Welk Dreigingsmodel past het beste bij jou?

Wat is een Dreigingsmodel (Threat Model)

Het kan lastig zijn om de juiste balans te vinden tussen privacy, veiligheid en bruikbaarheid wanneer je begint met het herinrichten van je digitale leven. Dit proces is natuurlijk voor iedereen anders, gezien we niet allemaal dezelfde behoeftes hebben en dezelfde apps gebruiken. Om de perfecte balans te kunnen vinden is het soms noodzakelijk om één van de drie eerdergenoemde elementen in te perken.

We hebben allemaal een dagindeling met verschillende bezigheden. Mogelijk heeft iemand niet veel tijd en is daarom genoodzaakt om zich te focussen op gemak. Een Dreigingsmodel is een goede manier om dit voor jezelf in kaart te brengen. Je ver kunt gaan met privacy en veiligheid zonder teveel gemak te hoeven inleveren. Er zullen altijd apps zijn waarbij een datalek plaatsvindt, apps die niet open source zijn (zodat je volledig moet vertrouwen op de ontwikkelaars), apps die niet meer worden geüpdatet of apps die data doorverkopen aan schimmige partijen.

Waar moet je op letten bij het bepalen van je Dreigingsmodel?

Begin altijd op een persoonlijk niveau. Stel jezelf de volgende vragen:

  • Wie ben je?
  • Wat is je dagelijkse bezigheid?
  • Wat doe je voor werk?
  • Wat doe je in je vrije tijd?

Het werk dat je doet is vooral iets om op te letten, omdat sommige beroepen gevoeliger liggen dan anderen. Een aantal voorbeelden van dit soort beroepen zijn:

  • Politici
  • Journalisten
  • Justitiële medewerkers
  • Klokkenluiders
  • Bankpersoneel

Stel jezelf daarna de volgende vragen:

  1. Wat wil ik beschermen?
    Een “bezit” is iets waar je waarde aan hecht en dat je wilt beschermen. In de context van digitale veiligheid is het bezit meestal informatie. Denk hierbij aan e-mails, contactlijsten, chatberichten en je bestanden. Je apparaten kunnen hier ook onder vallen. Maak een lijst van jouw bezittingen: gegevens/digitale apparatuur die je bewaart, waar ze worden bewaard, wie er toegang toe heeft en wat anderen ervan weerhoudt er toegang toe te krijgen.
  2. Waartegen wil ik het beschermen?
    Het is belangrijk om vast te stellen wie jouw informatie als mogelijk doelwit heeft. Een persoon of entiteit die een bedreiging vormt voor jou vermogen is een “tegenstander”. Voorbeelden van potentiële tegenstanders zijn je baas, je voormalige partner, je zakelijke concurrentie, de overheid of een hacker. Maak een lijst van jou potentiële tegenstanders of degenen die jou bezittingen willen bemachtigen. Jouw lijst kan individuen, een overheidsinstantie of bedrijven bevatten. Afhankelijk van wie jouw potentiële tegenstanders zijn, kan deze lijst onder bepaalde omstandigheden iets zijn dat je wilt vernietigen nadat je klaar bent met het opstellen van je Dreigingsmodel.
  3. Hoe groot is de kans dat ik het moet beschermen?
    Risico is de waarschijnlijkheid dat een bepaalde dreiging tegen een bepaald bezit zich daadwerkelijk zal voordoen. Hoewel jou mobiele telefoonprovider toegang heeft tot al jou gegevens, is het risico klein dat ze jou privégegevens online plaatsen om je reputatie te schaden. Het is belangrijk om onderscheid te maken tussen wat er zou kunnen gebeuren en de waarschijnlijkheid dat het zou kunnen gebeuren. Er is bijvoorbeeld een dreiging dat het gebouw waar je je momenteel in bevind instort, maar het risico dat dit gebeurt is veel groter in San Francisco (waar aardbevingen vaak voorkomen) dan in Utrecht (waar ze niet voorkomen). Het inschatten van risico’s is zowel een persoonlijk als subjectief proces. Veel mensen vinden bepaalde bedreigingen onaanvaardbaar, ongeacht de waarschijnlijkheid dat ze zich zullen voordoen, omdat de loutere aanwezigheid van de dreiging de kosten niet waard is. In andere gevallen negeren mensen hoge risico’s omdat ze de dreiging niet als een probleem zien. Schrijf op welke bedreigingen je serieus neemt, en welke misschien te zeldzaam of te onschuldig (of te moeilijk te bestrijden) zijn om je zorgen over te maken.
  4. Hoe erg zijn de gevolgen als ik faal?
    Er zijn veel manieren waarop een aanvaller toegang kan krijgen tot jouw gegevens. De motieven van potentiële tegenstanders lopen sterk uiteen, net als hun tactieken. Een overheid die de verspreiding van een video met politiegeweld probeert te voorkomen, kan tevreden zijn met het simpelweg verwijderen of verminderen van de beschikbaarheid van die video. Een politieke tegenstander daarentegen kan toegang willen krijgen tot geheime inhoud en die inhoud publiceren zonder dat je dit weet. Beveiligingsplanning houdt in dat je begrijpt hoe erg de gevolgen kunnen zijn als een tegenstander met succes toegang krijgt tot één van jouw bezittingen. Om dit te bepalen, moet je rekening houden met de capaciteiten van jouw tegenstander. Je mobiele telefoonprovider heeft bijvoorbeeld toegang tot al jouw telefoongegevens. Een hacker op een open wifi-netwerk kan toegang krijgen tot je niet-versleutelde communicatie. Jouw regering heeft echter misschien sterkere capaciteiten. Schrijf op wat jouw tegenstander met je privégegevens zou willen doen.
  5. Hoeveel moeite ben ik bereid te doen om mogelijke gevolgen te voorkomen?
    Er is geen perfecte optie voor beveiliging. Niet iedereen heeft dezelfde prioriteiten, zorgen of toegang tot middelen. Jouw risicobeoordeling stelt je in staat om de juiste strategie voor jezelf te plannen, waarbij je gemak, kosten en privacy in evenwicht houdt. Een advocaat die een cliënt vertegenwoordigt in een nationale veiligheidszaak kan bijvoorbeeld bereid zijn om meer moeite te doen om de communicatie over die zaak te beschermen (zoals het gebruik van versleutelde e-mail) dan een moeder die haar dochter regelmatig grappige kattenvideo’s e-mailt. Schrijf op welke opties je tot jouw beschikking hebt om jouw unieke bedreigingen te beperken. Let op of dit financiële, technische of sociale beperkingen heeft.

