De OPSEC Wiki (Een gids voor persoonlijke online veiligheid)

Operationele beveiliging (OPSEC) is een proces dat kritieke informatie identificeert om te bepalen of vijandelijke inlichtingendiensten de acties van bondgenoten kunnen observeren. Het bepaalt of informatie die door tegenstanders wordt verkregen, op een nuttige manier geïnterpreteerd kan worden, en voert vervolgens geselecteerde maatregelen uit om de uitbuiting van kritieke informatie door de vijand te verminderen of te elimineren.

Hoewel het Amerikaanse leger de term oorspronkelijk tijdens de Vietnamoorlog heeft geïntroduceerd, is het begrip sindsdien overgenomen door cybersecurity-experts om concepten te beschrijven die zich richten op het beschermen van digitale systemen, netwerken, apparaten en gegevens tegen cyberdreigingen en het behouden van digitale veiligheid.

Zeggen dat je niet om privacy geeft omdat je niets te verbergen hebt, is hetzelfde als zeggen dat je niet om vrijheid van meningsuiting geeft omdat je niets te zeggen hebt.

– Edward Snowden

Een van de meest voorkomende denkfouten over online privacy is het idee dat je je geen zorgen hoeft te maken als je niets te verbergen hebt. Hoewel het waar kan zijn dat je niets te verbergen hebt, zijn er reële gevolgen wanneer bedrijven je gegevens verzamelen.

Op 25 november 2022 werd Randal Quran Reid gearresteerd voor twee gevallen van diefstal en creditcarddiefstal in Baton Rouge en Jefferson Parish. Echter, een belangrijk feit werd genegeerd: Reid was nooit in Louisiana geweest.

Wat er gebeurde was dat gezichtsherkenningssoftware, bekend als Clearview AI, door de politie werd gebruikt en ten onrechte Reid als verdachte aanwees na een vergelijking met camerabeelden. Bovendien bleek dat Clearview AI een enorme database met gezichten had, verzameld van foto’s die op websites als Facebook en LinkedIn waren geplaatst.

Ondanks dat hij nooit in Louisiana was geweest, zat Reid een week vast en moest hij duizenden dollars aan juridische kosten betalen om vrij te komen. Zijn zaak is niet uniek — minstens vier andere vergelijkbare gevallen zijn bekend. Veel mensen hebben niet de middelen om zich te verdedigen, waardoor hun verhalen onbekend blijven.

Tot juli 2017 hadden alle medewerkers van Amazon Ring toegang tot de video’s van elke Ring-gebruiker, zelfs als dit niet nodig was voor hun werk. Een derde partij in Oekraïne kreeg ook toegang tot deze video’s en kon ze zelfs downloaden en opslaan.

Amazon-medewerkers maakten misbruik van deze toegang. De FTC meldde dat een medewerker duizenden video’s had bekeken van minstens 81 vrouwelijke gebruikers. Deze medewerker zocht naar camera’s met namen als “Hoofdslaapkamer,” “Hoofdbadkamer,” en zelfs “Spy Cam.” Als gevolg moest Amazon een schikking van $5,8 miljoen betalen.

Evenzo werd in april 2023 ontdekt dat Tesla-medewerkers beelden van de camera’s in auto's konden bekijken en onderling deelden. Zelfs wanneer de auto was uitgeschakeld, konden de camera’s nog steeds beelden opnemen en de locatie doorgeven.

Een ex-medewerker beschreef hoe auto’s beelden vastlegden van klanten die de was deden of andere huiselijke activiteiten uitvoerden.

Bedrijven gebruiken vaak gerichte advertenties op basis van browsegegevens. In 2020 bleek dat Orbitz, een populaire reiswebsite, Mac-gebruikers hogere prijzen voor hotelkamers liet zien dan Windows-gebruikers. Orbitz gaf toe dat ze duurdere kamers aan Mac-gebruikers toonden en verwijderde later deze functie.

Daarnaast verzamelen adverteerders persoonlijke gegevens via websites. In 2021 werd Signal verbannen van Facebook en Instagram omdat ze een campagne voerden die aantoonde hoeveel gebruikersdata Facebook verzamelt.

