Naslag voor de security issues uit de game Issue Advies Back-up

Naslag voor de security issues uit de game
Issue
Advies
Denk goed na waar je gevoelige informatie neerzet. Bij voorkeur op de beheerde netwerkomgeving
van de instelling: die is beveiligd en wordt automatisch gebackupt.
Back-up
Bij opslag op eigen apparatuur is de beveiliging je eigen verantwoordelijkheid. Gevoelige informatie
hoort zeker niet op een gratis clouddienst. Een (private of hybride) community site is een mogelijke
oplossing. Mobiele media als USB-sticks en externe harddisks zijn niet per definitie veilig voor
onbevoegde toegang. Als Robert gevoelige informatie wil opslaan en er niet steeds over wil
nadenken wat hij opslaat, dan is het slim als hij encryptiesoftware gebruikt die bij dat soort
apparaten vaak wordt meegeleverd.
Om de mogelijke gevoeligheid van informatie te bepalen is deze in te delen in een aantal groepen:
Publiek (de etalage), intern binnen de hele instelling, alleen toegankelijk voor een
afdeling/groep/project en strikt vertrouwelijk.
Classificeren gegevens
Denk bij de laatste categorie aan examenvragen, salarisgegevens, correspondentie over aanstelling
of ontslag en gegevens uit de verzuimregistratie.
Bijzondere persoonsgegevens, zoals kopieën van identiteitsbewijzen, gegevens over etniciteit, religie
en dergelijke mogen alleen voor specifieke doelen en onder strenge beveiligingsvoorwaarden worden
verzameld. Daarvoor is doorgaans toestemming van het College Bescherming Persoonsgegevens
nodig.
Wees alert op mails met valse virusscanners: dit is geen echte waarschuwing maar malware. Het
programma doet zich voor als een virusscanner maar is eigenlijk zelf een virus.
Het is noodzakelijk om altijd, bij voorkeur automatisch, de belangrijkste software en
besturingssysteem te updaten van computers die je zelf beheert. Systemen die door de ICT-afdeling
beheerd worden zullen dat in de regel automatisch doen.
De zogenaamde
virusscanner
En het is verstandig om niet op vreemde meldingen van onbekende software in te gaan. Bel bij
twijfel de helpdesk.
Bij het weggaan van de werkplek is het riskant om je scherm of eigen mobiele apparaten (tablets,
smartphones etc.) open te laten liggen zonder screensaver en wachtwoord. Iemand kan de PC
gebruiken om informatie te lezen die niet voor hem/haar is bedoeld, iets publiceren, ergens op
abonneren, gevoelige informatie kopiëren en andere dingen die het daglicht niet kunnen verdragen.
Het gaat overigens niet alleen om digitale informatie: afgedrukte gegevens kunnen net zo
vertrouwelijk of gevoelig zijn!
Gevoelige informatie op de
werkplek
werkplek
Een wachtwoord opschrijven en ophangen is hetzelfde als een sleutel onder de mat!
Het laten slingeren van persoonlijke spullen is ook geen visitekaartje voor de afdeling.
De meeste gratis online tools en web-apps zijn niet geschikt voor gevoelige data. Het is bijvoorbeeld
niet bekend waar de gegevens terechtkomen, wie de ‘eigenaar’ van die gegevens is en wat die er
mee zal gaan doen. Bovendien, bij beëindiging van de online dienst gaan de gegevens misschien
verloren.
Gratis online enquêtetools
gebruiken
‘Gratis’ betekent vaak later toch betalen. Of de inkomsten komen uit advertenties en dergelijke en
dan is de gebruiker zelf ’het product’. Vraag je af waarom een dienst gratis is: de leverancier moet
er immers toch van bestaan?
Gebruikersnaam en wachtwoord zijn strikt persoonlijk. Elke medewerker is verantwoordelijk voor
zijn of haar eigen account.
Afgeven is dus niet aan de orde: niet persoonlijk, niet via mail en niet via de telefoon.
Inloggegevens delen
Er zijn misschien uitzonderlijke situaties, zoals bij het overlijden van een collega. In zo’n geval is er
doorgaans een protocol waarin expliciet de voorwaarden zijn vastgelegd.
Inloggegevens telefonisch
doorgeven
Het is raadzaam nooit zomaar inloggegevens te delen met iemand. Het is verstandig om even door
te vragen, bijvoorbeeld vragen wie zijn leidinggevende is. Als het echt een collega is kan je dit
melden bij de leidinggevende.
Mail van vertrouwde
instantie
Als je niet zeker weet of je een mail vertrouwt, kun je het beste de afzender verifiëren via een ander
medium. Je kunt dat doen door de website van de afzender op internet te zoeken (dus niet via de
link in de mail!) en contact op te nemen, eventueel telefonisch of via het mailadres op de website
zelf.
Melden kwetsbaarheden
Het is belangrijk dat mogelijke kwetsbaarheden of bedreigingen direct gemeld worden. Dat kan
binnen het eigen organisatieonderdeel of bij de Security Officer of de instellings-CERT (CSIRT).
Onbekende in beperkt
toegankelijke ruimte
Zones in gebouwen waarvoor sleutels of pasjes nodig zijn, zijn per definitie niet openbaar
toegankelijk. Aanspreken of melden is beter dan aannemen dat het wel goed zal zijn.
