Auteur:

Nalatigheid is belangrijkste oorzaak verlies persoonsgegevens

  door

Nalatigheid en slordigheid bij medewerkers van bedrijven of partnerbedrijven zijn nog steeds de voornaamste oorzaken van het uitlekken van persoonsgegevens. In 41 procent van de onderzochte gevallen zou nalatigheid of slordigheid binnen een organisatie of bij een partnerbedrijf de oorzaak zijn geweest. Aanvallen van buitenaf door cybercriminelen zijn (met 31%) echter sterk in opkomst (bron).

Wederom een bevestiging van een feit dat binnen de beveiligingswereld al jaren bekend is. De grootste dreiging komt (nog) niet van buitenaf maar zit gewoon lekker achter zijn of haar buro en ontvangt er maandelijks nog een goed salaris voor ook. In dit geval wordt gesproken over nalatigheid en slordigheid, beide gevallen van onbewust handelen van de medewerker. Daarnaast moeten we ook zeker die medewerkers niet onderschatten die bewust informatie lekken, daar zit een veel grotere uitdaging.

Aangegeven wordt dat een van de oplossingen is om de medewerkers beter te trainen in de richtlijnen. Op zich natuurlijk een goed punt, daarmee kunnen we (als we het ook echt goed doen) nalatigheid en slordigheid deels voorkomen. Feit is wel dat we degene die het moedwillig en doelbewust doen hier niet mee tegen houden. Deze categorie is vele malen moeilijker in toom te houden. Hoe we dat dan wel kunnen doen? Ja, dat is een vraag die we zo 1, 2, 3 niet kunnen beantwoorden in concrete bewoording. We kunnen natuurlijk eens starten met een goed basis beveiligingsniveau. Veel organisaties besteden tonnen zo niet miljoenen aan beveiligingsmaatregelen zonder dat ze weten hoe goed ze nu eigenlijk beveiligd zijn. Is daar dan geen oplossing voor? Natuurlijk wel, sterker nog, ik heb hem in de vorm van een maturity scan gewoon voor je “op de plank” liggen. Een investering voor organisaties die snel is terug verdiend.

Gaan we even door op het terugverdienen van de investering dan komen de volgende onderzoeksgegevens goed van pas:
Volgens de onderzoekers kost een zaak waarbij persoonsgegevens worden buitgemaakt gemiddeld 7,2 miljoen dollar voor een Amerikaans bedrijf. Per gebruikersrecord zouden de kosten 214 dollar bedragen, tegenover 204 dollar een jaar daarvoor.

Uiteindelijk gaat het voor organisaties maar om drie hoofdpunten: omzet (verlies), kosten (verhoging) en imago (schade). Als we nu eens in die termen leren denken, dan wordt ineens duidelijk waarom we aan beveiliging zouden moeten doen en wat dat dan jaarlijks mag kosten. Ingewikkeld? Ehm, best wel, maar als we een aantal aannames doen dan kunnen we al een heel eind komen.

Geïnteresseerd? Mooi, dan hebben we er weer een volgeling bij. Laat het me weten en binnenkort leg ik het je uit tijdens een goede bak koffie.

Doorsnee website 270 dagen per jaar lek

  door

De gemiddelde website heeft 270 dagen per jaar met een ernstig beveiligingslek te maken, zo blijkt uit onderzoek onder meer dan drieduizend websites. 64% van de geteste websites had met “information leakage” te maken, net iets meer dan cross-site scripting dat voorheen altijd op de eerste plek stond (bron).

Op zich een opmerkelijk bericht, hoewel je bij statistieken natuurlijk altijd de eigenlijke bron moet onderzoeken. Nou, helaas, die bron ga ik in ieder geval niet onderzoeken en we nemen de gegevens maar even voor waar aan.

