Jongeren denken dat hun smartphone veilig is

Kijken we terug op de berichten van deze week, dan kunnen we concluderen dat het de week is geworden van de beveiliging van smartphones. Daarom kunnen we voor de vrijdag natuurlijk niet ineens overswitchen naar een ander onderwerp.

We sluiten deze week af met het volgende bericht:
Volgens onderzoek van Telecompaper heeft meer dan 60% van de Nederlandse jongeren in de leeftijdscategorie 15-29 jaar een smartphone. Dat zijn meer dan 1,8 miljoen jongeren. Volgens Juniper Research heeft minder dan 5% van hen deze smartphones beveiligd met een security software. Dat betekent dat ruim 1,7 miljoen Nederlandse jongeren een onbeschermde smartphone gebruiken (bron).

Jongeren spelen met hun smartphone alsof het niets is. Ze krijgen een paniekaanval als ze een keer hun telefoon vergeten zijn en doen dingen met die smartphone die een aantal van ons niet meer gaan begrijpen (geloof me, ikzelf heb er al moeite mee en reken mezelf toch echt nog niet tot de “ouderen”).

Lopen de “ouderen” onder ons inderdaad minder risico?
“De jongeren van nu voelen zich thuis op het internet en zien smartphones als een verlenging van hun computer. Nadeel is dat zij zo gewend zijn aan het online leven, dat zij er nauwelijks gevaar zien. Veel jongeren gaan nonchalant om met de beveiliging van hun computer, maar als het gaat om hun smartphone, zien zij zelfs nog minder gevaren.”

Het grote verschil zit hem denk ik in het gebruik van de smartphone. Voor degene die niet meer tot de jongeren behoren geldt misschien dat de smartphone ook nog echt een telefoon is. Een telefoon met wat extra functionaliteiten (zoals SMS, Email, etc.). Voor de jongeren geldt het echter als een verlengstuk van de computer.

De computer en smartphone staan continu met elkaar in verbinding en als we op Facebook willen dan maakt het niet uit of we dat mobiel of achter een buro doen. De resultaten zijn hetzelfde. De jongeren gebruiken meer functionaliteiten en leven in een wereld waarbij 24/7 online heel gewoon is.

Het risico schuilt er in dat de jongeren zich er nog onvoldoende van bewust zijn. Ze zetten van alles en nog wat op internet maar vergeten dat die informatie jaren later ook nog is terug te vinden. Hier ligt een opvoedkundige taak en daar knelt de schoen.

Kids weten tegenwoordig meer van internet en smartphones dan hun ouders. En het zijn juist de ouders die er toezicht op moeten houden. Dat kun je doen door allerlei filters op een pc te installeren of je kunt je kids ver weg houden van smartphones, maar misschien is het goed om gewoon het gesprek met ze aan te gaan en ze te wijzen op de risico’s. Wie weet kun jij als ouder weer wat van de techniek, app’s en ontwikkelingen van je kids leren.

Wat je in ieder geval wilt voorkomen is dat je kind, als hij of zij later groot is, nog steeds geconfronteerd wordt met een foutje uit zijn of haar tienerjaren. Maak ze bewust, ga het gesprek met ze aan en zoek eens op internet naar voorbeelden van wat er kan gebeuren als het fout gaat. Dat maakt het al wat concreter voor ze en wie weet hebben ze zelf nog voorbeelden die ze jou kunnen laten zien.

Ik wens je daar in ieder geval veel sterkte mee…probeer ze maar eens bij te houden op deze highspeed digitale highway.

Android-apps kunnen gemakkelijk gebruikersfoto’s uploaden

Bij Android-apparaten kunnen kwaadwillenden zonder toestemming van de gebruiker diens foto’s uploaden naar eigen servers. Onlangs bleek dat in iOS door een lek apps relatief gemakkelijk toegang kunnen krijgen tot de foto’s die op een toestel staan opgeslagen.

Doordat er geen toestemming nodig is heeft de software alleen maar permissie nodig om online te gaan om afbeeldingen die op de telefoon of tablet staan te uploaden naar servers van de ontwikkelaar. Het blijkt op deze manier gemakkelijk te zijn om foto’s van een Android-apparaat te kopiëren zonder dat de gebruiker dit in de gaten krijgt, zo demonstreerde The New York Times (bron).

