7 stellingen over cyber­veiligheid: waar of niet waar?

Steven Vervoort, IT-manager bij Achmea, houdt zich dagelijks bezig met het verbeteren van online veiligheid. We vroegen hem de onderstaande stellingen te bevestigen of ontkrachten. En we informeerden naar zíjn kijk op het thema. 'In principe kom je met gezond verstand al een heel eind. Maar internetcriminelen worden steeds creatiever en zijn ons vaak een stapje voor omdat ze niet binnen de lijntjes hoeven te kleuren. Gaat het om je online veiligheid, dan is een klein beetje wantrouwig zijn dus eigenlijk helemaal niet verkeerd.'

Antwoord: juist.

Ze bestaan: personen die voor het afhandelen van een betaalverzoek van wifi op 4G overgaan. Overdreven? 'Absoluut niet', zo laat Vervoort duidelijk weten. 'Online overschrijvingen zou ik áltijd via je eigen netwerk doen. Want in theorie kan werkelijk alles wat je via een openbaar netwerk verstuurt, onderschept worden. Gewoon even wachten tot je thuis bent, of ter plekke je internetbundel gebruiken dus.'

Voor al het andere internetgebruik is het belangrijk te kijken naar de locatie. 'Werk je bij een groot bedrijf met een eigen wifi-netwerk waarbij IT'ers de veiligheid bewaken? Dan is er waarschijnlijk weinig spannends aan de hand.' Maar ben je werkzaam in een verzamelgebouw en gebruik je het netwerk van de pandbeheerder? 'Dan zou ik er veel minder gerust op zijn. Openbare netwerken kun je het beste gewoon wantrouwen. Dan loop je het minste risico. Veel gegevensverkeer mag dan versleuteld zijn', zo voegt Vervoort toe. 'Maar er zijn nog genoeg applicaties en online formulieren te noemen die niet aan versleuteling doen.'

Antwoord: juist, maar…

Stel je staat op het punt om een nieuwe fitnessapp te downloaden. Hoe weet je dan dat je kiest voor een betrouwbare variant? 'Download je via App Store of via Google Play Store? Dan mag je er in principe van uitgaan dat de beschikbare apps veilig zijn. Aan opname in die online platformen gaat namelijk een intensieve screening vooraf. Neem bijvoorbeeld de Interpolis-apps die onze partners ontwikkelen. Wij moeten bevestigen dat zij in opdracht van ons werken. En ons beeldmerk of logo niet misbruiken. Dan pas zijn ze beschikbaar voor de consument.'

Wil je op je cyberveiligheid letten? Dan hoef je op dit gebied dus geen extra handelingen uit te voeren. Toch is er wel een 'maar', zo laat de expert weten. 'Want in het verleden is gebleken: er schiet onbedoeld weleens iets doorheen. Een beetje achterdochtig zijn, is ook hier dus zo slecht nog niet.' En vertrouw je het toch niet helemaal? 'Luister dan naar je gevoel en blijf kritisch.'

Antwoord: onjuist.

Je hebt het advies 'alleen inloggen op websites met een groen slotje in de adresbalk' vast weleens gehoord. Op zich duidelijke taal. Maar is doorklikken via zo'n website dan ook altijd veilig? 'Nee, helaas niet', laat Vervoort direct weten. 'Het slotje duidt alleen op een veilige verbinding van jouw apparaat naar de server. Het bevestigt dat de data die verstuurd wordt versleuteld is en bij onderschepping niet leesbaar is. Maar het zegt verder niets over de veiligheid van de website zelf. Of over het risico bij het klikken op links, bijvoorbeeld.'

'Ook malafide websites kunnen beveiligde verbindingen gebruiken', zo vervolgt de IT-expert. Blijf dus zelfs bij een bezoek aan een pagina met een groen slotje alert. 'De site zelf kan immers nog steeds allemaal criminele dingen met je apparaat of gegevens doen.' En twijfel je aan de echtheid van een link? Controleer die dan op betrouwbaarheid en veiligheid via de linkchecker van Checkjelinkje.

Antwoord: juist, maar…

Een QR-code is eigenlijk niets anders dan een link, weergegeven in een afbeelding van zwarte en witte blokjes. Door het gebruik ervan hoef je het webadres alleen niet meer zelf in te voeren. Na het scannen krijg je een voorvertoning van de achterliggende website. Je klikt hier vervolgens op om de site daadwerkelijk te bezoeken. 'Het scannen zelf is niet het probleem. Zolang je maar controleert of de link erachter betrouwbaar is voordat je doorgaat. Want dáár zit het gevaar', zo waarschuwt de IT-manager.