64% van de websites lekt informatie. Jammer genoeg staat er niet bij om wat voor soort informatie het gaat. Websites zijn juist bedoeld om informatie te verstrekken, maar over die informatie hebben ze het vast niet. Nee, ze zullen het meer hebben over gevoelige informatie. Wat dan gevoelige informatie is, wordt helaas niet duidelijk. Is het bijvoorbeeld mogelijk om het achterliggende besturingssysteem te zien of is het mogelijk om via de betreffende websites op de netwerken van de organisaties te komen. Nogal een verschil lijkt me.

Maar goed, laten we weer even realistisch worden. Stel nu dat we het hier inderdaad hebben over de besturingssystemen, wachtwoorden en andere gegevens van de website. Met andere woorden: de website is inderdaad uit de lucht te gooien of te compromitteren. Dan moeten we ons de vraag stellen hoe ernstig dat voor het merendeel van de bedrijven nu echt is. De website van de bakker om de hoek mag er best een aantal dagen uit liggen, niemand die daar een grote zaak van maakt. Voor bedrijven die veel online verkopen realiseren wordt dat al een heel ander verhaal.

Toch moeten we oppassen met dit soort (en andere soorten) berichten over allerlei lekken en mogelijke beveiligingsincidenten. We moeten wel de koppeling blijven leggen met de ernst van de zaak. Of in andere, meer concrete woorden, hoeveel omzet lopen we mis en hoeveel imagoschade lopen we op?

In veel gevallen zullen we dan zien dat de kosten/baten-analyse helemaal scheef is. Willen we de website inderdaad beter beveiligen dan moeten we kosten maken (want de kennis hebben we zelf vaak niet in huis). Deze kosten wegen niet op tegen het uit de lucht zijn van een website voor een dag.

Hoe leuk en leerzaam dit soort onderzoeken en berichten ook zijn: gebruik je gezond boeren verstand en wees realistisch in wat je als organisatie wilt bereiken. Wellicht (en ik weet het bijna wel zeker) heb je belangrijker zaken aan je hoofd op beveiligingsgebied.

Maar goed, wil je je website toch een beetje veilig houden? Test de website eens en kijk wat de resultaten zijn. Wijzig dan niet meer al teveel aan de structuur en zorg dat patches op tijd worden doorgevoerd. Met een goed en veilig ingericht CMS kun je de content dan gewoon aan blijven passen aan de laatste stand van zaken, zonder dat je echte risico’s loopt. En geloof me, wil een echte hacker je site doelbewust platleggen dan lukt dat toch wel, probeer eerst de scriptkiddies maar eens buiten de deur te houden.

Dertien studenten gepakt na cijferfraude

  door

In de Verenigde Staten zijn dertien studenten wegens cijferfraude gepakt, nadat één het wachtwoord voor het cijfersysteem had bemachtigd. De 19-jarige Tyler Coyner wijzigde niet alleen zijn eigen cijfers, hij verkocht de inloggegevens ook aan twaalf andere studenten die er vervolgens hun eigen cijfers mee aanpasten. Door de aanpassingen van zijn cijfers eindigde hij bovenaan zijn klasgenoten en kreeg hij een beurs voor de Universiteit van Nevada (bron).

De vraag die we ons kunnen stellen is of dit nu juist een slimme of een hele domme student is. Een goede hacker of cracker (als we het al zo mogen noemen) of een goede crimineel is het in ieder geval niet. Het kenmerk van een geslaagde aanval is dat niemand erachter komt, dat lijkt bijna gelukt als Tyler niet zo hebberig was geweest om er ook op korte termijn geld aan te verdienen. Ook is het natuurlijk niet al te slim om jezelf direct bovenaan de lijst te zetten.

Had hij zijn mond kunnen houden, dan is de kans groot dat niemand er ooit achter was gekomen. Hij een beurs voor de universiteit en dus later veel meer kans op een hoger salaris. Nee, deze jongen koos voor het korte termijn succes en heeft het account doorverkocht aan 12 andere studenten. Deze hebben er waarschijnlijk niet al te veel geld voor betaald, in ieder geval minder dan hij ooit met zijn universitaire titel had kunnen verdienen.

