VNG ondersteunt gemeenten bij ICT-beveiliging

Gisteren gaven we al aan dat het met de beveiliging van veel overheidsinstellingen nog slecht gesteld is terwijl de overheid de boetes die ze op wil leggen aan bedrijven flink verhoogd. Ik vind nog steeds dat we met een publiek-private samenwerking moeten proberen de beveiliging van de BV Nederland te verhogen en zal zelf mijn steentje bijdragen door het volgende bericht onder jullie aandacht te brengen.

De Vereniging Nederlandse Gemeenten (VNG) gaat actief gemeenten ondersteunen om hun ICT-beveiliging beter op orde te krijgen. In oktober moet daarvoor een permanent bureau worden opgericht (bron).

Nu is het natuurlijk nog helemaal de vraag hoe serieus dit punt wordt opgepakt, maar er lijkt een begin te worden gemaakt en dat is al meer dan we jaren kunnen zeggen. Het is te hopen dat er niet over een nacht ijs wordt gegaan en dat er eerst goed nagedacht wordt over de structuur die we kunnen hanteren.

Dus niet direct met allerlei standaard lijstjes komen maar aangeven hoe gemeenten “in control” kunnen komen en hoe ze beter sturing kunnen geven. Het bestuur moet duidelijk gemaakt worden wat informatiebeveiliging is, hoe het samenhangt met risicomanagement en waar Compliance dan om de hoek kan komen kijken.

Dit initiatief is zowel een kans als een bedreiging. Pakken we het verkeerd aan dan zitten we nog jaren vast aan een imperfecte aanpak met alle gevolgen van dien. Het risico is dat we teveel gaan denken vanuit de beveiligingsmaatregelen zonder dat we de risico’s als uitgangspunt nemen. Als dat het geval wordt dan gaan er miljarden gespendeerd worden aan maatregelen die weinig bijdragen aan de echte informatiebeveiliging.

Misschien ken je het verloop met het zogenaamd voldoen aan SOx (Sarbanes-Oxley). Hierbij zijn ook miljarden verloren gegaan omdat we niet meer nadachten over het “waarom” maar gewoon domweg de maatregelen implementeerden “omdat het moest”. De “lessons learned” van SOx zouden we goed kunnen gebruiken om te onderzoeken waar we de beveiliging structureel beter kunnen regelen.

Ik ben heel benieuwd wat de aanpak zal zijn en welke partijen erbij betrokken zullen worden. Mij mogen ze altijd benaderen want mijn handen jeuken en ik heb nog wel wat interessante strategieën om het structureel beter in te regelen waarbij we niet uitgaan van de maatregelen maar juist van de risico’s. We houden het voor je in de gaten en zullen zien of ze deze kans oppakken of voorbij laten gaan.

Overheid heeft te weinig kennis van beveiliging

Hadden we het er gisteren nog over dat de overheid de boetes voor slechte beveiliging binnen bedrijven wil verhogen? Dan moeten ze eerst eens beginnen met het zelf goed organiseren van de beveiliging binnen die overheidsinstellingen.

De Nederlandse overheid heeft te weinig kennis van digitale beveiliging en geeft daarom slechte sturing. Dat concludeert de Onderzoeksraad voor de Veiligheid in een onderzoek dat gedaan werd naar aanleiding van de hack bij Diginotar…Ook is gekeken hoe beveiliging bij de overheid is geregeld. Daarom is ook gekeken naar beveiliging bij de Belastingdienst, de Sociale Verzekeringsbank en een aantal gemeenten. De Onderzoekraad concludeert dat bestuurders door gebrek aan kennis slechte sturing geven en dat de veiligheid bij de overheid fors verbeterd moet worden (bron).

Niets menselijks is de overheid dus vreemd. Wat wel vreemd is, is dat er gedreigd wordt met het opleggen van hoge boetes aan bedrijven die het slecht voor elkaar hebben terwijl ze de zaken zelf niet veel beter geregeld hebben.

