Auteur:

Supermarkt IT’er steelt voor 100.000 euro aan bonuspunten

  door

Een IT’er die bij de Britse supermarktketen Sainsbury werkte is veroordeeld tot een gevangenisstraf van twintig maanden wegens het stelen van zeventien miljoen bonuspunten…Stevenson werkte al twintig jaar bij de supermarktketen en was één van de belangrijkste programmeurs op het hoofdkantoor. Vanwege zijn functie had hij ook toegang tot het loyaliteitsprogramma (bron).

Je vraagt je natuurlijk eerst af wat iemand met 17 miljoen bonuspunten moet, nou dat is niet zo ingewikkeld, die kan hij vrij simpel inleveren via internet. Helaas voor deze man is hij toch tegen de lamp gelopen.

Het toont overigens maar weer eens aan dat we met zijn allen teveel naar de buitenkant kijken. We willen een firewall, anti-virus en anti-spam en veilig zijn we, althans dat is het beeld. Nog teveel wordt onderschat dat de grootste dreiging nog steeds intern zit. Bij de medewerkers, die al allerlei rechten hebben en die gemakkelijk bij allerlei informatie kunnen. Als we dan ook nog inzoomen op een bijzondere medewerker als de programmeur dan is het hek helemaal van de dam.

Nee, natuurlijk wil ik niet zeggen dat alle programmeurs verdacht zijn, er zijn een hele hoop goede programmeurs (echt, geloof me, het merendeel). Alleen zitten er ook hier rotte appels tussen en die kunnen een enorme impact hebben op de organisatie.

Nu moeten we het natuurlijk ook weer niet overdrijven. De bonuspunten waren zo’n 100.000 euro waard, voor de persoon in kwestie veel, voor de organisatie een schijntje. Het had veel dramatischer af kunnen lopen als de programmeur het foutje in het systeem had gebruikt om alle bonuskaarten van klanten te wissen…

Zo zie je maar: kijk niet alleen naar de buitenkant, maar denk ook eens goed na over de interne risico’s.

Verborgen camera (2)

  door

Voor diegene die denken dat alleen vrouwen in Amerika met een verborgen camera gefilmd worden. Wakker worden, wij zijn niet veel beter (of slechter) dan onze overzeese vrienden.

Een aantal weken geleden stond in Assen een verliefde buurman terecht, die een verborgen camera in de slaapkamer van zijn naaste buren plaatste. Hij was van plan het echtpaar in hun intiemste kamer te filmen en dan vooral de buurvrouw, waar hij jarenlang gevoelens voor koesterde. Doordat het stel alert was, is er geen filmpje geschoten (bron).

Als je goed kijkt zie je het gaatje waarachter de camera zich bevond. Gelukkig had deze buurman nog niet van de nieuwere technieken gehoord, want het kan met een veel kleiner gaatje ook al. De kans dat het dan was opgemerkt is een stuk kleiner.

Maar goed, daar gaat het spreekwoord: liever een goede buur dan een verre vriend. Geef mij persoonlijk dan toch die verre vriend maar…tenzij die natuurlijk je webcam gehackt heeft en vanaf afstand mee zit te kijken.

Het moet toch allemaal niet veel gekker worden, wie kun je nog vertrouwen? Ik ga maar weer ophouden met dit soort persoonlijke berichten en me weer storten op de wereldproblematiek…daar word je een stuk minder paranoia van.

Verborgen camera

  door

Hebben we het van de week gehad over toch wat zware berichten uit het vakgebied. Berichten die ingaan op de schade die we jaarlijks wereldwijd lopen en de status van de beveiliging in Nederland. Laten we het dan vandaag en morgen maar weer eens hebben over berichten die niet de wereldeconomie aangaan. Nee berichten die heel persoonlijk zijn en mensen in hun privacy aantasten want ook dit zijn problemen waar we mee geconfronteerd worden.

Twee Amerikaanse vrouwen hebben een zonnebank aangeklaagd omdat ze daar stiekem werden gefilmd, waarna de naaktfoto’s op verschillende pornosites verschenen. Volgens de twee vrouwen vond het misdrijf in 2006 plaats, maar ontdekten ze dit pas in de zomer van vorig jaar. Zonder medeweten en toestemming werden de twee naar eigen zeggen door een gat in het plafond gefilmd (bron).

Nu kun je je natuurlijk afvragen hoe deze vrouwen er achter kwamen maar dat geeft het bericht niet weer. Erg genoeg natuurlijk voor deze vrouwen, maar trek de parellel nu eens door? Hoe makkelijk is het om mensen met een verborgen camera te filmen? En hoe makkelijk is het dan om bedrijfsgegevens met zo’n zelfde camera te filmen?

