Over ons

Hoe (on-)veilig is https?

Er is de laatste tijd veel ‘gedoe’ (letterlijk & figuurlijk) over https, oftewel HyperText Transfer Protocol Secure. Iedere website-eigenaar wordt in meer of mindere mate gedwongen de website via dit protocol te tonen; is het niet Google die dreigt met het ‘onveilig’ markeren van de website als de website ‘ouderwets’ wordt geladen via http, dan is het wel de regelgeving (lees: AVG) die je dwingt om de website te verbouwen.

Maar is een willekeurige website met https wel zo veilig? Ik zeg: per definitie niet. Tegenwoordig is het appeltje-eitje om een phishing-site te maken die netjes via https wordt geladen en dan ook nog door diverse browsers (o.a. Google Chrome) als een ‘veilige’ website wordt weergegeven, inclusief het groene slotje. Dit gaat overigens veranderen, maar daarover meer verderop in dit blog. Om deze bewering kracht bij te zetten, heb ik een nieuwe website ‘in de lucht’ gebracht, genaamd:

https://www.ik-ben-veilig-gehackt.nl

Wat wordt er dan wel beveiligd?

In de basis is https niets anders dan het opzetten van een gecodeerde verbinding tussen jouw computer (of tablet, smartphone, whatever) en de opgevraagde website. Om uit te leggen hoe het precies werkt, is veel (saaie & technische) informatie voorhanden, waardoor de meesten nu zullen afhaken, dus dat doen we niet. Wat er sowieso voor nodig is, is een beveiligings- (vroeger: SSL-) certificaat. Het volledige certificaat bestaat uit 2 zogenaamde keys (eigenlijk hele lange wachtwoorden), een public key en een private key. De public key wordt gebruikt om het dataverkeer te versleutelen, de private key is ‘voor intern gebruik’.

Hoe krijg je een certificaat?

Een handige Henny (m/v) kan een ‘self-signed’ certificaat aanmaken. Echter moet je dan het certificaat zelf verstrekken en importeren in jouw computer. Dit is een handmatige handeling die op elke computer opnieuw moet worden gedaan. Voor iemand die graag veel bezoekers op zijn website wil hebben, moet hij/zij elke bezoeker op één of andere manier het certificaat verstrekken en hopen dat de bezoeker het ook snapt hoe deze in zijn computer opgeslagen moet worden. Ik denk dat de eerste bezoeker al afhaakt. Een soortgelijke constructie wordt echter wel toegepast op websites/intranets met beperkte toegang.

Je kunt dus voor ‘algemeen’ gebruik beter een certificaat aanvragen bij een Certificate Authority. Er zijn er meerdere van, de bekendste zijn Comodo en Verisign. Afhankelijk van het type certificaat wat aangeschaft wordt, worden meerdere zaken gecontroleerd. In ieder geval wordt nagegaan of je de eigenaar bent van het domein waarvoor je het certificaat aanvraagt. Als je dan op het slotje klikt naast https:// zie je ook alleen dat het certificaat van deze autoriteit deze website heeft ‘geïdentificeerd’ als het website-adres. De kosten van een dergelijk certificaat vallen mee.

Voor bijvoorbeeld banken is dit niet voldoende, zeker als via de website financiële transacties (lees: telebankieren) worden gedaan. Niet alleen de website moet dan worden geïdentificeerd, maar ook de organisatie erachter. Als je naar de website van jouw bank zie je niet alleen het (groene) slotje, maar ook de naam van de geverifieerde instelling (banknaam). De validatie van een dergelijk certificaat neemt veel meer stappen in beslag en is ook veel strenger. Daarmee zijn de kosten voor een dergelijk certificaat veel hoger, maar je bent er dan wel ècht zeker van dat je echt met jouw bank aan het communiceren bent. Aan een dergelijk certificaat ‘hangt’ ook een verzekering tot een bepaald bedrag, mocht er met het certificaat iets misgaan. Helaas wordt er door de ‘onschuldige’ computergebruiker wel gelet of het slotje er is, maar controleert niet of de naam van de bank wordt vermeld en/of het adres wel klopt.

