Auteur:

Detailhandel verliest terrein aan internet

  door

In hoeverre het nu echt nieuws is en of het niet een onderzoek is naar de bekende weg is laat ik hier even in het midden. Het is wel belangrijk genoeg om duidelijk te maken aan ondernemers omdat de continuïteit van hun organisatie anders echt in gevaar komt.

Het aantal zelfstandige ondernemers in de woon- en modebranche zal de komende tien jaar fors dalen. Consumenten kopen producten steeds vaker via internet. Een grote groep ondernemers beseft dit onvoldoende en verliest het contact met de klant (bron).

Vorige week hadden we het al over het faillissement van de videotheken, helaas hebben zij te lang gewacht om met de nieuwe economie mee te kunnen doen. Dit gevaar ligt echter ook op de loer voor vele zelfstandige ondernemers in het MKB en dan echt niet alleen in de woon- en modebranche.

Deze trend zien we natuurlijk al langer aan komen, maar er zijn nog teveel ondernemers in het MKB die: of hun kop in het zand steken, of met de handen in het haar zitten omdat ze echt niet weten wat ze moeten doen om over een aantal jaar nog te bestaan.

Juist, dit is niet zozeer een beveiligingsrisico (hoewel je daar bij nieuwe ontwikkelingen dan weer wel rekening mee moet houden), nee dit is een direct continuïteitsrisico en dat is misschien nog wel vele malen erger.

Toevallig help ik in mijn beperkte vrije tijd ook wat MKB-ers om ideeën op te doen voor de nieuwe economie. Waarom? Omdat ik daar rijk van wordt? Nee want het is allemaal liefdewerk oud papier. Nee ik doe dat om deze MKB-ers te helpen en mezelf te dwingen om me in deze nieuwe ontwikkelingen te blijven verdiepen.

Ik geef het je te doen om als kleine zelfstandige het op te nemen tegen de grote jongens. Jij hebt al genoeg sores met je winkel. Toch is het verstandig om niet al te lang te wachten met nieuwe ontwikkelingen, voor je het weet ben jij de volgende videotheek en moet je je faillissement aanvragen.

Er zal een hoop gebeuren de komende jaren, daar heb je geen onderzoek voor nodig. De vraag is hoe de kleine zelfstandigen daar mee omgaan. Ik denk dat ze hun krachten moeten bundelen en gezamenlijk naar een oplossing moeten zoeken. Jij met je ene winkeltje op de hoek (niet denigrerend bedoeld overigens want ik heb juist groot respect voor alle MKB-ers, ga er maar aan staan) gaat het anders niet redden.

Het is dat ik te weinig tijd en technische kennis heb, maar welke partij staat op om al die kleine zelfstandigen een platform te bieden om hun eigen internet winkel te beginnen? Een virtueel winkelcentrum, zal het er ooit van komen?

Gebruik geen persoonlijke gegevens in SSID

  door

Oké, eerst maar even verduidelijken voor de mensen die niet weten wat een SSID is: heel simpel is dat de naam die je geeft aan je draadloze internetverbinding. Je kunt de standaard naam van je leverancier kiezen (zoals je vaak ziet) maar dat is niet zo verstandig omdat hiermee voor de buiten wereld direct duidelijk is welk systeem je gebruikt en van dat systeem zijn de gaten eenvoudig op internet te vinden.

Toch is er meer te schrijven over het simpele feit van de naam van je draadloze verbinding:
Naast WPA2 moeten gebruikers van een draadloos netwerk geen persoonlijke gegevens in het SSID zetten en het bereik van het WiFi-signaal beperken. “Maak het voor hackers niet interessanter dan het al is om je netwerk binnen te dringen door een SSID te kiezen waarin je naam of adres voorkomt of een frase als “PietersWinkel”. Daarmee breng je nieuwsgierige buren of mensen met een verkeerd soort interesse in je bedrijf alleen maar op ideeën”, zegt Gert Hansen van Astaro. “Gebruik dus geen namen waaraan te zien is wie het netwerk gebruikt of dat het hoort bij de winkel om de hoek. Kies een neutrale betiteling die niets zegt over jezelf of over je locatie.” (bron)

Naast het versleutelen van je verbinding (WPA2), dat overigens helemaal niet zo ingewikkeld is als het klinkt. Het is namelijk gewoon een standaard optie in het merendeel van de verbindingen. Kun je die optie niet vinden dan wordt het wellicht tijd om toch maar een keer een nieuwe modem of router aan te schaffen.

