Eenmaal online is niets meer veilig

We gebruiken het internet steeds meer om onze financiële zaken te regelen. Banktransacties en betaaloverdrachten kunnen met een druk op de knop vanaf de smartphone geregeld worden op elke willekeurige locatie. Criminelen maken gretig misbruik van deze ontwikkeling en banken kunnen de veiligheid van ons geld niet garanderen. We moeten ons bewuster worden van de gevolgen van ons dagelijks gemak, want eenmaal online is niets meer veilig.

Dat meent Roel van Rijsewijk van Deloitte Nederland. Hij leidt het Cyber Security Team en Deloitte Online bij Deloitte en is inmiddels als veertien jaar actief voor de Nederlandse vesting van het Europese concern. Volgens hem is het onmogelijk voor ICT-instellingen om de veiligheid van gegevens te garanderen. ‘Tegenwoordig is alles met elkaar verbonden en kunnen we bijvoorbeeld bankzaken via een applicatie op de smartphone regelen. De keerzijde is alleen wel dat je bank nooit honderd procent veiligheid kan garanderen als je via het internet bankiert.’ Voor die zekerheid zijn we afhankelijk van de ICT-afdeling van de bank. Het is alleen onmogelijk voor financiële instellingen om hun beveiliging waterdicht te maken.

Weerbaarheid tonen
Daar is volgens Van Rijsewijk een simpele verklaring voor. ‘Als bedrijf moet je het hele systeem in de gaten houden om indringers buiten te houden. Indringers hoeven op hun beurt enkel een klein gaatje te vinden om binnen te komen en de boel te saboteren. Bijvoorbeeld door geld weg te sluizen of gegevens van gebruikers te verzamelen.’ Een directe oplossing zal er nooit komen. Wat bedrijven volgens Van Rijsewijk moeten doen is hun weerbaarheid tonen. ‘Als een indringer binnen is, dan moet je hem opsporen, verwijderen en het lek dichten. Als je je weerbaar opstelt, dan kun je de schade tot een minimum beperken.’

Die weerbaarheid is zichtbaar in updates die bedrijven maken voor hun applicaties en websites. Soms moet je als gebruiker een patch downloaden. Deze bevat gecodeerde informatie die kleine lekken in beveiligingen dicht, met als gevolg dat het gebruik van een applicatie in het vervolg iets veiliger is. Om weerbaarheid te realiseren is het mogelijk voor bedrijven om goede hackers in dienst te nemen. Zij kunnen lekken vinden in het systeem en die informatie doorspelen naar het bedrijf. Op basis van deze informatie kunnen er nieuwe patches gemaakt worden om beveiligingslekken te dichten.

Gevoelige informatie kwetsbaar
Het zijn niet alleen particuliere bedrijven en financiële instellingen die met beveiligingsproblemen worstelen. De Nederlandse overheid buigt zich ook al jaren over de aanpak van cybercriminaliteit. In 2011 is daarom de Nationale Cyber Security Strategie opgesteld. Het doel van dit plan is om meer ICT-zekerheid te bieden aan burgers, bedrijven en overheidsinstanties om een veiligere digitale samenleving te creëren. Een belangrijk speerpunt hierbij is het Nationaal Cyber Security Centrum (NCSC). Deze organisatie moet cybercriminaliteit tegen gaan en zich weerbaar opstellen tegenover indringers.

Het NCSC onderschrijft dat online informatie nooit met honderd procent zekerheid beveiligd kan worden. Ze stelt wel dat de overheid veel richtlijnen heeft om het overheidssysteem veiliger te maken. Volgens het NCSC heeft niet iedereen toegang tot onze persoonsgegevens. Iedereen die deze informatie wel verwerkt moet zich houden aan de Wet Bescherming Persoonsgegevens (WBP). Het College bescherming persoonsgegevens ziet vervolgens toe op naleving van die wet. Er zijn in WBP extra strenge regels opgesteld met betrekking tot gevoelige informatie van burgers. Gegevens over iemands ras, gezondheid en seksuele leven mogen niet verwerkt worden en moeten geheim blijven.

Het NCSC heeft haar adviesbeleid voor overheidsinstanties die met DigiD werken aangescherpt. Dit moet het gebruik van DigiD veiliger maken, maar wat betekent dit voor onze persoonlijke gegevens? ‘Ook die zijn niet veilig’, stelt Van Rijsewijk. Het is vier jaar geleden dat Diginotar, het bedrijf achter DigiD, is gehackt door Iraniërs. Er zijn daarbij persoonsgegevens van Nederlandse burgers gestolen. Ook zijn er eind 2013 in Amsterdam meer dan 150 DigiD’s gestolen, waarna rekeningnummers zijn veranderd en uitkeringsgelden zijn geïnd door criminelen. Criminelen kunnen je dus ook door identiteitsfraude geld afhandig maken. ‘Waterdicht kun je een instantie nooit maken. Voorlichting is daarom uitermate belangrijk’, aldus van Rijsewijk.

