Eenmaal online is niets meer veilig

We zijn via computers, smartphones en tablets allemaal met elkaar verbonden en in beweging op het wereldwijde web. Bankzaken en aankopen kunnen met een druk op de knop geregeld worden vanaf elke gewenste locatie. We delen steeds meer privézaken via sociale media en zoeken naar informatie via Google. Het grootste gevaar zit hem echter in een klein hoekje. Wat we ook doen op het internet, eenmaal online is niets meer veilig.

Dat meent Roel van Rijsewijk, cybersecurity-specialist van Deloitte Nederland. Volgens hem is het onmogelijk voor ICT-instellingen om de veiligheid van gegevens te garanderen. ‘Tegenwoordig is alles met elkaar verbonden en kunnen we bijvoorbeeld bankzaken via een applicatie op de smartphone regelen. De keerzijde is alleen wel dat je bank nooit honderd procent veiligheid kan garanderen als je via het internet bankiert.’ Voor die zekerheid zijn we afhankelijk van de ICT-afdeling van de bank. Het is alleen onmogelijk voor financiële instellingen om hun beveiliging waterdicht te maken.

Weerbaarheid tonen
Daar is volgens Van Rijsewijk een simpele verklaring voor. ‘Als bedrijf moet je het hele systeem in de gaten houden om indringers buiten te houden. Indringers hoeven op hun beurt enkel een klein gaatje te vinden om binnen te komen en de boel te saboteren. Bijvoorbeeld door geld weg te sluizen of gegevens van gebruikers te verzamelen.’ Een directe oplossing zal er nooit komen. Wat bedrijven volgens Van Rijsewijk moeten doen is hun weerbaarheid tonen. ‘Als een indringer binnen is, dan moet je hem opsporen, verwijderen en het lek dichten. Als je je weerbaar opstelt, dan kun je de schade tot een minimum beperken.’

Die weerbaarheid is zichtbaar in updates die bedrijven maken voor hun applicaties en websites. Soms moet je als gebruiker een patch downloaden. Deze bevat gecodeerde informatie die kleine lekken in beveiligingen dicht, met als gevolg dat het gebruik van een applicatie in het vervolg iets veiliger is. Om weerbaarheid te realiseren is het mogelijk voor bedrijven om goede hackers in dienst te nemen. Zij kunnen lekken vinden in het systeem en die informatie doorspelen naar het bedrijf. Op basis van deze informatie kunnen er nieuwe patches om beveiligingslekken te dichten gemaakt worden.

Gevoelige informatie kwetsbaar
Het zijn niet alleen particuliere bedrijven en financiële instellingen die met beveiligingsproblemen worstelen. De Nederlandse overheid buigt zich ook al jaren over de aanpak van cybercriminaliteit. In 2011 is daarom de Nationale Cyber Security Strategie opgesteld. Het doel van dit plan is om meer ICT-zekerheid te bieden aan burgers, bedrijven en overheidsinstanties om een veiligere digitale samenleving te creëren. Een belangrijk speerpunt hierbij is het Nationaal Cyber Security Centrum (NCSC). Deze organisatie moet cybercriminaliteit tegen gaan en zich weerbaar opstellen tegenover indringers.

Het NCSC onderschrijft dat online informatie nooit met honderd procent zekerheid beveiligd kan worden. Ze stelt wel dat de overheid veel richtlijnen heeft om het overheidssysteem veiliger te maken. Volgens het NCSC heeft niet iedereen toegang tot onze persoonsgegevens. Iedereen die deze informatie wel verwerkt moet zich houden aan de Wet Bescherming Persoonsgegevens (WBP). Het College bescherming persoonsgegevens ziet vervolgens toe op naleving van die wet. Er zijn in WBP extra strenge regels opgesteld met betrekking tot gevoelige informatie van burgers. Gegevens over iemands ras, gezondheid en seksuele leven mogen niet verwerkt worden en moeten geheim blijven.

Het NCSC heeft haar adviesbeleid voor overheidsinstanties die met DigiD werken aangescherpt. Dit moet het gebruik van DigiD veiliger maken, maar wat betekent dit voor onze persoonlijke gegevens? ‘Ook die zijn niet veilig’, stelt Van Rijsewijk. Het is vier jaar geleden dat Diginotar, het bedrijf achter DigiD, is gehackt door Iraniërs. Er zijn daarbij persoonsgegevens van Nederlandse burgers gestolen. Ook zijn er eind 2013 in Amsterdam meer dan 150 DigiD’s gestolen, waarna rekeningnummers zijn veranderd en uitkeringsgelden zijn geïnd door criminelen. ‘Waterdicht kun je een instantie nooit maken. Voorlichting is daarom uitermate belangrijk’, aldus van Rijsewijk.

