Een goed discussie punt!

Mensen vergeten vaak dat met dingen uit hun mail dan wel niet via hun facebook "identity theft" kan plaats vinden, hoe de "dieven" over hun slachtoffer weten hoe makkelijker het is voor hun. Toegang tot mail accounts en facebook is dus weer een tool om verder te komen.

Uit facebook en mails kunnen vaak best persoonlijke dingen worden gehaald, vanuit hieruit kan je vaak wachtwoorden raden.
Stel een gebruiker heeft ING en internet bankieren, hier kan je inloggen en alle bank zaken zien. Worst case heeft de gebruiker zijn tancode lijst (indien deze niet via sms verstuurd worden) in zijn of haar mail staan waardoor er betalingen gedaan kunnen worden.

Als een identiteit eenmaal gestolen is kunnen er bestellingen worden gedaan die niet bij de gebruiker aankomen maar bij de "dieven" maar het slachtoffer moet wel betalen.

Dit is maar een kleine voorbeeld, er kunnen vele ergere dingen worden gedaan waardoor mensen diep in de schulden kunnen komen, zware ruzie en soms zelfs boetes of in de gevangenis kunnen komen.

-- edit: typo

Het feit is dat je de nagel op de kop slaat maar dat mensen dit niet (willen) zien. De argumenten die je aanhaalt zijn inderdaad correct maar mensen achten het risico zo klein dat zij daar net slachtoffer van zouden worden. 'Waarom ik, er is niets speciaals aan mij' is dan vaak de houding. Het is pas wanneer iemand hun hotmail 'hackt' (lees: security vragen juist raadt) of er postings van hun facebook komen dat ze het erg beginnen vinden.

Ik zoek de manier om hen wakker te schudden. Hetgeen nu mijn stokpaardje is geworden is het verhaal van Matt Honan(de journalist die zijn digitaal leven gewiped werd nvdr.) en dat maakt indruk op IT'ers maar helaas niet op 'Jan met de pet'. Kortom, ik zoek dus argumenten om mensen wakker te schudden en aan te tonen waarom zij ook een cruciaal onderdeel zijn van (bedrijfs)veiligheid door het aan te tonen via hun prive leven.

Ja... De vergelijking met voordeuren en auto's op slot doen is grappig, maar werkt niet omdat men in die gevallen weet dat wat in het huis ligt of dat de auto waardevol is. Zolang mensen geen idee hebben wat de waarde is van de informatie en welke schade aangericht kan worden, is het moeilijk om ze 'bang' te maken.

Veel IT'ers en beveiligings mensen snappen vaak niets van de behoeften van medewerkers. Medewerkers zijn over het algemeen niet geïnteresseerd in zaken die zich mogelijk zouden kunnen voordoen, en willen zo min mogelijk 'last' van je hebben. Pas als er incidenten plaats vinden weten ze je te vinden en ben je hun grootste vriend. Face it, security is geen sexy beroep en je doet meestal niets tastbaars waarmee je kunt aantonen dat je goed bezig bent. De meesten snappen niet eens waar je mee bezig bent of waar je je druk overmaakt. Zolang er geen incidenten plaats vinden ben je 'overbodige' ballast.
In jouw verhaal is het belangrijk dat je directies meekrijgt in je verhaal, alhoewel die nog veel lastiger zijn te overtuigen dan de gemiddelde medewerker. Je zult je verhaal moeten onderbouwen vanuit 'tastbare' risico analyses om aan te tonen wat de gevolgen kunnen zijn wanneer zaken fout gaan. En ja, in veel gevallen blijkt helaas uit een risico analyse dat de mogelijke schade laag of op een zodanig acceptabel niveau ligt dat maatregelen niet nodig geacht worden en dan wordt het lastig om dan nog een punt te maken over beveiliging. Dan kun je alleen maar hopen dat er zich (ernstige) incidenten gaan voordoen want dan heb je wel ineens de aandacht.
Ondertussen kun je wel gewoon doorgaan met je boodschap uitdragen op bijvoorbeeld iets als intranet of zo. Verpak het met sprekende voorbeelden, o.a. van herkenbare incidenten vanuit de media en hou het vooral simpel. Medewerkers en managers haken direct af bij technische verhalen, hoe simpel deze ook lijken te zijn.