Fraude neemt toe
Dat burgers en bedrijven die voorlichting kunnen gebruiken, blijkt uit informatie die communicatiemanager André Vermeulen van Fraudehelpdesk.nl bezit. ‘Den Haag doet sinds 2013 geen uitspraken meer over de hoeveelheid fraudegevallen in Nederland. Minister Plasterk zei destijds dat er 100.000 gevallen bekend waren. Over het jaar 2014 hebben wij in totaal 790 fraudemeldingen gehad, afgelopen september zaten we al op 784 gevallen. Het aantal neemt dus toe.’ De meeste meldingen die fraudehelpdesk ontvangt gaan over wanbetalingen van bedrijven. Oplichters stelen de legale gegevens van bestaande bedrijven. Ze bestellen iets, ontvangen de goederen en betalen vervolgens niet. Er zijn volgens Vermeulen al veel bedrijven voor miljoenen het schip ingegaan. De doelgroep met de meeste slachtoffers durft hij niet te noemen. Volgens Vermeulen komt het op elk niveau voor.

Het Amerikaanse Center for Strategic and International Studies (CSIS) heeft in opdracht van McAfee onderzoek gedaan naar de economische gevolgen van cybercriminaliteit. De uitkomst stelt dat Nederland jaarlijks 8,8 miljard euro schade lijdt. Dat is een schade van 1,5 procent op het Bruto Binnenlands Product. De Nederlandse overheid biedt echter geen begroting aan in de miljoenennota van 2015 om cybercriminaliteit tegen te gaan. In de miljoenennota is opgenomen dat het Openbaar Ministerie tot 20 miljoen euro oplopend steun krijgt om cybercriminelen voor de rechter te krijgen, maar dit bedrag is daarnaast ook bedoeld om andere internationale misdrijven zoals mensenhandel tegen te gaan. Uit onderzoek van CSIS is ook de wereldwijde economische schade van cybercriminaliteit opgenomen. Deze schade bedraagt 327 miljard euro per jaar.

Bescherm jezelf tegen gevaar
Een deel van dat geld komt niet bij bedrijven, maar bij burgers vandaan. Om jezelf tegen identiteitsfraudeurs en criminelen te beschermen, moet je op je hoede blijven. Tegenwoordig willen we overal online zijn en komen gratis Wifi-netwerken als paddenstoelen uit de grond. Je kunt bijvoorbeeld bij de McDonald’s of Starbucks gratis gebruikmaken van Wifi-verbindingen, maar de risico’s van deze gratis netwerken zijn enorm volgens Van Rijsewijk. ‘Je smartphone onthoudt de netwerken waar je gebruik van maakt en dit maakt het voor criminelen gemakkelijker om jouw gegevens te stelen.’

Stel: je wilt pinnen bij Starbucks of McDonald’s maar dat lukt niet. Je maakt gebruik van de gratis Wifi-verbinding en maakt geld over van je spaar- naar betaalrekening. Een maaltijd later controleer je jouw saldo en blijk je duizenden euro’s kwijt te zijn. Hoe dit kan? Criminelen maken misbruik van gratis verbindingen. Ze leggen een tussennetwerk aan met exact dezelfde naam en inlogcode. Omdat je smartphone dat onthoudt, maakt deze automatisch verbinding. Als jij dan je bankzaken regelt, dan leest de crimineel mee, steelt je gegevens en haalt geld van jouw rekening zonder dat je het door hebt.

Veiligheid garanderen
Is het dan onmogelijk om je privégegevens veilig te stellen? Nee, dat is het niet. ‘Als je niet wilt dat iemand jouw identiteit overneemt op het wereldwijde web, dan moet je ervoor zorgen dat je privégegevens niet op het internet zet. Je moet offline werken en zorgen dat je media-apparaat niet op het internet is aangesloten’, zegt Van Rijsewijk. ‘Zolang je smartphone of laptop niet is aangesloten op het web kan niemand bij je gegevens komen. ‘ We moeten dan onze bankzaken gewoon weer bij de bank regelen, in plaats van via applicaties. Maar’, zo stelt hij ook, ‘we leven in het jaar 2015. Het internet is een godsgeschenk, we moeten er gewoon zorgvuldig mee omgaan.’

Als je een goed beveiligd netwerk thuis aanlegt, waarbij je een goed overzicht hebt van alle internetactiviteiten, dan hoef je je als burger minder zorgen te maken om gestolen gegevens. “Je hebt dan een goed overzicht van wat er gebeurd en het is voor criminelen niet aantrekkelijk om een tussennetwerk aan te sluiten op een thuisnetwerk. Zij zitten liever op gratis wifi-plekken waar door veel mensen gebruikgemaakt wordt’, zegt van Rijsewijk. Het is dus verstandig om geldzaken te regelen voordat je op pad gaat. Als het dan toch buiten de deur moet, doe het dan niet via een gratis wifi-netwerk maar zorg dat je op een goed beveiligde verbinding zit.

