De mosterd van AWV

Inspiratiesessie

Informatieveiligheid

ONZE GASTEN:

Inti De Ceukelaire Ethisch hacker

Timothy Martens Chief Information Security Officer (CISO) bij AWV

Hoe veilig is jouw en onze informatie?

Terugblik op een inspiratiesessie vol toverhacks

Beeld je in wat er kan mislopen als hackers onze camera’s, verkeerslichten en toegangssystemen overnemen. Hoeveel gevoelige informatie ligt er op straat, als ze toegang krijgen tot je werkmails en -documenten? En hoe wapenen we ons tegen organisaties die zich voordoen als het Agentschap Wegen en Verkeer? Op 12 juni kregen we tijdens de sessie over informatieveiligheid op magische wijze een voorsmaakje van de risico’s en adviezen voor meer bewustwording. De ultieme tip? Draag altijd je hoed van zilverpapier.

De toverhacks van Inti De Ceukelaire

‘Allez!’ Het was zowat de meest gehoorde, verwonderde reactie uit de zaal tijdens de goochelshow van Inti – Houdinti – De Ceukelaire. De ethische hacker liet ooit de paus carnavalvideo’s verspreiden en manipuleerde een tweet van Donald Trump. In het Belpairegebouw liet hij zien hoe gemakkelijk we het hackers soms maken en hoe ver hacking kan gaan.

Hoogtechnologische toegangscontrolesystemen werden plots badgesystemen ‘van den Aldi’. Met een simpele elektromagnetische lezer opende Inti parkeerslagbomen, en potentieel dus ook hotelkamers. De hacker-magiër ontgrendelde zijn computer met een 3D-geprint gezicht, liet 2 collega’s elkaar bellen zonder de smartphones aan te raken en liet een tool automatisch gegenereerde wachtwoorden voorspellen – met succes. Een foto op Facebook zetten met duidelijk zichtbare handen lijkt onschuldig. Maar wat als die vinger(afdruk) een sleutel wordt om al je elektronische toestellen te kraken?

"Wat als verkeerslichten en tunnels worden gehackt?"

"Jezelf Chinees laten spreken is grappig,

je privéfoto op een nieuwssite zien is dat niet."

Van een radioprogramma presenteren tot Siri manipuleren

‘Waar gaat dat allemaal naartoe?’ horen we je denken. Het kan inderdaad ver gaan. In de laatste week van 2023 presenteerde op MNM niet dj Imane, maar een AI-kloon de MNM Happy Hits. Met AI maak je in enkele seconden, alleen op basis van een omschrijving, geweldige afbeeldingen en video’s. En het is best grappig om jezelf met zo’n AI-voice-over Chinees te zien spreken.

Minder grappig is het wanneer iemand met slechte bedoelingen jouw stem misbruikt om je ouders op te lichten of je privéfoto's publiceert met fake wereldnieuws. En wat als ze je Alexa, Siri of Google Assistant thuis dingen die je niet wilt, laten doen? Zoals je deur openen als je niet thuis bent? Dan is het dus ook niet ondenkbaar dat iemand via onze systemen tunnels kan afsluiten en verkeerslichten kan aansturen, met enorme verkeerschaos en ongevallen tot gevolg.

Wat doen we eraan?

Het belangrijkste is: je bewust zijn van de risico’s. Chief Information Security Officer Timothy Martens: ‘AI heeft niet alleen gevaren, maar werkt ook versterkend. Dus we zullen tools als ChatGPT zeker niet blokkeren bij AWV. Maar het is aan jou om er beredeneerd mee om te gaan. Plak daar dus geen persoons- of bedrijfsgegevens in, want ChatGPT verspreidt die verder.’

‘Als organisatie bouwen we op 3 niveaus beveiligingssystemen in: people, process en tech. Ten eerste zorgen we ervoor dat alle collega’s geïnformeerd zijn. Ten tweede bouwen we beveiliging in via toegangsbeheer, monitoring en logging. Ten derde zetten we in op gelaagde cyberbeveiliging: meer bepaald de bescherming van onze data, netwerken, applicaties, enzovoort. Ook jij kan je steentje bijdragen.’

"Het belangrijkste is: je bewust zijn van de risico’s."

Over wachtwoorden, cookies en datahygiëne

Waarop kun jij letten?

  • Goede wachtwoorden: size matters. Je kunt beter wachtwoorden met minstens 14 tekens kiezen en geen woorden die gewoon in het woordenboek staan. Tip: zet achter je wachtwoord een spatie. Zo misleid jij de hacker. Ga voor een tweestapsverificatie als dat kan. En gebruik je een paswoordenmanager? Kies dan voor een goed beveiligde tool.
  • Klik niet zomaar op ‘oké’ of ‘aanvaarden’. Ook niet bij cookies. Weet wat je goedkeurt. Als je op TikTok de cookies aanvaardt, geef je het bedrijf erachter toegang tot heel wat van je data. Daarom is TikTok verboden op de netwerken en de smartphones van de Vlaamse overheid.
  • Verzorg niet alleen je lichaamshygiëne, ook je datahygiëne: laat bedrijfskritische documenten bijvoorbeeld niet in je mailbox staan.

Het laatste woord is voor Inti:

"AI kan beangstigend zijn, maar je hoeft je geen zorgen te maken. Zolang je de goochelaar van de oplichter onderscheidt, moet je vooral van de show genieten."

O ja, en dat hoedje van aluminiumpapier uit de intro? Dat houdt dus wel degelijk elektromagnetische en radiofrequentiegolven tegen. Haal gerust inspiratie uit de jaarlijkse Tinfoil Hat Contest op DEF CON, een van de grootste hackerconferenties wereldwijd.