Auteur:

Dataverlies vooral door menselijke fouten

  door

Niet virussen, of een storing in hardware, maar menselijke fouten zijn vaak de oorzaak van dataverlies bij consumenten…Dat blijkt uit onderzoek van Kroll Ontrack, een aanbieder van dataherstelsoftware, onder ruim tweeduizend mensen. Van de ondervraagden gaf 40 procent aan dat een menselijk fout waarschijnlijk de oorzaak was van het dataverlies. Daarbij gaat het bijvoorbeeld om het verliezen van foto’s of andere belangrijke bestanden die opgeslagen staan op een computer (bron).

Hoewel het goed is dat hier continu onderzoek naar wordt gedaan is het niets nieuws onder de zon. Althans niet voor de mensen in het vakgebied. Bedrijfsprocessen (waar het uiteindelijk allemaal om draait, want daar verdienen we ons geld mee) worden ondersteund door systemen en mensen. Juist die mensen zijn een belangrijke schakel omdat die er dan ook weer voor zorgen dat de systemen werken.

Beveiligingsbewustzijn is een nog vaak onderschat aspect. Als organisaties er al aan doen dan houdt het al snel op na een poster aan de muur of een flashy e-learning omgeving. Natuurlijk zijn deze van belang om het kennisniveau van de medewerkers te verhogen, maar een echte significante bijdrage leveren ze niet. Nee naast kennis gaat het juist om houding én gedrag. En die zijn een stuk moeilijker te beïnvloeden. Er moet een beveiligingscultuur ontstaan, mensen moeten opgeleid worden en mensen moeten weten waarom ze sommige dingen wel en andere dingen juist niet moeten doen.

Natuurlijk weet iedereen dat, alleen staan we er te weinig bij stil. Te vaak al mooie posters gezien maar een slechte beveiligingscultuur. Ik zal het nog even duidelijker maken: ik kan het beste boek lezen over hoe je moet skiën, theoretisch weet ik dan hoe ik moet remmen en waar ik op moet letten. Toch breek ik ieder botje in mijn lichaam als ik met alleen die kennis bovenaan de berg ga staan. Kennis alleen is dus blijkbaar niet genoeg om goed te kunnen skiën (of in mijn geval te overleven).

Verder bleek dat de helft van alle bedrijven om de twee jaar met dataverlies te maken krijgt. Bij bedrijven is in 23 procent van de gevallen een menselijke fout de oorzaak. 77 procent van de problemen bij bedrijven wordt veroorzaakt door fysieke schade zoals het crashen van de harde schijf of elektronische storingen…Van deze storingen is dan weer 30 procent het gevolg van een menselijke fout. Het totale percentage menselijke fouten komt daarmee op 46 procent.

De eerste die echt een goede campagne gezien heeft, waarbij dus ook echt de cultuur verandert, mag me mailen. Ik leer graag van die organisaties die het wel goed voor elkaar hebben. Voor alle anderen: ja ook jullie mogen me mailen want ik help jullie graag verder met het ontwikkelen van een beveiligingscultuur…en dat vergt meer inspanning dan een eenmalige poster aan de wand.

Geldgebrek houdt F16’s aan de grond

  door

Vandaag maar eens een raadsel: hoe kun je zien dat 9/11 alweer te lang geleden is?

Juist: door alle bezuinigingen die we doorvoeren in onze beveiligingsmaatregelen. De overheid doet daar gezellig aan mee.
Door aanhoudende bezuinigingen op het Defensiebudget staan steeds meer toestellen van de Nederlandse F16-vloot aan de grond. De straaljagers zijn defect en geld voor vervangende onderdelen en reparatie is er niet (bron).

Overigens is bezuinigen op beveiliging niet specifiek voor de overheid, veel andere organisaties snijden ook in die kosten omdat er nu eenmaal bezuinigd moet worden. Op zich geen probleem want ik ben er van overtuigd dat je met een goede, integrale, beveiligingsaanpak een berg geld kunt besparen terwijl je toch een stuk veiliger wordt. Geloof me er worden bergen geld uitgegeven aan schijnveiligheidsmaatregelen. Zouden we die budgetten efficiënter inzetten dan zouden we er nu een stuk beter/veiliger voor staan.