Beste onderwerpstarter , hier wat opmerkingen ter overdenking als je in een discussie komt met de "heb niets te verbergen" dus waarom zou ik er meer dan een password op nahouden "figuur"


Vind dat wel altijd een mooie opmerking "ik heb niets te verbergen" , even nadenken over de veiligheid van websites, men kan bij id theft illegale informatie overal neerzetten.
(veel websites hebben een nu niet al te veilig te noemen pw policy)

Bestellingen doen op jou naam, toeslagen aanvragen , die je dan later moet terugbetalen, terwijl je er nog nooit iets van hebt gezien .

En niets te verbergen , de vraag is of men werkelijk al zijn medische gegevens in de Telegraaf wil zien , of naaktfoto's verspreid wil zien als iemand toevallig prins "Harry" heeft ;-)

De juiste opmerking in dit geval is "ik heb niets onwettigs te verbergen" maar mijn salaris , medische gegevens mijn adres ed. gaat niemand ene malle moer aan.

Een ander aspect is natuurlijk je werkgever , veel informatie kan vertrouwelijk of geheim zijn. Ook hier speelt het gebruiken van één pw een belangrijke rol, niet jouw gegevens liggen op straat , maar de medische dossiers van alle medewerkers van een bedrijf liggen op straat omdat iemand voor zijn werk hetzelfde pw gebruikt als voor bv. linkedin .......

Dit zou zelfs kunnen leiden tot diciplinaire maatregelen inclusief ontslag .

En je zou het niet fijn vinden om in grote chocolade letters te lezen dat er bij je bedrijf is ingebroken , gebruikmakend van jouw account, wat helaas alleen maar beschernd was met pw123456 wat je ook toevallig overal ander gebruikt .


Sterkte met de discussies

Met vriendelijke Groet SPlid

Probeer een kind, op een zeer koude winterdag, eens uit te leggen dat een radiator heel warm kan worden en het daarom erg onverstandig is om de radiator met je blote handen aan te raken... Hoe simpel je dat ook uitlegt, hoe vaak je het kind ook waarschuwt "Pas nou op!" er komt een keer een moment dat het kind de handjes toch tegen de radiator aanplakt, met alle gevolgen van dien. Maar geloof mij, het kind zal datzelfde geintje nooit meer uithalen... levenservaring zeg maar.

Het kind in het voorbeeld is de gemiddelde computer gebruiker. Ik ben dan ook al gestopt (bij fam. en vrienden e.d.) om uit te leggen waarom ze bijvoorbeeld moeten oppassen met het surfen op InterNet. Wie niet horen wilt, die moet maar voelen.

Daarbij, als gebruikers overal maar domweg (zonder te lezen) bij pop-ups op 'Ja' of 'Ok' blijven klikken, op linkjes in foute e-mails klikken, en ga zo maar door, dan heeft een goed en sterk wachtwoord eigenlijk ook al geen zin meer. Want zonder dat het ze door hebben is er zomaar ineens een 'keylogger' geïnstalleerd.

"Daarbij, als gebruikers overal maar domweg (zonder te lezen) bij pop-ups op 'Ja' of 'Ok' blijven klikken, op linkjes in foute e-mails klikken, en ga zo maar door, dan heeft een goed en sterk wachtwoord eigenlijk ook al geen zin meer."

Advies op dat gebied geven is vaak water naar de zee dragen.

Als je mensen vertelt dat ze wel op ja moeten klikken bij legitieme software updates, and doen ze dat ook bij kwaadaardige pop-ups. Als je mensen vertelt dat ze geen ja moeten klikken bij kwaadaardige popups, dan negeren ze ook de legitieme updates. Waarbij je het de gebruiker vaak eigenlijk nauwelijks kwalijk kan nemen.

