Opdracht 4 voor Security, Privacy en Ethiek, periode 1
Reflectie – Les 4: Fighting Viruses, Defending the Net
In deze les heb ik me verdiept in o.a. de vele organisaties die een rol spelen in cybersecurity. Wat me opviel is hoeveel van deze organisaties er betrokken zijn bij het beveiligen van de digitale infrastructuur. Dit variëerde van nationale organisaties zoals de NCTV en het NCSC tot internationale samenwerkingsverbanden zoals FIRST en CERT. Ik had van sommige namen wel eens gehoord, maar wist eigenlijk niet precies wat ze deden. Door me hier verder in te verdiepen begreep ik steeds beter hoe deze samenwerking op de verschillende niveaus noodzakelijk is om snel te reageren op de vele digitale dreigingen die er zijn.
Daarnaast heb ik gekeken naar een paar daadwerkelijke “cyberdreigingen”, zoals DDoS-aanvallen, phishing en malware. Deze termen kende ik al, maar de verdieping hielp me om de context eromheen ook meer te begrijpen, hoe deze aanvallen werken en waarom ze soms zo lastig te voorkomen zijn. Vooral phishing vind ik best interessant, omdat het niet alleen een technisch probleem is, maar juist ook een menselijk probleem: het gebruikt het vertrouwen in je medemens en de onoplettendheid die daar soms bij hoort. Dat maakt de bewustmaking hierin net zo belangrijk als de vele technische maatregelen.
Verder hebben we kennis gemaakt met tools en tests zoals de Basisscan Cyberweerbaarheid. Deze scan laat organisaties op een laagdrempelige manier inzicht krijgen in hun digitale weerbaarheid. Dit is iets dat ik goed kan gebruiken in mijn eigen werkpraktijk, bijvoorbeeld als ik studenten of collega’s wil helpen om bewust te worden van de vele gevaren in waar ze eventueel mee werken.
Tot slot zette de les me ook aan het denken over ethiek. Het is één ding om systemen te beveiligen, maar een ander om daarbij de balans te vinden tussen veiligheid, privacy en vrijheid. Deze les heeft mij daarin een goede eerste stap gegeven.
Voor mijn eigen lespraktijk zie ik hier ook kansen: ik wil studenten laten zien dat cyberveiligheid niet iets abstracts is, maar iets waar zij zelf invloed op hebben en waarin ze ook verantwoordelijkheid moeten nemen wat betreft software ontwikkeling. Misschien niet door zelf firewalls te bouwen, maar wel door alert te zijn, kritisch te denken, en verantwoordelijkheid te nemen voor hun eigen gedrag (en code).
Voor opdracht 4 zijn de doelen als volgt:
De functies van FIRST, NCTV, NCSC, DTC, SOC en CERT beschrijven:
Dit betekent dat je leert wat de verschillende organisaties doen om Nederland te beschermen tegen cyberaanvallen.
FIRST: Dit is een groep van experts die samenwerkt om landen en bedrijven te helpen beschermen tegen cyberaanvallen.
NCTV: Dit is een overheidsorganisatie die kijkt hoe we Nederland veilig kunnen houden tegen dreigingen, bijvoorbeeld van hackers.
NCSC: Dit is een team van experts die bedrijven en de overheid helpt om zichzelf te beschermen tegen digitale gevaren, zoals hackers die proberen systemen te hacken.
DTC: Dit is een team dat bedrijven en organisaties helpt bij het versterken van hun digitale beveiliging.
SOC: Dit is een plek waar je kunt zien of er digitale aanvallen plaatsvinden en hoe je die kunt stoppen.
CERT: Dit is een team dat snel actie onderneemt als er een computeraanval is. Ze helpen bedrijven om zich snel te verdedigen tegen hackers.
Een Basisscan Cyberweerbaarheid uitvoeren:
Dit houdt in dat je een test doet om te zien hoe goed een organisatie of systeem beschermd is tegen cyberaanvallen. Je onderzoekt bijvoorbeeld of er zwakke plekken zijn die hackers zouden kunnen gebruiken.
