15-jarige middelbare scholier helpt zijn school digitaal veiliger te worden

Jurre is vijftien, zit in 4 vwo en is ethical hacker. Hij heeft al op jonge leeftijd leren programmeren en zet deze kennis nu in om zijn middelbare school digitaal veiliger te maken. Deloitte maakte een mini-documentaire over Jurre om anderen te laten zien hoe je als ethical hacker je competenties op een juiste en verantwoorde manier inzet.

Waar Jurre bijvoorbeeld achter kwam, is dat de nieuwe schoolkluisjes heel gemakkelijk te hacken zijn en hij ze allemaal tegelijkertijd kon openen. Dit digitale lek heeft hij vervolgens gemeld aan de schooldirecteur en samen zijn zij op zoek gegaan naar een oplossing.

Documentaire

Daarnaast bevestigt deze documentaire het belang van investeren in jong, technisch talent: helemaal in het licht van de recente berichtgeving over het tekort aan technisch personeel. De zes minuten durende documentaire kun je hieronder bekijken:

‘De Russische hacker-dreiging wordt steeds georganiseerder’

Russische hackers zijn blijkbaar bezig met een offensief om de achterkant van het Westerse internet over te nemen. Internet routers en dataswitches worden overgenomen door de Russen om zo in grote hoeveelheden verkeer te kunnen meekijken. Dat maakten het Britse National Cyber Security Centre en het United States Computer Emergency Readiness Team samen bekend, iets dat niet vaak voorkomt. De dreiging is dus reëel.

Maar hoe dan? Dat is onder andere mogelijk omdat routermaker Cisco een kwetsbaarheid in software had die het mogelijk maakt om routers op afstand te benaderen. Handig voor engineers, die zo fysiek niet beschikbare servers toch kunnen instellen. Door die kwetsbaarheid, die al een tijdje bekend is trouwens, kunnen hackers ook in die servers en als je dat in datacenters kunt doen (waar nogal veel Cisco staat) kun je ineens heel veel internetverkeer monitoren. Niemand is daar bozer over dan Cisco, die netwerkbeheerders al lang en breed heeft gewaarschuwd nadat de kwetsbaarheid aan het licht kwam.

Onze aanbeveling is dat klanten de Smart Install feature uitzetten nadat een router is geconfigureerd, zodat het apparaat niet kwetsbaar is.

– Cisco

Gmail’s zwakke plek wordt gebruikt om gratis Netflix te krijgen

Een interessante truc om in elk geval tijdelijk gratis Netflix te kijken werd onlangs gedeeld door ontwikkelaar James Fisher: men zoeke een email adres van Google, mét puntjes. Laten we als voorbeeld mijn.naam@gmail.com nemen. Daarna registreer je je bij Netflix met hetzelfde adres, maar dan zonder de punt(en) die er in staan. Netflix maakt namelijk in tegenstelling tot gmail wel degelijk verschil tussen adressen met of zonder punt, dus je kunt dan een (tijdelijke) account aanmaken zonder creditcard.

Als je dat hebt gedaan en je gratis maand is om, dan wordt er een mail verstuurd naar mijnnaam@gmail.com, die door Google braaf wordt doorgestuurd naar de eigenaar van mijn.naam@gmail.com. Die krijgt dan een legitieme mail van Netflix dat de account gaat verlopen en dat de creditcardgegevens niet in orde zijn. Als je dan niet oplet heb je dus net iemand anders een gratis maand Netflix gegeven. Dat is zeker geen eerlijk delen, maar wel clever. Heel clever.

Bizar: hackers krijgen klantenlijst casino via een thermometer

Fijn man, dat Internet of Things. Dat zullen ze ook vinden bij het casino dat de complete lijst met ‘high rollers’ – mensen die veel te veel geld uitgeven in het casino en daarom speciale behandeling krijgen – in handen van hackers liet vallen. Het verhaal, verteld door CEO van cybersecuritybedrijf Darktrace Nicole Eagan, is te bizar voor woorden.

