Security Awareness. (C) TUNIX Internet Security & Opleidingen

.

Security Awareness

(C) 2000-2005 TUNIX Internet Security & Opleidingen All rights reserved. No part of this publication may be reproduced, stored in a retrieval system, or transmitted in any form or by any means, electronic, mechanical, photocopying, recording or otherwise, without express prior written permission of the publisher. Version: AWARENESS_2_1 Printed: 18-08-2005

Security Awareness

1-1

© 2005 TUNIX Internet Security & Training

Security Awareness Inhoud • Waarom is beveiliging mensenwerk? • Een beetje theorie. • Browsen, chatten, tekstverwerken, e-mailen,... waar

gaat het mis? • Verdedigen is (ook) mensenwerk.

1-2


Het doel van deze training Het beveiligings-bewustzijn van werknemers vergroten Waarom? Sinds de ontwikkeling van Internet en de moderne PC (Windows, WIFI, PDA, etc.) is ICT geen zaak meer van alles-controlerende beheerders: • Medewerkers ‘‘beheren’’ vaak hun eigen PC. • Workgroup software verbindt gegevens die voorheen

niet beschikbaar waren. • Programma’s zijn metaforen geworden, er is amper een beheerder die weet welke techniek ‘‘onder de motorkap’’ gebruikt wordt. (Waar is mijn printjob gebleven?) Het gevolg:

Er kan heel veel informatie worden gebruikt uit allerlei bronnen Maar wie is verantwoordelijk voor het beschermen van al die gegevens?

1-3


Informatietoegang Uitgangspunt:

Het gevolg van vrije informatietoegang is het nemen van verantwoordelijkheid om die informatie te beschermen

Maar wie ziet dat zo? • We zijn slordig: papier en bestanden slingeren rond. • Kopietjes zijn snel gemaakt. Wormen en virussen

‘‘kopiëren’’ ook! • Wachtwoorden ‘‘lenen’’ we uit. • Om opgelegde beperkingen wordt ‘‘heengewerkt’’.

Maar wat helpt dan wel? • Duidelijk maken dat informatie waarde representeert. • Duidelijk maken dat elke werknemer zelf een stukje

medeverantwoordelijk is. • Duidelijk maken dat een paar rotte appels de hele mand aansteken, informatiebescherming is een groepsproces!

1-4


Les 1: Informatie heeft waarde Voorbeelden: • Klantgegevens. • Beursgevoelige jaarcijfers, de winstprognose. • (Re)organisatieplannen. • Personeelsbestand. • Offer tes en contracten. • Boekhouding.

Ook triviale informatie als • Telefoonlijsten. • Smoelenboek.

1-5


Les 2: Onbeschermde informatie Onbeschermde informatie kan ‘‘beschadigd’’ raken: • Beschikbaarheid. • Integriteit. • Vertrouwelijkheid.

Digitale gegevens kopieëren is bovendien: • Makkelijk. • Je merkt het niet.

1-6


Les 3: Wat zijn de gevolgen? Diefstal en oneigenlijk gebruik hebben gevolgen voor je werk: • Negatieve naambekendheid. • Concurrentiepositie. • Niet nagekomen afspraken (SLA, etc). • Sluiting.

Maar ook voor jezelf: • Privacy kwijt. • Identiteit kwijt. • Baan kwijt.

1-7


Les 4: Horror • Oktober 2004: Officier van justitie Joost T. zet zijn

computer eind juni bij het grofvuil, omdat er een virus op zou zitten. Een taxichauffeur vond het apparaat en bracht het naar Peter R. de Vries, die de vondst in de openbaarheid brengt. Volgens de journalist stonden op de pc onder meer honderden pagina’s met vertrouwelijke informatie over grote strafzaken. • September 2003: Britse overheidslaptops slecht beveiligd - Britse overheidsmedewerkers gaan slordig om met gevoelige informatie die op hun laptop staat. Hierdoor komt de nationale veiligheid in gevaar. • Maar t 2003: Een memory-stick met daarop de

medische gegevens van 13 kanker patiënten wordt teruggestuurd naar de leverancier en opnieuw verkocht.

