Als je van huis weggaat, doe je de deur achter je op slot. Voordat je oversteekt, kijk je links en rechts. En na een toiletbezoek was je je handen. Bijna tachtig procent gebruikt eenzelfde wachtwoord voor meerdere online-diensten. Eén op de twaalf internetters heeft online met oplichting te maken gehad. Meer dan veertig procent trapt in phishingmails.
Hygiëne vinden we normaal en leren we al in groep één van het primair onderwijs. Op een gegeven moment krijgen kinderen een eigen huissleutel en o wee, als ze dan vergeten de deur op slot te doen. Later volg je eerste verkeersexamen op de fiets. Maar leren goed met wachtwoorden om te gaan? Dat leert de juf of meester je niet – terwijl iedereen een smartphone heeft en een computer gebruikt en toegang tot internet heeft. En iedereen dus wachtwoorden en pincodes heeft. Iedereen. Dat is gek, heel gek.
Expliciet
Om het expliciet te zeggen: het kennen van online-veiligheidsregels hoort bij de absolute basis van onderwijs. Ik noem dit de cybersecurity essentials. Hieronder versta ik:
-
Voor elk account een uniek niet te raden wachtwoord
-
Gebruik tweestapsverificatie waar mogelijk
-
Gebruik een wachtwoordmanager
-
Herken phishingmails en weet een legitieme webadres of e-mail te herkennen
-
Doorzie pogingen van oplichting
-
Maak backups
-
Syncen met Google Drive / iCloud / Microsoft Onedrive / Dropbox is geen backup
Dit zijn de absolute basisregels. Een beginnetje zogezegd. Hoeveel van deze regels kun jij afvinken? Er is een redelijk kans dat dit er nul zijn, en maar weinigen kunnen ze alle zeven afvinken. Deze bijdrage is niet geschreven om de basisregels bij te brengen, maar om het onder aandacht te plaatsen dat we fout bezig zijn.
Genoemde regels moeten gewoon een onderdeel van primair onderwijs zijn, net als lezen, schrijven, rekenen en aardrijkskunde. En zo moeilijk is het niet. Maar omdat wij de digitale-hygiënevaardigheden als volwassenen niet beheersen, zijn we niet in staat onze kinderen – en ouders – te beschermen. En dat moet veranderen. Als we dit nu goed doen in de basis, dan zal de volgende generatie een stuk veiliger opgroeien.
Wat ik met de onderste regel van de cybersecurity essentials bedoel? Dat een iCloud- of Google Drive-sync geen backup is. Als je per ongeluk ransomware activeert op je computer, dan versleutel je onbedoeld alle bestanden op je computer. Als deze synchroniseren met bijvoorbeeld Dropbox, dan worden de bestanden in je Dropbox dus ook gewoon versleuteld. En dat is maar een voorbeeld.
Als iemand toegang krijgt tot je computer, dan kan deze ook alle bestanden verwijderen of ontoegankelijk maken. Hetzelfde geldt bij het maken van backups op een externe harde schijf. Als er ingebroken wordt, of je huis brandt af, dan ben je alsnog al je data kwijt.
Motivatie
Maar hoe moet het nu verder met ‘ons’? Wij gaan niet meer naar school. Hoe gaan wij van cybersecurity essentials een gewoonte maken? Dat is nog best lastig, zeker als je de opsomming herkent, maar er niet naar handelt. Dan kun je jezelf afvragen: waarom doe ik het niet?
Dat komt omdat weten iets anders is dan doen. Om ons gedrag te veranderen en nieuwe gewoontes aan te leren, is er meer nodig. Namelijk motivatie. Als je al een keer bent opgelicht, zal dit je motivatie enorm helpen. Maar veel mensen erkennen het gevaar nog niet. In het verleden heb ik een keer mazzel gehad. Ik vond het rijden met een autogordel beperkend aanvoelen. Ook het hebben van een airbag stond niet hoog op mijn wensenlijstje. Totdat ik een keer achter een collega reed ergens op een dijk in Ter Aar. Een vrachtwagen met oplegger moest ergens langs de dijk zijn en tijdens het kijken naar de huisnummers reed hij ineens midden op de weg. Mijn collega kon geen kant op en kwam frontaal in botsing. Met grote schrik stopte ik mijn auto om te hulp te schieten en ik zag mijn collega uitstappen en aan zijn bloedende neus voelen. Dat was het enige wat hij had terwijl zijn auto helemaal in puin lag. Hij had zijn gordel om en had airbags. Dit was in de jaren negentig. Pas toen kwam het besef dat als ik voor had gereden, ik er niet met een bloedneus vanaf was gekomen.