Gratis!

Sinds enige tijd worden er ook certificaten verstrekt door Let’s Encrypt, een open source partij die de certificaten gratis aanbiedt. De validatie van het certificaat is zeer beperkt; er wordt ‘slechts’ gecontroleerd of het opgegeven emailadres bij de aanvraag geldig is. Et voilá, hier is jouw beveiligingscertificaat. De aanvraag kun je vaak zelf doen via het controlepaneel van het webhostingpakket of jouw hostingpartij regelt het voor je. Ook wij (CompanyPoint) bieden deze gratis certificaten aan. En op zich is daar niets mee. Het certificaat identificeert nog steeds het website-adres, alleen is de validatie van de website een ‘wassen’ neus. De verbinding tussen jou en de website is versleuteld en daar ‘draait het om’ bij een https-verbinding.

Echter, doordat de aanvraag van een beveiligingscertificaat veel eenvoudiger en gratis is geworden, is ook de belemmering voor een groot deel weggenomen en kunnen kwaadwillende eenvoudig een phishing-site opzetten die ook nog eens door diverse browsers als veilig worden aangemerkt. Overigens zal een dergelijke site ook snel worden geblokkeerd na ontdekking, maar dan is het kwaad vermoedelijk al geschied en zijn er al vele slachtoffers ‘gevallen’; u bent veilig gehackt….

Opletten

Het blijft dus opletten geblazen, ondanks dat een website het bekende hangslotje heeft. Vele phishing-sites hebben een url (adres) die verdacht veel lijkt op een adres van bijvoorbeeld een bank. Een plastisch voorbeeld: een hacker registreert rabotelebankieren.nl als die vrij is. Hij vraagt een certificaat aan voor dit domein en de phishing-site https://www.rabotelebankieren.nl voorzien van het groene hangslotje is live. Als u snel even uw bankzaken wilt regelen, valt het u waarschijnlijk niet op dat u niet op de officiële website bent, zeker als die een beetje knap is nagemaakt. Overigens zitten de banken wel bovenop deze phishing-sites en de website zal snel weer offline gehaald worden. Maar u zult maar net één van de vroege ‘pechvogels’ zijn….

Google

Google geeft websites met een certificaat een hogere ranking in de zoekresultaten dan websites die dat niet hebben. Daarnaast hebben ze aangekondigd dat ze binnenkort websites voorzien van een standaard certificaat in de Chrome-browser niet meer tonen met het bekende groene hangslotje. Ze gaan zelfs een stap verder: websites die niet voorzien zijn van een certificaat en via het ‘oude vertrouwde’ http-protocol wordt geladen, worden dan als ‘onveilig’ aangemerkt. Dat is wat mij betreft ‘te kort door de bocht’, want statische websites waar je geen (persoons-)gegevens kunt invoeren, hoeven niet onveilig te zijn. In ieder geval niet onveiliger dan phishing-sites die wel voorzien zijn van een certificaat.

Vragen?

Heb je vragen ten aanzien van de beveiliging van de website of andere gegevens? Of andere vragen/problemen op ICT-gebied? CompanyPoint helpt je graag!


AVG…wat moet je ermee?

Ik ben er zeker niet de eerste die over AVG begint, net als dat ik ook niet de laatste zal zijn. We hebben het in deze niet over ‘Aardappelen, Vlees & Groente’, maar over de ‘Algemene Verordening Gegevensbescherming, die op 25 mei aanstaande van kracht wordt. Deze nieuwe privacywetgeving, opgelegd door de Europese Unie is ook bekend als General Data Protection Regulation, oftewel GDPR. Gezien de internationale strekking van deze verordening en verwarring te voorkomen met andere producten met dezelfde afkorting, houd ik het zelf liever bij de afkorting GDPR.