1-8


Horror (2) • Mei 2003: Volgens het College Bescherming Persoons-

gegevens (CBP) zijn privé-gegevens in Nederland eenvoudig verkrijgbaar. Personeel van het CBP wist bijvoorbeeld de fiscus informatie te ontfutselen door zich voor te doen als interne medewerker. • September 2003: Kopieermachine onthoudt

desgewenst niets - Maar weinig mensen staan erbij stil: digitale kopieerapparaten hebben een harde schijf en daarop blijft informatie staan ook nadat ver trouwelijke stukken zijn gekopieerd. • September 2003: Identiteitsdiefstal maakt miljoenen

slachtoffers en kost miljarden - Ongeveer 3.3 miljoen Amerikaanse consumenten ontdekten in het afgelopen jaar dat hun persoonlijke informatie gebruikt is voor frauduleuze bank- of credit card transacties of andere misdaden aldus het eerste nationale onderzoek naar identiteitsfraude door de Federal Trade Commission.

1-9


10 misvattingen 1. 2. 3. 4. 5. 6. 7. 8. 9.

Beveiliging valt niet onder mijn verantwoordelijkheid. Ik werk niet met computers, dus loop ik geen gevaar. Ik werk niet met ver trouwelijke informatie. Mijn bedrijf is geen doelwit. Ik ben geen doelwit. De risico’s zijn verwaarloosbaar klein. We hebben een pasjes-systeem. Wij hebben goede veiligheidsprocedures ingesteld. Onze organisatie is goed beveiligd want we hebben een firewall. 10. Onze organisatie is goed beveiligd want we zijn op cursus geweest...

1-10


Toegangscontrole Bescherming is gekoppeld aan toegangscontrole: 1. Identificatie: ben je wel die je zegt dat je bent.

2. Autorisatie: niet iedereen mag overal bij. Informatieverstrekking op ’need-to-know’ basis.

1-11


Hoe bescherm je informatie? Technische maatregelen: • Sleutels en pasjes. • Firewalls, virusscanners, Intrusion Detection, Intrusion

Prevention. • Role Based Access Control (RBAC).

Maar vooral menselijk gedrag: • Bewust met informatie omgaan. • Gezonde achterdocht (trust but verify).

1-12


De menselijke factor Mensen vormen het grootste security probleem: • Onbegrijpelijke techniek. • Onverschilligheid (not my problem). • Risico inschatting is lastig. • Onduidelijkheid (er is geen beleid).

Maar: Mensen zijn ook de oplossing: • Mensen kunnen hun reactie aanpassen aan de

omstandigheden. • En bovenal: mensen hebben een zesde zintuig. Tejo van de KvK weet ’t: Ach, het is een mix van ervaring, onderbuik, spitzenfingergefühl, apres-ski, yin-yang, win/win.....

1-13


Aanvalstechnieken • Ongeoorloofde fysieke toegang. • Ongeoorloofde digitale toegang. • Afluisteren. • Social engineering.

1-14


Fysieke toegang • Langs de portier. • Openstaande (kast)deuren. • Rommelige gangen. • Rommelige bureaus. • Informatie-afval (dumpster diving).

Vaak blijft iemand onopgemerkt... • Grote bedrijven (anonimiteit). • Door onverschilligheid (niet mijn probleem). • Hij mocht toch langs de portier? • Hij heeft toch een pasje?

1-15


Digitale toegang • Openstaande documenten. • Niet uitgelogd. • Geen wachtwoord beveiligde screensaver. • Inlogicons met automatische authenticatie. • Automatisch bewaarde wachtwoorden.

• Lakse systeembeheerder (geen patches/oude

virusscanners). • Slecht gekozen wachtwoorden. • Trojaanse paarden.

1-16


Afluisterpraktijken

• Shoulder surfing... • Telefoongesprek. • Speciale keyboard sniffers (‘‘KeyKatch’’ of virus

‘‘BugBear.B’’).

• Kopie van paspoort of rijbewijs (bevat sofinummer!). • Netwerk sniffing. • Draadloze computers en handhelds (WiFi, Bluetooth).

