Online03.03.2017

Nederlanders zijn online helemaal niet veilig, wat ze ook doen


Vandaag werd voor de zoveelste keer bevestigd dat Nederland een grove inschattingsfout heeft gemaakt. Deze laatste waarschuwing werd gedaan door een onderzoek van het Rathenau Instituut: onze overheid en de Nederlandse bedrijven zijn onvoldoende beschermd tegen cyberdreigingen. Natuurlijk zijn ze onvoldoende beschermd. Ze zijn het overzicht een beetje kwijt, net zoals wij als gebruikers dat zijn.

De manier waarop we collectief met onze data omgaan is in de laatste paar jaar zo dramatisch veranderd dat het niet bij te houden is. Grote bedrijven en de overheid zijn allemaal net een beetje bij met de clouddiensten die hun oh zo belangrijke data veilig ergens hebben opgeslagen, met dagelijkse backups. De betere hebben ook een goede manier om werknemers en/of klanten op een relatief veilige manier op afstand te laten inloggen en eventueel zelfs al een partner gevonden die hen beschermt tegen DDoS-aanvallen (mitigatie, heet die business officieel). Dat moet ook, want tegenwoordig kun je als cybercrimineel alle soorten aanvallen gewoon inhuren.

Alles is ingewikkeld

Dat zijn allemaal belangrijke stappen, zeker omdat een groot deel van de interactie van precies die bedrijven en de overheid met ons als klanten digitaal is. Burgers tellen we gewoon even als klanten van de overheid om het simpel te houden. Dat betekent dat er dus aan twee kanten beveiligd moet worden: intern, maar ook vanuit ons perspectief als klant. We laten onze gegevens achter op de servers van die partijen en we moeten er vanuit kunnen gaan dat dit goed gaat.

Sterker nog: dat doen we gewoon. Als er één ding duidelijk is geworden over de verregaande digitalisering van Nederland dan is het wel dat wij als gebruikers er maar de hele tijd van uitgaan dat alles goed gaat. Horrorverhalen over LinkedIn, Dropbox of Yahoo die gehackt worden, waarbij gebruikersgegevens meegenomen worden die daarna worden verkocht aan illegale bieders, lijken een ver-van-mijn-bed show, want specifiek die diensten “gebruik ik toch niet.”

bewustwording
bewustwording

DigiD en ander geld

Maar onze gegevens, hier in Nederland, zijn vast veilig. Niet dus. Echt niet. Het onderzoek van Rathenau laat zien dat bijvoorbeeld DigiD, de manier waarop we allemaal digitaal met de overheid verbinden, in de check van 2016 nog steeds niet veilig genoeg was om aan de normen voor informatiebeveiligingseisen van het Nationaal Cyber Security Centrum te voldoen.

Nu wordt dat nog serieus genomen, maar het probleem zit ‘m er in dat steeds meer systemen op elkaar aangesloten zijn. Verschillende ministeries hebben verantwoordelijkheid voor verschillende onderdelen en dat wordt natuurlijk niet op één en dezelfde lijn gestuurd. Hoe verder naar beneden in de keten je komt, hoe meer dat de centen ook gaan meespelen. De goedkoopste bieder krijgt de klus en bij noodlijdende gemeentes wordt het soms helemaal overgeslagen.

health-1
health-1

De echte zwakke schakel

Bij grote bedrijven en instanties is het niet anders. Vooral de zorg lijkt erg kwetsbaar. Niet voor niks hoor je vaak dat ziekenhuizen slachtoffer worden van ransomware: daarbij worden de belangrijke (patiënt)gegevens versleuteld en moet er betaald worden (in niet te traceren bitcoin) voordat de sleutel wordt teruggegeven. Dat ligt er helaas niet alleen aan dat de beveiligingsmaatregelen op apparaat-niveau niet in orde is. Het zijn de mensen.

De mensen. De zwakste schakel in elk systeem. Phishing, waarbij je een e-mail krijgt met een echt ogende link, heeft inmiddels een upgrade gekregen naar spearfishing, waarbij er persoonlijke gegevens uit een algemeen beschikbaar profiel (LinkedIn, Facebook etc.) wordt gebruikt om een nepmail dusdanig te personaliseren dat het allemaal klopt. Dat kost wat meer moeite, maar als je eenmaal iemand hebt ben je in het netwerk en kun je als hacker echt aan het werk. In het MKB is het nog makkelijker, want daar is de beveiliging an sich al vaak nauwelijks aanwezig of van deze tijd.

