4min

Tags in dit artikel

, ,

In april van dit jaar waarschuwde de FBI iedereen om geen gebruik te maken van openbare oplaadpunten om hun smartphone op te laden. Het risico zou namelijk bestaan dat kwaadwillenden deze opladers gebruiken om malware of spionagesoftware op je telefoon te installeren. Deze waarschuwing is een voorbeeld van een veelvoorkomende trend in de security-industrie: het verspreiden van waarschuwingen en adviezen die nutteloos of onrealistisch zijn. 

Nutteloze adviezen zoals ‘scan geen onbekende QR-codes’ en ‘maak geen gebruik van publieke wifinetwerken’ zorgen voor onduidelijkheid. Als we bij iedere onrealistische dreiging ‘wolf’ roepen, lopen we het risico dat niemand meer luistert wanneer er echt serieuze problemen zijn. Mensen waarschuwen is een belangrijk onderdeel van cybersecurity, maar laten we dit alleen doen wanneer er ook een reële dreiging is en het advies ook echt van toegevoegde waarde is. 

De uitzondering is niet de regel

Het is belangrijk te begrijpen dat deze adviezen gebaseerd zijn op uitzonderlijke en niet realistische situaties en dat het voor de meeste mensen niet nodig is om zich hier zorgen over te maken. In de meeste gevallen zijn telefoons en laptops in staat zichzelf te beschermen tegen cyberaanvallen en kunnen mensen gewoon QR-codes scannen en verbinding maken met openbare wifi-netwerken zonder zich al te veel zorgen te maken.

Veel van deze adviezen zijn gebaseerd op oude gewoonten en komen uit een tijd waarin apparaten veel minder goede beveiligingstechnologieën aan boord hadden. Vandaag de dag is een goede beveiliging de standaard. Zo zijn bijvoorbeeld alle verbindingen die je gebruikt tegenwoordig versleuteld, waardoor het moeilijker is voor aanvallers om gevoelige informatie te onderscheppen. Dus als er iemand in de Starbucks zit die met je mee wil kijken (en dat is een grote ‘als’), dan kan diegene hoogstens zien naar welke site je gaat. 

En dan hebben we het alleen nog maar over de techniek en niet over het feit dat criminelen niet bij de Starbucks gaan zitten in de hoop dat er iemand naast hen komt zitten. Want daar zit simpelweg het grote geld niet en ze willen anoniem blijven, wat lastig is als je op de beveiligingsbeelden staat. Hetzelfde geldt voor publieke oplaadpunten. Cybercriminelen houden zich veel liever bezig met Whatsapp fraude bijvoorbeeld, want dit kan anoniem en op grote schaal.

En natuurlijk zullen er altijd uitzonderingen zijn, zoals bijvoorbeeld bij de minister-president voor wie spionage een groot risico is. Die kan beter geen smartphone gebruiken. Maar voor het overgrote deel van de mensen is het belangrijk om je te richten op de reële risico’s en niet te veel te focussen op deze uitzonderingen. Door mensen te informeren over de echte risico’s en hoe ze zich daartegen kunnen beschermen, wordt het veel aantrekkelijker om bewust bezig te zijn met cybersecurity en zichzelf te beschermen tegen mogelijke cyberaanvallen.

Hoe ontstaan deze nutteloze adviezen?

Veel van deze nutteloze adviezen ontstaan door een combinatie van marketing, onwetendheid en sensatiezucht. Zo worden bijvoorbeeld VPN-providers er beter van als mensen geloven dat ze een VPN nodig hebben wanneer ze een openbaar netwerk gebruiken, en adverteren ze met het idee dat een VPN meer privacy biedt. Maar in werkelijkheid kan een VPN-provider net zo goed als de internetprovider weten welke websites je bezoekt. Persoonlijk heb ik dan meer vertrouwen in mijn internetprovider die aan de AVG-wetgeving moet voldoen. 

Daarnaast verspreiden simpele feitjes zoals ‘QR-codes scannen is gevaarlijk’ zich makkelijk via het nieuws, zonder dat deze altijd kloppen. Het is vaak ook gewoon een kwestie van onwetendheid, mensen weten niet hoe een QR-code werkt, en dan is het lastig om in te schatten wat de gevaren ervan zijn. Door al deze nepadviezen ontstaat het risico dat mensen verward raken en ze door de bomen het bos niet meer zien. Dit kan ertoe leiden dat mensen security moe worden en aandacht besteden aan de verkeerde zaken, in plaats van zich te concentreren op reële dreigingen.

De rol van de security-branche 

Voor de security-branche is een grote rol weggelegd bij het bestrijden van deze fabels door terughoudender te zijn met het geven van adviezen die niet altijd relevant zijn voor de consument. In plaats daarvan zouden we ons moeten focussen op het onderwijzen van mensen over de reële risico’s en gevaren die ze lopen, zoals whatsappfraude, het gebruik van wachtwoorden en gestolen persoonsgegevens. Het is belangrijk dat mensen weten welke dreigingen voor hen specifiek relevant zijn, en dat zijn bijna nooit de gevaren van QR-codes, openbare wifi-netwerken en publieke oplaadpunten.

De security-industrie moet andere oplossingen bedenken om mensen te beschermen zonder hen te overladen met informatie die ze niet nodig hebben. Het is belangrijk te erkennen dat veel mensen denken dat hacken gaat zoals in films en dat dit beeld wordt versterkt door de media. Daarom moeten we mensen onderwijzen over de echte gevaren en hoe ze zich hiertegen kunnen beschermen. Alleen zo kunnen we ervoor zorgen dat mensen niet overspoeld worden met nutteloze adviezen en zich richten op wat echt belangrijk is om zichzelf en hun gegevens te beschermen.

Dit is een ingezonden bijdrage van Computest. Via deze link vind je meer informatie over de mogelijkheden van het bedrijf.