Survivalgids voor de Digitale Jungle

Na een lang en intensief traject is nu de finish in zicht: mijn nieuwe boek is bijna af. Het is heel veel werk geweest om informatiebeveiliging toegankelijk, beknopt en vooral correct neer te leggen op een manier dat je er in de praktijk ook echt mee aan de slag kunt. Met dank aan de inzet van veel goede experts. 

Wie met technologie in aanraking komt, heeft altijd een beveiligingsprobleem. Met de dagelijkse stroom aan berichten over de onveiligheid rond ICT rijst de vraag hoe je overleeft in de digitale jungle: persoonsgegevens moeten vertrouwelijk blijven, administraties kloppend zijn, websites en bedrijfsprocessen horen 24/7 te draaien. De problematiek komt overweldigend over. 

Dat hoeft niet. Door het op orde houden van de basishygiëne zijn veel rampen te voorkomen. Leer eenvoudig risico’s in kaart te brengen en maatregelen te nemen. Iedere organisatie kan stappen zetten om problemen te beheersen. In dit boek lees je wat je zelf kunt doen om beveiliging fors te verbeteren, risico’s in te schatten en te zoeken naar oplossingen. Neem zelf de regie, leer van de incidenten van anderen en laat je niet verlammen door de dreiging. 

Dit boek biedt een praktische, pragmatische insteek op het gebied van informatieveiligheid zonder het te oversimplificeren. We bannen de cybersecurityvoodoo uit en maken het thema beheersbaar. Schud het ‘dit is te moeilijk voor me’-gevoel van je af, steek de handen uit de mouwen en zoek de veilige kant van de grens van je kunnen op.

Wie het onderwerp serieus benadert, praat niet meer over cybercrime alsof het al te laat is. Je praat over beveiliging juist omdat het nog niét te laat is. Verbeter je kansen tegen spionnen, criminelen, hackers en ja, zelfs de digibeten. 

Verschijnt: 17 januari 2019

Het waren soms zware discussie met mijn sparringpartner Hans de Raad. Barbara Bulten (De Winter) deed de productie. En heel veel goede experts hebben mij enorm enorm geholpen. Veel dank aan mijn kritische reviewers V.A. (Victor) Angelier, André Beerten, Anne Jan Brouwer, Remco Groet, Peter Op ‘T Hof, Jule Hintzbergen, Kees Hintzbergen CISA, Mischa Rick van Geelen, Maaike Hielkema, Sebiastian Oort, Edwin Roovers, Carlo Seddaiu, Ivo Tamboer, Kato Vierbergen-Schuit, Walter van Wijk en Lodewijk van Zwieten voor hun zeer waardevolle feedback.

Het boek is op 17 januari gratis beschikbaar voor bezoekers van de Dag van de Data.

CYBER Charlatans

Donderdagavond ben ik gewezen op een passage in het boek ‘De Wereld van CYBERSECURITY en CYBERCRIME’, waarin de suggestie wordt gewekt dat ik tips zou hebben gegeven. Die suggestie is onjuist en onwaar. ‘Tips van Brenno de Winter’ is buiten mij om gemaakt en tegen mijn wil in het boek gekomen.

Wel ben ik gevraagd een citaat te leveren voor het boek. Ik heb daarvoor het manuscript gevraagd. Na het doorworstelen van een paar pagina’s heb ik de uitgever gezegd dat dit werk een verzameling onzin was. Natuurlijk heb ik geweigerd een citaat gegeven. De enige tip die ik heb gegeven is het niet uitbrengen van dit broddelwerk.

Het journalistieke probleem in twee keer breaking news

Al meer dan een jaar noem ik mezelf geen journalist meer. Vaak krijg ik de vraag waarom ik die keuze heb gemaakt. De exacte problematiek is lastig onder woorden te brengen. Maar vanochtend kwam opeens de perfecte illustratie toen ik twee maal brekend nieuws of digitaal ‘stop de persen’ ontving op mijn mobiel. Een bericht van een Nederlands en het andere bericht van een Brits medium:

Oefen eens een crisis rond een datalek met een serious game

Hoe goed bent u in staat een datalek te bestrijden als een hacker zijn slag heeft geslagen?  Hoe is het zelf te belanden in een heuse crisis? Test het uit tijdens een heuse crisisoefening. Een hacker heeft toegeslagen en eist nu een ‘beloning. U stapt in het crisiscentrum om samen met anderen mee te helpen de schade, gevolgen en verspreiden van gelekte gegevens tegen te gaan. Hoe leiden we een crisis in goede banen? Welke stappen gaan we zetten en in welke volgorde? Welke organisaties zijn nuttig en wat is een verspilling? Kunt uw klant tevreden houden?

