zie ook 2/2
Ik heb me meer dan 50 jaar er (ook professioneel) mee bezig gehouden met passie en plezier, van de kleinste tot de grootste systemen, prive en zakelijk ook voor zeer grote 'global'klanten en nu anno 2023 volg ik het nog dagelijks maar op een laag pitje..., primair voor mezelf en mijn naasten.
Aan het beginvan dit Millenium (2000) is computer-, netwerk- en informatiebeviliging niet meer weg te denken in onze maatschappij. Het is een uiterst serieuze aangelegenheid geworden en vereist (vrijwel) dagelijks de aandacht. Ook is het geen eenmalige aangelegenheid maar een cyclisch proces waarin meerdere aspecten (voortdurend) in de gaten moeten worden gehouden.
Elk digitaal apparaat , en met name die verbonden zijn met Internet, heeft kwestbaarheden en tekortkomingen en als (minder bekwame) mensen ermee gaan werken, dan kan dat tot (grote) schade leiden.
Al voor de aankoop van een digitaal apparaat (computer, randapparaat, tablet, smartphone, IoT...) of voor aanschaf van de erop te gebruiken software dien je al te letten op beveiligingsaspecten. Na aanschaf dien je een veilige installatie te doen en vervolgens dien je regelmatig, soms dagelijks, beveiligingsmaatregelen te treffen of de software te updaten, wil men het apparaat veilig houden. Dit is al met al een complex proces. Professionals weten uit jarenlange ervaring wat er allemaal bij komt kijken. De leken snappen er doorgaaans weinig van en stellen vragen zoals:
wat is updaten? Waarom moet dat zo vaak? Ik heb daar geen zin in...
ik heb niets te verbergen en wie is er nu in mij geinteresseerd.
Ik gebruik de computer weinig en doe er alleen Internet bankieren op
miij (klein)kinderen mogen er soms op en spelen dan eenvoudige, gratis, spelletjes
ik heb er verder geen verstand van en tik maar wat in en hoop dat het goed gaat. Ik gebruik het alleen voor correspondentie met bedrijven.
Zodra het apparaat verouderd is, ook als het niet meer geupdated kan / zal worden, dient met het apparaat veilig af te voeren naar derden en uit te kijken naar een nieuw systeem..
Vervolgens begint deze cyclus opnieuw.
Op deze website staan teksten met links (en weinig plaatsjes),primair bedoeld voor mezelf. Zo kan ik op elke locatie snel bepaalde informatie opzoeken of tonen aan kennissen die ik even wil helpen met een ÍCT-(Security) probleem. Derden kunnen er dus ook naar kijken, maar daar is het eigenlijk niet voor bedoeld. Ook heb ik tig-keer zoveel besloten websites, die dieper ingaan op deze en andere (hiermee samenhangende) materie. Om auteursrechten, copyrights en andere juridisch geharrewar te voorkomen kan ik deze niet openbaar toegankelijk maken. Alles heeft te maken met mijn holistische kijk op het Univerfsum en ook de holistische view op Cyberbeveiliging, daar dus een subset van.....
BSI (D)
heel goed (tijdelijk gratis testen 24.07.2023)
Cybersecurity Woordenboek bron: NCSC
FAQ: veel gestelde vragen
De ultiem beveiligde computer - Utopie of werkelijkheid? [login]
Over beveiliging van Computers en Netwerken is al heel veel geschreven en het neemt alleen nog maar toe. Ook ik heb al meerdere presentaties, websites, artikelen, post en notities gemaakt. Er zijn veel dilemma's en tegenstrijdigheden. Ook is het vakgebied erg complex: er zijn wel meer dan1000 controle maatregelen (*) die je kunt / moet nemen om een 'computer' goed te beveiligen.
