Dan sta je mooi voor paal…

Niet alleen de grote en meer bekende organisaties staan in “the picture” als het gaat om beveiligingslekken maar ook komen er steeds meer berichten naar buiten van websites die gehackt zijn…nou ja, gehackt: ook hierbij zien we weer dat er niet heel veel technische kennis nodig was om achter de gegevens te komen.

Maar ja, als gebruiker en geregistreerde van deze websites sta je dan mooi voor paal:
De pornosite Videosz.com heeft de privégegevens van honderdduizenden klanten gelekt. Een lezer van het Duitse Heise ontdekte een IP-adres waar een onbeveiligde phpMyAdmin installatie op draaide. Zodoende kreeg hij zonder enige authenticatie toegang tot de database, met daarin adresgegevens, wachtwoorden, creditcardgegevens en welke pornofilms gebruikers hadden gedownload (bron).

Of wat denk je van deze?

YouPorn, de populairste pornosite op het internet, heeft de gegevens van meer dan een miljoen geregistreerde gebruikers gelekt. Het gaat om wachtwoorden en e-mailadressen. “Deze informatie is te gebruiken om pornoverbruikers te identificeren, maar voor sommige gebruikers staat er meer dan alleen de reputatie op het spel”, zegt beveiligingsonderzoeker Anders Nilsson (bron).

Gelukkig volgde er op het tweede bericht al snel een update:
Volgens YouPorn gaat het niet om gebruikers van de videosite, maar om gebruikers van dating/chatsite YP Chat. Dit zou een gescheiden dienst zijn die vanaf YouPorn.com werd gelinkt. De chatdienst werd door een derde partij beheerd en zou niet met YouPorn.com geassocieerd zijn. Ook zou YP Chat niet op YouPorn-servers gehost zijn.

YP Chat zou zomaar een afkorting van YouPorn Chat kunnen zijn. Het bedrijf mag dan aangeven dat een dergelijke dienst is uitbesteed en dat zij daar niet mee geassocieerd kunnen worden. Maar ja, het imago heeft inmiddels al een flinke deuk opgelopen. Voor de gebruiker doet het er ook helemaal niet toe of het nu wel of niet formeel geassocieerd mag worden met elkaar. Nee, ook hier gaat het weer gewoon om perceptie.

Denkt of ervaart de klant dat YP Chat onderdeel is van YouPorn dan is het YorPorn die de klappen krijgt. Niet zo gek natuurlijk. We haalden het in het verleden ook al aan, maar al die terugroep acties van Toyota hebben de leveranciers van dat merk minder imago schade opgeleverd dan Toyota. Natuurlijk kun je hard roepen dat alles is uitbesteed, maar was de keten niet zo zwak als de zwakste schakel? Juist.

Of je nu uitbesteedt of niet, dat maakt voor de klant helemaal niets uit. Sterker nog: degene die uitbesteedt moet gewoon haar verantwoordelijkheid nemen. Heeft je leverancier het niet goed in de klauw dan moet je daar betere eisen aan stellen, je moet ze helpen en dat doe je niet door de contracten nog verder te onderhandelen want daarmee schiet je alleen jezelf maar in je voet.

Maar goed, ben je nog op zoek naar een interessant chat-maatje dan weetje nu dat je genoeg email-adressen kunt vinden door nog even goed te zoeken. Ik wens je hele leuke gesprekken, maar houd het alsjeblieft wel een beetje discreet want voor je het weet ligt jouw hele chat-geschiedenis ook op straat.

Vijf hackers typen te onderscheiden

In de fysieke beveiligingswereld is het al lang heel normaal om uit te gaan van bepaalde dadertypen en daderprofielen. Op basis daarvan worden keuzes gemaakt waartegen een bedrijf zich wil beschermen. Zo wil (bijna) iedereen zich wel beschermen tegen gelegenheidsdaders of amateurs. Hebben we het over terroristen dan wordt het al een ander verhaal.

In onderstaand artikel is een interessante typering gegeven van vijf hackers typen. Voor informatiebeveiliging kunnen we die gaan gebruiken om onze aanpak in te richten. Willen we ons beveiligen tegen script kiddies en insiders of ook tegen hackers die inbreken in opdracht van naties? Het is een keuze, maar wel een belangrijk vertrekpunt om de beveiliging in te richten.

