Actueel

06 december 2019

Cybersecurity Woordenboek

Stichting Cyberveilig Nederland heeft afgelopen maand het Cybersecurity Woordenboek gepubliceerd. Een begrippenlijst met ruim 600 woorden die voor vakspecialisten gesneden koek zijn, maar voor afnemers van cybersecuritydiensten vaak nog onbekend zijn. Het woordenboek wil beide groepen met elkaar verbinden.

Awareways stelt de menskant van informatieveiligheid centraal, dus de genoemde verbinding tussen onze vakspecialisten en onze klanten is een brug die ook wij graag slaan.

Leestijd: 5 minuten

Van access control tot zero-day

“De Nederlandse taal krijgt er in rap tempo nieuwe woorden bij. De Dikke van Dale alleen volstaat niet meer, want onze huidige maatschappij kent een hoge mate van ontwikkeling in het digitale domein. Een domein dat continu in beweging is om aan de behoefte van de samenleving te kunnen voldoen. De bijbehorende terminologie is niet voor iedereen makkelijk te begrijpen. Woorden als access control en zero-day worden op technisch vlak veel gebruikt, maar de precieze betekenis is buiten het vakgebied vaak onbekend. Er was dringend behoefte aan een Cybersecurity Woordenboek – een soort Dikke Digitale dus.”

Het woordenboek is opgesteld door de stichting Cyberveilig Nederland met hulp van de Cybersecurity Alliantie. Ook het Digital Trust Center heeft hier een bijdrage aan geleverd. In de volledige lijst vind je alles van authenticatie en beveiligingsbewustzijn tot whitelisting en zero-day, waarbij wij vooral focussen op de begrippen waar medewerkers dagelijks mee in aanraking (kunnen) komen. Het complete Cybersecurity Woordenboek vind je op de website van Cyberveilig Nederland.

In deze blog delen we een selectie van 15 begrippen (inclusief enkele eigen toevoegingen), maar dan met de uitleg wat ze voor ons betekenen.

1. 2FA / tweefactor authenticatie

2FA is een extra veiligheidslaagje voor je wachtwoord en vermindert het risico dat een hacker toegang krijgt tot je online accounts door aan dat wachtwoord een tweede stap toe te voegen, zoals de fysieke beschikbaarheid van je mobiele telefoon. Je wordt dan naast invoer van je wachtwoord ook gevraagd om een code die op je telefoon verschijnt.

Veel van de grootste websites ter wereld hebben 2FA gemakkelijk beschikbaar gesteld vanuit de beveiligingsinstellingen van de accounts, maar dan moet je die functie wel zelf benutten. De gemakkelijkste manier om je even in te lezen en ermee aan de slag te gaan, is via de website turnon2fa.com.

2. AVG

AVG: Algemene verordening gegevensbescherming, de privacywetgeving die geldt in de gehele EU en in Nederland de opvolger is van de Wet bescherming persoonsgegevens. Toezichthouder op de AVG is de Autoriteit Persoonsgegevens.

De AVG is sinds 25 mei 2018 van kracht, dus inmiddels zijn de benodigde procesaanpassingen ongetwijfeld uitgevoerd. Maar zijn jouw medewerkers ook volledig op de hoogte van hun rol? Belangrijker, snappen ze dat zij de voornaamste schakel zijn bij het beschermen van persoonsgegevens en het voorkomen van een datalek?

Awareways biedt een AVG leermodule waarbij de focus volledig op de gebruiker ligt. Jouw collega die uiteindelijk de finale keuze maakt in de verwerking van privacygevoelige informatie. Om herkenbare situaties te creëren is de AVG leermodule van Awareways op detailniveau aan te passen naar jouw dagelijkse situatie.

3. Awareness

Awareness, ook te vinden bij de B van bewustwording én de B van beveiligingsbewustzijn; de mate waarin mensen risico’s herkennen en zich ervan bewust zijn dat deze de veiligheid van informatie in gevaar kunnen brengen.

Awareways spreekt bij awareness met name over informatiebewustzijn: welke gegevens verwerken we dagelijks, hoe kwetsbaar en waardevol is die informatie en vooral: hoe kunnen we daar voorzichtiger mee omgaan?

Informatiebewustzijn is in de praktijk lastig te definiëren. Natuurlijk kun je in kaart brengen wat er op de werkvloer gebeurt en welke kennis er bij medewerkers aanwezig is. Wordt er verstandiger omgegaan met wachtwoorden, hoe vatbaar is men voor phishing, et cetera. Maar wat zijn de factoren die samen ‘informatiebewustzijn’ opmaken? En ook belangrijk: wat levert een investering in het verhogen ervan op in termen van daadwerkelijke gedragsverandering? Een hoog niveau van informatiebewustzijn betekent namelijk niet per se dat er ook naar gehandeld wordt (Awareness is niet gelijk aan gedrag!). Daarom heeft Awareways uitgebreid onderzoek gedaan naar awareness en gedragsverandering.