De 5 bovengenoemde vragen kun je ook toepassen op je offline leven. Hoe goed wil je je huis beschermen, hoe groot is het risico op inbrekers, staan er voorwerpen in je huis die niet vervangbaar zijn, hebben deze voorwerpen een hoge waarde vanwege de prijs of hebben ze emotionele waarde, zijn deze voorwerpen goed beveiligd, kun je makkelijk bij deze voorwerpen komen, etc. Pas als je jezelf deze vragen hebt gesteld kun je beoordelen welke maatregelen je moet nemen.

Als jouw bezittingen waardevol zijn, maar de kans op een inbraak klein is, dan wil je misschien niet te veel geld investeren in een slot. Maar als de kans op inbraak groot is, wil je het beste slot op de markt hebben en overwegen een beveiligingssysteem toe te voegen.

Het maken van een beveiligingsplan zal je helpen inzicht te krijgen in de dreigingen die uniek zijn voor jouw bezittingen. Ook krijg je inzicht in je potentiële tegenstanders en kun je de capaciteiten van jouw tegenstanders evalueren, samen met de waarschijnlijkheid van risico’s waarmee je wordt geconfronteerd.

Er zijn 3 hoofdcategorieën welke je als basis kunt gebruiken voor het bepalen van je Dreigingsmodel:

  1. Privacy
    Ben jij de enige die bij je data kan komen, of kan de data door de app-ontwikkelaars of derden worden ingezien?
  2. Veiligheid
    Geeft een app je genoeg mogelijkheden om de toegang tot opgeslagen data te beveiligen?
  3. Bruikbaarheid
    Is het gebruik van de app makkelijk op te pakken door iemand die hier net mee begint?

Welke apps kun je het beste gebruiken? Je wilt bijvoorbeeld graag van WhatsApp af en overstappen op Signal, maar veel familieleden en vrienden gebruiken nog WhatsApp. Wat is dan de beste keuze?

Hoe richt ik een Dreigingsmodel in?

Er zijn meerdere manieren om een Dreigingsmodel in te richten. Dit zijn:

  • Je kunt dit simpel houden door een lijst te maken met apps die je momenteel gebruikt en vervolgens te beoordelen waar je vanaf wilt. Houd hierbij rekening met je persoonlijke/werksituatie en de 3 hoofdcategorieën. Zijn er apps die je kunt vervangen met alternatieven?
  • Je kunt ook een puntensysteem bedenken waarbij je privacy, veiligheid en bruikbaarheid verdeeld in kolommen en vervolgens verschillende onderwerpen zoals e-mail, wachtwoorden, internet browsers etc. doorloopt en punten geeft aan de verschillende onderwerpen op basis van de 3 hoofdcategorieën.