Of ja, eigenlijk is het helemaal niet bizar als je de ontwikkelingen rond het Internet of Things een beetje hebt gevolgd, want de rode draad in al die verhalen is dat de beveiliging tegen indringers in veel van die slimme en verbonden apparaten meer dan waardeloos is.

Aquarium gehackt

Zo ook de thermometer die in een aquarium in een casino was geïnstalleerd. Die hield de vissen comfortabel, maar bleek ook een ideale ingang te zijn voor de hackers, die de beveiliging van het apparaat kraakten, zo het netwerk in kwamen en daarna relatief vrij spel hadden.

Als je eenmaal binnen bent in een netwerk is de rest niet meer zo moeilijk, dus de hackers vonden de lijst met high rollers en hebben die door de thermostaat weer uit het netwerk getrokken. Hoe het casino er uiteindelijk achter is gekomen is niet duidelijk, maar het laat wel zien hoe makkelijk je iets over het hoofd kunt zien dat indringers toegang geeft tot je corporate netwerk.

Er zijn een hoop Internet of Things-apparaten en dat vergroot de oppervlakte waarop je aangevallen kunt worden. Erger nog wordt het meeste hiervan niet beschermd door de traditionele methodes.

– Nicole Eagan, CEO Darktrace

Kun je nog naar China zonder dat je data gestolen wordt?

Er gaat deze week een handelsmissie naar China. Mark Rutte gaat mee, er gaan een handjevol bewindspersonen mee en er zijn zo’n 165 bedrijven en kennisinstellingen die ook op missie gaan. Het ministerie van buitenlandse zaken waarschuwt de vertegenwoordigers van die laatste echter: “neem geen gevoelige data mee op je laptops en telefoons.” Dat zegt de Volkskrant op basis van bronnen binnen de regering.

Alle ambtenaren die meegaan hebben allemaal een nieuwe, zo goed als lege telefoon gekregen en alle belangrijke stukken worden uitgeprint en ouderwets in de koffer, zodat niemand het digitaal kan leegtrekken. De angst daarvoor zit er blijkbaar goed in, want er zijn blijkbaar genoeg mogelijkheden in China om digitale apparaten ‘leeg te trekken’ of zelfs helemaal over te nemen. Een paar jaar geleden leefde die angst nog niet.

De digitale weerbaarheid van Nederland loopt achter op de groeiende dreiging. [We worden] geconfronteerd met uiteenlopende vormen van digitale aanvallen gericht op politieke- en economische spionage en cybercriminaliteit.

– Stef Blok, Minister Buitenlandse Zaken

Gotcha: de wachtwoorden zoekmachine staat online

Eind vorige week kondigde het AD al aan dat er een zoekmachine gelanceerd ging woorden met daarin een hele flinke lijst van gelekte wachtwoorden met het bijbehorende e-mailadres. Die site ging weer snel offline. Door het tonen van de volledige wachtwoorden was de site mogelijk strafbaar. Om dat te voorkomen is er nu gekozen voor een andere oplossing. Overigens hoef je van deze zoekmachine niks te vrezen. Er worden enkel gemaskeerde e-mailadressen en wachtwoorden weergegeven, daar kan verder niemand misbruik van maken. Maar iemand die dat wel wil heeft deze gegevens al wel in zijn bezit.

Gotcha

Alleen de eerste twee tekens worden nu weergegeven, en dus is de zoekmachine opnieuw online verschenen. Op de website Gotcha.pw kan je zoeken naar e-mailadressen. Als er een uitgelekt wachtwoord aan gekoppeld is dan worden de eerste 2 tekens van dat wachtwoord getoond.

Daarnaast kan er ook gezocht worden op een domein. Dan worden niet de hele e-mailadressen weergegeven. Maar ook enkel weer de eerste paar tekens.

Recent of oud?