De typen die worden onderscheiden zijn:

  • Ten eerste de script kiddies. Dat zijn vaak nog pubers, die uit nieuwsgierigheid op zoek gaan naar gaten in onlinesystemen. Als ze lekken vinden, melden ze dat ook vaak aan de bedrijven.
  • Dan zijn er de insiders. Hackers die uit rancune, bijvoorbeeld na ontslag, op zoek gaan naar zwakke plekken in ict-systemen. Omdat ze de bedrijven goed kennen, is de schade vaak groot.
  • De georganiseerde misdaad hackt ook. Zij probeert bijvoorbeeld via phishing-mails (mails met het verzoek persoonsgegevens op te sturen) de geadresseerden creditcardgegevens te ontfutselen.
  • Hackgroeperingen, zoals Anonymous, hacken vanuit een politieke overtuiging. Door schade aan bijvoorbeeld bedrijven toe te brengen willen deze activisten hun standpunt kracht bijzetten.
  • Tot slot zijn er hackers die inbreken in opdracht van naties: om te spioneren of systemen plat te leggen. De hack die de centrifuges van een Iraanse kerncentrale platlegde, is een voorbeeld van deze cyberwarfare. (bron)

Aangezien we als organisatie niet alles in een keer aan kunnen pakken, lijkt het wijs er eerst eens voor te kiezen om de script kiddies en insiders in de gaten te houden. We zouden ons basis beveiligingsniveau daarop in kunnen richten en ons minimaal tegen deze dreiging kunnen beveiligen. Voor die processen en systemen waarvan we bepaald hebben dat ze kritisch zijn voor onze organisatie zouden we nog een stap verder kunnen gaan. We zouden er voor kunnen kiezen deze ook tegen de georganiseerde misdaad en hachersgroepen te beveiligen. Daar zal dan veelal veel technische kennis bij nodig zijn. Hebben we die zelf niet in huis dan schakelen we daar een extern expert voor in.

Voor veel organisaties zal het lastig zijn zich te wapenen tegen hackers die inbreken namens naties. Eerlijk is eerlijk, voor veel bedrijven is dit ook helemaal niet nodig. De vreemde natie is helemaal niet in jouw organisatie geïnteresseerd. Kijken we echter naar de infrastructuur die voor Nederland als vitaal is aangemerkt en kijken we naar de overheidsinstellingen dan wordt het een ander verhaal. Deze kunnen wel degelijk doelwit zijn en zullen deze dadertypering dus ook in overweging moeten nemen. Maar zolang sluizen en bruggen nog voor scriptkiddies open staan lijkt dat voor nu (voor sommige organisaties) nog een brug te ver.

 

Menselijk gedrag geeft doorslag bij diefstal

Gisteren lieten we al zien dat beveiligingsincidenten veelal veroorzaakt worden door factoren buiten het vakgebied. Een veel gehoorde term is dat de mens de zwakste schakel is. Ook duidelijk een factor buiten ons gebied, toch?

Onderzoeker Trajce Dimkov doet promotieonderzoek naar veiligheidsbeleving van organisaties en liet studenten laptops stelen bij wijze van wetenschappelijk experiment. Van de zestig pogingen die Dimkov liet doen, slaagden er dertig. Conclusie: je kan nog zo’n goed beveiligingssysteem hebben, menselijk gedrag geeft uiteindelijk de doorslag.

De studenten slaagden vrij eenvoudig in het stelen van de laptops, bijvoorbeeld door zich voor te doen als ICT-medewerkers. Ook vroegen ze met een smoes aan een conciërge om een deur te openen waardoor ze bij een laptop konden komen. Ze werden nooit betrapt, al mislukten wel enkele pogingen. Vals gewekt vertrouwen blijkt volgens het onderzoek een bedreiging te zijn voor de beveiliging van persoonlijke eigendommen maar zeker ook voor organisaties, waar dan ook. (bron)

Social engineering bestaat natuurlijk al jaren en we worden al jaren beïnvloed door allerlei factoren. Sterker nog daar zijn speciale branches voor in het leven geroepen zoals de marketingbranche, de reclamebureaus maar ook de psychologie bestaat daar voor een groot deel uit.