Vergeet ook niet om de standaard inlognaam en het wachtwoord te wijzigen, anders heeft versleuteling of een ingewikkelde naam voor je verbinding ook geen zin.

Ik zou natuurlijk een onderzoek kunnen doen naar de namen in de omgeving en met laptop en al in de auto kunnen kruipen (war driving genaamd) maar dat zie ik mezelf niet doen. Nee, ik kijk gewoon even simpel welke namen ik hier kan vinden en in hoeverre ik weet bij wie ze horen. Dit zijn de resultaten:

  • UPC011495 met een WPA2 verbinding
  • Lotje met een beveiligde (WEP) verbinding
  • Eijsink/82768 met een beveiligde (WEP) verbinding
  • SpeedTouch3F0064 met een WPA2 verbinding
  • HildeWifi met een onbeveiligde verbinding
  • SpeedTouch859E8A me een WPA2 verbinding
  • En mijn eigen verbinding natuurlijk…maar die gaan we niet behandelen.

Slechts één onbeveiligde verbinding, dat is een hele vooruitgang sinds een paar jaar geleden. Ik weet natuurlijk niet of dit representatief is voor Nederland. Verder nog 2 WEP verbindingen, die inmiddels makkelijk te kraken zijn. En nog 3 WPA2 verbindingen.

Die onbeveiligde verbinding heeft een naam die te herleiden is naar de eigenaar (dag buurvrouw…wat heeft u mooie natuurfoto’s op uw computer staan). En drie waarvan we kunnen achterhalen welke router gebruikt wordt en welke gaten daar mogelijk in zitten (1x UPC en 2x SpeedTouch).

Ik ben benieuwd, kunnen jullie ook eens kijken welke verbindingen er in je omgeving zijn en aangeven of de score bij jullie net zo rampzalig is?

Al met al toch niet echt een mooie score, overal mankeert wel wat aan. De één heeft geen of een slechte beveiliging, die met een betere beveiliging maken duidelijk welke router gebruikt wordt. Ach, gelukkig is er nog één verbinding die wel aan de simpelste beveiligingseisen voldoet…en dat is mijn verbinding.

Het stereotype hacker

  door

Zodra de term hacker valt, denkt het merendeel van de mensen aan een puisterig jong ergens achter in zijn tienerjaren. Vooral in hokjes blijven denken zou ik zeggen, dan kun je tenminste de andere mensen op deze wereld gewoon blijven vertrouwen.

We kunnen hier ook de parallel trekken naar de analoge wereld. Een crimineel, een overvaller, een inbreker, we kunnen wel denken in stereotypen maar je kunt ze aan de blauwe (of bruine) ogen echt niet zomaar herkennen.

Hoewel het natuurlijk geen super technische hack is (de meeste hackers zullen hierom lachen en zullen vinden dat het een schande is voor hun kennis en hun naam), maar goed. Ook dit kunnen we als hack zien, blijkbaar:
In Amerika is een 19-jarige vrouw aangeklaagd wegens het hacken van een e-mailaccount en het stelen van naaktfoto’s. Leah Ayers zou hebben ingebroken op het account van Playboy playmate Brittany Binger en daar naaktfoto’s van haar vriend Grady Sizemore hebben gestolen. Sizemore is een Major League Baseball-ster die voor de Cleveland Indians speelt. Hij had met een mobiele telefoon foto’s van zichzelf gemaakt en naar Binger gemaild. Ayers zou de vijftien gestolen foto’s vervolgens via het internet hebben verspreid (bron).