1-17


Social engineering • ‘‘People hacking’’. • Andere mensen dingen laten doen die ze normaal

gesproken niet voor een vreemde zouden doen. • Misbruik maken van de hulpvaardigheid van mensen: • Behulpzaamheid zit in je opvoeding. • Je helpt uit schuldgevoel iemand die net jou een

dienst heeft bewezen. • Meest succesvolle/gemakkelijke manier om aan

informatie te komen. • In combinatie met techniek een onovertroffen wapen.

1-18


1-19


Technologie

2-1


Overzicht • Pasjes • Firewall • Telefoon • Wachtwoorden • Systemen en Netwerken • E-mail • Web • News • Chat en Instant Messenging • Remote Control Software

2-2


Pasjes Bedoeld om alleen bevoegden toegang te verschaffen. (Eigenlijk: bedoeld om anderen buiten te houden.) • Leen dus nooit een pasje uit. • Laat niemand meelopen als je met je pasje naar

binnen gaat. • Als je je pasje kwijt bent: Melden! • Als iemand anders je pas gebruikt, word je verantwoordelijk (gehouden) voor diens daden!

2-3


Firewall Een firewall probeert ongewenst netwerkverkeer te voorkomen. • Ga dus geen omweg verzinnen voor verkeer dat wordt

tegengehouden door de firewall (wees geen onderdeel van het probleem maar van de oplossing). • Als iets door de firewall wordt gelaten wil dat nog niet zeggen dat het veilig is! • Gebruik ook een personal firewall om intern verkeer te bewaken en om applicaties in de gaten te houden die het netwerk willen gebruiken. • Zorg dat personal firewall software, virusscanners e.d. up-to-date zijn (gebruik automatic updates).

2-4


Telefoon De telefoon is ook een netwerk. • Geliefd bij social engineers... • Probeer de persoon aan de andere kant van de lijn te

identificeren (stem, telefoonnummerherkenning, terugbellen). • Ga er nooit automatisch van uit dat de persoon de waarheid spreekt! • (Met name mobiele) telefoons zijn af te luisteren (niet alleen met techniek: terras, trein, .... • Wees voorzichtig met het opslaan van gegevens in mobiele telefoons en PDA’s

2-5


Wachtwoorden • Een wachtwoord is bedoeld om personen te • • • • • •

2-6

authenticeren Een wachtwoord is bedoeld om anderen buiten te houden. Dit wachtwoord moet dus strikt geheim blijven! Als iemand anders je wachtwoord gebruikt, word je verantwoordelijk (gehouden) voor diens daden! Leen wachtwoorden nooit uit! Wachtwoord per ongeluk prijsgegeven: Melden! Hoe houdt je wachtwoorden geheim?


Wachtwoorden do’s • Gebruik gezond verstand. • Gebruik geen default wachtwoorden. • Kies ‘‘degelijke’’ wachtwoorden, die niet makkelijk te

raden zijn. • Zorg dat een wachtwoord lang genoeg is, om password

crackers geen kans te geven. • Verander je wachtwoorden regelmatig:

‘‘Passwords are like underwear : change yours often’’. • Scheid privé-wachtwoorden van bedrijfs-

wachtwoorden.

2-7


Wachtwoorden dont’s • Vertel niemand je wachtwoord (zelfs niet

systeembeheer of manager). Vraagt iemand om je wachtwoord? Melden! • Schrijf je wachtwoord nooit op (op een plek - of met

informatie - die het bijbehorende account verraadt). • Laat niemand meekijken bij het invoeren van een

wachtwoord. Een PIN code voer je met twee handen in. • Gebruik hetzelfde wachtwoord nooit voor verschillende

systemen. • Wijzig een wachtwoord niet op voorspelbare wijze (bijv.

osolemio1 in osolemio2). • Gebruik geen autologin faciliteiten. • Laat applicaties geen wachtwoorden ‘‘onthouden’’.