Zo heb je bijvoorbeeld zowel legitieme updates voor Adobe Flash (om maar wat te noemen) als ook malware die soortgelijke vensters laat zien. Leg aan een gebruiker maar uit wanneer je wel op ja moet klikken, en wanneer niet, indien dat onderscheid nauwelijks te maken valt.

Wat dat betreft is het erg gemakkelijk om te roepen dat mensen niet op 'verdachte' linkjes en popups moeten klikken, omdat het onderscheid voor gebruikers vaak moeilijk te maken is.

Zie mijn (uitgebreide) bijdrage in https://secure.security.nl/artikel/34877/1/Privacy_bewustwoording.html en, voor eeen voorbeeld waarom je een goed wachtwoord voor je e-mail account moet kiezen, https://secure.security.nl/artikel/34366/1/Mugged_in_London_%28419_scam%29.html.

Succes!

"Ik heb niets te verbergen" betekent vermoedelijk "ik geneer me niet voor wie ik ben en hoe ik leef". Iedereen heeft echter volkomen acceptabele dingen te verbergen, van de pincode waarvan je liever niet hebt dat de zakkenroller die achter je in de rij staat bij de kassa hem te zien krijgt tot de volkomen legitieme seks met je partner die tot problemen leidt als je die niet achter gesloten gordijnen hebt maar in het openbaar.

Er zijn al dingen als identiteitsdiefstal en werkgevers genoemd, die ga ik niet herhalen. Een voorbeeld dat nog niet genoemd is zijn een paar jonge Britten die op vakantie gingen naar de VS, bij aankomst werden verhoord en zonder pardon teruggestuurd omdat ze op hun publieke Facebookpagina's enthousiast hadden gemeld dat ze Amerika onveilig gingen maken ("destroy America" was het Brits-Engelse equivalent van die uitdrukking geloof ik) en Marilyn Monroe op gingen graven. Amerikaanse veiligheidsmensen waren kennelijk vergeten wat voor onzin ze zelf uitkraamden toen ze jong waren en namen het letterlijk, zodat de jongeren als veiligheidsrisico werden gezien en het land niet inmochten. Die lopen denk ik een reëel risico dat niet alleen hun vakantie in het water is gevallen maar dat ze er ook in de toekomst last van krijgen, mochten ze nog eens aanleiding hebben om richting VS te gaan, voor hun werk bijvoorbeeld.

Er schiet me opeens nog een heftig voorbeeld te binnen. Dat speelde meer dan tien jaar geleden. Een vriend van me had een nieuwe relatie met iemand die een jaloerse ex achterliet. Die wist makkelijk informatie over mijn vriend te verzamelen (die had een homepage waar het nodige opstond, wat nu een Facebookpagina zou zijn), en bouwde een website waarop hij foto's en teksten van het origneel vermengde met bij elkaar gelogen verhalen over seksuele avontuurtjes die mijn vriend met minderjarige jongens zou hebben, compleet met foto's van kinderen. Hij zette mijn vriend neer als openlijke en actieve pedofiel dus, en door het gebruik van originele foto's en informatie zag het er nog geloofwaardig uit ook. Omdat die ex in een ander land woonde was het een nogal ingewikkelde aangelegenheid om het juridisch aan te pakken, maar de website zelf is snel uit de lucht gehaald, gelukkig was een bekende hem tegen het lijf gelopen toen hij nog maar net live was. Kan je je voorstellen wat zo'n website voor ellende tot gevolg kan hebben? Het gebruik van echte en op zich volkomen onschuldige informatie maakte hem geloofwaardig.

Je eigen uitleg van de informatie die je online zet is ongetwijfeld niets om je zorgen om te maken. Wat een ander ermee doet heb je totaal niet in de hand, die kan het vervormen, zich voor jou uitgeven, of er verwrongen interpretaties aan geven die je daadwerkelijk last bezorgen. Dáárom doet privacy er toe, ook bij heel alledaagse informatie.