Is dit het beeld dat u heeft van de typische hacker? Ik niet in ieder geval.

Website voor veilig internetten gehackt

  door

Een website van de Bahreinse telecomwaakhond die veilig internetten moet bevorderen, was gisteren het doelwit van hackers. Aanvallers wisten toegang tot de website safesurf.bh te krijgen en defaceden de pagina, waarop alleen een zwarte achtergrond met een doodshoofd en de tekst “[+] P4TI_hackers was were [+]. Indonesian hacker team” te zien was. Na een aantal uur was het probleem opgelost (bron).

Ai, dat is natuurlijk pijnlijk. Probeer je mensen er juist op te wijzen hoe ze veilig kunnen internetten, wordt je zelf het slachtoffer. Hoge bomen vangen veel wind zullen we maar zeggen. En natuurlijk kunnen we zeggen dat ze de beveiliging dan maar beter op orde hadden moeten hebben, maar is dat wel terecht?

Kan niet iedere website uiteindelijk platgelegd worden? Ik denk het wel. Helaas is het zo dat het voor dit soort sites dan nieuws wordt maar dat wil natuurlijk niet zeggen dat we geen initiatieven moeten nemen om mensen te wijzen op veilig internet. En laten we eerlijk zijn, is het nu echt zo erg als een dergelijke website een paar uur uit de lucht is?

Vergelijk het met de best bewaakte locatie, hoewel mensen daar niet binnen kunnen komen, kunnen we wel de bedrijfsvoering ontregelen. Ze kunnen de muren bekladden en blokkades opwerpen om te voorkomen dat mensen het gebouw kunnen betreden. Ja, dan kun je je beveiliging nog zo goed op orde hebben, maar echt tegenhouden kun je dit soort zaken niet.

Kortom: een beetje lullig is het wel, maar ik vind dat we er nu ook weer niet te zwaar aan moeten tillen. Opnieuw in de lucht brengen en weer vrolijk doordraaien…zal ongetwijfeld nog een keer gebeuren en dat moeten we dan maar accepteren.

100 naaktbeelden bodyscanner gelekt

  door

Het is alweer een poosje geleden dat we het hier over de bodyscanner hadden. Inmiddels heb ik er tijdens één van mijn bezoekjes aan Schiphol ook gebruik van gemaakt (of was het moeten maken?). En eerlijk gezegd viel het me reuze mee. De beelden die je ziet (want als je er eenmaal doorheen bent kun je nog even kijken naar degene die na je komt) verhullen alles en dat is maar goed ook. Toch weten we niet welke beelden er op een andere locatie uitgekeken worden en wat die beelden wel of niet laten zien. Misschien moeten we er niet teveel bij stil staan en het maar gewoon over ons heen laten komen: veel keus hebben we toch niet.

Maar ja, het was natuurlijk te verwachten…beelden die uitlekken op het internet:
In augustus werd bekend dat de Amerikaanse overheid 35.000 bodyscanner afbeeldingen had opgeslagen, waarvan een deel nu is geopenbaard. In eerste instantie liet het Ministerie van Homeland Security weten dat het geen afbeeldingen opsloeg. Het Electronic Privacy Information Center (EPIC) spande een rechtszaak tegen de United States Marshals Service aan en ontving honderd afbeeldingen…Weblog Gizmodo diende een WOB-verzoek in en ontving ook honderd afbeeldingen. Daarop zijn wel de identificerende eigenschappen verwijderd. Daarnaast was de bodyscanner op de “minst gênante” instelling ingesteld (bron).

Gelukkig slaan we hier, net als in Amerika, geen beelden op…ja, ja, geloof jij het? Als er geen beelden worden opgeslagen, hoe kunnen ze dan uitlekken? Juist. Dan komt het er dus op neer hoeveel vertrouwen we kunnen hebben in degene die de beelden maakt en opslaat. Eerlijk gezegd heb ik daar weinig vertrouwen in. Weten we inmiddels niet allemaal hoe het gesteld is met de beveiliging van DigiD, de OV-chip en het Elektronisch Patiënten Dossier (EPD)?