Fraude neemt toe
Dat burgers en bedrijven die voorlichting kunnen gebruiken, blijkt uit informatie die communicatiemanager André Vermeulen van Fraudehelpdesk.nl bezit. ‘Den Haag doet sinds 2013 geen uitspraken meer over de hoeveelheid fraudegevallen in Nederland. Minister Plasterk zei destijds dat er 100.000 gevallen bekend waren. Over het jaar 2014 hebben wij in totaal 790 fraudemeldingen gehad, afgelopen september zaten we al op 784 gevallen. Het aantal neemt dus toe.’

De meeste meldingen die fraudehelpdesk ontvangt gaan over wanbetalingen van bedrijven. Oplichters stelen de legale gegevens van bestaande bedrijven. Ze bestellen iets, ontvangen de goederen en betalen vervolgens niet. Er zijn volgens Vermeulen al veel bedrijven voor miljoenen het schip ingegaan. De doelgroep met de meeste slachtoffers durft hij niet te noemen. Volgens Vermeulen komt het op elk niveau voor.

Alles delen met anderen
Er is niet altijd geld gemoeid met identiteitsfraude, ook op persoonlijk niveau komt het veelvuldig voor. We zijn allemaal met elkaar verweven op sociale media als Facebook. Elk kleine detail dat je deelt, zoals een filmpje of een foto, kan je afgenomen worden. ‘Je kunt je gegevens simpelweg niet beschermen. Je kunt anderen weliswaar afschermen, maar als ze kwade bedoelingen hebben kun je gehackt worden en gaan je gegevens alsnog openbaar. Dat is in principe onvermijdelijk’, zegt Van Rijsewijk.

Daarnaast gelden er voor Facebook en Google andere regels dan voor Nederlandse bedrijven. De Nederlandse overheid heeft het automatisch opslaan van cookies aan banden gelegd in 2013. Dit houdt in dat je als gebruiker zelf kunt aangeven of je wilt dat bedrijven je surfgedrag opslaan. Die informatie wordt dan weer gebruikt voor commerciële doeleinden. De Amerikaanse bedrijven Facebook en Google slaan automatisch je surfgedrag op en zijn niet gebonden aan de Nederlandse wetgeving. Je denkt als burger beschermd te zijn, maar bent dat in feite niet. De mediagiganten verkopen deze informatie op hun beurt weer door aan derde instanties.

Hierdoor is je recht op privacy op het wereldwijde web ook ver te zoeken. Alles wat je plaatst op sociale media of opzoekt via Google wordt gevolgd. Daarin schuilt een groot gevaar. Alle informatie over jezelf kan door anderen gevonden worden, waardoor iemand zich kan voordoen als jou. Het is ook niet zo dat als je iets verwijderd, je gegevens volledig van het web af zijn. ‘Neem bijvoorbeeld je profielfoto op Facebook. Als je die weghaalt blijft er een code achter die aangeeft dat deze foto is verwijderd. Er blijft dus altijd informatie achter op het internet, tenzij alles volledig van de servers wordt gewist’, zegt Van Rijsewijk.

Bescherm jezelf tegen gevaar
Om jezelf tegen identiteitsfraudeurs te beschermen, moet je op je hoede blijven. Tegenwoordig willen we overal online zijn en komen gratis Wifi-netwerken als paddestoelen uit de grond. Je kunt bijvoorbeeld bij de McDonald’s of Starbucks gratis gebruikmaken van Wifi-verbindingen, maar de risico’s van deze gratis netwerken zijn enorm volgens Van Rijsewijk. ‘Je smartphone onthoudt de netwerken waar je gebruik van maakt en dit maakt het voor criminelen gemakkelijker om jouw gegevens te stelen.’

Stel: je wilt pinnen bij Starbucks of McDonald’s maar dat lukt niet. Je maakt gebruik van de gratis Wifi-verbinding en maakt geld over van je spaar- naar betaalrekening. Een maaltijd later controleer je jouw saldo en blijk je duizenden euro’s kwijt te zijn. Hoe dit kan? Criminelen maken misbruik van gratis verbindingen. Ze leggen een tussennetwerk aan met exact dezelfde naam en inlogcode. Omdat je smartphone dat onthoudt, maakt deze automatisch verbinding. Als jij dan je bankzaken regelt, dan leest de crimineel mee, steelt je gegevens en haalt geld van jouw rekening zonder dat je het door hebt.