GDPR dus…

Waarom begin ik er (ook) over? Welnu, omdat ik van mening ben dat er veel misverstanden over zijn, en ook veel meningsverschillen. Met name in het MKB zijn er veel misverstanden, meningsverschillen maar vooral onrust over de interpretatie, de impact en het belang ervan. Zelf merk en ervaar ik dat de GDPR met name voor grote bedrijven (>250 medewerkers) veel veranderingen met zich meebrengt, en onterecht wordt gezegd dat het voor ‘ons MKB’ wel meevalt. Welnu, ik denk dat verhoudingsgewijs de impact nog groter is. Inderdaad, grotere bedrijven moeten aan nog veel meer criteria voldoen, maar hebben daar ook vaak de ‘slagkracht’ voor.

Misverstanden

Eerst hier maar een paar van wegruimen. Om te beginnen, er verandert niet veel aan de privacyrechten van natuurlijke personen en de GDPR (of AVG, wat je wilt) is niet strenger dan de huidige Nederlandse privacywetgeving (Wbp), die het vervangt. Onzin! Het grote verschil ten opzichte van het (huidige) systeem van de Richtlijn gegevensbescherming is dat er nu één gegevensbeschermingswet is voor de hele Europese Unie in plaats van allerlei nationale wetten die weliswaar gebaseerd zijn op dezelfde richtlijn, maar toch overal net weer anders zijn.

Dit betekent dat:
  1. de verwerking van persoonsgegevens rechtmatig, behoorlijk en transparant moet zijn (“rechtmatigheid, behoorlijkheid en transparantie”);
  2. de verwerking gebonden moet zijn aan specifieke verzameldoelen (“doelbinding”);
  3. de gegevens toereikend, ter zake dienend en beperkt moeten zijn tot het noodzakelijke (“minimale gegevensverwerking”);
  4. de gegevens juist moeten zijn (“juistheid”);
  5. de gegevens mogen niet langer worden bewaard dan nodig (“opslagbeperking”);
  6. de gegevens goed beveiligd moeten zijn en vertrouwelijk blijven (“integriteit en
    vertrouwelijkheid”)

Het grote verschil zit hem in de rol die uw organisatie moet aannemen bij de bescherming van persoonsgegevens. Dit betekent van een passieve naar een actieve rol. Dus niet alleen één of meerdere A4-tjes met procedures in een hangmapje, maar iedereen die binnen de organisatie toegang heeft tot persoonsgegevens in meer of mindere mate, dient op de hoogte te zijn wat wel en niet mag/kan, van directeur tot personeel.

De Verwerkingsverantwoordelijke

Dit is een ‘verantwoordelijkheid’ die wat mij betreft als een rode draad door het hele GDPR-verhaal loopt. De verwerkingsverantwoordelijke is degene die bedrijfsmatig persoonsgegevens verwerkt. En of dit nu op papier of in bytes is, in essentie gelden dezelfde regels. Het kan zo zijn dat een deel van de verwerking uitbesteed is aan derden. En die derde, dat kan een administratiekantoor, een payrollbedrijf of zoals wij, een IT-bedrijf zijn. Ook zij spelen een rol in de privacyketen, maar feitelijk vallen zij niet onder uw verantwoordelijkheid als organisatie zijnde. Hoe je de privacybescherming bij verwerking door derden moet regelen, kom ik later op terug.

Toegang

De GDPR stelt verplicht dat een medewerker alleen maar toegang heeft tot dat deel van de persoonsgegevens, die voor het uitoefenen van zijn functie nodig zijn . Dat betekent dat bijvoorbeeld een ‘sales representative’ bijvoorbeeld geen toegang mag hebben tot een personeelsdossier, maar wel toegang heeft tot bepaalde klantgegevens. Toegang tot andere persoonsgegevens moeten hem door technische en organisatorische (beveiligings-)maatregelen (eventueel onder dwang van sancties) worden ontzegt.

