Tweakers, het bekende ICT-platform, heeft 24 november uitgeroepen tot Nationale Check Je Wachtwoord-dag. En jawel, het Openbaar Ministerie steunt het initiatief.
Eerlijk gezegd: vaak als ik hoor dat het “de dag van…” iets is, denk ik – moet dat nou echt? En bij Check je wachtwoord-dag had ik dat gevoel ook. Helemaal toen ik er iets langer over nadacht.
We lezen immers bijna dagelijks over nieuwe ellende, bij bedrijven, universiteiten, overheden. Gegevens gestolen, treinverkeer plat, systemen op slot. En dat zijn dan nog de grote incidenten; talloze particulieren worden óók getroffen. En niet meer alleen door de beruchte Nigeriaanse prins…
Vaak begint het met iets kleins: een klik op een verkeerde link, of toegang via een gestolen wachtwoord. Juist daarom is zo’n wachtwoorddag misschien best logisch.
Maar…
Bij steeds meer systemen loggen we in met meerdere stappen: gebruikersnaam, wachtwoord én vervolgens een sms-code of authenticator. Die zogenaamde two-factor authentication (2FA) of multi-factor authentication (MFA) moet voorkomen dat wachtwoorden de zwakke schakel blijven.
Maar de zwakte zit niet alleen in de techniek, maar ook (en vooral?) in ons gedrag. We klikken nog steeds op linkjes die we beter kunnen laten liggen. Uit gemak, onwetendheid, nieuwsgierigheid of simpelweg haast.
En als er dan iets misgaat, blijkt vaak een schat aan data beschikbaar te komen voor criminelen. Denk aan recente datadiefstallen bij laboratoria, waar persoonsgegevens en testresultaten onnodig samen werden opgeslagen. Of aan het bericht dat de overheid de grip op haar eigen ICT aan het verliezen is. Of aan de waarschuwing van DNB en AFM van 31 oktober voor systeemrisico’s door digitale afhankelijkheid.
Dan vraag ik me af: is een wachtwoordmanager echt belangrijk genoeg om er een dag naar te vernoemen, of is dat vooral een digitale pleister op een veel grotere wond?
Europese regelgeving zoals DORA en NIS2 zijn goede stappen richting betere cyberveiligheid. Toch hoor je regelmatig gemor over de kosten om eraan te (blijven) voldoen. En dat zegt eigenlijk alles: het probleem zit blijkbaar diep in de fundamenten van onze ICT-omgevingen, anders was het niet zo duur om compliant te worden, toch?
Een sterk wachtwoord is belangrijk, absoluut. Maar daarmee zijn we er niet. Onder de motorkap van onze systemen broeit veel meer dat veel kwetsbaarder is dan we denken, dat blijkt wel uit de voorbeelden hierover. Dus is in mijn ogen een integrale aanpak van cyber security nodig waarbij gebruikers opletten op phishing en al die andere ellende, en organisaties ook zorgen voor beveiligde systemen en afgeschermde gegevens met beperkte toegang. Hierover is genoeg materiaal beschikbaar (denk aan DORA en NIS2 regelgeving) maar we moeten het met z’n allen wel gaan doen!
Misschien moeten we 24 november gewoon omdopen tot “De Dag van de Cyberglijders”, een dag waarop iedereen digitale uitglijders deelt. Dát zou pas een eyeopener zijn. Geen fragmentarische blik op de gebruiker, maar een geïntegreerde blik op de ICT-omgevingen. Verhalen uit de harde praktijk, ‘ter leringh ende vermaeck’. Effectiever dan alle belerende waarschuwingen van adviseurs en toezichthouders bij elkaar. En eerlijk is eerlijk: vooral ook een stuk leuker om te lezen.