Als we mensen kunnen beïnvloeden dan kunnen we daar resultaten mee bereiken. We kunnen onze omzet er door laten groeien of kunnen mensen bijvoorbeeld van allerlei fobieën af helpen. Op zich prima allemaal, maar ook voor minder legitieme doelen kan de mens bespeeld worden (en of jij marketing en reclame een legitiem doel vindt, mag je dan zelf bepalen).

Het is natuurlijk al jaren bekend dat als je een laptop wilt stelen uit een bedrijf je er beter 10 tegelijk mee kunt nemen. Trek je overall aan, regel een karretje en zet daar 10 laptops op. Grotere kans dat de bewaker de deur voor je opent dan dat je onhandig met 1 laptop naar buiten wilt glippen. Hoe je dan binnen komt? Ach, ook daar zijn genoeg mogelijkheden voor. Regel 10 lege laptop dozen en geef aan dat je ze komt omruilen voor de oude laptops in het gebouw. Of loop mee met degene die net even een sigaretje zijn gaan roken buiten het gebouw. Overigens wil ik je nergens toe aanzetten. Want best leuk dat iemand zo’n onderzoek uitvoert, maar als je het niet goed regelt (door vooraf bijvoorbeeld toestemming te krijgen van het bedrijf) dan ben je gewoon illegaal bezig. Nu maar hopen dat er niemand wetenschappelijk uit gaat zoeken hoe makkelijk het is om iemand te vermoorden of te verkrachten.

Hoe opvallender je het doet, hoe kleiner de kans lijkt dat je er voor gepakt wordt. Dat geldt niet alleen binnen bedrijven maar ook voor simpelere zaken als winkeldiefstal. Een brutaal mens heeft de halve wereld, dat is al jaren zo en dat zal wel altijd zo blijven.

De conclusie is echter wat erg sterk neergezet. Conclusie: je kan nog zo’n goed beveiligingssysteem hebben, menselijk gedrag geeft uiteindelijk de doorslag. Tenzij je systeem natuurlijk puur als technisch iets ziet. Wat mij betreft horen ook de procedurele en organisatorische maatregelen tot het systeem. En regel je dat goed in dan houdt deze conclusie geen stand (maar ook dat is theorie, want in de praktijk blijft het voorlopig gewoon mogelijk).

Hoogleraar: ‘Bedrijven denken te licht over beveiliging’

NIJMEGEN – Veel bedrijven denken te licht over het online beveiligen van klantgegevens. Dat zei hoogleraar computerbeveiliging Bart Jacobs van de Radboud Universiteit in Nijmegen dinsdag. Volgens Jacobs moeten bedrijven bij het opzetten van een ICT-project er rekening mee houden dat een kwart van het budget moet worden geïnvesteerd in het beveiligen van de website en daarbij de klantgegevens. (bron)

Als een hoogleraar het zegt dan zal het wel waar zijn, toch? En deze hoogleraar kan ik natuurlijk alleen maar bijvallen. Er wordt inderdaad te licht gedacht over beveiliging en daar moet vanaf heden verandering in komen. Tenminste als het aan mij ligt, maar dat roep ik natuurlijk al jaren en dat blijf ik ook roepen. Op een gegeven moment moeten anderen dat dan toch overnemen?

Veelal zien we trouwens dat beveiliging nog steeds niet begrepen wordt. De gevolgen uiten zich dan inderdaad in een beveiligingsincident, maar de oorzaken liggen meestal buiten het vakgebied. Incidenten worden bijvoorbeeld veroorzaakt door onbekendheid met beveiliging, door gebrek aan patchmanagement, door bezuinigingen op de verkeerde gebieden en ga zo nog maar even door.

Natuurlijk moeten we niet de hele beveiliging in 1x volledig dicht willen timmeren. Dat is ook helemaal niet nodig (en enorm kostbaar). Wat we wel kunnen doen is ervoor zorgen dat we bij alle nieuwe ontwikkelingen beveiliging ook meenemen. Dat doen we niet door uit te gaan van de beveiligingsmaatregelen, maar door de risico’s die we af willen dekken. Doen we dat op de juiste manier dan zullen we minder en minder risico’s lopen (nieuwe zaken zijn immers al redelijk beveiligd).