De overheid moet hierin een voorbeeldfunctie vervullen. Zij moeten het beter voor elkaar hebben dan het gemiddelde bedrijf en zij moeten sturing geven aan de beveiliging binnen Nederlandse bedrijven. Natuurlijk zijn er best overheidsinstanties die zich hier mee bezig houden, maar blijkbaar krijgen die nog niet voldoende draagvlak om goed te adviseren. Ze hebben te weinig mandaat, te weinig mensen, te weinig kennis, te weinig budget of welke andere reden je dan ook kunt bedenken.

Wil de overheid de beveiliging echt op orde krijgen dan moeten ze vooraan lopen. Ze moeten aantonen hoe het dan wel beveiligd kan worden. Ze moeten de normen en kaders stellen. Ze moeten de vraagbaak zijn voor bedrijven die wel willen maar nog niet kunnen. Zolang dat niet gebeurd blijft het een lastig verhaal.

We kunnen dan hard roepen dat we de boetes verhogen maar ik zie liever dat we vanuit de overheid de organisaties helpen met duidelijke richtlijnen en kaders. Voor die bedrijven die het niet zelfstandig op kunnen pakken moeten we dan zorgen dat er hulp komt vanuit de overheid.

Ook hier geldt weer oorzaak en gevolg. We kunnen wel boetes opleggen maar ik zie liever dat we met zijn allen, in publiek-private samenwerking, proberen om allemaal veiliger te worden. Misschien een mooi onderwerp voor de aankomende verkiezingen? Of is dit toch niet sexy genoeg en te moeilijk uit te leggen aan “Henk en Ingrid”?

Regering wil boete slechte beveiliging verhogen

De regering wil de boete voor slechte beveiliging bij bedrijven die persoonsgegevens laten lekken opschroeven. Waar bedrijven in een concept-wetsvoorstel 200.000 euro boete konden krijgen, wordt dat in het definitieve voorstel 450.000 euro. De boete kan opgelegd worden aan elk bedrijf waarvan persoonsgegevens zijn uitgelekt (bron).

Hoe vaak horen we binnen bedrijven niet dat we die beveiligingsmaatregelen nemen omdat het nu eenmaal van de Compliance afdeling moet? Ik hoor het al jaren om me heen en het lijkt er op dat niemand zich meer afvraagt waarom Compliance er eigenlijk op controleert.

Nu zijn er natuurlijk Compliance afdelingen die zelf ook geen flauw idee hebben en die zich vergeten af te vragen waarom ze eigenlijk controleren. Maar er zijn ook veel competente Compliance medewerkers te vinden.

Laten we er iets verder op inzoomen. Er zijn regels om risico’s af te dekken. Als we kunnen achterhalen welke risico’s dat zijn dan kunnen we daar goede “controls” op zetten. We moeten dus niet langer controleren om te controleren maar we moeten controleren om risico’s af te dekken. Als wij goed voor ogen hebben welke risico’s dat zijn dan kunnen we dat aan de medewerkers uitleggen en dan wordt het voor iedereen een stuk duidelijker waarom we sommige beveiligingsmaatregelen nemen.

En, toegegeven, er zijn binnen bedrijven veel, heel veel, beveiligingsmaatregelen die niet terug te leiden zijn tot een risico. Daarom pleit ik zelf altijd voor minder maatregelen in plaats van meer maatregelen en alles dicht spijkeren.

Het gaat hier te ver om alles volledig uit de doeken te doen (daar kun je hele boeken over schrijven als het moet en je mag me altijd vragen dan kom ik het bij een bak koffie aan je toelichten). Zaak is wel dat we verder kijken dan onze neus lang is en laten we dan bovenstaand artikel als voorbeeld nemen.

Je zou kunnen denken dat we maatregelen nemen om te voorkomen dat we een boete krijgen (voor veel bedrijven is dit ook zo, het gaat om kosten en omzet). Maar het gaat ook om imago. Je wilt dus maatregelen nemen om je imago te beschermen. Dat is allemaal leuk en aardig, maar uiteindelijk gaat het er natuurlijk om dat je de gegevens van je klanten beschermd. Dat is de reden dat we beveiliging moeten inregelen en dan is het opleggen van boetes slechts een pressiemiddel om het voor elkaar te krijgen.