Ontkoppel je van Microsoft, Apple en Google

Het is tijd om aan digitale zelfverdediging te gaan doen! Bij proprivacy.io hebben we er onze missie van gemaakt om onze klanten hier mee te helpen. Bij aankoop van een Pro Privacy Phone/Tablet (met het favoriete besturingssysteem van Edward Snowden, GrapheneOS) of Pro Privacy Laptop (met Fedora Linux) krijg je om die reden toegang tot ons bijbehorende educatieplatform: het Pro Privacy Platform.

Je hebt geen technische kennis nodig om de telefoon/laptop te kunnen laten functioneren. Je gedrag op het apparaat heeft echter wel een grote invloed op de hoeveelheid privacy & veiligheid die je kunt bereiken. Om die reden krijg je bij aanschaf van de Pro Privacy Phone/Tablet/Laptop ook toegang tot ons Pro Privacy Platform. Hier beantwoorden we vragen als: ‘Hoe kan je veilig je wachtwoorden beheren?’, ‘Hoe kan je YouTube kijken zonder Google?’, ‘Hoe kan je privacy-vriendelijk berichten uitwisselen met vrienden en familie?’, ‘Hoe kan je veilig en privacy-vriendelijk mailen?’… en nog veel meer. Op het Pro Privacy Platform vind je ondertussen bijna 30 (!) handleidingen. Je kunt uiteraard helemaal zelf bepalen hoe ver je wilt gaan.

Op ons Pro Privacy Platform vind je:

– Een uitgebreide GrapheneOS/Fedora Linux handleiding: door GrapheneOS/Fedora Linux alleen al te gebruiken maak je een grote stap, maar we leggen je ook uit met welke instellingen en opties je je privacy nog beter kunt waarborgen!
– Een applicatielijst met privacy-vriendelijke apps die door ons goedgekeurd zijn. Deze lijst wordt constant door ons onderhouden.
– Bijbehorende applicatie-handleidingen: wij leggen je precies uit hoe je deze apps kunt gebruiken om je privacy op de Pro Privacy Phone tot een nog hoger niveau te kunnen tillen. Deze handleidingen worden constant door ons onderhouden en ge-updatet. Hierover houden we je op de hoogte via de mail.
– Persoonlijke ondersteuning via mail en telefoon: kom je ergens niet uit? Dan kan je gerust even contact met ons opnemen! We helpen je graag verder.

Het terugwinnen van je privacy is een leerproces, waarin je zelf kunt bepalen hoe ver je wilt gaan. Wij nemen je bij de hand en loodsen je er doorheen!

Het is nu Black Faraday bij proprivacy.io!

Wij houden niet zo van Amerikaanse tradities als Black Friday, maar we willen toch graag iets weggeven. Om die reden is het nu Black Faraday bij proprivacy.io! De eerste honderd telefoon-orders en de eerste honderd laptop-orders krijgen van ons een gratis Faraday-hoes. Zo lang de voorraad strekt, dus op = op.

Abonneer
Laat het weten als er
guest
6 Reacties
Oudste
Nieuwste Meest gestemd
Inline feedbacks
Bekijk alle reacties
Geertje
Geertje
6 dagen geleden

Dank je wel voor dit artkel. Ik kan het goed gebruiken om e.e.a. op een rijtje te zetten.

Geertje

Henk Krisman
Henk Krisman
6 dagen geleden

Als je een laag risicoprofiel hebt is er dan bezwaar tegen WhatsApp. Of is WhatsApp sowieso dom om te installeren

Henk Krisman
Henk Krisman
5 dagen geleden
Antwoord aan  Ernad

Ok goeie tip. vanwege de contacten die WhatsApp opslaat kan ik die contactlijst dan beter strippen, tot de alleen noodzakelijkste?
Of contacten weigeren ? Als je toegang tot contacten weigerd voor WhatsApp meende ik gelezen te hebben dat als iemand je dan een bericht stuurt op WhatsApp je er dantoch mee kan blijven appen.. Ik gebruik al heel lang Signal maar loop tegen beperkingen aan daarin.

6
0
Zou graag je gedachten willen weten, laat een reactie achter.x