Onduidelijk is nog of het hierbij om recente wachtwoorden gaat. Ook mijn e-mailadres staat in het lijstje. Maar dat lijkt om een oud LinkedIn wachtwoord te gaan. Maar of dat bij anderen ook het geval is.

Duidelijk is in ieder geval dat de wachtwoorden gebruikt in deze nieuwe zoekmachine al bij eerdere datalekken naar buiten zijn gebracht. Dat is de laatste jaren dusdanig veel voorgekomen dat de kans reëel is dat ook een van jouw accounts een keer de dupe is geweest. Van Playstation Network tot datingsites en van LinkedIn tot Dropbox, allemaal zijn ze een keertje ‘aan de beurt’ geweest. Alle accounts die toen zijn uitgelekt heeft de beheerder van deze zoekmachine verzameld in 1 database.

Have I Been Pwned

De Nederlandse politie heeft een soortgelijke site al sinds medio 2017 online staan. Een database die natuurlijk niet compleet kan zijn. Er zijn zo veel botnets, en computers die zijn overgenomen zonder dat de gebruikers er erg in hebben, dat ook de politie geen compleet overzicht kan hebben.

Er is ook een internationale variant van de website die haveibeenpwned.com heet en je iets meer informatie geeft, omdat ook de databases van andere landen worden meegenomen.

En nu?

Long story short: Mocht jouw e-mailadres in de lijst voorkomen ga dan maar snel je wachtwoorden aanpassen van accounts waarbij je dit e-mailadres gebruikt. Handige wachtwoord weetjes geven we je hieronder, en ohja .. begin in ieder geval met niet overal hetzelfde wachtwoord te gebruiken.

[Fotocredit: Fotolia / georgejmclittle]

Monero: de ideale cryptovaluta voor échte boeven

Cryptovaluta zijn tegenwoordig een rage, maar één ervan lijkt vooral gebruikt te worden bij malware, namelijk Monero. Maar waarom?

Bitcoin krijgt tegenwoordig alle aandacht, maar er zijn ook andere cryptovaluta’s die steeds populairder worden. Met functies die op andere doelgroepen zijn gericht en technieken die verschillende inherente problemen van Bitcoin oplossen, hopen deze valuta’s impact te maken.

Het is eigenlijk verbazend dat Bitcoin nu al jarenlang de leiding heeft weten te houden in de markt. Met alle ‘geleerde lessen’ uit Bitcoin en duizenden alternatieve valuta die op zoek zijn naar marktaandeel, begint het netwerkeffect van Bitcoin langzaam af te nemen. Dat is niks nieuws: de digitale snelweg is bezaaid met de resten van projecten die niet veranderd zijn met de behoeften van hun publiek. Hoewel het netwerkeffect van een gevestigde digitale valuta het moeilijk maakt om die van de troon te stoten zijn er zeker concurrenten die Bitcoin dicht op de hielen zitten.

Waarom Monero?

Met name Monero heeft een aantal fascinerende functies, althans bekeken vanuit een malwareperspectief. Omdat het een privacyfocus heeft, met specifieke technologie die stealth-adressering en ontkoppelbaarheid biedt op basis van wat ‘ringhandtekeningen‘ wordt genoemd. Met deze implementatie is het veel moeilijker om de ware identiteit van een transactor af te leiden, wat duidelijk belangrijk is voor misdadigers. Hoewel er kwetsbaarheden en fixes zijn geconstateerd, lijkt de community snel te reageren en heeft het Monero-project een beveiligingsrapportage / premieprocedure opgezet.

Bovendien is Monero ook nog praktisch als je geen waterkracht/kerncentrale hebt om de enorme rekenkracht te leveren die nodig is om Bitcoin op een voordelige manier te mijnen. Doordat Monero nog steeds een relatieve nieuwkomer is betekent dit dat het nog vroeg in de moeilijkheidsgraden van mijnen zit. Volgens Coin Market Watch zit Monero echter wel al rond de top tien in de cryptovaluta-ranglijst.

