Hoe veilig zijn de kroonjuwelen van uw vereniging?

Even iets online bestellen in het park
Op televisie zag ik laatst een reporter samen met een man op een bankje in het park te praten over het gemak waarmee iemand kan inbreken in je computer via free wifi. Mijn aandacht werd getrokken, aangezien ik regelmatig gebruik maak van free wifi hotspots. De man vond binnen een mum van tijd de laptop van een vrouw die verderop zat. Hij liet zien hoe hij via de free wifi connectie toegang kreeg tot haar computer. Voordat ik mijn koffie op had, had hij al het wachtwoord van haar Amazon account inclusief credit card gegevens ontfutseld. Nu kon hij via haar account inkopen doen bij Amazon. Het gemak en de snelheid waarmee hij dit deed zette me aan het denken.

cybercrime-

Cybercrime
Recentelijk ben ik aan de slag gegaan bij CCI IT GROEP, een bedrijf dat onder andere software levert aan professionele ledenorganisaties. Om meer kennis op te doen over de impact van cybercrime, ging ik naar een voorlichtingsbijeenkomst van VNO-NCW inzake fraude en cybercrime. De sprekers vertelden onder andere over de verschillende vormen van cybercrime en de financiële schade.

Mevrouw Liesbeth Holterman, beleidsadviseur & adviseur Public Affairs Nederland ICT legde uit hoe je de kennis over cybercrime kunt toepassen op je organisatie. Zij adviseerde om jezelf als organisatie vragen te stellen als: Hoe richt je de dagelijkse praktijk veilig in? Waar vind je een goede adviseur en leverancier? Haar belangrijkste boodschap was dat je goed moet inventariseren wat je ‘kroonjuwelen’ zijn, welke informatie is heel kostbaar voor je organisatie. (bron: VNO- NCW, voorlichtingsbijeenkomst inzake fraude en cybercrime).

De digitale spion
Een andere spreker was werkzaam bij de AIVD. Hij vertelde over de verschillen tussen de ouderwetse spion, die overal naartoe reisden, en de digitale spion die vanachter zijn laptop thuis werkt. Daarna legde hij de werkwijze van de laats genoemde spion uit aan de hand van vier stappen.

  1. Infectiebron: de digitale spion verkent via Social Media wie hij kan benaderen en komt zoveel mogelijk over jou te weten. 
  2. Bewapening: dan gaat hij een manier bedenken om je inloggegevens te achterhalen, bijv. via een nep nieuwsbrief van je bank of van je tennisvereniging etc.
  3. Exploitatie: zonder dat je het in de gaten hebt, gaat de digitale spion volledig onder de radar zoveel mogelijk informatie verkrijgen.
  4. Exfiltratie: dit is het moment waarop de digitale spion zo veel mogelijk informatie gaat ontsluiten.

Ook hij kwam terug op de term ‘kroonjuwelen’ en hoe je deze dient te beveiligen. Om het te illustreren, noemde hij het gebruik van HTTPS en benadrukte dat hij tegenwoordig geen gegevens meer achterlaat op websites die geen HTTPS in de url hebben staan.

HTTPS is ook bij CCI IT GROEP een veelbesproken onderwerp. Daar kan mijn collega Lotje meer over vertellen. Vooral over de relatie tot verenigingen.

HTTPS een bittere noodzaak?
Een internetverbinding die beveiligd is met een certificaat is steeds meer regel dan uitzondering. In een wereld waarin we ‘any place, any time, any device’ hanteren, vormen onbeveiligde netwerken een constant risico. Zoals Rob al aangeeft: er zijn (steeds meer) mensen die een niet beveiligde verbindingen (terecht) vermijden. Het is steeds vaker een eis die gebruikers (lees: leden) stellen aan de vereniging. Immers, niet alleen leden kunnen via een open netwerk inloggen op het ledennet maar ook medewerkers van de vereniging kunnen via een onbeveiligde verbinding de backoffice in. En juist op die twee plaatsen liggen de zogenaamde kroonjuwelen van de vereniging. Het lek kan dus op twee manieren ontstaan. Je moet er niet aan denken dat uw gegevens of die van uw leden op straat liggen omdat de website en ledennet van uw vereniging via een onbeveiligde verbinding benaderbaar zijn.

Safe Harbour van tafel
Bovendien heeft het Europese Gerechtshof een verordening uitgevaardigd waarin het ‘Safe Harbour’ verdrag (het verdrag tussen de Verenigde Staten en de Europese Unie over de bescherming van dataverkeer) ongeldig is verklaard. De Wet Bescherming Persoonsgegevens (WBP) wordt per 1 januari 2016 aangescherpt en worden organisaties zoals verenigingen mede verantwoordelijk gehouden voor het lekken van persoonsgegevens.

Beter vindbaar met HTTPS
Last but not least: ook Google onderschrijft het nut en de noodzaak van beveiligde verbindingen. Sites met certificaat worden beter gewaardeerd én gevonden dan onbeveiligde. We zijn allemaal verantwoordelijk voor een veilig world wide web.

Hoe werkt HTTPS?
Bij gebruik van HTTPS wordt de data die wordt verstuurd versleuteld. Hierdoor wordt het voor kwaadwillende partijen vrijwel onmogelijk om te weten welke gegevens verstuurd worden. Omdat te realiseren dient men een Secure Socket Layer (SSL) Certificaat te installeren. Deze SSL Certificaten zijn niet te kopiëren of na te maken omdat er per domeinnaam één bijbehorend SSL Certificaat wordt uitgegeven.

Alert Online
Niet voor niets is onder andere VNO-NCW de campagne Alert Online gestart. Doe er uw voordeel mee en inventariseer uw kroonjuwelen, uw security beleid en neem de juiste maatregelen.