security awareness - os3.nl · sinds de ontwikkeling van internet en de moderne pc (windows,wifi,...

.

SecurityAwareness

(C) 2000-2005 TUNIX Internet Security & Opleidingen

All rights reserved. No part of this publication may be reproduced, stored in a retrieval system, ortransmitted in any form or by any means, electronic, mechanical, photocopying, recording orotherwise, without express prior written permission of the publisher.

Version: AWARENESS_2_1Printed: 18-08-2005

Security Awareness

1-1 © 2005 TUNIX Internet Security & Training

Security Awareness

Inhoud

• Waarom is beveiliging mensenwer k?

• Een beetje theorie.

• Browsen, chatten, tekstverwer ken, e-mailen,... waargaat het mis?

• Verdedigen is (ook) mensenwer k.


Het doel van deze training

Het beveiligings-bewustzijnvan wer knemers vergroten

Waarom?

Sinds de ontwikkeling van Internet en de moderne PC(Windows, WIFI, PDA, etc.) is ICT geen zaak meer vanalles-controlerende beheerders:

• Medewerkers ‘‘beheren’’ vaak hun eigen PC.

• Workgroup software verbindt gegevens die voorheenniet beschikbaar waren.

• Programma’s zijn metaforen geworden, er is ampereen beheerder die weet welke techniek ‘‘onder demotor kap’’ gebr uikt wordt. (Waar is mijn printjobgebleven?)

Het gevolg:

Er kan heel veel infor matie worden gebruiktuit allerlei bronnen

Maar wie is verantwoordelijk voor het beschermen van aldie gegevens?


Informatietoegang

Uitgangspunt:

Het gevolg van vrije infor matietoegangis het nemen van verantwoordelijkheidom die infor matie te beschermen

Maar wie ziet dat zo?

• We zijn slordig: papier en bestanden slingeren rond.

• Kopietjes zijn snel gemaakt. Wormen en virussen‘‘kopiëren’’ ook!

• Wachtwoorden ‘‘lenen’’ we uit.

• Om opgelegde beperkingen wordt ‘‘heengewerkt’’.

Maar wat helpt dan wel?

• Duidelijk maken dat infor matie waarde representeert.

• Duidelijk maken dat elke wer knemer zelf een stukjemedeverantwoordelijk is.

• Duidelijk maken dat een paar rotte appels de helemand aansteken, infor matiebescher ming is eengroepsproces!


Les 1: Informatie heeft waarde

Voorbeelden:

• Klantgegevens.

• Beursgevoelige jaarcijfers, de winstprognose.

• (Re)organisatieplannen.

• Personeelsbestand.

• Offer tes en contracten.

• Boekhouding.

Ook triviale infor matie als

• Telefoonlijsten.

• Smoelenboek.


Les 2: Onbeschermde informatie

Onbescher mde infor matie kan ‘‘beschadigd’’ raken:

• Beschikbaarheid.

• Integriteit.

• Vertrouwelijkheid.

Digitale gegevens kopieëren is bovendien:

• Makkelijk.

• Je merkt het niet.


Les 3: Wat zijn de gevolg en?

Diefstal en oneigenlijk gebruik hebben gevolgen voor jewerk:

• Negatieve naambekendheid.

• Concurrentiepositie.

• Niet nagekomen afspraken (SLA, etc).

• Sluiting.

Maar ook voor jezelf:

• Pr ivacy kwijt.

• Identiteit kwijt.

• Baan kwijt.


Les 4: Horror

• Oktober 2004: Officier van justitie Joost T. zet zijncomputer eind juni bij het grofvuil, omdat er een virusop zou zitten. Een taxichauffeur vond het apparaat enbracht het naar Peter R. de Vries, die de vondst in deopenbaarheid brengt. Volgens de journalist stonden opde pc onder meer honderden pagina’s metvertrouwelijke infor matie over grote strafzaken.

• September 2003: Britse overheidslaptops slechtbeveiligd - Britse overheidsmedewerkers gaan slordigom met gevoelige infor matie die op hun laptop staat.Hierdoor komt de nationale veiligheid in gevaar.