2-8


Systemen en Netwerken • Installeer nooit software waar van je de oorsprong niet

• •

• • •

kent. Vraag je systeembeheerder een betrouwbare versie ter beschikking te stellen. Pas op voor spyware en trojans. De mogelijkheid software te installeren betekent een extra verantwoordelijkheid! Heb je die toestemming eigenlijk wel? Elke netwerk-koppeling betekent een extra risico. Elk systeem betekent een extra risico: van PDA tot laptop tot server. Elk medium betekent een extra risico: diskette’s, USB sticks, digitale camera’s, etc.

Netwerk Technologie: • Netwerk verkeer kan worden afgeluisterd (sniffing). • Technieken als Wifi, GPRS, UMTS en BlueTooth

vormen extra risico’s! • Netwerkverkeer kan worden gekaapt (hijacking). • Een modem kan een backdoor vormen! • Via een VPN kan een indringer meeliften!

2-9


E-mail Wees kritisch met email: • Is deze mail authentiek? From: George W Bush <[email protected]> Subject: See Kerry naked Hi Joost, the tomatoes are ripe this afternoon! Check out this picture of Kerry! http://192.0.2.123/images/kerry.jpg GWB

• En deze: From: Systeembeheer <[email protected]> Subject: wachtwoord database kapot Hoi, De wachtwoord database is kapot. We moeten hem herstellen. Wil je even je wachtwoord wijzigen in Qwaadr$@q ? Morgen kun je je oude wachtwoord weer terugzetten. Beheerteam

2-10


Email (2) From: "Microsoft Corporation Security Center" To: "Microsoft Customer" <’[email protected]’> Subject: Internet Security Update Date: Wed, 27 Mar 2002 10:19:20 -0800 Microsoft Customer, this is the latest version of security update, the "23 Mar 2002 Cumulative Patch" update which eliminates all known security vulnerabilities affecting Internet Explorer and MS Outlook/Express as well as six new vulnerabilities, and is discussed in Microsoft Security Bulletin MS02-005. Install now to protect your computer from these vulnerabilities, the most serious of which could allow an attacker to run code on your computer. ... How to install Run attached file q216309.exe ... Thank you for using Microsoft products. With friendly greetings, MS Internet Security Center.

Doe de phishing test: http//survey.mailfrontier.com/sur vey/quiztest.html

2-11


Email (3) • Wantrouw afzender email adressen. • Wantrouw attractieve attachments. • Open nooit attachments waar van de herkomst • • • •

onduidelijk is. Laat attachments nooit automatisch openen: zet preview uit! Update je virusscanner vóórdat je mail gaat lezen (dus ook als je van vakantie terugkomt!). Triple Check de To:, Cc: en Bcc: email-adressen voordat je ver trouwelijke informatie verstuur t. Stuur geen ver trouwelijke informatie buiten het bedrijf, tenzij speciale versleutelingssoftware wordt gebruikt (PGP of S/MIME).

2-12


E-mail authenticatie

2-13


E-mail certificaten Een email certificaat kan aantonen wie de digitale handtekening heeft gezet en (aannemelijk) de auteur is van de email:

2-14


Spoofed e-mail

2-15


Phishing Email wordt vaak gebruikt voor phishing.

Wat valt je op aan deze email?

2-16


xs4all service centre Wat valt je op aan deze website?

2-17


Authenticatie Middels een server cer tificaat kan geverifieerd worden of de getoonde webpagina authentiek is.

De naam op het certificaat moet overeenkomen met de naam in de adres-balk! 2-18


Encryptie De communicatie met een webser ver kan middels SSL worden versleuteld:

Merk op: • Check voor het versturen van informatie of de

communicatie is versleuteld. • De communicatie met de server is beveiligd, maar dat wil nog niet zeggen dat de inhoud van het web-verkeer veilig is!

2-19


Web Wees kritisch met web-surfen: • Pas op met lonkende links (haal geen Trojaans paard

binnen)

Klik hier (1) om Anna naakt te zien

*1

2-20


Web (2) • Pas op met dynamic content (JavaScript, Java,

ActiveX, Flash, etc). • Gebruik eventueel een cookie manager om usertracking te voorkomen. • Check cer tificaten bij adressen die beginnen met https://

1. Check of de naam van de website (de URL) overeenkomt. 2. Check de houdbaarheid. 3. Check of de digitale handtekening van de instantie die het certificaat heeft afgegeven klopt. Te ingewikkeld? Vraag een beheerder om een demonstratie!