4. Beveiliging

Alle maatregelen die nodig zijn om een digitaal systeem te beschermen tegen schadelijke invloeden. Zie ook ‘kwetsbaarheid’, ‘risico’ en ’threat’.

Informatie is van grote waarde en de bescherming ervan wordt steeds belangrijker. Natuurlijk nemen organisatie al de noodzakelijke maatregelen om gegevens goed te beschermen, maar met technische oplossingen alleen zijn we er niet. Want de belangrijkste schakel in de beveiligingsketen, dat zijn we gewoon zelf.

5. BYOB: Bring Your Own Device

Het gebruik van persoonlijke apparatuur zoals laptops, telefoons en tablets tijdens je werk is steeds vanzelfsprekender. Dat kan bijdragen aan de productiviteit, maar een zogeheten BYOD-beleid (Bring Your Own Device) heeft ook nadelen. De IT-afdeling heeft bijvoorbeeld geen inzicht in de beveiligingsmaatregelen van jouw apparatuur, terwijl ongeveer 70 procent van de kwetsbaarheden binnen bedrijven is gerelateerd aan de eindgebruiker. Werknemers koppelen steeds vaker eigen apparatuur aan het bedrijfsnetwerk. Doordat die devices meestal onvoldoende beheerd en beveiligd zijn vormen ze voor cybercriminelen de snelste toegangspoort tot bedrijfsdata.

Als je toestemming hebt om een eigen apparaat te gebruiken, zorg er dan voor dat je apparaat ge-update is, dat het goed beveiligd is met een sterk wachtwoord of pincode, dat er een actuele virusscanner op geïnstalleerd is en dat andere gebruikers van het apparaat geen toegang hebben tot gevoelige informatie.

6. CISO

CISO staat voor Chief Information Security Officer. Weet in jouw organisatie wie de CISO is, want hij of zij is naast de Servicedesk of IT-Helpdesk hét aanspraakpunt voor vragen, opmerkingen of meldingen rond informatieveiligheid.

7. Cyberhygiëne

Cyberhygiëne: het vrijhouden van netwerken en systemen van infecties en vermijden van besmettingshaarden. Me andere woorden, wat minimaal nodig is om een informatienetwerk te beveiligen. Bijvoorbeeld het automatisch vergrendelen van een digitaal systeem als het een bepaalde tijd niet gebruikt wordt, meerfactorauthenticatie, het maken van back-ups, het gebruik van anti-virus software en het aansturen op veilig gedrag van personeel.

8. Datalek

We spreken van een datalek in iedere situatie waarin persoonsgegevens onbedoeld naar buiten komen. Bij het lekken van andere zakelijke gegevens spreken we van een beveiligingsincident.

Een datalek hoeft niet het gevolg te zijn van een beveiligingsprobleem: informatie kan ook op een andere manier lekken, bijvoorbeeld bij verlies, diefstal of een verkeerd geadresseerde e-mail. Meld diefstal, verlies of ongeoorloofde openbaarmaking van vertrouwelijke informatie altijd onmiddellijk bij de Servicedesk of bijvoorbeeld de CISO. De Privacy Officer heeft binnen de regels van de wetgeving 72 uur om een datalek bij de AP door te geven, dus direct handelen – ook intern – is cruciaal!

9. Encryptie

Encryptie betekent versleutelen: informatie onbegrijpelijk of ontoegankelijk maken voor anderen.

Versleutel gegevens met een software- en/of hardwareoplossing die past bij het type informatie en het doel van de opslag of verzending, zodat de data veilig wordt opgeslagen of verstuurd. Mocht de beveiliging tekortschieten en de bestanden toch gestolen of onderschept worden, dan voorkomt encryptie toegang tot data. Gebruik geen onveilige usb-sticks, sla belangrijke gegevens niet zomaar op de schijf van je laptop op en verstuur nooit vertrouwelijke data via e-mail of opslagplatforms in de cloud zoals Dropbox of WeTransfer.

Meld diefstal van bedrijfshardware én je eigen apparatuur altijd bij de IT-servicedesk, want criminelen die toegang krijgen tot gevoelige informatie kunnen voor veel problemen zorgen. Ook als dat jouw persoonlijke gegevens zijn, want ze kunnen jouw account(s) misbruiken of bijvoorbeeld vanuit jouw naam mailen om gevoelige bedrijfsinformatie te achterhalen.