Als er dingen gebeuren met je accounts die je zelf niet hebt gedaan, betekent dit dat je digitale
identiteit in handen van anderen is. Vaak komt dat via opgelopen besmettingen. Kwaadwillenden
hebben waarschijnlijk meer afgevangen dan alleen je facebook wachtwoord.
Onwenselijke post, account
gehackt
Het is dus verstandig om alle accounts die hij gebruikt te voorzien van een nieuw wachtwoord. Ook
kan hij het beste zijn computers en/of laptops grondig laten controleren.
Voordat je een pc weggeeft moet je ervoor zorgen dat deze volledig geschoond is. Formatteren is
niet genoeg, dan is nog veel informatie te herstellen.
Oude computer wegdoen
Met een eraser-programma wordt alle data onbruikbaar. Minder duurzaam maar wel effectief: met
een hamer de harde schijf vernietigen.
Persoonsgegevens zijn alle gegevens die te herleiden zijn tot een natuurlijke persoon. Aan de
beveiliging en het werken met persoonsgegevens zijn strenge wettelijke eisen gesteld.
Persoonsgegevens
Verwerken van deze gegevens is pas toegestaan als aan alle eisen voldaan is. Zo moeten
bijvoorbeeld passende beveiligingsmaatregelen zijn getroffen. De Functionaris Gegevensbescherming
van de instelling moet daarom vooraf op de hoogte gesteld zijn van voorgenomen verwerking van
persoonsgegevens.
Phishing
Phishing is er in vele soorten en maten, soms verpakt in bedrieglijk echt lijkende spam (met een
aantrekkelijke link). Soms staat je eigen naam in de aanhef. De mails zijn schijnbaar afkomstig van
de helpdesk, het service center van KPN, de bank, de belastingdienst enz. Deze instellingen zullen
echter NOOIT via mail om accountgegevens vragen. Incidenteel vindt het ‘vissen naar informatie’
telefonisch plaats.
Phishing en andere termen
Het is verstandig om enigszins bekend te raken met kwetsbaarheden en veilige werkwijzen om zo je
eigen identiteit en gegevens te beschermen.
Hoe langer en meer variatie in tekens hoe beter. Je kunt bijvoorbeeld de eerste letters gebruiken uit
een wachtzin, een songtekst of een spreekwoord. Je kunt dit combineren met een teken en een
zinvol getal verzinnen. Of ze verzint een ander ludiek systeem.
Van belang is dat het wachtwoord eenvoudig te onthouden is zodat je het niet hoeft op te schrijven.
Er zijn ook digitale kluisjes of ‘sleutelhangers’ die je kunt gebruiken om wachtwoorden in op te slaan
(bijvoorbeeld KeePass, LastPass).
Sterk wachtwoord
Zorg dat je wachtwoord overal uniek is en dat er geen logisch algoritme is toegepast. Houd je
inloggegevens voor de informatievoorziening op het werk liever gescheiden van je privégegevens.
Tentamenfraude
Als de buitenwereld niet meer kan vertrouwen op de waarde van behaalde studieresultaten en
diploma’s, is dat schadelijk voor de reputatie van de instelling en van de personen die op legitieme
wijze een diploma hebben verkregen. Uiteindelijk kan de financiële schade in de miljoenen lopen.
Bij het krijgen van een nieuwe functie is het belangrijk dat speciale rechten en bevoegdheden
worden ingetrokken. Je moet hier zelf ook alert op zijn en actie ondernemen om zijn rechten te laten
aanpassen.
Toegangsrechten
Het hebben van onnodige rechten kan je op enig moment ook in de problemen brengen.
Het is belangrijk om systeem en applicaties up-to-date te houden. Kwaadwillenden gebruiken
kwetsbaarheden om bijvoorbeeld een virus te installeren, of een keylogger (daarmee kan men op
afstand gebruikersnaam, wachtwoord en bankgegevens meelezen) of andere kwaadaardige
software.
Updates
Er worden voortdurend beveiligingsupdates uitgebracht, die de systemen automatisch kunnen
installeren. Maar dat moet dan wel ingeschakeld zijn. (Er zijn tools die daarbij kunnen helpen: denk
aan https://browsercheck.qualys.com/ ).
Usb-stick
Een gevonden usb-stick moet je nooit zonder meer in een computer doen. Het is immers niet je
eigendom. Bovendien kan de stick een virus bevatten. Als het op je werk gebeurt (of in ieder geval
in de buurt), kun je de stick het beste naar een balie voor gevonden voorwerpen of helpdesk
brengen. Daar kunnen ze dit verder afhandelen.
De veiligste manier om buiten de deur te werken is natuurlijk om geen gevoelige informatie te
gebruiken in een publieke omgeving. Als je dat dan toch doet, moet je ervoor zorgen, dat je in ieder
geval werkt met een beveiligde laptop en via een beveiligd wifi met VPN.
Veilig werken buiten de
deur
Als je gebruik maakt van wifi en geen wachtwoord hoeft in te vullen, dan is de verbinding niet
beveiligd. Iemand anders kan dan ‘meekijken’ of het verkeer onderscheppen. Als je wel een
wachtwoord moet invullen, dan moet je nagaan of je wachtwoord en accountgegevens versleuteld
over de lijn gaan. Controleer ook altijd of het wifi netwerk echt van de betreffende instelling is. Er
worden soms folders verspreid van wifi netwerken met een wachtwoord en dan lijkt het alsof het van
de organisatie is waar je op dat moment bent.