Lekke browsers Internet Explorer heeft een beroerde reputatie m.b.t. security maar Mozilla enz. kennen ook de nodige problemen. Bezoek alleen sites die je zakelijk nodig hebt en vermijd lokkende links. Tip: herstar t voor een secure transactie altijd je browser en herstar t de browser meteen als je klaar bent.

2-21


News • Iedereen kan alle News-berichten lezen. • Vrijwel alle News-berichten worden lange tijd

gearchiveerd. • Post dus nooit persoonlijke of ver trouwelijke informatie in een nieuwsgroep. From: Jan Doedel <[email protected]> Newsgroups: comp.dcom.sys.cisco Subject: Problem with cisco router logging Hi, I’m having trouble with collecting logging from my Cisco Routers running IOS 12.2(23). I want to collect logging on a central machine running FreeBSD 4.6 from routers in our network. I use the following on my ciscos: gateway-5#(config)logging 192.0.2.133 but no logging appears on my syslog server. Can anyone help? PS: please reply by email to [email protected] as I’m out of the office, attending the SANE conference next week. -Jan

2-22


Chat en Instant Messenging (I) Chat en Messenging software hebben een beroerde reputatie als het gaat om security. Instant Messenging staat in de top-10 van ‘‘The Twenty Most Critical Internet Security Vulnerabilities’’ van het SANS instituut.

2-23


Chat en Instant Messenging (II) • Vraag jezelf altijd af: • Met wie ben je aan het communiceren? • Wie luisteren er mee? • Wat is de route van gegevens over het netwerk? • Gebruik programma’s als MSN Messenger, AOL

Instant Messenger, Yahoo! Messenger, Trillian, iChat, Jabber en ICQ niet voor filesharing.

2-24


Remote Control Software • Wees voorzichtig met remote control software, zoals

Windows Remote Desktop, VNC en SSH. • Vermijd tools als GoToMyPC en Back Orifice!

MP3, Kazaa, Groove, WOW! • Pas op met programma’s die jou de mogelijkheid geven

om de gegevens van anderen te bekijken: dat werkt vaak ook andersom! • Trouwens: illegale MP3’tjes op de PC op je werk kunnen je werkgever duur te staan komen... en dus jou ook. De PC op je werk is er voor je werk, houd hem schoon. Doe je het niet voor je baas, doe het dan voor je baan....

2-25


Afspraken, afspraken, afspraken, ... Techniek is kwetsbaar en zal het altijd blijven. • Goede beveiliging begint met goed beleid. • Beleid ligt vast in afspraken. • Maak afspraken over wat wel en niet mag. • Maak afspraken over wat er moet gebeuren bij een • • • •

incident. Maak afspraken over het regelmatig bespreken van afspraken. Kom de afspraken na... Snuffel eens rond bij XS4ALL: (www.xs4all.nl/veiligheid). Snuffel eens rond bij het CBP (www.cbpweb.nl): • Raamregeling voor het gebruik van e-mail en

Internet. • Goed werken in netwerken.

2-26


Verdedigen is mensenwerk

3-1


Uitgangspunten • Behandel alle gegevens als vertrouwelijk. • Stel vragen: • Mag de persoon die de gegevens vraagt deze ook

hebben? • Wat gaat die persoon met de informatie doen? • Techniek is niet feilloos. Ver trouw dus nooit blind op

techniek! Wervende citaten: • ‘‘Gezonde Achterdocht loont!’’ • Beveiliging is een joint effort - ga er nooit van uit dat

anderen de beveiliging compleet hebben afgehandeld.