Tijdens de serious game spelen deze en andere vragen een belangrijk rol. De spannende crisis die ongeveer 70 minuten duurt, voeren de deelnemers de regie over het afwikkelen van het datalek. Sta stil bij de vele aspecten, zoals techniek, juridische gevolgen, continuïteit van de organisatie en organisatiepolitiek.  De deelnemers bepalen welke rol communicatie, juridische zaken, technische beschikbaarheid, onderzoek, de justitiële keten en de ketenpartners krijgen. Tijdens de oefening zijn er allerlei verstoringen. Voor welke is aandacht en vooral voor welke interrupties niet? Met behulp van audioboodschappen, video’s, interacties en opdrachten ondergaat de groep de hack met al haar facetten. De oefening is een eigen productie gemaakt in samenwerking met het Centrum voor Informatiebeveiliging en Privacybescherming en de Informatiebeveiligingsdienst. Snel aan de slag, want de klok tikt door!

Een voorproefje met hoogtepunten ziet u hier:

Te gast bij Café Weltschmerz

“Wat er niet is, kan niet geopenbaard worden. In het NRC-onderzoek naar misstanden rond het persoonsgebonden budget (pgb) blijkt relevante informatie verdoezeld te zijn door deze nooit op papier te zetten. Daarmee is de Wet Openbaarheid van Bestuur (Wob) effectief buitenspel gezet. Zo ontstaan twee realiteiten: een werkelijkheid in documenten en een parallel universum in de praktijk. Bij de besteding van miljarden aan belastinggeld is dat niet wenselijk, maar helaas wel de dagelijkse praktijk. De Tweede Kamer en het ministerie van Binnenlandse Zaken laten het toezicht volledig schieten.”

Brenno de Winter is onderzoeker. Zijn onderwerp is IT en veiligheid. De Winter heeft ca. 2000 Wob (Wet openbaarheid bestuur) verzoeken gedaan. Er is volgens De Winter grote angst bij de overheid om documenten vrij te geven. Terwijl iedere burger in principe een beroep kan doen op de Wob blijkt dat de overheid het gebruik moedwillig frustreert. De overheid weigert bijvoorbeeld uit zichzelf aan te geven welke documenten er over een onderwerp aanwezig zijn en vervolgens worden bij aanvraag de documenten massaal geweigerd. Volgens De Winter kan je niet een maatschappelijk debat voeren bij het ontbreken van kennis over de inhoud. De overheid beroept zich bij weigering argumenten vaak op een waslijst van argumenten. Waarbij de risico’s voor de staatsveiligheid en de privacy van betrokken personen maar al te gemakkelijk centraal staan. Deze geheimzinnigheidscultuur maakt het onmogelijk hulp te verlenen bij organisaties die ontsporen, zoals bij de PGB en om te leren van fouten. Nederland is het enige land in Europa waarbij de informatie architectuur niet op orde is. Men weet niet welke documenten aanwezig zijn en het nazoeken en informeren daarover wordt gaandeweg gefrustreerd. Veel documenten worden daardoor niet gevonden of zelfs achtergehouden.

Een auto stelen door een beveiligingslek

ls je op vakantie gaat vanaf Schiphol kun je kiezen uit tientallen parkeerbedrijfjes die rondom de luchthaven opereren. Het idee is simpel; als je op reis gaat geef je je auto af, en als je terug komt wordt deze weer voorgereden. Je verwacht dat de auto veilig is terwijl jij ergens van de zon aan het genieten bent. Maar dat kan vies tegenvallen…

Beveiligingslek
Kassa kreeg een tip over een lek in de beveiliging van het reserveringssysteem bij de parkeerbedrijven van Airport Parking Solutions. Bij het openen van een reservering bleek het mogelijk om, met het veranderen van het reserveringsnummer in de URL, als buitenstaander door het gehele reserveringssysteem heen te lopen en alle voorgaande en huidige reserveringen te kunnen inzien.

