Slimme dief of gezichtsbedrog

De nieuwe, platte TV, van LG vraagt er bijna om om gestolen te worden. Daar denkt deze dief hetzelfde over:

Of worden we voor de gek gehouden. Oké, geef het maar toe (zeker als je het filmpje helemaal hebt afgekeken en in de laatste paar seconden goed hebt opgelet). Grote kans dat jij het filmpje nogmaals bekeken hebt. En, welke conclusie trek je zelf? Een diefstal of een goede marketing actie van LG?

Eerlijk is eerlijk. De kans dat je gepakt wordt voor diefstal is een stuk kleiner als je het zo normaal mogelijk doet overkomen. Niets aan de hand en je loopt zo de winkel uit. Doe je het allemaal te opzichtig dan is de kans groot dat ze je te pakken nemen.

Maar het kan natuurlijk altijd nog een stukje extremer, kijk maar naar deze diefstal.

En nee, ik wil jullie nergens toe aanzetten want bedenk dat de kans nog altijd aanwezig is dat je er voor gepakt wordt en dan is de vraag zomaar of de buit opweegt tegen de straf, de boete of het strafblad.

Agent bespioneert dochter met spyware

Een Duitse agent heeft spyware op de computer van zijn dochter geïnstalleerd om haar surfgedrag te monitoren. Haar vriend, die uit de hackerscene komt, ontdekte de malware. Om de vader terug te pakken hackte de jongen de computer van de politieagent. Daar ontdekte hij dat de vader zijn officiële politie e-mail naar een privé e-mailadres doorstuurde. Ook wist de jongen toegang tot het politienetwerk te krijgen, waarop een belangrijke politieserver moest worden uitgeschakeld (bron).

Een typisch voorbeeldje van iemand die wel een tooltje heeft maar die geen flauw idee heeft hoe de beveiliging eigenlijk werkt. Een “fool with a tool is stille a fool”, zullen we maar zeggen. Overigens ook een gevalletje machtsmisbruik want het zou hier ook kunnen gaan op een “federaal trojaans paard”. Tools die door de overheid worden ingezet…en ja een politieagent mogen we tot de overheid rekenen, maar dat betekent nog niet dat hij zulke tools met willekeur in mag zetten.

Een beetje dom natuurlijk dat de agent vergeten was dat de vriend van zijn dochter een stuk slimmer is met computers dan hij is. Eerlijk is eerlijk, het doorsturen van vertrouwelijke mail naar een privémailadres is niet netjes en het valt nog mee dat de “hacker” hier melding van gemaakt heeft. Had hij het daarbij gelaten dan was er weinig aan de hand, maar ja, deze jongen moest zo nodig het politienetwerk platleggen.

De vraag is nu wie er harder gestraft zal worden: de agent vanwege misbruik van middelen en macht of de vriend van zijn dochter vanwege een inbraak op het politie netwerk.

In ieder geval zit er iets stevig verkeerd in de vader-dochter-schoonzoon relatie. En als je het mij vraagt mag de agent nog niet klagen want de hacker had ook hele andere files op de pc van de agent achter kunnen laten en voor je het weet staat de politie in een kwaad daglicht vanwege een onwetende agent die zo graag zijn dochter wil monitoren.

Vals gevoel van veiligheid

Er heerst een vals gevoel van veiligheid bij IT-afdelingen. Waar de cybercriminelen de afgelopen jaren sterk zijn geëvolueerd met zeer geavanceerde malware aanvallen, zijn de IT-afdelingen achtergebleven. De gevolgen hiervan kunnen desastreus zijn voor bedrijven die denken dat ze veilig zijn (bron).

Hoewel dit bericht is geplaatst op een website van onze Zuiderburen kunnen we deze constatering wat mij betreft regelrecht doortrekken naar ons Kikkerlandje. Alleen zou ik mezelf niet zijn als ik er niets op aan te vullen had.

Wat mij betreft lopen we er constant tegen aan dat er een verschil is tussen “business security”, “information security” en “IT security” (nog los van het feit dat we dat doen op basis van risico management en voor de bedrijfscontinuïteit). Voor de buitenstaander lijken deze termen wellicht hetzelfde maar er is een groot verschil. Zo zou de IT-afdeling zich vooral zorgen moeten maken om de “IT security” die een afgeleide moet zijn van “information security” dat op zijn beurt weer is afgeleid van “business security”.