3-2


Les 1: Vreemde verzoeken • Durf nee te zeggen en volg altijd de policy (indien

aanwezig). • Als nee zeggen moeilijk is: vraag of je over een

kwar tier terug kunt bellen (koop bedenktijd en bouw verificatie in). • Zeg ook nee tegen ‘‘stropdassen’’ (je eigen manager

ook!) en ‘‘sympathieke’’ mensen. • Geef iemand nooit het voordeel van de twijfel. • Doe aan sociale controle: attendeer je collega’s en leg

de regels aan collega’s uit. • Wees bedacht op ‘‘los lopende’’ onbekenden en vraag

naar hun pas. Iets vreemds gemerkt? Melden!

3-3


Les 2: Signalen Mogelijke signalen als je een social engineer aan de lijn hebt: • Geen nummer-herkenning. • Een ‘‘raar’’ verzoek. • Iemand die autoriteit claimt. • Stress en haast-verzoeken. • Chantage door dreigen met consequenties. • Toont ongemakkelijkheid na verdere vragen. • Overdadig namen en personen noemen. • Complimenten, vleierij en flirten. • Beloftes doen.

Iets vreemds gemerkt? Melden!

3-4


Les 3: Clean room/desk/desktop • Laat geen documenten slingeren in kantoren, op

bureaus, op copiers, printers of faxen. • Liggen er ‘‘onbewaakte’’ documenten of computers?

Melden! • Lock het computerscherm of log uit. • Gebruik een screensaver die snel activeer t en beveiligd

is met een wachtwoord. • Laat de computer geen wachtwoorden onthouden. • Gebruik geen snelkoppelingen waarmee automatisch

ingelogd kan worden. • Gebruik altijd een virus-scanner en update die

regelmatig. • Sluit applicaties na gebruik (zeker je browser).

3-5


Les 4: Informatieafvalprobleem Maatregelen: • Gebruik papier versnipperaars (geen repen!). • ‘‘It ain’t dead until you shred!’’ • Laat media met gevoelige informatie vernietigen bij het

security meldpunt. • Via Dumpster Diving kunnen onbevoegden gemakkelijk (en zelfs legaal!) aan ver trouwelijke informatie komen. • Bedrijven doen aan bedrijfspionage via onder andere Dumpster Diving (e.g. LarryGate). Best buy: de Shrinter (printer + shredder in één)

3-6


Les 5: Wees voorzichtig met techniek Dus nog maar een keer: • Wachtwoorden • Pasjes • Browsen • Email • Chatten • News • Wireless netwerken • Traditionele en nieuwe communicatie-kanalen

Er kan meer mee dan je zou willen. Stel vragen bij het security meldpunt, zeker bij nieuwe programma’s, juist bij de gebruiksvriendelijke!

3-7


Wat te doen bij een incident?

Meer moet niet nodig zijn...

3-8


Quiz

4-1


Vraag 1 U opent de webpagina www.acme.nl, en er verschijnt een vraag met het verzoek om een plugin te downloaden van Microsoft. U doet het volgende: 1. de plugin komt van MS, dus is het goed, ik klik gewoon op ja. 2. ik controleer wie het certificaat gesigned heeft en klik dus op View Cer tificate, als dat een bekende partij is ga ik akkoord. 3. ik klik op Cancel. 4. ik zet mijn PC uit en ga naar huis.

4-2


Vraag 2 Wat is Back Orifice? 1. 2. 3. 4.

4-3

spyware. een remote control. een onderdeel van MS Office. een trojaans paard.


Vraag 3 U moet vanuit een hotelkamer een ver trouwelijk rappor t opsturen naar uw manager. Gelukkig heeft het hotel een draadloos netwerk waarvan u gebruik kunt maken. Wat doet u? 1. U stuur t het rappor t op per e-mail. 2. U kopieer t het rappor t via het VPN netwerk naar de computer van uw manager binnen uw bedrijf. 3. U plaatst het rappor t op een website en stuurt uw manager een e-mail met het (geheime) web-adres van het rappor t. 4. U beveiligt het rappor t met een wachtwoord en stuurt het per e-mail aan uw manager. Het wachtwoord stuur t u met een tweede email.