Iedereen heeft tegenwoordig een telefoon met camera en voor een paar tientjes koop je een verborgen camera als dat nodig is. Even aansluiten en hop, het werkt. Dat is natuurlijk het voordeel van “plug and play”.

Kennen we niet allemaal het verhaal met het schroefje in de muur dat een camera (b)leek te zijn? Hoe vaak is de directiekamer van jouw organisatie als eens gesweept? Weten we zeker dat er geen lijntjes naar buiten zijn?

We kunnen natuurlijk allerlei mooi beveiligingsbeleid maken, maar uiteindelijk gaat het er ook om dat we gewoon ons boerenverstand gebruiken en nadenken over de risico’s die we niet zien. En dat mag je in dit geval letterlijk nemen.

Maar ook voor dit soort risico’s zijn tegenmaatregelen:

Binnenkort toch maar eens kijken of we (goedkoop) aan zo’n apparaatje kunnen komen. Zodra dat lukt, hou ik jullie uiteraard op de hoogte.

Criminelen betalen 9 euro voor e-mailadres

  door

We gaan vandaag nog maar even door op het bericht dat we gisteren ook al als bron aanhaalden.

Internetcriminelen hebben veel geld over voor persoonlijke informatie zoals creditcardgegevens en toegang tot e-mailaccounts. Een e-mailadres zou al gauw 9 euro waard zijn. Informatie over een bankrekening is zelfs 7,50 tot 95 euro waard en creditcardgegevens rond de 23 euro (bron).

Rare jongens die internetcriminelen, weten ze dan echt niet dat je bij Hotmail of Gmail een gratis emailaccount aan kunt maken? Ja, natuurlijk weten ze dat. Het gaat ze dan ook niet zozeer om het emailadres maar meer om de gegevens die in de mailbox staan en de wijze waarop ze dat adres kunnen misbruiken zonder dat het herleidbaar is.

Verder zijn ze druk op zoek naar bankgegevens en creditcardgegevens. Hoe ze aan die gegevens komen? Ach, wellicht heb je eerder het bericht al eens gelezen dat de internetwinkels niet zo goed beveiligd zijn en anders zijn er ook nog allerlei “man-in-the-middle” en virus aanvallen om je gegevens te achterhalen. Lukt dat allemaal niet dan rollen ze toch gewoon even je zakken als je net hebt staan pinnen in de supermarkt?

Er zijn zelfs Chinese veilingsites die gegevens gewoon verkopen. Voor zo’n 20 euro koop je daar de gegevens van een account met zo’n 150 euro tegoed. Je kunt slechtere investeringen doen, zullen we maar zeggen. De overige gegevens zijn trouwens ook gewoon via het internet te koop. Alleen kom je dan op allerlei mystieke internetsites terecht waar je beter niet kunt komen omdat jij dan weer gehackt wordt. Nee, blijf maar gewoon eerlijk voor je geld werken, dat is wel zo veilig.

Maar dat criminaliteit loont wordt wel weer duidelijk…En ach, wat had je gedacht: de Chinezen staan bekend om hun kopieer gedrag. Kun je ze dit kwalijk nemen dan? Volgende keer als ik Bami en een Loempia ga halen toch maar even contact betalen, je weet maar nooit.

Schade internetcriminaliteit 750 miljard per jaar

  door

De totale omvang van deze illegale ondergrondse economie is volgens Europol momenteel niet te meten. Wel is volgens antivirusbouwer McAfee duidelijk dat bedrijven wereldwijd jaarlijks voor ongeveer 750 miljard dollar schade lijden door internetcriminaliteit (bron).

We mogen in Nederland blij zijn dat de Euro/Dollar-koers nog steeds in ons voordeel uitwijst. Daarmee lopen we in euro’s toch wat minder schade op, zullen we maar zeggen. Maar is het niet onvoorstelbaar dat bedrijven wereldwijd 750 miljard schade lijden door internetcriminaliteit?

Wow, een miljard heeft 9 nullen. Dus cijfermatig ziet het er als volgt uit:
750.000.000.000. Dat is de schade die we jaarlijks minimaal lopen. Ehm, tijd dat mijn aandeel voor advies stijgt naar 1% van dit schadebedrag.

En dan te bedenken dat volgens Europol de ondergrondse illegale economie niet te meten is? Tel daarbij het bericht van gisteren op dat het met de informatiebeveiliging in Nederland nog niet goed gesteld is en we hebben een business case. Althans, dat zou je zeggen, helaas wijst de praktijk toch anders uit en wordt er (te) weinig gedaan om de informatiebeveiliging in Nederland naar een hoger plan te tillen.

Het sterkt mij uiteraard in de gedachte dat er nog heel veel werk te doen is op informatiebeveiligingsgebied…nu nog het inzicht bij de organisaties voor elkaar weten te krijgen en we kunnen binnenkort het werk allemaal niet meer aan.

