Blog - Securitylessen van mijn vader
Door Robert Metsemakers 16 okt 2020
Vier dingen die ik spelenderwijs van mijn vader leerde zijn ook toepasbaar in het securitywerkveld.
1. Slalommen op je fiets is leuk en nog leuker als je het doet in een haven. Zorg wel dat de aansluitende trapper omhoog is als je op de kade een vrije bolder aan de waterkant wilt passeren. Anders val je met fiets en al in het water en wordt je vader (hij bedoelde: mijn opa) zeer boos. Met andere woorden: als je software automatisch periodiek het bestand -waar je aan werkt- opslaat, maak dan aan het begin van elke werksessie een veiligheidskopie. Met bijvoorbeeld een volgnummer in de naam. Zodat je weggooi-actie in je afstudeerwerkstuk, de onherstelbare nieuwe sortering in een spreadsheet of de moeilijke Photoshop-operatie niet meteen onbedoeld wordt opgeslagen in de enige versie van je bestand. Sommige mensen zijn fanatiek met back-ups en kopiëren elk uur hun hele harde schijf naar een extern exemplaar. Als je de leesbaarheid van deze kopie nooit controleert, wees dan bij een ransomware infectie niet verbaasd als de malware ook die volledige kopie van een uur geleden heeft besmet. Bij back-ups met magnetische tapes hanteert men het grootvader-vader-zoon-principe. Zodat er dus altijd twee generaties back-ups aanwezig zijn, met enige tijd ertussen en waarbij de restore-mogelijkheid regelmatig wordt getest. Dat is nog steeds een goed idee.
2. Een steen maakt een grappig geluid op een Duitse staalhelm. Afgevuurd met een katapult is de energie van de steen groter en het geluid harder. Je kunt na enige oefening zelfs een staalhelm van het dak van het schuurtje af schieten. Doe dit niet terwijl je er recht onder staat, want zo’n vallende helm geeft door zijn scherpe rand rondom een flinke snijwond in je hoofd en leidt tot behoorlijk veel bloedverlies.
Stel je hebt een algoritme bedacht om gegevens te anonimiseren door de naam van klant 1 te koppelen aan het adres van klant 2 en de woonplaats van klant 3. Met een geanonimiseerde productiedatabase kan de business niet werken. Pas daarom je anonimiseer-programma niet toe op de live productiedatabase, maar maak daarvan eerst een kopie. Als het algoritme afdoende anonimiseert, is het immers niet eenvoudig terug te draaien. Anders kan iemand met inzage in het volledige bestand (een tester of zo, ik noem maar iets) dat immers ook gemakkelijk doen!
3. Mijn vader verkocht verzekeringen en ontving als tussenpersoon alle schademeldingen in onze buurt. Daardoor had ik reeds als kind over al die gebeurtenissen toegang tot actuele threat intelligence, die mijn vader tijdens het spelen, bij de dagelijkse net-uit-school-thee of aan de eettafel met gedetailleerde voorbeelden zeer actionable maakte voor mij. Hij deed me voor hoe je het beste achterstevoren op je fiets kunt rijden. Alles is andersom: links en rechts op het stuur zijn verwisseld en je terugtraprem gaat naar voor. Verder zit het ongemakkelijk, dus je kunt het niet goed lang aan een stuk doen. En je ziet niet waar je heengaat, zoals bij reverse engineering van malware.
Toch was hij zuinig op zijn fiets die hij na gebruik ook telkens (en afgesloten) in het schuurtje stalde. Laat terwijl je binnen bent bij het stallen van je fiets niet je complete sleutelbos aan de buitenkant in het slot steken. Een inbreker kan jou namelijk met je eigen sleutels opsluiten en rustig het hele huis leegroven. En omdat er dan geen braaksporen zijn, wordt de diefstal niet gedekt door de verzekering. Het gaat er dus niet om óf je verzekerd bent, bijvoorbeeld tegen computercriminaliteit en malware, maar wat de precieze definitie van de dekking in de polis is. En dat, wanneer je al je wachtwoorden opslaat in één passwordmanager, het noodzakelijk is om dat ene wachtwoord van dat programma uitstekend te beveiligen. Dus niet al je sleutels of eieren in één mandje bewaren, want dan kun je ze allemaal tegelijk kwijtraken. Overigens: als je een wachtwoordsysteem gebruikt met overal ‘pietjepuk-2020’ gevolgd door FB, LI, WA voor respectievelijk Facebook, Linkedin en Whatsapp heb je weliswaar overal andere wachtwoorden die je gemakkelijk kunt onthouden, maar loop je toch een risico. Iemand die één wachtwoord van je onderschept, kan daarmee gemakkelijk de andere wachtwoorden raden. En de eigenaar van de app, website of applicatie (bij connectie via internet) waar je een wachtwoord aanmaakt, hoeft deze niet eens te onderscheppen. Je geeft hem/haar bij het registeren immers dat wachtwoord zelf. Dat jij op het invoerscherm sterretjes ziet, betekent niet dat de ontvanger het niet kan lezen en onversleuteld opslaan in een wachtwoordentabel.
4. Mijn laatste voorbeeld gaat over communicatie. Mijn vader leerde me dat lezen leuk en nuttig is, omdat je jezelf er altijd (bij regen en zonneschijn) mee kunt vermaken en dat je er vrijwel alles mee kunt leren. Hij deelde zijn praktijkkennis (zie hiervoor) en schonk me verder aandacht, tijd en liefde en werd zo mijn trusted advisor. Als hij iets zei, geloofde ik dat direct. Toen we een keer tijdens een boswandeling een weiland omringd door schrikdraad zagen, wist ik al genoeg door het lezen van het waarschuwingsbord. Mijn vader vertelde me dat je niet aan het draad moest komen en zeker niet met natte handen, bijvoorbeeld na het zwemmen.
Later leerde ik tijdens mijn NLP-studie dat ik zowel in de visuele (lezers, kijkers) als de auditieve (luisteraars, toehoorders) groep viel, qua geprefereerde communicatiestijlen. En op die NLP-voorkeur representatiesystemen moet je inspelen om je security awareness boodschap goed over te laten komen bij je doelgroep(en). Door bovengenoemde lessen bleef ik gelukkig buiten de derde groep mensen, die communicatie over security zelfs niet wil geloven als het duidelijk is opgeschreven en met grafieken en schema’s is toegelicht. En ook niet wil luisteren als een betrouwbaar iemand geduldig en met aansprekende (!) voorbeelden de risico’s in een presentatie uitlegt. Neen, deze laatste groep (de voelers) kan dat iets op securitygebied géén goed idee is helaas alleen ontdekken door zelf op het schrikdraad te plassen.
Robert Metsemakers schrijft op persoonlijke titel en is als ervaren IT-auditor en informatiebeveiligingsexpert beschikbaar voor security-advies en (algemene) schrijfopdrachten via robert.metsemakers@gmail.com
Dit blog verscheen in IB5-2020.