• Maar t 2003: Een memory-stick met daarop demedische gegevens van 13 kanker patiënten wordtter uggestuurd naar de leverancier en opnieuwverkocht.


Horror (2)

• Mei 2003: Volgens het College Bescherming Persoons-gegevens (CBP) zijn privé-gegevens in Nederlandeenvoudig ver kr ijgbaar. Personeel van het CBP wistbijvoorbeeld de fiscus infor matie te ontfutselen doorzich voor te doen als interne medewerker.

• September 2003: Kopieer machine onthoudtdesgewenst niets - Maar weinig mensen staan erbij stil:digitale kopieerapparaten hebben een harde schijf endaarop blijft infor matie staan ook nadat ver trouwelijkestukken zijn gekopieerd.

• September 2003: Identiteitsdiefstal maakt miljoenenslachtoffers en kost miljarden - Ongeveer 3.3 miljoenAmer ikaanse consumenten ontdekten in het afgelopenjaar dat hun persoonlijke infor matie gebr uikt is voorfrauduleuze bank- of credit card transacties of anderemisdaden aldus het eerste nationale onderzoek naaridentiteitsfraude door de Federal Trade Commission.


10 misvatting en

1. Beveiliging valt niet onder mijn verantwoordelijkheid.

2. Ik werk niet met computers, dus loop ik geen gevaar.

3. Ik werk niet met ver trouwelijke infor matie.

4. Mijn bedr ijf is geen doelwit.

5. Ik ben geen doelwit.

6. De risico’s zijn verwaar loosbaar klein.

7. We hebben een pasjes-systeem.

8. Wij hebben goede veiligheidsprocedures ingesteld.

9. Onze organisatie is goed beveiligd want we hebbeneen firewall.

10. Onze organisatie is goed beveiligd want we zijn opcursus geweest...


Toegangscontrole

Bescher ming is gekoppeld aan toegangscontrole:

1. Identificatie: ben je wel die je zegt dat je bent.

2. Autor isatie: niet iedereen mag overal bij.Infor matieverstrekking op ’need-to-know’ basis.


Hoe bescherm je informatie?

Technische maatregelen:

• Sleutels en pasjes.

• Firewalls, vir usscanners, Intr usion Detection, IntrusionPrevention.

• Role Based Access Control (RBAC).

Maar vooral menselijk gedrag:

• Bewust met infor matie omgaan.

• Gezonde achterdocht (tr ust but ver ify).


De menselijke factor

Mensen vor men het grootste security probleem:

• Onbegrijpelijke techniek.

• Onverschilligheid (not my problem).

• Risico inschatting is lastig.

• Onduidelijkheid (er is geen beleid).

Maar : Mensen zijn ook de oplossing:

• Mensen kunnen hun reactie aanpassen aan deomstandigheden.

• En bovenal: mensen hebben een zesde zintuig.

Tejo van de KvK weet ’t:

Ach, het is een mix van ervaring, onderbuik,spitzenfingergefühl, apres-ski, yin-yang, win/win.....


Aanvalstechnieken

• Ongeoor loofde fysieke toegang.

• Ongeoor loofde digitale toegang.

• Afluisteren.

• Social engineering.


Fysieke toegang

• Langs de portier.

• Openstaande (kast)deuren.

• Rommelige gangen.

• Rommelige bureaus.

• Infor matie-afval (dumpster diving).

Vaak blijft iemand onopgemerkt...

• Grote bedrijven (anonimiteit).

• Door onverschilligheid (niet mijn probleem).

• Hij mocht toch langs de portier?

• Hij heeft toch een pasje?


Digitale toegang

• Openstaande documenten.

• Niet uitgelogd.

• Geen wachtwoord beveiligde screensaver.

• Inlogicons met automatische authenticatie.

• Automatisch bewaarde wachtwoorden.

• Lakse systeembeheerder (geen patches/oudevir usscanners).

• Slecht gekozen wachtwoorden.

• Trojaanse paarden.


Afluisterpraktijken

• Shoulder surfing...

• Telefoongesprek.

• Speciale keyboard sniffers (‘‘KeyKatch’’ of vir us‘‘BugBear.B’’).

• Kopie van paspoort of rijbewijs (bevat sofinummer!).