Ik ben benieuwd hoe lang het zal duren voordat we onszelf op internet tegen komen in een houding waarbij we de armen boven ons hoofd hebben en de benen gespreid. Privacy en veiligheid, het zal wel altijd een spanningsveld blijven.

Eigenaar videotheken failliet

  door

Hoewel we bij continuïteit vaak denken aan allerlei beveiligingsrisico’s die ons voortbestaan kunnen bedreigen zijn er daarnaast natuurlijk nog vele andere zaken die kunnen zorgen voor risico’s. Zo zul je een goede prijs/kwaliteitsverhouding moeten hebben, zul je aan marketing moeten doen, moet je voldoende personeel hebben en moet je natuurlijk voldoende klanten behouden. De nieuwe economie, beïnvloed door het internet, moet hierbij zeker niet uit het oog worden verloren.

Zo zag ik dit bericht op Nu.nl staan:
De Entertainment Retail Group (ERG), het bedrijf achter bekende videotheken als Movie Max en Videoland, is failliet. Het bedrijf hoopt in afgeslankte vorm een doorstart te kunnen maken, aldus directeur Ruud Bakker donderdag (bron).

Hier zie je typisch zo’n markt die sterk beïnvloed is door het internet en haar mogelijkheden. Laten we eerlijk zijn, wanneer ben jij voor het laatst naar de videotheek gelopen om een VHS-je te huren? Voor mij is dit al jaren geleden in ieder geval.

Nu kun je als organisatie je beveiliging op orde hebben en toch je continuïteit in gevaar zien komen. Dit toont de rol van beveiliging maar weer eens aan, het is ondersteunend aan je totale bedrijfsvoering. Zit je bedrijfsvoering niet goed in elkaar dan heeft het ook niet zoveel zin om je volledige aandacht te richten op je beveiliging. We zullen dit de komende tijd meer zien, hoewel beveiliging belangrijk wordt gevonden door het management hebben ze wel andere zaken aan hun hoofd: overleven.

Toch moet beveiliging niet uit het oog worden verloren. Nee, juist in economisch zware tijden moet je juist goed naar je beveiliging kijken. Waar kan ik verbeteringen aanbrengen die minder kosten dan de huidige situatie? Welke beveiligingsmaatregelen neem ik al jaren maar leveren eigenlijk alleen maar schijnveiligheid? Ik ben er van overtuigd dat je met een goede aanpak van beveiliging zomaar 10% tot 20% er op kunt besparen. Uiteraard gaan de kosten voor de baten uit, je zult dus eerst moeten investeren in het inzichtelijk krijgen van je beveiliging en met name in de kosten daarvan, maar daarna kun je redelijk eenvoudig flinke sommen geld besparen zonder dat je een toename in risico’s ziet.

Een flinke uitdaging voor veel organisaties omdat de kosten voor beveiliging veelal niet gespecificeerd zijn. Dat zal dus je eerste stap worden: specificeer de kosten van je beveiligingsmaatregelen. De volgende stap is de getroffen maatregelen nog eens goed tegen het licht houden en kijken waar besparingen mogelijk zijn.

Om terug te komen op en af te sluiten met het bericht waar we mee begonnen: we kunnen het internet natuurlijk als bedreiging zien en ons rustig naar het slachtbankje laten leiden, maar we kunnen er ook voor zorgen dat we het internet begrijpen en inbedden in onze bedrijfsvoering. Hadden de videotheken dat gedaan dan waren ze misschien met nieuwe diensten of andere afzetkanalen gekomen waardoor ze nu niet failliet waren gegaan. Veel organisaties zullen last krijgen van het internet als ze het als bedreiging blijven zien en als het ze niet lukt om goed in te bedden. We zullen dan ook nog behoorlijk wat faillissementen voorbij zien komen.

Willen we de continuïteit borgen dan moeten we dus niet alleen kijken naar onze beveiligingsrisico’s, nee we moeten juist kijken naar de mogelijkheden die de nieuwe economie ons biedt. En dat is makkelijker gezegd dan gedaan.