Juist door te bezuinigen op beveiliging voordat je het goed hebt ingericht ga je meer risico’s lopen. De formule is niet zo ingewikkeld: door nu te bezuinigen op proactieve beveiligingsmaatregelen ga je ze straks dubbel en dwars terug betalen met de repressieve en correctieve maatregelen. Hopelijk bezuinig je niet zoveel dat repressieve of correctieve maatregelen straks niet meer nodig zijn omdat je na het incident de deuren hebt kunnen sluiten.

Organisaties zijn na een incident bereid om te investeren in beveiliging, maar dan moet je als beveiliger wel snel je slag slaan. Na een maand of 3 is iedereen het incident weer vergeten en worden alle budgetten weer bevroren. Toch zie je dat na die drie maanden de dreiging niet is afgenomen.

Ook hier kunnen we een parallel trekken naar 9/11. Is de terroristische dreiging zodanig afgenomen dat we het ons kunnen veroorloven om de F16’s aan de grond te houden? Persoonlijk denk ik van niet. De dreiging is nog steeds aanwezig en wellicht zelfs iets verhoogd met ons nieuwe kabinet. De bombrieven vliegen ons om de oren, de Russen vliegen vrolijk over ons grondgebied om te kijken hoe waakzaam we nog zijn. Een tip voor de Russen: denk nu niet dat we jullie niet zien als er geen F16 opstijgt, nee we hebben gewoon even F16-pech.

Ben benieuwd wat de huidige status van de Joint Strike Fighter is. Heb het nieuws op dat vlak al een poos niet gevolgd maar ben benieuwd. Kopen we straks JSF-en om ze ook aan de grond te zetten? Waarschijnlijk zullen die machines best wat vlieguren kunnen maken voordat ze in onderhoud gaan, maar onderhoud hoort er wel bij en dan het liefst al vanaf het begin.

Het verzoek aan alle vreemde naties is om ons de komende jaren maar even met rust te laten…we zijn vleugellam en hopen op een beetje respijt.

Slachtoffer doet zelden aangifte

  door

De Nederlandse burger heeft slechts 1,6 miljoen keer aangifte gedaan van een misdrijf, terwijl hij daadwerkelijk in 6,3 miljoenen gevallen het slachtoffer was van diefstal, vernieling, seksueel misbruik, inbraak of een ander delict (bron).

Op zich niet echt iets nieuws want het is al jaren bekend dat er weinig aangifte wordt gedaan van criminele feiten (hoe ze dan toch weten dat het er 6,3 miljoen zijn is me een raadsel). De politie doet er alles aan om meer zicht te krijgen op alles wat er gebeurt en juist daarom is het van belang om toch aangifte te doen. Ook als je denkt of weet dat er weinig met jouw aangifte gebeurt. De kans dat ze je fiets terugvinden na een diefstal is klein, de politie beschikt niet over de manschappen om alle incidenten te onderzoeken. Toch willen zij graag weten als je fiets gestolen is, hiermee kunnen ze trends ontdekken en wellicht nieuwe aanvalsmethodes achterhalen.

“Als belangrijkste reden om geen aangifte te doen, zegt 36 procent van de slachtoffers dat ‘het toch niets helpt’. De belangrijkste redenen om een voorval juist wel te melden waren dat de politie dit ‘moet weten’ (25%) en vanwege de verzekering (23 procent).”

Het volgende feit verbaasd me: Slechts 3 procent van de seksuele delicten leidt tot aangifte; bij bedreigingen is dit 11 procent.

Je zou toch denken dat juist seksuele delicten en bedreigingen wel gemeld worden. Niet omdat het moet voor de verzekering, maar juist om jezelf een veiliger gevoel te geven. Vaak horen we dan dat er gezegd wordt dat er niets aan gedaan kan worden tot het echt fout gaat. Dat kan wel zo zijn, maar als je op het moment dat het fout gaat eerst de politie nog alles uit moet leggen gaan er kostbare seconden verloren. Nee juist dit soort zaken die je persoonlijk aangaan zou je moeten melden voor het te laat is.