• Netwer k sniffing.

• Draadloze computers en handhelds (WiFi, Bluetooth).


Social engineering

• ‘‘People hacking’’.

• Andere mensen dingen laten doen die ze nor maalgesproken niet voor een vreemde zouden doen.

• Misbr uik maken van de hulpvaardigheid van mensen:

• Behulpzaamheid zit in je opvoeding.

• Je helpt uit schuldgevoel iemand die net jou eendienst heeft bewezen.

• Meest succesvolle/gemakkelijke manier om aaninfor matie te komen.

• In combinatie met techniek een onovertroffen wapen.


Technologie


Overzicht

• Pasjes

• Firewall

• Telefoon

• Wachtwoorden

• Systemen en Netwer ken

• E-mail

• Web

• News

• Chat en Instant Messenging

• Remote Control Software


Pasjes

Bedoeld om alleen bevoegden toegang te verschaffen.

(Eigenlijk: bedoeld om anderen buiten te houden.)

• Leen dus nooit een pasje uit.

• Laat niemand meelopen als je met je pasje naarbinnen gaat.

• Als je je pasje kwijt bent: Melden!

• Als iemand anders je pas gebruikt, word jeverantwoordelijk (gehouden) voor diens daden!


Firewall

Een firewall probeert ongewenst netwer kver keer tevoor komen.

• Ga dus geen omweg verzinnen voor ver keer dat wordttegengehouden door de firewall (wees geen onderdeelvan het probleem maar van de oplossing).

• Als iets door de firewall wordt gelaten wil dat nog nietzeggen dat het veilig is!

• Gebr uik ook een personal firewall om intern ver keerte bewaken en om applicaties in de gaten te houdendie het netwer k willen gebruiken.

• Zorg dat personal firewall software, vir usscanners e.d.up-to-date zijn (gebruik automatic updates).


Telefoon

De telefoon is ook een netwerk.

• Geliefd bij social engineers...

• Probeer de persoon aan de andere kant van de lijn teidentificeren (stem, telefoonnummerher kenning,ter ugbellen).

• Ga er nooit automatisch van uit dat de persoon dewaarheid spreekt!

• (Met name mobiele) telefoons zijn af te luisteren (nietalleen met techniek: terras, trein, ....

• Wees voorzichtig met het opslaan van gegevens inmobiele telefoons en PDA’s


Wachtwoorden

• Een wachtwoord is bedoeld om personen teauthenticeren

• Een wachtwoord is bedoeld om anderen buiten tehouden.

• Dit wachtwoord moet dus str ikt geheim blijven!

• Als iemand anders je wachtwoord gebruikt, word jeverantwoordelijk (gehouden) voor diens daden!

• Leen wachtwoorden nooit uit!

• Wachtwoord per ongeluk prijsgegeven: Melden!

• Hoe houdt je wachtwoorden geheim?


Wachtwoorden do’s

• Gebr uik gezond verstand.

• Gebr uik geen default wachtwoorden.

• Kies ‘‘degelijke’’ wachtwoorden, die niet makkelijk teraden zijn.

• Zorg dat een wachtwoord lang genoeg is, om passwordcrackers geen kans te geven.

• Verander je wachtwoorden regelmatig:‘‘Passwords are like underwear : change yours often’’.

• Scheid privé-wachtwoorden van bedrijfs-wachtwoorden.


Wachtwoorden dont’s

• Vertel niemand je wachtwoord (zelfs nietsysteembeheer of manager).Vraagt iemand om je wachtwoord? Melden!

• Schr ijf je wachtwoord nooit op (op een plek - of metinfor matie - die het bijbehorende account verraadt).

• Laat niemand meekijken bij het invoeren van eenwachtwoord.Een PIN code voer je met twee handen in.

• Gebr uik hetzelfde wachtwoord nooit voor verschillendesystemen.

• Wijzig een wachtwoord niet op voorspelbare wijze (bijv.osolemio1 in osolemio2).

• Gebr uik geen autologin faciliteiten.

• Laat applicaties geen wachtwoorden ‘‘onthouden’’.


Systemen en Netwerken

• Installeer nooit software waar van je de oorsprong nietkent. Vraag je systeembeheerder een betrouwbareversie ter beschikking te stellen.