En een gratis advies voor de heer Bakker: een doorstart heeft alleen maar zin als je ook echt iets anders gaat doen. Het heeft geen zin om de videotheken in ongewijzigde vorm te laten doorstarten…dan steven je af op een nieuw faillissement in de nabije toekomst. Ik wil best met je meedenken…maar ja dan gaan de kosten voor de baten uit: it’s your choice.

Rolstoelheld pakt winkeldief

  door

Larry Skopnik, die tien jaar geleden zijn rug brak bij een ongeluk, schoot een vrouwelijke winkelbediende ter hulp toen deze bedreigd werd door een winkeldief. Hij verrichtte de heldendaad in de Food Store in Vancouver. Toen Skopnik zag dat de cassière een verdacht briefje van 50 dollar weigerde en de vrouw daarop werd belaagd, trok hij de dief op de grond en hield hem in een houdgreep (bron).

Ik hoef er verder niets over te schrijven, gewoon kijken.

Cameratoezicht in het centrum van Vlaardingen

  door

Je zult misschien denken, dit heeft toch geen nieuwswaarde. Maar toch ben ik het daar niet mee eens, natuurlijk is dit een lokale oplossing die al op vele plaatsen wordt toegepast. Maar voor mij, juist voor mij, heeft dit wel degelijk nieuwswaarde.

Oh ja, en voor degene die dat niet weten…Vlaardingen is de plaats waar mijn huis woont (of is deze uitspraak ook al niet modern genoeg meer?).

De gemeente Vlaardingen gaat camera’s plaatsen in het uitgaansgebied van de stad om een veilig uitgaansklimaat te bevorderen. De camera’s worden voor een periode van acht jaar geplaatst met een evaluatie na één jaar…De gemeente had al maatregelen genomen om een veilig uitgaansklimaat te garanderen zoals de invoering van het convenant veilig uitgaan als het opleggen van gebiedsverboden. Ondanks de inzet van deze maatregelen blijft het aantal incidenten in het uitgaansgebied hoog met name voor de delicten bedreiging, mishandeling, ruzie en zakkenrollerij (bron).

Ik ben benieuwd en ga binnenkort maar weer eens een rondje stad lopen om de voortgang in de gaten te houden. Binnenkort kunnen jullie me dus wellicht live op de webcam van de gemeente zien. Als ze hem overdag tenminste ook aanzetten want ’s nachts ben ik niet zo vaak in de stad te vinden.

Het zal een stuk veiliger worden in het pittoreske Vlaardingen, als ik dit bericht mag geloven, nog veiliger (want was het zo onveilig dan? volgens mij viel het wel mee). Iedereen kan weer met een gerust hart hierheen komen, hier zal je niks gebeuren. De vraag is natuurlijk wat je hier als buitenstaander moet doen, maar dat moet je zelf dan maar ontdekken. Ik ben immers het VVV niet (die kun je bereiken via: 010-434 66 66)

Wordt vast vervolgd en laat even weten als je onze stad bezocht hebt.

Politie zet YouTube in voor opsporen criminelen

  door

De politie in Brabant gaat beginnen met een proef om filmpjes van overvallen en andere misdrijven op YouTube te zetten. Ook Google Maps wordt ingezet met een kaart van de meest recente overvallen (bron).

Een goede ontwikkeling als je het mij vraagt. De politie die mee gaat met zijn tijd en nieuwe media inzet om criminelen op te kunnen pakken. “Opsporing verzocht” is er maar één keer per week en hoewel dat veel resultaten op kan leveren loopt dat toch altijd een beetje achter de feiten aan. En nee, geen kwaad woord over Anniko van Santen en Sipke Jan Bousema, want ze doen het wat mij betreft prima. Nee, het ligt gewoon aan het inflexibele karakter van uitzendingen via de TV.