We kunnen natuurlijk allerlei berichten de wereld in helpen over de beveiliging en risico’s van smartphones. Maar die berichten blijven wellicht te abstract voor de gebruiker. We krijgen daarmee de reactie: “dat gebeurt mij toch niet” of “ik heb geen geheime gegevens op mijn telefoon staan”.

Maar als we het concreet gaan maken dan kunnen we nog het best uitgaan van de zaken waar mensen zich wel druk om kunnen maken en de foto’s op je telefoon behoren daar zeker bij. Omdat de smartphone, zoals eerder deze week ook al aangegeven, helemaal geen telefoon meer is maar een zakcomputer, slaan we meer en meer gegevens in het geheugen op.

Voeg daarbij dat iedere telefoon tegenwoordig over een digitale camera beschikt (die kwalitatief beter is dan veel compacte digitale camera’s) en we begrijpen waarom er tegenwoordig zoveel foto’s en filmpjes worden gemaakt. Een compacte digitale camera neem je niet standaard mee in je binnenzak, maar een smartphone heb je dagelijks bij je. Een foto is zo gemaakt en opgeslagen.

Nu weet ik natuurlijk niet wat voor foto’s jij allemaal op je smartphone hebt staan, maar wat zou je er van vinden als anderen toegang krijgen tot die foto’s? Wat als die foto’s op een simpele wijze op internet gezet kunnen worden? Hoe groot is dan de schade?

Mijn foto’s mag je persoonlijk allemaal inzien (omdat ik nu eenmaal niet zoveel foto’s met de telefoon maak…zou ik misschien wat meer moeten gaan doen om onveilige situaties vast te leggen). Maar anderen hebben misschien wel een serieus probleem, tenminste als we dit bericht mogen geloven: Ontvang jij vaak pikante sms’jes van je vrouw? Of zelfs een naaktfoto? Je bent echt niet de enige. Bijna 27 procent van de vrouwen heeft al eens een naaktfoto verstuurd en 43 procent stuurde al eens een pikant sms’je (bron).

Check vandaag dus nog eens de foto’s op je telefoon en ga na welke “for your eyes only”zijn. Wie weet kun je nog voorkomen dat jouw foto’s op internet terecht komen.

Android-gebruiker moet illegale apps mijden

Uit eerdere berichten kwam al naar voren dat het risico op Iphones op dit moment minder acuut is dan op telefoons die draaien op Android. Daarom vandaag nog wat achtergrond informatie over risico’s voor het Android systeem.

Android-gebruikers moeten geen illegale of gekraakte apps gebruiken, aangezien ze dan het risico lopen om malware binnen te halen. “Installeer applicaties alleen van de officiële Android Marktplaats”, zegt Dinesh Venkatesan van Totale Defense. Hij merkt op dat er incidenten zijn geweest waarbij er ook kwaadaardige apps op de officiële Android Marktplaats zijn verschenen, “maar over het algemeen is het veilig.” (bron)

We kunnen het risico op een Adroid-toestel dus aanzienlijk verkleinen door alleen gebruik te maken van app’s van de officiële Android marktplaats. Toegegeven, er is een kleine kans dat er ook in app’s uit de officiële marktplaats een virus genesteld is, maar dat is al een stuk kleiner dan app’s vanaf allerlei andere platformen.

Maar als we nog iets verder kijken, dan blijkt dat we ook op andere wijze risico’s lopen:
Er zit een ernstig beveiligingslek in alle Android-telefoons, waardoor aanvallers automatisch malware kunnen installeren als slachtoffers een linkje openen…De aanval bestaat uit een sms-bericht met een linkje. Zodra het slachtoffer het linkje opent, wordt een Trojaans paard geïnstalleerd waarmee Alperovitch telefoongesprekken kan afluisteren, maar ook allerlei gegevens kan stelen. (bron)

Voordat ik er van beschuldigd wordt Android in een kwaaddaglicht te stellen: het risico voor Android lijkt groter dan dat voor Apple. Toch geloof ik niet dat we met een Iphone helemaal geen risico lopen. Het is wellicht minder kwetsbaar (op dit moment), maar kwetsbaar is dat natuurlijk ook. Bovenstaand lek is bijvoorbeeld zowel van toepassing op Android toestellen als op Iphones.