Bewustwording

Hoewel voor het MKB (<250 medewerkers) het niet wordt geëist wordt door de GDPR, dat gedocumenteerd wordt welke persoonsgegevens worden vastgelegd, raad ik aan om een ‘Verwerkingsregister’ aan te leggen. In dit verwerkingsregister legt u vast welke persoonsgegevens u verwerkt, met welk doel en hoe lang deze gegevens bewaard mogen/moeten worden en last but not least, wie toegang heeft tot welke gegevens. Ook met wie u persoonsgegevens deelt en waarom. De wijze waarop het verwerkingsregister moet worden opgesteld en wat hier in moet staan, bent u volledig vrij in, zolang het maar schriftelijk is (digitaal via een tekstbestand, spreadsheet of speciale software valt ook onder ‘schriftelijk’) Dit maakt het echter aan de andere kant ook erg onduidelijk. Wat wel verplicht is: u dient een (openbare) ‘Privacyverklaring’ op te stellen en deze te publiceren op uw website, om aan uw (potentiële) klanten aan te geven hoe u omgaat met (het delen van)  persoonsgegevens.

Wat zijn persoonsgegevens?

Persoonsgegevens zijn alle gegevens die betrekking hebben op een geïdentificeerde of identificeerbare natuurlijke persoon. De AVG maakt een onderscheid tussen: ‘gewone’ persoonsgegevens en bijzondere categorieën van persoonsgegevens. Bijzondere categorieën van persoonsgegevens zijn gegevens die gezien hun aard extra gevoelig zijn. Het gaat specifiek om: gegevens waaruit ras of etnische afkomst blijkt, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen, het lidmaatschap van een vakbond, genetische gegevens, biometrische gegevens met het oog op de unieke identificatie van een persoon, gegevens over gezondheden, gegevens met betrekking tot iemands seksueel gedrag of seksuele gerichtheid.

Het lijkt een open deur, maar niet alle persoonsgegevens zijn bedrijfsgegevens en niet alle bedrijfsgegevens zijn persoonsgegevens . Openbare gegevens van uw organisatie zoals: adres- en postgegevens, algemeen telefoon/faxnummer, algemeen emailadres vallen niet onder de definite van persoonsgegevens. Een deel van deze gegevens bent u zelfs verplicht om (openbaar) te publiceren op uw website en/of facturen. Een uitzondering wordt gemaakt voor persoonlijk(e) bedrijfsemail-adressen (uwnaam@uwdomein) en BTW-nummers van éénmanszaken waarvan het BSN-nummer van de eigenaar afgeleid kan worden. BSN-nummers, maar ook bijvoorbeeld bankrekeningnummers en (kopieën van) identiteitsbewijzen vallen onder de categorie ‘algemene persoonsgegevens’, maar nemen wat mij betreft toch een speciale positie in binnen deze (algemene) categorie.

Afhankelijk van de  persoonsgegevens die u als organisatie verwerkt dient u wellicht meerdere technische- en organisatorische maatregelen te treffen. Op grond van GDPR bent u ook verplicht om aan te tonen dat u bij de ontwikkelingen van nieuw beleid of het ontwerp van nieuwe systemen er zorg voor hebt gedragen dat de inbreuk op de bescherming van persoonsgegevens voor betrokkenen zo klein mogelijk is. Onder betrokkenen worden onder andere uw klanten en medewerkers bedoeld. Afhankelijk van uw organisatie dient u een ‘Functionaris Gegevensbescherming’ aan te stellen, ook wel bekend als FG. Indien u deze intern aanwijst, realiseert u zich dan dat deze persoon een vorm van ontslagbescherming geniet. Deze kan niet ontslagen of gestraft worden voor de uitvoering van zijn taken die.  In sommige gevallen is het ook mogelijk om een externe FG aan te stellen (vanuit de beroepsorganisatie). Deze FG is dan hèt aanspreekpunt voor de organisatie, maar ook voor de ‘Autoriteit Persoonsgegevens’, ook wel bekend als AP, die toezicht houdt op de naleving en toepassing van de GDPR.

Wat en hoe lang?