Dit zou voldoende motivatie moeten geven om aan de slag te gaan. Al was het omdat je dan je kinderen en ouders ook kunt helpen. Maar er is nog iets nodig om je aan de cybersecurity essentials te houden: de tools en middelen die je faciliteren in veilig online-gedrag. Ofwel, je moet ook de gelegenheid krijgen het juiste te kunnen doen. Het is niet makkelijk om voor elk account een ander wachtwoord te verzinnen. Je kunt wachtwoorden wel in je browser opslaan, maar naast dat dit minder veilig is, heb je ook wachtwoorden die je niet in de browser toepast. Daarnaast wil je soms ook meer dan alleen een wachtwoord opslaan, of wil je iets dat de wachtwoorden voor je bedenkt. En daar kan een wachtwoordmanager je bij helpen, naast dat dit erg veilig is. Ook voor het herkennen van legitieme links heb je kennis nodig. Die moet ergens vandaan komen.
Het veranderen van gedrag is dus een combinatie van motivatie, weten en de gelegenheid krijgen. Maar het begint allemaal met het onderkennen dat we de cybersecurity essentials nog massaal niet kennen of negeren.
Een begin
Heb je een organisatie met medewerkers? Dan is de kans groot dat je medewerkers de basis in online-veiligheid nog niet voldoende kennen en toepassen. Dat is een probleem, want het maakt je organisatie kwetsbaar. Naar school gaan je medewerkers niet, dus als je er iets aan wilt veranderen, moet je in actie komen. Een awareness-e-learning aanschaffen is niet voldoende, maar wel een begin. Daarbij moet je medewerkers dus ook motiveren en hen de gelegenheid bieden zich aan de cybersecurity essentials te houden. Zo wordt Nederland weer een klein stukje veiliger.
(Nog een kleine pro-tip. Betalen en online-bankieren doe je veilig met de app op je telefoon. Dat is veiliger dan de browser op je computer. Je app zal namelijk altijd de werkelijke rekening en bedrag laten zien, terwijl je in de browser op je computer gefopt kan worden met een nepsite. Ik kan je talloze voorbeelden geven en boeken vullen, maar dat bewaar ik voor een volgend stuk.)
@Jaap: Thanks. Grappig dat je over die Cuba crisis schrijft. In een andere context had ik over RYAN ( https://en.wikipedia.org/wiki/RYAN ) wat geschreven en Oleg Gordievsky en hoe die ook een belangrijke rol heeft gespeeld in het voorkomen van een nuclear war. Ik ben gek op dat soort verhalen.
@Oulid: haha, leuke observatie; allemaal WC-eenden.
Weer een datalake vol wc eenden..
gevaar loert, ook onder de randen waar het vuil zich ophoopt
denk hierom en daarom
en daarvoor heb ik voor u dittem en dattem.
op werk straks laagdrempelige-collega-driven security policy.
straks op school AVG les, waar elke ochtend de telefoons door de leraar worden ingenomen.
Blijven ze er tenminste ff van af en leren ze gelijk hoe security en privacy in de praktijk werken.
En wat moet je met je GBV als security specialisten bittorent adviseren.
Oja Dino, het gevaar loert onder het wateroppervlak want niet alleen de snoek vreet kleine WC-eendjes. Hoewel data lakes een prima oplossing zijn voor ruwe en open data om daar met een rietje nieuwe inzichten uit te zuigen is er ook de ‘gesloten’ data. Externe factoren zoals wet- en regelgeving bepalen grotendeels de data governance in deze vijver die om ouderwetse kantoorautomatisering gaat waar nog een fysieke DHV-er rond waggelt om wat te kwaken over wachtwoord managers. En wij van WC-eend adviseren in dit schrijven dus niet de digitale transformatie van een verandering in toegangsprotocollen tot data, de inzet van AI met chatbots of analyses van machine gegenereerde data.
Vroeger was alles beter zegt Jaap van Belkum en aangezien ik 30 jaar geleden mijn haar (euh veren) nog had kan ik dat beamen. Vroeger was IT (zonder C van communicatie) vooral nog lekker overzichtelijk omdat elke applicatie zijn eigen servers had. En ja, gebruikers werden toen nog ondersteund door applicatiebeheerders die dagelijks een halve marathon liepen omdat de dataoverdracht nog grotendeels met diskettes ging zoals de back-up nog op tapes ging die één keer per week in een koffer naar het CUC gebracht werden. En 2 keer per jaar gingen we er zelf heen om de uitwijk te testen, was bij wet namelijk verplicht.
@Henri / Oudlid
wanneer je synct met een versioning filesystem kan syncen dan een backup vervangen, wat denken jullie?
Vooral als je het aantal versies hooog zet.