We moeten als bedrijven niet langer “compliant” willen zijn, nee, we moeten er naar streven om “in control” te zijn. Hiermee beschermen we de gegevens van onze klanten en voorkomen we dat we hoge boetes krijgen. Er is nog een lange weg te gaan en die weg begint bij het bewust worden van de zaken die we moeten regelen en met name het antwoord op de vraag: waarom we dat moeten regelen.

Politie valt verkeerde huis binnen wegens open WiFi

Er is veel discussie over het wel of niet beveiligen van je draadloze verbinding en er zijn talloze mensen die vinden dat de verbinding gewoon open moet staan zodat iedereen hem kan gebruiken. Daarbij moet je je als gebruiker natuurlijk altijd afvragen of jij wel van zo’n open verbinding gebruik wil maken, want wat wordt er bijvoorbeeld gemonitord als jij via zo’n open verbinding lekker zit te internetten (en te internetbankieren, chatten, etc.).

Maar goed, mensen die er bewust voor kiezen om hun verbinding open te zetten weten als het goed is ook wat hiervan de risico’s zijn. Prima, toch? Risico management is ook het bewust nemen van risico’s.

Erger wordt het als mensen niet weten hoe ze hun verbinding moeten beveiligen en als ze helemaal niet weten dat hun draadloze verbinding misbruikt kan worden. En dat laatste lijkt in onderstaand bericht het geval te zijn.

In Amerika is een SWAT-team het verkeerde huis binnengevallen omdat de inwoners een open WiFi-netwerk hadden staan. De politie van het Amerikaanse Evansville was een onderzoek gestart nadat iemand op Topix.com met verschillende bommeldingen en aanvallen tegen politieagenten dreigde. Het IP-adres van de reacties leidde naar het huis van de 18-jarige Stephanie Milan en haar grootmoeder. De twee zaten televisie te kijken toen het SWAT-team met flashbang-granaten het huis binnenstormde (bron).

Foutje, bedankt. Het is te hopen dat kleindochter en grootmoeder hun lesje hiermee hebben geleerd en dat ze toch enige beveiliging gaan zetten op hun internetverbinding. Als is het maar om te voorkomen dat dit SWAT-team over een paar maanden nog een keer de deur intrapt en flashbang-granaten naar binnen gooit.

Belg niet bezorgd om cybercriminaliteit

Dachten we dat het in Nederland al slecht gesteld was met het beveiligingsbewustzijn, dan kunnen onze zuiderburen er ook wat van.

Zes op de tien Belgen maakt zich weinig tot geen zorgen over computerbeveiliging en bescherming tegen virussen en spam. Dat blijkt uit de Unisys Security Index, die woensdag werd gepubliceerd. Meer dan de helft van de landgenoten is verder weinig of niet bezorgd over de veiligheid bij online shoppen of internetbankieren (bron).

Ja, zul je zeggen, maar dit zijn consumenten. Hoe zit het dan met de zakelijke Belgen? Ook daar kwam uit hetzelfde onderzoek een antwoord op.

De onverschillige houding van de gemiddelde Belgische internetconsument ten opzichte van beveiliging heeft ook effect op het bedrijfsleven. 46 procent van de werknemers zegt regelmatig vanop afstand in te loggen op het bedrijfsnetwerk. Daarbij denkt 20 procent helemaal niet aan veiligheid, verklaart 18 procent toegang te hebben tot documenten die ze voor hun werk eigenlijk niet nodig hebben en geeft 14 procent toe paswoorden aan collega’s door te spelen.

Nu heb ik zelf het onderzoek niet tot mijn beschikking. Maar dit lezende word ik toch wel benieuwd hoe dit zich verhoudt tot de Nederlanders. Dat het hier ook niet bijzonder gesteld is met het beveiligingsbewustzijn is bekend, maar scoren we nu juist beter of slechter dan de Belgen?

Blijkbaar is beveiligingsbewustzijn toch een wereldwijd probleem aan het worden. Er komen wel steeds nieuwe berichten in de media, maar die zullen misschien maar door een beperkte groep (vakgenoten) worden opgepikt. Het blijft dus een onderwerp waar niemand op zit te wachten en de vraag is hoe we dit nu voor eens en voor altijd gaan veranderen? Een interessante vraag, wat mij betreft, en ook ik heb daar geen pasklaar antwoord op. Blijkbaar maakt men zich niet zo druk, blijkbaar gebeurt er toch nog te weinig of blijkbaar is het toch nog een te-ver-van-mijn-bed-show.