Welke gegevens mag je bewaren en voor welke periode? De GDPR is hierover duidelijk en onduidelijk tegelijk: zolang als nodig is en als je maar kan aantonen (door het verwerkingsregister?) dat je bepaalde data nodig hebt, mag je dit bewaren. Is dit vrijblijvend? Zeker niet! Als bepaalde informatie uitlekt, die je op basis van (je eigen) argumenten niet meer zou mogen hebben, kan je dit letterlijk duur komen te staan. Dus, als je bepaalde informatie niet (meer) nodig hebt, vernietig deze dan. Je bent overigens verplicht om datalekken te melden binnen 72 uur na de ontdekking ervan bij de AP. Doe je dit niet, dan zal de opgelegde sanctie des te hoger zijn.  Overtredingen van de bepalingen die zien op de  (verantwoordings)plichten die rusten op uw organisatie, zoals het doen van een gegevensbeschermingseffectbeoordeling of het doen van een melding in geval van een datalek, kunnen worden gesanctioneerd met een administratieve boete van maximaal 10 miljoen euro of 2% van de wereldwijde jaaromzet, in het geval deze hoger is. Overtredingen van de bepalingen over de principes, rechtsgrondslagen en rechten van betrokkenen, kunnen worden gesanctioneerd met een administratieve boete van maximaal 20 miljoen euro of 4% van de wereldwijde jaaromzet, in het geval deze hoger is Door middel van een verwerkingsregister kunt u bewijzen (toonplicht) , dat u voldoende maatregelen hebt getroffen wat zeker mee speelt bij het vaststellen van de hoogte van de administratieve boete door de AP.

Verwerking door derden

Verwerking van data (opslag is ook een verwerking) bij externen is ook een belangrijk aspect binnen GDPR, zeker in de huidige tijd. Cloud toepassingen zijn gemeengoed en ook administratie- en systeembeheer wordt vaak uitbesteed aan externe organisaties. Als verwerkingsverantwoordelijke of (sub-)verwerker deel je feitelijk persoonsgegevens met derden. Afspraken die u als organisatie maakt met de verwerker bent u verplicht om u een ‘verwerkersovereenkomst’ te sluiten. Dit ontslaat u als organisatie niet van de verplichtingen met betrekking tot de privacybescherming (je blijft te allen tijde eindverantwoordelijke), maar je kunt de externe partij wel (mede-)aansprakelijk stellen voor het waarborgen van de privacy. In sommige gevallen kun je geen individuele verwerkersovereenkomst sluiten met een externe partij (bijvoorbeeld G-Suite van Google of Office 365 van Microsoft), maar een verklaring van GDPR-compliance is wel het minste wat je kunt eisen. Neem dan wel in je verwerkingsregister op hoe dit is geregeld. De GDPR eist in principe dat persoonsgegevens opgeslagen worden binnen de EER en bij voorkeur voldoet aan/valt onder de Europese wetgeving. Indien er gegevens worden uitgewisseld buiten de EER, bijvoorbeeld in het geval van transacties met bedrijven buiten de EER, geldt dit niet, maar leg dit dat wel vast in het verwerkingsregister. Er zijn meer gevallen waarvoor dit geldt, maar dit valt buiten de scope van deze blog.

E-mailmarketing

Er wordt mij regelmatig gevraagd naar de (on-)mogelijkheden voor het gebruiken van e-mailadressen voor bijvoorbeeld marketingdoeleinden. Qua wetgeving is hier niets in veranderd: je mag verkregen emailadressen niet gebruiken voor marketingactiviteiten (ook nieuwsbrieven) zonder uitdrukkelijke toestemming. Dit geldt niet alleen voor personen, maar ook voor zakelijke relaties (Opt-In). Een uitzondering hierop betreft relaties waar u ooit een product of dienst aan heeft geleverd; deze mag u in beginsel wel ongevraagd een mailing of nieuwsbrief versturen. Wel dient u ervoor te zorgen dat men zich eenvoudig kan afmelden van dit ‘abonnement’. Het moge (dan) duidelijk zijn, dat als de klant zich afmeldt, deze informatie niet gewaardeerd wordt en dat je deze klant voortaan niet meer met dit soort informatie bestookt. Een relatie waarvoor u ooit een aanbieding/offerte heeft gemaakt maar nog niets aan hebt geleverd, wordt niet gezien als klant, maar een potentiële klant, waarvoor de eerste regel geldt.