Nu kan iedereen via YouTube de films bekijken en hopelijk snel een bijdrage leveren. Uiteraard moet de politie dit nog even combineren met andere nieuwe media als Hyves, Twitter, etc., maar dat gaat ongetwijfeld gedaan worden.

De proef beperkt zich voorlopig tot Midden- en West-Brabant. Bij succesvolle resultaten zal het experiment snel landelijke navolging krijgen.

Hopelijk wordt deze proef een succes zodat de andere korpsen snel aan kunnen sluiten en Nederland weer een stukje veiliger wordt.

Veel Nederlandse websites onvoldoende beveiligd

  door

Veel Nederlandse websites die gebruik maken van het HTTPS-protocol, zoals DigiD, websites van banken, overheidsinstellingen en webwinkels, hanteren verkeerde instellingen en zijn daarom niet voldoende beveiligd…De beveiligingsexpert (Teus Hagen) verbaast zich over de gebrekkige SSL- en TLS-beveiliging van bijvoorbeeld de websites van banken. “Het is vreemd om te zien dat Facebook, Twitter en LinkedIn beter beveiligd zijn dan alle Nederlandse banken” (bron).

Je kunt je afvragen hoe het gesteld is met de beveiliging van websites van minder grote organisaties. Waarschijnlijk net zo erg of misschien nog wel erger. Als de grote jongens het al niet voor elkaar krijgen dan de kleintjes toch zeker niet? Een ideale wereld voor de criminelen, toch? Even wat gegevens achterhalen en we kunnen vrijelijk van alles doen en kopen op andermans naam.

We horen relatief weinig over fraudes die op deze manier gepleegd worden. De schade zal aanzienlijk zijn, maar niemand wil daarmee te koop lopen.

Het lijkt misschien gek, maar je kunt fraude voor een deel ook gewoon als geaccepteerd risico zien. Kijk maar wat er gebeurt met creditcard fraude. De schade daarvan is relatief zo klein (ik geloof nog geen 1%) dat het nemen van echt goede maatregelen daar niet tegenop weegt. De absolute getallen mogen dan hoog zijn en het is enorm lullig als het jou als individu treft, maar voor de organisatie is het gewoon een business beslissing.

Toch kun je je afvragen of een goed beveiligde verbinding nu zo enorm prijzig is. Dat denk ik dan weer niet, zeker niet voor de grote organisaties. Aan de kosten kan het volgens mij niet liggen. Waar ligt het dan wel aan? Aan de kennis van de interne beveiligingsmedewerkers? Nou vast niet, deze organisaties hebben genoeg knappe koppen in dienst om een dergelijk probleem aan te kunnen pakken. Nee, ik persoonlijk denk dat het ligt aan het bewustzijn binnen de organisatie.

Met name het bewustzijn bij het top management moeten we de komende jaren maar eens op gaan pakken. En nee, ik geef zeker het top management niet de schuld. Uiteindelijk ligt het toch bij ons als beveiligingsexperts. Wij zijn onvoldoende in staat om het management de goede dingen te vertellen.

We denken nog te vaak dat het top management geïnteresseerd is in allerlei technische maatregelen, zoals een beveiligde verbinding. Nou geloof me, dat zijn ze niet. In enkele organisaties zie je al dat we gaan denken in operationele risico’s, zoals fraude, inbraak en men in the middle attacks. Maar ook daar is het top management niet echt in geïnteresseerd. Nee, we moeten leren praten in termen als omzet en kosten. Het management gaat het om hun (of hun aandeelhouders) return on investment.

Willen we dit soort dreigingen aanpakken, dan zullen we dus met een goede business case moeten komen waarin we de kosten en baten inzichtelijk maken. Als het ons lukt om de beveiligingskosten lager te houden dan de omzetderving dan is er geen manager die niet zijn akkoord geeft.

Kortom: we staan als beveiligers voor een uitdaging, namelijk het denken in business cases waarin de kosten en baten duidelijk zijn. Als een manager € 1.000 moet investeren om € 10.000 te kunnen besparen en hij doet dat niet dan is het een slechte manager.