Vorige week heb ik een presentatie gegeven op het IT Security Congres van Onsight over risicobeleving. Je ervaart een risico geheel op je eigen wijze. Soms is het werkelijke risico kleiner dan jouw eigen beeld. Veelal zie je dat het werkelijke risico groter is dan het beeld dat je er zelf van hebt. Het wordt realiteit als het werkelijke risico en jouw risicobeeld gelijk zijn aan elkaar. Volgens mij zit je dan midden in een incident dat opgelost moet worden.
Het is niet gemakkelijk de risicobeleving van medewerkers op het niveau te krijgen van de actuele risico's. Laat staan om het langdurig op dat niveau te houden! Eerlijk gezegd moeten wij als security professionals ook eens onze eigen risicobeleving gaan ijken.
Als we budget nodig hebben roepen we dat de risico's erg groot zijn. Als we even wat informatie willen delen met collega's gebruiken we net zo makkelijk Dropbox of andere cloud services. Gemak wint van veiligheid.
Gek dat die gebruikers niet naar ons willen luisteren!.
Kijk voor diverse interessante presentaties die op het IT Security Congres van Onsight gegeven zijn hier. Als blijkt dat de presentaties er nog niet staan dan zal ik snel een update link plaatsen. Check de blog dus binnenkort even.
Na al die DDOS-actualiteit ben ik wel even toe aan wat anders.
Elke dag zit ook jij in een hok op wielen om van A naar B te komen. Steeds betere (zuinigere) auto's brengen je op de plaats van bestemming. Auto's worden uitgerust met intelligente systemen om jou als bestuurder van gemak te voorzien, en je veiliger te vervoeren. Een greep uit de mogelijkheden:
- Navigatie/GPS
- Adaptive cruise control
- Lane Departure Warning
- Traffic sign recognition
- Keyless entry
- Voice control
- App control
- Mobile connectivity
- Engine diagnostics
Kortom, je rijdt in een sterk geautomatiseerd systeem naar je werk. En weer naar huis.
Morgen zul je met jouw auto onderdeel worden van onderling verbonden infrastructuren. Alle voertuigen op de weg staan in verbinding met elkaar om de doorvoer efficiënt en veilig te bevorderen. Van links komt een driverless Google-car. De garage update het OS van de auto on-the-fly. De auto dient als 4G-Wifi hot spot.
Het is echter de vraag of jouw idee van die veilige auto reëel is? Let op: hier spreekt de security professional die de risico's dik aanzet;-)
Veracode heeft een infographic samengesteld. Het geeft een mooi beeld van de veiligheid in en om ons rijdende paleis.
De Opel Ampera (Chevrolet Volt) heeft ongeveer 10 miljoen regels aan softwarecode. Dat is ongeveer 4 miljoen meer dan een F-35 straaljager.
Security experts schatten in dat de automotive industrie software 'veilig' ontwikkelt volgens richtlijnen die 20 jaar achter lopen op onze hedendaagse normen t.a.v. security.
Studenten hebben automotive software gehackt en waren in staat om controle te krijgen over de motor, de remmen, de stuurinrichting en het gaspedaal.
Deuren worden gemakkelijk geopend met smartphones.
Automotive software is net zo gevoelig voor virussen en botnets als de software die jij gebruikt op je werk.
Enkele tips voor jou als autokoper. (Jij volgt toch ook het advies van Rutte om de economie te stimuleren?)
- Schat de risico's in. Vraag de autodealer naar de veiligheid van de elektronische systemen in de auto. Schat in of het merk niet binnenkort onder vuur komt te liggen van cybercriminelen.
- Breng de auto alleen naar betrouwbare service organisaties.
- Wees er zeker van dat alle elektronische extra's volgens dezelfde veiligheidseisen zijn geproduceerd en gemonteerd als die van de fabrikant zelf.
- Zorg er voor dat je al je persoonlijke informatie op de juiste wijze beveiligt.
Als je deze adviezen opvolgt is het de vraag of je veilig blijft.
Ik stel me zo voor dat Opstelten jouw auto graag infiltreert met spyware om te kijken of die op vakantie (bewust of onbewust) onderdeel van een botnet is geworden.
Dan neem je jouw laptop of tablet eens niet mee op vakantie om echt tot rust te komen. Vervolgens wordt je in Spanje van je strandbedje gelicht op verdenking van DDOS-aanvallen. Op Spamhaus bijvoorbeeld.
Als het klopt dat de automotive industrie gebruikt maakt van achterhaalde beveiligingsrichtlijnen dan krijgt DDOS voor mij toch een heel andere betekenis: Drivers Disk Operating System.
Hoezo 'back to the future'?
In je volgende rit naar je werk moet je de Veracode infographic nog maar eens voor de geest halen. Besef dat de integratie van al die geautomatiseerde systemen in de auto jouw veiligheid ten goede komen. Daarentegen vergroten ze jouw mobiele kwetsbaarheid ook.
Advies: werk wat vaker van huis uit.
Scheelt opwarming, scheelt fossiele brandstoffen, scheelt reistijd, scheelt aanrijdingen, scheelt economische schade door files. En uiteindelijk maakt het onze openbare elektronische infrastructuur in het land een stuk robuuster. Jouw auto wordt op die dagen dan tenminste niet on the fly geïnfecteerd.
Goede reis!
Geen opmerkingen:
Een reactie posten