Directiekamers af te luisteren via videoconferencingsysteem

In een onderzoek, uitgevoerd door Chief security officer H.D. Moore van het Amerikaanse Rapid7 vond hij 5000 vergaderzalen met videoconferencingsysteem die voor ongenode gasten eenvoudig toegankelijk waren. Daarbij ging het onder meer om vergaderzalen bij grote namen uit de juridische wereld en uit de wereld van verstrekkers van risicokapitaal, bij farmaceutische bedrijven en bedrijven uit de olie-industrie. De videoconferencingsystemen waren geleverd door markleiders Polycom en Cisco, en door Sony, LifeSize en anderen(bron).

Zo zien we maar weer dat de beveiligingslekken niet altijd zitten waar onze focus op gericht is. Laten we eerlijk zijn, op veel risico-lijstjes zullen de videoconferencingsystemen nog niet voorkomen. En misschien “sweepen” we de directiekamers regelmatig op afluisterapparatuur (hoewel dat al een unicum lijkt), maar de “vijand” hebben we zelf in huis gehaald.

De soep wordt, als het goed is, echter niet zo heet gegeten als hij wordt opgediend. Ergens in ons beleid zal best staan dat vertrouwelijke gegevens niet via de telefoon gedeeld mogen worden (omdat we al jaren weten dat die afgeluisterd kunnen worden). Nu kun je natuurlijk hele discussies voeren of de videoconferencingsystemen wel of niet onder dit beleid vallen, maar dat is niet zo spannend. Valt het er namelijk nog niet onder dan passen we ons beleid toch even aan?

Maar gisteren haalden we het ook al aan. We moeten kijken naar de behoefte van de gebruikers. Leuk dat we het op papier verbieden, maar als de directie zich er al niet aan houdt dan moeten we ons wat dingen af gaan vragen.

We kunnen natuurlijk heel hard roepen dat beveiligingsbeleid ook voor de directie geldt en dat het management het goede voorbeeld moet geven. Daar heb je theoretisch best gelijk in, maar als ons beleid niet toereikend is dan moeten we toch echt eerst in de spiegel kijken.

Blijkbaar is er een behoefte om via videoconferencingsystemen te communiceren, ook over vertrouwelijke zaken. Dan zullen we dus op zoek moeten naar een manier waarop dat zo veilig mogelijk kan. Wat die manier exact is, weet ik ook nog niet, dus de zoektocht kan beginnen.

Zolang we de pot met goud aan het einde van de regenboog nog niet gevonden hebben, is het wel verstandig om de directie er van bewust te maken dat er wellicht een risico zit in het videoconferencingsysteem. Daarbij geven we natuurlijk richtlijnen over hoe ze zo veilig mogelijk kunnen communiceren en we geven ook aan dat we op zoek zijn naar een oplossing waar zij geen last van zullen hebben. Een uitdaging staat je daarbij wel te wachten, maar die gaan we natuurlijk niet uit de weg.

En om alles weer even te nuanceren en naar normale proporties terug te brengen: 9 van de 10 videoconferencing gesprekken zullen wellicht enigszins vertrouwelijk zijn, maar echte geheimen zullen ze nu ook weer niet bevatten. Dus voordat we ze maar direct verbieden wel eerst even bekijken wat er zoal besproken zal worden.

Om je alvast wat kaders mee te geven: Moore concentreerde zich op twee configuratiefouten: het plaatsen van het videoconferencingsysteem buiten de firewall en het gebruik van het automatisch accepteren van inkomende oproepen. Laten we ons daarop dan als eerste richten en voor die tijden dat de videoconferencing mogelijkheid niet nodig is kunnen we nog altijd gewoon de stekker uit het stopcontact trekken.

Nou, ik ga nu even een viedoconference in en zal het niet over geheime zaken hebben.

Organisaties zeer slecht voorbereid op cyberdiefstal

Organisaties zijn zeer slecht voorbereid als het gaat om een datalek of cyberdiefstal. Slechts 52% werkt met een gescheiden netwerk voor machines met gevoelige data, zo blijkt uit onderzoek van SpicyLemon, uitgevoerd door Webwereld.(bron)

Veelal kijken we met angst en beven naar de grote boze buitenwereld. Als de dood dat we getroffen worden door een aanval van de echte techneuten. Maar we vergeten nog vaak het “low hanging fruit”, zoals we dat zo mooi noemen.