Ik pleit nog steeds voor een top-down benadering waarbij de dus beginnen met de “business security”. Willen we die goed in kunnen richten dan moeten we kijken welke missie, visie en strategie onze organisatie heeft. Deze moeten als uitgangspunt genomen worden. Als het goed is hebben we voor de korte, middellange en lange termijn doelstellingen bedacht die bijdragen aan onze missie, visie en strategie, toch? Dit klinkt misschien allemaal wat abstract, maar het een kan niet zonder het ander en als we niet weten welke kant onze “reis” op gaat, waar moeten we dan heen rijden?

Weten we welke uitgangspunten we kunnen hanteren voor onze “business security” dan kunnen we vervolgens kijken welke informatievoorziening daaraan een bijdrage levert en hoe kritisch die informatievoorziening dan is. We noemen het “information security” en dat is wezenlijk anders dan “IT security”. Begrijp me goed, ik schrijf dat het anders is en niet dat het een beter of belangrijker is dan het ander. Nee, sterker nog, de verschillende security benaderingen hebben elkaar maar al te hard nodig.

Goed, laten we het hier proberen kort te houden. Weten we welke informatievoorziening voor ons van belang is, dan kunnen we kijken welke informatie technologie die informatievoorziening mogelijk maakt. Welke hardware, welke applicaties, welke besturingssystemen, welke netwerken zorgen er eigenlijk voor dat we over de informatie kunnen beschikken als we ze nodig hebben (beschikbaarheid), wie heeft er eigenlijk allemaal toegang tot die informatie (exclusiviteit) en hoe juist is die informatie eigenlijk (integriteit)?

De conclusie dat er een vals gevoel van veiligheid heerst bij de IT-afdelingen wil ik nuanceren: er heerst een vals gevoel van “IT security” op IT-afdelingen. Net zoals er, als je het mij vraagt, een vals gevoel van “business security” heerst bij het top management van veel organisaties. En dat is onbegrijpelijk als we de missie, visie, strategie en doelstellingen serieus willen nemen. Een top down benadering op basis van risico management en gericht op bedrijfscontinuïteit lijkt hier toch beter op zijn plaats. Of niet?

ICT-beslisser is weinig bezorgd om beveiliging (van privé apparaten)

Gingen we gisteren nog in op de tips om USB-sticks beter te beveiligen. Dan gaan we vandaag in op het feit dat ICT-beslissers in Nederland helemaal niet zo wakker liggen van de risico’s van privé apparaten.

ICT-beslissers in Nederland maken zich het minst zorgen om de beveiliging van privé-apparaten. In Nederland is 18 procent van hen totaal niet bezorgd over het toelaten van bedrijfsinformatie op persoonlijke apparaten van medewerkers, terwijl dit percentage wereldwijd gemiddeld 11 procent is. Dat blijkt uit onderzoek door Vanson Bourne onder 1100 ict-managers in elf landen (bron).

Het blijft opmerkelijk. Informatie is het nieuwe goud, informatie vertegenwoordigt een grote waarde voor veel organisaties. Toch maken we ons er geen zorgen om. Wat ons betreft mag iedereen die informatie lekker op een privé apparaatje zetten en er mee doen wat ze willen. Dat is natuurlijk niet zo, want als je deze ICT-beslissers letterlijk zou vragen of ze het acceptabel vinden dat vertrouwelijke informatie gestolen wordt, dan mag ik toch hopen dat het antwoord “nee” is.

Jammer genoeg weten we niet wie er naar de antwoorden gevraagd is en welke rol deze zogenaamde ICT-beslissers in de organisatie vervullen. De vraagstelling en context zijn ons evenmin duidelijk. Ik kan me zomaar voorstellen dat de ICT-beslissers (wat een raar woord overigens, maar goed we blijven hem vandaag gewoon gebruiken) wel andere zorgen aan de kop hebben.

Zeer waarschijnlijk staat er een enorme druk op hun budget, we moeten het immers allemaal met minder geld doen op dit moment. In dat geval kan ik me heel goed voorstellen dat men het toejuicht dat personeel privé apparatuur mee neemt naar het werk. Hier komt natuurlijk ook het Bring Your Own-principe om de hoek kijken.

Nederlandse ict-beslissers verwachten dat over twee jaar zes op de tien medewerkers een privé-apparaat gebruikt om te werken en dat is meer dan in andere landen. 

Het scheelt natuurlijk een flinke slok op een borrel als je als organisatie voor 4 in plaats van 10 medewerkers een werkplek aan hoeft te schaffen. Hoe groot die slok is? Nou, zo’n 60% dus alleen al aan aanschaf van hardware. Stel dat je 100 man personeel hebt lopen en de vervanging van de hardware er aan zit te komen. Een beetje werkplek kost je toch al snel zo’n € 2.500 (ja ja, ook ik vraag me af waarom die prijs zo hoog is een laptopje heb je ook al voor € 300 maar de beheerkosten zijn hierin ook verwerkt). € 2.500 x 100 = € 250.000 terwijl € 2.500 x 40 maar € 100.000 is.