Het technische concept van DDOS en de mitigerende maatregelen beschrijven:
Je leert wat DDOS-aanvallen zijn, waarbij een website wordt overspoeld met verkeer om deze te laten crashen. Je beschrijft ook hoe je zulke aanvallen kunt voorkomen, bijvoorbeeld door je website beter te beveiligen.
De verschillende vormen van Phishing en Malware herkennen en beschrijven:
Je leert de verschillende manieren waarop hackers proberen je gegevens te stelen (zoals via nep e-mails of websites, oftewel phishing) en soorten schadelijke software (malware) die je computer kunnen infecteren.
De beveiliging van een website testen:
Dit betekent dat je gaat controleren of een website veilig is. Je onderzoekt of er gaten zijn in de beveiliging die hackers kunnen misbruiken, zoals onveilige wachtwoorden of zwakke plekken in de code.
Vooraf
- Bekijk de volgende presentatie van Mikko Hypponen via ted.com:
- Schrijf 4 statements (zinnen) die voor jou de inhoud van deze TedTalk goed samenvatten.
- Beschrijf 2 voorbeelden uit de huidige actualiteit die aansluiten bij deze TedTalk.
- Neem duidelijk de bronvermelding op.
Tijdens:
Iedereen presenteert zijn statements en voorbeelden in een pitch van enkele minuten.
De vier statements:
- Hypponen bespreekt de opkomst van computer-virussen die begonnen als eenvoudige hobbyprojecten en steeds geavanceerder werden en uiteindelijk naar georganiseerde cybercriminaliteit heeft geleid.
- Hij bespreekt deze cybercriminaliteit waarbij de personen erachter gevonden moeten worden, maar dit nogal lastig is, omdat ze online van land naar land springen.
- Hypponen bespreekt de financiële motieven achter cybercriminaliteit met voorbeelden van miljoenenwinsten via onder andere online marktplaatsen die geïnfecteerde computers opkopen en op afstand gebruiken.
- Hij bespreekt het toenemende gevaar voor belangrijke infrastructuur door cyberaanvallen en noemt proactieve maatregelen zoals het opsporen van mensen die het talent hebben voor cybercriminaliteit, maar hun overhalen om hun skills in te zetten voor wat juist is.
Twee actuele voorbeelden die aansluiten bij deze TedTalk:
- Toename van cyberaanvallen op kritieke energie-infrastructuur in Oekraïene.
In januari 2025 voerden hackers een gerichte cyberaanval uit op de energie-infrastructuur van Oekraine. Dit resulteerde in stroomstoringen en beschadige apparatuur in verschillende delen van het land. Dit sluit aan op wat Hypponen besprak in zijn presentatie. (reuters.com) Helaas kan ik de precieze link naar het artikel niet meer vinden, maar heb wel een artikel gevonden over de reactie van Oekraine hierop.
Oekraine vroeg in maart, 2025 hackers op om te helpen bij het verdedigen van infrastructuur tegen Rusland. (https://teqnation.com/oekraine-vraagt-underground-hackers-om-zich-te-helpen-verdedigen-tegen-rusland/)
- Cyberaanvallen op Belgische overheidswebsites:
In oktober 2024 voerde de pro-Russiche hackersgroep NoName057 meerdere DDoS aanvallen uit op Belgische overheidswebsites. Deze aanvallen volgden op de aankondiging van Belgie om militaire steun aan Oekraine te leveren. (https://www.ccinfo.nl/menu-onderwijs-ontwikkeling/cybercrime/cyberoorlog/2143486_cyberoorlog-nieuws-2024-oktober)
Daarnaast waren er twee kleinere opdrachten voor de module Security, Privacy en Ethiek voor week 4:
Opdracht – Basisscan Cyberweerbaarheid
Voer met behulp van de Basisscan Cyberweerbaarheid een scan uit voor een fictieve onderneming.
Ik heb de basisscan voor mijn eigen bedrijf ingevuld. Dit is het rapport:
Basisscan Cyberweerbaarheid – Digital Trust Center
Rapport Basisscan Cyberweerbaarheid
Dit rapport is gemaakt via https//basisscan.digitaltrustcenter.nl met publicatiedatum 22-01-2025.