Bedrijven en instanties zijn inmiddels voldoende doordrongen van de prioriteit van dit vakgebied. Echter goede beveiliging kost geld en levert doorgaans niets op (qua omzet en winst op korte termijn) maar voorkomt wel potentieel hoge kosten in geval van aanvallen door kwaadwilligen. Op langere termijn loont het zeker om beveiliging op een goed niveau te krijgen en te houden.
De ondernemer dient het (ondernemers) risico in te schatten: de kans dat iets gebeurt, de impact van de gebeurtenis, de benodigde maatregelen en eventueel het restrisico te verzekeren.
Gebruikers roepen maar al te vaak dat zij niet interessant zijn om gehackt te worden..? Maar dit is en van de vele mythes.
Van oudsher hebben we hier al mee te maken.
Denk aan commercieel vrije (handel) markt / overheid / monopolie, avontuur versus saai werk, encryptie-dilemma, security versus privacy, Apple versus Android, Telefoon versus PC.... Hoe meer organisatorische maatregelen, hoe groter de potentiele bureaucratie. Hoe meer technische maatregelen / systeem belasting, hoe minder prestatie van het apparaat; snel (onveilig) surfen versus langzaam / beperkt deskundige handelingen uitvoeren, transparantie versus obscuriteit; gebruikersgemak versus (complexe) beveiliging..... Ziel / Geest / Lichaam werken als een holistisch geheel achter het scherm en kunnen op enig moment de onderlinge balans uit evenwicht brengen; er kunnen dan (on)bewust extra risico's genomen worden dan gewenst. Influencer maken hier ook gebruik van: het is zelfs hun business model.
Dit maakt het er zeker niet gemakkelijker op. Ook moet de criminaliteit tot een bepaalde limiet kunnen gedijen, zo;n "2%"grens wereldwijd, want daaronder is het duurder om ze tegen te houden in plats van ze hun gang laten gaan. Daarboven loont het pas om er wat aan te doen.
Ik zal wat belangrijke zaken hier naar voren brengen zonder ook maar enigszins volledig te zijn.
Doe er je voordeel mee.
“Het gaat niet om één of enkele goede maatregelen, het gaat om het geheel”
Beveiligingsplatform? Da's een goed idee! 5 augustus 2022
Mijn voorkeuren <----------normen, standarden, controls, framework
My Security Architecture and Framework (concept xls) [login]
Platformen
Servers (*)
"thick client" Mijn uitgangspunt is een gemiddelde Windows (10) Desktop PC zoals die vaker thuis staat <= maatregelen
"thin client" (Citrix client, Chromebook, Surface...) (**)
smartdevices (tablets, telefoons)
IoT Internet of Things (camera's, thermostaten, horloges, gadgets, deurbel....) (*)
Maatregelen
"thick client" / Rich client
Cybercriminelen in je computer? CCINFO.nl prachtige site met actuele informatie op het gebied van computer- en netwerkbeveiliging met veel tips
Veiig mailen
Veelgestelde vragen Veilig Mailen (Rechtspraak: rechtbank, hof of college). Via een beveiligd e-mailplatform kunt u vertrouwelijke en persoonlijke gegevens digitaal sturen en ontvangen. De Rechtspraak gebruikt Veilig Mailen via Zivver.
Advocaten opgelet: verzenden ‘beschadigd document’ voor risico van advocaat 1 mei 2024 (iusmentis)
Protonmail voor veilige prive communicatie. Houd uw gesprekken privé met Proton Mail, een versleutelde e-maildienst die is gevestigd in Zwitserland
Mail-client Is Ziggo e-mail DMARC compliant?
Ja, het DMARC-protocol (Domain-based Message Authentication, Reporting and Conformance) is een extra controle op onze mailservers. Met die beschermlaag weet je zeker dat een e-mail van @ziggo.nl ook écht van @ziggo.nl komt. Daarmee kunnen we onze domeinen – zoals ziggo.nl – en daardoor ook je e-mail nog beter beschermen tegen phishing en spoofing.