Dit is overigens niet de eerste keer dat we een dergelijke fraude zien (en waarschijnlijk ook niet de laatste). Opvallend is wel dat van de gevallen die bekend zijn het meestal niet is uitgekomen omdat de scholen er zelf achter kwamen. Nee, in het merendeel van de gevallen kon de student zijn mond niet houden. Net als in de grote mensen wereld, veel criminele acties slagen perfect, zonder dat er getuigen of bewijs te vinden is. Waarom zaken dan toch opgelost worden? Dat heeft te maken met de psyche van de mens die nauwelijks in staat is zijn “successen” voor zich te houden.

Chinese stad krijgt half miljoen bewakingscamera’s

  door

De machthebbers in de stadsprovincie Chongqing in het zuidwesten van China hebben plannen opgesteld om een netwerk van een half miljoen camera’s te installeren. Het installeren van de camera’s moet eind volgend jaar klaar zijn. De aanleg van het netwerk van beveiligingscamera’s zou omgerekend ongeveer 1,85 miljard euro gaan kosten (bron).

Wie zich afvraagt waarom de Chinese economie zo floreert, krijgt hiermee wellicht een deel van het antwoord. De Chinezen zijn niet bang om te investeren. Maar een half miljoen camera’s is wel wat aan de hoge kant, of niet?

Ter vergelijking:
Een stad als Amsterdam telt ‘slechts’ 217 door de gemeente beheerde camera’s om de openbare orde te bewaken. Dat komt neer op 1 camera op circa 3456 inwoners. In Chongqing, met 30 miljoen inwoners, zou deze verhouding neerkomen op 1 camera op ruwweg 60 inwoners.

De uitdaging is natuurlijk niet om al die camera’s te installeren, want dat is redelijk eenvoudig. Nee, de uitdaging zit hem juist in voldoende opslagcapaciteit en voldoende mensen om de beelden ook daadwerkelijk uit te kijken. Daarbij kun je je natuurlijk de vraag stellen hoeveel camera’s een mens goed kan bedienen. Een flinke boost voor de werkgelegenheid in Chongqing, lijkt me.

Nog even en Google Maps is zwaar achterhaalt, dat zijn slechts foto’s en momentopnames. Nee, binnenkort kijken we gewoon live mee, via de camera’s van de overheid. Kunnen we direct zien of het druk is in de stad en of we nog een parkeerplaats kunnen vinden. De volgende stap wordt het digitaal in beeld brengen van de hele wereld en dan is de virtuele vakantie ook niet al te ver meer.

Uiteraard gaat er nog wat jaren overheen, maar het is mogelijk. Een grote klap voor de luchtvaart want we gaan dan gewoon in 3D op vakantie vanaf onze bank in de woonkamer. Een utopie? Wellicht, maar wie weet welke technieken zich allemaal nog verder gaan ontwikkelen. Science fiction wordt dan de dagelijkse realiteit. Eng? Ach, misschien, maar wen er maar vast aan, want dat er zaken gaan veranderen is wel duidelijk.

Je betaalt niet meer je creditcard…als je dit hebt gelezen

  door

De creditcardgegevens van kaarthouders in Nederland liggen zo goed als op straat. Uit onderzoek van Tripwire, een wereldwijde verstrekker van IT Security en compliance oplossingen, blijkt dat slechts 8 procent van de Nederlandse organisaties die credit- en debetcards gebruiken, voldoet aan de normen op gebied van de Payment Card Industry Data Security Standard (PCI DSS). Ook is 5 procent bezig om mogelijke zwaktes te identificeren en compliant te worden.

Burgerlijke (of eigenlijk zakelijke) ongehoorzaamheid of met name onbekendheid met de eisen bij organisaties? Feit is wel dat het schrikbarende cijfers zijn en we kunnen er van op aan dat dit niet op korte termijn is opgelost. We kunnen natuurlijk de schuld gemakkelijk leggen bij de organisaties, maar misschien moeten we ook nog eens kijken naar de hulpmiddelen die we bieden, maken we het allemaal ook niet erg onwerkbaar met al onze regeltjes? De grote winst is te halen in combinatie van de verschillende regels…maar daarover later meer.

