Verlies digitale datadragers nooit uit het oog, adviseren cyberexperts van Defensie. Militairen van het Defensie Cyber Commando tijdens een recente oefening in Den Haag.
In een wereld met oneindig veel digitale verbanden doet cyber de traditionele grenzen tussen privé- en werkmiddelen steeds meer vervagen. Hoe kunnen militairen zich beschermen tegen de digitale dreigingen die dit met zich meebrengt? Waar moeten ze aan denken bij het surfen op internet of het gebruik van privémiddelen, zoals een laptop of een smartphone? Iedereen is een potentieel doelwit van hackers, die er niet voor terugdeinzen de digitale privé-omgeving van militairen uit te buiten om bij de afgeschermde militaire wereld te komen.
Cyberdreigingen komen uit allerlei hoeken: landen, terroristische groeperingen, criminelen, hacktivisten of een technisch onderlegd individu. Die kunnen het niet alleen gemunt hebben op bepaalde personen binnen de krijgsmacht, maar ook op logistieke, sensor-, wapen- en commandovoeringsystemen. Aanvallers richten zich bijvoorbeeld op het verstoren van deze systemen of op het inwinnen van geheime informatie.
Zeker in missiegebieden krijgen militairen steeds vaker met cyberdreigingen te maken. Om militairen bewust te maken van de gevaren, krijgen zij sinds begin dit jaar instructie over de potentiele gevaren van het cyberdomein en hoe hier mee om te gaan. Centrale vraag: hoe ga je op verantwoorde wijze om met digitale (privé)middelen, zodat de kans op verstoring van de operatie zo klein mogelijk is. 100% digitale veiligheid is niet haalbaar, maar het kan een potentiële tegenstander wel een stuk moeilijker worden gemaakt.
Het Defensie Cyber Commando (DCC) heeft de opdracht gekregen om militairen van praktische adviezen te voorzien voordat ze op missie gaan, tijdens de zogeheten Missie Gerichte Opleiding (MGO). Daarin leren militairen onder meer dat het niet handig is om voortdurend op sociale media te melden wat ze doen en waar ze zijn. Het prijsgeven van gevoelige informatie kan gevolgen hebben voor het operatiegebied en niemand wil de tegenstander wijzer maken dan nodig is. Voor de Defensiekrant zetten cyberexperts van DCC enkele belangrijke tips op een rij:
Koppel nooit eigen ICT-middelen aan die van Defensie. Kwaadaardige software (malware) kan op die manier overgaan van privémiddelen op defensiesystemen. Laad privételefoons bijvoorbeeld niet op via een usb-ingang van een defensiecomputer, want de gebruikte laadkabel is tegelijkertijd ook vaak een datakabel. Gebruik defensie-usb-sticks niet voor eigen pc’s en vice versa en verlies digitale datadragers nooit uit het oog. Haal defensie-usb-sticks altijd eerst door een ‘scrubber’ (een pc met viruschecker) na gebruik buiten de eigen werkomgeving.
Zet geen operationele foto’s op sociale media. Vaak is er extra informatie aan de foto toegevoegd, zogeheten metadata, zoals tijd en plaats. Daardoor geeft de plaatser onbewust veel meer informatie prijs dan alleen de afbeelding. Mocht het toch nodig zijn, zet dan de locatievoorzieningen van de smartphone uit, zodat er geen gps-coördinaat wordt toegevoegd.
Klik niet op links in e-mails of berichten zonder zeker te weten of ze van een betrouwbare afzender afkomstig zijn. En open ook niet zomaar bijlagen. Bij twijfel: controleer de afzender zonodig via een ander communicatiemiddel. Dus niet door de mail te beantwoorden, maar door bijvoorbeeld te bellen naar de afzender. Het beste is overigens om de vermelde internetpagina zelf in de browser in te tikken. Zo weet je zeker of je ook echt bij bijvoorbeeld je eigen bank uitkomt en niet op een website die er op lijkt.
Maak bij voorkeur geen verbinding met openbare wifinetwerken. De betrouwbaarheid ervan is namelijk onbekend. Is het wifinetwerk van de McDonald’s wel echt van de McDonald’s? Mocht het toch nodig zijn, dan kun je gebruikmaken van een zogeheten VPN (Virtual Private Network)-verbinding. Dat is een versleutelde verbinding waarmee je veiliger en anoniemer kunt internetten. VPN zorgt voor een soort afscherming, waardoor andere gebruikers van hetzelfde wifinetwerk minder snel kunnen meekijken of –luisteren.
Zet de automatische wificonnector op de mobiele telefoon uit als je de deur uitgaat. Mobiele telefoons zoeken continu naar wifinetwerken waar eerder contact mee is geweest. Nepnetwerken met dezelfde naam kunnen zo automatisch verbinding maken met de smartphone. Zo kunnen hackers toegang krijgen tot mobiele telefoons, zonder dat de gebruikers het doorhebben. Beter nog is om de mobiele telefoon onder operationele omstandigheden helemaal niet mee te nemen.
Gebruik lange wachtwoorden met cijfers en symbolen, waarbij een spatie ook een toegestaan symbool is. Hoe meer verschillende karakters, hoe lastiger het wachtwoord te kraken is. Gebruik bijvoorbeeld een persoonlijke zin als wachtwoord en vervang enkele letters door cijfers of symbolen. Dat is makkelijker te onthouden dan enkele losse woorden achter elkaar. Gebruik daarnaast verschillende wachtwoorden voor verschillende systemen en diensten. En verander de wachtwoorden geregeld. Al deze wachtwoorden zijn beveiligd op te slaan in een digitale wachtwoordmanager; op internet zijn er vele varianten beschikbaar.
Gebruik altijd legale en geüpdatete software. Zet bij software altijd de functie voor automatische updates aan en voer een nieuwe update meteen uit zodra die beschikbaar is. Bij elke nieuwe update zijn mogelijke kwetsbaarheden uit de vorige versie verholpen. Maak daarnaast gebruik van een virusscanner die in elk geval standaardvirussen tegenhoudt.
