In navolging van een toch al niet misselijk aantal hacks en digitale diefstallen in 2014 is het ook dit jaar weer vaak raak. Van Ashley Madison tot het Witte Huis, overal zijn handig hackers op zoek naar achterdeurtjes en mazen in het hek rond je data. Wat is er voor nodig om je gegevens veilig te houden?
Iets meer dan een jaar geleden wisten een aantal Russische hackers de grootste verzameling internetdata ooit te stelen. Het bleek een startsein van een serie van grootste inbraken, waarin patiëntendossiers, miljoenen Dropbox-accounts, websites van Lenovo en het Amerikaanse leger en zelfs de e-mail van President Obama niet veilig bleek.
Het toenemende veiligheidsprobleem brengt IT-specialisten, banken, startups en overheden dichter bij elkaar dan ooit. Haast unaniem bevestigen ze dat ze de veiligheid van data hen de meeste kopzorgen bezorgd.
Speciale aandacht
Voorkomen dat websites, databases en apps gekraakt worden, heeft dus een steeds grotere prioriteit binnen organisaties. Daarnaast nemen ook overheden hun verantwoordelijkheid, door speciale spotjes die burgers wijzen op de risico’s van phising en andere ‘cybercrime’.
Met succes, zo liet RTL Nieuws afgelopen zaterdag nog weten, de schade door phishing – van met name bankgegevens – is verder afgenomen. Het zorgt direct voor aanpassingen bij criminelen, die steeds vaker gebruik maken van zogenaamde ‘ransomware’, waardoor je computer onbruikbaar wordt voordat je een geldbedrag overmaakt.
De zwakste schakel
De speciale commercials en het bijsturen maakt ook direct duidelijk waar de zwakke schakel zit als het gaat om de beveiliging van digitale gegevens. De verdediging van onze data overlaten aan gebruikers die een ‘veilig wachtwoord’ moeten kiezen is simpelweg geen optie.
Dat is ook vrij gemakkelijk uit te leggen: we kunnen talloze commercials maken of Edward Snowden laten vertellen wat veilige wachtwoorden zijn en wat niet, er hoeft maar één gebruiker van een dienst gebruik te maken van de topwachtwoorden “password” of “123456” en je bent gezien. Zelfs de creatieve beveiligingspatronen die we op Android-smartphones kunnen instellen blijken niet veilig.
En dan is er nog het constante kat-en-muis-spelletje tussen beveiligingsexperts en hackers onderling, waarbij beide kampen elkaar blijven uitdagen om te vernieuwen, waarbij hackers vaak binnen geringe tijd weer een lek in de verdediging weten te vinden.
Blogger Larry Alton omschrijft de huidige situatie als een muur rondom de data, die steeds op een andere manier wordt opgebouwd. Hackers vinden weer een gat in de muur, beveiligingsexperts maken dat weer dicht en hogen de muur weer iets op.
Een nieuwe benadering
Het lijkt hoog tijd voor een nieuwe benadering, een alternatief voor die ‘ouderwetse’ muur. Dat vinden ook de gebruikers van wachtwoorden en gebruikersnamen, zo bleek uit een recent onderzoek van Accenture.
Maar liefst 77 procent van de ondervraagden ziet graag een alternatief voor de combinatie van wachtwoord en gebruikersnaam, terwijl zo’n 60 procent zich zelfs irriteert aan de huidige beveiligingsstandaard.
De toepassing van zogenaamde twee-stap-authenticatie neemt de afgelopen maanden bijhoorlijk toe, al hebben Google, Apple, Evernote, Dropbox en Facebook allemaal wel weer een variatie op de techniek.
Daarnaast zorgt de extra verificatiestap vaak voor nog meer frustratie bij gebruikers in plaats van minder. Het inzetten van geluidsgolven kan daar wellicht weer uitkomst bieden.
Biometrie
Een betere fusie tussen gemak en veiligheid lijken we te vinden in de relatief nieuwe ontwikkelingen op het gebied van biometrische beveiliging. Relatief nieuw, omdat het gebruiken van bijvoorbeeld een retina-scanner al jaren gebeurt op Schiphol, maar pas sinds kort ook compact en betaalbaar genoeg is om op andere manieren toe te passen.
Een bredere toepassing zien we nu vooral in de verificatie van gebruikers. Microsoft en Intel ontwikkelde speciale algoritmes om je computer met Windows 10 voortaan te kunnen ontgrendelen met je gezicht, terwijl Google experimenteert met het betalen via je stem. En het experiment van MasterCard, dat in navolging van Alibaba start met het betalen via een selfie mag natuurlijk niet ontbreken.
Ook startups beginnen zich, doordat de technologie steeds betaalbaarder en breder beschikbaar wordt, in de strijd te mengen. Het bekendste voorbeeld van het moment is Bionym. Deze Canadese startup werkt al sinds 2013 aan een speciaal polsbandje dat op basis van ECG kan bepalen of de drager echt de gebruiker van een dienst is.
Algoritmes
Een stap voorbij de daadwerkelijke verdedigingslinie vinden we oplossingen die het probleem andersom benaderen en proberen pro-actief cybercriminelen te herkennen.
Met patroonherkenning, uitgebreide gebruikersanalyse en imposante algoritmes proberen diensten als BioCatch – dat recent een fikse investering mocht ontvangen – of RSA Security te ontdekken wanneer een hacker heeft ingelogd met jouw persoonlijke inloggegevens. Een online equivalent van de creditcardmaatschappij die je opbelt omdat je een betaling in een vreemde stad of winkel hebt gedaan.
Een veelzijdige veiligheid
De ontwikkelingen op het gebied van algoritmes en biometrie maken het onderwijzen van gebruikers door bedrijfsleven en overheid niet minder belangrijk. Het blijft van het allergrootste belang dat gebruikers zich bewust blijven van de risico’s die elke vorm van beveiliging met zich meebrengt.
Wat wellicht de grootste winst van beide nieuwe technologieën is, is het minder belangrijk maken van de menselijke kwetsbaarheid. Iemands biometrische gegevens of zijn surfgedrag nabootsen is immers een stuk lastiger dan een (zwak) wachtwoord kraken.
Daarnaast biedt het toepassen van biometrie een hele brede range aan nieuwe opties toe: vingerafdruk, retina-scan, 3D-analyse van het gezicht, ECG of EEG en zelfs combinaties van deze mogelijkheden.
Met steeds meer (nieuwe) bedrijven die zich richten op deze ontwikkelingen lijkt er in de komende jaren een veelzijdige veiligheid in het vooruitzicht.