Naslag voor de security issues uit de game Issue Advies Denk goed na waar je gevoelige informatie neerzet. Bij voorkeur op de beheerde netwerkomgeving van de instelling: die is beveiligd en wordt automatisch gebackupt. Back-up Bij opslag op eigen apparatuur is de beveiliging je eigen verantwoordelijkheid. Gevoelige informatie hoort zeker niet op een gratis clouddienst. Een (private of hybride) community site is een mogelijke oplossing. Mobiele media als USB-sticks en externe harddisks zijn niet per definitie veilig voor onbevoegde toegang. Als Robert gevoelige informatie wil opslaan en er niet steeds over wil nadenken wat hij opslaat, dan is het slim als hij encryptiesoftware gebruikt die bij dat soort apparaten vaak wordt meegeleverd. Om de mogelijke gevoeligheid van informatie te bepalen is deze in te delen in een aantal groepen: Publiek (de etalage), intern binnen de hele instelling, alleen toegankelijk voor een afdeling/groep/project en strikt vertrouwelijk. Classificeren gegevens Denk bij de laatste categorie aan examenvragen, salarisgegevens, correspondentie over aanstelling of ontslag en gegevens uit de verzuimregistratie. Bijzondere persoonsgegevens, zoals kopieën van identiteitsbewijzen, gegevens over etniciteit, religie en dergelijke mogen alleen voor specifieke doelen en onder strenge beveiligingsvoorwaarden worden verzameld. Daarvoor is doorgaans toestemming van het College Bescherming Persoonsgegevens nodig. Wees alert op mails met valse virusscanners: dit is geen echte waarschuwing maar malware. Het programma doet zich voor als een virusscanner maar is eigenlijk zelf een virus. Het is noodzakelijk om altijd, bij voorkeur automatisch, de belangrijkste software en besturingssysteem te updaten van computers die je zelf beheert. Systemen die door de ICT-afdeling beheerd worden zullen dat in de regel automatisch doen. De zogenaamde virusscanner En het is verstandig om niet op vreemde meldingen van onbekende software in te gaan. Bel bij twijfel de helpdesk. Bij het weggaan van de werkplek is het riskant om je scherm of eigen mobiele apparaten (tablets, smartphones etc.) open te laten liggen zonder screensaver en wachtwoord. Iemand kan de PC gebruiken om informatie te lezen die niet voor hem/haar is bedoeld, iets publiceren, ergens op abonneren, gevoelige informatie kopiëren en andere dingen die het daglicht niet kunnen verdragen. Het gaat overigens niet alleen om digitale informatie: afgedrukte gegevens kunnen net zo vertrouwelijk of gevoelig zijn! Gevoelige informatie op de werkplek werkplek Een wachtwoord opschrijven en ophangen is hetzelfde als een sleutel onder de mat! Het laten slingeren van persoonlijke spullen is ook geen visitekaartje voor de afdeling. De meeste gratis online tools en web-apps zijn niet geschikt voor gevoelige data. Het is bijvoorbeeld niet bekend waar de gegevens terechtkomen, wie de ‘eigenaar’ van die gegevens is en wat die er mee zal gaan doen. Bovendien, bij beëindiging van de online dienst gaan de gegevens misschien verloren. Gratis online enquêtetools gebruiken ‘Gratis’ betekent vaak later toch betalen. Of de inkomsten komen uit advertenties en dergelijke en dan is de gebruiker zelf ’het product’. Vraag je af waarom een dienst gratis is: de leverancier moet er immers toch van bestaan? Gebruikersnaam en wachtwoord zijn strikt persoonlijk. Elke medewerker is verantwoordelijk voor zijn of haar eigen account. Afgeven is dus niet aan de orde: niet persoonlijk, niet via mail en niet via de telefoon. Inloggegevens delen Er zijn misschien uitzonderlijke situaties, zoals bij het overlijden van een collega. In zo’n geval is er doorgaans een protocol waarin expliciet de voorwaarden zijn vastgelegd. Inloggegevens telefonisch doorgeven Het is raadzaam nooit zomaar inloggegevens te delen met iemand. Het is verstandig om even door te vragen, bijvoorbeeld vragen wie zijn leidinggevende is. Als het echt een collega is kan je dit melden bij de leidinggevende. Mail van vertrouwde instantie Als je niet zeker weet of je een mail vertrouwt, kun je het beste de afzender verifiëren via een ander medium. Je kunt dat doen door de website van de afzender op internet te zoeken (dus niet via de link in de mail!) en contact op te nemen, eventueel telefonisch of via het mailadres op de website zelf. Melden kwetsbaarheden Het is belangrijk dat mogelijke kwetsbaarheden of bedreigingen direct gemeld worden. Dat kan binnen het eigen organisatieonderdeel of bij de Security Officer of de instellings-CERT (CSIRT). Onbekende in beperkt toegankelijke ruimte Zones in gebouwen waarvoor sleutels of pasjes nodig zijn, zijn per definitie niet openbaar toegankelijk. Aanspreken of melden is beter dan aannemen dat het wel goed zal zijn. Als er dingen gebeuren met je accounts die je zelf niet hebt