Patrick Smeets
Game-enthousiast, tech blogger en presentator. Was ooit rockster. Local celebrity in Limburg maar ziet graag veel van de wereld. Er zijn niet genoeg kattenGIFjes in de wereld.
Vandaag werd voor de zoveelste keer bevestigd dat Nederland een grove inschattingsfout heeft gemaakt. Deze laatste waarschuwing werd gedaan door een onderzoek van het Rathenau Instituut: onze overheid en de Nederlandse bedrijven zijn onvoldoende beschermd tegen cyberdreigingen. Natuurlijk zijn ze onvoldoende beschermd. Ze zijn het overzicht een beetje kwijt, net zoals wij als gebruikers dat zijn.
De manier waarop we collectief met onze data omgaan is in de laatste paar jaar zo dramatisch veranderd dat het niet bij te houden is. Grote bedrijven en de overheid zijn allemaal net een beetje bij met de clouddiensten die hun oh zo belangrijke data veilig ergens hebben opgeslagen, met dagelijkse backups. De betere hebben ook een goede manier om werknemers en/of klanten op een relatief veilige manier op afstand te laten inloggen en eventueel zelfs al een partner gevonden die hen beschermt tegen DDoS-aanvallen (mitigatie, heet die business officieel). Dat moet ook, want tegenwoordig kun je als cybercrimineel alle soorten aanvallen gewoon inhuren.
Alles is ingewikkeld
Dat zijn allemaal belangrijke stappen, zeker omdat een groot deel van de interactie van precies die bedrijven en de overheid met ons als klanten digitaal is. Burgers tellen we gewoon even als klanten van de overheid om het simpel te houden. Dat betekent dat er dus aan twee kanten beveiligd moet worden: intern, maar ook vanuit ons perspectief als klant. We laten onze gegevens achter op de servers van die partijen en we moeten er vanuit kunnen gaan dat dit goed gaat.
Sterker nog: dat doen we gewoon. Als er één ding duidelijk is geworden over de verregaande digitalisering van Nederland dan is het wel dat wij als gebruikers er maar de hele tijd van uitgaan dat alles goed gaat. Horrorverhalen over LinkedIn, Dropbox of Yahoo die gehackt worden, waarbij gebruikersgegevens meegenomen worden die daarna worden verkocht aan illegale bieders, lijken een ver-van-mijn-bed show, want specifiek die diensten “gebruik ik toch niet.”
DigiD en ander geld
Maar onze gegevens, hier in Nederland, zijn vast veilig. Niet dus. Echt niet. Het onderzoek van Rathenau laat zien dat bijvoorbeeld DigiD, de manier waarop we allemaal digitaal met de overheid verbinden, in de check van 2016 nog steeds niet veilig genoeg was om aan de normen voor informatiebeveiligingseisen van het Nationaal Cyber Security Centrum te voldoen.
Nu wordt dat nog serieus genomen, maar het probleem zit ‘m er in dat steeds meer systemen op elkaar aangesloten zijn. Verschillende ministeries hebben verantwoordelijkheid voor verschillende onderdelen en dat wordt natuurlijk niet op één en dezelfde lijn gestuurd. Hoe verder naar beneden in de keten je komt, hoe meer dat de centen ook gaan meespelen. De goedkoopste bieder krijgt de klus en bij noodlijdende gemeentes wordt het soms helemaal overgeslagen.
De echte zwakke schakel
Bij grote bedrijven en instanties is het niet anders. Vooral de zorg lijkt erg kwetsbaar. Niet voor niks hoor je vaak dat ziekenhuizen slachtoffer worden van ransomware: daarbij worden de belangrijke (patiënt)gegevens versleuteld en moet er betaald worden (in niet te traceren bitcoin) voordat de sleutel wordt teruggegeven. Dat ligt er helaas niet alleen aan dat de beveiligingsmaatregelen op apparaat-niveau niet in orde is. Het zijn de mensen.
De mensen. De zwakste schakel in elk systeem. Phishing, waarbij je een e-mail krijgt met een echt ogende link, heeft inmiddels een upgrade gekregen naar spearfishing, waarbij er persoonlijke gegevens uit een algemeen beschikbaar profiel (LinkedIn, Facebook etc.) wordt gebruikt om een nepmail dusdanig te personaliseren dat het allemaal klopt. Dat kost wat meer moeite, maar als je eenmaal iemand hebt ben je in het netwerk en kun je als hacker echt aan het werk. In het MKB is het nog makkelijker, want daar is de beveiliging an sich al vaak nauwelijks aanwezig of van deze tijd.
Niet verstoppen
Datzelfde principe wordt ook steeds meer gebruikt in het bankwezen, een van de weinige sectoren die de zaken wat security betreft wel op orde heeft. Dan is de klant zelf de zwakste schakel en daar wordt dankbaar gebruik van gemaakt. Dezelfde truc halen spionerende bedrijven en landen ook uit, maar daar zullen we niet snel last van hebben als privépersoon.
Waar we wel last van hebben is falende digitale infrastructuur, maar dat is het goede nieuws aan deze litanie van ellende: effectief valt de schade (nog) mee. We kunnen er nog steeds van uitgaan dat het allemaal wel in orde is met onze gegevens bij de digitale diensten die we in ons dagelijks leven gebruiken. Dat er echter snel wat meer bewustwording moet gaan ontstaan bij de grote organisaties die dat voor ons regelen, dat is een ding dat zeker is. En, voor alle zekerheid: nog niet beginnen aan het internet of things, want niets is lekker dan dat.
Verder lezen over Security
Cybercrime15.04.2024
Bescherm jij je online identiteit wel genoeg?
Gaming28.03.2024
Zo omzeil je drukke servers in Call of Duty
Online18.03.2024
Digitaal mijmeren: Zullen AI’s op het internet op enig moment ontwaken?
Mogelijk ontwikkelen AI's een vorm van gedecentraliseerd interactiviteitsbewustzijn
Online15.02.2024
Je AI-geliefde is onbetrouwbaar: onveilig en uit op geld
Doe het veilig
Cybercrime12.02.2024
Nieuwe techniek haalt door muren heen data van je camera’s
Cybercrime06.02.2024
Safer Internet Day: 5 tips om veiliger te internetten
Cybercrime05.02.2024
Consumenten bezuinigen op kosten, maar helaas ook op privacy en security
Online29.01.2024