De persoonsgegevens van tienduizenden parkeerders zijn hiermee onbedoeld openbaar geworden. Door het ontbreken van een beveiliging op de website dat buitenstaanders de toegang tot het systeem ‘aan de achterkant’ zou moeten ontzeggen, bleek het nu mogelijk om exact te kunnen zien wie er een reservering heeft gedaan voor welke auto en hoe lang deze persoon op vakantie is.

Brenno de Winter, onderzoeksjournalist en te gast in de studio, reageert op dit lek. Het is ernstig dat er zoveel persoonsgegevens op straat hebben gelegen, waar de mogelijkheid bestaat om kwaad te doen op het moment dat iemand duidelijk van huis is, volgens de Winter.

Vreemde auto ophalen
Vervolgens bleek ook nog dat de controle bij één van deze bedrijven bij het ophalen van een auto onvoldoende was. Enkel het laten zien van een uitgeprinte reservering bleek voldoende om de auto die op de reservering stond aangegeven mee te krijgen. Er werd niet om een legitimatiebewijs gevraagd.

Omdat het via het beveiligingslek mogelijk bleek om een willekeurige reservering uit te printen, besloten we de proef op de som te nemen bij het bedrijf Vip Parking, onderdeel van Airport Parking Solutions, en drie keer met een geprinte reservering uit het systeem een vreemde auto op te gaan halen. Alle drie de pogingen die Kassa deed om een auto op te halen met een geprint reserveringsticket van iemand anders, lukte.

 


Reactie eigenaar
De eigenaar van Airport Parking Solutions reageert geschrokken als wij hem op de hoogte stellen van onze bevindingen. Het lek was bij het bedrijf niet bekend, en volgens de eigenaar zijn de medewerkers van Vip Parking daarnaast ook geïnstrueerd om bij het afgeven van de auto om een identiteitsbewijs te vragen. Dat is in de drie gevallen dat wij een verkeerde auto ophaalden niet gebeurd. De eigenaar van Airport Parking Solutions, Karim Boukhidous, heeft in onze uitzending aangegeven geschrokken te zijn en heeft het lek gelijk gedicht. Daarnaast geeft hij aan de medewerkers extra geïnstrueerd te hebben over het verplicht controleren van de naam op het ticket en op het paspoort. Dit zou ervoor moeten zorgen dat er nooit meer een auto van iemand anders aan de verkeerde persoon meegegeven kan worden.

Brenno de Winter bevestigt dat het lek is gedicht. “De reserveringen zijn niet meer online toegankelijk. De reserveringen worden nu alleen via de mail gestuurd en dus alleen toegankelijk voor de juiste mensen. Het beveiligingslek is opgelost.”


Schiphol  
Rondom de luchthaven Schiphol zijn tientallen parkeerbedrijfjes actief die geen onderdeel zijn van Schiphol Airport, en niet vallen onder de officiële parkeergelegenheid van Schiphol. Lees hieronder de complete reactie van Amsterdam Airport Schiphol:

“Helaas wordt de naam Schiphol vaak gebruikt door allerlei bedrijven die parkeerdiensten aanbieden. Amsterdam Airport Schiphol heeft geen relatie met deze bedrijven en heeft daarmee geen invloed op hun bedrijfsvoering. Wij adviseren reizigers dan ook altijd het parkeren bij Schiphol zélf te boeken. Dit kan via de website van Schiphol (www.schiphol.nl). Dat is veilig en betrouwbaar. Als je daar kiest voor een valet dienst dan zorgen officiële Schiphol medewerkers ervoor dat je auto op een parkeerterrein of in een garage van Schiphol zelf wordt geparkeerd. Wanneer je terugkomt, liggen je sleutels klaar en staat je auto buiten op je te wachten bij vertoon van de bij aflevering getekende beheerovereenkomst en een geldig paspoort. De enige die de auto mee krijgt is gewoon de rechtmatige eigenaar.”