Conclusie is dus dat niet alleen het bewustzijn op beveiligingsgebied nog erg laag is, maar dat ook het doen van aangifte na een misdrijf nog de nodige aandacht verdient. Ik heb met dit bericht in ieder geval mijn steentje bijgedragen en hoop voorlopig geen aangifte te hoeven doen van een misdrijf.

Meeste kinderen bezoeken pornosites om 21:00 uur

  door

De Russische virusbestrijder Kaspersky blokkeert elke dag 750.000 pogingen van Britse internetgebruikers om pornosites te bezoeken. Dat komt neer op meer dan 31.000 pogingen per uur. Het gaat onder andere om kinderen die pornosites proberen te openen, maar door de ‘parental control’ software worden gestopt. De meeste kinderen zouden om 21:00 uur ’s avonds pornosites bezoeken, aldus de statistieken van de virusbestrijder (bron).

Ja, ik geef direct toe dat de titel een beetje sensatiezoekend is want als we de tekst beter lezen zien we dat het niet perse gaat om kinderen maar om allerlei blokkades van pornosites. Ongetwijfeld zullen daar kinderen tussen zitten, maar toch vast niet alleen maar.

Maar goed, wat we wel zien is dat ‘parental control’ software een goede zaak kan zijn om je kinderen te beschermen op het internet. De houdbaarheid van dergelijke software is natuurlijk lastiger en geldt zolang de kinderen geen slimmere manieren hebben gevonden om de software te omzeilen (door bijvoorbeeld in te loggen met het account van vader dat geen wachtwoord heeft). Naast het installeren van dergelijke software kun je natuurlijk ook de pc op een goed zichtbare plek in de woonkamer zetten, zo heb je er zicht op wat er gebeurt.

De vraag is natuurlijk hoe lang je de kinderen wilt beschermen. Ooit zullen ze toch ook het “echte” internet op moeten en dan worden ze er vanzelf mee geconfronteerd. Kinderen gaan van nature op onderzoek uit, dat is niks nieuws, alleen het medium en de wijze waarop ze dat doen is nog betrekkelijk nieuw. De keuze die je moet maken is: of ik bescherm mijn kinderen tegen allerlei ranzigheid op het internet of ik laat ze het zelf ontdekken. Waar je ook voor kiest, zorg er in ieder geval voor dat de kinderen er bewust van zijn en haal in hemelsnaam die webcam weg. Te vaak zien we nog berichten voorbij komen waarin kinderen zichzelf bloot hebben gegeven voor de camera omdat ze zo’n leuke chatpartner hadden (of dat in ieder geval dachten).

Net als dat je kinderen eerst leert fietsen met zijwieltjes en als ze dat een beetje kunnen dan haal je die er af. Je rent dan nog een paar keer achter de fiets aan en de kinderen vallen wel eens. Maar op een gegeven moment koop je een fiets met 26 inch wielen en fietsen ze met rugzak en al naar de brugklas. Zou raar zijn als ze dan nog zijwieltjes hadden, of niet? Op een vergelijkbare wijze kun je met internetgebruik omgaan. Eerst blokkeer je een groot aantal sites, vervolgens begeleidt je je kinderen op het internet en daarna laat je ze los. Het verschil met fietsen is dat ze binnen no-time beter weten hoe internet werkt dan dat jij dat weet. Maar dan nog kan het geen kwaad om zo af en toe eens te horen of kijken wat ze eigenlijk op internet doen. En kom op: maak alsjeblieft geen Hyves-account aan om eens lekker vrienden te worden met je kinderen (om eigenlijk te kijken wat ze zoal doen), nee praat er met ze over zodat je op de hoogte bent.

Je moet erbij stil staan dat je ook niet altijd weet via welke weg de pubers naar school fietsen, misschien fietsen ze wel even langs de snackbar om een frietje te halen. Zo zul je ook niet altijd weten via welke sites je kind het internet afstruint.

Wraakzuchtige IT-directeur hackt ex-werkgever

  door

Hadden we gisteren nog een Canadese scholier die misschien 10 jaar moet brommen omdat hij het netwerk van zijn school hackte. Vandaag hebben we een ex-IT-directeur die een mildere straf krijgt.

De ontslagen IT-directeur van het Amerikaanse Transmarx is tot een gevangenisstraf van 27 maanden veroordeeld wegens het hacken van zijn voormalige werkgever. De 53-jarige Darnell H. Albert-El moet daarnaast ook een schadevergoeding van 6.700 dollar (4.800 euro) betalen (bron).