• Pas op voor spyware en trojans.

• De mogelijkheid software te installeren betekent eenextra verantwoordelijkheid! Heb je die toestemmingeigenlijk wel?

• Elke netwer k-koppeling betekent een extra risico.

• Elk systeem betekent een extra risico: van PDA totlaptop tot server.

• Elk medium betekent een extra risico: diskette’s, USBsticks, digitale camera’s, etc.

Netwer k Technologie:

• Netwer k verkeer kan worden afgeluisterd (sniffing).

• Technieken als Wifi, GPRS, UMTS en BlueToothvormen extra risico’s!

• Netwer kver keer kan worden gekaapt (hijacking).

• Een modem kan een backdoor vor men!

• Via een VPN kan een indringer meeliften!


E-mail

Wees kritisch met email:

• Is deze mail authentiek?

From: George W Bush <[email protected]>Subject: See Kerry naked

Hi Joost, the tomatoes are ripe this afternoon!

Check out this picture of Kerry!http://192.0.2.123/images/kerry.jpg

GWB

• En deze:

From: Systeembeheer <[email protected]>Subject: wachtwoord database kapot

Hoi,

De wachtwoord database is kapot. We moeten hemherstellen.Wil je even je wachtwoord wijzigen in Qwaadr$@q ?Morgen kun je je oude wachtwoord weer terugzetten.

Beheerteam


Email (2)From: "Microsoft Corporation Security Center"

<[email protected]>To: "Microsoft Customer" <’[email protected]’>Subject: Internet Security UpdateDate: Wed, 27 Mar 2002 10:19:20 -0800

Microsoft Customer,

this is the latest version of security update, the"23 Mar 2002 Cumulative Patch" update which eliminates allknown security vulnerabilities affecting Internet Explorerand MS Outlook/Express as well as six new vulnerabilities,and is discussed in Microsoft Security Bulletin MS02-005.Install now to protect your computer from thesevulnerabilities, the most serious of which could allow anattacker to run code on your computer.

...

How to installRun attached file q216309.exe

...

Thank you for using Microsoft products.

With friendly greetings,MS Internet Security Center.

Doe de phishing test:

http//sur vey.mailfrontier.com/sur vey/quiztest.html


Email (3)

• Wantrouw afzender email adressen.

• Wantrouw attractieve attachments.

• Open nooit attachments waar van de herkomstonduidelijk is.

• Laat attachments nooit automatisch openen: zetpreview uit!

• Update je virusscanner vóórdat je mail gaat lezen (dusook als je van vakantie terugkomt!).

• Tr iple Check de To:, Cc: en Bcc: email-adressenvoordat je ver trouwelijke infor matie verstuur t.

• Stuur geen ver trouwelijke infor matie buiten het bedrijf,tenzij speciale versleutelingssoftware wordt gebruikt(PGP of S/MIME).


E-mail authenticatie


E-mail certificaten

Een email certificaat kan aantonen wie de digitalehandtekening heeft gezet en (aannemelijk) de auteur isvan de email:


Spoofed e-mail


Phishing

Email wordt vaak gebruikt voor phishing.

Wat valt je op aan deze email?


xs4all service centre

Wat valt je op aan deze website?


Authenticatie

Middels een server cer tificaat kan geverifieerd worden ofde getoonde webpagina authentiek is.

De naam op het certificaat moet overeenkomen met denaam in de adres-balk!


Encr yptie

De communicatie met een webser ver kan middels SSLworden versleuteld:

Mer k op:

• Check voor het versturen van infor matie of decommunicatie is versleuteld.

• De communicatie met de server is bev eiligd, maar datwil nog niet zeggen dat de inhoud van het web-ver keerveilig is!


Web

Wees kritisch met web-surfen:

• Pas op met lonkende links (haal geen Trojaans paardbinnen)

Klik hier (1) om Anna naakt te zien

*12-20 © 2005 TUNIX Internet Security & Training

Web (2)

• Pas op met dynamic content (JavaScr ipt, Java,ActiveX, Flash, etc).

• Gebr uik ev entueel een cookie manager om user-tracking te voor komen.