Voorlopig blijft er dus werk aan de winkel en dan bedoel ik niet alleen maar technische beveiligingsmaatregelen, maar nu juist ook die initiatieven die zich richten op het verhogen van het bewustzijn: kennis, houding en gedrag.

De 5 soorten security professionals

Het is altijd leuk om te kijken of we categorieën aan kunnen brengen en of we iemand in zo’n hokje kunnen stoppen. Daarom halen we vandaag maar eens een bericht aan dat ons, security professionals, allemaal in dezelfde hokjes probeert te duwen. Lees het en kijk maar of je jezelf erin herkent.

Security professionals heb je in alle soorten en maten, maar volgens Shoaib Yousuf zijn er vijf typen die het vaakst voorkomen (bron).

  1. No Master
  2. By-The-Book Preacher
  3. Dinosaurus
  4. Technology-Solves-It-All
  5. Paranoid

Als ik het lijstje zo lees dan beloofd het weinig goed voor de professionals in ons vakgebied. En natuurlijk ken ik inderdaad collega’s die in een hokje te plaatsen zijn, maar gelukkig ken ik er veel meer die niet in deze hokjes passen. Nee, ik ken er ook een hoop die inderdaad gewoon logisch nadenken en hun bijdrage aan de organisatie waar ze voor werken willen leveren.

Eerlijk is eerlijk, ik herken mezelf niet zo goed in de genoemde categorieën, mocht jij jezelf er wel in herkennen dan ga ik er toch vanuit dat je die keuze bewust gemaakt hebt. Dan ben ikzelf natuurlijk reuze benieuwd waarom je voor die categorie gekozen hebt.

Maar goed, eerst een korte toelichting op de categorieën zodat je een keuze kunt maken:

  1. De “No Master”, iemand die alle initiatieven en ideeën in de naam van security afschiet. Deze personen vormen eerder een obstakel dan dat ze iets bijdragen.
  2. De ‘By-The-Book Preacher’. Iemand die de regeltjes tot het laatste detail opvolgt. “Je vindt honderden IT-security professionals die zo zijn. Er wordt niet naar de context gekeken, er wordt geen risico in kaart gebracht, het moet gebeuren omdat het boek of het beleid dit zo stelt”
  3. De ‘Dinosaurus’. Personen die alles al hebben meegemaakt en altijd een ‘FUD-verhaal’ vertellen om hun stelling kracht bij te zetten. “De dinosaurus is lastig te bestrijden, omdat ze alles al weten.”
  4. De “Technology-Solves-It-All” professionals. Mensen die denken dat technologie alles oplost.
  5. De “Paranoid” security professional. Volgens hem de gevaarlijkste en meest onzekere van alle security professionals.

In ieder geval kunnen we stellen dat het beeld dat men heeft van de security professionals niet erg rooskleurig is. Tijd om daar, met zijn allen een draai aan te geven. Doe je best en bewijs aan je omgeving dat je niet in een hokje te plaatsen bent.

Jongeren denken dat hun smartphone veilig is

Kijken we terug op de berichten van deze week, dan kunnen we concluderen dat het de week is geworden van de beveiliging van smartphones. Daarom kunnen we voor de vrijdag natuurlijk niet ineens overswitchen naar een ander onderwerp.

We sluiten deze week af met het volgende bericht:
Volgens onderzoek van Telecompaper heeft meer dan 60% van de Nederlandse jongeren in de leeftijdscategorie 15-29 jaar een smartphone. Dat zijn meer dan 1,8 miljoen jongeren. Volgens Juniper Research heeft minder dan 5% van hen deze smartphones beveiligd met een security software. Dat betekent dat ruim 1,7 miljoen Nederlandse jongeren een onbeschermde smartphone gebruiken (bron).