Veiligheid garanderen
Is het dan onmogelijk om je privégegevens veilig te stellen? Nee, dat is het niet. ‘Als je niet wilt dat iemand jouw identiteit overneemt op het wereldwijde web, dan moet je ervoor zorgen dat je privégegevens niet op het internet zet. Je moet offline werken en zorgen dat je media-apparaat niet op het internet is aangesloten’, zegt Van Rijsewijk. ‘Zolang je smartphone of laptop niet is aangesloten op het web kan niemand bij je gegevens komen. Dan moeten we weer ouderwets foto’s uitprinten en ter plekke aan vrienden laten zien. Maar’, zo stelt hij ook, ‘we leven in het jaar 2015. Het internet is een godsgeschenk, we moeten er gewoon zorgvuldig mee omgaan.’

Kader 1

Cybercriminaliteit kost Nederland 8,8 miljard per jaar
Amerikaanse Center for Strategic and International Studies (CSIS) heeft in opdracht van McAfee onderzoek gedaan naar de economische gevolgen van cybercriminaliteit. De uitkomst stelt dat Nederland jaarlijks 8,8 miljard euro schade lijdt. Dat is een schade van 1,5 procent op het Bruto Binnenlands Product. De Nederlandse overheid biedt geen begroting aan in de miljoenennota van 2015 om cybercriminaliteit tegen te gaan. In de miljoenennota is opgenomen dat het Openbaar Ministerie tot 20 miljoen euro oplopend steun krijgt om cybercriminelen voor de rechter te krijgen, maar dit bedrag is daarnaast ook bedoeld om andere internationale misdrijven zoals mensenhandel tegen te gaan. Uit onderzoek van CSIS is ook de wereldwijde economische schade van cybercriminaliteit opgenomen. Deze schade bedraagt 327 miljard euro per jaar.

Kader 2

DigiD veiligheidsvoorwaarden 2.0
Het NCSC heeft haar richtlijnen voor ICT-gebruik door overheidsinstanties in 2015 aangescherpt. De instantie is met nieuwe voorstellen gekomen om de veiligheid van webapplicaties te verbeteren. De belangrijkste speerpunten bevinden zich in het uitvoerende domein. Controle op het gebruik van webapplicaties moeten aangescherpt worden en netwerken moeten integer met de informatie omgaan. Het NCSC wijst echter ook veel naar de risico’s. Ze stelt daarmee vast dat geen enkel netwerk de risico’s van buitenaf mag onderschatten. In het document is opgenomen dat derden in staat zijn om de inhoud van webapplicaties te verstoren en te manipuleren. Het NCSC draagt daarom extra zorg voor de uitvoering van de veiligheidsrichtlijnen. De instantie is ervan overtuigd dat ze zoveel mogelijk hun best moeten doen om problemen te voorkomen, ook al kunnen ze geen enkele garantie bieden.

Kader 3

Facebook niet onaantastbaar
Eind juni heeft Facebook een belangrijke rechtszaak verloren, waarbij het bedrijf persoonsgegevens van een gebruiker moest prijsgeven. Begin januari is het 21-jarige slachtoffer Chantal uit Werkendam geconfronteerd met een privéseksfilmpje dat via Facebook online is geplaatst via een nepaccount. De rechtszaak die ze aanspande wist ze te winnen, waarna het sociale mediabedrijf gedwongen werd door de rechter om gegevens van de dader vrij te geven. Dit proces wordt gezien als belangrijk proefproces, want het kan andere slachtoffers helpen bij toekomstige rechtszaken. Facebook ontkent echter de informatie van het nepaccount nog te hebben, omdat de mediagigant beweert dat ze na twee weken alle informatie van de server verwijderen. Internetspecialisten twijfelen hieraan, net als de bij de rechtszaak betrokken advocaat Thomas van Vught. Hij is ervan overtuigd dat Facebook alle gegevens goed opslaat.

Lees hier de verantwoording.

Advertenties
Dit bericht werd geplaatst in Geen categorie. Bookmark de permalink .

Geef een reactie

Vul je gegevens in of klik op een icoon om in te loggen.

WordPress.com logo

Je reageert onder je WordPress.com account. Log uit /  Bijwerken )

Google+ photo

Je reageert onder je Google+ account. Log uit /  Bijwerken )

Twitter-afbeelding

Je reageert onder je Twitter account. Log uit /  Bijwerken )

Facebook foto

Je reageert onder je Facebook account. Log uit /  Bijwerken )

w

Verbinden met %s