Introductie
Je hebt de Basisscan Cyberweerbaarheid voltooid!
Met het beantwoorden van de stellingen heb je als het goed is een indruk gekregen van de digitale weerbaarheid van jouw bedrijf op basis van de vijf basisprincipes van veilig digitaal ondernemen. Je resultaten worden hieronder nogmaals uiteengezet. Ook kun je via de buttons bovenaan de pagina het rapport downloaden als .pdf of naar jezelf e-mailen.
Hoe nu verder?
Heb je bij sommige punten de basis niet op orde? Lees dan nog eens de bijgaande adviezen na. In deze adviezen staat ook waar je terecht kan voor meer informatie.
Ook als je de basis wel op orde hebt is het goed om de adviezen nog eens na te lezen. Dit rapport is namelijk slechts een momentopname. De ontwikkelingen in de digitale wereld gaan snel en werken aan je digitale veiligheid is dus een continu proces. Het kan verstandig zijn om de Basisscan enkele keren per jaar uit te voeren.
Let op!
De Basisscan Cyberweerbaarheid geeft slechts een indicatie hoe jouw organisatie scoort ten opzichte van de vijf basisprincipes van veilig digitaal ondernemen. Het biedt geen garantie dat je bedrijf digitaal veilig is.
Wij hopen dat onze adviezen je verder helpen met de digitale weerbaarheid van jouw bedrijf.
Basisprincipe 1 – Inventariseer kwetsbaarheden
Je hebt de basis goed op orde
Je bent goed bezig! Je lijkt te weten waar je kwetsbaar bent en wat je daaraan kan doen. Het is verstandig om vervolgstappen te zetten om dit basisniveau verder te verhogen. Denk hierbij aan het periodiek testen van je backup. Het met regelmaat blijven verbeteren van je inzicht in je bedrijfsvoering. Wellicht krijg je nieuwe medewerkers, ontwikkel je een nieuw product of heb je nieuwe systemen of software nodig. Kijk ook eens of je delen van jouw systemen kan uitbesteden aan een (ICT) dienstverlener. Vergeet dan ook niet goede afspraken te maken over de beveiliging van jouw informatie, systemen en software.
Basisprincipe 2 – Kies veilige instellingen
Je hebt de basis redelijk op orde
Je bent al aardig op weg als het gaat om het verzekeren van veilige instellingen, maar je kunt nog een verbeterslag maken. Het is belangrijk standaard meegeleverde instellingen van leveranciers van apparatuur (computers, laptops, tablets, telefoons, etc.), en software (systemen, apps, e.d.) aan te passen vóór ingebruikname en bepaalde opties of functionaliteiten niet onnodig ingeschakeld te hebben staan. Ook dienen standaard wachtwoorden van bedrijfsapparatuur te worden aangepast, en voor alle apparatuur (computers, laptops, tablets, telefoons, etc.) en software (systemen, programma’s, apps, e.d.) dienen verschillende veilige en sterke wachtwoorden te worden ingesteld. Het is verstandig om gevoelige of kritieke systemen binnen je bedrijf te voorzien van extra toegangsbeveiliging, zoals d.m.v. tweefactor authenticatie, het beperken van inlogpogingen en wachtwoord versleuteling. Meer informatie over het gebruik van veilige en sterke wachtwoorden en hulpmiddelen daarvoor kun je hier raadplegen. Buiten kantoor dien je (of jouw medewerkers) altijd gebruik te maken van een veilige internetverbinding. Lees hier meer informatie over veilig wifi-gebruik.
Gebruik een wachtwoordmanager
Het is erg belangrijk om voor alle apparatuur (computers, laptops, tablets, mobiele telefoons, etc.) en software (programma’s, email en sociale media accounts, apps, e.d.) verschillende veilige en sterke wachtwoorden in te stellen. Dit kan ertoe leiden dat het op een gegeven moment heel lastig wordt nieuwe, unieke en complexe te verzinnen en te onthouden. Hier bestaat een hulpmiddel voor: een wachtwoordmanager. Je hoeft dan alleen het wachtwoord van de wachtwoordmanager te onthouden. Deze digitale kluis slaat al je wachtwoorden (incl. gebruikersnamen), kan deze automatisch invoeren op websites e.d., en kan ook automatisch nieuwe, sterke wachtwoorden genereren. Je kunt de meeste wachtwoordmanagers ook tussen verschillende apparaten gebruiken, zoals je computer, tablet en smartphone.