Vervoort vervolgt: 'Ga je met een QR-code aan de gang, blijf dan dus wel scherp. En laat je niet opjagen. Want al is het scannen zelf veilig, een onveilige doorklik is zo gemaakt. Word je aangespoord om het snel te doen? Om een zogenaamde achterstallige betaling over te maken bijvoorbeeld? Ga dan juist even zitten en neem je tijd. Die paar minuten extra zouden voor een eerlijke verzender niets uit moeten maken. Maar in het geval van een nepbericht kunnen ze voor jou wel het verschil betekenen tussen cyberveiligheid en slachtoffer worden van online criminaliteit.'

Antwoord: juist, maar…

Cookies bestaan in verschillende vormen; het ene cookie is het andere niet. 'Er zijn functionele, analytische en trackingcookies. De 1e soort zorgt ervoor dat een website goed werkt. De 2e is er voor de statistieken van de website-eigenaar. En de laatste variant kijkt naar het internetgedrag van bezoekers.' Hoe verschillend ook, toch hebben al die cookies vooral 2 dingen met elkaar gemeen: 'Ze zijn ontzettend irritant. En je hóéft ze niet te accepteren.' Toch geeft Vervoort toe dat hij dat laatste vaak zelf ook gewoon doet. 'De 1e variant vergroot je gebruikersgemak, en de 2e kan weinig kwaad.' De trackingcookies, die probeert hij te omzeilen. 'Al zijn ze op zich niet gevaarlijk en doen die niets met bijvoorbeeld je pc. Ze zorgen er wel voor dat websites te veel over je te weten komen. Die informatie kunnen ze slim inzetten voor reclamedoeleinden. En ze kunnen je zoekgedrag naast dat van anderen leggen, om tot bepaalde conclusies te komen.'

Een tip in dit tijdperk vol oppoppende tekstbestandjes? 'Het is goed om je cookieverleden zo nu en dan te wissen. Het liefst iedere dag. Al is dat voor je gebruikersgemak natuurlijk minder fijn. Een mooie middenweg is 1 keer per week.' Weet trouwens wel dat je na zo'n schoonmaakbeurt bij sommige websites opnieuw inloggen moet.

Antwoord: juist.

Periodes waarin je inbox opeens volstroomt met vreemde e-mails. Velen krijgen hiermee te maken. Berichten over lidmaatschappen van online casino's bijvoorbeeld. E-mails met voor jou interessante datingprofielen. En aankondigingen over geweldige gewonnen prijzen. 'Geen best teken', zo stelt de IT-expert. 'Waarschijnlijk is er een bedrijf gehackt waar jij ooit een account aanmaakte. Jouw e-mailadres is dan op een lijst op het dark web terechtgekomen. Vervolgens zijn jouw gegevens door een cybercrimineel aangeschaft.' Controleren of jouw gegevens inderdaad op straat liggen? Dat kan via de website Have I Been Pwned. 'Blijk je inderdaad 'gepwned', dan betekent het niet dat je meteen gehackt wordt. Maar tijd voor een nieuw e-mailadres is het in dat geval wel.'

Je afmelden voor de genoemde e-mails? 'Doe het niet', zo stelt Vervoort beslist. 'Dat werkt juist in je nadeel. Omdat de verzender ziet dat het e-mailadres nog in gebruik is. Je ontvangt dan misschien zelfs méér spam dan ooit tevoren.' Voor de toekomst ook handig misschien: 2 verschillende e-mailadressen aanmaken. 'De ene voor serieuze zaken, de andere voor de rest. Zo'n adres voor minder serieuze dingen verwijder je na een tijd gewoon. Om vervolgens weer een nieuwe aan te maken.'

Antwoord: onjuist, maar…

Een ouder model van een telefoon, tablet, laptop of pc kan vaak nog prima een paar rondes mee. Ook gekeken naar online veiligheid hoeft hij niet voor een nieuwe variant onder te doen. Met de stelling is Vervoort het dan ook niet per definitie eens, zo laat hij weten. 'Het maakt vooral uit of je jouw software en apps op tijd bijwerkt. Doe je dat niet, dan zijn zelfs gloednieuwe producten niet helemaal veilig.' 

In het verlengde daarvan waarschuwt hij voor het gebruik van te oude apparaten. 'Kan het apparaat de laatste updates niet meer draaien, dan is het wel echt einde verhaal. Met updaten staat of valt je digitale veiligheid. Houd daar dus rekening mee!'