Dus terwijl energiecentrales en nutsbedrijven de spanning (jaja) van het in de lucht houden van de grote crypto-mijnbouwinstallaties zullen blijven voelen, gebruikt Monero een proof-of-work op basis van CryptoNight. Dat klinkt allemaal vet ingewikkeld, maar komt er op neer dat je Monero kunt ‘mijnen’ op computerhardware die veel gebruikers thuis, op werk of in een datacenter hebben staan. Dan is het de moeite om via malware een Monero-mijner op iemands computer te krijgen, want het levert ook echt iets op.

Waardevast(ish)

Aangezien Bitcoin nogal wat problemen oplevert als echt betaalmiddel experimenteren bedrijven nu ook met het accepteren van andere valuta’s. Aanvankelijk bekeken als weinig meer dan een techno-publiciteitsstunt is het accepteren van digitale valuta niet meer zo gek als een paar jaar geleden.

Tel daarbij de wilde speculatie in cryptovaluta op en dan heb je een markt en een algemeen publiek bewustzijn dat er voor zorgt dat de trend in cryptovaluta vermoedelijk op de lange termijn toch stijgend zal zijn, of in elk geval waardevast.

Niet alles draait om Monero: sommige malware is er gewoon op gericht om crypto-portefeuilles te stelen, ongeacht welke valuta er in zit, want dat is makkelijk verdienen en verkopen. Monero is ook daar vanwege de verregaande privacy als verkoper populair en zo blijft de populariteit langzaam stijgen. Zo lang het criminele circuit blijft kiezen voor Monero (en de vele varianten van cryptojacking die we de laatste tijd zien lijken dat te staven) zou het nog wel eens een goede investering kunnen zijn om ook wat van de cryptovaluta in te slaan – als je ze tenminste bij je kunt houden.

Dit artikel is tot stand gekomen met medewerking van ESET [Afbeeldingen © Vige.co – Adobe Stock]

Je slimme apparaten zijn (nog steeds) verre van veilig

Hoe vaak moeten we het nog zeggen? Het Internet of Things is zo lek als een mandje. Niet alleen zijn veel (goedkope) verbonden apparaten van zichzelf al onveilig, de hubs die ze met elkaar verbinden zijn zelfs niet goed dichtgetimmerd. Dat is opmerkelijk en ook wel een beetje zorgwekkend. Dat een zogenaamde slimme tandenborstel die je voor twee tientjes van Ali hebt getrokken niet goed beveiligd is kun je wel voorspellen, maar hubs voor IoT-toepassingen zouden toch aan een iets hogere standaard moeten voldoen.

Het blijkt echter uit een willekeurig onderzoek van onder andere Kaspersky Lab dat de eerste de beste smart home hub die ze onderzochten ook aan alle kanten lekken vertoonde. Het apparaat verzond elke keer dat het verbinding maakte met een server de gegevens van de gebruiker mee, waardoor het via een aantal omwegen makkelijk was om die gegevens te bemachtigen als buitenstaander. Daarbij kon ook andere informatie zoals een eventueel opgegeven telefoonnummer buitgemaakt worden.

Het lijkt er op dat letterlijk elk Internet of Things-apparaat – zelfs de simpele – tenminste één veiligheidsrisico herbergen.

– Kaspersky Lab Onderzoek

Afpersmail over video van bezoek pornosites is dikke bluf

Hij ging al een tijdje rond op Twitter: de ‘afpersmail’ waarin je als ontvanger kon lezen dat hackers via een Trojaans Paard op je pc toegang hadden gekregen tot de camera en video van je hadden terwijl je een pornosite bezoekt en jezelf daarbij bevredigt. De implicatie is duidelijk: “we hebben je rukvideo en als je niet 500 euro in Bitcoin betaalt sturen we die door naar je vrienden. Die schande wil je toch niet ondergaan?” Black Mirror, anyone? Dat, ja.

