Verdieping

Cybersecurity college: eerste hulp tegen hackers

0

Hoe kun je jezelf – en je bedrijf – beschermen tegen hackers en cybercriminelen? In deze maand van de cybersecurity zijn dat vragen die blijven gonzen. Er is steeds meer wetgeving die zaken voor ons regelt. Denk aan de GDPR / AVG. Maar nog niet alles houdt de snelle technologische ontwikkelingen bij. De schade die bij bedrijven kan worden aangericht met ‘gijzelsoftware’ is ook enorm. Goede reden om waakzaam te blijven en je te verdiepen in wat er aan te doen is.

‘Boeven vang je met boeven’ leren ze op de politieschool. Oftewel, als je je wil beschermen tegen online criminaliteit, moet je je verdiepen in de gedachtegang van de hacker. Die hackers heb je in alle soorten en maten. Daardoor wordt het al wat lastiger. De twee hoofdcategorieën zijn ‘white hats’ en ‘black hats’. We moeten voorzichtig zijn om er bij kleuren direct een stempel goed of fout op te drukken. In dit geval is de verklaring dat in de film The Great Train Robbery de boeven allemaal zwarte hoeden droegen. Dan snap je dat met white hats de goeden worden bedoeld. Uiteraard is er ook hier een (letterlijk) grijs gebied: de grey hats… Zij doen zaken die eigenlijk niet altijd mogen, maar soms ook voor het goede doel, als ethische hacker. Feitelijk om de cybersecurity te verhogen.

Verdiep je in de gedachtegang van hackers, om je tegen ze te beschermen.

Hacktivisten zijn dan weer hackers die hun eigen politieke of sociale doelen nastreven door dwars door de beveiliging heen te hakken. Dat is natuurlijk heel iets anders dan de Scriptkiddies of Skiddies die als ware vandalen systemen binnendringen om ze te verminken. Of in mooi jargon, te defacen: logo’s weghalen en er als graffitigabbers er hun eigen handtekening (tag) voor in de plaats te zetten. Die vallen in de categorie ‘black hats’, samen met de andere crackers.

Handleiding voor hackers?

Gaat het je al duizelen? Dan heb ik slecht nieuws voor je. Want dit is slechts een korte samenvatting van de eerste 10 pagina’s van het lijvige boek dat Arjan Dasselaar hierover schreef. De eerste helft van zijn boek (On)veilig online; bescherm jezelf tegen cybercrime en privacyschenders’ (affiliate), lijkt –  anders dan de titel doet vermoeden – eerder op een handleiding voor beginnende hackers. Na wat geschiedenislessen over het ontstaan en ontwikkeling van de hackercommunity, geeft Dasselaar uitgebreid uitleg over hoe hackers werken en welke tools en platformen hierbij gebruikt worden. Het geheel voorzien van alle benodigde websiteadressen.

Cybersecurity, privacy en hackers

Cybersecurity is een serieus onderwerp. Maar de auteur kan het niet laten om er in de bijschriften van foto’s de flauwste ‘papa-grappen’ over te maken…

Nadat in het derde kwart van het boek nog eens is benadrukt wat het belang van privacy is, stromen de pagina’s dan toch over van de tips en adviezen om jezelf te beschermen. Laten we eerst eens kijken naar privacy en waarom dat zo gevoelig ligt.

Privacy is een grondrecht

Ieder mens heeft recht op privacy. Dat is in de Nederlandse, maar ook in 150 andere grondwetten vastgelegd. Geen discussie over mogelijk, lijkt het dan. Maar in de praktijk werkt dat anders. Er zijn andere wetten en rechten die vereisen dat gegevens worden opgeslagen. Ook moet er natuurlijk een administratie worden gevoerd – al was het maar om belasting te kunnen innen – waarvoor persoonlijke informatie moet worden gedeeld.