In de ogen van de ICT-beslisser kan er natuurlijk nog veel meer bezuinigd worden want ook ondersteuning van de medewerkers kan flink teruggeschroefd worden. Die medewerker geven we per 5 jaar € 500 en de rest zoeken ze maar lekker zelf uit, toch?

Zolang er nog te weinig incidenten zijn of bekend worden, zal deze trend zich zeer waarschijnlijk door blijven zetten. Beveiliging kost in de ogen van de ICT-beslissers alleen maar geld en levert niets op. Het Bring Your Own-principe zorgt voor flinke besparingen en die zijn veel makkelijker aan het management uit te leggen dan de bijbehorende risico’s. Als ICT-beslisser gooi je dus hoge ogen en de Security manager lost het probleem van de beveiliging maar lekker op.

Dat de Security manager vervolgens om een flink hoger budget vraagt, komt als een complete verrassing voor dat management en dat budget zal dan ook niet toegezegd worden…ook hij moet maar eens bezuinigen, toch? Ja, integrale beveiliging, ik heb er al zoveel over geschreven, maar hiermee wordt maar weer eens duidelijk dat we aan moeten tonen dat beveiliging geen technisch maar een bedrijfskundig vraagstuk is…gericht op de continuïteit van de organisatie. Werk aan de winkel dus.

Acht tips voor het beveiligen van USB-apparaten

Een aantal jaar geleden was er veel te doen over USB-sticks en speelden veel organisaties met het idee om alle USB-poorten maar dicht te zetten. Hiermee zouden de risico’s wel voorkomen worden. Op zich niet zo gekke gedachte, gezien de tijd (maar wij hadden uiteraard al ingeschat dat deze maatregel niet ging werken). Dat was nog in de tijd dat je voor een floppy naar de afdelingssecretaresse moest lopen en meer dan 1 floppy per week mocht je niet aanvragen.

Nu, zoveel jaren later, heeft iedereen 1 of meerdere USB-sticks en op deze USB-sticks kun je meer informatie opslaan dan je vroeger op je harde schijf kon. Nu de ontwikkeling in processor snelheid een beetje stil lijkt te staan is de ontwikkeling om meer geheugen beschikbaar te stellen voor minder geld volop gaande.

Had je vroeger een USB-stick met 128mb dan was je al een hele man. Nu wordt je scheef aangekeken als jouw stick minder dan 16gb heeft. Kun je nagaan hoeveel informatie je op kunt slaan op een dergelijke schijf? Toch lijkt het dat de aandacht voor de risico’s van USB-sticks wat aan het verslappen is, blijkbaar vinden we het al zo normaal dat we over de risico’s heen kijken.

Kingston Digital Europe Ltd geeft daarom een overzicht van de beste manieren om bedrijfsinformatie op USB Flash apparaten te beveiligen en licht meteen ook toe welke risico’s verbonden zijn aan een tekort aan veiligheidsmaatregelen. Oostlander: “Informatie op USB-apparaten moet beveiligd worden en het beleid moet er voor zorgen dat bedrijfsinformatie alleen toegankelijk is voor geautoriseerde partijen. Wanneer een bedrijf hierin tekortschiet, kan dit vervelende gevolgen hebben. Denk maar aan regels die niet nageleefd worden door het eigen personeel, boetes, financiële kosten en vertrouwensverlies bij de klant.” (bron)

Nu moeten we er natuurlijk altijd voor waken dat “WC-Eend, WC-Eend niet adviseert” of “de slager zijn eigen vlees keurt”, maar tips zijn op zich natuurlijk altijd bruikbaar als we ze maar vertalen naar onze eigen praktijk. En of jij dan je USB-sticks koopt van Kingston of een andere leverancier, laat ik lekker aan jou over.

Kingstons aanbevelingen voor bedrijven om hun geheugenproducten op een veilige manier te gebruiken, zijn:

  1. Maak een gecodeerd USB-plan: beschermen en navolgen
  2. Zoek naar de meest geschikte USB Flash drive voor uw organisatie
  3. Training en educatie
  4. Ontwikkel een beleid en voer dit uit
  5. Zorg voor goedgekeurde bedrijfs-USB’s
  6. Zorg voor geautoriseerde USB’s en blokkeer andere apparaten
  7. Codeer vertrouwelijke informatie
  8. Zorg voor een gecertificeerde antivirus, altijd en overal

Voor de bijbehorende risico’s zoals die door Kingston worden omschreven verwijs ik je naar de originele tekst, die te vinden is op Managersonline.nl. En hoewel ik je geen USB-sticks ga verkopen, kan ik je natuurlijk wel helpen om invulling te geven aan deze 8 tips…maar goed dat wist je al en als je vragen hebt, weet je me te vinden.