Laten we er nu eerst eens voor zorgen dat we de normale zaakjes op orde hebben. Daarna kunnen we altijd nog focussen op een zware aanval (die we waarschijnlijk toch niet tegen kunnen houden). Daarbij moeten we niet alleen naar buiten kijken, maar juist ook naar binnen.

De grootste dreiging komt nog altijd van binnenuit. En dan niet eens altijd omdat het om moedwillige aanvallen gaat. Nee, we hebben te maken met gebruikers en dat zijn net mensen. En mensen maken fouten, zo simpel is het nu eenmaal.

Naast de onbewuste fouten komt het ook nog teveel voor dat de medewerker zich helemaal niet bewust is van zijn op handen zijnde fout. Hij heeft geen weet van de beveiligingsregels en als hij ze al kent dan weet hij niet hoe ze toegepast moeten worden terwijl hij gewoon zijn werk kan doen (daar wordt hij immers op afgerekend).

We hebben het natuurlijk al veel vaker aangehaald: het gaat om kennis, houding en gedrag. Dat is de ene kant, maar laten we vooral niet vergeten dat er ook nog een andere kant is: gewoon je werk doen. En ja, dan is beveiliging inderdaad vaak lastig.

Daarom moeten we vanuit beveiliging ook zo goed mogelijk kijken naar de “business”. Hoe kunnen we hen zo makkelijk mogelijk hun werk laten doen zonder dat we bijzondere risico’s lopen? Daar zouden we ons vanaf heden meer en meer op moeten richten. Beveiliging is ondersteunend aan de bedrijfsprocessen want zonder bedrijfsprocessen ook geen beveiliging.

Voordat we dus weer een nieuw stukje beleid schrijven, waarbij we mensen verbieden om zakelijke gegevens naar het privé account te mailen of waarbij we het niet meer toestaan dat gegevens onversleuteld op een USB-stick worden opgeslagen, moeten we de wereld omdraaien. Vraag nu eens gewoon aan die gebruiker wat hij nodig heeft om het zo veilig mogelijk te doen.

Bij de vraag naar verbeterpunten op beveiligingsgebied, wordt door de verschillende deelnemers aangegeven dat met name de bewustwording bij eindgebruikers en bij de directie vergroot moeten worden. Ruim 37% wil regelmatig security audits door externe partijen gaan laten uitvoeren.

Het zijn net mensen…en daar kunnen wij best mee leren communiceren. Die beveiligingsaudits komen dan wel als we de basis geregeld hebben.

Succes BYOD hangt af van beveiliging

Nog even in een notendop: De almaar groeiende populariteit van persoonlijke mobiele apparatuur verandert de manier waarop technologie binnen het bedrijfsleven gebruikt wordt. Steeds meer werknemers nemen eigen apparatuur mee naar kantoor. Het is aan de organisatie om te zorgen dat hun data op een veilige manier aan deze toestellen aangeboden wordt (bron).

Voor de zekerheid: BYOD gaat over het Bring Your Own Device-principe. Dus niet meer een vaste werkplek of laptop van je baas maar er gewoon lekker zelf voor zorgen dat je over de juiste apparatuur beschikt die je nodig hebt voor je werk. Op zich natuurlijk niet zo’n gekke gedachte en het kan de organisatie een berg geld schelen omdat ze minder aan beheer hoeven te doen.

Het risico zit hem er in dat je verschillende soorten apparatuur op je netwerk krijgt waar je geen controle over hebt en de informatie waar jij eigenaar van bent wordt gemakkelijk opgeslagen op diezelfde apparatuur (waar je dus nog steeds geen controle over hebt).

Zoals we al vaker hebben aangehaald is informatie voor veel organisaties het nieuwe goud. De informatie is noodzakelijk voor het voortbestaan er van. Maar ja, als we een paar euro kunnen besparen dan zijn we al snel vergeten wat de waarde van die informatie is.

Maar we willen natuurlijk niet terugvallen in de oude patronen van beveiliging. We keren niet terug naar het 1.0 scenario. Nee, wij zijn niet tegen ontwikkelingen. Dus ook niet tegen de ontwikkeling die we BYOD noemen. We willen wel graag dat we goed nadenken over de risico’s die nieuwe ontwikkelingen met zich meebrengen. Hebben we die risico’s eenmaal in kaart gebracht dan kunnen we ook keuzes maken.