Vervolgens kijken we naar alle zaken die we nu al in beheer hebben. Daarbij kijken we goed naar de meest kritische bedrijfsprocessen en de daarbij behorende kritische informatiesystemen (uiteraard in termen van: beschikbaarheid, exclusiviteit en integriteit). Op basis daarvan kunnen we dan ook de grootste risico’s in de operatien wegnemen.

Zo werken we het “achterstallig” onderhoud weg en voorkomen we dat onveilige systemen in productie gaan. De komende jaren zorgen we er steeds voor dat er meer en meer bestaande systemen beter beveiligd worden en over een aantal jaar hoeven we ons al een stuk minder zorgen te maken.

Maar, zoals gezegd, zijn de oorzaken voor de beveiligingsincidenten vaak gelegen buiten het vakgebied. We moeten dus zorgen voor zogenaamd “goed huisvaderschap”. Daar profiteert niet alleen de beveiliging van maar het zorgt er ook voor dat we op andere gebieden “in control” raken. Sterker nog, het zou zomaar zo kunnen zijn dat hierdoor ook de efficiëntie binnen de organisatie toeneemt.

Vergezocht? Nou, dat valt volgens mij wel mee. Kijk nog even naar patchmanagement. Dat zorgt er niet alleen voor dat de systemen voorzien zijn van de laatste patches, maar zorgt er ook nog eens voor dat nieuwe functionaliteiten in de systemen worden doorgevoerd. Je werkt toch ook niet meer met wordPerfect 6.1? Nee, je bent inmiddels gewend geraakt aan de nieuwst Office versie van Microsoft en die heeft het voor een berg mensen makkelijker gemaakt om brieven te typen, toch?

Nou dan, waarom zorgen we er dan niet voor dat we voor andere systemen ook over de laatste patches beschikken? Komt het omdat we het niet weten of omdat we het niet willen? Zo zie je maar, de gevolgen uiten zich als beveiligingsincident maar de oorzaken liggen ergens anders.

Websites apothekers slecht beveiligd

Persoonlijke gegevens van patiënten waren tot voor kort kinderlijk eenvoudig van de websites van apotheken te halen. De beveiliging deugde van geen kant, constateerde het College Bescherming Persoonsgegevens (CBP) na onderzoek. (bron)

Er worden behoorlijk wat spotlights op beveiliging gezet (en dat is maar goed ook, gezien de stand van zaken) en ook de apothekers ontkomen daar niet aan. Over het Elektronisch Patiënten Dossier is veel gezegd en geschreven de afgelopen jaren en die lijkt nu van de baan (ja lijkt, want er zijn nog steeds initiatieven en als we niet goed opletten dan bestaat het straks toch ineens).

Nu blijkt misschien wel dat het EPD niet eens zo’n slecht idee was, hiermee zouden we tenminste nog grip kunnen krijgen op de beveiliging van de aangesloten apothekers (ja ja, mits we natuurlijk niet overal op zouden bezuinigen, want dan wordt het al snel een OV-chip verhaal). Apothekers lijken er in ieder geval flink op los te hebben gehobbyd met hun websites.

De patiënt gegevens waren gemakkelijk in te zien en de inlognamen en wachtwoorden waren gemakkelijk te onderscheppen. En het is natuurlijk al erg genoeg dat zo privacy gevoelige gegevens op straat terecht komen, maar hoe is het dan gesteld met het bestellen van medicijnen? Zouden de hackers ook in staat zijn geweest om medicijnen onder andermans naam te bestellen? Medicijnen die normaliter alleen op recept verkrijgbaar zijn maar die in het zwarte circuit ook gretig aftrek vinden?

En als we de gegevens van de patiënten al kunnen onderscheppen. Kunnen we dan ook niet toevallig de gegevens van de artsen onderscheppen? Zo kun je een aardige zakcent bijverdienen. Je onderschept de inlog-gegevens van een huisarts en schrijft voor zijn of haar patiënten recepten uit. Deze worden door de apotheek netjes klaargezet en meegegeven aan de eerste die ze komt halen.