Aan de oplossing voor het probleem wordt gewerkt, maar Om het beveiligingslek op te lossen, zou een firmware update vereist zijn. Het kan echter weken of maanden duren voordat de verschillende fabrikanten de updates voor hun toestel gereed hebben.

We zijn dus gewaarschuwd en de snelheid waarmee we risico’s lopen lijkt te worden opgevoerd. Grote kans dat het dit jaar een enorme vlucht aan zal nemen. Jij bent in ieder geval op de hoogte en kan tijdig de juiste maatregelen nemen.

6.500 smartphones besmet

Gisteren zijn we al ingegaan op de dreiging van virussen op smartphones. Daarbij lieten we zien dat het aantal soorten virussen nog gering is (vergeleken met virussen voor pc’s en laptops). Vandaag zoomen we nog even verder in.

Afgelopen december waren er 6.500 incidenten waarbij smartphones en tablets met malware besmet raakten, aldus het Russische anti-virusbedrijf Kaspersky Lab. Het aantal kwaadaardige apps dat specifiek voor Android is ontwikkeld, groeit volgens de virusbestrijder zienderogen. Deze apps zouden 65% van alle mobiele malware vertegenwoordigen en duiken soms ook in de officiële Android Marktplaats op (bron).

De anti-virusbedrijven die ook anti-virussoftware voor de mobiele telefoons maken, brengen dit soort gegevens natuurlijk niet voor niets naar buiten. En vanuit commercieel oogpunt hebben ze natuurlijk groot gelijk. Maar zij zien ook wel dat de markt er nog niet rijp voor is. We staan nog aan de vooravond van de mobiele virussen en het zal (hopelijk) nog even duren voordat we een echt grote uitbraak krijgen.

Zo’n uitbraak is helaas nodig om het bewustzijn te vergroten. De geschiedenis herhaalt zich. Op de eerste pc’s hadden we ook geen anti-virus software draaien. Het grootste risico liepen we met het kopiëren van files vanaf een floppy, hierdoor kon een virus zich maar langzaam verspreiden. Toen we allemaal aan de modem waren werd het al een groter probleem en nu halen we virussen op high speed binnen (als we niet uitkijken).

Eenzelfde lijn gaan we ook doorlopen met mobiele virussen. Nu valt het risico nog mee, maar hoe slimmer de smartphones worden hoe groter dat risico. Laten we eerlijk zijn, de meeste telefoons zijn helemaal geen telefoon meer. Nee, het zijn zakcomputers waar we toevallig ook mee kunnen bellen. Hoe meer functionaliteiten ze krijgen, hoe groter het risico wordt.

Natuurlijk is er ook een verschil met het begin van de virussen op pc’s en laptops. Dat verschil is dat het in dit geval allemaal veel sneller zal verlopen dan in het verleden. Het gaat echt geen jaren meer duren voordat dit een echt probleem wordt.

Laten we het nog even in perspectief zetten:
“We zagen tot november 1.500 unieke malware-exemplaren per jaar. In november detecteerden we alleen in die maand 1.500 exemplaren”, laat Eugene Kaspersky weten. Het aantal malware-varianten voor de computer bedroeg in 2011 25 miljoen. Dagelijks zouden er 75.000 exemplaren worden gevonden.

Het advies? Hou het nieuws in de gaten, wees je er van bewust en indien gewenst: neem alvast maatregelen (bijvoorbeeld door je smartphone een extra keer te backuppen en je alvast te verdiepen in anti-virus maatregelen voor je telefoon).

Slechts 178 mobiele virussen

Met de smartphones, die steeds “smarter” worden, is het nog een onderschat probleem dat zich daar ook virussen op kunnen nestelen. Als het goed is hebben we allemaal minimaal een virusscanner draaien op onze pc’s en laptops omdat we daarvan al jaren weten dat we gegrepen kunnen worden.

