Op 7 februari was het Safer Internet Day. Een dag die ons wereldwijd elk jaar laat stilstaan bij het realiseren van een veiliger internet. Want ondanks de oneindige mogelijkheden en potentie die het wereldwijde web ons al jaren biedt, is het er niet altijd veilig. Net als op straat, kom je geregeld mensen tegen die je liever vermijdt. Toch speelt ons leven zich steeds meer op de digitale straten af. En dat brengt gevaarlijke situaties met zich mee. Dat is precies waarom deze dag anno 2023 nog steeds nodig is.
Hoe het gesteld is met de veiligheid van het internet en hoe je als organisatie een steentje bijdraagt aan een veiliger internet, bespreken we met zeven experts.
Privacy en databescherming onder druk
Als er iets exponentieel gegroeid is de afgelopen jaren, dan is het de hoeveelheid data die we delen op het internet. Met elkaar, met bedrijven, met de overheid. Onze digitale identiteit wordt steeds groter. “Heb je er weleens bij stilgestaan hoeveel online identiteiten je hebt?”, vraagt Guido Gerrits, Global Head of Channels, Digital Identity & Security bij technologiebedrijf Thales, zich af. “Denk aan identiteiten op sociale media, webshops, financiële dienstverleners, streamingsdiensten, enzovoorts. Het internet is steeds meer verweven in ons dagelijkse leven. Maar vaak wordt niet gedacht aan hoe we al deze identiteiten beschermen. Terwijl het kwaadwillenden maar één klik kost om je identiteit over te nemen. Met alle gevolgen van dien.”
Als we zo doorgaan, weten onze kinderen straks niet meer wat privacy is
Met alle data die op het web staan opgeslagen, komen onderwerpen als databescherming en privacy onder druk. Sterker nog, de betekenis van privacy erodeert, volgens Jan Heijdra, Technology Evangelist Security bij Cisco. “Als we zo doorgaan, weten onze kinderen straks niet meer wat privacy is. Via je gedane zoekopdrachten weten algoritmes eerder dat je zwanger bent dan jijzelf, slimme apparaten in huis luisteren constant mee naar je gesprekken en we plaatsen ‘goedkope’ camera’s binnen- en buitenshuis voor een veilig gevoel, dat daarmee blijkbaar belangrijker is dan onze privacy.” Gerrits concludeert: “Naast de voordelen en kansen die de digitale wereld ons bieden, liggen er serieuze risico’s op de loer als je niet bewust omgaat met het delen van persoonlijke gegevens.”
Phishing en social engineering
Het grootste risico ligt bij kwaadwillenden die persoonlijke gegevens in handen krijgen om daarmee te doen wat ze willen. “Safer Internet Day is dit jaar extra belangrijk”, vindt Vincent Turner, directeur Nederland bij cybersecurityplatform BlueVoyant. “We zien een snelle toename in aanvallen die de maatregelen om veilig in te loggen en privacy te beschermen, omzeilen. Deze social engineering-aanvallen zijn bijzonder moeilijk te verdedigen omdat ze eerder gericht zijn op onze menselijke kwetsbaarheden dan op het omzeilen van technologische beveiliging.”
Neem de populaire AI-tool ChatGPT, die in recordsnelheid gegroeid is naar 100 miljoen gebruikers. Het heeft grote potentie voor allerlei vakgebieden, maar kan ook op een verkeerde manier ingezet worden. “ChatGPT kan door kwaadwillenden gebruikt worden om phishing- en socialemediaberichten te genereren – zonder de vaak alarmerende spellings- en taalfouten – om gevoelige informatie te verkrijgen”, vertelt Luis Arranz, Cybersecurity Responsible Europe bij NTT DATA. “Ook kan het code reviewen, bijvoorbeeld om een kwetsbaarheid in een applicatie te vinden. Het is net als een mes slechts een gereedschap. Ondanks talrijke veiligheidscontroles in de tool, hangt het gebruik ervan, ten goede of ten kwade, af van de persoon die het gebruikt.”