Webmail: Je e-mailaccount extra beschermen tegen internetcriminelen? Beveilig het inloggen met een 2e stap waarin je een code die je ontvangt doorgeeft. We noemen dit authenticatie in 2 stappen. Je zet het eenvoudig aan in Ziggo Mail.
(*) In principe gelden alle / de meeste maatregelen op alle hardware platformen, echter deze kunnen standaard al opgenomen zijn dan wel niet van toepassing zijn.
(**) Buiten mijn scope
Aanvankelijk was er bij digitale computers nauwelijks behoefte aan beveiliging (= Continuiteit, Vertrouwelijkheid en Integriteit), omdat de systemen en randapparatuur in zg. closed-shops stonden opgesteld, achter een sluisdeur mechanisme onder supervisie van de gebouwenbewaking, de (hoog opgeleide) mensen die er toen mee werkten betrouwbaar waren.... Data-invoer werd in een aparte 'ponskamer' gedaan aan de hand van coding sheets en data ponskaarten (acceptgiro's bijv.)..en de systemen stonden voornamelijk bij universiteien, grote bedrijven of overheidsinstanties.
Invoer, verwerking en uitvoer werd gedaan door verschillende interne afdelingen en de verwerking was daardoor ongevoelig voor een (externe) kwaadwillende.
Naderhand toen er meerdere personen (lokaal, fysiek) toegang kregen, en de kleinere systemen overal als paddestoelen uit de grond schoten, ontstond er pas behoefte aan. Toen gebruikers op afstand / thuis toegang kregen werd de behoefte groter omdat fysieke controle toen niet meer werkte. Bijna alles was logisch geworden en sec fysieke beveiliging had hier maar nog weinig aan toe te voegen..
Door de decentralisatie van computer, stijgende groei van computers en netwerken, dalende prijzen, schaalvergroting, verdere automatisering en steeds (ook relatief) meer gebruikers werd het landschap complexer.
Hackers en virussen drongen ook ineens uit allerlei hoeken binnen en ook vertrouwelijk gegevens moesten nu tegen ongeautoriseerde derden adequaat beveiligd worden. Ook werden omgevingen steeds meer bedrijfskritisch!
Inmiddels is het anno 2021 een compleet werkveld geworden net als administratie, inkoop, verkoop.... Helaas maak je maar nog al te vaak mee dat Security een sluitpost is op de begroting maar dat staat wel al enkele jaren stevig ter discussie.
De bedreigingen zijn immens en de maatregelen zijn divers en variëren van gratis tot in de miljoenen euro's.
Wetgeving en standaardisatie zijn inmiddels ook al aardig volwassen geworden op dit terrein zodat het werkveld alle elementen bevat die ook andere disciplines hebben.
Er zijn belangrijke verschillen tussen klassiek en cyberomgevingen:
systemen varieren van zeer groot (Het Internet) tot bijna onzichtbaar (IoT),
Systemen en netwerken zijn vaak draadloos ('onzichtbaar') toegankelijk,
ICT-instrumenten zijn vaak ego-centraal en niet voor derden toegankelijk,
minimale verstoringen van enkele milliseconden kunnen desastreuze gevolgen hebben,
ieder persoon heeft ermee te maken,
vaak 7 x 24 x 365 en (bedrijf) kritisch of onmisbaar (op dat moment),
elk (digitaal) computer - / netwerk systeem bevat bugs (en zero days),
ieder systeem is onderdeel van een groter thuis - of bedrijfs landschap, al / niet globaal gesitueerd,
de dynamiek is hoog,
zeer complex werkveld,
geduchte tegenstanders,
alleen opzet en bestaan van beveiligingsmaatregelen is onvoldoende gebleken en controle (op naleving) dient derhalve periodiek herhaald te worden (zg. (kwaliteits)audits); ook dienen frekwent zg. penetratietesten door ethische hackers plaats te vinden,,
de maatregelen zijn onbeperkt en nooit helemaal af...
alternatieven en reserves zijn lastig of te kostbaar.