Weinig aandacht is er echter nog voor virussen op mobiele telefoons. Daarom is het goed om hier vandaag ook eens aandacht aan te besteden.

Het aantal unieke dreigingen voor mobiele telefoons en tablets bedroeg vorig jaar slechts 178, minder dan in 2006 het geval was. Dat blijkt uit het jaaroverzicht van het Finse anti-virusbedrijf F-Secure. Sinds 2004 registreerde de virusbestrijder 710 unieke mobiele bedreigingen (bron).

Hoewel het aantal dreigingen nog laag te noemen is, moeten we er niet laconiek mee omspringen. Meer en meer ontvangen we mailtjes met een link op onze smartphone en meer en meer app’s installeren we zodat we nog meer leuke spelletjes kunnen doen. Het gevaar schuilt erin dat we met dat installeren ook mobiele virussen installeren.

Misschien denk je dat de risico’s niet zo hoog zijn en dat het allemaal wel mee zal vallen. Maar er zijn virussen bekend waarmee men op afstand je microfoon kan aan- en uitzetten zonder dat je daar als gebruiker iets van merkt. Zo wordt het dus mogelijk om op afstand al jouw gesprekken af te luisteren, of je die gesprekken nu via de telefoon voert of toch liever face-to-face doet er dan niet toe.

Daarnaast kan op afstand ook jouw mail worden uitgelezen, kan je agenda worden ingezien, kunnen je contacten gekopieerd worden, is men in staat om in je foto’s te kijken en kan men bellen op jouw kosten.
Hoewel er nog niet heel veel virussen ronddwalen en hoewel de kans dat jij target bent nog gering is, moeten we het niet al te lang meer onderschatten. Voorkomen is in dit geval wederom beter dan genezen.

Voor de cijferliefhebbers nog even de volgende opsomming:
Sinds 2010 schiet het aantal Android-malware omhoog. Van de 178 mobiele virussen die vorig jaar werden ontdekt, waren er 116 voor Google’s mobiele platform. Symbian is met 55 tweede, gevolgd door J2ME (5) en PocketPC (2). Voor Apple’s iPhone verscheen geen malware. Daarnaast werden er zo’n 3.500 kwaadaardige Android-apps vorig jaar ontdekt.

Wees je dus bewust van de risico’s en wees voorzichtig met het openen van links en het installeren van app’s. Vertrouw je de boel niet, dan kun je er maar beter niet op klikken.

Attracties van zwembad door hackers te beheren

Ben je al klaar met het nadenken over 31 maart en de gevolgen die het platleggen van het internet allemaal kunnen hebben? Lees dan vooral nog even door.

Door een blunder van de Gemeente Stichtse Vecht kon iedereen een subtropisch zwembad beheren. Van glijbaan tot de temperatuur van het water, alles stond wijd open. Het lek is inmiddels gedicht (bron).

Zo zie je maar dat er meer gekoppeld is aan het internet dan je denkt.

Aanvankelijk dachten de onderzoekers dat ook de chloortoevoer kon worden geregeld. “Ik heb zelf kinderen en toen ik zag dat het ook om chloor ging, wilde ik dat er meteen iets gebeurde”, vertelt een van de onderzoekers tegen Webwereld. “Het is mijn nachtmerrie dat er iets met kinderen gebeurt omdat iemand in een of ander vreemd land een ‘grapje’ wil uithalen. Als je aan de kassa komt van een zwembad vraag je niet of er een SCADA-systeem in gebruik is.”

Achteraf bleek het gelukkig niet mogelijk te zijn om de chloortoevoer te kunnen regelen en de “onderzoekers” vonden het ook niet ethisch om dit uit te proberen. Je moet je niet indenken wat de gevolgen kunnen zijn van dergelijke SCADA-systemen die niet beveiligd zijn. Als je de chloortoevoer wel kunt beïnvloeden wordt het ineens een stuk serieuzer genomen door de maatschappij. Nu pikt een deel het berichtje op, heeft daar misschien zelfs een glimlach bij en gaat weer rustig verder.

Datzelfde gebeurde met het bericht over de sluizen en bruggen die niet/onvoldoende beveiligd zijn. Veel mensen zullen daar iets van hebben meegekregen, maar gaan vervolgens weer rustig verder met waar ze mee bezig zijn.