Maar denk ook aan:

  • Gezondheidszorg. Vaak een mix van bedrijven, overheden en non-profits die vertrouwelijke gegevens moeten delen. Gaat dat altijd goed?
  • NGO’s – oftewel Goede Doelen. Doen zij allemaal even hard hun best om de gegevens die ze van je hebben te beschermen?
  • Bedrijven. Zoals al die webshops waar je bestellingen plaatst. Die weten veel van jou. Gaan ze daar altijd even zorgvuldig mee om?
  • Overheid. Zoals gemeld voor de ‘Basisregistratie Personen’. Maar in totaal zijn er wel 5.000 databases in gebruik bij de overheid. Soms met zeer gevoelige informatie.

Cybersecurity vs. concurrentiekracht

Bedenk daarbij dat die gegevens soms worden gebruikt voor een groter goed, zoals de binnenlandse veiligheid en bestrijding van criminaliteit. Inlichtingendiensten zoals de AIVD en MIVD hebben zo hun taken. Daarbij moeten ze natuurlijk gegevens over mensen vastleggen. Zorg voor cybersecurity staat daarbij hoog in het vaandel. Soms is de dataverzameling door bedrijven ook gewoon bedoeld om daar zelf beter van te worden. Om hun concurrentiekracht te verhogen.

Het boek beschrijft voorbeelden van bedrijven die het daardoor minder nauw nemen met de privacy. Microsoft, Amazon, Google en Apple kwamen al in het nieuws vanwege afluisterpraktijken. Daarbij gebruiken zij dan weer het excuus dat ze ‘meeluisteren’ met wat mensen thuis tegen hun digitale assistent roepen, om de kwaliteit van de spraakherkenning te verbeteren. Het boek beschrijft ook de affaire van Facebook met Cambridge Analytica. Voorbeelden van recente privacyschendingen zijn er dus te over. Zelfs zonder dat er hackers aan te pas komen.

Privacy en de Autoriteit Persoonsgegevens

De Autoriteit Persoonsgegevens (AP) waakt erover dat gegevens niet ten onrechte worden bewaard of verkeerd worden gebruikt. De Algemene Verordening Gegevensbescherming (AVG) helpt daarbij. Hierin zijn de grondslagen vastgelegd die bedrijven toestaan om naar personen herleidbare gegevens op te slaan, namelijk:

  1. Ze hebben toestemming gekregen van de persoon om wie het gaat.
  2. De gegevens zijn noodzakelijk om de overeenkomst uit te voeren.
  3. Ze moeten de gegevens verwerken omdat dit wettelijk verplicht is.
  4. Met de verwerking van gegevens zorgen voor bescherming van vitale belangen.
  5. Ze oefenen er een taak van algemeen belang of openbaar gezag uit.
  6. Het is noodzakelijk om een ‘gerechtvaardigd belang’ te behartigen.

Ze hebben daarbij nog wel altijd een verantwoordingsplicht en een meldplicht. Ze moeten dus laten weten welke zaken ze vastleggen en aantonen dat dit noodzakelijk is. Het mogen natuurlijk geen hapklare brokken voor hackers worden. Daarnaast moeten ze als het om zeer gevoelige informatie gaat, vooraf een ‘impact assessment’ doen en indienen bij de AP. Tot slot moet er een functionaris gegevensbescherming worden aangesteld, die vragen kan beantwoorden over de data-processen. Als ‘burger’ heb je vervolgens recht op: inzage, rectificatie, dataportabiliteit, recht van bewaar en recht om vergeten te worden.

Cybersecurity: wat kun je zelf doen?

De wetten en instanties zijn natuurlijk prima, maar ook hier geldt: een veiligere wereld begint bij jezelf. Wat kun jij zelf doen om aanvallen van hackers te voorkomen? Ook daarvoor geeft het boek een waslijst aan hints en tips. Hieronder een selectie. Je kunt natuurlijk denken aan allerlei beschermende soft- en hardware, maar cybersecurity begint gewoon bij je eigen beveiligingsbewustzijn.