Willen we die risico’s lopen en dus accepteren, willen we die risico’s afdekken of willen we die risico’s misschien verzekeren? Uiteindelijk kan de organisatie zelfs besluiten om BYOD voorlopig toch nog maar even niet in te voeren.

BYOD heeft dus best wat risico’s in zich en welke dat allemaal zijn, laat ik hier nog even in het midden. Maar als we het relativeren dan kunnen we natuurlijk ook gewoon concluderen dat BYOD een gewone ontwikkeling is, net als andere ontwikkelingen in het verleden en als ontwikkelingen in de toekomst.

Daar moeten we dus niet op tegen zijn, want stilstand is achteruitgang. We moeten dus nu al proactief beginnen met de risico’s in kaart brengen. Ook als er binnen jouw organisatie nog niet over BYOD gesproken wordt, weet je nu al dat het er aan zit te komen. Je kunt je er dus al op voorbereiden. Waar wacht je nog op?

Beveiliging SharePoint veelal omzeild

Uit onderzoek blijkt dat bijna de helft van SharePoint-gebruikers gevoelige of vertrouwelijke documenten kopieert naar niet beveiligde hard-drives, usb-sticks, of deze zelfs naar een externe mailt. (bron)

Nu kunnen we natuurlijk hele discussies voeren over Sharepoint en hoe veilig we Sharepoint wel of juist niet kunnen maken. Dan komen we al snel op vragen als: wie mag vanuit welke rol bij welke informatie en op welk moment dan? Hoe gaan we ons autorisatiemanagement inrichten en hoe vaak gaan we de rechten van gebruikers controleren.

Allemaal hartstikke belangrijke vragen waarop we nog belangrijkere antwoorden zullen moeten vinden. Maar daarmee zijn we er nog niet. Nee, hier blijkt maar weer eens uit dat we echt niet kunnen zonder een integrale aanpak op basis van risicomanagement.

We moeten dus uitgaan van die risico’s. En natuurlijk kunnen we dan technische risico’s voor Sharepoint benoemen. De kans en de impact van een ongeautoriseerde toegang tot het systeem. Uiteraard moeten we daar maatregelen tegen nemen. Maar hoe zit het nu met die geautoriseerde toegang?

Hoe voorkomen we nu dat medewerkers die geautoriseerd zijn er met onze gegevens vandoor gaan (bewust of onbewust). Het risico is dus naast ongeautoriseerde toegang juist ook de risico’s die je loopt met de informatie. Daar gaat het om. Dus wat is de kans en de impact als onze informatie bijvoorbeeld verloren gaat omdat die bij iemand lokaal op zijn laptop staat?

Maar ook hier kunnen we nog niet stoppen. Die informatie is ondersteunend aan onze bedrijfsprocessen. Daar verdienen we immers ons geld mee. We moeten dus kijken welke informatie van belang is voor de bedrijfsprocessen. We moeten nagaan wat de kans en impact voor het stil vallen van die processen is als gevolg van het verloren gaan van informatie.

Als die informatie echt zo belangrijk is voor de ondersteuning van onze bedrijfsprocessen dan moeten we er dus voor zorgen dat die informatie niet zomaar verloren kan gaan. En als we vervolgens besluiten om die informatie via Sharepoint te delen dan moeten we ook nagaan hoe we ongeautoriseerde toegang gaan voorkomen.

Van een bottom-up benadering naar een top-down benadering dus en in dit geval gebruikten we Sharepoint even als voorbeeld, maar er is meer dan Sharepoint, er is meer dan informatie, er is meer dan bedrijfsprocessen. We komen toch weer terug op de continuïteit van onze organisatie. En alles dat bijdraagt aan die continuïteit moeten we serieus nemen.

Geweld toegestaan na cyberaanval

In het geval een digitale aanval leidt tot een aanmerkelijk aantal dodelijke slachtoffers of grootschalige vernietiging van of schade aan vitale infrastructuur, mag de Nederlandse overheid een vergeldingsaanval uitvoeren. Dat staat in een advies dat de Adviesraad voor Internationale Vraagstukken (AIV). (bron)

Klare taal? Of juist helemaal niet? Wat is bijvoorbeeld een aanmerkelijk aantal dodelijke slachtoffers of wat is grootschalige vernietiging van of schade aan vitale infrastructuur? Heel benieuwd wie de scepter zwaait over de grote gevaarlijke rode knop. Wie mag hem indrukken en welke criteria hangen daar dan achter?

