Insights in Security Blog

Insights in Security Blog

Opinions expressed on this blog reflect the writer’s views and not the position of the Capgemini Group

Baas over je eigen digitale omgeving

Cybersecurity heeft aandacht, maar zijn we wel voldoende digitaal bewust en is ons gedrag daarop afgestemd? Veiligheid versus onveiligheid wordt in de komende tijd één van de grote thema's. De beweging om de onveiligheid op een sociale manier en niet paniekerige manier te bedwingen zal nu voor altijd van onderen af moeten worden opgebouwd (zie weblog “Naar een winstgevende onveiligheid”  van Jasper Schaaf).

Begin 2015 kwam Gartner met het statement “We as an industry cannot help you if you’re not willing to help yourselves.” . Aangevuld met het statement “you can’t fix stupid”. In tv programma’s wordt aangetoond dat het eigenlijk slecht gesteld is met “de bewustwording”, hoewel de kijkers allemaal denken, pfff dat weet toch iedereen! Niemand geeft toch zomaar zijn wachtwoord? Je krijgt nu het gevoel als Cybersecurity specialist, goed werk Henk, hier kunnen wij echt niets meer doen, het is gewoon de schuld van de gebruikers zelf! Kijk niet naar ons, wij doen echt ons best! Is dat zo, moeten we niet meer in de spiegel kijken? Natuurlijk richtte Gartner zich tot de leiders van de ondernemingen en dat is in mijn ogen juist. Bewustwording moet daar nog meer GETOOND worden door niet alleen plannen maar ook acties (“Getting Cybersecurity to Work isn’t Going to Work without Doing the Work”). Dit geldt ook voor de gewone gebruiker met de eigen social accounts of als medewerkers met de verschillende systemen die gebruikt moeten worden.   

Wat moeten we doen?

Gebruikers (wij zelf dus ook) gaan tenslotte iets gebruiken dat past binnen het eigen risico profiel. Je mag niet TE hard rijden, maar toch gebeurt het. Kortom we moeten meer aandacht geven aan bewustwording dat je zelf verantwoordelijk bent voor je eigen digitale omgeving. Dus niet alleen voor je werk, maar vooral ook voor je eigen digitale omgeving. Daar begint het! Dan moeten wij het wel gemakkelijker maken, anders haakt men af. Ik geloof niet dat allerlei moeilijke technische oplossingen het verschil gaan uitmaken. Oftewel hoe groot is mijn risico, welk gebruiksgemak wil ik, wat accepteer ik en welke maatregelen neem ik. Vergelijk het met veiligheidsniveaus van sloten die je wilt gebruiken voor je huisdeuren en ramen. Laten we beginnen met een voor iedereen haalbare kleine stap vooruit! We kijken dit af bij diezelfde specialisten: Hoe security specialisten zich beveiligen ten opzichte van anderenIk pleit dan ook voor een gelaagde aanpak om met zijn allen over te gaan naar niveau 2:

  1. Geen maatregelen: Nauwelijks bewustwording, "Dit geldt niet voor mij"
  2. Speelse beveiliging:  Veilige wachtwoorden, gebruik een wachtwoordmanager, 
    Two-factor authenticatie gebruiken als het aangeboden wordt, encrypt je smartphone en computer, 
  3. Privé gesprekken: VPN voor public wifi, auto encryption van teksten, mailberichten, gesprekken, enz.
  4. Uitgebreide anonimiteit: Specialisten doelgroep. Encryption handmatig,
    Anoniem surfen, Tor, Tails, Sandboxie
     

Aan het werk voor niveau 2!

Veilige wachtwoorden: Er zijn duizenden manieren om wachtwoorden veilig en nog veiliger te maken, echter er is één probleem. Hoe beter hoe moeilijker te onthouden. Tevens dwingen huidige policies tot veelvuldig wachtwoord wijzigen, waardoor gebruikers gedwongen worden hier niet veilige schema’s voor te bedenken, of gewoon overal hetzelfde wachtwoord te gebruiken. Mijn persoonlijke tip, die zeker door een specialist onderuit gehaald kan worden, maar toch voor mij meer dan voldoende betrouwbaarheid geeft vooral omdat dit eenvoudig te onthouden is:

  1. Bedenk 3 woorden die je kunt onthouden:  bar,  strand, theater
    (die niet direct te relateren zijn aan jou, dus NIET de naam van je hond!)
  2. Zet deze willekeurig achter elkaar, maak een of meerdere hoofdletters,
    zet er 1 of meer leestekens tussen   “Strand!bartheater3”
  3. Verleng wachtwoord met 2 karakters van de site waar je het voor gebruikt:
    Strand!bartheater3fb” voor facebook en “Strand!bartheater3tt” voor twitter
  4. Zorg dat het totale wachtwoord minimaal 12 karakters is. Voila!

En nu het belangrijkste: gebruik bovenstaande methodiek NIET exact want deze is nu gepubliceerd, maar wees creatief in iets te maken dat erop lijkt.

Gebruik een wachtwoordmanager: Dit maakt het digitale level een stuk gemakkelijker, je hoeft tenslotte niet al je wachtwoorden zelf te onthouden. Je moet er wel even wat aan doen. Lifehacker heeft een bruikbaar overzicht van wachtwoordmanagers.  

Two-Factor Authentication (2FA): Eén van de beste acties die je kunt doen voor online accounts is 2FA aanzetten waar het kan. Dit is nog belangrijker dan een goed wachtwoord, aangezien de kwade geest nu niet alleen je wachtwoord moet hebben, maar ook je device (meestal smartphone) in bezit moet hebben. Kijk hier waar je allemaal 2FA aan kunt zetten, waaronder gmail, microsoft accounts, dropbox, facebook, linkedin,…. Een goede app om je 2FA op bijna alle devices te beheren is Authy.

Bewust over social engineering en phishing methodieken: Geef nooit je wachtwoord aan iemand anders, log nooit in op een account via een onbekende link of website, gebruik liever niet je social media accounts om ergens anders in te loggen. En log op je social media accounts alleen in via hun officiële website in je browser of via de officiële apps.  

Wil je meer?

Wat nog meer? Je computer en mobiel encrypten (dit kan bij meeste nu al standaard aangezet worden) en tools voor anoniem surfen, ……. Ik laat me graag inspireren door tips vanuit de Lifehacking community. Een uitgebreide handleiding voor alle niveaus staat hier. Begin bij de cheat sheet, dat globaal de niveaus volgt zoals ik die hierboven heb aangegeven, daarna kun je los op de rest cool. Veel succes met je eigen veiliger digitale omgeving!

Over de auteur

Henk de Ruiter
Henk de Ruiter

Plaats een reactie

Uw e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd met *.