Zo langzamerhand wordt het toch echt tijd om de verantwoordelijken ter verantwoording te roepen. Daarmee moeten we niet wachten tot het een keer echt verkeerd gaat, want dan zijn we te laat. Nee, tijd dat er serieus sancties komen op het niet voldoen aan (minimale) beveiligingseisen voor dergelijke systemen.

Genoeg boeken geschreven over beveiliging die het in ieder geval een stukje lastiger maken. Laten we beginnen met een standaard of minimaal beveiligingsniveau dat we aanvullen met specifieke beveiligingsmaatregelen die we op basis van een goede risico analyse bepalen.

De term cyberwar lijkt inmiddels een beetje weggezakt uit de populariteit. Maar cyberwar is dichterbij dan we denken. Als er steeds meer berichten naar buiten komen over “beveiligingsonderzoekers” die met een paar klikken een heel systeem plat kunnen leggen dan moeten we ons serieus zorgen gaan maken. Niet zozeer voor die onderzoekers, die weten wat ze doen en willen het (hopelijk) alleen maar aantoonbaar maken. Nee, maak je meer zorgen om die scriptkiddies die het dus ook kunnen. Zij zullen de gevolgen niet inschatten voor ze ergens de verkeerde knop omzetten (en bijvoorbeeld het westen van Nederland hele natte voeten krijgt). Dan hebben we het nog niet eens over de vreemde mogendheden die hier natuurlijk al lang van op de hoogte zijn. Nee, die komen daarna wel weer een keer in beeld.

Aan de BV Nederland: neem je verantwoordelijkheid en zorg ervoor dat het basis beveiligingsniveau van Nederland, haar vitale en minder vitale infrastructuur op orde komt.

En ik wil je niet ongerust maken maar: SCADA systemen worden (samen met een DCS) onder andere ingezet voor:
Verkeersregeling
Attracties (bijvoorbeeld Vogel Rok Efteling)
Chemische industrie
Papierfabrieken
Klimaatregelsystemen
Sluizen, gemalen en bruggen
Parkeergarages
Aansturingen van productielijnen, b.v. in manufacturing execution systems (MES)
Supervisie en regeling van windturbines

Kan Anonymous het stroomnetwerk platleggen?

Vandaag een bericht waar de virtuele en de digitale wereld bij elkaar komen, namelijk die van het stroomnetwerk dat gekoppeld is aan allerlei informatiesystemen.

De National Security Agency van de Verenigde Staten vreest dat de hackersgroep Anonymous machtig genoeg is om het stroomnetwerk plat te leggen. In de krant Wall Street Journal staat dat generaal Keith Alexander daarvoor heeft gewaarschuwd in het Witte Huis. Andere officieren zijn ook bezorgd over de destructieve kracht van Anonymous, maar een deel verwacht dat de hackersgroep nog drie tot vijf jaar nodig heeft om zo`n grootschalige operatie op touw te zetten (bron).

Het antwoord op de titelvraag: Kan Anonymous het stroomnetwerk platleggen? Krijgt dus zeker geen eenduidig antwoord. De een waarschuwt ervoor, terwijl de ander denkt dat het nog zo’n 3 tot 5 jaar zal duren.

Laten we in dit geval dan uitgaan van het “best case scenario”. Stel dat het inderdaad 3 tot 5 jaar zal duren. Als we dat nu al weten, dan moeten we toch in staat zijn om daar in die tijd voldoende tegenmaatregelen tegen te nemen? Als dat zo is, wat zegt me 3 tot 5 jaar dan? Dan zou het zomaar 30 tot 50 jaar kunnen duren of misschien wel nooit gebeuren.

Hier blijkt maar weer uit dat we met samengeknepen billen naar dergelijke organisaties kijken. We geven niet langer aan dat het onmogelijk is maar verwachten dat we er binnen 3 tot 5 jaar een serieus probleem bij hebben.

De eerste grote test komt op 31 maart omdat de groep dan gedreigd heeft het internet plat te leggen. Ook hier zie je een tweestrijd: de een verwacht dat het internet die dag het inderdaad niet zal doen terwijl de ander aangeeft dat het wel haast onmogelijk is om dit te doen. We zullen zien, de 31ste maart, misschien een dag waarop we het een dag zonder internet moeten stellen.