Verplicht of vrijwillig

Afhankelijk van de aard van of hoeveelheid persoonsgegevens die u verwerkt, bent u verplicht om aan bepaalde eisen te voldoen, zoals het opstellen van een Verwerkingsregister, het aanstellen van een Functionaris Gegevensbescherming of het uitvoeren van een Data Protection Impact Assessment (DPIA). In alle andere gevallen bent u vrij om dit te doen (of te laten).

Paniekvoetbal?

Wellicht dat het overkomt als paniekvoetbal, maar vanaf 25 mei 2018 bent u als organisatie toch echt verplicht om aan de GDPR te voldoen en is AP op basis van deze Europese wet- en regelgeving bevoegd om administratieve boetes en sancties aan u op te leggen. Zelf denk ik dat het niet verkeerd is om de bescherming van de privacy eens ‘goed tegen het licht te houden’. Tijd vliegt en in dit geval zeker geen uitzondering. Er worden veel workshops aangeboden waaraan u kan deelnemen, om kennis op te doen om AVG- of GDPR-compliant te worden. Ontbreekt het u aan de capaciteit, zin of andere reden om het zelf te regelen, ga dan naar https://www.companypoint.nl/gdpr-scan.

Veel informatie kunt u ook vinden op de website van de Autoriteit Persoonsgegevens:

autoriteitpersoonsgegevens.nl/nl/onderwerpen/avg-nieuwe-europese-privacywetgeving


Hoe maak ik een ftp account

Voer de volgende stappen uit om een FTP account in DirectAdmin Contol Panel aan te maken:

  1. Login bij uw DirectAdmin login pagina
    (http://[uw domeinnaam]:2222 – bijvoorbeeld: http://www.companypoint.nl:2222)
    inlog webhosting
  2. Klik op FTP management

  3. Klik op Create FTP account
    ftp-account
  4. Voer de volgende gegevens in:
    • FTP gebruikersnaam
    • Wachtwoord van de gebruiker
    • Herhaal het wachtwoord van de gebruiker
  5. Selecteer het juiste pad voor het FTP account. Het standaard pad is prima.
  6. Klik op create om het FTP account op de server aan te maken

In the cloud = fout?

Laat ik bij mijn eerste blog met deze (vraag-)stelling maar gelijk de spreekwoordelijke knuppel in het hoenderhok gooien. De titel is erg kras voor iemand die al ver voordat de term ‘cloudcomputing’ het levenslicht zag, zijn email al ‘gepushed’ kreeg op zijn iMate-smartphone (wat later HTC werd) vanaf zijn ‘Small Business Server’. Het is een hele tijd geleden, de iPhone bestond in ieder geval nog niet; het klinkt als een eeuwigheid, maar het is ‘slechts’ 15 jaren terug.

Ik durf te stellen dat ik een ‘very early adopter’ was en nog steeds in zekere mate ben. Met name destijds (die 15 jaren terug) oogstte ik veel bewondering (of verwondering) dat de email binnenkwam op mijn telefoon, zonder dat ik daar zelf enige actie voor hoefde te ondernemen. Het werd me gewoon opgedrongen met een standaard Windows-geluidje en/of een trillende broekzak. Ik kreeg al snel het etiket ‘gadget-man’ en ‘nerd’ opgeplakt. Maar velen zagen ook het handige en het nut ervan en wilden (stiekem) ook wel deze toepassing. Inmiddels is het de normaalste zaak van de wereld en voor sommigen onder ons zelfs onmisbaar, althans dat denkt men.

Klopt de formule?