Jongeren spelen met hun smartphone alsof het niets is. Ze krijgen een paniekaanval als ze een keer hun telefoon vergeten zijn en doen dingen met die smartphone die een aantal van ons niet meer gaan begrijpen (geloof me, ikzelf heb er al moeite mee en reken mezelf toch echt nog niet tot de “ouderen”).

Lopen de “ouderen” onder ons inderdaad minder risico?
“De jongeren van nu voelen zich thuis op het internet en zien smartphones als een verlenging van hun computer. Nadeel is dat zij zo gewend zijn aan het online leven, dat zij er nauwelijks gevaar zien. Veel jongeren gaan nonchalant om met de beveiliging van hun computer, maar als het gaat om hun smartphone, zien zij zelfs nog minder gevaren.”

Het grote verschil zit hem denk ik in het gebruik van de smartphone. Voor degene die niet meer tot de jongeren behoren geldt misschien dat de smartphone ook nog echt een telefoon is. Een telefoon met wat extra functionaliteiten (zoals SMS, Email, etc.). Voor de jongeren geldt het echter als een verlengstuk van de computer.

De computer en smartphone staan continu met elkaar in verbinding en als we op Facebook willen dan maakt het niet uit of we dat mobiel of achter een buro doen. De resultaten zijn hetzelfde. De jongeren gebruiken meer functionaliteiten en leven in een wereld waarbij 24/7 online heel gewoon is.

Het risico schuilt er in dat de jongeren zich er nog onvoldoende van bewust zijn. Ze zetten van alles en nog wat op internet maar vergeten dat die informatie jaren later ook nog is terug te vinden. Hier ligt een opvoedkundige taak en daar knelt de schoen.

Kids weten tegenwoordig meer van internet en smartphones dan hun ouders. En het zijn juist de ouders die er toezicht op moeten houden. Dat kun je doen door allerlei filters op een pc te installeren of je kunt je kids ver weg houden van smartphones, maar misschien is het goed om gewoon het gesprek met ze aan te gaan en ze te wijzen op de risico’s. Wie weet kun jij als ouder weer wat van de techniek, app’s en ontwikkelingen van je kids leren.

Wat je in ieder geval wilt voorkomen is dat je kind, als hij of zij later groot is, nog steeds geconfronteerd wordt met een foutje uit zijn of haar tienerjaren. Maak ze bewust, ga het gesprek met ze aan en zoek eens op internet naar voorbeelden van wat er kan gebeuren als het fout gaat. Dat maakt het al wat concreter voor ze en wie weet hebben ze zelf nog voorbeelden die ze jou kunnen laten zien.

Ik wens je daar in ieder geval veel sterkte mee…probeer ze maar eens bij te houden op deze highspeed digitale highway.

Beveiliging radioactief afval in Vlaamse Kempen niet in orde

Na het geval waarbij een koffer met informatie over spionage vliegtuigjes gestolen werd, gaan we nog even verder met voorbeelden van hetgeen er allemaal in de analoge wereld gebeurt.

De beveiliging van de gebouwen waarin Belgoprocess in Dessel, over de grens bij Reusel, radioactief afval opslaat is niet in orde. Dat blijkt uit een inspectie van het Federaal Agentschap voor Nucleaire Controle (FANC). De inspecteurs stelden een reeks mankementen vast. Dat schrijft Het Belang van Limburg (hBvL) (bron).

Ja, zegt u het maar. Wat is er nu eigenlijk erger? Dat er email-adressen van 100.000+ klanten op internet gezet worden na een hack of dat we grote risico’s lopen met radioactief afval? Het antwoord hangt er natuurlijk vanaf in hoeverre het ons als persoon treft.

Stel dat je in Amerika woont en je email-adres is op straat gekomen. Dan vind jij dat als individu zeer waarschijnlijk een stuk erger dan dat er radio actief afval in verkeerde handen kan komen. Andersom: je zal in de buurt van Belgoprocess wonen. Dan maak jij je waarschijnlijk niet zo druk om dat email-adres van die Amerikaan.

Simpelweg kunnen we dus niet zomaar stellen dat het een erger is dan het ander. Dat hangt er helemaal vanaf aan wie je het vraagt. Feit is wel dat we naar de mogelijke gevolgen moeten kijken. Wat ik hiermee wil zeggen is dat we dergelijke informatie ook kunnen gebruiken bij het uitvoeren van onze risico analyses. We moeten dus altijd met gezond verstand kijken naar de inschatting van de kans en de impact die we van mensen ontvangen.

