Heeft u uw visitekaartje al beveiligd?

Als u van pizza houdt dan is de kans groot dat uw visitekaartje een beveiligingsrisico is. Of u zo vriendelijk wilt zijn uw telefoonnummer geheim te houden om gepest te voorkomen.

Op kwade dag belde een pizzabezorger aan bij Ronald Prins, oprichter van het beveiligingsbedrijf Fox-IT. Er moest een stapel pizza’s bij de directeur worden afgeleverd. De man had niets besteld en is op kantoor als de bezorger belt. Het is een grap van een hacker. Prins helpt de politie bij strafrechtelijke onderzoeken naar hackers en deze was mede door zijn inzet gepakt.

In dit geval trapte de bezorger erin en was de verkapte boodschap herkenbaar uit een slechte gangsterfilm: ‘I know where your house lives’. Maar als je dat niet van iemand weet en toch een ‘grap’ wil uithalen kan New York Pizza je misschien helpen.

Visitekaartje
Het bedrijf heeft namelijk een handige manier van inloggen bedacht. Het gebruikt daarvoor het e-mailadres en het telefoonnummer van de klant. Gegevens die je simpel op een visitekaartje van de gemiddelde manager kunt vinden.

Dat is dan ook een slechte manier van aanmelden. Inloggen als beveiligingsmaatregel berust op het mechanisme dat je iets weet dat niemand anders kent, een lichaamskenmerk (bijvoorbeeld een vingerafdruk) of iets wat je hebt (een pasje, mobiel, enzovoort). Deze vorm van identificatie gebruikt een geheim dat geen geheim is en daardoor is het zinloos geworden.

Voor steeds meer mensen is er een behoefte om goed bereikbaar te zijn en juist die informatie gebruiken is nogal onhandig – om het zacht uit te drukken. Als u een beetje googelt heeft u mijn e-mailadres en telefoonnummer gevonden. Prettig voor nieuwstips, maar problematisch voor beveiliging.

Missie niet volbracht
Afgelopen week mocht ik een award van de Internet Society in ontvangst nemen in de categorie ‘beveiliging en privacy’ voor Lektober, waarin Webwereld en ik in oktober 2011 elke dag een privacylek onthulde. De prijs wordt eens in de vijf jaar toegekend. Dus ik ben trots, want sindsdien is er inderdaad veel verbeterd bij diverse bedrijven en overheden. Er zijn tientallen initiatieven ontsproten om de digitale huishouding veiliger te krijgen.

“Uiteindelijk heeft de jury gekozen voor een initiatief dat de grootste aantoonbare verbetering van onze Internet veiligheid en privacy heeft opgeleverd, èn de meeste personen en organisaties heeft aangezet tot daadwerkelijk verbeteren van de internet veiligheid en privacy. Een initiatief waarvan wij hopen, dat het nooit meer nodig zal moeten zijn,” schreef de jury.

Maar ik weet zo net niet of het nooit meer Lektober zal worden. New York Pizza is een van de vele voorbeelden van organisaties die onvoldoende kritisch naar privacybescherming en beveiliging kijken. Na confrontatie stelt een zegsvrouw van het bedrijf deze manier van aanmelden nu ook niet meer te willen. Maar de conclusie is bitter en hard: mission not accomplished.