Geweld tegen hulpverleners

Vandaag sluiten we de week van de verrassende wendingen alweer af. Maar niet nadat we natuurlijk nog een bericht met een dergelijke wending hebben aangehaald.

Met de feestdagen achter de rug hebben we vast allemaal de spotjes gezien waarin we worden aangemoedigd om maar vooral de hulpverleners niet aan te vallen tijdens hun werkzaamheden. Niet meer dan logisch, toch? Dat je een hulpverlener niet aanvalt als hij probeert hulp te verlenen? Te gek voor woorden dat hier spotjes voor uitgezonden moeten worden. Te erg voor woorden dat het geweld tegen hulpverleners de afgelopen jaren zo hard gestegen is…althans, dat is het beeld dat we inmiddels hebben.

Volgens Stichting Ideële Reclame (Sire) neemt het geweld tegen hulpverleners jaarlijks toe. Het is reden voor een grootschalige campagne, waarin Sire het beeld schetst dat de onrust in ons land over het geweld groeit en dat cijfers van de overheid schrikbarend zijn. Dit lijkt echter niet helemaal overeen te komen met het rapport van de overheid over het geweld.

In opdracht van het kabinet is er vorig jaar landelijk onderzoek gedaan naar de aard en omvang van agressie en geweld binnen de publieke sector. Uit dit onderzoek blijkt dat het percentage slachtoffers is gedaald van 66 procent in 2007 en 65 procent in 2009 naar 59 procent in 2011. Dit houdt in dat circa dertig- tot vijftigduizend minder werknemers met een publieke taak slachtoffer van agressie en geweld zijn geworden. Volgens voormalig minister Piet Hein Donner is er ‘sprake van een duidelijke positieve ontwikkeling’.

De meest voorkomende vorm van agressie en geweld is verbale agressie. Ruim de helft (57%) van alle ondervraagden is hier persoonlijk minimaal één keer het slachtoffer van geworden in de afgelopen twaalf maanden (bron)

Nu is het natuurlijk niet netjes om verbale agressie te gebruiken tegen de hulpverleners en met de cijfers uit dit onderzoek wordt ons beeld toch weer wat bijgesteld.

Maar was het gezegde niet: “schelden doet geen pijn”? Nu kun je daar natuurlijk over twisten en schelden kan waarschijnlijk best pijn doen, maar dan toch op een andere manier dan de spotjes van Sire ons willen doen geloven.

Oke, nu ons beeld iets positiever is bijgesteld, is het tijd om ook nog even in te gaan op de andere kant van het onderzoek.

Directeur ambulancezorg Martin Smeekes van Veiligheidsregio Noord-Holland Noord zegt toch dat het rapport een vertekend beeld geeft. ‘De cijfers dalen doordat ambulancemedewerkers steeds minder melden. Ik merk in de dagelijkse praktijk dat mijn medewerkers niet meer opkijken van een scheldkanonnade of wanneer ze bespuugd worden. Dat soort dingen komen gewoon niet in zo’n rapport terecht omdat het bijna gemeengoed is geworden,’ zegt hij tegen Zorgvisie.nl.

De waarheid van dit alles? Die zal, net als altijd, wel ergens in het midden liggen. Geweld tegen hulpverleners kan niet goed gepraat worden, maar enige nuances zijn misschien toch op zijn plaats.

Smartengeld na een inbraak

Het is je misschien al opgevallen. Maar deze week is het de week van de verrassende wendingen. Niets is wat het lijkt dat het is. Zo ook dit bericht niet.

Na het lezen van de titel zou je kunnen denken dat de slachtoffers van een inbraak de inbreker aansprakelijk stellen en smartengeld willen zien om hun psychische schade te verzachten. Dat lijkt inderdaad het meest logisch, maar dan zou dit bericht deze week nooit een plaatsje verdient hebben.

Een illegale Algerijn heeft voor een Belgische rechtbank smartengeld gevraagd voor een blessure die hij opliep tijdens een inbraak. Hij raakte gewond aan een been toen hij de ruit van een horecazaak instampte. De 20-jarige crimineel werd op heterdaad betrapt, omdat hij door zijn verwonding niet kon vluchten. Hij werd in een ziekenhuis geopereerd op kosten van de belastingbetaler. Hij wilde echter ook het leed vergoed zien van het ‘bedrijfsongeval’ (bron).