Veel van deze medicijnen zullen vergoed worden door de verzekeraars en daar betalen wij dan dus allemaal aan mee. En wat als een hacker het recept voor een zwaar zieke patiënt weet te wijzigen? Mag jij de gevolgen daarvan zelf invullen…ik moet er niet aan denken.

Ik zeg overigens niet dat het zo gegaan is, want daar heb ik simpelweg de bewijzen niet voor. Maar uitsluiten kan ik het ook niet. Misschien goed om toch een keer te checken wat jouw verzekeraar allemaal heeft moeten vergoeden vorig jaar? En hoeveel daarvan is inderdaad aan jou besteed?

NCSC geeft beveiligingsrichtlijnen voor webapplicaties uit

Nu we deze week gezien hebben dat we niet alleen de schuld bij de website eigenaren neer kunnen leggen maar zelf ook onze verantwoordelijkheid moeten nemen, sluiten we de week af met de richtlijnen voor webapplicaties. Daar kun je als consument misschien wat minder mee, maar voor alle website eigenaren geldt dat de ogen geopend moeten worden.

Het Nationaal Cyber Security Centrum heeft ICT-beveiligingsrichtlijnen voor webapplicaties uitgegeven. De beveiligingsrichtlijnen voor webapplicaties van het NCSC vormen een leidraad voor het veiliger ontwikkelen, beheren en aanbieden van webapplicaties en bijbehorende infrastructuur (bron).

Nu zouden we natuurlijk kunnen denken dat geen enkele website eigenaar aan dergelijke richtlijnen kan voldoen. Hij of zij heeft een geweldig idee en ontwikkelt daar een mooie website bij. Toegegeven, dat behoort inderdaad tot de mogelijkheden. En eerlijk gezegd hoop ik dat dergelijke innovators inderdaad niet direct gegrepen worden door een hacker.

Maar bedenk ook dat veel, reeds bestaande organisaties, de weg naar het internet gevonden hebben. Deze maken de website niet op een zolderkamertje maar hebben er een afdeling voor zitten of besteden het uit aan een gespecialiseerd bedrijf. Voor die gevallen kunnen we beveiligingsrichtlijnen wel degelijk in de ontwikkeling worden meegenomen.

Alleen moeten we dan beseffen dat we niet voor een dubbeltje op de eerste rang kunnen zitten. Ontwikkelen kost nu eenmaal geld en veilig ontwikkelen kost nu eenmaal nog wat meer. Maar een van de functionele eisen die je aan de opdrachtnemer mee kunt geven is dat de webapplicatie aan richtlijnen van het NCSC moet voldoen. Voldoet het niet? Dan nemen we het niet in beheer en krijgt de opdrachtnemer niet betaald. Klinkt hard, maar zo simpel zou het kunnen zijn.

Ja, natuurlijk schrijf ik: zou het kunnen zijn. Ik besef me ook wel dat de commercie nu eenmaal vaker de overhand heeft dan de beveiliging. We moeten zo snel mogelijk met onze site online en als daar de beveiliging voor moet wijken, dan is dat maar zo. Klinkt ongeloofwaardig? Ja, ben ik met je eens. In dit geval maakt men tenminste nog een bewuste keuze voor een lager niveau van beveiliging. In het merendeel van de gevallen staat men nog helemaal niet stil bij de beveiliging.

Ach, zolang zowel de opdrachtgever als de opdrachtnemer voor het ontwikkelen van een website nog de Euro-tekens in de ogen hebben, zal beveiliging altijd het ondergeschoven kindje blijven. Jammer, maar voorlopig waarschijnlijk wel de waarheid.

Maar zeg niet dat je niet gewaarschuwd bent en zeg niet dat er geen hulpmiddelen aanwezig zijn, want die zijn er genoeg. We moeten ze alleen willen ontdekken en we moeten accepteren dat het veilig ontwikkelen van nieuwe applicaties nu eenmaal wat langer duurt en wat meer kost. Doen we dat niet dan zijn we “Penny wise, pound foolish” en kunnen we er bijna op wachten tot we gegrepen worden.

Wie weet: binnenkort naast een Thuiswinkel.org keurmerk ook een NCSC-keurmerk? Ik kijk er naar uit.