Als je een beetje thuis bent in phishing-mails weet je dat de correcte respons is om het mailtje te deleten of eventueel een grappige reply te sturen naar de afpersers in spé. Ze hebben geen video, ze weten niet wat je doet met je pc en ze hopen gewoon dat je niet beter weet, schrikt omdat ze ‘weten’ wat je doet en maar betaalt, voor de zekerheid.

chantagemail-pornosite
Beeld: Fraudehelpdesk.nl

Je stem over de sleepwet is meer dan veiligheid vs. privacy

Vandaag is het zover: we mogen niet alleen stemmen voor de gemeenteverkiezingen, maar ook in ons laatste referendum over de sleepwet stemmen. Dat wordt voornamelijk neergezet als een keuze tussen veiligheid en privacy, maar de waarheid is iets genuanceerder dan dat.

Voor en tegen

Heel simpel gezegd zou je tegen moeten stemmen als je belang hebt bij je privacy: met de sleepwet krijgen de intelligentie- en veiligheidsdiensten verregaande mogelijkheden om op grote schaal digitale communicatie af te tappen op zoek naar informatie die een impact hebben op de nationale veiligheid. Nu mag er alleen naar metadata gekeken worden, maar als de wet er door komt mag er ook gekeken worden naar wie wat verstuurde en vanaf waar. De inhoud van berichten kan ook bekeken worden. Het grootste struikelblok is dat de data zonder controle vooraf gedeeld kan worden met buitenlandse veiligheidsdiensten.

Even simpel zou je voor moeten stemmen als je veiligheid het belangrijkste vindt. Met deze mogelijkheden kunnen veiligheids- en inlichtingendiensten makkelijker links leggen tussen personen in een (mogelijk terroristisch) netwerk. Ook kunnen er straks na bijvoorbeeld een aanslag eerder gevangen gegevens bekeken worden om te zien met wie iemand contact heeft gehad. Bij aanvallen van hackers zijn er met de nieuwe wet veel betere mogelijkheden om te kijken waar de aanval vandaan kwam en of er meer plekken zijn aangevallen. Allemaal voordelen dus.

Nuance

Het is echter allemaal niet zo zwart-wit. Je kunt ook de veiligheid van de Nederlanders beter bewaken met andere bevoegdheden voor de diensten, maar die optie zit niet in het referendum. Er is door het kabinet al gezegd (specifiek door Buma) dat de uitslag van het referendum niet echt zal worden opgevolgd, zouden de meeste Nederlanders tegen stemmen, maar het blijft een raadgevend instrument. Het kabinet zou dus toch íets moeten doen met een negatieve uitslag. Als je wel wilt dat we onze veiligheid verbeteren maar het niet eens bent met de manier waarop, zou je nee kunnen stemmen.

Aan de andere kant kun je er ook voor kiezen om toch voor de wet te stemmen, ondanks zorgen die je hebt over de uitvoering daarvan. De noodzaak om het gebruik van al die informatie goed dicht te timmeren leeft ook in de Tweede Kamer en zelfs al zou de wet er komen, is de kans alsnog aanwezig dat er aanpassingen gaan komen, zeker aan de kans van de toetsingscommissie. Die moet bevolkt worden met mensen die snappen wat ze aan het toetsen zijn en daar zijn nog wat twijfels over.

Het lastige is uiteindelijk dat je een binaire keuze voor je kiezen krijgt: ja of nee. Uiteindelijk maakt dat het moeilijk om je eigen keuze naar een kant te trekken, maar een ding is wel zeker: het is de moeite óm te gaan stemmen over de wet. Het referendum zal dan misschien wel gaan verdwijnen, maar zo lang we het nog hebben zou het gek zijn om niet gebruik te maken van het recht dat je hebt.