Nu moeten we ons natuurlijk ook afvragen wie de aanval heeft ingezet. Is dat een scriptkiddie of is dat een vreemde mogendheid die hele andere belangen heeft? Natuurlijk zouden we moeten stellen dat we toch minimaal beschermd zijn tegen aanvallen van scriptkiddies.

Maar als we het nieuws en de beveiligingsincidenten in de gaten houden dan blijkt veelal dat we daar al niet tegen beveiligd zijn. Een vreemde mogendheid die over veel meer kennis en mogelijkheden beschikt gaat echt niet zomaar sporen na laten. Maar stel nu dat zo’n scriptkiddie inderdaad een flinke aanval inzet maar daarbij geen dodelijke slachtoffers maakt en ook geen grootschalige vernietiging tot gevolg heeft. Mogen we dan wel een vergeldingsaanval inzetten of niet? En als we zo’n aanval niet in mogen zetten, hoe zorgen we er dan voor dat de “kiddie” gewoon weer lekker buiten gaat voetballen?

Wellicht moeten we het hele rapport lezen, maar deze samenvatting van het rapport, roept meer vragen op dan dat het antwoorden geeft. Jammer, het had zo mooi kunnen zijn maar hier schieten we helemaal niets mee op.

Wil jij het hele rapport wel lezen? Ga gerust je gang en laat me daarna even weten wat er nu echt in staat en of we daar nu echt ook mee opgeschoten zijn. Ik ben benieuwd maar heb helaas geen tijd om het volledige advies te lezen. Ik hoor graag van je.

Security op de managementtafel

Gisteren hebben we afgesloten met de opmerking dat we niet uit kunnen sluiten dat we voldoende aandacht krijgen als we die onderwerpen kunnen raken waar het management van wakker ligt. Een mooie overweging voor vandaag.

Formeel gezien, zou het management natuurlijk wakker moeten liggen van de enterprise risks. Of, in gewoon Nederlands: de risico’s waardoor we omzet mislopen, waardoor we een stijging in kosten zien of waardoor ons imago een deuk op kan lopen.

Onze drietrapsraket: stap 1: risk management, stap 2: security management (gericht op preventie en detectie) en stap 3 business continuity (repressie en correctie) zou daar dan op gericht moeten zijn.

Uitdaging hierbij is dat we enterprise risks maar moeilijk direct kunnen beïnvloeden. Wij zijn immers de security-afdeling en moeten ons vooral niet bemoeien met de missie, visie, strategie en doelstellingen van de organisatie. Het management is daar verantwoordelijk voor en zal ons daarbij niet betrekken.

Daar kun je natuurlijk wakker van liggen. Maar dat is helemaal niet nodig. We moeten ons ook niet willen bemoeien met dat soort zaken. Wij moeten ons druk maken om onze bijdrage aan die missie, visie, strategie en doelstellingen. Hoewel we ons er dus niet mee moeten bemoeien, moeten we er niet onverschillig tegen over staan. Nee, sterker nog: wij moeten haarfijn weten wat ze zijn om onze aanpak van risk management, security management en business continuity management daar zo goed mogelijk bij aan te laten sluiten.

Als het in de praktijk voor alle organisaties en alle managers op deze manier zou werken, dan was het “verkopen” van security een stuk eenvoudiger. Maar wat het lastig maakt is het feit dat de belangen van de managers niet altijd overeen komen met de belangen van de organisatie.

Helemaal geen security issue maar veel meer een organisatorisch issue. Mensen komen naar hun werk, maar wat drijft hen en waarom komen ze eigenlijk? Misschien omdat ze inderdaad een zinvolle bijdrage willen leveren aan de organisatie, maar misschien ook omdat ze aan het eind van de maand toch gewoon een salaris nodig hebben.

Wat de persoonlijke doelstelling van de medewerkers ook is, we moeten ze zien te achterhalen als we beveiliging de aandacht willen geven die het nodig heeft.

Maar we kunnen natuurlijk niet alleen naar de ander blijven wijzen. We moeten ook goed in de spiegel kijken. We moeten dus niet negatief staan tegenover ontwikkelingen en we moeten niet bij voorbaat alles verbieden. Nee, we moeten realistisch zijn als we kijken naar de risico’s. Deze moeten we bezien in het licht van de missie, visie, strategie en doelstellingen.