Niet verstoppen

Datzelfde principe wordt ook steeds meer gebruikt in het bankwezen, een van de weinige sectoren die de zaken wat security betreft wel op orde heeft. Dan is de klant zelf de zwakste schakel en daar wordt dankbaar gebruik van gemaakt. Dezelfde truc halen spionerende bedrijven en landen ook uit, maar daar zullen we niet snel last van hebben als privépersoon.

Waar we wel last van hebben is falende digitale infrastructuur, maar dat is het goede nieuws aan deze litanie van ellende: effectief valt de schade (nog) mee. We kunnen er nog steeds van uitgaan dat het allemaal wel in orde is met onze gegevens bij de digitale diensten die we in ons dagelijks leven gebruiken. Dat er echter snel wat meer bewustwording moet gaan ontstaan bij de grote organisaties die dat voor ons regelen, dat is een ding dat zeker is. En, voor alle zekerheid: nog niet beginnen aan het internet of things, want niets is lekker dan dat.

Patrick Smeets

Game-enthousiast, tech blogger en presentator. Was ooit rockster. Local celebrity in Limburg maar ziet graag veel van de wereld. Er zijn niet genoeg kattenGIFjes in de wereld.

...

Verder lezen over Security

Eerst checken, dan bestellen: Klik niet meteen op die bestelknop!

We gaan in sneltreinvaart richting de feestdagen. Black Friday, Cyber Monday, Sinterklaas en Kerstmis volgen elkaar in rap tempo op. En dus gaan we ook met zijn allen weer op zoek naar de leukste cadeaus en scherpste aanbiedingen. Maar daar spelen ook kwaadwillenden slim op in. En dus komt Autoriteit Consument & Markt nu alvast met een waarschuwing voor onbetrouwbare webshops in aanloop naar de feestdagen.

Online31.10.2024

Eerst checken, dan bestellen: Klik niet meteen op die bestelknop!

Nieuwe campagne tegen onbetrouwbare webshops
Ransomwareaanvallen slagen nog steeds: 178 stuks in 2023

Niet alleen lokale documenten, ook clouddocumenten worden op slot gezet en een proces van chantage volgt: ransomware.

Cybercrime23.10.2024

Ransomwareaanvallen slagen nog steeds: 178 stuks in 2023

Pas op: er is een groot beveiligingslek in WordPress-plugin Jetpack

Het zit al sinds 2016 in Jetpack en het zorgt dat gebruikers die ingelogd zijn kunnen lezen wat er in ingediende formulieren staat.

Cybercrime15.10.2024

Pas op: er is een groot beveiligingslek in WordPress-plugin Jetpack

Deze week meerdere waarschuwingscampagnes over phishing: waarom?

Pas op voor phishing! Je wordt er volop door gewaarschuwd door meerdere campagnes, is dat wel zo effectief?

Cybercrime09.10.2024

Deze week meerdere waarschuwingscampagnes over phishing: waarom?

Unlock Digitale Weerbaarheid: leer online gevaren te herkennen

Jim Stolze is een campagne gestart om de digitale weerbaarheid van Nederlanders te vergroten. Samen met KPN, ING en Microsoft is het platform 'Unlock Digitale Weerbaarheid' opgezet, met gratis lessen die online en bij jou in de buurt gevolgd kunnen worden.

Cybercrime08.10.2024

Unlock Digitale Weerbaarheid: leer online gevaren te herkennen

Nee, LEGO raadt je niet aan de LEGO Coin te kopen

In ieder geval doet LEGO geen uitspraken over hoe dit is gebeurd. Het zegt alleen: “Op 5 oktober 2024 verscheen er kort een ongeautoriseerde banner op LEGO.com.'

Cybercrime07.10.2024

Nee, LEGO raadt je niet aan de LEGO Coin te kopen

Ben jij online op te lichten? Doe de gratis cursus Digitale Weerbaarheid

De gratis cursus is bedoeld om je bewuster te maken van wat er allemaal alarmbellen moet doen rinkelen in de toekomst.

Cybercrime02.10.2024

Ben jij online op te lichten? Doe de gratis cursus Digitale Weerbaarheid

Hoe bescherm je de data in je brein?

Het is niet ondenkbaar dat er straks ook mensen die geen lichamelijke beperkingen hebben met een breinchip rondlopen. Maar: hoe zorg je dat je breindata beschermd blijft?

Cybercrime30.09.2024

Hoe bescherm je de data in je brein?