[Afbeeldingen © bizoo_n – Adobe Stock]

De aftapwet verdeelt Nederland: jongeren meer tegen

Als je onder de 35 bent is de kans groot dat je tegen de aanstaande aftapwet bent. De Wet op Inlichtingen en Veiligheidsdiensten (WiV) zoals ‘ie voluit heet maakt potentieel namelijk nogal wat inbreuk op onze privacy en als je jonger bent heb je een beter idee wat dat inhoudt. Dat is althans de verklaring die wordt gegeven door veel mensen voor het verschil in stemmen. Dat zou impliceren dat de iets oudere Nederlander niet begrijpt wat de impact is van de WiV op hun privacy, maar die conclusie is wellicht iets te kort door de bocht.

Representatief onderzoek van I&O Research heeft uitgewezen dat er onder de groep tot 35 jaar slechts 34 procent vóór de aftapwet is, terwijl dat persentage oploopt tot 63 procent onder 65-plussers. Als je echter naar het overkoepelende beeld kijkt blijkt dat alle Nederlanders samen nog steeds voor de wet zijn. Als je de ‘weet niet’-stemmers splitst tussen voor en tegen kom je uit op een percentage van 60 procent voor-stemmers.

aftapwet-research
Beeld: I&O Research

Politie rolt ‘innovatief’ postorderbedrijf voor drugs op

Het is ingenieus, maar nog steeds vreselijk illegaal. Een ‘postorderbedrijf’ voor drugs in Nederland werd opgerold door de politie waarbij vier verdachten werden opgepakt. Drie daarvan waren vanuit Amsterdam voorspelbaar genoeg actief op het dark web om de drugs te verkopen, maar één van de verdachten had een wel heel speciale taak vanuit Werkendam: het 3D-printen van neppe inktcartridges en Nintendo-cartridges met dubbele bodems die dienden als het verpakkingsmateriaal voor de verkochte drugs.

Op deze manier zijn er vermoedelijk tienduizenden postpakketten met LSD, XTC, coke en MDMA wereldwijd verzonden zonder dat iemand het in de gaten had. Het Openbaar Ministerie meldt dat de hele operatie nu opgerold is en al het materiaal in beslag is genomen. Dan hebben we het dus over een hoop drugs, de 3D printers maar ook vuurwapens, auto’s en natuurlijk digitaal betaalmiddel Bitcoin.

De mens is een essentiële schakel in cybersecurity

De zwakke schakel is de mens.” Het is een uitspraak die vaak voorbij komt als je met security-experts praat en ik verwachtte van Jelle Niemantsverdriet een vergelijkbare uitspraak. Niemantsverdriet is Director Cyber Risk Services bij Deloitte en gespecialiseerd in het onderzoeken en oplossen van beveiligingsincidenten. “Helemaal niet,” was het antwoord dat ik onverwachts kreeg. Dat heeft alles met olifanten te maken.

Als je de taak hebt om je bedrijf veilig te houden, heb je het druk de laatste tijd: cyber security staat in de spotlight na een aantal high-profile hacks met verstrekkende gevolgen, zoals ziekenhuizen die opeens niet meer kunnen functioneren. WannaCry, Petya, gehackte zonnepanelen, gevoelige informatie die opeens op straat ligt, elke week lijkt er een nieuwe dreiging. Het kan soms lijken op onbegonnen werk, maar in de praktijk kan je als IT-specialist juist het verschil maken.

Het lijkt misschien wel alsof de hemel op ons hoofd gaat vallen, maar als specialist kun je beter de James Bond-achtige technieken laten voor wat ze zijn. Dat soort technieken zorgen voor een goed verhaal, maar de manieren waarop je systemen worden aangevallen zijn vaak veel banaler. Het is toch vaak een geraden of gestolen wachtwoord of een geklikt linkje in een phishing mail.

Toch de mens als zwakke schakel dus? “Uiteindelijk kun je als er iets gebeurd is altijd de keten terug volgen en dan bij de eerste menselijke fout zeggen dat je het gevonden hebt”, aldus Niemantsverdriet. “Daar los je echter niks mee op. Beter: als IT- of security-specialist dien je te kijken hoe slordigheden ontstaan en moet je daar iets aan doen.