Vervolgens moeten we proberen de operational risks te koppelen aan de enterprise risks (steeds met realiteitszin). Daarbij kunnen we het management onafhankelijk adviseren. Wij geven ze inzicht in de risico’s, de kans en de impact daarop, de kosten voor preventieve, detectieve, repressieve en/of correctieve maatregelen.

Beveiliging in de vorm van business cases waarbij de beveiligingsbusiness case onderdeel moet zijn van de grotere business case. Is dit dan de makkelijkste weg? Nee, waarschijnlijk niet. De makkelijkste weg zal zijn om separaat van alles te blijven opereren. Lekker in die ivoren toren blijven zitten. Maar dat is misschien een oplossing voor de korte termijn.

Willen we een oplossing voor de lange termijn dan moeten we deze overwegingen (en die van gisteren bijvoorbeeld) nog eens goed uitdenken. Dat is nu juist wat het zo leuk maakt.

In ieder geval heb je dit weekend een tweetal overwegingen om eens over na te denken. Mocht je een mening hebben, laat het me gerust weten. Ik ben benieuwd. Heb je zelf andere overwegingen waar je eens iets over wilt schrijven? Dan mag dat natuurlijk hier ook, geen probleem, ik hoor graag van je.

Preventie, detectie, repressie en correctie

Vandaag maar eens een bericht dat niet direct gekoppeld is aan een nieuwsbericht maar meer aan een overweging. Uiteraard benieuwd wat jullie er van vinden.

Het lijken zulke eenvoudige termen en de volgorde lijkt ook vrij logisch: preventie, detectie, repressie en correctie. Dat is waar het allemaal om draait als we het hebben over de drietrapsraket: risk, security, continuity.

Risk management, security management en business continuity management. Deze begrippen kunnen we aan elkaar koppelen en dan wordt het allemaal nog een stuk duidelijker.

Eerst moeten we bepalen welke risico’s we allemaal lopen. Daarvoor roepen we risk management in het leven. We kijken naar de enterprise risks en naar de operational risks en bepalen de dreigingen die we op ons af kunnen zien komen. Voor deze dreigingen bepalen we de kans en de impact en de hele basis is gelegd. Uiteraard moeten we hierbij nog wel rekening houden met de missie, visie en strategie van onze organisatie. Om die te bereiken bepalen we de doelstellingen voor de korte termijn. Risico’s die daar een negatieve invloed op kunnen hebben verdienen onze aandacht.

Nu we die dreigingen weten kunnen we bepalen wat onze risicomanagement strategie is. Welke risico’s willen we in behandeling nemen en welke risico’s accepteren we? Voor die risico’s die de aandacht verdienen gaan we verder met de stap security management.

In die zin is security management gericht op preventie. Het voorkomen van de risico’s en het voorkomen van incidenten. Maar zoals we weten, kunnen we niet alle incidenten voorkomen. In dat geval zullen we dus moeten zorgen dat we de incidenten detecteren. In dit opzicht dus onderdeel van security management.

Business continuity management kunnen we dan koppelen aan de repressie en de correctie. Met business continuity zorgen we ervoor dat we tijdens een incident gewoon door kunnen draaien. Maar als we het hebben over correctie dan komen we al snel uit bij disaster recovery. Oké, het incident heeft zich voorgedaan en op basis van de business continuity maatregelen hebben we met workarounds toch gewoon door kunnen werken.

Maar ja, die workarounds kunnen we niet langdurig in het leven houden. Ze zijn bijvoorbeeld te duur of niet efficient genoeg voor de dagelijkse gang van zaken. Daar komen dan de correctieve maatregelen om de hoek kijken. We moeten weer terug naar de business as usual. Als het goed is kunnen we met de BCP’s (business continuity plans) en de DRP’s (disaster recovery plans) aan de gang om de schade voor ons te beperken.

Hebben we een dergelijke cyclus eenmaal doorlopen dan begint het spel weer van vooraf aan. We gaan weer kijken naar de dreigingen en de kans en de impact daarvan. Misschien moeten we concluderen dat de kans en de impact toch hoger is dan we vooraf hadden ingeschat. Daar passen we de security maatregelen en de business continuity aanpak dan weer op aan.