• Check cer tificaten bij adressen die beginnen methttps://

1. Check of de naam van de website (de URL)overeenkomt.

2. Check de houdbaarheid.3. Check of de digitale handtekening van de instantie

die het certificaat heeft afgegeven klopt.

Te ingewikkeld? Vraag een beheerder om eendemonstratie!

Lekke browsers

Inter net Explorer heeft een beroerde reputatie m.b.t.secur ity maar Mozilla enz. kennen ook de nodigeproblemen. Bezoek alleen sites die je zakelijk nodig hebten ver mijd lokkende links.

Tip: herstar t voor een secure transactie altijd je browseren herstar t de browser meteen als je klaar bent.


News

• Iedereen kan alle News-ber ichten lezen.• Vr ijwel alle News-ber ichten worden lange tijd

gearchiveerd.• Post dus nooit persoonlijke of ver trouwelijke infor matie

in een nieuwsgroep.

From: Jan Doedel <[email protected]>Newsgroups: comp.dcom.sys.ciscoSubject: Problem with cisco router logging

Hi,

I’m having trouble with collecting logging from myCisco Routers running IOS 12.2(23). I want to collectlogging on a central machine running FreeBSD 4.6 fromrouters in our network.

I use the following on my ciscos:gateway-5#(config)logging 192.0.2.133

but no logging appears on my syslog server.

Can anyone help?

PS: please reply by email to [email protected] asI’m out of the office, attending the SANE conferencenext week.--Jan


Chat en Instant Messenging (I)

Chat en Messenging software hebben een beroerdereputatie als het gaat om security.

Instant Messenging staat in de top-10 van ‘‘The TwentyMost Critical Internet Security Vulnerabilities’’ van hetSANS instituut.


Chat en Instant Messenging (II)

• Vraag jezelf altijd af:

• Met wie ben je aan het communiceren?• Wie luisteren er mee?• Wat is de route van gegevens over het netwer k?

• Gebr uik programma’s als MSN Messenger, AOLInstant Messenger, Yahoo! Messenger, Trillian, iChat,Jabber en ICQ niet voor filesharing.


Remote Control Software

• Wees voorzichtig met remote control software, zoalsWindows Remote Desktop, VNC en SSH.

• Vermijd tools als GoToMyPC en Back Orifice!

MP3, Kazaa, Groove , WOW!

• Pas op met programma’s die jou de mogelijkheid gevenom de gegevens van anderen te bekijken: dat wer ktvaak ook andersom!

• Trouwens: illegale MP3’tjes op de PC op je wer kkunnen je wer kgever duur te staan komen... en dus jouook.

De PC op je wer k is er voor je wer k, houd hem schoon.

Doe je het niet voor je baas, doe het dan voor jebaan....


Afspraken, afspraken, afspraken, ...

Techniek is kwetsbaar en zal het altijd blijven.

• Goede beveiliging begint met goed beleid.• Beleid ligt vast in afspraken.• Maak afspraken over wat wel en niet mag.• Maak afspraken over wat er moet gebeuren bij een

incident.• Maak afspraken over het regelmatig bespreken van

afspraken.• Kom de afspraken na...• Snuffel eens rond bij XS4ALL:

(www.xs4all.nl/veiligheid).• Snuffel eens rond bij het CBP (www.cbpweb.nl):

• Raamregeling voor het gebruik van e-mail enInter net.

• Goed wer ken in netwer ken.


Verdedig en is mensenwerk


Uitgangspunten

• Behandel alle gegevens als vertrouwelijk.

• Stel vragen:

• Mag de persoon die de gegevens vraagt deze ookhebben?

• Wat gaat die persoon met de infor matie doen?

• Techniek is niet feilloos. Ver trouw dus nooit blind optechniek!

Wervende citaten:

• ‘‘Gezonde Achterdocht loont!’’

• Beveiliging is een joint effor t - ga er nooit van uit datanderen de beveiliging compleet hebben afgehandeld.


Les 1: Vreemde verzoeken

• Durf nee te zeggen en volg altijd de policy (indienaanwezig).

• Als nee zeggen moeilijk is: vraag of je over eenkwar tier ter ug kunt bellen (koop bedenktijd en bouwverificatie in).

