Loading
Loading
Security is een keuzethema (keuzemodule N) binnen het schoolexamenvak informatica; het hoort niet bij de verplichte kern en wordt volledig via het schoolexamen (SE) getoetst, want informatica kent op de havo geen landelijk eindexamen. In dit thema leer je informatiebeveiliging bekijken vanuit de CIA-triade — vertrouwelijkheid, integriteit en beschikbaarheid — de belangrijkste dreigingen en aanvallen herkennen, en passende beschermingsmaatregelen kiezen en beredeneren. De rode draad is denken als een verdediger: risico's inschatten, meerdere lagen stapelen en de mens als zwakste schakel serieus nemen.
4Onderdelenca. 23min leestijd4VaardighedenNiveauBasis 1 · Standaard 1 · Verdieping 2
basisniveau
Zorg dat je de CIA-triade, de belangrijkste aanvallen en de standaardmaatregelen kunt herkennen en beschrijven met een voorbeeld.
verhoogd niveau
Kun je bovendien maatregelen tegen elkaar afwegen, gelaagd ontwerpen (defense in depth) en per situatie beredeneren welke aanval elke maatregel afremt.
Lesetiefe: Verdieping
Schriftgröße: Standard
De CIA-triade rond informatie
Beoordeel voor elk incident welk(e) kerndoel(en) van de CIA-triade worden geschonden: (a) een gelekt bestand met wachtwoorden, (b) een website die door een aanval urenlang platligt, (c) een cijfer dat een leerling stiekem in het systeem ophoogt.
Onbevoegden krijgen inzage in gegevens die verborgen hadden moeten blijven. Dat raakt de vertrouwelijkheid. Het systeem werkt nog en de gegevens zijn niet gewijzigd, dus integriteit en beschikbaarheid blijven voorlopig intact — al is het risico groot dat de gestolen wachtwoorden later worden misbruikt.
Bevoegde bezoekers kunnen er niet meer bij terwijl ze dat wel willen. Dat is een schending van de beschikbaarheid. Er is niets ingezien of gewijzigd, dus vertrouwelijkheid en integriteit zijn hier niet in het geding.
De opgeslagen gegevens zijn ongeautoriseerd veranderd en kloppen niet meer. Dat is een schending van de integriteit. De gegevens zijn nog leesbaar en beschikbaar, maar niet meer betrouwbaar.
Elk incident raakt precies een hoofddoel: (a) vertrouwelijkheid, (b) beschikbaarheid, (c) integriteit. Zo laat de triade zien dat 'onveilig' heel verschillende vormen kan aannemen.
Resultaat: (a) vertrouwelijkheid, (b) beschikbaarheid, (c) integriteit — de CIA-triade helpt om per incident precies te benoemen wat er misgaat.
Veelgemaakte fouten
Actieve herhaling
Een school ontdekt dat een bestand met leerlingwachtwoorden is gekopieerd door een buitenstaander; de school kan zelf nog gewoon inloggen. Leg uit welk CIA-doel is geschonden, welke doelen (nog) intact zijn, en benoem de dreiging, de kwetsbaarheid en het risico in dit geval.
Actief ophalen
Haal de kernpunten op — onthul ze daarna.
Bronnen: Examenprogramma informatica (HAVO) (CvTE / Examenblad)
Aanvallen, werking en tegenmaatregel
Je krijgt een mail met afzender 'service@bank-beveiliging.info', onderwerp 'Actie vereist', met de tekst: 'Uw rekening wordt binnen 24 uur geblokkeerd wegens verdachte activiteit. Bevestig direct uw gegevens via deze link.' Analyseer de mail.
De mail wil dat je op een link klikt en je inloggegevens (of pincode/creditcardgegevens) invult op een nepsite. Het doel is diefstal van je gegevens om daarmee bij je rekening te komen — een klassieke phishingaanval, gericht op jou als mens en niet op een technisch lek.
Tijdsdruk ('binnen 24 uur'), een dreigement ('wordt geblokkeerd'), een verzoek om geheime gegevens te 'bevestigen', en een verdacht afzenderadres ('bank-beveiliging.info' is niet het echte bankdomein). Een bank vraagt nooit per mail om je wachtwoord of pincode.
Beweeg met de muis over de link zonder te klikken en bekijk waar hij echt heen wijst; dat adres komt vrijwel zeker niet overeen met de echte bank. Vergelijk de afzender met eerdere, echte berichten.
Niet klikken, niets invullen, geen gegevens 'bevestigen'. Verwijder de mail of meld hem, en ga bij twijfel zelf naar de bank via het adres dat je al kent (typ het zelf in) of via de officiële app — nooit via de link uit de mail.
Resultaat: Het is phishing: een op de mens gerichte aanval die met tijdsdruk en een nepafzender je inloggegevens probeert te ontfutselen. Juiste reactie: niet klikken, zelf naar de vertrouwde site gaan, en de mail melden of verwijderen.
Veelgemaakte fouten
Actieve herhaling
Je ontvangt een e-mail 'van je bank' met de tekst: 'Uw rekening wordt binnen 24 uur geblokkeerd. Log direct in via onderstaande link om dit te voorkomen.' Analyseer: om welke aanval gaat het, op welke schakel (techniek of mens) mikt hij, aan welke kenmerken herken je hem, en wat moet je doen?
