Je bent een gevaar voor jezelf, voor je gezin, voor je omgeving en misschien zelfs voor de maatschappij. Neem actie!
In de loop der jaren heb je vastgesteld bij je bank niet meer welkom te zijn wanneer je acceptgirokaarten komt afgeven. Van je creditcard-maatschappij krijg je geen afschriften meer zonder extra te betalen. Gisteren heb je kunnen lezen dat de gele borden met de vertrektijden op de NS-stations gaan verdwijnen. En je kinderen sturen je al lang geen foto’s meer; je moet zelf maar op Facebook gaan kijken. De aanschaf van een personal computer was daarom geen weloverwogen besluit maar pure noodzaak.
Veronderstel nu dat je het merendeel van je leven niet werkzaam bent geweest als automatiseerder, geen diepgaande IT-security achtergrond hebt en niet werkzaam bent als cybercrime-rechercheur. Ook heb je geen recente opleiding, training of cursus gevolgd die je bekend maakt met begrippen als hacking, fishing, encryptie, ssl en https. Nog een paar? Pki, digipas, tokens, tan-codes, trojan, strong authentication, two-factor authentication, certificates, … De boodschap is denkelijk wel duidelijk.
Ondanks het feit dat je dus niet deskundig bent, wordt wel van je verwacht dat je in staat bent je personal computer, smartphone en tablet op een zodanige wijze te gebruiken en te beschermen – én dat aan te tonen – dat de bank voldoende overtuigd is van je inspanningen om in geval van een ongeautoriseerde geldopname of overboeking, tot compensatie over te gaan. Begrijp je het nog?
Maar ook andersom ligt het niet zo eenvoudig: waarom zou een bank eigenlijk geleden schade moeten compenseren wanneer ze die niet heeft veroorzaakt en jij gewoon niet goed met je spullen omgaat? Natuurlijk weet de bank dat er heel wat mensen zijn die geen flauw benul hebben van de gevaren die hun ondeskundigheid met zich meebrengt. Maar je spreekt de fabrikant van je auto er niet op aan wanneer jij door ondeskundig gebruik een auto ongeval veroorzaakt. Waarom dan wel je bank? Het is dan ook best bijzonder dat sommige banken in sommige gevallen – en dat zijn er (nog) héél wat – geleden schade vergoeden. Dat is pure coulance en eigenlijk nergens voor nodig.
Diefstal hebben we een paar duizend jaar geleden al verboden en de digitalisering tegenhouden is geen optie. Waar het aan schort is bewustwording en begrip bij de gebruiker. Want het aantal mensen dat zelfs niet beschikt over een minimale kennis ten aanzien van de risico’s die zij lopen en hoe zich daar tegen moeten beschermen is schrikbarend. Dat is géén probleem van de banken, van werkgevers of scholen – dat is een maatschappelijk probleem en zwaar onderschat. De ontwikkelingen zijn namelijk zó snel gegaan dat velen die niet hebben kunnen volgen en zonder serieuze en grootschalige aanpak zal dit probleem in de komende jaren alleen maar toenemen. Voor sommigen met dramatische gevolgen, want de banken zullen niet tot in het eind der dagen schade vergoeden die zij niet hebben veroorzaakt. De eerste aanzetten daartoe hebben we zojuist gezien: je moet het adequate gebruik en de bescherming van je computer aantonen! Dat gaat niet eenvoudig worden; sterker nog, dat is naar mijn mening onmogelijk. Want als je dit daadwerkelijk kunt aantonen, dan is een inbraak niet mogelijk – realiseer je dat!
De grootste risicofactor is de gebruiker zelf: bij phishing verstrekt deze zelf de informatie die de inbreker nodig heeft om zijn slag te slaan. Hij geeft zijn gebruikersnaam en/of wachtwoord door; telefonisch, persoonlijk, in een email, … Vaak is het wachtwoord ook gemakkelijk te raden: de naam van de echtgenote, de zoon of het kenteken van de auto. Of hij gaat er slordig mee om door het in te typen terwijl iemand meekijkt. Hij verandert het minder dan één keer per 60 dagen (of zelfs nooit), het is een bestaand woord of telt minder dan acht karakters. Misschien is het zelfs opgeschreven en wordt hetzelfde wachtwoord in meerdere systemen gebruikt. Fout-fout-fout!