Olifanten

Misschien ken je de term olifantenpaadjes wel. Het zijn de uitgesleten paden die door grasvelden en heuveltjes lopen, doorgaans niet ver van de ‘echte’ route. Dat moeten de ontwerpers van de paden zien als een signaal dat ze iets gemist hebben. “Zo werkt het in security ook”, zegt Niemantsverdriet.

Security heeft de neiging om in systemen te denken, om zo veel mogelijk alles dicht te timmeren. Dat zorgt soms voor systemen die helemaal niet aansluiten op de gebruikerservaring, waardoor mensen sluiproutes nemen om toch te doen wat ze willen of nodig hebben. Dat leidt vaak tot minder veiligheid. Je moet je als bedrijf dan afvragen of je de juiste methode hebt gekozen.

Maar het moet zo, anders is het niet helemaal veilig”, zal de security-afdeling dan zeggen. Daar zijn een aantal argumenten tegen. Vaak staat de IT of security afdeling bekend als het ‘department of no’, omdat soms zonder enige context of nuance ‘nee’ zeggen tegen elk verzoek.

Gebruikers met een vraag of issue zullen dan niet snel langsgaan om te vragen hoe iets op te lossen is. Die afstand zou je moeten zien te overbruggen en om dat te doen zou de security-sector wel wat meer naar sectoren als psychologie, marketing en economie kunnen kijken. Die weten wel hoe je een gebruikerservaring kunt maken die effectief is en toch doet wat nodig is om de veiligheid van je bedrijf voorop te zetten. Deloitte is gespecialiseerd in cyber security en streeft ernaar om bij haar klanten cyber security centraal te laten staan. Alleen wanneer Security samenwerkt met overige delen van het bedrijf, kan de meest veilige situatie gecreëerd worden.

‘Better than perfect’

Niet dat er een werkbaar systeem bestaat dat op alles is voorbereid. Dit is namelijk ook afhankelijk van de grootte van het bedrijf. “Kleine bedrijven kunnen gewoon de gangbare applicaties gebruiken van de Apples en Googles van de wereld”, volgens Niemantsverdriet. “Want die zijn heel veilig, hebben twee-factor authenticatie en omdat de belangen groot zijn wordt er snel geschakeld in het geval van problemen. Het is een acceptabel risico.

Dat laatste is sowieso een term die je moet omarmen als security-verantwoordelijke, want honderd procent veilig bestaat niet. “Moet je ook niet najagen”, aldus Niemantsverdriet. Bij Facebook zeggen ze ‘done is better than perfect’ en dat is de spijker op de kop. “Ik heb liever drie dingen die 70 procent effectief zijn dan één ding dat zogenaamd perfect is.

Je zou kunnen zeggen dat het niet meer te doen is voor een IT-medewerker of zelfs IT-afdeling om alles bij te houden en te weten wat de juiste keuzes zijn qua veiligheid. Zeker als het al werkt, is het de vraag waarom je zou gaan rammelen aan systemen. “Het is ook heel lastig, maar je kunt de tijd van je IT-personeel beter benutten. Stuur ze naar een security-training, in plaats van ze bezig te houden met gewoontes die in de IT nog bestaan maar eigenlijk niet meer relevant zijn.

Daar hoort bijvoorbeeld het ouderwetse wachtwoordbeheer bij. We weten al dat een kort wachtwoord met allerlei rare tekens niet helpt, maar ook elke drie maanden het wachtwoord moeten veranderen is contraproductief. Goed monitoren, twee-factor authenticatie verplicht maken of one-time codes gebruiken, dat zijn dingen die helpen zelfs als er iemand een steek laat vallen.