Jan,
Het nadeel van versioning bij ransomware en drive sync is dat de restore dan vaak niet geautomatiseerd is en op “per bestand” basis plaatsvindt. Ofwel; de restore schaalt niet.
Maar wellicht dat dit door de tijd heen verbeterd is.
En ransomware is 1 scenario. Je moet dan ook goed kijken wat er gebeurt bij verwijderen.
Oude mopperduikeend, bedoel je dat de kleitablet toch beter was, voor dan wel na het bakken? Dertig jaar geleden waren er ook fysieke (van FO tot IR) en logische netwerken, vaak deels naast elkaar. Van de protectionistische (KPN) datacommunicatie overbruggingswetgeving had de gebruiker meestal geen idee. Lang niet iedereen wist welke kabels bij welke toepassingen / data / apparaten hoorden, of waar bepaalde data, toepassingen, printers, enz. zich bevonden. Niet iedereen wist hoe zieltogende mini- en mainframe industrieën vooral bezig waren om hun bubble met eigen protocollen, interfaces en dataformaten nog even vrij te houden van concurrenten. WC-eend en Glorix gingen niet samen.
De gebruiker van nu is meestal opgegroeid met computers, is hoger opgeleid, kan nu veel meer zelf opzoeken op het internet / intranet en dus heel veel ICT-vaardiger. Maar veel is ook hetzelfde gebleven door dezelfde politieke en economische motieven en menselijke zwakheden. Knellende applicaties in eigen rekencentra, zijn vaak vervangen door knellende applicaties in een cloud. Kijk naar de toeslagenaffaire. En geheime profileer programma’s maakten dit nog erger. Bijna geen gebruiker durfde dat aan te kaarten. Het ging ten slotte om de kleren van de keizerlijke familie. Het politiseerde OM frustreert nog steeds het onderzoek.
De bomen in het bos van de gedigitaliseerde organisatie, zijn vaak niet goed te ontwaren. De virtuele werkelijkheid en virtuele onwerkelijkheid lijken zoveel op elkaar. Voor gebruikers en voor hun managers blijft meegroeien met de ICT lastig.
Jan,
Let even op mijn opmerking over de ‘read-only’ met het schuifje op de diskette, als een gemaakte kopie aangepast kan worden dan biedt versioning geen bescherming. Versioning is vooral bedoeld om terug te gaan in de tijd en dat is dan ook één van de problemen met ransomware. Want je productie verlies is het aantal dagen dat je terug gaat in tijd maal het aantal FTE’s. En niet alleen in de gedigitaliseerde papierstroom van orders en bonnetjes binnen de gebruikelijke administratieve automatisering kan de schade flink oplopen, ik heb heb namelijk ook onderzoeken een jaar vertraging op zien lopen en daarmee miljoenen zien verdampen.
Om als WC-eend toch wat te zeggen over verandering in toegangsprotocollen wijs ik op het feit dat – mede in veel juridisch-fiscale processen – data vaak één keer geschreven mag worden en daarna nooit meer gewijzigd. Dit proces kun je aanvullen met metadata van een foutdetectiecode zodat je gedurende de gehele lifecycle kan garanderen dat data één-op-één gelijk is toen deze geschreven werd. Ik neem aan dat je genoeg fantasie hebt wat je aangaande de AVG nog meer met deze metadata kunt doen want de meeste back-up oplossingen kennen een database die het terug vinden van data vergemakkelijken terwijl deze optie veelal mist bij een sync.
@Henri / Oudlid
bedankt voor jullie inzicht, daar moet ik in de workflow van backups en syncs nog eens kontroleren.
Bij mij gaat het om het register van registerkassa’s, in Oostenrijk verplicht maar vaak moeizaam te beveiligen vanwege te weinig basale ICT-kennis van de gebruikers, steekwoorden automatisch en monkeyproof.
Als oude WC-eend met meer dan jaar 30 ervaring stel ik enkel dat de integriteit en validiteit van datasets niet zo twijfelachtig is als correctheid van de vastgelegde informatie door twee of meer partijen bevestigd is en daarna zodanig opgeslagen wordt dat deze niet meer gewijzigd kan worden. Als je dat met een kleitablet bedoeld dan moet je mijn reactie op de vraag van Jan lezen.
Wij van WC-eend kennen de details van de problematiek waar Jan mee te maken heeft niet maar we nemen aan dat het om hetzelfde principe van integriteit en validiteit zal gaan, de integriteit van het proces zal bepaald worden door een register van input en output en de validiteit van opslag hierin wordt meestal door fiscale wetgeving opgelegd omdat overheid de vijfde penning wil hebben. Overwegende dat je door streepjescode op de producten ook gelijk je voorraad bij kan houden begrijp ik wel de uitdaging van Jan met de ‘Edge storage’ in een POS-systeem.