Nu zou je natuurlijk kunnen stellen dat je het best een dag zonder internet kunt doen (heerlijk zelfs, een dag geen internet, Facebook of Twitter). Maar onderschat dat zeker niet, want veel van de basis infrastructuur verloopt tegenwoordig ook gewoon via internet. Kunnen we dan nog bellen bijvoorbeeld en wordt de stroom, gas en/of watervoorziening er niet door beïnvloed?

Feit is wel dat er steeds meer dreiging uitgaat van online zaken. De insiders weten dat natuurlijk al jaren en het is natuurlijk ook geen verrassing. Als we meer en meer gaan koppelen aan allerlei netwerken dan gaan we daar ook meer en meer risico’s lopen. Dan wordt het ook erg jammer dat beveiliging nog steeds niet of onvoldoende is meegenomen in al die nieuwe ontwikkelingen.

Willen we de beveiliging beter regelen de komende jaren dan staan ons twee dingen te wachten: we werken het achterstallig onderhoud (op beveiligingsgebied) weg en zorgen ervoor dat nieuwe ontwikkelingen pas operationeel gaan als ze veilig genoeg zijn. Simpel gezegd, lastig gerealiseerd. We zullen het zien de 31ste.

Zo heeft een audit natuurlijk geen zin…

De titel triggerde mij om het blog van Roger A. Grimes te lezen, zoals dat op Computerwereld gepubliceerd werd.

Maar ook de inleiding van het blog gaf voldoende aanleiding om door te lezen:
Om de beveiliging van het bedrijfsnetwerk te verhogen, richten sommige IT-beveiligers zich op één aspect en vergeten ze de rest. Toch is dat meer dan de meeste organisaties doen (bron). Een eenvoudige zin, maar lees hem nog eens en laat hem op je inwerken.

Nu ga ik hier natuurlijk niet het hele blog herschrijven, want ik raad je gewoon aan dat blog ook eens te lezen, maar ik voel me wel zo vrij om daarop door te borduren.

Heel herkenbaar zoals het geschreven wordt. Er worden allerlei adviezen gegeven en toch lijkt het maar niet te lukken om de beveiliging ook echt op orde te krijgen. Niet door een top-down benadering maar ook niet door een bottom-up benadering. Sterker nog, hoe uitgebreider jouw advies, hoe kleiner de kans dat het opgevolgd wordt. Men ziet letterlijk door de bomen het bos niet meer en als men al komt tot prioritering dan is de kans groot dat na twee of drie maatregelen de managers hun interesse hebben verloren.

Toevallig (toeval bestaat niet, maar toch) had ik hier kort geleden nog een interessant gesprek over bij een opdrachtgever. We hameren er vanuit onze visie op dat we niet moeten redeneren vanuit beveiligingsmaatregelen maar juist vanuit operationele risico’s (en het liefst nog vanuit “enterprise risks”).

Dat is nog steeds helemaal waar, maar het grote gat zit hem in het feit dat organisaties vergeten de combinatie te maken. Ofwel ze redeneren vanuit operationele risico’s en het lukt maar niet om daar de juiste maatregelen bij te treffen. Of ze redeneren steeds vanuit beveiligingsmaatregelen zonder die te koppelen aan de operationele risico’s.

Wat hier nu zo interessant aan is, zul je je afvragen. Nou, het was voor mij weer eens een bevestiging dat we ons verhaal en ons advies af moeten stemmen op onze doelgroep. Dat proberen we natuurlijk altijd, maar het is goed om daar weer eens aan herinnert te worden. We moeten er dus voor zorgen dat we de managers informeren over operationele risico’s maar we moeten er ook voor zorgen dat we degene die het uit moeten voeren (functioneel beheerders bijvoorbeeld) concreet aan de slag laten gaan met maatregelen.