Storingen groter gevaar in NL dan cyberaanvallen

  door

Storingen vormen bij Nederlandse bedrijven een veel groter gevaar dan cyberaanvallen, zo stelt het Centraal Bureau voor de Statistiek (CBS). Er werd gekeken naar beveiligingsincidenten bij zowel Nederlandse als andere Europese landen. Storingen, oftewel de uitval van ICT-diensten of vernietiging / verminking van gegevens door storingen in hardware of software komt in Nederland bij 19% van de bedrijven voor. Aanvallen van buitenaf (7%), infecties (7%) en datalekkage door Inbraak, pharming of phishing (4%) vormden een veel kleiner deel van de incidenten (bron).

Als het Centraal Bureau van de Statistiek het onderzocht heeft dan zal er toch zeker een kern van waarheid in de gegevens zitten. Goed om te weten natuurlijk, zo kunnen we met feiten naar buiten treden.

Het geeft maar weer eens aan dat we informatiebeveiliging moeten relativeren en wel op die manier dat de grootste dreiging helemaal niet van buitenaf komt. Natuurlijk moeten we aan “grensbewaking” doen en blijven doen (en daar kan ook nog heel wat in verbeterd worden). Maar het wordt belangrijker om ook eens naar de interne organisatie te kijken.

Helaas wordt in het bericht niet aangegeven waardoor die interne storingen veroorzaakt worden. Dat kan natuurlijk technisch falen van de systemen zijn, foutieve instellingen, fouten van medewerkers en ga zo maar door. Maar wat te denken van de bewuste activiteiten van medewerkers? Nog te vaak worden allerlei technische beveiligingsmaatregelen ingezet terwijl met organisatorische en procedurele maatregelen veelal meer effect te bereiken is tegen lagere kosten.

Een overig opmerkelijk feit:
Ook vergeleken met de ons omringende landen is het aandeel bedrijven met ICT-beveiligingsincidenten hoog. In Duitsland was het 22 procent, in België 24 procent en in het Verenigd Koninkrijk slechts 10 procent…Nederland behoort met Denemarken en Noorwegen tot de landen met de meeste ICT-beveiligingsincidenten.

Kortom: werk aan de winkel voor de Nederlandse organisaties. En het wordt misschien wat vervelend maar dat begint toch echt bij het bewustzijn van het management.

Security awareness is als een aap leren fietsen

  door

Deze week heb ik me weer verbaasd over de mate waarin beveiliging en risico’s worden onderschat. Niet dat dat nu zo nieuw is, want ik verbaas me keer op keer en probeer dan ook continu het bewustzijn te verhogen.

Een poos geleden heb ik daarom al eens een presentatie op mijn LinkedIn-profiel gezet maar voor zover ik me kan herinneren is hij hier nog niet geplaatst. Als afsluiter voor deze week: security awareness is als een aap leren fietsen.

Security awareness is als een aap leren fietsen

Het verhogen van het bewustzijn is geen makkelijke opgave, dat hoor je mij niet beweren. Maar toch moeten we er meer en meer aandacht aan besteden. Dat is de enige manier om het bewustzijn en daarmee de beveiliging te verhogen.

Oh ja en voor diegene die het gemist hebben: een bewustzijnscampagne is meer dan een poster aan de muur.

Beveiliging mobiele apparaten wordt vaak onderschat

  door

We hadden het er al eerder over deze week, maar goed de kracht zit hem in de herhaling zullen we maar zeggen.

De beveiliging van mobiele apparaten wordt vaak onderschat. Onderzoek van Juniper Networks toont dit aan. Zeker 75% van de mensen zou hun mobiele apparaat gebruiken om gevoelige persoonlijke of bedrijfsinformatie te benaderen of zelfs te delen. Nog eens 81% benadert het bedrijfsnetwerk zonder toestemming van het bedrijf (bron).

Ik heb er al zoveel en zo vaak over geschreven dat ik bijna niet meer weet wat ik er nog aan toe kan voegen. Dus zullen we onszelf maar weer eens herhalen maar dan in andere bewoording.

We moeten steeds blijven kijken naar oorzaak en gevolg. Theoretisch heel simpel, toch? In de praktijk een stuk lastiger. Dat de beveiliging (en zeker niet alleen die van mobiele apparatuur) onderschat wordt is een gevolg. Het is niet, ik herhaal, niet de oorzaak. De oorzaak moet gezocht worden in bewustzijn, ik herhaal, bewustzijn.

Het management blijft beveiliging lastig vinden. Dat komt omdat we met zijn allen blijven denken in allerlei exotische beveiligingsmaatregelen. Deze maatregelen kosten bergen met geld, maken het werken lastig en er gebeurt toch nooit wat? Op zich allemaal (deels) waar, zeker als we uit blijven gaan van die maatregelen.

