De gebruikers zijn het grootste risico. Dit is misschien de grootste open deur binnen bij informatiebeveiliging. De ICT vindt gebruikers maar lastig, ze doen domme dingen, dingen die niet te beveiligen zijn. Management denkt hier anders of wat genuanceerder over. Het grootste gevaar voor de informatiebeveiliging is de ICT afdeling. Zij hebben de zaakjes niet (voldoende) onder controle. De ICT afdeling: Management maakt uitzonderingen op de beveiliging die wij niet kunnen beveiligen. De gebruikers roepen: Alles is zo complex gemaakt en onvriendelijk dat we thuis de informatie moeten downloaden en mee moeten nemen naar onze werkplek en de data via een USB stick moeten uploaden. Het lijkt erop dat iedereen naar elkaar wijst terwijl de waarheid ergens in het midden ligt. Toch wordt zelfs een ervaren gebruiker regelmatig sterk op de proef gesteld.
Vandaag kreeg ik onderstaand bericht in mijn SPAM box (WhatsApp Messaging Service 1 New Voicemail, You have a new Message! ):
Had ik dit berichtje ontvangen in mijn normale e-mail box zonder waarschuwingen, dan zou de verleiding aanwezig kunnen zijn op op het knopje play te drukken. Nu heb ik het geluk dat dit bericht in de spam box is gekomen met een (rode) melding van Google.
Iedereen die een berichtje ontvangt dat de nieuwsgierigheid prikkelt of in de val trapt van een misleidend bericht loopt het gevaar op besmetting van de PC met vervelende gevolgen. Iedereen die denkt veilig te zijn, dit is een illusie, staat bloot aan veel aanvallen. Ben je een regelmatige gebruiker van Internet en heb je geen problemen geconstateerd, dan is de kans groot dat je niet weet dat jouw pc is gehackt en boordevol zit met malware.
In een cursus die ik recent heb gevolgd waarbij uitgebreide netwerk monitoring wordt toegepast bleek dat een PC die voorzien was van alle beveiliging toch besmet geraakt is door de gebruiker. Dit kwam door LinkedIn met een doorlink naar een besmette website, en jawel de besmetting kwam van een aantal WordPress sites. Deze waren voorzien van geavanceerde scripts die gebruik maakten van gaten die nog niet waren gedicht. De besmetting via de website is alleen mogelijk doordat de software (WordPress Plugins) gaten heeft en deze worden heel selectief misbruikt om code te verbergen die weer inhaakt op beveiliginggaten van een PC. Deze malware is zeer geavanceerd en maakt gebruikt van nog niet gedichte gaten, ook wel ZeroDay Malware genoemd. Het is zelfs zo sterk dat je niet eens een besmette pagina hoeft te bezoeken. Onze Internet browsers helpen ons door pagina;s vooraf te downloaden zodat we een snellere browse ervaring verkrijgen. Dit noemen ze in FireFox en Google Chrome: Pre Fetch.
Zijn de gebruikers de schuldige of zijn we gewoon te goed van vertrouwen en (te) nieuwsgierig?
Verder niet vergeten dat beveiliging een super grote afzetmarkt is. Eerst geven ze je een PC of SmartPhone, daarna ga je ermee werken. Dan blijkt dat deze tools toch gebreken hebben maar er zijn niet echt alternatieven voorhanden. Het enige alternatief is extra software kopen om de levensduur van een PC, Laptop of SmartPhone te verlengen. Bescherming noemen ze dat. Hier komen de virusscanners, firewall, antispam en andere hulpmiddelen u van uw geld afhelpen. Blijkt dat al die antivirus software weer meer rekenkracht nodig heeft zodat je een zwaardere PC nodig hebt.
Moraal van dit verhaal?
- Gebruik een PC met de juiste software afgestemd op de behoeften. Meer software resulteert in meer gaten en die moet weer onderhouden worden. Vergelijk dit maar met iets van: Je rijdt in een te grote en dure auto die onderhouden moet worden en meer brandstof verbruikt. De auto kan heel veel maar dit wordt in normale omstandigheden nooit gebruikt (of slechts incidenteel).
- Je moet de PC of laptop goed (laten) beveiligen met een minimum set van beveiligingsmaatregelen. Dit is vergelijkbaar met een slot op jouw deur.
- Wees alert bij e-mail berichten van mensen die je niet kent of uitnodigingen die te verleidelijk zijn.
- Wees voorzichtig met toegangscodes en wachtwoorden. Gebruik hiervoor de juiste tools om deze veilig op te bergen. Geld stop je in een portemonnee. Juwelen stop je in een kluis.
- Wees alert bij veranderingen van het gedrag van een PC. Hierdoor kun je vaak erger leed voorkomen.