Daarnaast komt naar voren dat 36 procent zich bewust is van het feit dat ze niet compliant zijn en niet van plan is om dit te worden (bron).

Zo te lezen worden de organisaties een beetje moe van de regelgeving, de normenkaders, het compliant worden en ga zo maar even door. Het is ook niet niks, we moeten voldoen aan SOx, De Code voor Informatiebeveiliging en nu ook nog PCI DSS. Toch hoeft het allemaal geen probleem te zijn, als we maar vooraf goed nadenken over hoe we de verschillende normen kunnen combineren en hoe we de juiste maatregelen kunnen treffen.

Daarbij komt eigenlijk weer een van mijn stokpaardjes tevoorschijn: we moeten niet compliant willen zijn, nee we moeten “in control” willen zijn. Nemen we dat als uitgangspunt dan zullen we zien dat we de genoemde normenkaders goed als uitgangspunt kunnen gebruiken, er vervolgens ons eigen sausje overheen kunnen gooien en als we dan ook daadwerkelijk “in control” zijn, dan is er geen vuiltje aan de lucht, dan voldoen we namelijk direct aan deze en alle andere normen.

Gelukkig gaat het artikel ook verder in op de risico’s:
Het aantal gevallen van creditcardfraude neemt ook in Nederland steeds meer toe. Voor zowel gebruiker als organisatie zijn er aanzienlijke risico’s, zoals hoge boetes en het verliezen van de mogelijkheid om via bepaalde creditcardmerken te kunnen betalen. Maar nog belangrijker zijn de grote imagoschade, het verlies van klanten en de hoge financiële kosten die beveiligingsproblemen met zich mee kunnen brengen. Een organisatie waarvan bekend is dat zij niet zorgvuldig met de creditcardgegevens van haar cliënten omgaat, zal aanzienlijke reputatieschade oplopen waarbij het voortbestaan van de organisatie in het geding kan komen.

Voor een vrijdag natuurlijk een veel te serieus bericht, dus we stoppen er voor vandaag maar weer snel mee want de inspiratie is nu echt op. Ik denk er nog eens rustig over na en betaal de komende tijd gewoon cash.

MKB´er voelt zich niet veilig bij storten contant geld

  door

Dit lijkt weer een onderzoek in het kader van: Wij van WC-eend, adviseren WC-eend. Maar goed, we laten het niet onaangekondigd aan ons voorbij gaan.

Bijna een op de drie ondernemers voelt zich niet veilig bij het wegbrengen van contant geld naar de bank of bij de aanwezigheid van cash op de werkvloer. Dat blijkt uit het onderzoek ‘Veilig met cash’ van G4S…Slechts 4% van de MKB’ers zet waardetransport in. 76% van de MKB’ers stort nog steeds zelf het contant geld af of laat dit door een medewerker doen. Meer dan de helft van de ondernemers geeft aan dit minimaal eens per week te doen bij de bank (56%). Het gaat in dit geval voornamelijk om bedragen tot € 1000,- (48%) of bedragen tussen de € 1000,- en € 2500,- (29%). Meer dan een derde (37%) haalt nog zelf wisselgeld op bij de bank (bron).

Voer voor criminelen, want die kennen de statistieken nu ook. Maar waar aan voorbij wordt gegaan is de reden van het zelf afstorten. Het merendeel van de retailers vindt het inzetten van waardetransport een te dure oplossing voor het relatief kleine bedrag dat ze af willen storten. Daar kunnen we natuurlijk makkelijk over heen stappen, maar plaats jezelf eens in de schoenen van die retailer.

De hele week hard gewerkt voor ons geld, nu zit de kassa (of hopelijk de kluis) vol met een bedrag dat door de verzekeraar niet meer verzekerd is. We zullen het geld dus op de bank moeten storten. Het storten van dat bedrag kost de retailer al geld, moet je nagaan wat er aan winst overblijft als hij ook nog eens besluit om daarvoor een waardetransporteur in te zetten. Er blijft zo weinig van zijn zuur verdiende centjes over.