Nederlanders niet goed beveiligd op internet

Het is ernstig gesteld met de online beveiliging in Nederland. Ondanks dat 83 procent van de Nederlanders een antivirusprogramma op zijn computer heeft geïnstalleerd, is dat slechts een deel van de oplossing van het probleem. Niet meer dan de helft van de Nederlanders kijkt naar de betrouwbaarheid van een website en slechts een kwart heeft voor iedere account of profiel op internet een apart wachtwoord (bron).

Natuurlijk kunnen we bij alle hacks de schuld blijven geven aan de bedrijven en ja, ze mogen, nee, sterker nog: ze moeten daar veel meer aan doen. Maar hebben we zelf, als consument ook niet een beetje schuld? Moeten we niet ook eens naar onszelf kijken en bedachtzaam zijn?

Mochten jouw gegevens via een gehackte site inderdaad uitlekken dan hoef je daar niet echt van wakker te liggen als je op die site een ander profiel hebt aangemaakt. Maar ja, gebruik je overal dezelfde inlognaam en eenzelfde wachtwoord dan wordt het verhaal natuurlijk al anders. Dan ben je inderdaad een stuk vatbaarder.

Ben je dus weer eens online aan het shoppen en moet je ergens een inlognaam en wachtwoord opgeven. Maak dan geen gebruik van de combinatie die je ook bijvoorbeeld gebruikt om bij je emails te kunnen. En voor diegene die het allemaal maar ingewikkeld vinden om voor iedere site een andere inlognaam en wachtwoord te bedenken, die kunnen het natuurlijk ook altijd nog combineren.

Bedenk een inlognaam en wachtwoord voor al die sites waar je wel eens winkelt. Wordt een van die sites gehackt dan beschikken ze inderdaad over die combinatie. En ja, dan kunnen ze misschien nagaan wat je allemaal online gekocht hebt. Maar bij je email kunnen ze niet en bestellen onder jouw naam wordt ook al een stuk lastiger omdat er toch een keer betaald moet worden.

Wat ik alleen maar wil zeggen, is dat we schuld echt niet alleen bij de websites neer kunnen leggen. Wijzelf hebben ook nog een verantwoordelijkheid. Als we die nu eerst eens nemen en daarna met wat wantrouwen het internet opgaan dan zijn we al een stuk veiliger. Wordt een website dan toch gehackt dan hoeven wij er niet echt wakker van te liggen. We hoeven dan alleen onze inlognaam en ons wachtwoord te wijzigen en kunnen weer vrolijk verder winkelen.

Een gewaarschuwd mens telt nog steeds voor twee. Voordat we wijzen naar de ander moeten we voor onszelf de vraag beantwoorden hoe we onszelf veilig houden op internet.

Thuiswinkel.org royeerde vorig jaar 36 leden

De organisatie achter het keurmerk voor webwinkels Thuiswinkel.org heeft in het afgelopen jaar 36 leden geroyeerd omdat zij de veiligheid niet op orde hadden, of bijvoorbeeld niet voldeed aan de wet- en regelgeving. Dat zei directeur Wijnand Jongen maandag desgevraagd…Wanneer websites niet aan de regels voldoen, worden ze in eerste instantie geschorst als lid van het keurmerk. “Als daarna geen verbetering optreedt, volgt royement.”(bron)

Met alle hacks van de afgelopen weken is het goed om te weten dat organisaties als Thuiswinkel.org beveiliging in ieder geval serieus lijken te nemen. Hoewel natuurlijk niet duidelijk is hoe dan aangetoond moet worden dat de website veilig is, proberen ze de eigenaren in ieder geval iets wijs te maken.

Geen veilige website, geen lid meer van Thuiswinkel.org. Jammer maar helaas, dit biedt slechts een beperkte garantie. Want wees eerlijk, check jij altijd of de site waarop je aan het shoppen bent echt is aangesloten bij Thuiswinkel.org? Ja, oké, misschien valt je oog toevallig op het logo maar check je ook op de site van Thuiswinkel.org of de site echt is aangesloten? Er zijn natuurlijk nog genoeg sites die ten onrechte het logo voeren (en ja, gelukkig probeert Thuiswinkel.org daar een stokje voor te steken) en daarnaast zijn er nog andere “waarmerken” die de consument wel vertrouwen moeten geven maar in wezen niet zoveel voorstellen.