Basisprincipe 3 – Voer updates uit
Je hebt de basis goed op orde
Jouw bedrijf zorgt ervoor dat apparatuur en software zo veilig mogelijk is door die regelmatig te controleren op nieuwe actualisaties en/of nieuwe updates op automatische wijze te laten installeren. Je weet dat het belangrijk is ervoor te zorgen dat medewerkers/collega’s dit ook doen op apparaten en software die zij zelf beheren, zoals bijv. operationele systemen van mobiele apparaten (telefoons, tablets, etc.) en apps en/of andere software daarop. Wees verder alert op mogelijke vervanging van apparaten en/of software wanneer updates van leveranciers niet meer beschikbaar zijn. Of sluit deze in ieder geval af van internet.
Basisprincipe 4 – Beperk toegang
Je hebt de basis goed op orde
Binnen jouw bedrijf is het beperken van toegang goed ingericht. Het blijft wel zaak om waakzaam te blijven omdat kwaadwillenden ook nieuwe manieren ontwikkelen om jouw beveiliging te omzeilen. Wellicht is dit het moment om eens na te denken om met andere bedrijven samen te werken op het gebied van digitale weerbaarheid?
Basisprincipe 5 – Voorkom virussen en andere malware
Je hebt de basis redelijk op orde
In het voorkomen van virussen en malware heeft jouw bedrijf de eerste stappen gezet. Het is van belang om hiermee verder te gaan en te zorgen voor een veilige werkomgeving en veilig gedrag. Zo worden jouw medewerkers/collega’s deelgenoot van de digitale beveiliging.
Een andere kleine opdracht in week 4 was de volgende:
Opdracht Beveiliging van een website
Bron: NCSC
Hoe veilig is een willekeurige website?
Test een aantal willekeurige websites via internet.nl
Ik heb de test uitgevoerd voor mijn website die ik heb opgericht voor mijn portfolio voor deze module: https://securityprivacyethiek.nl
Dit was het rapport dat uit de test kwam:
Websitetest: securityprivacyethiek.nl
Het domein securityprivacyethiek.nl heeft een testscore van 82%.
82%
- Gezakt :Niet bereikbaar via modern internetadres, of verbetering mogelijk (IPv6)
- Geslaagd :Domeinnaam ondertekend (DNSSEC)
- Gezakt :Verbinding niet of onvoldoende beveiligd (HTTPS)
- Suggestie :Een of meer aanbevolen beveiligingsopties niet ingesteld (Beveiligingsopties)
- Geslaagd :Geautoriseerde route-aankondiging (RPKI)
Toelichting op testrapport
Permalink testresultaat (2025-03-08 01:24 UTC)
Seconden tot hertest-mogelijkheid: 117
Gezakt :Modern adres (IPv6)
Helaas! Je website is niet bereikbaar voor bezoekers die een modern internetadres (IPv6) gebruiken, of er is verbetering mogelijk. Daardoor maakt je website nog geen onderdeel uit van het moderne internet. Vraag je hostingprovider om IPv6 volledig aan te zetten.
Verberg details
Nameservers van domein
Geslaagd:IPv6-adressen voor nameserversopen
Geslaagd:IPv6-bereikbaarheid van nameserverssluit
Uitslag:
Alle nameservers die een IPv6-adres hebben zijn bereikbaar via IPv6.
Testuitleg:
We testen of alle nameservers, die een AAAA-record met IPv6-adres hebben, bereikbaar zijn via IPv6.
Webserver
Gezakt:IPv6-adressen voor webserveropen
Niet-testbaar:IPv6-bereikbaarheid van webserversluit
Uitslag:
Deze subtest is niet uitgevoerd, omdat een bovenliggende test waarvan deze subtest afhankelijk is een negatief testresultaat gaf, of omdat onvoldoende informatie beschikbaar was om de subtest uit te kunnen voeren.