Op zich zijn er al hele goede oplossingen voor het veilig afstorten of afvoeren van geld. Denk alleen maar aan de zogenaamde “inkt-cassettes”. Bij inzet van dergelijke middelen is een dure, zwaar bepantserde waardetransport auto in principe overbodig. In principe, juist, je leest het goed. De oorsprong zit hem in de wet- en regelgeving op dit gebied.

Bij het opstellen van de (inmiddels verouderde) wet- en regelgeving is nog uitgegaan van de bepantserde waardetransport auto. De zogenaamde “end-to-end” oplossingen (die bijvoorbeeld met een inkt-cassette bereikt zou kunnen worden) zijn daarbij buiten beschouwing gelaten (omdat ze toen nog in de kinderschoenen stonden). Onduidelijk is wie nu het initiatief gaat nemen voor nieuwe wet- en regelgeving. De waardetransporteurs in ieder geval niet, die beschermen graag de markt en hun investeringen (lees: hun wagenpark). Erg? Ach, daar heb ik nu even geen mening over die ik wil ventileren…maar daarin zit hem wel een groot deel van het probleem.

We moeten dus niet verbaasd kijken naar die retailer die het inzetten van waardetransport te duur (en te lastig) vindt? Nee, dat is slechts het gevolg van een probleem met een andere oorzaak. Willen we het anders doen dan zal eerst de wet- en regelgeving op dit gebied aangepast moeten worden waarna de kosten voor de retailer naar beneden toe bijgesteld kunnen worden. Willen we de MKB-er een veiliger gevoel geven, dan zullen we met de juiste eerste stap moeten beginnen.

Dol dwaze dagen bij de Bijenkorf…maar dan anders

  door

Jullie zullen het ongetwijfeld vorige week in het nieuws hebben gezien…de Bijenkorf hield, speciaal in Rotterdam, een test met de nieuwe aanpak voor de Dol Dwaze Dagen. De test is geslaagd want er zijn veel dure sieraden over de toonbank gegaan.

Alle gekheid op een stokkie. Leuk is het natuurlijk voor de Bijenkorf niet, maar het geeft alle andere retailers wel weer een aantal “lessons learned” zullen we maar zeggen. Een van de basis ideeën bij fysieke beveiliging is dat je de waardevolle artikelen niet etaleert. Lastig natuurlijk als je een winkel bent, maar in de nachtelijke uren zeker haalbaar. De schade bedraagt nu een aantal tonnen, daar kan een simpele kluis oplossing voor bieden.

De volgende les die we kunnen leren is dat we onze risico analyse opnieuw uit moeten voeren als er zich wijzigingen in de omgeving hebben voorgedaan. In dit geval betrof het de verbouwing van het pand ernaast waardoor de derde verdieping bereikbaar werd. Raam forceren en naar binnen. Dat kan voorkomen worden door continu de risico’s te analyseren en aanvullende (tijdelijke) maatregelen te nemen als dat nodig is.

Verder horen we niemand over een alarmsysteem dat af is gegaan. Ik ga er toch vanuit dat dergelijke systemen aanwezig zijn. Het zou kunnen dat de doorloop van de derde etage naar de Diamond Corner niet onder de detectie viel waardoor de criminelen rustig hun gang konden gaan. Als dat inderdaad zo is dan zouden we nog eens goed moeten kijken naar de delen binnen het gebouw die onder de detectie vallen. Als het voor de criminelen mogelijk is om buiten het gedetecteerd gebied te blijven dan zullen ze dat zeker niet nalaten. Op die manier “koop” je immers veel tijd want er wordt pas ingegrepen nadat er gedetecteerd is.

Kortom: zonder de exacte details te kennen kunnen we een aantal geleerde lessen direct toepassen op onze eigen winkel. Wacht daar niet mee, maar doe het vandaag nog.