Een belangrijke factor is de kans op inbraak, misbruik, inbreuk... en de impact van de schade.
Je kunt geluk hebben, hackers zijn misschien (tijdelijk) niet geïnteresseerd, maar als je pech hebt dan kan het zelfs het einde van jouw systeem c.q. bedrijf zijn.
Er zijn ook verzekeringen die de schade dekken mits de systemen adequaat beveiligd zijn.
Elke digitale computer op basis van TCP/IP heeft 128.000 deurtjes die open of dicht kunnen / moeten staan
Er zijn wel 1000 controle maatregelen om een computer te beveiligen
computerlandschappen draaien veelal 365x24x7 maar het personeel niet (direct) maar wel op afroep of op enige afstand.
een computersysteem kun je niet 100% beveiligen want dan kom je er zelf niet meer in of uit
Hackers, met vaak zelfs meer financiële resources, hoeven maar een zwakke plek te vinden; verdedigers dienen alle zwakke plekken te beveiligen met soms minder financiele resources.
Hackers kunnen anoniem opereren
goede beveiliging houdt niet alles tegen maar vertraagt de aanvallers dusdanig dat daarop tijdig geanticipeerd kan worden.
denk aan niveaus variërend van geen - hout - ijzer - brons - zilver - goud - platina respectievelijk 0 - 100% resp. van gratis tot onbetaalbaar
Security kost / vereist een significant deel van het IT-budget
de klant verwacht platina niveau beveiliging tegen nauwelijks - geen extra kosten!
het is niet de vraag of je gehackt wordt, maar wanneer
het duurt gemiddeld wel 200 dagen voordat men een geavanceerde hacker in bedrijfsnetwerken detecteert
.. hacks vinden er elke seconde plaats in de wereld
zelfs instanties en bedrijven met de beste beveiliging liggen constant onderdruk danwel bezwijken af en toe
Hackers kunnen vanuit de hele wereld uit hun luie stoel bedrijven, instanties, banken en personen aanvallen.
Er zijn meerdere staatsactoren: cyberwar (o.a. China, N Korea, Rusland...). Het is oorlog en niemand die het weet....
Cyber Criminaliteit is business met multinationale organisatiemodellen en maffia organisaties
Geld, sabotage, informatie...kunnen drijfveren zijn; echter ook niet interessante doelen kunnen ook springplank voor aanvallen van derden dienen (webcams, printers, deurbellen...)
Het aantal 'virussen / kwaadaardige software" groeit elke maand flink. Tegenwoordig bestaan er meer dan 1 miljard unieke malware exemplaren. (bron: Geekflare / AVTest 7 juni 2021)
een gewaarschuwd mens telt voor 2!
World's Biggest Data Breaches & Hacks Selected events over 30,000 records (2021)
Cybersecurity 101: Intro to the Top 10 Common Types of Cybersecurity Attacks March 26th, 2021
ENISA Threat Landscape 2020: Cyber Attacks Becoming More Sophisticated, Targeted, Widespread and Undetected
Malware statistics and facts for 2021 May 29, 2021
Over 268,000 new malware variants were detected in 2020
Er zijn meer dan 1 miljard unieke kwaadaardige programma's (malware en potentieel ongewenste programma's)
TOTAL AMOUNT OF MALWARE AND PUA juli 2021 Malware 855.192.308 PUA 215.599.853 Total 1.070.792.161
Largest Breaches and Hacks of 2020, The Year of the Digital Pandemic December 16, 2020
300+ Terrifying Cybercrime and Cybersecurity Statistics & Trends (2021 EDITION) June 29, 2021
35 Outrageous Hacking Statistics & Predictions [2020 Update] June 27, 2021
40 Worrisome Hacking Statistics that Concern Us All in 2021 May 18, 2021
How many computer hackers are there in the world? April 26, 2018
1.250.000 hackers who make malware. This is just the tip of the icerberg, some hackers might not develop malware but find it to do their work.
Update 18.02.2025