Willen we het management overtuigen dan moeten we echt meer en meer gaan denken en communiceren in operationele en bedrijfsrisico’s. Uiteindelijk is en blijft de beveiliging ondersteunend aan de primaire processen van de organisatie. Daar verdienen we ons geld mee en de operationele risico’s die dat geld verdienen kunnen beïnvloeden moeten we op een efficiënte wijze zien te beheersen.

Het management moet wegblijven van en niet lastig gevallen worden met die beveiligingsmaatregelen. Nee ze moeten overtuigd worden van het feit dat wij de operationele onacceptabele risico’s beheersen. En dat is makkelijker gezegd dan gedaan, dat weet ik ook wel. Toch moeten we er, in het kader van de bezuinigingen, niet mee wachten want dan staan we straks 1-0 achter.

Het advies? Start vandaag nog met het denken in operationele risico’s en maak daarbij steeds de vertaalslag naar de bedrijfsrisico’s.

Kritische infrastructuur is slecht beveiligd

  door

Het is droevig gesteld met de beveiliging van kritische industriële infrastructuur. Zo worden veel belangrijke industriële processen niet beveiligd door gespecialiseerde hard- en software, maar bewaakt door huis-tuin-en-keukencomputers. En dat maakt ze kwetsbaar…Bij kritische infrastructuur moet men denken aan automatisering die gebruikt wordt voor de besturing van belangrijke processen. Dit kan variëren van de besturing van bruggen en sluizen tot de veiligheidssystemen die waken over een veilig en beheersbaar proces in een kerncentrale (bron).

De kritische infra, zeg maar de spil waarop het land draait, is dus net zo slecht beveiligd als alle andere organisaties en processen. Merkwaardig? Ach, het verbaast me niet. Gevaarlijk? Ja, dat zeker wel.

We onderschatten dit probleem. Zelfs als er ergens een “klein berichtje” over wordt geplaatst is er niemand die aan de bel trekt. Hallo, beste mensen van de Tweede Kamer…wordt het geen tijd dat hier eens stevige kamervragen over worden gesteld?

We hebben het hier over de kritische infrastructuur. In het voorbeeld wordt luchtig beschreven dat dit bijvoorbeeld een kerncentrale kan betreffen en daarmee lijkt de kous af. Maar wat te denken van de drinkwatervoorziening? Het Openbaar Vervoer? Gasinstallaties? De media? En zo kunnen we nog wel even doorgaan.

We staren ons voorlopig blind op terroristische aanslagen (en daar moeten we zeker voor waken) maar vlak ook alsjeblieft de digitale oorlogsvoering niet uit. Nederland kan met een aantal drukken op de knop worden platgelegd en geloof me er zijn landen die dat al lang kunnen.

Vroeger gingen we nog op de barricades tegen de kernwapens, want die konden wel zoveel schade aanrichten. Wordt het nu dan niet eens tijd dat we de politiek duidelijk maken dat een slechte beveiliging van de kritische infrastructuur onacceptabel is?

2011. Ja het kan een mooi jaar worden…maar er kan ook verschrikkelijk veel verkeerd gaan.

E-mails verdwenen uit Hotmail

  door

Duizenden Hotmail-gebruikers wereldwijd doen sinds 1 januari hun beklag over het feit dat tientallen e-mails en mappen verdwenen zijn (bron).

Natuurlijk beschikken veel mensen over een Hotmail en/of Gmail-account. Al is het alleen maar om dit adres achter te kunnen laten op internetsites waar je je moet registreren. Alle SPAM wordt zo netjes naar je Hotmail-account gestuurd. Nu die SPAM verdwenen is gaan er allerlei mensen klagen. Raar want voor zover ik weet geeft Hotmail (en Gmail ook niet trouwens) geen enkele garantie over hun diensten. Je mag ze gratis gebruiken, maar wat kun je daarvoor verwachten?

Overigens moet je niet veronderstellen dat er op je andere mailboxen (ja die van je internetprovider) wel garanties worden gegeven. Een goede les dus voor iedereen die mail ontvangt en dat toch graag wil bewaren: kijk eens welke garanties je hebt gekregen? Waarschijnlijk niet al te veel. Dan is het toch beter om een kopietje van je mail lokaal te bewaren…maar ja dan loop je weer het risico dat je harde schijf crashed. Toch maar een backupje maken zou ik zeggen.

Ach, aan de andere kant. Er worden ook wel erg veel emails bewaard die niemand ooit meer gebruikt (geloof me ik ken het probleem). De post in je brievenbus bewaar je ook niet zo lang, toch?