Daderprofiel Cybercrimineel

  door

Onterecht denken we nog te vaak dat er heel erg veel verschil zit tussen de aanpak voor informatiebeveiliging en fysieke beveiliging. Maar als je in staat bent om wat abstracter te kijken en de parellel te trekken dan zul je (net als ik) tot de conclusie komen dat beide vakgebieden nog veel van elkaar kunnen leren.

In de fysieke beveiligingswereld is het heel normaal om te werken vanuit een daderprofiel. Hoe weten we anders immers waartegen we ons moeten beveiligen en wat daarvoor de beste aanpak is? Gaat het om informatiebeveiliging dan vergeten we dat er zoiets bestaat als een daderprofiel. Maar hoe weten we dan waar de grootste dreiging vandaan komt en welke maatregelen we moeten treffen? Volstaat het om simpelweg de patches op tijd door te voeren of moeten we ingewikkelde en hoogstaande Intrusion Detection Systems inzetten (waarschijnlijk een beetje van beide).

Juist daarom is onderstaand bericht interessant om te lezen. Het kan wat mij betreft gezien worden als een eerste aanzet voor het daderprofiel voor informatiebeveiliging. Om tot echte daderprofielen te komen zullen we nog meer details moeten weten over de aanvalsmethoden en de gebruikte technieken…maar we moeten ergens beginnen.

De gemiddelde cybercrimineel in de Nederlandse politiedossiers is geen onderdeel van een georganiseerde bende whizzkids die extreem gecompliceerde dingen met een computer uithalen, aldus de maart editie van Secondant, een tijdschrift over criminaliteitspreventie. De meeste verdachten zijn mannen onder de 45 jaar, net als bij gewone criminaliteit. En net als bij gewone criminaliteit zijn er ook vrouwelijke verdachten en verdachten uit andere leeftijdscategorieën.

De motieven van daders zouden net als bij offlinedelicten vaak in de financiële of relationele sfeer liggen “Voor iemand die een ander dwars wil zitten of lichter wil maken, biedt cyberspace tegenwoordig vrij eenvoudig tal van mogelijkheden – en die worden gebruikt.” In tegenstelling tot beelden van internationaal opererende bendes en technische hoogstandjes, put de Nederlandse cybercriminelen uit een beperkt reservoir aan criminele technieken. Het kan dan gaan om het plaatsen van een advertentie op een verkoopsite of het niet leveren van goederen (bron).

Zonder de exacte details te kennen, kunnen we vooralsnog concluderen dat we echt eerst moeten zorgen voor ons basisbeveiligingsniveau. Daarmee houden we de scriptkiddies buiten de deur. Hebben we dat op orde…dan pas gaan we ons richten op de echte Whizzkids (en buitenlandse overheden, want vergeet zeker die niet).

Kortom: laten we beginnen bij het begin en onze aanpak in kleine mootjes hakken. Dat is de manier om echt een stap verder te komen. We verzanden dan niet in het grote, onoverzichtelijke geheel, maar maken ook echt progressie. Vorige week hier nog een leuk gesprek over gehad (bedankt Andre) met een marathonloper: kijk je naar de marathon als geheel dan haal je de eindstreep niet, maar als je gewoon voetje voor voetje zet kom je al een stuk verder. En dan nog heb je niet de garantie dat je het haalt…een mooie parallel met beveiliging, vind je niet?

Militaire invasie (nou ja, dan toch bijna)

  door

Ik weet het, het was een beetje flauw om vorige week de foutjes van de politie een beetje voorbij te laten komen (nogmaals sorry, hup, nu weer een ander gaan flitsen a.u.b.). Maar wees blij, want als de politie het ook allemaal niet meer weet dan hebben we altijd nog de militairen die orde op zaken stellen.

The longest day 2.0, zullen we maar zeggen.

Oke, nog eentje dan en dan is het weer genoeg

  door

Oké, van de week hebben we gezien dat bij de politie ook niet alles vlekkeloos verloopt. Ik kan er natuurlijk dagen mee vullen maar we kunnen ook gewoon de compilatie laten zien.

Sit back, relax and enjoy (daarna stoppen we weer even met het belachelijk maken van de sterke arm der wet)