Ex-medewerkers zijn nog steeds een zwaar onderschat probleem. Zij hebben rechten op het netwerk en kunnen bij een groot aantal bestanden. Zijn het IT-ers dan is het risico alleen maar groter, want die beschikken over nog meer rechten en niet te vergeten kennis om het netwerk plat te gooien.

In tijden van reorganisaties en ontslagrondes moet met een dergelijk risico rekening worden gehouden. Denk daarbij niet alleen aan het verwijderen van bestanden of het platgooien van het netwerk. Nee, een evenzo groot gevaar is de bestanden en informatie die je organisatie verlaat op een illegale wijze. De documenten worden niet vernietigd maar wel in grote getale gekopieerd. Niemand die daar zicht op heeft en niemand die daarbij stil staat, zo lijkt het wel.

Je moet dan ook niet gek opkijken als jouw ex-medewerker ineens met open armen ontvangen wordt bij je concurrent. Met de informatie die hij heeft kan de concurrent je ineens voorbij streven. Misschien heb je de medewerkers een geheimhoudingsverklaring laten ondertekenen, maar toon jij als werkgever maar eens aan dat ze je informatie hebben gestolen. Een geheimhoudingsverklaring kan natuurlijk nooit kwaad, maar de echte meerwaarde is beperkt.

Natuurlijk moet je kosten besparen in moeilijke tijden (mijn mening is trouwens dat kosten besparen niet gelijk staat aan het ontslaan van mensen, maar goed dat is weer een ander verhaal), maar je moet wel degelijk rekening houden met de gevaren en risico’s daarvan. Wil je mensen meedelen dat ze ontslagen worden en ze vervolgens nog 3 maanden voor je laten werken? Of besluit je direct alle toegang te blokkeren zodat ze minder schade kunnen berokkenen? Dat is een keuze die je zult moeten maken, een risicoanalyse dus.

Niet alle medewerkers die ontslagen worden zullen je netwerk plat (kunnen) leggen. Misschien moet je je meer focussen op de risico’s die IT-ers met zich meebrengen. Maar wel alle medewerkers kunnen bestanden kopiëren en doorverkopen. Geloof me, het gebeurt meer dan je denkt. Iedere medewerker die vertrekt neemt wel een stukje informatie mee, het merendeel ter goede trouw (omdat ze er zelf aan gewerkt hebben) maar ook een deel met wrok in het achterhoofd.

Kortom: kijk ook eens naar de beveiligingsrisico’s bij grote reorganisatie rondes en ontslag van personeel. Je kunt er wat aan doen, maar daar moet je niet mee wachten tot het water je aan de lippen staat.

Tiener aangeklaagd wegens hacken schoolsite

  door

Een 15-jarige Canadese jongen is aangeklaagd wegens het hacken van een schoolsite en het onthullen van de wachtwoorden van 27.000 scholieren. De jongen werd door politie opgepakt en is aangeklaagd wegens het onderscheppen van een computerfunctie, het op frauduleuze wijze verkrijgen van een computerdienst, het gebruik van een computer met de bedoeling om een computermisdrijf te plegen en het gebruik van een wachtwoord om een computermisdrijf te plegen. Hiervoor zou de jongen een maximale gevangenisstraf van tien jaar kunnen krijgen (bron).

Deze jongen hoeft in ieder geval niet te vrezen voor de aankomende examens en leren hoeft hij ervoor al helemaal niet. Niet omdat hij de examens alvast gestolen heeft maar omdat hij waarschijnlijk dan al achter de tralies zit. Dat computer criminaliteit hard gestraft wordt is natuurlijk alleen maar een goede zaak. Maar staan de straffen nog wel in verhouding tot de straffen in de analoge wereld? Ik heb geen zicht op de straffen die normaliter in Canada worden uitgedeeld, maar als we het even naar Nederland kopiëren dan is een dergelijke straf al snel vele jaren meer dan een straatroof of overval. De vraag is natuurlijk wat erger is. Persoonlijk heb ik liever dat zo’n jongen de school hackt dan dat hij me op straat beroofd, maar goed dat zal wel iets persoonlijks zijn.

