een appliance. De server-component kan overweg met losse, externe disken.
De appliance is minder flexibel in zijn storage mogelijkheden. Daar staat tegenover dat er gewerkt kan worden met cloud-storage. Bijvoorbeeld in de vorm van WASABI-storage; een Amazon en Azure clone.
Een backup via een Windows-image-backup vindt ik minder handig. Bij een image-herstel actie is een disk vereist met hetzelfde disk-id als die waarmee de backup is gemaakt. Zo niet, dan weigert Windows de restore uit te voeren.
De waarde van een cloud-achtige backup voor Office365 en/of Google Workplace zie ik niet zo. Tenminste niet als je op file niveau een backup maakt van de OST-bestanden.
Hmm, het onderwerp van mijn stuk was niet de back-up, maar de wens om online veiligheid gewoon te maken. Het gaat in feite om risico analyse, mogelijke dreigingen en te nemen maatregelen. Ofwel, allemaal laagjes.
Oudlid: I’m just a (video) call away 🙂
“ de wens om online veiligheid gewoon te maken”
“Het gaat in feite om risico analyse, mogelijke dreigingen en te nemen maatregelen”
Ok – dus als de online veiligheid inderdaad gewoon is, is het risico dat je geraakt wordt door malware/ransomware nagenoeg nihil. Waarmee dan ook de dreiging dat je je gegevens kwijtraakt nagenoeg nihil is. En waardoor het nauwelijks de moeite waard is om iets van een backup te regelen. Zoiets ongeveer?
Mijn 5-centen: als prive-persoon kan ik me nog wel vinden in een dergelijke redenatie. Simpelweg omdat ik dan (min-of-meer) de enige ben die geraakt wordt door een calamiteit.
Maar (semi-)zakelijk, waaronder de vele thuiswerkers en ZZP-ers, eigenlijk niet. Tis te zeggen… in alle awareness trainingen wordt steeds gesteld dat ik als gebruiker (lees: datagene wat er gebeurd tussen rugleuning en scherm) het grootste risico ben. En dat het niet de vraag is of je geraakt gaat worden, maar wanneer. Met in het verlengde: en als je geraakt bent een backup eigenlijk het enige redmiddel is (afgezien van losgeld betalen).
Vandaaruit terug redenerend: wat je ook doet – vroeg of laat ben je de sjaak. Immers, als je denkt “online veiligheid gewoon” goed geregeld te hebben verslapt de aandacht… met alle mogelijke risico’s en dreigingen van dien… nadenken over een backup is dan een maatregel van de categorie “better-safe-then-sorry”. 🙂
Hi will.
Nee. Als je alles goed doet kan het nog steeds mis gaan. Je verkleint alleen de kans en mogelijk de impact.
En back-ups zijn veel breder dan criminaliteit. Voorbeeld: Een gebruiker die per ongeluk een grote map zelf wist op zijn computer.
Ik beweer overigens niet dat “de gebruiker” het grootste risico is. Bij SolarWinds Orion was dat ook niet zo. Waar ik voor pleit is dat iedereen zijn gedrag aanpast en dat dit zo normaal wordt dat je dat op school al leert. Gewoon de absolute basis. Best veel mensen weten wel wat er van ze verwacht wordt, maar handelen daar niet naar. Dus alleen maar informatie zenden is niet voldoende.
Ouders geven kinderen hun eerste mobieltje zonder realisatie wat daar bij komt kijken omdat ze het zelf vaak ook niet weten en toepassen. Het gaat ook niet vanzelf. Zoals Oudlid ook stelt: Een tool is niet voldoende en dat gaat zeker op voor een wachtwoord manager. Verkeerde toepassing daarvan maakt het probleem alleen maar groter.
Henri,
Je hebt aangaande de discussie nu een leuke vijver waarin steeds meer WC-eenden gaan zwemmen want uiteindelijk gaat informatiebeveiliging vooral om de zorg voor data. Uiteraard is je moeder belangrijk maar betreffende gesprekspartners denk ik meer aan organisaties, de rechtspersonen die wettelijke verplichtingen hebben. En wij van WC-eend hebben niet alleen een gesprek aan de keukentafel maar ook aan directietafels en daaruit komt naar voren dat veel organisaties wel weten wat er van ze verwacht wordt, maar handelen ze er niet naar.
Ik denk dat ik je toch maar niet bel, ik zoek namelijk gesprekspartners die het gesprek met de Nederlandse organisaties aangaan omdat de Autoriteit Persoonsgegevens stelt dat je een back-up oplossing zodanig in moet richten dat je aan verzoeken tot verwijdering van gegevens kunt voldoen. En als dat technisch niet mogelijk is dan moet je als organisatie bijhouden welke gegevens na een herstel alsnog verwijderd moeten worden. De vraag of je hieraan kunt voldoen als je onveranderlijk kralen blijft rijgen met puntoplossingen is namelijk geen IT vraagstuk.
Eens met Henry, GBV (Human intelligence) gebruiken is altijd belangrijk. Een vergaand voorbeeld. Ten tijde van de Cuba-crisisgekte in 1962 heeft de Russische onderzeeër commandant Vasily Arkhipov juist gereageerd op de druk door de marine van USA. De laatsten hadden niet door dat de Russen met nucleaire wapens tussen hun doorvoeren, de eerste had geen verbinding meer met de basis. (Zie https://en.wikipedia.org/wiki/Vasily_Arkhipov_(vice_admiral)).
Het idee van DHV-ers ondersteun ik. Die hadden we in de jaren negentig bij mijn toenmalige werkgever. We noemden hen decentrale beheerders en sommigen hadden ook plaatsvervangers. Het was een win-win voor gebruikers en beheerders.