In mijn opinie staat er niets ‘in the cloud’. In netwerkschema’s wordt het internet weergegeven als een wolk, daar komt (volgens mij dan) de term ‘cloud’ vandaan. Maar het internet bestaat vrijwel alleen uit switches, routers (spreek uit als ‘roeters’, want het apparaat bepaalt de route; van ‘rauwters’ krijg ik kromme tenen), koper en glas. In de cloud zelf wordt niets opgeslagen, het is aan de andere kant van de wolk waar de data staat, of dat nu Microsoft Office 365, Google servers (ook persoonlijke gegevens die u niet wenselijk acht; google maar eens op uw eigen naam), uw private server of andere online toegankelijke oplossing is. Feitelijk valt uw NAS thuis of op kantoor ook in deze categorie als u deze toegankelijk heeft gemaakt vanaf het internet.

De cloud zelf is erg mistig (zeker voor een leek); bij voorbaat is niet bekend welke route uw waardevolle data door deze wolk neemt. Er zijn veel wegen die naar Rome leiden, de route naar uw online omgeving kent er misschien nog wel meer. Uw datapakketjes komen meestal aan op uw eindstation en kent geen tussenstops. En mocht er een pakketje verongelukken, dan wordt de data gewoon opnieuw verstuurd. Gelukkig gaat dit vrijwel altijd goed….

Alhoewel…

Overal op de route van uw werkplek naar uw online opslag zijn er mogelijke kapers. Dat begint al bij u thuis of op het werk en houdt pas op als het veilig is opgeslagen op uw centrale opslag. De manier waarop deze data wordt verstuurd is dan ook van groot belang. Was het in het begin nog gangbaar dat data niet-versleuteld de cloud werd ingestuurd, tegenwoordig kan men dat risico (bijna) niet meer lopen. Zeker niet met de (wettelijke) eisen die op stapel staan. Veiligheid van cloudcomputing wordt mijns inziens de grootste uitdaging de komende tijd.

Veiligheid versus gemak wordt een nog grotere uitdaging. Vrijwel iedereen zucht en kreunt als het systeem om de zoveel tijd weer een nieuw wachtwoord eist. Maar dat is slechts een banale maatregel om uw data veilig te houden. Daarnaast is het bijna de gewoonste zaak van de wereld geworden om de bedrijfsdata te synchroniseren met de privé smartphone of tablet onder het mom van ‘Bring Your Own Device’ kortweg BYOD. Vooral in het marktsegment waar ik voornamelijk werkzaam ben, het MKB. Ik vraag mij af of de eigenaar van de data zich voldoende realiseert welke risico’s hieraan kleven. Wat als de telefoon of tablet wordt gestolen, of dat deze wordt doorverkocht aan een derde zonder deze afdoende te wissen? Er was eens een niet bij naam te noemen Officier van Justitie die ooit zijn privé-pc als grof vuil bij de straat zette zonder de harde schijf onherstelbaar te wissen (volgens mij was die helemaal niet gewist). De data lag hier dus letterlijk op straat. Een erg goed/fout voorbeeld…doorhalen wat niet van toepassing is.

The cloud as a safety-zone

Is het dan allemaal zo slecht gesteld met de veiligheid op het internet? Tegenstanders brullen maar al te graag dat ze hun waardevolle data niet online willen hebben staan. Bij deze wil dan ook het volgende aan hen adviseren:

  • Zeg uw internetabonnement op en hef al uw emailadressen op
  • Koop een Nokia 3310 (ze zijn weer verkrijgbaar), neem een mobiel abonnement zonder data
  • Investeer in printer, papier en PostNL, kijk niet op een boompje meer of minder

Uiteraard is dat gekscherend bedoeld, maar de waarheid is hard. Zodra uw apparatuur verbonden is met het internet, heeft u in meer of mindere mate data van uzelf de cloud ingeslingerd. Of dat nu uw documenten, email of uw berichten op social media zijn, u bent online…dat is even schrikken/slikken!

Natuurlijk, het internet is een boze wereld met allerlei bedreigingen, maar ook kansen. Onze huidige welvaart is voor een groot deel hier aan te danken. Door middel van het slim gebruikmaken van cloudtoepassingen is het mogelijk om uw beter te wapenen tegen allerlei online bedreigingen. Het klinkt enorme tegenstrijdig, maar ik wil dit verduidelijken met een tweetal voorbeelden:

  1. Alle ‘grote jongens’ hebben enorm geïnvesteerd in de beveiliging van hun cloudtoepassingen. Astronomische bedragen in onze ogen om allerlei bedreigingen het hoofd te kunnen bieden, bedragen die voor een doorsnee onderneming of individu niet op te brengen zijn. Voor een fractie van dit bedrag beschermen zij uw data en filteren zij allerlei troep uit uw emailstroom voordat het uw eigen systemen bereikt.

