Verruim je geest, man. Bij Opsec draait het eigenlijk allemaal om tijdreizen: het nemen van kleine, beschermende stappen nu, voordat je later met een ramp te maken krijgt. Als je niet op automatisch verwijderen staat, zal een explosieve, emotionele tekstuitwisseling met de persoon met wie je momenteel aan het daten bent (of, ahem, foto’s die je naar elkaar hebt gestuurd) voor altijd blijven bestaan. Het is normaal dat dingen veranderen en dat allerlei soorten relaties komen en gaan. Het kan zijn dat je iemand vertrouwt en nu een hechte band met hem of haar hebt, maar over een jaar of twee uit elkaar groeit.
Als u zich een nog extremer scenario voorstelt waarin de politie u onderzoekt, kunnen zij bevel krijgen om uw digitale accounts of apparaten te doorzoeken. Mensen moeten wel tot het uiterste gaan om hun opsec in stand te houden als ze activiteiten voor de wetshandhaving proberen te verbergen. Voor de duidelijkheid: deze gids moedigt je zeker niet aan om misdaden te begaan. Doe geen misdaden! Het doel is alleen maar om de waarde te begrijpen van het in gedachten houden van de basisprincipes van de OPSEC, want als een deel van uw digitale informatie lukraak of uit de context wordt onthuld, kan dit in theorie belastend lijken.
Waarschijnlijk begrijp je veel hiervan intuïtief. Geef je wachtwoord niet aan vrienden, duh.) Deze gids gaat dus grotendeels het voor de hand liggende overslaan en de nadruk leggen op subtielere, onbedoelde gevolgen van het niet toepassen van goede opsec.
Memorabele Opsec-mislukkingen
“Signaalpoort”, 2025: Amerikaanse functionarissen bespraken oorlogsplannen in een groepschat op de reguliere, beveiligde berichtenapp Signaal. Vervolgens hebben ze per ongeluk een journalist aan de chat toegevoegd. Vervolgens stuurde de Amerikaanse minister van Defensie Pete Hegseth het bekende (beschamende) bericht in de chat: “We zijn momenteel vrij van OPSEC.” In ieder geval enkele leden van de chat waren dat ook mogelijk gebruiken A aangepaste, onveilige versie van Signal. Allemaal extreem niet schoon op opsec.
Gmail-concepten zichtbaar, 2012: De toenmalige CIA-directeur David Petraeus en zijn minnaar deelden een Gmail-account om hun communicatie te verbergen door ze als conceptberichten aan elkaar over te laten. Nogal ingenieus gezien het feit dat dit was voordat de meeste sms- of berichtenapps getimede verdwijnende/kortstondige berichten aanboden, maar de FBI had de strategie bedacht.
Identiteiten
Bij Opsec draait alles om compartimentering, en dat is het moeilijkste deel. Het niet in hokjes verdelen is vaak de reden dat criminelen worden gepakt of dat informatie die geheim moest blijven, aan het licht komt. Zie uw online leven als kamers in een huis. Elke kamer heeft een aparte sleutel. Als iemand in een kamer inbreekt, kan hij daar alles pakken, maar je wilt niet dat hij buiten die kamer los kan rennen.
Je kunt online meerdere identiteiten hebben en de activiteiten van elke identiteit in compartimenten verdelen, maar er is wel wat voorkennis nodig om de scheiding in stand te houden. Er is de echte jij die je belangrijkste Gmail- of Apple ID gebruikt voor persoonlijke en gezinszaken en sociale accounts waar je je echte naam gebruikt, plus school en misschien werk. Een ander compartiment is de opslag van je school-e-mail en schoolbestanden. Dan zijn er je meer aanpasbare, online persona’s die mogelijk semi-anonieme handvatten hebben, zoals jnd03 voor Jane Doe. Vrienden weten dat deze accounts van jou zijn en klasgenoten kunnen ze waarschijnlijk raden. Ten slotte is er mogelijk een pseudoniem voor jou: alt-accounts zonder duidelijke link naar je echte jij, zoals Jane Doe die de hendels “_aksdi0_0” of “peter_mayfield01” gebruikt.
Regels voor scheiding
U heeft accounts onder uw echte naam, maar waarschijnlijk heeft u ook pseudonieme accounts nodig. Een strakke compartimentering zal voorkomen dat mensen uw pseudonieme accounts misbruiken. Maar dat is gemakkelijker gezegd dan gedaan.
Het is duidelijk dat u gebruikersnamen niet op verschillende platforms moet recyclen. Als JaneD03 je Instagram-naam is, gebruik deze dan niet of een soortgelijke naam voor je anonieme Reddit-account. Gebruik wachtwoorden niet eens opnieuw, maar gebruik vooral geen wachtwoorden tussen echte en pseudonieme accounts. Om te voorkomen dat een gecompromitteerd pseudoniem account uw naam onthult, mag u niet uw hoofd-e-mailadres gebruiken; gebruik in plaats daarvan een uniek, pseudoniem exemplaar. Gmail-dottrucs (jane.doe@, j.ane.doe@) tellen niet mee, omdat ze allemaal in gelijke mate uw hoofdaccount onthullen.