Raakt een risico een manager in een bedrijf bijvoorbeeld niet dan zal hij zich daar weinig zorgen over maken. Mocht zijn bonus er direct door in gevaar komen dan is het wellicht in eens een zeer belangrijk risico dat we moeten zien te beheersen. Daarom willen we bij het uitvoeren van een risico analyse ook meer mensen betrekken en de verschillende antwoorden combineren. Zo kunnen we zien welke risico’s voor onze organisatie nu echt belangrijk zijn.

Voor Belgoprocess zouden we in ieder geval aan het standaard risico lijstje toe kunnen voegen de risico’s op diefstal van radio actief materiaal, maar natuurlijk ook het op straat raken van de email-adressen. Welke kans en impact daarbij horen mogen ze dan zelf bepalen.

Lijkt vrij logisch, toch? Dat ze dergelijke issues meenemen in hun risico analyse? Ja, dat zou je inderdaad mogen verwachten, maar: Een jaar geleden tikte FANC het bedrijf al eens op de vingers vanwege ontoereikend management.

Als dergelijke organisaties het al niet in de klauw hebben, dan maak ik mij grote zorgen over andere organisaties. Stel dat bedrijven die de bruggen en sluizen van Nederland bewaken er ook zo slecht mee om gaan…oh, wacht, dat is ook al een feit gebleken de afgelopen weken. We houden het nieuws weer in de gaten en als je weer ergens voor gewaarschuwd moet worden, dan lees je dat hier.

Hoogleraar: ‘Bedrijven denken te licht over beveiliging’

NIJMEGEN – Veel bedrijven denken te licht over het online beveiligen van klantgegevens. Dat zei hoogleraar computerbeveiliging Bart Jacobs van de Radboud Universiteit in Nijmegen dinsdag. Volgens Jacobs moeten bedrijven bij het opzetten van een ICT-project er rekening mee houden dat een kwart van het budget moet worden geïnvesteerd in het beveiligen van de website en daarbij de klantgegevens. (bron)

Als een hoogleraar het zegt dan zal het wel waar zijn, toch? En deze hoogleraar kan ik natuurlijk alleen maar bijvallen. Er wordt inderdaad te licht gedacht over beveiliging en daar moet vanaf heden verandering in komen. Tenminste als het aan mij ligt, maar dat roep ik natuurlijk al jaren en dat blijf ik ook roepen. Op een gegeven moment moeten anderen dat dan toch overnemen?

Veelal zien we trouwens dat beveiliging nog steeds niet begrepen wordt. De gevolgen uiten zich dan inderdaad in een beveiligingsincident, maar de oorzaken liggen meestal buiten het vakgebied. Incidenten worden bijvoorbeeld veroorzaakt door onbekendheid met beveiliging, door gebrek aan patchmanagement, door bezuinigingen op de verkeerde gebieden en ga zo nog maar even door.

Natuurlijk moeten we niet de hele beveiliging in 1x volledig dicht willen timmeren. Dat is ook helemaal niet nodig (en enorm kostbaar). Wat we wel kunnen doen is ervoor zorgen dat we bij alle nieuwe ontwikkelingen beveiliging ook meenemen. Dat doen we niet door uit te gaan van de beveiligingsmaatregelen, maar door de risico’s die we af willen dekken. Doen we dat op de juiste manier dan zullen we minder en minder risico’s lopen (nieuwe zaken zijn immers al redelijk beveiligd).

Vervolgens kijken we naar alle zaken die we nu al in beheer hebben. Daarbij kijken we goed naar de meest kritische bedrijfsprocessen en de daarbij behorende kritische informatiesystemen (uiteraard in termen van: beschikbaarheid, exclusiviteit en integriteit). Op basis daarvan kunnen we dan ook de grootste risico’s in de operatien wegnemen.

Zo werken we het “achterstallig” onderhoud weg en voorkomen we dat onveilige systemen in productie gaan. De komende jaren zorgen we er steeds voor dat er meer en meer bestaande systemen beter beveiligd worden en over een aantal jaar hoeven we ons al een stuk minder zorgen te maken.

