Een nietszeggend berichtje…over de derde wereld oorlog?

Het is goed om af en toe het internet af te struinen naar berichten, je weet nooit wat je tegenkomt, toch? En het ene bericht krijgt nu eenmaal meer aandacht dan het andere maar onderstaand bericht ging wel erg snel aan ons voorbij terwijl het wel de derde wereldoorlog in kan luiden.

Amerika, China en Rusland zijn in een cyberoorlog verwikkeld, maar houden dit bewust geheim voor het publiek, aldus beveiligingsexpert Richard Bejtlich. Hij baseert zich op het publieke geheim dat Amerikaanse gevechtsvliegtuigen tijdens de Koreaanse Oorlog met Russisch gevechtsvliegtuigen vochten. Onlangs bevestigde een Russische piloot dat er inderdaad gevochten werd. Ook de Russische piloten mochten hier destijds niet over spreken…Als het conflict bekend zou worden, zou mogelijk de Derde Wereldoorlog kunnen volgen (bron).

Een verontrustend bericht als je het mij vraagt en als ik zelf mijn ogen niet had open gehouden dan was dit waarschijnlijk stilletjes aan me voorbij gegaan. Persoonlijk vind ik dan ook dat er erg luchtig over wordt gedaan, maar goed dat zal aan mij liggen.

Sinds de aanslagen van 9/11 vrezen we met grote vrezen de terroristen en mogelijke aanslagen over de hele wereld. Nu hebben we er een nieuwe angst bij namelijk een mogelijk derde wereldoorlog tussen de grote naties van deze wereld. Daarbij zullen vele malen meer slachtoffers vallen dan door de vele aanslagen die er nu al zijn.

Tijd om de beveiliging van onze vitale infrastructuur (wat dat dan ook moge zijn, want daar kun je ook hele discussies over voeren) op te schroeven. In één klap kunnen we de economische crisis achter ons laten want de Russen komen er aan. Tijd om de schuilkelders weer onder het stof vandaan te halen zodat we er snel in kunnen als dat nodig is.

Oh ja, een tip voor ons nieuwe kabinet: wij hebben zelf al genoeg aan ons hoofd, laten we ons er vooral niet in mengen…die Zwitsers zijn zo gek nog niet….en met onze bezuinigingen op Defensie gaan we geen significante rol kunnen spelen.

Ben benieuwd, we houden het in de gaten.

De beveiliging voor aap zetten?

Het is weer vrijdag en voor we aan het weekend gaan beginnen kijken we hoe de Commonwealth Games in India beveiligd zijn. Wie weet kunnen we er nog wat van leren voor als de Olympische Spelen onze kant op komen in de toekomst.

Houdt onze politie het bij politiehonden en politiepaarden, in India pakken ze dat veel professioneler aan.

De organisatoren van de ‘Commonwealth Games’ hebben wat wenkbrauwen doen fronsen door voor de bewaking van het atletendorp in New Delhi apen in te huren. Teams worden belaagd door brutale, wilde rhesus-apen die gebouwen binnendringen en alles stelen wat los en vast zit. Nu hebben de organisatoren een team van 40 grote grijze langoer-apen ingehuurd om hun kleinere neefjes bij de gebouwen vandaan te houden. Een offical legt uit: “Ze zullen de kleinere apen wegjagen omdat die mateloos irritant en vernietigend zijn, écht ongedierte.” (bron)

Beveiliging zien we vaak als een serieus vakgebied en we zijn er inmiddels wel achter dat security in-depth of simpel gezegd met meer lagen aangepakt moet worden. De ene beveiligingsmaatregel moet de andere versterken. Als je dus dacht dat in India de apen de enige oplossing waren dan heb je het mis.

Tegelijkertijd is er ook een team van 50 slangen-bezweerders in dienst genomen nadat één van de atleten een levende cobra in z’n kamer had aangetroffen.

Beveiliging is topsport, zeker voor de Security Manager die verantwoordelijk is voor de Commonwealth Games. Denk je alles goed voorbereid te hebben blijkt dat er nog een stelletje boze boeren in aantocht zijn om jouw spelen te dwarsbomen.

Organisatoren onthulden verder dat ze ook een noodteam van cowboys achter de hand houden in afwachting van het doorgaan van een aangekondigde demonstratie door boeren die dreigden om honderden koeien en buffels de stad in te jagen.

Respect voor deze Security Manager, hopen dat alles in goede banen loopt en dat hij er geen (geestelijke) blessure aan over houdt.

Betrokken directie is beste beveiliging

De effectiefste en bovendien eenvoudigste manier om de informatiebeveiliging van organisaties te verhogen, is het verhogen van de betrokkenheid van de directie bij het informatiebeveiligingsbeleid. De directie of raad van bestuur bevindt zich als informatie-eigenaar namelijk in de beste positie om beveiligingsinvesteringen te kiezen die zijn afgestemd op het bedrijfsbeleid (bron).