Beveiligen van computers is verder belangrijk omdat zonder die beveiliging inbrekers niet alleen bij informatie kunnen maar bijvoorbeeld ook internetbankieren aan kunnen passen zonder dat jij dat ziet. Het geld dat je overmaakt komt onverwacht in Litouwen terecht in plaats van bij de webwinkel, bijvoorbeeld. Het is niet zo dat internetbankieren veilig blijft als een computer gecompromitteerd is: dan kan je niets wat op dat ding gebeurt meer vertrouwen.

Succes met de voorlichting. Als duidelijk is dat informatie in verkeerde handen niet onschuldig is wordt het belang van beschermen van die informatie hopelijk ook duidelijker. Helaas krijg je dan te maken met mensen die optimistisch denken dat het alleen iemand anders overkomt of dat het allemaal wel met een sisser af zal lopen.

als mensen zeggen niets te verbergen te hebben
vraag ik

okay

hoe laat ga je naar bed
hoe vaak vrij je met je partner, doe je het weleens met jezelf?
hoe zag je laatste belasting aangifte eruit?
waar bewaar je de reserve sleutels van het huis?

hoezo niets te verbergen?

Weet je ik probeer het ook al een jaartje of drie bij de mensen waar ik dan kom.
Maar niemand doet er iets mee.

Ik raad ze social media af, en wat doen ze ze maken fijn een account bij Facebook. ( en delen alles)
Ik leg hun uit om te zoeken met DuckDuckGo of Ixquick, en wat doen ze? Juist ze Googlen er weer flink op los.
Ik raad ze Kaspersky als AV aan, en ze installeren een gratis versie.
Ik raad ze aan om wachtzinnen te gaan gebruiken, en ze verzinnen nog steeds korte onveilige wachtwoorden.
Dan downloaden enkele nog onzinnige software die ze niet een kunnen bedienen door de vele opties, en ja hoor
met crack natuurlijk.

En dit alles bij de meeste mensen waar ik kom.
Dan is de PC geinfecteerd en komen ze naar mij toe.

Tja dan zeg ik ga maar de pc boer op de hoek, waar ze moeten betalen voor een nieuwe installatie (pakweg 50 euro)
En een week later doen ze weer hetzelfde.

Goed die mensen laat ik fijn aanmodderen. Een gewaarschuwd mensen telt voor twee.

De meeste van dit soort kun je beter gewoon laten aanmodderen omdat ze het gewoon werkelijk totaal niks
uitmaakt. Het probleem is echter dat deze er ook nog mooi mee wegkomen iedere keer.

Heel soms hoop ik dan dat deze eens ooit flink worden getroffen door een virus dat de gehele schijf doet wissen
en dat keer op keer zodat ze eindelijk een wakker worden.

Kranten, media, internet staat er vol van dus waarom zou jij ze steeds maar op de gevaren moeten wijzen?
Steek jouw tijd en dingen die voor jouw leuk zijn.

Dus ik steek er mijn tijd niet meer in.

Die opmerking komen van mensen af die het simpelweg niet interessant vinden en
de discussie daarmee afbreken.
Het levert ze niks op (denken ze) en het heeft geen langdurende nadelige gevolgen.

Malware op de PC, ach een handige kennis lost het weer op.
Geld van je bankrekening gejat, het wordt vergoed.

Verwijzen naar www.ikhebnietsteverbergen.nl zal dus ook niet helpen.
Men zal niet de moeite nemen om daar te kijken.

Pas als men of iemand uit hun kennissenkring zoiets meemaakt gaat men er over nadenken.

Argumenten zullen niet helpen, misschien acties wel.
Zoals hun facebook/mail/windows account wachtwoord wijzigen.
Laat ze dan maar even zweten. :)
Maar jammer genoeg ben je dan zelf strafbaar.