Die vraag kwam bij mij op toen ik mijn collega spreker gepassioneerd en met een enorme kennis over cybersecurity hoorde spreken op '15 Shapes of Finance'. Natuurlijk wist hij zijn publiek bestaande uit cfo’s en accountants enorm te boeien.
Maar voor jou en mij in de rol van softwaregebruiker is het misschien te moeilijk om te snappen wat ict’ers bedoelen als ze het over cybersecurity hebben. Dat zou de verklaring kunnen zijn waarom veel organisaties niet voortvarend genoeg cybersecurity oppakken, terwijl ze dit echt zouden moeten doen. Laten we daarom de uitleg eens dichter bij huis zoeken en laten we ons ict-jargon achterwege.
Cybersecurity dicht bij huis
Ik bedoel letterlijk dicht bij huis. Iedereen die een pc, laptop of tablet heeft, verkeert in de gelukkige omstandigheid dat hij of zij in een flat, appartement of huis woont. Cybersecurity is feitelijk niets anders dan het beveiligen van je waardevolle bezit dat zich in huis bevindt. Ieder woonverblijf heeft een deur, er bevinden zich waardevolle zaken in en je zou voor geen goud je waardevolle zaken kwijt willen.
We doen dus moeite om als een goede huisvader (juridische term) te voorkomen dat onbevoegden deze zaken meenemen. We beveiligen ons huis met één of meerdere sloten van matige tot zeer goede kwaliteit. Er bestaat het SKG-keurmerk met één tot drie sterren die aangeven wat de kwaliteit van een slot is, zodat je kunt zien hoe jij je huis beveiligd hebt. Als we ons huis verlaten, sluiten we het huis af en gaan met een gerust hart op pad. En soms vergeten we een bovenluikje te sluiten. Op dat moment geven we een dief de gelegenheid om bij ons in te breken!
Dat is simpel, dat weten we allemaal. Er zijn filmpjes, folders en de overheid waarschuwt ons.
Waarom is ICT zo moeilijk?
Ik ben ervan overtuigd dat als iedereen cybersecurity begrijpt, veel meer mensen hun computers tegen cybercrime zouden beveiligen. Laten we het daarom simpel houden en de vergelijking tussen de beveiliging van ons huis en beveiliging van onze hardware en de bestanden en folders maken.
Als we starten om informatie te verwerken, zetten we de voordeur open om informatie binnen te laten. Wij vertrouwen erop dat de informatie van een bekende gast komt. We hebben immers via onze beveiliging van de provider ingelogd en als we inloggen op een Office365, AWS, Google account enzovoort dan vertrouwen wij erop dat de provider alles aan zijn beveiliging heeft gedaan dat in zijn vermogen ligt. Hetzelfde vertrouwen hebben wij in een de politie waar een mol ruime tijd zijn gang kon gaan….
We laten de gast in onze pc of laptop (huis) en als de gast even elders moet zijn dan laten we deze zijn gang gaan. We hebben er geen zicht op als hij de kamer verlaat en of naar de gang, naar het toilet of naar de andere kamers gaat om rond te neuzen. In dit geval kan de kwaadwillende in jouw computer door alle kamers(folders) neuzen en met slimme software dingen vinden waarvan jij dacht dat ze goed verborgen en beveiligd waren. Dus als onze computergast malware meeneemt zonder dat wij een goede beveiliging hebben, kan deze malware zaken ernstig verstoren.
Onze juwelen en andere kostbaarheden hebben we niet zomaar in het huis rondslingeren. Die hebben we verborgen. In onze hardware zijn onze juwelen zoals bestanden, foto’s en andere zaken direct vindbaar door gebruik van allerlei malware.