Maar ook als we niet geconfronteerd worden met de uitbraak van een incident. Dan toch moeten we de cyclus continu doorlopen. Alleen treden dan onze BCP’s en DRP’s niet echt in werking. Wel kunnen we ze natuurlijk testen en reviewen. Blijkbaar zijn we niet geconfronteerd met een incident of blijkbaar hebben onze security maatregelen goed gewerkt. Wat het antwoord hierop is? Dat moeten we analyseren. Zijn we echt “in control” (onze maatregelen hebben gewerkt) of hebben we gewoon mazzel gehad en is dit incident onze deur voorbij gegaan?

Tot zover de overwegingen voor vandaag. We kunnen dus de koppeling leggen: stap 1: risk management, stap 2: security management (gericht op preventie en detectie) en stap 3 business continuity (repressie en correctie).

Kunnen we dit aan concrete voorbeelden koppelen waar het management wakker van ligt, dan sluit ik niet uit dat we aandacht krijgen van dat management. Maar goed, dat is een mooie overweging voor morgen.

Scan sociale media op ‘verdachte info’

De KLPD heeft een systeem aangeschaft om verdachte informatie van openbare bronnen te verzamelen. Het systeem CY-Humint (Cyber Human Intelligence) wordt geleverd door Athena GS3 Security Implementations Ltd in Holon Industrial Zone in Israël. Het speuren wordt beperkt tot openbare bronnen, zoals blogs, microblogs, websites, forums, chatrooms en sociale netten als Facebook, Hyves en Twitter (bron).

Dit bericht heeft misschien, op het eerste gezicht, niet zoveel nieuwswaarde maar het is goed om te weten dat de politie steeds actiever wordt in het volgen van openbare bronnen. Volgens mij doen ze dat trouwens al jaren en dat is maar goed ook. Misschien is dan de nieuwswaarde dat het vanaf nu op een intelligentere wijze gebeurt.

Daarbij moeten we natuurlijk oppassen. Teveel berichten kunnen we niet monitoren dus zetten we tools in om ons werk te vergemakkelijken. Oppassen dus dat we het allemaal niet te strak inregelen want dan zien we helemaal niets meer. En in dit geval geldt niet: “wat niet weet wat niet deert.” Maar ook oppassen voor alle “fals positives”. Een bericht zonder interpretatie kan tot verkeerde conclusies leiden.

Een praktijkvoorbeeld is het monitoren van websites die door de medewerkers bezocht mogen worden onder werktijd. Termen als: “borst en borsten” zetten we op de zwarte lijst want daar hoeft niemand naar te kijken, dat valt onder pornografie. Maar ja, je zult maar een arts zijn of je zult maar een bakker zijn die op zoek is naar het recept voor borstplaat. Ja ja, het inregelen en fine tunen is nog niet zo makkelijk, maar natuurlijk geen reden om er niet aan te beginnen.

Het monitoren van openbare bronnen is natuurlijk niet alleen belangrijk voor de politie maar ook voor andere organisaties. Commerciële organisaties zouden bijvoorbeeld kunnen monitoren wat er zoal over de door hen gevoerde merken openbaar gezet wordt. Hier kunnen we beveiliging en commercie vereenzelvigen. We willen monitoren waar we eventueel risico’s lopen maar willen ook weten wie er positief over ons merk Tweet en Blogt.

Weer een voorbeeld dus waarbij beveiliging niet meer als losstaand aspect gezien moet worden. Dat weten wij natuurlijk allang want beveiliging is en blijft ondersteunend aan onze bedrijfsprocessen en dan kunnen we ook maar beter weten wat de buitenwereld over ons de wereld in helpt.

Oh ja, je kunt er natuurlijk dure tooling voor aanschaffen, maar met een simpel Google dashboard kun je ook al een heel eind komen en zo’n dashboard is gratis. Het fine tunen moet je dan zelf nog doen (en dat kost meer tijd dan je denkt) maar dat moet je bij dure tooling ook. Ik zou zeggen, kijk eens naar de mogelijkheden die Google je biedt. Kom je er niet uit dan mag je het me altijd laten weten en help ik je daarbij.

Reclame oké in ruil voor gratis content

Iets meer dan de helft (51%) van de Amerikaanse smartphone- en tabletbezitters vindt reclame op hun apparaten prima mits dat inhoudt dat ze gratis toegang krijgen tot content. Dat blijkt uit het State of the Media: Consumer Usage Report van bureau Nielsen (bron).