 

Mijn advies: breng dat deel van uw data die u veel deelt met andere apparaten of anderen  naar bijvoorbeeld Office 365. Ik weet uit eigen ervaring dat de beveiliging hiervan top is. Ik kan mij niet heugen dat ik malware (cryptovirussen) heb ontvangen, die helaas wel het landelijke nieuws heeft bereikt. En voor de duidelijkheid, spamfilters die zijn meegeleverd met uw ‘veiligheidspakket’ op uw lokale pc hebben in mijn ogen niet zoveel zin, want dan heeft het inmiddels uw systeem al bereikt.

 

Door uw email te laten bezorgen op een veilige centrale plek, creëert u een safety-zone en kunt u ook nog eens uw email lezen op andere apparaten en overal waar een internetverbinding is, zonder dat uw lokale computer/-netwerk moet worden opengesteld via het internet om de email te kunnen benaderen. De kans dat uzelf getroffen wordt door dataverlies/-verminking is vele malen kleiner als uw data via deze cloudtoepassingen ‘loopt’.

 

  1. Goede virusscanners hebben naast een goede firewall ook een webfiltering-functie. Deze virusscanners putten hun informatie uit een online database (blacklist), waar locaties worden bijgehouden waar je als rechtgeaarde internetgebruiker beter niet kan komen. De toegang tot de site wordt (tijdelijk) geblokkeerd, wilt u doorgaan? Ja/nee.

 

Daarnaast zijn er ook zogenaamde DNS-servers die deze locaties vermijden. Een DNS-server kan men zien als een soort telefoonboek, die de adresnamen die u invoert in de internetbrowser vertaald in fysieke netwerkadressen van servers. Feitelijk is dit een soort censuur, maar dan in de positieve zin van het woord. Door deze DNS-servers te gebruiken in plaats van de standaard servers die de internetprovider ter beschikking stelt, wordt het risico verkleind dat u rotzooi binnenhaalt.

The sky is the limit, the cloud has no limit

Er worden cloudoplossingen in de markt aangeboden waarbij louter en alleen verbinding wordt gemaakt middels een bureaublad op afstand, desktop in the cloud (daar gaan we weer) of andere high-tech namen die hiervoor zijn bedacht. Onder het mom dat er geen data lokaal op ‘het apparaat’ staat, zou dit veiliger zijn dan een normale pc of laptop. Welnu, ik vind het een schijnveiligheid. De zogenaamde ‘private cloud’ is nog steeds verbonden met de public cloud. Uit eigen ervaring weet ik dat het aantal hackpogingen op een online server vele malen groter is dan bij een desktop of laptop achter een huis-tuin-en-keukenrouter. Als de beveiliging van een dergelijke serveromgeving niet op orde is, is het risico des te groter.

En waarom zou je jezelf beperkingen opleggen met een (virtuele) desktop? Dat is hopeloos ouderwets! Cloudcomputing staat voor mij voor optimale flexibiliteit. Ik wil op elk moment van de dag zelf kunnen bepalen welk device ik waarvoor gebruik. Voor elk doel en/of moment pak ik het apparaat wat op dat moment voor handen is. Of dat nu een desktop, smartphone/tablet of een computer in een internetcafé in Timboektoe is, zolang het maar veilig kan. Met een GUI (Graphic User Interface) die zich aanpast aan het apparaat en vooral de tekortkomingen van het menselijke oog en motoriek. En net als 15 jaar geleden ben ik nog net zo nieuwsgierig naar de mogelijkheden van nu en in de toekomst. Maar het voorzetsel ‘in’ hoort wat mij betreft niet bij ‘the cloud’.