We zouden natuurlijk het voorbeeld van Baby-dump.nl aan kunnen halen. Die zijn/waren wel degelijk aangesloten maar toch lekte er behoorlijk wat informatie. Onduidelijk is wat mij betreft dan ook hoe en wanneer de beveiliging getoetst wordt. Dempen we de put als het kalf verdronken is of proberen we ook te voorkomen dat het kalf in die put kan vallen?

Ik kon het niet nalaten en heb op Thuiswinkel.org even de term “beveiliging” ingetoetst. Daarmee werden 407 resultaten gevonden. Kleine kans dat de eigenaar van een website die allemaal heeft gelezen. Natuurlijk zou ik uitgebreid onderzoek kunnen doen naar de eisen die gesteld worden op het gebied van beveiliging, maar dat laat ik graag aan de website eigenaren zelf over. Feit is wel dat ook Thuiswinkel.org bestaat bij de gratie van haar leden. Stellen we de eisen te streng dan hebben we maar weinig leden, laten we de eisen teveel los dan waarmerken we onveilige sites. De waarheid zal dus ergens in het midden liggen.

Voor vandaag sluiten we maar weer eens af met een vraag ter overweging: hoe weet je nu echt zeker dat je website veilig is? Wie het weet mag het zeggen.

Het Nieuwe Werken bedreigt beveiliging

Het midden- en kleinbedrijf heeft een blinde vlek voor de risico’s die moderne ontwikkelingen zoals het Nieuwe Werken met zich meebrengen. Informatie ligt vaak onbewust te grabbel, computernetwerken worden vanuit onverdachte hoek bedreigd en de sociale controle op wie het bedrijf binnenkomt kalft af (bron).

Voordat we nieuwe ontwikkelingen in de weg willen gaan staan (omdat ze nu eenmaal niet veilig zijn), moeten we eerst kijken over welke risico’s we het hebben. Welke nieuwe risico’s brengt het nieuwe werken eigenlijk allemaal met zich mee en hoe erg is dat dan voor onze organisatie?

Natuurlijk heeft een nieuwe ontwikkeling ook nieuwe risico’s. Dat is logisch en ook helemaal niet erg. Hoewel er natuurlijk nog genoeg beveiligers zijn die nieuwe ontwikkelingen liever zien gaan dan komen, zijn we hiermee aangekomen bij de verdere volwassenheid van beveiliging (althans, als het aan mij ligt).

We moeten niet langer redeneren vanuit allerlei beveiligingsmaatregelen, zoals we nog te vaak doen, maar we moeten uitgaan van de risico’s. Als we die eenmaal in kaart hebben kunnen we ook kijken hoe groot de kans en de impact zijn voor onze organisatie. Daarna kunnen we kijken wat we er aan willen doen om deze risico’s te beperken. Zo zien we maar dat nieuwe ontwikkelingen ook kunnen leiden tot een nieuwe aanpak van beveiliging. Niet de makkelijkste weg maar wel een heel uitdagende weg.

Lezen we het originele bericht dan kunnen we in ieder geval al aan ons risico-lijstje toevoegen:

  • Informatie ligt vaak onbewust te grabbel
  • Computernetwerken worden vanuit onverdachte hoek bedreigd
  • De sociale controle op wie het bedrijf binnenkomt kalft af

  Allemaal leuk en aardig, maar daar kan natuurlijk geen enkele organisatie iets mee. Nee, wat we moeten doen is de oorzaken achterhalen. Lukt ons dat, dan kunnen we ook gericht maatregelen nemen om die oorzaken weg te nemen.

Daarbij moeten we natuurlijk wel de juiste maatregelen nemen. Stel nu dat we de kans hoog inschatten dan moeten onze maatregelen erop gericht zijn om de kans te verlagen. Is de impact daarentegen hoog dan richten onze maatregelen zich natuurlijk op de verlaging van die impact. Toch? Theoretisch helemaal waar en hogere wiskunde hoef je voor die logica ook niet gestudeerd te hebben.

In de praktijk helaas allemaal wat lastiger. We zien nog te vaak een mismatch tussen de oorzaken en de risico’s aan de ene kant en de maatregelen die we treffen aan de andere. Een pasklaar antwoord heb ik helaas ook niet voor je. Maar door berichten als hierboven te lezen en door logisch na te denken moeten we een heel eind kunnen komen. Wacht daar niet te lang mee want dan heeft een risico zich misschien al gemanifesteerd en kunnen we de zaak op slot doen (letterlijk of figuurlijk).