Geen virusscanner geïnstalleerd? Niet ge-update. Een verouderd besturingssysteem of niet recent gepatched? De computer heeft geen toegangsbeveiliging? De laptop blijft onbeheerd terwijl deze is ingelogd? Op een publieke PC wordt email gelezen of ergens ingelogd? De laptop is verbonden met een open WiFi-netwerk en ook hier wordt email gelezen of ergens ingelogd? Fout-fout-fout!
De USB-stick wordt uitgeleend en in een andere computer gestoken om gegevens uit te wisselen – er kan onbewust een virus worden uitgewisseld. Software wordt gedownload en geïnstalleerd zonder zeker te zijn dat deze geen ongewenste functionaliteit bevat – een trojan kan worden geïnstalleerd en de PC kan opeens volledig op afstand worden overgenomen en een kwaadwillende kijkt mee (ook wanneer een banktransactie wordt uitgevoerd) .Of anders maakt de PC opeens deel uit van een bot-netwerk waarmee spam-berichten worden verstuurd; waar dacht u anders dat die advertenties voor potentieverhogende middelen en penis-vergroting vandaan kwamen?
In een email van de bank word je verzocht een jouw onbekende betaling te bevestigen. Je klikt op de link en toetst op een site die perfect op die van je bank lijkt, je gebruikersgegevens en wachtwoord in. Die gegevens ben je nu kwijt en met een beetje pech wordt ongemerkt ook meteen programmatuur geïnstalleerd waarmee je PC in de gaten wordt gehouden. Bij de volgende bankoverboeking wordt het bedrag ongemerkt verhoogd en de ontvanger aangepast. In een ander geval worden de gegevens op je harde schijf meteen versleuteld en word je verzocht $ 300 op een bankrekening over te maken om de sleutel te krijgen. Daar krijg je drie dagen de tijd voor en daarna wordt ook de sleutel vernietigd en kom je nooit meer aan je data. Dit is zelfs een politiebureau in de VS overkomen; zij hebben betaald! Maar hoe dan ook: weg geld en eigen schuld!
Ben je de Engelse taal niet voldoende machtig, dan kun je nóg gemakkelijker om de tuin worden geleid en dan heb je niet eens in de gaten dat je virussen en andere kwaadwillende programmatuur downloadt en installeert terwijl je een ‘normale’ website bezoekt.
Wat moet je dan doen wanneer je niét zo’n IT-deskundige bent? Natuurlijk kun je je kennisniveau vergroten, maar dat vergt een behoorlijke inspanning en is niet voor iedereen weggelegd. Behoor jij niet tot die mensen, dan kun je eigenlijk alleen maar je digitale handelingen in twee categorieën verdelen die je op verschillende systemen uitvoert. Handelingen die een serieus risico met zich meebrengen zoals software downloaden, games spelen, het bezoeken van minder serieuze websites e.d. doe je op een aparte computer die je bovendien regelmatig helemaal opnieuw inricht. Daarvoor is overigens programmatuur verkrijgbaar die dat volledig automatisch doet telkens wanneer je het systeem herstart. Op je andere systeem doe je de serieuze dingen; daarop doe je je bankzaken, lees je je emails en vul je je belastingaangifte in. En natuurlijk maak je voor die handelingen nooit gebruik van andermans systeem of van openbaar WiFi. Nooit, maar dan ook écht nooit geef je een gebruikersnaam en/of wachtwoord af; ook niet aan je baas, de IT-afdeling, een politie-agent of je bank. Je houdt je virusscanners up-to-date, gebruikt complexe wachtwoorden en verandert die regelmatig. En natuurlijk maak je regelmatig een back-up die je óók extern bewaart.
En op een goede dag zijn we misschien in staat systemen te maken die écht veilig zijn. Maar de kans dat jij en ik dat nog gaan meemaken is minimaal.