Het kan natuurlijk zo zijn dat Amerikaanse smartphone- en tabletbezitters totaal anders zijn dan de Nederlandse gebruikers. Toch is bovenstaand bericht nogal tegenstrijdig aan het bericht dat we gisteren al lazen.

Oké, dat ging dan meer om het afstaan van gegevens, maar wat mij betreft kunnen we het één niet los zien van het ander. Willen we gratis apps dan zal dat leiden tot veel reclame in die apps en zeer waarschijnlijk worden de gegevens die gegenereerd worden ook voor andere doeleinden gebruikt. Zolang dat anoniem gebeurt en niet terug te herleiden is naar een individu valt het allemaal nog wel mee.

Natuurlijk kun je een nickname aanmaken in die apps. Maar dan nog kunnen er waardevolle gegevens verzameld worden. Zo weet men je telefoonnummer en aan de hand van je telefoonnummer kunnen ze je volgen. 24-uur per dag. Daaruit kunnen dan weer interessante gegevens gehaald worden want wanneer was jij op welke locatie, kom je vaker op die locatie en wat is er dan zoal op die locatie?

Reclame in ruil voor gratis content lijkt meer op de zogenaamde gratis economie zoals we die nu zien. Men wil niet meer betalen als het ook gratis kan. Geen probleem zolang we ons er maar van bewust zijn en zolang we maar begrijpen dat we dan de reclames om de oren krijgen.

Maar het wordt erger als verschillende gegevens van verschillende gratis apps gecombineerd gaan worden en via je telefoonnummer aan de persoon te koppelen is. Bij het aanvragen van jouw telefoonnummer heb je behoorlijk wat gegevens door moeten geven aan de provider. Wat nu als die provider via de apps ook beschikt over jouw smartphone-gedrag? Wat nu als die provider de ontwikkelaars van de apps geld geeft voor die gegevens of wat nu als die provider een flinke smak geld betaald om eigenaar te worden van die app?

Onwaarschijnlijk? Nou, waarschijnlijk niet. Het is aan de orde van de dag dat dergelijke apps en websites verkocht worden. Zonder dat we dat overigens weten. Oké, als we al het digitale nieuws goed volgen dan staat er vast wel ergens een berichtje, maar veel van ons zal dat ontgaan.

Neem nu een onafhankelijke website voor verzekeringen. Laten we die Independer noemen. Daar kun je verzekeringen vergelijken zodat je automatisch bij de voor jou beste verzekering uit komt. Laten we nu ook eens aannemen dat een verzekeraar een meerderheidsbelang neemt in die website. Laten we de verzekeraar hier voor het gemak Achmea noemen en laten we zeggen dat die 77% van het belang overneemt. Hoe onafhankelijk is Independer nu nog?

Misschien kom je inderdaad tot de conclusie dat je vanaf heden misschien beter een andere onafhankelijke site kunt raadplegen als je verzekeringen wilt vergelijken. Maar hoe vaak heb je Independer gebruikt? Welke gegevens heb je daar allemaal ingevuld? En wat hebben zij met die gegevens gedaan? Sterker nog: heb je ooit wel eens hun privacy statement gelezen en in hoeverre is dat statement gewijzigd na verkoop van hun belang?

Juist. Ik wil helemaal niet zeggen dat het zo is gegaan bij Independer en/of Achmea maar ik haal het hier gewoon als voorbeeldje aan. Er zijn er natuurlijk veel meer. Werd Hyves niet ingelijfd in de Telegraaf Media Groep? Is Marktplaats jaren geleden niet al verkocht? Nou ja, je begrijpt de strekking.

Reclame dus inderdaad best oké in ruil voor gratis content maar we moeten ons wel bewust blijven van de wijzigingen die zich in de toekomst voordoen. Kun jij er zelf echt wat aan doen? Nou, nee. Want ook de betaalde content levert deze risico’s op.

Mooi, hè? Die digitale revolutie die al jaren gaande is?

Nederlander ruilt privacy niet voor ‘koopje’

AMSTERDAM – Nederlanders zijn niet bereid privégegevens en informatie over hun surfgedrag achter te laten bij adverteerders als ze in ruil daarvoor gratis content krijgen of goedkoper uit zijn. Dit blijkt uit donderdag gepubliceerd wereldwijd onderzoek van adviesbureau KPMG onder bijna 10.000 consumenten (bron).