Cybersecurity-termen
Ik heb een tabelletje gemaakt om termen uit het huis met cybersecurity-termen te vergelijken:
|
Huis term |
Cybersecurity term |
|
|
Voordeur |
Backdoor |
Een mogelijkheid om binnen te komen in hardware |
|
Slot |
Firewall |
De beveiliging om derden de toegang te belemmeren |
|
Kamer |
Folder |
Compartimentering van de informatie vergelijkbaar met kamers in een huis. Sommige kamers heb je voorzien van een slot, andere niet. De folders kun je bijvoorbeeld apart beveiligen of encrypten |
|
Wijkteam |
Security bij de provider |
Rijdt er regelmatig politie rond, of hebben jullie een buurtwacht versus: Staat de hardware van de provider als Microsoft, AWS, Google in streng bewaakte datacenters of staat jouw data bij de accountant op de server? |
|
Keurmerk van sloten |
Certificaten die door de provider zijn aangevraagd |
Het SKG keurmerk voor sloten geeft de kwaliteit van de sloten aan. Dat zouden ze eigenlijk ook moeten doen om de security levels van provider s aan te geven ☺ ISAE3402, ISO 27001 en andere certificaten zijn het bewijs dat de security van die provider regelmatig wordt getoetst door derden. |
|
Dievenklauwen, veiligheidssloten etc. |
Anti virus software |
Heb je het bovenluikje beveiligd zodat het niet verder open kan, dievenklauwen etc. versus de antivirussoftware die regelmatig bijgewerkt moet worden |
|
Sleutel |
Password, 2 way authentication, tokens, irisscan etc. |
In jouw huis heb je hopelijk een slot met 3 sterren en een robuuste sleutel. De sterkte van het wachtwoord bepaalt je beveiliging. Verander het regelmatig en maak er een wachtwoord van minimaal 10 tekens van , dat eenvoudig is te onthouden. Aanvulling met andere beveiliging zoals met tokens of 2way authentication wordt aanbevolen. |
|
Vertrouwen |
Trust |
In het dagelijks leven herken je de mensen waar je mee omgaat. In de ICT is dat lastiger. Hoe weet je dat je sites kan vertrouwen? Voor sites kun je letten op een certificaat dat door derden is uitgegeven en getoetst, het zogenaamde https staat dan voor de url in plaats van http. |
|
Post |
|
Los van de geringe kans dat je een bombrief of poederbrief zou kunnen ontvangen, is de gewone post goed te vertrouwen. Met email moet je alles wat je niet kent in principe wantrouwen. Ga in dat geval met je muis over het email adres van de verzender en kijk of jij het logisch vindt. Mail van kwaadwillenden heeft over het algemeen een zeer raar emailadres, dat je kunt zien in de url als je over het emailadres hovert. Gooi die mail direct weg. |
|
Aanval door meerdere belagers |
Ddos |
Dit hebben buurtbewoners van een voetbalclub enkele jaren geleden meegemaakt toen hooligans hun huizen belaagden. Je kunt dan nergens heen en bent van anderen afhankelijk om je probleem op te lossen. Bij een ddos aanval wordt een website van allerlei kanten aangevallen en gaat dan plat, ook hier moeten derden het oplossen. |
|
Sleutel onder de bloempot |
Password onder het toetsenbord |
Toevallig zag ik daarvan deze week weer een voorbeeld in een niet nader te noemen computer winkelketen. Collega was weg, de medewerker die mij hielp moest het wachtwoord hebben en keek onder het toetsenbord, las het password en logde in. Bedrijven moeten hier professioneler zijn en medewerkers een token of andere beveiliging geven. |
Conclusies
De lijst kan nog veel langer zijn. Cybercrime wordt steeds omvangrijker en iedereen zou zich beter moeten beveiligen. Begrip en sense of urgency zijn de eerste stappen naar betere beveiliging. Ben je al een keer gehackt of hebben ze je in gijzeling genomen? Dan zal je echt wel iets aan cybersecurity gaan doen.
De kern van mijn betoog is dat ict dezelfde woorden gebruikt maar een andere taal spreekt dan degene waarvan zij terecht vinden dat die zich zouden moeten beveiligen. Neem de taak op je om cybersecurity simpel uit te leggen dan kan ook cybersecurity op een bredere adoptie rekenen.