Actief ophalen
Haal de kernpunten op — onthul ze daarna.
Bronnen: Examenprogramma informatica (HAVO) (CvTE / Examenblad)
Inloggen met tweestapsverificatie
Een schoolsysteem bewaart wachtwoorden in platte tekst en vraagt bij het inloggen alleen om dat wachtwoord. Beoordeel de veiligheid en stel verbeteringen voor.
Bij platte opslag staat elk wachtwoord leesbaar in de database. Eén datalek — of een nieuwsgierige beheerder — betekent dat álle wachtwoorden meteen bekend zijn. Erger nog: mensen hergebruiken wachtwoorden, dus de buit opent ook hun accounts elders. De vertrouwelijkheid is hier structureel onbeschermd.
Sla niet het wachtwoord op maar de hash ervan. Omdat een hash niet terug te rekenen is, levert een datalek alleen onbruikbare hashes op. Bij inloggen hasht het systeem de invoer en vergelijkt de hashes — het echte wachtwoord hoeft nergens leesbaar te staan.
Geef elk wachtwoord een unieke salt vóór het hashen. Dan krijgen zelfs twee gebruikers met hetzelfde wachtwoord verschillende hashes, en werken vooraf berekende lijsten van veelgebruikte wachtwoorden niet meer. De salt hoeft niet geheim te zijn, wel uniek per gebruiker.
Voeg een tweede factor toe, bijvoorbeeld een code op de telefoon (iets wat je hebt) naast het wachtwoord (iets wat je weet). Een aanvaller die via phishing alleen het wachtwoord bemachtigt, mist de tweede factor en komt er niet in. Zie Afb. 3.
Resultaat: Het beleid is onveilig: platte opslag maakt elk wachtwoord direct buit. Hash de wachtwoorden mét een unieke salt en voeg tweestapsverificatie toe; dan is een gestolen of gelekt wachtwoord op zichzelf onvoldoende om binnen te komen.
Veelgemaakte fouten
Actieve herhaling
Een school slaat wachtwoorden op als platte tekst en gebruikt alleen een wachtwoord om in te loggen. Beoordeel dit beleid: leg uit waarom platte opslag riskant is, wat hashen met salt daaraan verbetert, en beredeneer welk concreet gevaar tweestapsverificatie zou wegnemen.
Actief ophalen
Haal de kernpunten op — onthul ze daarna.
Bronnen: Examenprogramma informatica (HAVO) (CvTE / Examenblad)
Defense in depth: lagen tussen aanvaller en gegevens
Ontwerp voor een schoolportaal waar leerlingen hun cijfers inzien drie beschermingsmaatregelen in verschillende lagen, en beredeneer welke aanval elke laag afremt.
Zet het portaal achter een firewall en dwing https (versleuteld verkeer) af. De firewall weert ongewenst netwerkverkeer en de versleuteling maakt een man-in-the-middle op bijvoorbeeld schoolwifi kansloos: onderschept verkeer is onleesbaar. Deze laag remt netwerkaanvallen en afluisteren af.
Laat leerlingen inloggen met tweestapsverificatie en geef elk account alleen de rechten die het nodig heeft (een leerling ziet eigen cijfers en kan niets wijzigen). 2FA maakt een via phishing gestolen wachtwoord onvoldoende; least privilege beperkt de schade als een account tóch wordt gekaapt.
Valideer alle invoer in de inlog- en zoekvelden en gebruik geparametriseerde queries. Zo kan een aanvaller geen databasecommando's in een veld verstoppen — dit remt SQL-injectie en andere aanvallen via onveilige invoer af.
Faalt één laag — een leerling trapt in phishing — dan vangt de volgende het op: 2FA houdt de aanvaller alsnog buiten, en least privilege beperkt de schade als hij toch binnenkomt. Dat is defense in depth. Let op de afweging: 2FA kost een extra handeling bij het inloggen; maak die zo soepel mogelijk (bijvoorbeeld een melding in een app) zodat leerlingen de beveiliging niet gaan omzeilen.
Resultaat: Drie lagen — netwerk (firewall/https), toegang (2FA + least privilege) en applicatie (invoervalidatie) — beschermen het portaal elk tegen andere aanvallen. Samen zorgen ze dat één doorbraak niet meteen alle cijfers blootlegt; de prijs is wat extra moeite bij het inloggen, die je met een gebruiksvriendelijke tweede factor klein houdt.
Veelgemaakte fouten
Actieve herhaling
Ontwerp voor een schoolportaal (waar leerlingen cijfers inzien) drie beschermingsmaatregelen in verschillende lagen. Benoem per maatregel de laag, en beredeneer welke aanval of dreiging die laag afremt. Bespreek ook één afweging met gebruiksgemak.
Actief ophalen
Haal de kernpunten op — onthul ze daarna.
Bronnen: Examenprogramma informatica (HAVO) (CvTE / Examenblad)
Referenties en bronnen
CvTE / Examenblad