privacy cursus 1

Hoofdstuk 2: Bedreigingsmodel bepalen

Inhoud

Wat is een bedreigingsmodel?

Voordat je bezig gaat met privacy en security is het verstandig om eerst te bepalen waartegen je jezelf wilt beschermen. Omdat het onmogelijk is om jezelf tegen elke security- en privacybedreiging te beschermen, moet je je concentreren op de meest waarschijnlijke risico’s. Als je overal een gevaar in ziet wordt je hartstikke paranoid. 

  • Een onderzoeksjournalist wil zichzelf misschien beschermen tegen een buitenlandse regering
  • Een manager van een bedrijf wil zichzelf misschien beschermen tegen een hacker
  • Een vrouw wil zichzelf misschien beschermen tegen een stalker
  • Een gemiddelde burger wil zijn gegevens misschien beschermen tegen grote techbedrijven
 

Als je alleen de allerveiligste tools wilt gebruiken, moet je soms wat gebruiksgemak opofferen. En zelfs dan  is niets 100% veilig. 

Maak jezelf niet gek. Voor de meeste mensen zijn wat basisaanpassingen genoeg om voldoende beschermd te zijn tegen potentiële risico’s op het internet.

Daarom is het goed om een keer je bedreigingsmodel te bepalen. Het is zoeken naar de juiste balans tussen goede beveiliging en totale paranoia.

Hoe bepaal je een bedreigingsmodel?

Stel jezelf de volgende vijf vragen:

  1. Wat wil ik beschermen?
  2. Tegen wie wil ik het beschermen?
  3. Hoe waarschijnlijk is het dat ik het zal moeten beschermen?
  4. Hoe erg zijn de gevolgen als ik faal?
  5. Hoeveel moeite ben ik bereid te doen om mogelijke gevolgen te voorkomen?

1. Wat wil je beschermen

Een “wat” is iets waar je waarde aan hecht en dat je wil beschermen. Meestal hebben we het dan over persoonlijke informatie zoals je persoonsgegevens, e-mails, contactlijsten, berichten, locatie en bestanden.

Maak een lijst van je gegevens: gegevens die je bewaart, waar ze worden bewaard, wie er toegang toe heeft, en wat anderen ervan weerhoudt er toegang toe te krijgen.

2. Tegen wie wil ik het beschermen?

Om deze vraag te beantwoorden, is het belangrijk na te gaan wie jou of jouw informatie als doelwit zou kunnen hebben. Voorbeelden zijn een (slechte) werkgever, een expartner, een stalker, een zakelijke concurrent, een regering, een datahandelaar of een hacker op een openbaar netwerk.

Maak een lijst met degenen die jouw gegevens in handen zouden willen krijgen. Je lijst kan bestaan uit personen, overheidsinstanties of bedrijven.

Afhankelijk van wie je bedreigers zijn, kan deze lijst onder bepaalde omstandigheden iets zijn dat je wilt vernietigen nadat je klaar bent met deze oefening.

3. Hoe waarschijnlijk is het dat ik het zal moeten beschermen?

Hoewel jouw bank toegang heeft tot veel van je gegevens, is de kans klein dat je bank jouw privégegevens online plaatst om je reputatie te schaden. Maar een bedrijf als Meta (Facebook) heeft lak aan jouw privacy. Hun voornaamste doel is winst maken door middel van advertentieverkoop. Daarvoor verzamelen ze zoveel mogelijk persoonlijke informatie over jou. Facebook is dus een reeële bedreiging op het gebied van privacy, een betrouwbare bank niet. 

Het is belangrijk onderscheid te maken tussen wat zou kunnen gebeuren en de waarschijnlijkheid dat het gebeurt. Er bestaat bijvoorbeeld een risico dat een gebouw instort, maar de kans dat dit gebeurt is veel groter in Groningen (waar aardbevingen steeds vaker voorkomen) dan in Eindhoven.

Het inschatten van risico’s is een persoonlijk proces. 

Schrijf op welke bedreigingen je serieus gaat nemen, en welke misschien te zeldzaam of te onschuldig zijn (of te moeilijk te bestrijden) om je zorgen over te maken.

4. Hoe erg zijn de gevolgen als ik niets doe?

Er zijn vele manieren waarop iemand toegang tot je gegevens kan krijgen. Een cybercrimineel kan bijvoorbeeld je privé-communicatie lezen, of hij kan je gegevens wissen of beschadigen.

De motieven van de cybercriminelen lopen sterk uiteen, evenals hun tactiek.

Beveiligingsplanning houdt in dat je moet begrijpen hoe ernstig de gevolgen kunnen zijn als een cybercrimineel zich met succes toegang verschaft tot een van je accounts. Om dit te bepalen, moet je rekening houden met de mogelijkheden van de aanvaller. Bijvoorbeeld; je mobiele telefoon provider heeft toegang tot al je telefoongegevens. Een hacker op een open Wi-Fi-netwerk kan toegang krijgen tot je onversleutelde communicatie en de overheid heeft misschien nog meer mogelijkheden.

Schrijf op wat je tegenstander met je privégegevens zou willen doen. Maar blijf realistisch. ‘Ik heb niets te verbergen’ is niet realistisch, maar alles proberen te verbergen ook niet.

5. Hoeveel moeite ben ik bereid te doen om mogelijke gevolgen te voorkomen?


Als je nadenkt over je eigen online beveiliging, is het belangrijk om te overwegen wat voor jou echt belangrijk is – denk aan gemak, kosten en privacy bijvoorbeeld.

Als je bijvoorbeeld een advocaat bent die werkt aan nationale veiligheidszaken, is het natuurlijk belangrijk om je communicatie goed te beschermen, en daarbij kan het gebruik van versleutelde e-mails helpen. Maar als je gewoon leuke kattenvideo’s naar vrienden en familie stuurt, dan zijn een paar simpele aanpassingen meestal al voldoende.

Hoop dat dit je helpt!