Als je van huis weggaat, doe je de deur achter je op slot. Voordat je oversteekt, kijk je links en rechts. En na een toiletbezoek was je je handen. Bijna tachtig procent gebruikt eenzelfde wachtwoord voor meerdere online-diensten. Eén op de twaalf internetters heeft online met oplichting te maken gehad. Meer dan veertig procent trapt in phishingmails.
Hygiëne vinden we normaal en leren we al in groep één van het primair onderwijs. Op een gegeven moment krijgen kinderen een eigen huissleutel en o wee, als ze dan vergeten de deur op slot te doen. Later volg je eerste verkeersexamen op de fiets. Maar leren goed met wachtwoorden om te gaan? Dat leert de juf of meester je niet – terwijl iedereen een smartphone heeft en een computer gebruikt en toegang tot internet heeft. En iedereen dus wachtwoorden en pincodes heeft. Iedereen. Dat is gek, heel gek.
Expliciet
Om het expliciet te zeggen: het kennen van online-veiligheidsregels hoort bij de absolute basis van onderwijs. Ik noem dit de cybersecurity essentials. Hieronder versta ik:
-
Voor elk account een uniek niet te raden wachtwoord
-
Gebruik tweestapsverificatie waar mogelijk
-
Gebruik een wachtwoordmanager
-
Herken phishingmails en weet een legitieme webadres of e-mail te herkennen
-
Doorzie pogingen van oplichting
-
Maak backups
-
Syncen met Google Drive / iCloud / Microsoft Onedrive / Dropbox is geen backup
Dit zijn de absolute basisregels. Een beginnetje zogezegd. Hoeveel van deze regels kun jij afvinken? Er is een redelijk kans dat dit er nul zijn, en maar weinigen kunnen ze alle zeven afvinken. Deze bijdrage is niet geschreven om de basisregels bij te brengen, maar om het onder aandacht te plaatsen dat we fout bezig zijn.
Genoemde regels moeten gewoon een onderdeel van primair onderwijs zijn, net als lezen, schrijven, rekenen en aardrijkskunde. En zo moeilijk is het niet. Maar omdat wij de digitale-hygiënevaardigheden als volwassenen niet beheersen, zijn we niet in staat onze kinderen – en ouders – te beschermen. En dat moet veranderen. Als we dit nu goed doen in de basis, dan zal de volgende generatie een stuk veiliger opgroeien.
Wat ik met de onderste regel van de cybersecurity essentials bedoel? Dat een iCloud- of Google Drive-sync geen backup is. Als je per ongeluk ransomware activeert op je computer, dan versleutel je onbedoeld alle bestanden op je computer. Als deze synchroniseren met bijvoorbeeld Dropbox, dan worden de bestanden in je Dropbox dus ook gewoon versleuteld. En dat is maar een voorbeeld.
Als iemand toegang krijgt tot je computer, dan kan deze ook alle bestanden verwijderen of ontoegankelijk maken. Hetzelfde geldt bij het maken van backups op een externe harde schijf. Als er ingebroken wordt, of je huis brandt af, dan ben je alsnog al je data kwijt.
Motivatie
Maar hoe moet het nu verder met ‘ons’? Wij gaan niet meer naar school. Hoe gaan wij van cybersecurity essentials een gewoonte maken? Dat is nog best lastig, zeker als je de opsomming herkent, maar er niet naar handelt. Dan kun je jezelf afvragen: waarom doe ik het niet?
Dat komt omdat weten iets anders is dan doen. Om ons gedrag te veranderen en nieuwe gewoontes aan te leren, is er meer nodig. Namelijk motivatie. Als je al een keer bent opgelicht, zal dit je motivatie enorm helpen. Maar veel mensen erkennen het gevaar nog niet. In het verleden heb ik een keer mazzel gehad. Ik vond het rijden met een autogordel beperkend aanvoelen. Ook het hebben van een airbag stond niet hoog op mijn wensenlijstje. Totdat ik een keer achter een collega reed ergens op een dijk in Ter Aar. Een vrachtwagen met oplegger moest ergens langs de dijk zijn en tijdens het kijken naar de huisnummers reed hij ineens midden op de weg. Mijn collega kon geen kant op en kwam frontaal in botsing. Met grote schrik stopte ik mijn auto om te hulp te schieten en ik zag mijn collega uitstappen en aan zijn bloedende neus voelen. Dat was het enige wat hij had terwijl zijn auto helemaal in puin lag. Hij had zijn gordel om en had airbags. Dit was in de jaren negentig. Pas toen kwam het besef dat als ik voor had gereden, ik er niet met een bloedneus vanaf was gekomen.
Dit zou voldoende motivatie moeten geven om aan de slag te gaan. Al was het omdat je dan je kinderen en ouders ook kunt helpen. Maar er is nog iets nodig om je aan de cybersecurity essentials te houden: de tools en middelen die je faciliteren in veilig online-gedrag. Ofwel, je moet ook de gelegenheid krijgen het juiste te kunnen doen. Het is niet makkelijk om voor elk account een ander wachtwoord te verzinnen. Je kunt wachtwoorden wel in je browser opslaan, maar naast dat dit minder veilig is, heb je ook wachtwoorden die je niet in de browser toepast. Daarnaast wil je soms ook meer dan alleen een wachtwoord opslaan, of wil je iets dat de wachtwoorden voor je bedenkt. En daar kan een wachtwoordmanager je bij helpen, naast dat dit erg veilig is. Ook voor het herkennen van legitieme links heb je kennis nodig. Die moet ergens vandaan komen.
Het veranderen van gedrag is dus een combinatie van motivatie, weten en de gelegenheid krijgen. Maar het begint allemaal met het onderkennen dat we de cybersecurity essentials nog massaal niet kennen of negeren.
Een begin
Heb je een organisatie met medewerkers? Dan is de kans groot dat je medewerkers de basis in online-veiligheid nog niet voldoende kennen en toepassen. Dat is een probleem, want het maakt je organisatie kwetsbaar. Naar school gaan je medewerkers niet, dus als je er iets aan wilt veranderen, moet je in actie komen. Een awareness-e-learning aanschaffen is niet voldoende, maar wel een begin. Daarbij moet je medewerkers dus ook motiveren en hen de gelegenheid bieden zich aan de cybersecurity essentials te houden. Zo wordt Nederland weer een klein stukje veiliger.
(Nog een kleine pro-tip. Betalen en online-bankieren doe je veilig met de app op je telefoon. Dat is veiliger dan de browser op je computer. Je app zal namelijk altijd de werkelijke rekening en bedrag laten zien, terwijl je in de browser op je computer gefopt kan worden met een nepsite. Ik kan je talloze voorbeelden geven en boeken vullen, maar dat bewaar ik voor een volgend stuk.)