• Zeg ook nee tegen ‘‘stropdassen’’ (je eigen managerook!) en ‘‘sympathieke’’ mensen.

• Geef iemand nooit het voordeel van de twijfel.

• Doe aan sociale controle: attendeer je collega’s en legde regels aan collega’s uit.

• Wees bedacht op ‘‘los lopende’’ onbekenden en vraagnaar hun pas.

Iets vreemds gemerkt? Melden!


Les 2: Signalen

Mogelijke signalen als je een social engineer aan de lijnhebt:

• Geen nummer-her kenning.

• Een ‘‘raar’’ verzoek.

• Iemand die autoriteit claimt.

• Stress en haast-verzoeken.

• Chantage door dreigen met consequenties.

• Toont ongemakkelijkheid na verdere vragen.

• Overdadig namen en personen noemen.

• Complimenten, vleierij en flirten.

• Beloftes doen.

Iets vreemds gemerkt? Melden!


Les 3: Clean room/desk/desktop

• Laat geen documenten slingeren in kantoren, opbureaus, op copiers, printers of faxen.

• Liggen er ‘‘onbewaakte’’ documenten of computers?Melden!

• Lock het computerscherm of log uit.

• Gebr uik een screensaver die snel activeer t en beveiligdis met een wachtwoord.

• Laat de computer geen wachtwoorden onthouden.

• Gebr uik geen snelkoppelingen waar mee automatischingelogd kan worden.

• Gebr uik altijd een virus-scanner en update dieregelmatig.

• Sluit applicaties na gebruik (zeker je browser).


Les 4: Informatieafvalprobleem

Maatregelen:

• Gebr uik papier versnipperaars (geen repen!).

• ‘‘It ain’t dead until you shred!’’

• Laat media met gevoelige infor matie vernietigen bij hetsecur ity meldpunt.

• Via Dumpster Diving kunnen onbevoegden gemakkelijk(en zelfs legaal!) aan ver trouwelijke infor matie komen.

• Bedr ijven doen aan bedrijfspionage via onder andereDumpster Diving (e.g. Larr yGate).

Best buy: de Shrinter (printer + shredder in één)


Les 5: Wees voorzichtig met techniek

Dus nog maar een keer :

• Wachtwoorden

• Pasjes

• Browsen

• Email

• Chatten

• News

• Wireless netwer ken

• Tr aditionele en nieuwe communicatie-kanalen

Er kan meer mee dan je zou willen.

Stel vragen bij het security meldpunt, zeker bij nieuweprogramma’s, juist bij de gebruiksvr iendelijke!


Wat te doen bij een incident?

Meer moet niet nodig zijn...


Quiz


Vraag 1

U opent de webpagina www.acme.nl, en er verschijnteen vraag met het verzoek om een plugin te downloadenvan Microsoft. U doet het volgende:

1. de plugin komt van MS, dus is het goed, ik klikgewoon op ja.

2. ik controleer wie het certificaat gesigned heeft en klikdus op View Cer tificate, als dat een bekende partij isga ik akkoord.

3. ik klik op Cancel.

4. ik zet mijn PC uit en ga naar huis.


Vraag 2

Wat is Back Orifice?

1. spyware.

2. een remote control.

3. een onderdeel van MS Office.

4. een trojaans paard.


Vraag 3

U moet vanuit een hotelkamer een ver trouwelijk rappor topsturen naar uw manager. Gelukkig heeft het hotel eendraadloos netwer k waar van u gebruik kunt maken. Watdoet u?

1. U stuur t het rappor t op per e-mail.

2. U kopieer t het rappor t via het VPN netwer k naar decomputer van uw manager binnen uw bedrijf.

3. U plaatst het rappor t op een website en stuurt uwmanager een e-mail met het (geheime) web-adres vanhet rappor t.

4. U beveiligt het rappor t met een wachtwoord en stuurthet per e-mail aan uw manager. Het wachtwoordstuur t u met een tweede email.


Vraag 4

U krijgt een mailtje van een collega van uw buur man, meteen attachment (bijlage) dat humor.jpg heet. U doet hetvolgende:

1. het is een plaatje, dus per definitie veilig, en ik openhet gewoon.