Als je dit zo leest dan zou je kunnen denken dat het nog niet zo slecht gesteld is met die gekke Nederlanders. Toch is dit bericht tegenstrijdig aan vele eerdere berichten waarin duidelijk werd dat mensen hun wachtwoord of pincode al weggegeven voor een reep chocola. En nee, ik heb de links naar deze andere artikelen even niet paraat, dus wil je je echt een goed beeld vormen dan zul je die er zelf even bij moeten zoeken.

Misschien zit het hem hier ook met name in de vraagstelling en de exacte weergave van de antwoorden. Het verschil dus tussen kennis, houding en gedrag. Nee, ik wil mijn gegevens niet weggeven voor korting maar doe het in de praktijk toch omdat ik toch wel erg graag die korting wil hebben. Het sociaal wenselijke antwoord komt dan dus niet overeen met het vertoonde gedrag.

Laten we het bericht nog wat verder uitpluizen:
Uit het onderzoek blijkt dat bijna twee derde van de Nederlanders zijn gegevens niet inruilt voor een goedkopere deal. Buiten Nederland is een meerderheid van de consumenten hiertoe wel bereid.
Wat is er gebeurt met “ons bin zuunig” en “kijken, kijken en niet kopen”. Volgens mij willen wij juist voor een dubbeltje op de eerste rang zitten. Ook hier kunnen we best aangeven dat we onze gegevens liever niet weggeven maar dat in de praktijk toch doen (zonder er bij na te denken zelfs).

Denk alleen maar aan de Airmiles. Miljoenen mensen die over zo’n pas beschikken. Al jaren trouwens. Daar hebben ze inderdaad ooit wat gegevens voor af moeten staan, maar welke dat exact waren zijn we allang vergeten. Nu krijgen we korting (van een paar cent) en met een beetje mazzel sparen we een nieuwe set keukenhanddoeken bij elkaar. Ja daar moeten we dan wel € 9,95 voor bijbetalen maar dat is natuurlijk logisch (oh ja, die keukenhanddoeken kosten in een andere winkel maar € 4,95 maar we hebben mooi wel 5 euro korting op de adviesprijs van € 14,95).

Ruim de helft van de Nederlanders wil ook geen advertenties op zijn mobiele apparaat ontvangen als hij in ruil daarvoor goedkopere producten of gratis content kan krijgen. Slechts 14 procent betaalt voor content op het internet.
Bovenstaande zin is op zich natuurlijk al tegenstrijdig. Nee, natuurlijk willen we geen advertenties maar 86% betaalt niet voor content op internet. Iets is maar zelden gratis, er moet op de een of andere manier toch ergens een verdienmodel achter zitten. Op internet zie je dat er veelal verdient wordt aan die reclames. De keuze is dus betalen of gratis maar dan met advertenties. De weegschaal slaat voorlopig nog door naar gratis…dan ontkomen we dus niet aan advertenties.

Bijna 90 procent geeft aan bepaalde websites niet langer te zullen bezoeken zodra die overgaan tot betaalde toegang. In dat geval zullen zij op zoek gaan naar alternatieve sites die gratis zijn.
Ook hier weer een logisch antwoord. Stel je hebt de keuze: ergens voor betalen of iets gratis krijgen…wat heeft jouw voorkeur? Natuurlijk krijgen we iets liever gratis, alleen mogen we dan natuurlijk niet dezelfde functionaliteiten verwachten als dat we er voor betalen. Alternatieve sites zullen er misschien best zijn, maar ook die moeten op de een of andere manier hun geld verdienen…dat zal dan waarschijnlijk zijn met advertentieverkopen.

Voor niets gaat de zon op. Dat is altijd al zo geweest en zal waarschijnlijk ook altijd zo blijven. We mogen het dan de gratis economie noemen maar dat betekent niets meer dan dat het voor de ontvanger gratis is en dat het verdienmodel erachter anders is dan in het verleden.

Nee, mijn beeld is in ieder geval niet gewijzigd en ik ben er van overtuigd dat mensen misschien zeggen dat ze hun gegevens niet weg willen geven maar dat in de praktijk toch gewoon doen. Zelfs als dat uiteindelijk niet echt iets oplevert…nee, het moet inspelen op het gevoel van de mens en dan worden alle gegevens gewoon weggeven.