> LEES OOK: Check Point ziet eerste voorbeelden van door ChatGPT ontwikkelde schadelijke tools
Het blijft dus onverminderd belangrijk om kritisch te zijn op wat je online tegenkomt. Gerrits (Thales): “Cyberaanvallen, bijvoorbeeld via phishing, zijn meestal gestoeld op misinformatie, waardoor het nog crucialer wordt om onjuiste informatie te onderscheiden van accurate informatie en altijd de legitimiteit van berichten of informatie na te gaan. Door wie is het gepubliceerd? Waar? Op welke manier? Desinformatie verspreidt zich helaas sneller dan de waarheid en kwaadwillenden maken daar handig gebruik van.”
Gegevens uit handen geven
Toch hebben we de bescherming van onze gegevens niet altijd zelf in de hand. Geregeld leggen we deze verantwoordelijkheid in de handen van organisaties, zoals de werkgever of de bank. Daarom zien consumenten naast een rol voor de overheid ook een primaire rol weggelegd voor bedrijven in het beschermen van persoonlijke data. Enerzijds worden bedrijven hiertoe gedwongen via wet- en regelgeving, zoals de AVG, waar de meeste consumenten positief tegenover staan. “Maar de vraag is of de privacywetgeving de honger naar digitalisering, waarbij we onze data weggeven, nog wel kan bijhouden”, stelt Heijdra (Cisco).
> LEES OOK: AP: stel grenzen aan hergebruiken persoonsgegevens uit overheidsdata
Daarom vereist dit ook eigen initiatief vanuit organisaties. Iets wat de meeste securityprofessionals zelf ook beamen door privacy als business imperative te zien. Daar ligt volgens Lodi Hensen, Head of Incident Response & Threat Intelligence bij cybersecuritydienstverlener Tesorion, nog veel verbeterruimte. “Informatie is het nieuwe goud, maar we behandelen het nog steeds niet zo. Nog steeds hebben organisaties moeite om in kaart te brengen welke gegevens ze hebben, waar en hoe dit staat opgeslagen en wat de waarde ervan is voor de organisatie. Dat maakt dat je medewerkers niet goed kan instrueren en je dus geconfronteerd blijft worden met informatielekken. Of die nu ontstaan door onbedoelde fouten van de mens of door bewuste aanvallen van kwaadwillenden. En of het nu om persoonsgegevens gaat of om andere gevoelige bedrijfsgegevens.”
Informatie is het nieuwe goud, maar we behandelen het nog steeds niet zo
Versleuteling van data
Hoe zet je als organisatie stappen naar goede data- en privacybescherming? Volgens Hensen begint het met in kaart brengen van de informatie die je beheert. “Safer Internet Day is het perfecte moment om je bewust af te vragen welke informatie je nu eigenlijk in beheer hebt. Dat is het begin van controle; dan pas kun je betrokkenen gericht toegang geven, bewust businesscases voor beveiliging maken en gerichte maatregelen treffen.”
Een belangrijk voorbeeld van zo’n privacymaatregel is de versleuteling van data. “Wanneer er steeds meer persoonlijke data online beschikbaar komt, is versleuteling van die data cruciaal voor onze privacy”, vertelt Heijdra. Belangrijke manieren om data te versleutelen blijven goede wachtwoordhygiëne en multifactorauthenticatie (MFA), volgens Turner (BlueVoyant).
“We zien grote hoeveelheden inloggegevens die op het dark web verkocht worden om er vervolgens mee in te breken bij de organisaties van de slachtoffers. Goede wachtwoorden die geregeld vervangen worden blijven belangrijk. Daarnaast zou MFA de standaard moeten zijn. Organisaties die hier niet in z’n geheel gebruik van maken, zijn nog altijd makkelijkere slachtoffers dan organisaties waar het volledig is ingeschakeld. We zien helaas wel een toename in MFA-bypass-aanvallen, waarbij gebruikers in de val gelokt worden om valse MFA-verzoeken te accepteren. Daarom is het verstandig MFA-methodes te gebruiken waarbij codes in een applicatie gegenereerd worden en niet worden toegezonden per sms.”
Gerrits vult aan: “Wie echt voorop wil lopen, hanteert wachtwoordloze authenticatie, waarbij de identiteit van de gebruiker gevalideerd wordt met een one time password (OTP), hardware tokens of biometrische gegevens. Een tijdperk zonder wachtwoorden is de volgende stap voor het goed beschermen van data.”
