Nederlanders zijn online helemaal niet veilig, wat ze ook doen

Nederlanders zijn online helemaal niet veilig, wat ze ook doen

Vorig artikel Volgend artikel

Vandaag werd voor de zoveelste keer bevestigd dat Nederland een grove inschattingsfout heeft gemaakt. Deze laatste waarschuwing werd gedaan door een onderzoek van het Rathenau Instituut: onze overheid en de Nederlandse bedrijven zijn onvoldoende beschermd tegen cyberdreigingen. Natuurlijk zijn ze onvoldoende beschermd. Ze zijn het overzicht een beetje kwijt, net zoals wij als gebruikers dat zijn.

De manier waarop we collectief met onze data omgaan is in de laatste paar jaar zo dramatisch veranderd dat het niet bij te houden is. Grote bedrijven en de overheid zijn allemaal net een beetje bij met de clouddiensten die hun oh zo belangrijke data veilig ergens hebben opgeslagen, met dagelijkse backups. De betere hebben ook een goede manier om werknemers en/of klanten op een relatief veilige manier op afstand te laten inloggen en eventueel zelfs al een partner gevonden die hen beschermt tegen DDoS-aanvallen (mitigatie, heet die business officieel). Dat moet ook, want tegenwoordig kun je als cybercrimineel alle soorten aanvallen gewoon inhuren.

De laatste jaren is tevens een professionele criminele dienstensector ontstaan op het gebied van cybercrime. Met behulp van deze diensten (cybercrime-as-a-service) kunnen ook minder vaardige criminelen aanvallen uitvoeren.
- Onderzoek Rathenau Instituut

Alles is ingewikkeld

Dat zijn allemaal belangrijke stappen, zeker omdat een groot deel van de interactie van precies die bedrijven en de overheid met ons als klanten digitaal is. Burgers tellen we gewoon even als klanten van de overheid om het simpel te houden. Dat betekent dat er dus aan twee kanten beveiligd moet worden: intern, maar ook vanuit ons perspectief als klant. We laten onze gegevens achter op de servers van die partijen en we moeten er vanuit kunnen gaan dat dit goed gaat.

Sterker nog: dat doen we gewoon. Als er één ding duidelijk is geworden over de verregaande digitalisering van Nederland dan is het wel dat wij als gebruikers er maar de hele tijd van uitgaan dat alles goed gaat. Horrorverhalen over LinkedIn, Dropbox of Yahoo die gehackt worden, waarbij gebruikersgegevens meegenomen worden die daarna worden verkocht aan illegale bieders, lijken een ver-van-mijn-bed show, want specifiek die diensten "gebruik ik toch niet."

bewustwording

DigiD en ander geld

Maar onze gegevens, hier in Nederland, zijn vast veilig. Niet dus. Echt niet. Het onderzoek van Rathenau laat zien dat bijvoorbeeld DigiD, de manier waarop we allemaal digitaal met de overheid verbinden, in de check van 2016 nog steeds niet veilig genoeg was om aan de normen voor informatiebeveiligingseisen van het Nationaal Cyber Security Centrum te voldoen.

Nu wordt dat nog serieus genomen, maar het probleem zit 'm er in dat steeds meer systemen op elkaar aangesloten zijn. Verschillende ministeries hebben verantwoordelijkheid voor verschillende onderdelen en dat wordt natuurlijk niet op één en dezelfde lijn gestuurd. Hoe verder naar beneden in de keten je komt, hoe meer dat de centen ook gaan meespelen. De goedkoopste bieder krijgt de klus en bij noodlijdende gemeentes wordt het soms helemaal overgeslagen.

health-1

De echte zwakke schakel

Bij grote bedrijven en instanties is het niet anders. Vooral de zorg lijkt erg kwetsbaar. Niet voor niks hoor je vaak dat ziekenhuizen slachtoffer worden van ransomware: daarbij worden de belangrijke (patiënt)gegevens versleuteld en moet er betaald worden (in niet te traceren bitcoin) voordat de sleutel wordt teruggegeven. Dat ligt er helaas niet alleen aan dat de beveiligingsmaatregelen op apparaat-niveau niet in orde is. Het zijn de mensen.

De mensen. De zwakste schakel in elk systeem. Phishing, waarbij je een e-mail krijgt met een echt ogende link, heeft inmiddels een upgrade gekregen naar spearfishing, waarbij er persoonlijke gegevens uit een algemeen beschikbaar profiel (LinkedIn, Facebook etc.) wordt gebruikt om een nepmail dusdanig te personaliseren dat het allemaal klopt. Dat kost wat meer moeite, maar als je eenmaal iemand hebt ben je in het netwerk en kun je als hacker echt aan het werk. In het MKB is het nog makkelijker, want daar is de beveiliging an sich al vaak nauwelijks aanwezig of van deze tijd.

Binnen het MKB is de basisbeveiliging vaak niet op orde. Er worden geen sterke wachtwoorden gebruikt, beveiligingssoftware wordt onregelmatig geüpdatet, en er worden onvoldoende back-ups van belangrijke bestanden gemaakt.
- Onderzoek Rathenau Instituut

Niet verstoppen

Datzelfde principe wordt ook steeds meer gebruikt in het bankwezen, een van de weinige sectoren die de zaken wat security betreft wel op orde heeft. Dan is de klant zelf de zwakste schakel en daar wordt dankbaar gebruik van gemaakt. Dezelfde truc halen spionerende bedrijven en landen ook uit, maar daar zullen we niet snel last van hebben als privépersoon.

Waar we wel last van hebben is falende digitale infrastructuur, maar dat is het goede nieuws aan deze litanie van ellende: effectief valt de schade (nog) mee. We kunnen er nog steeds van uitgaan dat het allemaal wel in orde is met onze gegevens bij de digitale diensten die we in ons dagelijks leven gebruiken. Dat er echter snel wat meer bewustwording moet gaan ontstaan bij de grote organisaties die dat voor ons regelen, dat is een ding dat zeker is. En, voor alle zekerheid: nog niet beginnen aan het internet of things, want niets is lekker dan dat.

Patrick Smeets

Game-enthousiast, tech blogger en presentator. Was ooit rockster. Local celebrity in Limburg maar ziet graag veel van de wereld. Er zijn niet genoeg kattenGIFjes...

Reageren is uitgeschakeld omdat er geen cookies opgeslagen worden.

Cookies toestaan Meer informatie over cookies