We kunnen het nieuwe ontwikkelingen blijven noemen, maar inmiddels zijn ze er alweer een poosje. Heb je nog niet aan risico analyse gedaan dan wordt het zo langzamerhand wel een keertje tijd.

Criminelen stelen cv’s werkzoekenden van sites

Criminele organisaties plukken van websites als werk.nl van het UWV persoonsgegevens uit cv’s van werkzoekenden…Die worden vervolgens benaderd om tegen betaling mee te werken aan fraude met creditcards, heling en witwaspraktijken. Werkzoekenden kunnen op werk.nl maar ook op sites als monsterboard.nl en vacaturekrant.nl hun cv’s plaatsen. Werkgevers kunnen op die sites inloggen en vacatures plaatsen…Bedrijven hebben na inschrijving inzage in de persoonsgegevens van werkzoekenden. Het maakt daarbij niet uit of het bedrijf zich met een verzonnen naam heeft aangemeld, zo blijkt uit onderzoek van het Noordhollands Dagblad (bron).

We hebben het er natuurlijk al veel vaker over gehad, maar de privacy op internet blijft een probleem. Mensen geven erg veel van zichzelf bloot op sociale media sites als LinkedIn, Hyves, Facebook en Twitter. Daarbij gaat het natuurlijk veelal om het bewustzijn van die mensen zelf. Het kan leuk zijn om privé van alles en nog wat te delen, maar dat kan voor je carrière een doodsteek zijn. Helaas zal het nog jaren duren voordat het merendeel van de mensen zich daarvan bewust is (als het dan al niet te laat is).

Maar uit onderzoek van het Noordhollands Dagblad blijkt dat ook sites van op zich gerenommeerde eigenaren een probleem kunnen vormen. Op zich logisch dat er privé-gegevens worden achtergelaten op die sites. Men zet niet voor niets zijn of haar CV online. Hiermee geven ze immers aan open te staan voor aanbiedingen. Niets mis mee als dat in goed vertrouwen gebeurt. Organisaties kopen inloggegevens om deze profielen te kunnen bekijken. Maar dan mag je er vanuit gaan dat het ook echt organisaties zijn die op zoek zijn naar nieuw personeel.

Niets blijkt echter minder waar. Ook criminele organisaties kunnen dergelijke inloggegevens kopen en benaderen de werkzoekenden dan met een heel andere aanbieding. Nu kun je stellen dat criminele organisaties ook organisaties zijn, maar het grote verschil is natuurlijk dat ze niet zijn ingeschreven bij de Kamer van Koophandel. Een minimale check die uitgevoerd zou moeten worden is dus de aanvraag naast de inschrijving van de KvK te houden.

Niet dat hiermee direct alle criminele activiteiten tot een stop worden gebracht, want er zijn natuurlijk ook nog genoeg malafide bedrijfjes die gewoon netjes een KvK-inschrijving kunnen overleggen. Ze zijn niet direct crimineel georiënteerd maar bevinden zich wel in een schimmig gebied. Zaak voor de sites is dus om goed te monitoren wie er allemaal toegang heeft tot de privé-gegevens en op welke wijze daarvan ge- of misbruik wordt gemaakt.

Het lijkt er in ieder geval op dat er een extra check plaats moet gaan vinden. Misschien toch overwegen om de gegevens af te schermen en via anonieme mailadressen de eerste contacten te laten leggen? Dus niet alle gegevens in het CV vermelden maar eerst de werkzoekende en de medewerkerzoekende op een andere manier met elkaar in contact brengen zonder dat we alles van elkaar weten?

Het is maar een overweging, zaak is wel dat de sites hun verantwoordelijkheid nemen en niet deelnemen aan of ondersteuning verlenen bij allerlei criminele activiteiten. Blijven ze dat doen dan zal hun bestaansrecht snel afnemen. Wie pakt de signalen het eerst op en zoekt naar nieuwe mogelijkheden? Degene die dat doet geef ik een goede toekomst op het internet.