En denk nu niet: dit is Canada, dat gebeurt hier niet. Nee het grote verschil is dat het hier niet openbaar wordt gemaakt. Ook hier is nog veel te doen aan het beveiligen van de netwerken van scholen, maar zolang we onze kop in het zand steken denken alle schooldirecteuren dat het wel mee zal vallen.

Een goed idee zou zijn om het Ministerie van Onderwijs te laten verplichten om alle scholen periodiek een vulnerability scan te laten doen. Zo komen ze er achter waar de tekortkomingen zitten en waarom sommige scholieren misschien ineens zulke hoge cijfers scoren.

Beveiliging op scholen, er is nog veel te doen. Niet alleen als het gaat om informatiebeveiliging maar ook als het gaat om fysieke beveiliging. Het is bijna wachten op nieuwsberichten waarin weer een geflipte scholier zijn mede scholieren aanvalt.

Onderschatting, zo kunnen we het wel noemen. De scholen moeten hierin veel meer verantwoordelijkheid nemen. Zij zijn verantwoordelijk voor het welzijn van de scholieren binnen hun scholengemeenschap. Maar goed, zoals gezegd moet er eerst nog meer fout gaan voordat we ons daarop zullen richten.

Beveiliging kan worden getest met mystery guest

  door

Een interessant bericht, waar ik het natuurlijk volledig mee eens ben:

De beveiliging van een organisatie kan worden getest door een mystery guest de opdracht te geven om de maatregelen te omzeilen. Veel organisaties nemen genoegen met het uitvoeren van een risicoanalyse en implementeren van maatregelen. Daarna concluderen ze dat de beveiliging afdoende is, aangezien er nooit incidenten zijn. Incidenten zijn echter pas bekend als ze worden opgemerkt. Daardoor is het aantal incidenten geen goede graadmeter voor de kwaliteit van de beveiliging (bron).

Het is inderdaad waar dat er vanuit beleid allerlei ogenschijnlijk goede beveiligingsmaatregelen worden bedacht en worden ingevoerd. Dit is natuurlijk niet specifiek voor beveiliging, maar voor alles wat in de ivorentorens bedacht wordt. Er is vaak een groot gat tussen wat er vanachter het buro bedacht wordt en wat er in de praktijk werkt.

Het is dan zeker goed om de beveiliging te testen. Niet alleen door het inzetten van mystery guests, maar door op allerlei wijzen te kijken of de beveiliging ook echt zo goed is als we bedacht hebben. Het is toch wel fijn dat de autofabrikanten testen of de airbags werken (en hoe vaak zien we daar geen terugroep acties?). Ook het testen van de “klantvriendelijkheid” van de medewerkers door social engineering tests is een belangrijk aspect. Te vaak willen we de “klanten” helpen, dat is uiteraard erg klantvriendelijk, maar niet iedereen is een klant. De criminelen weten donders goed dat medewerkers ons graag verder helpen, zij maken daar graag gebruik van en medewerkers zijn vaak een spraakwaterval.

Naast de psychologie van medewerkers te testen kan het ook geen kwaad om de technische tests uit te voeren. Penetratietesten om te kijken hoe degelijk onze technische systemen eigenlijk in elkaar zitten.

Ze hebben er trouwens een mooie term bij bedacht:
Een mystery guest kan deze zogeheten beveiligingsblindheid doorprikken.

Beveiligingsblindheid, ehm, een mooi begrip om ook nog eens een blog over te schrijven. Wellicht binnenkort.

Ongeval in slachterij eist dode en gewonden

  door

Het is alweer een week geleden dat dit bericht in het nieuws kwam, maar toch is het het waard om het nog even aan te halen.

Door een bedrijfsongeval in een slachterij in het Gelderse Groenlo is dinsdag een medewerker overleden. Drie andere werknemers raakten gewond. De slachtoffers waren vermoedelijk in de koelruimte van het bedrijf aan het werk toen ze onwel werden (bron).

