OPSEC, of Operational Security, is zo’n term die al eeuwen bestaat, maar tot voor kort niet echt tot het grote publiek is doordrongen. Misschien hebben dingen als Snowden-documentaires en boeken het beïnvloed, want tegenwoordig zijn OPSEC-gerelateerde verhalen te vinden in reguliere media. Vaak lijken die verhalen echter te draaien om INFOSEC, of tegenmaatregelen. Om dit onderwerp te verduidelijken, hebben we onlangs een artikel gepubliceerd ‘What is OPSEC?’.
Het OPSEC-proces bestaat uit deze 5 stappen:
1. Identificeer de informatie die je moet beschermen
2. Analyseer de bedreigingen
3. Analyseer de kwetsbaarheden
4. Beoordeel het risico
5. Pas tegenmaatregelen toe
Als je je bedenkt dat OPSEC een herhalend proces is, wordt het iets logischer. Er bestaat geen wondermiddel om je in één keer OPSEC te geven. Het is een continu proces.
Vorig jaar hebben we een OPSEC-adventskalender op Twitter gepubliceerd met de hashtag #OPSEC24. Op basis van de antwoorden die we kregen, waren er duidelijk drie OPSEC-tips die het meest resoneerden onder onze volgers. Laten we die top 3-tips dus eens bekijken met het OPSEC-proces, zoals hierboven uitgelegd, in het achterhoofd.
7/24 Shoulder surfing, eavesdropping, or accidentally CC'ing email to a wrong participant are still among the most common OPSEC pitfalls. Be aware of your surroundings and think before you click! #OPSEC #OPSEC24 pic.twitter.com/awekbAYLJe
— WithSecure™ (@WithSecure) December 7, 2019
Dit scenario kennen we waarschijnlijk allemaal. Je hebt vastgesteld dat de informatie die je op je scherm hebt, niet door iedereen gezien mag worden. Er is een bepaald niveau van bescherming nodig. Laten we zeggen dat het vertrouwelijke bedrijfsinformatie is en dat je op afstand werkt vanuit een café.
Je hebt een betrouwbare VPN gebruikt, maar je hebt geen privacyschermfilter. De digitale pottekijkers were je zo effectief, maar fysiek kunnen er nog steeds mensen over je schouder meekijken.
In dit geval kun je als tegenmaatregel verhuizen naar een privétafel of gewoon doorgaan met werken met het gevoelige materiaal op een andere locatie. Kijk, OPSEC klinkt misschien ontmoedigend, maar het is eigenlijk gewoon een combinatie van gezond verstand en gezonde veiligheidshygiëne.
Laten we nog een populaire tip bekijken:
8/24 Did you know that even Twitter CEO's account was hacked? Here's how to secure your account in 4 steps. #opsec #opsec24 pic.twitter.com/iA7dP7hqs8
— WithSecure™ (@WithSecure) December 8, 2019
Iedereen zou zijn social media accounts beter moeten beveiligen. Zelfs als je verwacht dat jouw accounts geen waardevol doelwit zijn voor cybercriminelen. Social media-accounts zijn een uitbreiding van je online identiteit. Dus als de accounts aangetast worden, wordt je identiteit dat ook. Account overnames kunnen bijvoorbeeld worden gebruikt om valse informatie te verspreiden, de persoon in slecht daglicht te stellen of gewoon om het account en alle bijbehorende informatie te verwijderen. De bedreigingen nemen exponentieel toe als je dezelfde combinatie van e-mailadres en wachtwoord ook voor andere services hebt gebruikt.
De laatste tip gaat over iets dat veel mensen waarschijnlijk wel eens doen, zonder je te beseffen wat de risico’s zijn:
19/24 You shouldn't wear ID badge outside of the office – at least visibly! When you #protectyouraccesscard, you protect your identity and your business. #opsec #opsec24 pic.twitter.com/xiegzbct6m
— WithSecure™ (@WithSecure) December 19, 2019
F-Secure-collega Tom Van De Wiele vertelt al jaren hoe belangrijk het is om je ID-badge te verbergen. En wat is een betere manier om dit probleem onder de aandacht te brengen dan door vertrouwelijke foto’s te maken en deze vervolgens op Twitter te publiceren (met belangrijke details wazig gemaakt natuurlijk).
Voor het geval het niet duidelijk is … als iemand een foto van jouw badge kan maken, kan hij de badge klonen en gebruiken om toegang te krijgen tot je werkplek. Of het kan opnieuw worden gebruikt als hulpmiddel bij identiteitsdiefstal. En als iemand dichtbij genoeg is om een foto van de badge te maken, kan hij waarschijnlijk ook de RFID-chip van de badge scannen. Dus vergeet niet om je badge in je tas te stoppen de volgende keer dat je de deur uitgaat!
De volledige lijst met OPSEC tips vind je op Twitter #OPSEC24.
⚡️ “24 OPSEC Tips #OPSEC24”https://t.co/Ti5N2bDm9S
— WithSecure™ (@WithSecure) January 20, 2020
Categorieën