4-4


Vraag 4 U krijgt een mailtje van een collega van uw buurman, met een attachment (bijlage) dat humor.jpg heet. U doet het volgende: 1. het is een plaatje, dus per definitie veilig, en ik open het gewoon. 2. ik heb een virusscanner, die controleert alle mail, dus is het veilig en ik open het gewoon. 3. ik heb geen gevoel voor humor en ga door naar het volgende plaatje. 4. ik sla het plaatje op als humor.jpg.exe en doe een virusscan.

4-5


Vraag 5 U wordt gebeld door een inkoper van een grote klant met de vraag wat zijn klantcode is, hij kan hem niet vinden, en zijn collega is net op vakantie. Hij heeft een grote bestelling klaarliggen, maar kan hem nu niet invoeren. Wat doet u? 1. U zoekt de klantcode op en geeft hem door, klantvriendelijkheid is belangrijk. 2. U denkt dat dit een boef is en geeft geen antwoord. 3. U probeer t te onderzoeken of dit echt een klant is (hoe dan?), en als dat echt zo is, geeft u hem de klantcode. 4. U verbindt hem door met een collega.

4-6


Vraag 6 Welke van onderstaande wachtwoorden is het minst onveilige: 1. 2. 3. 4.

4-7

xxxxxxx a1zihW (alle eendjes zwemmen in het water) kuba50 nietnodig


Vraag 7 Uw gebruikt een laptop met daarop een kopie van de klantendatabase. Vanuit uw thuiswerkplek logt u in op het bedrijfsnetwerk om uw e-mail op te halen. Is de klantendatabase goed beveiligd? 1. Ja, want u gebruikt een personal firewall op uw laptop. 2. Ja, want u gebruikt anti-virussoftware op uw laptop. 3. Ja, want u gebruikt een VPN-verbinding met uw bedrijf. 4. Ja, want u gebruikt een versleuteld filesysteem.

4-8


Vraag 8 U komt op uw afdeling een onbekende man tegen. Hij vraagt u waar hij een fax kan versturen. Wat doet u? 1. U verwijst hem naar de kopieerkamer, waar ook de fax zich bevindt. 2. U belt de bewaking en laat de man verwijderen. 3. U vraagt de man zich te identificeren. 4. U brengt de man naar de kopieerruimte en wacht tot hij zijn fax verstuurd heeft.

4-9


Vraag 9 U wordt gebeld op uw werk door een onbekende vrouw. Aan de nummerweergave van uw telefoon ziet u dat het een intern nummer betreft. De vrouw zegt Wiersma te heten en ver telt u dat het netwerk op haar kamer gestoord is. Omdat ze dringend een belangrijke klant moet bellen vraagt ze of u het mobiele nummer van de contactpersoon van die klant kunt opzoeken in de database. Wat doet u? 1. U vertrouwt het niet en liegt dat uw netwerk ook gestoord is om tijd te winnen. 2. U geeft het gevonden nummer want het gaat immers om een collega en alle collega’s hebben toegang tot de database. 3. U vraagt haar gebruikersnaam en wachtwoord om daarmee in te loggen in de database. Als ze die niet wil geven gaat het vast om een hacker. 4. U zoekt zowel het gevraagde mobiele nummer van de klant als het interne nummer van mevrouw Wiersma op en belt haar even later terug om het nummer door te geven.

4-10


Vraag 10 U ontvangt een e-mail van een vriend waarin gewaarschuwd wordt voor een nieuw, gevaarlijk virus, dat verspreid wordt via e-mail. Het virus is te herkennen aan het subject, met als tekst: ‘‘Moet je dit zien!’’. Te lezen valt verder dat de informatie afkomstig is van McAfee, een gerenommeerd anti-virus bedrijf. Wat doet u? 1. U sluit uw mailprogramma onmiddelijk voordat u het virus heeft ontvangen en wacht een paar dagen tot de storm weer is gaan liggen. 2. U stuur t de e-mail door aan alle mensen in uw adresboek, om ze te waarschuwen. 3. U denkt dat de melding onzin is, gooit de e-mail weg en doet verder niets. 4. U denkt dat de melding onzin is, en stuur t iedereen in uw adresboek een waarschuwing zodat ze er niet intrappen.

4-11


Security Awareness. (C) TUNIX Internet Security & Opleidingen

Recommend Documents