Testuitleg:
We testen of we je webserver(s) kunnen bereiken via IPv6 op alle beschikbare poorten (80 en/of 443). We testen alle IPv6-adressen die we ontvangen van je nameservers. Een deelscore wordt gegeven als niet alle IPv6-adressen bereikbaar zijn. Als een IPv6-adres (syntactisch) ongeldig is, dan beschouwen we dat als onbereikbaar.
Niet-testbaar:Gelijke website op IPv6 en IPv4open
Geslaagd :Ondertekende domeinnaam (DNSSEC)
Goed gedaan! Je domeinnaam is ondertekend met een geldige handtekening (DNSSEC). Daardoor zijn bezoekers die controle van domein-handtekeningen geactiveerd hebben, beschermd tegen gemanipuleerde vertaling van jouw domeinnaam naar kwaadaardige internetadressen.
Toon details
Geslaagd:DNSSEC aanwezigheidopen
Geslaagd:DNSSEC geldigheidopen
Gezakt :Beveiligde verbinding (HTTPS)
Helaas! De verbinding met je website is niet of onvoldoende beveiligd (HTTPS). Gegevens die onderweg zijn tussen je website en haar bezoekers, zijn daardoor niet voldoende beschermd tegen afluisteren en manipulatie. Vraag je hostingprovider om HTTPS aan te zetten en veilig te configureren.
Toon details
HTTP
Geslaagd:HTTPS beschikbaaropen
Gezakt:HTTPS-doorverwijzingopen
Informatie:HTTP-compressieopen
TLS
Geslaagd:Ciphers (Algoritmeselecties)open
Geslaagd:Sleuteluitwisselingsparametersopen
Geslaagd:Hashfunctie voor sleuteluitwisselingopen
Geslaagd:Secure renegotiationopen
Geslaagd:Client-initiated renegotiationopen
Certificaat
Geslaagd:Vertrouwensketen van certificaatopen
Geslaagd:Publieke sleutel van certificaatopen
Geslaagd:Handtekening van certificaatopen
Geslaagd:Domeinnaam op certificaatopen
DANE
Informatie:DANE aanwezigheidopen
Niet-testbaar:DANE geldigheidopen
Suggestie :Beveiligingsopties
Waarschuwing: Niet alle aanbevolen beveiligingsopties, dat wil zeggen security headers en security.txt, zijn ingesteld voor je website (Beveiligingsopties). Met security headers kan je browsermechanismen activeren om bezoekers te beschermen tegen aanvallen met bijvoorbeeld cross-site scripting (XSS) of framing. Security headers zijn ook relevant voor domeinen met HTTP response codes zoals ‘301 Redirect’ en ‘404 Not Found’, omdat ze hun eigen browsercontext creëren (MIME type ‘text/html’) die kwetsbaar kan zijn voor bepaalde aanvallen. Via een security.txt-bestand kan je onderzoekers die een kwetsbaarheid op je systemen hebben gevonden, voorzien van je contactgegevens en je Coordinated Vulnerability Disclosure policy. Merk op dat HTTPS een voorwaarde is voor alle geteste beveiligingsopties.
Toon details
HTTP security headers
Informatie:X-Frame-Optionsopen
Suggestie:X-Content-Type-Optionsopen
Suggestie:Content-Security-Policyopen
Informatie:Referrer-Policyopen
Andere beveiligingsopties
Geslaagd :Route-autorisatie (RPKI)
Goed gedaan! Alle IP-adressen van je webserver en bijbehorende nameservers hebben een route-aankondiging die wordt gematcht door de gepubliceerde route-autorisatie (RPKI). Daardoor zijn bezoekers met ingeschakelde route-validatie beter beschermd tegen verschillende onbedoelde of kwaadwillige route-configuratiefouten, die kunnen leiden tot de onbereikbaarheid van je servers of de onderschepping van internetverkeer naar je servers.
Toon details
Nameservers van domein
Geslaagd:Aanwezigheid van Route Origin Authorisationopen
Geslaagd:Geldigheid van route-aankondigingopen
Webserver
Leave a Reply