Maar, zoals gezegd, zijn de oorzaken voor de beveiligingsincidenten vaak gelegen buiten het vakgebied. We moeten dus zorgen voor zogenaamd “goed huisvaderschap”. Daar profiteert niet alleen de beveiliging van maar het zorgt er ook voor dat we op andere gebieden “in control” raken. Sterker nog, het zou zomaar zo kunnen zijn dat hierdoor ook de efficiëntie binnen de organisatie toeneemt.

Vergezocht? Nou, dat valt volgens mij wel mee. Kijk nog even naar patchmanagement. Dat zorgt er niet alleen voor dat de systemen voorzien zijn van de laatste patches, maar zorgt er ook nog eens voor dat nieuwe functionaliteiten in de systemen worden doorgevoerd. Je werkt toch ook niet meer met wordPerfect 6.1? Nee, je bent inmiddels gewend geraakt aan de nieuwst Office versie van Microsoft en die heeft het voor een berg mensen makkelijker gemaakt om brieven te typen, toch?

Nou dan, waarom zorgen we er dan niet voor dat we voor andere systemen ook over de laatste patches beschikken? Komt het omdat we het niet weten of omdat we het niet willen? Zo zie je maar, de gevolgen uiten zich als beveiligingsincident maar de oorzaken liggen ergens anders.

Nederlanders niet goed beveiligd op internet

Het is ernstig gesteld met de online beveiliging in Nederland. Ondanks dat 83 procent van de Nederlanders een antivirusprogramma op zijn computer heeft geïnstalleerd, is dat slechts een deel van de oplossing van het probleem. Niet meer dan de helft van de Nederlanders kijkt naar de betrouwbaarheid van een website en slechts een kwart heeft voor iedere account of profiel op internet een apart wachtwoord (bron).

Natuurlijk kunnen we bij alle hacks de schuld blijven geven aan de bedrijven en ja, ze mogen, nee, sterker nog: ze moeten daar veel meer aan doen. Maar hebben we zelf, als consument ook niet een beetje schuld? Moeten we niet ook eens naar onszelf kijken en bedachtzaam zijn?

Mochten jouw gegevens via een gehackte site inderdaad uitlekken dan hoef je daar niet echt van wakker te liggen als je op die site een ander profiel hebt aangemaakt. Maar ja, gebruik je overal dezelfde inlognaam en eenzelfde wachtwoord dan wordt het verhaal natuurlijk al anders. Dan ben je inderdaad een stuk vatbaarder.

Ben je dus weer eens online aan het shoppen en moet je ergens een inlognaam en wachtwoord opgeven. Maak dan geen gebruik van de combinatie die je ook bijvoorbeeld gebruikt om bij je emails te kunnen. En voor diegene die het allemaal maar ingewikkeld vinden om voor iedere site een andere inlognaam en wachtwoord te bedenken, die kunnen het natuurlijk ook altijd nog combineren.

Bedenk een inlognaam en wachtwoord voor al die sites waar je wel eens winkelt. Wordt een van die sites gehackt dan beschikken ze inderdaad over die combinatie. En ja, dan kunnen ze misschien nagaan wat je allemaal online gekocht hebt. Maar bij je email kunnen ze niet en bestellen onder jouw naam wordt ook al een stuk lastiger omdat er toch een keer betaald moet worden.

Wat ik alleen maar wil zeggen, is dat we schuld echt niet alleen bij de websites neer kunnen leggen. Wijzelf hebben ook nog een verantwoordelijkheid. Als we die nu eerst eens nemen en daarna met wat wantrouwen het internet opgaan dan zijn we al een stuk veiliger. Wordt een website dan toch gehackt dan hoeven wij er niet echt wakker van te liggen. We hoeven dan alleen onze inlognaam en ons wachtwoord te wijzigen en kunnen weer vrolijk verder winkelen.

Een gewaarschuwd mens telt nog steeds voor twee. Voordat we wijzen naar de ander moeten we voor onszelf de vraag beantwoorden hoe we onszelf veilig houden op internet.