10. Integriteit

Integriteit heeft meerdere definities. Bij integriteit van data spreken we van juiste en volledige informatie (en verwerking), bij personen gaat het om betrouwbaarheid en bij systemen om correct functioneren.

Iedereen verleent wel eens een gunst aan een ander. Maar wat doe je als je buurman vraagt of je even de status van een dossier kunt achterhalen? Doe je dit dan?

Toegang tot informatie geeft namelijk macht, en in je werk heb je te maken met veel gevoelige en strikt vertrouwelijke informatie. Denk bijvoorbeeld aan toegang tot dossiers en koersgevoelige informatie. Je hebt een bepaald mandaat om deze informatie te verwerken, maar hoe ga jij om met deze macht? In de Awareways leermodule Integriteit gaan we er dieper op in en behandelen we onder andere de diverse integriteitsschendingen en de risico’s hiervan.

11. Malware

Malware is een samentrekking van het Engelse malicious (=kwaadwillig) software, een verzamelterm voor elke software die gebruikt wordt om computersystemen te verstoren, gevoelige informatie te verzamelen of toegang te krijgen tot private computersystemen.

Malware wordt vaak ingezet bij phishing (zie nummer 14). E-mails die van je bank of creditcardbedrijf lijken te zijn, kunnen afkomstig zijn van een hacker die toegang probeert te krijgen tot je account. Door te klikken op een link in een van deze e-mails kan je naar een valse website worden gestuurd die is ontworpen om aanmeldingsgegevens of financiële informatie te stelen, of kan er malware of spyware op het apparaat worden geïnstalleerd. Het is daarom beter als je de URL van de financiële instelling rechtstreeks in de browser typt.

12. NCSC

Nationaal Cyber Security Centrum. Onderdeel van het ministerie van Justitie en Veiligheid. In dit cen trum komt alle informatie over cyberveiligheid sa-men. Het centrum werkt voor de Rijksoverheid en voor processen die het belangrijkst zijn in Nederland. Bijvoorbeeld elektriciteit, toegang tot schoon drinkwater en vitale onderdelen van de samenleving zoals de infrastructuur, zowel fysiek als digitaal.

13. Nulmeting

Een nulmeting brengt de mate van informatiebewustzijn in kaart. Tegelijkertijd daagt het medewerkers uit om stil te staan bij het eigen kennisniveau en gedrag. Deelnemen aan het security awareness onderzoek is daarmee een awareness interventie op zich.

De Awareways nulmeting geeft concrete resultaten, zoals:

  • de huidige staat van informatiebewustzijn;
  • inzicht in culturele aspecten, waaronder de sociale norm, relevantie en gedrag;
  • praktische speerpunten voor een security awareness vervolgprogramma.

14. Phishing

Phishing is een verzamelterm voor (internet)fraude, waarbij criminelen je door middel van namaak e-mails en diverse trucs proberen te verleiden om vertrouwelijke informatie prijs te geven. Maar liefst 91 procent van datalekken start met een phishing mail, zo bleek uit recent onderzoek, maar aanvallers gebruiken ook bijvoorbeeld ook telefoon, sms en social media.

Awareways phishing-software biedt een online platform waarmee aanvallen op een simpele en kosteneffectieve manier kunnen worden gesimuleerd. We zijn ervan overtuigd dat we met ons team van experts de juiste aanpak hebben om iedere organisatie weerbaar te maken tegen phishing en andere digitale dreigingen.

15. Wachtwoordmanager

Software waarin een gebruiker de combinatie van wachtwoord en gebruikersnaam kan opslaan, in een soort digitale kluis. Vaak kan de software ook zelf wachtwoorden aanmaken, websites herkennen en automatisch invullen.

Awareness campagnes en informatiebewustzijntrainingen besteden veel aandacht aan het belang van sterke wachtwoorden. Dat is niet voor niets. Uit een analyse van SplashData is gebleken dat de cijfercombinatie ‘123456’ in het voorbije jaar nog altijd het meestgebruikte wachtwoord was, voor het zesde(!) jaar op rij.

Paswoorden maken en onthouden kun je dus het beste aan wachtwoordmanagers overlaten. Veilige apps die fungeren als digitale kluis zijn KeePass voor Windows en 1Password voor Apple. Die kunnen meteen de sterkte van je wachtwoorden testen.

Wil je meer weten over onze visie of aanpak, of benieuwd naar andere informatie? Neem dan contact op met Arthur Timmerman.