De gebruikte gegevens varieerden van leeftijd en locatie tot of iemand single was of veel energiedrankjes dronk.

Zelfs als een bedrijf geen kwaadaardige bedoelingen heeft, betekent dat niet dat de verzamelde gegevens veilig zijn. In november 2022 werd klantgegevens van Medibank — een Australisch zorgbedrijf — gelekt naar het dark web door Russische hackers.

De hackers publiceerden elke dag nieuwe bestanden om druk uit te oefenen op Medibank om losgeld te betalen. Honderden patiënten werden getroffen.

Hoewel Medibank de gegevens niet kwaadwillend gebruikte, vormden ze toch een doelwit en werden ze alsnog openbaar gemaakt.

Gelukkig kun je met een paar veranderingen in gewoontes en de juiste technologie je gegevens beschermen en je privacy verbeteren. Houd er rekening mee dat sommige stappen het browsen iets minder comfortabel maken, omdat het internet niet ontworpen is met privacy als uitgangspunt.

Het maken van een dreigingsmodel is de basis van online privacy. Bepaal wat je wilt beschermen, welke dreigingen er zijn, wat je beveiligingsdoelen zijn, en waar de zwakke plekken liggen. Een persoonlijk dreigingsmodel geeft je controle over je digitale veiligheid. Leer hoe je een dreigingsmodel maakt met onze handleiding.

Veel mensen gebruiken één e-mailadres voor al hun online diensten. Dat leidt tot hergebruik van wachtwoorden en koppeling van veel persoonlijke gegevens aan dat ene adres. Bij een datalek zijn al je accounts dan kwetsbaar.

Gebruik meerdere e-mailadressen met één wachtwoordmanager. Kies bij voorkeur een wachtwoordmanager die niet webgebaseerd is en geen cloudgebruik vereist, zoals KeePassXC of GNU Pass.

E-mail speelt een grote rol in je privacy. Je kunt kiezen tussen permanente en tijdelijke e-mailadressen. Maak je accounts aan via het TOR-netwerk voor extra anonimiteit.

Gebruik deze voor belangrijke communicatie of meldingen. Aanbevolen diensten: Tutanota, Mailfence, Proton Mail.

Gebruik deze voor kortdurende toepassingen zoals kortingscodes. Aanbevolen diensten: Guerrilla Mail, TempmailO.com, TempMail.org.

Browsers verzamelen veel gegevens. Voor privacy zijn GNU IceCat en Firefox aan te raden.

• GNU IceCat is het veiligst, maar ondersteunt geen JavaScript en is daardoor beperkt bruikbaar.
• Firefox is gebruiksvriendelijker en even veilig mits je de instellingen aanpast, zoals het wissen van cookies bij afsluiten en het uitschakelen van automatisch invullen.

Vermijd Chrome — deze is ontworpen voor dataverzameling.

Goede alternatieven voor traditionele zoekmachines zijn DuckDuckGo, StartPage en SearX.

• DuckDuckGo: geen tracking of gegevensopslag.
• StartPage: combineert Google-resultaten met privacybescherming.
• SearX: open-source, je kunt je eigen instantie draaien.

Kies diensten met end-to-end-encryptie. Vermijd sms, dat makkelijk af te luisteren is. Signal is een sterke optie met beveiligde berichten en oproepen.

Let op: Signal is gecentraliseerd, wat risico's met zich meebrengt. Alternatieven zijn Element (gebaseerd op Matrix), Briar, of Jami.

Een VPN versleutelt je internetverkeer en beschermt tegen hackers, ISP’s en overheidscontrole. Het helpt je anoniem te blijven, regio-geblokkeerde content te bekijken, en veilig gebruik te maken van openbare wifi. Een VPN is essentieel voor moderne digitale veiligheid. Ontdek hoe je je eigen VPN opzet met deze Wiki.

(Volledige bronvermeldingen volgen zoals in het origineel.)

(Links en verwijzingen blijven gelijk zoals in het origineel.)