Gelukkig gloort er hoop aan de horizon. De rechter in Brugge wees zijn verzoek af. Hij kreeg wel 2 jaar cel voor in totaal zeven inbraken, meldden Vlaamse media woensdag.

Inbreker op heterdaad gepakt

Een inbreker uit Tiel is dinsdagnacht op heterdaad betrapt tijdens een woninginbraak in zijn woonplaats. Hij had de voordeur van een woning in de omgeving van het station geforceerd, terwijl de bewoners boven lagen te slapen. Een getuige had de inbreker even daarvoor met een zaklamp zien lopen in de tuin en waarschuwde de politie (bron).

Tot zover niets bijzonders dat ons gaat verrassen vandaag, toch? Gewoon een simpel berichtje over een inbreker. En dat is al erg genoeg. Het zal je gebeuren dat je ’s nachts lekker ligt te slapen en je beneden geluiden hoort. De angst grijpt je naar de keel en je hoopt dat je het verkeerd gehoord hebt.

Besluit je om je bed uit te gaan en naar beneden te gaan? Met alle gevaren van dien? Straks staat er beneden inderdaad een gevaarlijke inbreker die vast een kop groter is dan jij bent.

Het verrassende aan dit bericht? De betreffende inbreker blijkt een jochie van 12 jaar oud te zijn. De politie, die werd binnengelaten door de inmiddels ontwaakte bewoners, kon de jongen in de woonkamer arresteren. Als verklaring gaf de jongen dat hij wel eens wilde ervaren hoe het is om in te breken.

Oké, het is mij ook opgevallen dat je nog maar weinig jongeren lekker buiten ziet spelen, lekker voetballen of verstoppertje spelen lijkt er niet meer bij. Altijd gedacht dat het kwam omdat ze liever achter de spelcomputer of het internet zaten.

Maar niets blijkt minder waar. Overdag spelen ze niet meer buiten omdat ze dan slaap in moeten halen. ’s Nachts moeten ze immers op oorlogspad.

Ach, de beste jongen zal wel een slechte jeugd hebben gehad en zal het zo kwaad niet bedoelen. Toch? Maar hoe bedoel je: een slechte jeugd gehad…zit hij daar niet middenin? Heel benieuwd wat de toekomst voor deze jongen in petto heeft, maar veel goeds beloofd het niet te worden.

De jeugd heeft de toekomst. Nu maar hopen dat hij straks niet wil ervaren hoe het is om bijvoorbeeld iemand te vermoorden, een meisje aan te randen, een bank te overvallen of welke criminele ervaring dan ook.

Dit verwacht je ook niet

Werden we gisteren al verrast door het gewijzigde daderprofiel van een pinpasdief? Vandaag doen we er nog een schepje bovenop. Blijkbaar is het de week waarin we ons laten verrassen.

Laten we maar weer eerlijk zijn. Hoeveel mensen zouden ingrijpen als zij getuige zijn van een overval? Zeer waarschijnlijk zijn de meesten van ons dusdanig verrast dat we niet meer in staat zijn om de dader een flink pak op de broek te geven. We zullen er eerder voor kiezen om te vluchten of weg te duiken dan dat we ons mengen in de strijd.

Deze man twijfelt er geen moment over en besluit dat het tijd is om in te grijpen.

(het kan even duren voor het filmpje laadt, excuses voor het ongemak, duurt het te lang dan kun je het best even refreshen).

Daderprofiel van een pinpasdief

Geef het maar eerlijk toe. Als je denkt aan het daderprofiel van een typische pinpasdief dan heb je vast een beeld van een bepaalde etnische minderheid van een bepaalde leeftijdscategorie in je hoofd. En nee, daarmee ben je niet direct een racist, dat is nu eenmaal het beeld dat we de afgelopen jaren voorgeschoteld hebben gekregen. Nu hebben we de kans om ons beeld bij te stellen.

De politie is op zoek naar een pinpasdief die in de regio Noord-Limburg meerdere slachtoffers heeft gemaakt. De man pinde voor duizenden euro’s met de gestolen passen, onder andere in Tegelen en Boxtel (bron)

Maar niet alles is wat het lijkt en dat krijg je, als je de pensioenen gaat verminderen. Uit bittere noodzaak moeten ook anderen een manier vinden om hun AOW en pensioen op een acceptabel niveau te houden. Dat zal de komende jaren met de vergrijzing waarschijnlijk ook niet verminderen.


(het kan even duren voor het filmpje laadt, excuses voor het ongemak, duurt het te lang dan kun je het best even refreshen).