Er zijn allerlei discussie over het waarom we eigenlijk aan risico management en beveiliging doen. In de basis kun je dit terugvoeren op een beperkt aantal aspecten, namelijk: verlies van omzet of verhoging van de kosten door incidenten die impact hebben op de continuïteit (alle meer operationele risico’s zijn daar een afgeleide van). Een ander aspect waar we het management op kunnen triggeren is de veiligheid van de medewerkers. Vaak een meer safety-gerelateerd aspect, maar wel degelijk een risico dat reëel is voor veel bedrijven. Op dit gebied is er dan ook vele malen meer wet- en regelgeving dan op het beveiligingsgebied.

Helaas zien we er hier een concreet voorbeeld van. De oorzaak is, op het moment van schrijven, nog niet bekend maar wellicht had een dergelijk incident voorkomen kunnen worden en had een mensenleven gespaard kunnen worden.

In de praktijk zien we dat er, met het huidige economische klimaat, bespaard wordt op allerlei zaken en dus ook op onderhoud (overigens wil ik niet zeggen dat dat hier het geval is, het kan ook echt een ongelukkige samenloop van omstandigheden zijn die niet te voorzien was). Met besparingen op onderhoud gaan organisaties meer en meer van dit soort risico’s lopen. Het is te hopen dat managers binnen organisaties zich nog eens achter de oren krabben bij de volgende bezuinigingsrondes. Het moet wel een veilige werkomgeving blijven voor de medewerkers.

Bezuinigen op beveiliging kan echt wel, alleen moet er worden opgepast voor het wel bekende: pennywise, pound foolish”.

‘Horrortandarts’ werkt nu in Spanje

  door

Je zou toch denken dat we met de deelname aan de Europese unie ook zouden voorkomen dat malafide artsen binnen die unie aan het werk blijven. Helaas is dat op dit moment nog niet zo.

De in Nederland veroordeelde ‘horrortandarts’ Ben V. is in Spanje gewoon weer aan het werk als tandarts. Hij opende een praktijk in Marbella gericht op Nederlandse gepensioneerden (bron).

Op zich natuurlijk goed dat we erachter komen dat zo’n klaploper ergens anders weer aan de slag is, maar dat komt niet omdat we dat nu zo goed monitoren. Nee, sterker nog deze ontdekking is puur op toeval gebaseerd:

Een medewerker van de officier die in Spanje op vakantie was kreeg een huis-aan-huisblad onder ogen met een advertentie van V.

Wees dus gewaarschuwd, ga je op vakantie naar Marbella, dan hoop ik voor je dat je geen kiespijn krijgt van de Paella want voor je het weet kom je met een slechter gebit terug naar Nederland.

Te gek voor woorden als jet het mij vraagt. Er is al eerder een discussie gevoerd over de zwarte lijsten waarop artsen vermeld staan die uit hun ambt ontheven zijn. Concreet is dat volgens mij nog niet, heel raar maar er waren een aantal artsen tegen. Toch mag wat mij betreft, met het nieuwe kabinet, deze discussie weer oplaaien. Het kan toch niet zo zijn dat een arts in het ene land zijn werk niet meer mag doen, terwijl hij in het andere land weer rustig aan de slag kan?

Genoeg regels die ons vanuit de EU worden opgelegd, dit mag er dan wel één zijn die daaraan wordt toegevoegd.

Week van het pinnen

  door

Om het betalen met pinpas te stimuleren is het deze week de week van het pinnen. Het is maar dat je het weet.

Volgens betalingsverwerker Currence en de Stichting Bevorderen Efficiënt Betalen is pinnen goed voor ondernemers, omdat zij hierdoor minder contant geld in kas hebben, waardoor het risico op overvallen vermindert (bron).

Als we Nederland veiliger willen maken, dan moeten we allemaal ons steentje daaraan bijdragen. Deze week dus geen cash geld op zak, maar allemaal aan de pinpas. Dat is niet alleen goed voor de winkeliers omdat het de kans op overvallen vermindert, nee het is ook goed voor de economie omdat we het geld laten rollen.

Jammer trouwens dat er slechts een week van gemaakt is, een gemiste kans. Maak er de maand van het pinnen van. Juist nu, we gaan toch allemaal weer kijken waar we sinterklaas en de kerstman kunnen helpen? Moeten we niet allemaal de inkopen voor de maand december gaan doen? Waarschijnlijk wachten we daarmee tot eind november, dus de maand van het pinnen lijkt me een nog beter initiatief.