gedaan, betekent dit dat je digitale identiteit in handen van anderen is. Vaak komt dat via opgelopen besmettingen. Kwaadwillenden hebben waarschijnlijk meer afgevangen dan alleen je facebook wachtwoord. Onwenselijke post, account gehackt Het is dus verstandig om alle accounts die hij gebruikt te voorzien van een nieuw wachtwoord. Ook kan hij het beste zijn computers en/of laptops grondig laten controleren. Voordat je een pc weggeeft moet je ervoor zorgen dat deze volledig geschoond is. Formatteren is niet genoeg, dan is nog veel informatie te herstellen. Oude computer wegdoen Met een eraser-programma wordt alle data onbruikbaar. Minder duurzaam maar wel effectief: met een hamer de harde schijf vernietigen. Persoonsgegevens zijn alle gegevens die te herleiden zijn tot een natuurlijke persoon. Aan de beveiliging en het werken met persoonsgegevens zijn strenge wettelijke eisen gesteld. Persoonsgegevens Verwerken van deze gegevens is pas toegestaan als aan alle eisen voldaan is. Zo moeten bijvoorbeeld passende beveiligingsmaatregelen zijn getroffen. De Functionaris Gegevensbescherming van de instelling moet daarom vooraf op de hoogte gesteld zijn van voorgenomen verwerking van persoonsgegevens. Phishing Phishing is er in vele soorten en maten, soms verpakt in bedrieglijk echt lijkende spam (met een aantrekkelijke link). Soms staat je eigen naam in de aanhef. De mails zijn schijnbaar afkomstig van de helpdesk, het service center van KPN, de bank, de belastingdienst enz. Deze instellingen zullen echter NOOIT via mail om accountgegevens vragen. Incidenteel vindt het ‘vissen naar informatie’ telefonisch plaats. Phishing en andere termen Het is verstandig om enigszins bekend te raken met kwetsbaarheden en veilige werkwijzen om zo je eigen identiteit en gegevens te beschermen. Hoe langer en meer variatie in tekens hoe beter. Je kunt bijvoorbeeld de eerste letters gebruiken uit een wachtzin, een songtekst of een spreekwoord. Je kunt dit combineren met een teken en een zinvol getal verzinnen. Of ze verzint een ander ludiek systeem. Van belang is dat het wachtwoord eenvoudig te onthouden is zodat je het niet hoeft op te schrijven. Er zijn ook digitale kluisjes of ‘sleutelhangers’ die je kunt gebruiken om wachtwoorden in op te slaan (bijvoorbeeld KeePass, LastPass). Sterk wachtwoord Zorg dat je wachtwoord overal uniek is en dat er geen logisch algoritme is toegepast. Houd je inloggegevens voor de informatievoorziening op het werk liever gescheiden van je privégegevens. Tentamenfraude Als de buitenwereld niet meer kan vertrouwen op de waarde van behaalde studieresultaten en diploma’s, is dat schadelijk voor de reputatie van de instelling en van de personen die op legitieme wijze een diploma hebben verkregen. Uiteindelijk kan de financiële schade in de miljoenen lopen. Bij het krijgen van een nieuwe functie is het belangrijk dat speciale rechten en bevoegdheden worden ingetrokken. Je moet hier zelf ook alert op zijn en actie ondernemen om zijn rechten te laten aanpassen. Toegangsrechten Het hebben van onnodige rechten kan je op enig moment ook in de problemen brengen. Het is belangrijk om systeem en applicaties up-to-date te houden. Kwaadwillenden gebruiken kwetsbaarheden om bijvoorbeeld een virus te installeren, of een keylogger (daarmee kan men op afstand gebruikersnaam, wachtwoord en bankgegevens meelezen) of andere kwaadaardige software. Updates Er worden voortdurend beveiligingsupdates uitgebracht, die de systemen automatisch kunnen installeren. Maar dat moet dan wel ingeschakeld zijn. (Er zijn tools die daarbij kunnen helpen: denk aan https://browsercheck.qualys.com/ ). Usb-stick Een gevonden usb-stick moet je nooit zonder meer in een computer doen. Het is immers niet je eigendom. Bovendien kan de stick een virus bevatten. Als het op je werk gebeurt (of in ieder geval in de buurt), kun je de stick het beste naar een balie voor gevonden voorwerpen of helpdesk brengen. Daar kunnen ze dit verder afhandelen. De veiligste manier om buiten de deur te werken is natuurlijk om geen gevoelige informatie te gebruiken in een publieke omgeving. Als je dat dan toch doet, moet je ervoor zorgen, dat je in ieder geval werkt met een beveiligde laptop en via een beveiligd wifi met VPN. Veilig werken buiten de deur Als je gebruik maakt van wifi en geen wachtwoord hoeft in te vullen, dan is de verbinding niet beveiligd. Iemand anders kan dan ‘meekijken’ of het verkeer onderscheppen. Als je wel een wachtwoord moet invullen, dan moet je nagaan of je wachtwoord en accountgegevens versleuteld over de lijn gaan. Controleer ook altijd of het wifi netwerk echt van de betreffende instelling is. Er worden soms folders verspreid van wifi netwerken met een wachtwoord en dan lijkt het alsof het van de organisatie is waar je op dat moment bent.