2. ik heb een virusscanner, die controleert alle mail, dusis het veilig en ik open het gewoon.

3. ik heb geen gevoel voor humor en ga door naar hetvolgende plaatje.

4. ik sla het plaatje op als humor.jpg.exe en doe eenvir usscan.


Vraag 5

U wordt gebeld door een inkoper van een grote klant metde vraag wat zijn klantcode is, hij kan hem niet vinden, enzijn collega is net op vakantie. Hij heeft een grotebestelling klaarliggen, maar kan hem nu niet invoeren.Wat doet u?

1. U zoekt de klantcode op en geeft hem door,klantvr iendelijkheid is belangrijk.

2. U denkt dat dit een boef is en geeft geen antwoord.

3. U probeer t te onderzoeken of dit echt een klant is(hoe dan?), en als dat echt zo is, geeft u hem deklantcode.

4. U verbindt hem door met een collega.


Vraag 6

Welke van onderstaande wachtwoorden is het minstonveilige:

1. xxxxxxx

2. a1zihW (alle eendjes zwemmen in het water)

3. kuba50

4. nietnodig


Vraag 7

Uw gebruikt een laptop met daarop een kopie van deklantendatabase. Vanuit uw thuiswerkplek logt u in op hetbedr ijfsnetwer k om uw e-mail op te halen. Is deklantendatabase goed beveiligd?

1. Ja, want u gebruikt een personal firewall op uw laptop.

2. Ja, want u gebruikt anti-virussoftware op uw laptop.

3. Ja, want u gebruikt een VPN-verbinding met uwbedr ijf.

4. Ja, want u gebruikt een versleuteld filesysteem.


Vraag 8

U komt op uw afdeling een onbekende man tegen. Hijvraagt u waar hij een fax kan versturen. Wat doet u?

1. U verwijst hem naar de kopieer kamer, waar ook de faxzich bevindt.

2. U belt de bewaking en laat de man verwijderen.

3. U vraagt de man zich te identificeren.

4. U brengt de man naar de kopieerr uimte en wacht tothij zijn fax verstuurd heeft.


Vraag 9

U wordt gebeld op uw wer k door een onbekende vrouw.Aan de nummerweergave van uw telefoon ziet u dat heteen intern nummer betreft. De vrouw zegt Wiersma teheten en ver telt u dat het netwer k op haar kamergestoord is. Omdat ze dringend een belangrijke klantmoet bellen vraagt ze of u het mobiele nummer van decontactpersoon van die klant kunt opzoeken in dedatabase. Wat doet u?

1. U vertrouwt het niet en liegt dat uw netwer k ookgestoord is om tijd te winnen.

2. U geeft het gevonden nummer want het gaat immersom een collega en alle collega’s hebben toegang totde database.

3. U vraagt haar gebruikersnaam en wachtwoord omdaar mee in te loggen in de database. Als ze die nietwil geven gaat het vast om een hacker.

4. U zoekt zow el het gevraagde mobiele nummer van deklant als het interne nummer van mevrouw Wiersmaop en belt haar even later terug om het nummer doorte geven.


Vraag 10

U ontvangt een e-mail van een vriend waar ingewaarschuwd wordt voor een nieuw, gev aar lijk vir us, datverspreid wordt via e-mail. Het virus is te herkennen aanhet subject, met als tekst: ‘‘Moet je dit zien!’’. Te lezenvalt verder dat de infor matie afkomstig is van McAfee,een gerenommeerd anti-virus bedrijf. Wat doet u?

1. U sluit uw mailprogramma onmiddelijk voordat u hetvir us heeft ontvangen en wacht een paar dagen tot destor m weer is gaan liggen.

2. U stuur t de e-mail door aan alle mensen in uwadresboek, om ze te waarschuwen.

3. U denkt dat de melding onzin is, gooit de e-mail wegen doet verder niets.

4. U denkt dat de melding onzin is, en stuur t iedereen inuw adresboek een waarschuwing zodat ze er nietintrappen.


security awareness - os3.nl · sinds de ontwikkeling van internet en de moderne pc (windows,wifi,...

Documents