Kader 1
Miljoenenfraude bij meer dan 100 banken
De afgelopen twee jaar hebben Chinese, Russische en Oekraïense cybercriminelen het voor elkaar gekregen om voor minimaal 300 miljoen dollar te stelen uit de bankenwereld. Dit bedrag kan volgens het Kaspersky Lab – dat onderzoek deed naar de activiteiten – drie keer zoveel zijn maar dat blijkt nog moeilijk te traceren omdat er maximaal voor 10 miljoen dollar per keer is gefraudeerd. De meer dan 100 getroffen banken die zijn verspreid over 30 landen hadden verouderde software waar de cybercriminelen gretig gebruik van hebben gemaakt. Door het gebruik van malware wisten criminelen binnen te dringen en valse rekeningnummers aan te maken. Ze stuurden besmette Word-documenten naar medewerkers, waarna ze codes downloaden en video’s maakten om steeds dieper in het systeem van de bank te komen. Het is de eerste keer dat er zo grootschalig gefraudeerd is bij zoveel verschillende banken tegelijk. De problemen kwamen aan het licht toen een geldautomaat in Oekraïne geld begon te spugen.

Kader 2
DigiD veiligheidsvoorwaarden 2.0
Het NCSC heeft haar richtlijnen voor ICT-gebruik door overheidsinstanties in 2015 aangescherpt. De instantie is met nieuwe voorstellen gekomen om de veiligheid van webapplicaties te verbeteren. De belangrijkste speerpunten bevinden zich in het uitvoerende domein. Controle op het gebruik van webapplicaties moeten aangescherpt worden en netwerken moeten integer met de informatie omgaan. Het NCSC wijst echter ook veel naar de risico’s. Ze stelt daarmee vast dat geen enkel netwerk de risico’s van buitenaf mag onderschatten. In het document is opgenomen dat derden in staat zijn om de inhoud van webapplicaties te verstoren en te manipuleren. Het NCSC draagt daarom extra zorg voor de uitvoering van de veiligheidsrichtlijnen. De instantie is ervan overtuigd dat ze zoveel mogelijk hun best moeten doen om problemen te voorkomen, ook al kunnen ze geen enkele garantie bieden.

Kader 3
Contactloos betalen is gevaarlijk
Met de komst van de NFC-chip kunnen we met bankpassen en nieuwere modellen smartphones contactloos betalen bij pinautomaten die dat ondersteunen. De chip maakt het mogelijk om tot bedragen van maximaal vijftig euro per dag te pinnen, zonder dat je een pincode hoeft in te voeren. Dat is snel en gemakkelijk, maar veilig is het allerminst. Bij verlies of diefstal kan een ander zonder moeite twee keer bedragen van maximaal 25 euro pinnen. Banken als Knab en Rabobank laten jou voor de kosten opdraaien als het zover komt. ABN-Amro doet dat niet per definitie, maar biedt niet de mogelijkheid de contactloos betalen-functie uit te zetten. Wil je ervoor zorgen dat dit contactloos betalen niet meer mogelijk is, dan kun je de chip afplakken met metaal. Dat zorgt ervoor dat de pinautomaat en de chip elkaar niet kunnen lezen.

Beeldmateriaal

Suggestie 1: (begin van het artikel) Foto van Roel van Rijsewijk achter zijn laptop die laat zien dat hij mijn smartphone heeft gehackt.

Bijschrift: Roel van Rijsewijk weet hoe je een digitaal product binnendringt. Zijn advies: “wees altijd op je hoede”.

Suggestie 2:

suggestie2

Cybercriminaliteit vind plaats over de hele wereld. Iemand vanuit China kan zo je computer hacken als je niet uitkijkt.

Suggestie 3: (richting einde) Een foto waarin je ziet hoe iemand die net geld overmaakt van zijn bankrekening terwijl hij/zij gebruikmaakt van een gratis wifi-netwerk. Op deze foto zie je dan ook de crimineel die met je meekijkt via diens laptop. (Om het gemak aan te tonen dat die persoon direct om de hoek kan zitten terwijl je het niet door hebt)

Bijschrift: Criminelen hoeven niet over je schouder mee te kijken. Ze zien op afstand welke gegevens je invoert via hun eigen media-apparaat.

Lees hier de verantwoording.

Advertenties
Dit bericht werd geplaatst in Geen categorie. Bookmark de permalink .

Geef een reactie

Vul je gegevens in of klik op een icoon om in te loggen.

WordPress.com logo

Je reageert onder je WordPress.com account. Log uit /  Bijwerken )

Google+ photo

Je reageert onder je Google+ account. Log uit /  Bijwerken )

Twitter-afbeelding

Je reageert onder je Twitter account. Log uit /  Bijwerken )

Facebook foto

Je reageert onder je Facebook account. Log uit /  Bijwerken )

Verbinden met %s