Zij hoeven niet het denk werk te doen over het “wat”, nee, dat moeten wij voor ze doen. Laat hun aan de slag gaan met het “hoe” en we zijn “on speaking terms” Houden we dan ook nog in de gaten dat het advies geen 100 pagina’s dik mag zijn, dan zijn we weer een stukje verder. Wij weten dan misschien wat ze de komende 3 tot 7 jaar allemaal moeten doen om “in control” te raken, maar dat wil nog niet zeggen dat we ze al die informatie in een keer moeten geven.

We kunnen natuurlijk de schuld leggen bij de organisatie, want beveiliging is nu eenmaal een lijnverantwoordelijkheid, toch? Maar laten we de schuld eerst bij onszelf zoeken. Blijkbaar managen we vanuit security de boel nog niet goed. En dat is een constatering die ikzelf meermalen heb gedaan. We zijn wel druk bezig maar doen we ook de juiste dingen en doen we de dingen juist op basis van een meerjaren plan?

Lukt het ons om draagvlak te creëren bij het management? Rapporteren we met de juiste informatie aan het juiste niveau? Hebben wij de prioriteiten gesteld zodat de uitvoerders daar niet mee lastig worden gevallen en gewoon aan de slag kunnen? Communiceren wij met de juiste bewoording naar de personen? Het zijn zomaar een aantal vragen die we onszelf kunnen stellen.

“Zo heeft een audit natuurlijk geen zin…” kan ik alleen maar onderschrijven. Voordat we aan die audit beginnen moeten we het toch op de juiste manier gaan managen. We eten de olifant toch ook niet in een keer op? Waarom proberen we dat met die kudde olifanten, die we gemakshalve security zullen noemen, dan wel?

Nou, nog een mooie metafoor dan uit het blog:
Je vindt beveiliging prioriteit hebben, maar je acties geven anders te kennen. Je bent net zoals die kerel die, met zijn goede voornemens in gedachten, in januari een jaarabonnement bij de sportschool neemt en in maart stopt.

Ach, security, het is allemaal niet zo ingewikkeld, als we het maar op de juiste wijze managen en ook daadwerkelijk beginnen met de eerste stappen te zetten. De marathon wordt een stuk makkelijker als we niet nadenken hoever de finish wel niet is maar gewoon beginnen met rennen (althans, dat is me verteld, ik heb nog nooit een marathon gelopen…die finish is me echt te ver en ik begin liever die kudde olifanten op te peuzelen). En vergeet niet dat er genoeg mensen zijn die starten met de marathon om nooit de finish te halen.

Is dat erg? Nou, in ieder geval kunnen ze zeggen dat ze er aan zijn begonnen…en veel bedrijven kunnen dat op dit moment nog niet met droge ogen beweren.

Beveiliging radioactief afval in Vlaamse Kempen niet in orde

Na het geval waarbij een koffer met informatie over spionage vliegtuigjes gestolen werd, gaan we nog even verder met voorbeelden van hetgeen er allemaal in de analoge wereld gebeurt.

De beveiliging van de gebouwen waarin Belgoprocess in Dessel, over de grens bij Reusel, radioactief afval opslaat is niet in orde. Dat blijkt uit een inspectie van het Federaal Agentschap voor Nucleaire Controle (FANC). De inspecteurs stelden een reeks mankementen vast. Dat schrijft Het Belang van Limburg (hBvL) (bron).

Ja, zegt u het maar. Wat is er nu eigenlijk erger? Dat er email-adressen van 100.000+ klanten op internet gezet worden na een hack of dat we grote risico’s lopen met radioactief afval? Het antwoord hangt er natuurlijk vanaf in hoeverre het ons als persoon treft.

Stel dat je in Amerika woont en je email-adres is op straat gekomen. Dan vind jij dat als individu zeer waarschijnlijk een stuk erger dan dat er radio actief afval in verkeerde handen kan komen. Andersom: je zal in de buurt van Belgoprocess wonen. Dan maak jij je waarschijnlijk niet zo druk om dat email-adres van die Amerikaan.

Simpelweg kunnen we dus niet zomaar stellen dat het een erger is dan het ander. Dat hangt er helemaal vanaf aan wie je het vraagt. Feit is wel dat we naar de mogelijke gevolgen moeten kijken. Wat ik hiermee wil zeggen is dat we dergelijke informatie ook kunnen gebruiken bij het uitvoeren van onze risico analyses. We moeten dus altijd met gezond verstand kijken naar de inschatting van de kans en de impact die we van mensen ontvangen.