Geloof nooit zomaar wat je op internet leest of in een mailtje. Zeker niet als het dramatisch is.

  1. Wachtwoordhygiëne. Gebruik sterke, lange wachtwoorden en verander ze regelmatig. Beter nog: gebruik tweestapsauthenticatie waar mogelijk.
  2. Backup-discipline. Liefst twee of drie, op verschillende locaties opgeborgen. Zo kun je het probleem van ransomware oplossen, als je computer ‘gegijzeld’ wordt.
  3. Afluisterbewust. Alles wat je op het internet uitwisselt, kan afgeluisterd worden. Gebruik daarom altijd een VPN-verbinding.
  4. E-mailscepsis. Klik nooit zomaar op een link in een e-mailtje. Voor je het weet zit je op een malafide website.
  5. Sociaal wantrouwen. Pas op voor ‘social engineering’, mensen die met gladde praatjes, zich vaak als een ander voordoend, proberen toegang tot systemen te krijgen.
  6. Veilige seks. Sluit niet zomaar vreemde compontenten (zoals USB-sticks) aan op jouw computer. Je weet nooit welk virus die bij zich dragen.
  7. Update-getrouwheid. Zorg dat je steeds de updates van software uitvoert. Hierin zit vaak nieuwe bescherming tegen ontdekte cybersecurity gaten.
  8. Sleutelliefde. Zorg voor anti-virus- en anti-malwareprogramma’s. Hierdoor geeft je hackers ook minder kans.

Hebben experts ook last van hackers?

Wordt het je allemaal wat te veel? Bedenk dan welke kosten en problemen jij of jouw bedrijf zou ondervinden als het echt misgaat. Nu we met zijn allen vrijwel doorlopend op allerlei manieren online zijn, moet het zorgen voor cybersecurity net zo vanzelfsprekend zijn als tweemaal daags je tanden poetsen. Als je het niet regelt, krijg je daar vroeg of laat last van.

Misschien is de lijst lang en kun je niet alles vanaf nu in 1 keer regelen. Schaam je niet, want ook de cybersecurity-experts die in het boek aan het woord komen, geven toe dat ze niet alles perfect geregeld hebben. Maar daar hebben sommigen ook wel een prijs voor betaald. Al was het maar doordat hackers een paypal-account hadden gekraakt.

De experts gebruiken trouwens vaak Signal in plaats van WhatsApp om berichten te versturen. Een van hen zegt dat ze nooit last heeft gehad met cybersecurity of privacyschending, omdat ze het doet zonder Facebook-account. De vraag is natuurlijk of je zo strikt moet zijn om de hackers op afstand te houden.

Kopen of niet?

Andrew Dasselaar over Cybersecurity, Hackers en PrivacyWat is het eindoordeel over dit boekwerk? Het tiende al van journalist, schrijver en (gast)docent Andrew Dasselaar. Het is een redelijk gestructureerde bundeling van heel veel kennis op het gebied van privacybescherming en cybersecurity. Een leek wil gewoon weten wat hij of zij moet doen om veilig online te gaan. Daarvoor gaat het boek veel te diep. Een compacte versie met hints & tips zou daarvoor volstaan. Anderzijds: een bedrijf dat zich wil beschermen tegen allerlei soorten hackers, komt er niet met dit boek. Voor die doelgroep is het hoogstens een verklarende woordenlijst, om te snappen waar de in te huren consultants het over hebben.

Een beetje ‘vleesch noch visch’ dus, een soort ‘vegetarisch gehackt’, om maar aan te sluiten bij de flauwe grappen die er in de diverse bijschriften worden gemaakt. Een pluspunt is wel dat kopers van dit boek het e-book er gratis bij krijgen. Altijd handig voor onderweg. Dus, what the heck…  voor minder dan drie tientjes kun je je een hoop ellende besparen.