In plaats van veel tijd te steken in het aantonen van (vaak al bekende) fouten in systemen, kan een security-verantwoordelijke beter tijd steken in het beter bouwen van systemen“, zegt Niemantsverdriet. Maak systemen die mensen omarmen en zorg dat je bottlenecks oplost in plaats van de schuld bij de zogenaamd ‘domme’ gebruikers te leggen. Er is uitdaging genoeg in die rol, maar de traditionele IT’er die alleen maar met systemen bezig is, past niet meer in deze tijd.

Er is een ander type mens nodig in de IT-rol, die meer met zijn gebruikers bezig is en dezelfde adaptieve en innovatieve mindset aanneemt die de kwaadwillende hackers van tegenwoordig ook hebben. Als je in die rol zit: kijk in de spiegel en zorg dat je meegaat met de tijd. Security gaat om mensen en die zijn nou eenmaal niet perfect. Er is meer – en er moet meer zijn – dan technische kennis alleen om succesvol de zaak veilig te houden.

Dit artikel is in samenwerking met Deloitte geschreven.

Let op! Bescherm ook je Smart TV

Tijdens het Mobile World Congress in Barcelona werden we overladen met de nieuwste ontwikkelingen en innovaties. Het congres gaat al lang niet meer over de nieuwste mobiele telefoontoestellen maar gaat vandaag de dag over de laatste wereldwijde technologische innovaties. Het gaat dus over autonoom rijden, over Internet of Things, drones en uiteraard over 5G en blockchain technologie. Ver van je bed show? Ja, in zekere zin wel, het daadwerkelijk vliegen met bemande drones zal nog wel even duren, desondanks hebben jij en ik, zeker wanneer we het hebben over Internet of things, al veelvuldig hiermee te maken. Denk bijvoorbeeld aan de Smart TV, je Nest of je Sonos apparatuur. We maken er veelvuldig gebruik van. Het maakt ons leven makkelijker maar het heeft ook een belangrijke keerzijde.

Niet zo onschuldig

Even wat statistieken. In 2020 zijn er naar schatting 30 miljard apparaten verbonden met het internet. Dit zijn veelal op het eerste gezicht onschuldige apparaten welke we dagelijks thuis in de huiskamer gebruiken. Denk maar eens aan je “onschuldige” Smart TV. Echter een Smart TV is uitgerust met een microfoon, een camera en diverse USB poorten en dus absoluut kwetsbaar en iets minder onschuldig dan de gemiddelde Nederlander denkt. Het blijkt dan ook dat het juist de Smart TV is die steeds vaker doelwit is van malware aanvallen. Uit onderzoek blijkt dat 90 procent van Android TV’s kwetsbaar zijn voor hacking. Denk hierbij aan incidenten waarbij de schermvergrendelingen van de Smart TV plotseling wordt geactiveerd. Om de Smart TV vervolgens weer te kunnen gebruiken zul je eerst geld moeten betalen. Dit communiceren de cybercriminelen via een melding op je Smart TV.

Risico is nog nooit zo groot geweest

Hackers en cybercriminelen kunnen dus een aanval plegen op jouw Smart TV. Van groot belang is dat we ons vandaag de dag realiseren dat cybercriminelen via de Smart TV ook bij andere apparaten in het thuisnetwerk kunnen komen. Op deze manier kunnen ze dus gevoelige (persoonlijke) data verzamelen en zelfs personen bespioneren. Let wel het risico is voor consumenten en bedrijven nog nooit zo groot geweest. Beangstigend zeker gezien het feit dat er steeds meer apparaten op de markt komen die verbonden zijn met het internet.

“Gezien de risico’s voor de security en privacy, moeten consumenten over het beveiligen van smart home apparaten net zo nadenken als over het beveiligen van hun laptops, tablets of mobiele telefoons – ze kunnen hun Smart TV niet beschouwen als een normale TV, waterkoker of horloge.”

– Branislav Orlik, Mobile Security Product Manager bij ESET.

Page generated in 1.482 seconds. Stats plugin by www.blog.ca