Raakt een risico een manager in een bedrijf bijvoorbeeld niet dan zal hij zich daar weinig zorgen over maken. Mocht zijn bonus er direct door in gevaar komen dan is het wellicht in eens een zeer belangrijk risico dat we moeten zien te beheersen. Daarom willen we bij het uitvoeren van een risico analyse ook meer mensen betrekken en de verschillende antwoorden combineren. Zo kunnen we zien welke risico’s voor onze organisatie nu echt belangrijk zijn.

Voor Belgoprocess zouden we in ieder geval aan het standaard risico lijstje toe kunnen voegen de risico’s op diefstal van radio actief materiaal, maar natuurlijk ook het op straat raken van de email-adressen. Welke kans en impact daarbij horen mogen ze dan zelf bepalen.

Lijkt vrij logisch, toch? Dat ze dergelijke issues meenemen in hun risico analyse? Ja, dat zou je inderdaad mogen verwachten, maar: Een jaar geleden tikte FANC het bedrijf al eens op de vingers vanwege ontoereikend management.

Als dergelijke organisaties het al niet in de klauw hebben, dan maak ik mij grote zorgen over andere organisaties. Stel dat bedrijven die de bruggen en sluizen van Nederland bewaken er ook zo slecht mee om gaan…oh, wacht, dat is ook al een feit gebleken de afgelopen weken. We houden het nieuws weer in de gaten en als je weer ergens voor gewaarschuwd moet worden, dan lees je dat hier.

Koffer met plannen spionagevliegtuigjes gestolen

Genoeg van al die technische hacks en kwetsbaarheden in informatiesystemen? Bedenk dan dat er in de analoge wereld ook nog genoeg plaats vindt.

Een koffer met documenten over een Frans-Brits project voor onbemande Defensievliegtuigen is op een treinstation in Parijs gestolen. In een tijdperk van Trojaanse paarden en spear phishing-aanvallen blijkt ook het ‘oude vertrouwde’ handwerk nog steeds prima te werken. Een topman van Dassault Aviation kocht op het Gare du Nord station een kaartje, toen zijn vrouwelijke collega door een belager werd lastiggevallen (bron).

Hierbij zien we maar weer dat het niet altijd aan de systemen ligt (sterker nog: meestal ligt het ook niet aan de systemen maar aan de wijze waarop wij met de systemen omgaan). In dit specifieke geval zal er ongetwijfeld ergens in het beleid staan dat vertrouwelijke gegevens nooit uit het oog mogen worden verloren. Dus ook niet als we even snel een treinkaartje gaan kopen.

Maar ja, probeer jij tegenwoordig nog maar eens een treinkaartje te kopen terwijl je een koffer in je hand hebt. Met twee lege handen lukt het je al bijna niet om die ingewikkelde kaartautomaten te bedienen. En dan moet je ook nog eens extra goed opletten dat men met de zogenaamde “tientjes-truc” niet je pinpas afhandig maakt.

Voor degene die hem niet kennen: bij de tientjes-truc gaat er iemand achter je staan die je tijdens het kopen van een kaartje op de rug tikt. “of dat briefje van 10 euro van jou is.” Natuurlijk kijk je om en gretig als we zijn bukken we snel om dat tientje op te pakken (ook al is die helemaal niet van ons). We bedanken degene die ons waarschuwde nog even vriendelijk en hebben de dag van ons leven. Totdat we de pinpas nog een keer nodig hebben en erachter komen dat we pas die in onze portemonnee zit helemaal niet onze pas is. Juist, de pas is gewisseld en je pincode is afgekeken. Die crimineel heeft van zijn tientje heel wat meer geld kunnen maken als jij daar niet snel genoeg achter komt.

Gelukkig hoeven we ons niet al teveel zorgen te maken:“De politie zou geen moeite moeten hebben om de dieven te vinden, aangezien het gebied gefilmd werd.” Ja, het is maar welke beveiligingsprincipe je aanhangt…in mijn optiek is voorkomen nog altijd beter dan genezen.