Beveiliging naar een hoger niveau
Een andere privacymaatregel moeten we in een hele bekende hoek zoeken. Want wat dacht je van de honderden e-mails die dagelijks verstuurd worden? Ook via e-mail wordt veel en soms gevoelige informatie onbeveiligd de ether in geslingerd. En daar zijn volgens Lucien Barink, General Manager Benelux & Scandinavia bij Pointsharp, leverancier van e-mailencryptiesoftware Cryptshare, nog maar weinig mensen zich bewust van.
Meer bewustzijn rondom beveiligd e-mailen is voor de meeste organisaties binnen handbereik
“Maar liefst 44 procent van de werkenden met een computerbaan denkt nooit na over of een e-mail beveiligd verstuurd moet worden. Dat is bizar, als je bedenkt hoeveel gevoelige informatie we verspreiden via de mail. Securityafdelingen werken zich een slag in de rondte om het gevaar buiten de deur te houden, terwijl we die data ondertussen in een e-mail naar een collega of extern contactpersoon sturen. Weg beveiliging. Het is alsof je gevoelige data via een ansichtkaart de wijde wereld instuurt; iedereen kan het in handen krijgen. Goede e-mailbeveiliging is hier de oplossing. Het versleutelt gegevens en stelt zeker dat alleen de juiste persoon de gegevens kan inzien. Meer bewustzijn over beveiligd e-mailen is voor de meeste organisaties binnen handbereik met hun huidige Microsoftlicenties met Microsoft Purview. Op basis van documentclassificaties en DLP-technieken wijst Purview gebruikers op de noodzaak om de e-mail te beveiligen met Cryptshare. Als je de beveiliging naar een hoger niveau wil tillen, dan is dit een makkelijke, eerste stap om te zetten.”
> LEES OOK: Slechts helft van werkend Nederland heeft wel eens een beveiligde e-mail verstuurd
Google Analytics
Een andere quick win is volgens Wido Potters, Manager Support en Sales bij datacenter BIT, om de analysetool die je gebruikt om je websitebezoekers te tracken te onderzoeken en eventueel te switchen. Want lang niet allemaal gaan ze goed samen met de privacywet- en regelgeving.
“Meer dan 50 procent van de websites gebruikt Google Analytics, vaak zonder dat de instellingen ervan aangepast zijn”, legt Potters uit. “Dat betekent dat alle gegevens van je gebruikers op jouw website, niet alleen met Google gedeeld worden, maar dat Google die gegevens volgens zijn gebruikersvoorwaarden ook zelf mag gebruiken. Het is dan ook niet gek dat de Autoriteit Persoonsgegevens vorig jaar heeft gewaarschuwd voor een mogelijk verbod op het gebruik van de tool, omdat het te veel schuurt met de wetten voor gegevensbescherming.”
Wido gaat verder: “Een privacyvriendelijker alternatief is bijvoorbeeld Matomo, een open-source platform. Anders dan bij Google Analytics, rapporteer je hierin eenvoudig over A/B-tests op je website zonder de privacy van je bezoekers te schenden. Heatmaps van je website maken visueel welke knoppen gebruikers het meest gebruiken en screenrecordings laten je zien waar de muis van bezoekers zich vooral bevindt. Dit allemaal zonder privacygevoelige gegevens te tonen en de ‘Do Not Track’-browserinstelling van mensen te respecteren. Daarmee laat je zien dat je de privacy van bezoekers daadwerkelijk serieus neemt.”
Organisaties doen er goed aan om vandaag na te gaan op welke manier ze privacygevoelige informatie het best kunnen beheren
Werk aan de winkel
Ondanks dat we al vijftig jaar via het internet in de digitale wereld mogen reizen, is Safer Internet Day dus nog geen overbodige luxe. Data- en privacybescherming zijn én blijven heikel punten. Heijdra (Cisco): “Organisaties doen er goed aan om vandaag na te gaan op welke manier ze privacygevoelige informatie het best kunnen beheren. In de big data era mag dan wel de gedachte zijn ontstaan dat meer data beter is, maar we moeten vandaag de dag ook de schadelijke kant ervan zien en het als organisaties alleen bewaren als we daarvan het nut kunnen bewijzen.” Genoeg werk dus nog aan de winkel om de digitale wereld samen een veiligere plek te maken. Voor iedereen. Fijne veiliger internetten dag!