Zo te lezen heb ik wederom een medestrijder gevonden om beveiliging beter op de kaart te zetten. Hij maakt een punt waar ik het volmondig mee eens ben. Ik predik dit zelf ook al jaren maar met hoe meer mensen we dit roepen hoe beter het is.

Vaak zien we onbegrip bij het management, er wordt niet de steun gegeven die we nodig hebben. Te vaak geven we het management hiervan de schuld, terwijl we ook eens in de spiegel moeten kijken. Beveiliging wordt vaak exotisch gehouden, we roepen allerlei technische risico’s en maatregelen en vinden het raar dat het management ons wat glazig aankijkt. Let op: zij spreken onze taal niet en dat moet ook niet van hen verwacht worden (ze hebben wel wat anders te doen). Nee wij moeten leren om hun taal te spreken. Wij moeten leren om te praten in business risks.

Een manager is niet geïnteresseerd in het nieuwste virus, hij is wel geïnteresseerd in de impact die het kan hebben op de bedrijfsprocessen of beter nog op de omzet.

Een manager is niet geïnteresseerd in de laatste algoritmes van de encryptie software, hij is wel geïnteresseerd in de impact die gestolen informatie kan hebben op het imago van de onderneming.

Een manager is niet geïnteresseerd in de sloten die we op de deur hebben gezet, hij is wel geïnteresseerd in de waarde van de goederen die gestolen kunnen worden bij een inbraak, en dan het liefst gewoon uitgedrukt in Euro’s.

Veel organisaties doen aan de verhoging van het beveiligingsbewustzijn van de medewerkers. Soms zie je goede programma’s, meestal zie je een postertje aan de wand die iedereen maar moet begrijpen. Niet alleen is er nog een wereld te winnen op het gebied van beveiligingsbewustzijn bij de medewerkers. Nee we moeten specifieke bewustzijnscampagnes richten op het management, in hun taal, kijkend naar hun scope waarbij we in gaan op de business risks.

Doen we dat op de juiste manier dan ontstaat er vanzelf een mate van bewustzijn bij dat topmanagement. We moeten stoppen met hen de schuld geven van het onbegrip en het ontbreken van steun. Het is onze taak om ze op de juiste wijze te bedienen, ze met de juiste woorden aan te spreken en het liefst de juiste management informatie systemen in te richten.

Het is niet makkelijk, dat heeft ook nooit iemand beweerd. Er is veel meer onder de zon dan de technische maatregelen op beveiligingsgebied. We hebben te maken met politiek en communicatie en dat zijn ingewikkelde aspecten.

Lullig: peepshow wordt man fataal

Het is woensdag en om de week een beetje te breken vandaag maar eens een luchtig berichtje.

Een 35-jarige Amerikaan is dood aangetroffen in het hokje van een peepshow. De show is hem waarschijnlijk te veel geworden…Het hokje waarin het lichaam werd gevonden, was op slot en het levenloze lichaam vertoonde geen zichtbare tekenen van geweld…Op de bewakingsbeelden is te zien hoe de man om 20.30 uur de pornozaak betrad. Een paar uur later ontdekte de manager van de peepshow het lijk, waarna hij direct de politie alarmeerde. Er zal een autopsie worden uitgevoerd op het lichaam om de doodsoorzaak te achterhalen (bron).

Ja, wat moet je hier nu over schrijven? Laten we het er voor vandaag maar bij houden dat het knap lullig is.

Meldplicht voor datalekken in regeerakkoord

Nederlandse bedrijven en overheden krijgen een meldplicht voor datalekken. Ook moeten zij het melden als zij misbruik van privégegevens hebben geconstateerd. Dat blijkt uit het donderdagmiddag gepresenteerde regeerakkoord. Als de meldplicht niet wordt nageleefd, mag de toezichthouder boetes uitdelen (bron).

Veel beveiligingsincidenten die we voorbij zien komen, komen uit Amerika of Engeland. Niet omdat daar zoveel meer gebeurt maar omdat dergelijke incidenten daar openbaar gemaakt moeten worden. Deze verplichting was er in Nederland nog niet, waardoor een berg incidenten in de afgelopen jaren onder de pet zijn gehouden. Met het nieuwe regeerakkoord lijkt zo’n verplichting er nu ook voor Nederland te komen.

Juich niet te vroeg want alles moet eerst nog uitgewerkt, goedgekeurd en ingeregeld worden. Maar we lijken een stap in de goede richting te zetten. Ja, klopt, ik ben er voorstander van. Ik hoef zeker niet alle details te weten maar hoor graag als mijn gegevens mogelijk zijn gecompromitteerd.

Hopelijk krijgt informatiebeveiliging hiermee ook meer de aandacht die het verdient. De Security Managers krijgen het een stuk drukker maar krijgen wellicht ook een luisterend oor bij het (top)management. Doen we het als organisatie niet goed dan komen we negatief in het nieuws, imagoschade is iets waar het management wel ontvankelijk voor is.

En voor dat we allerlei doemscenario’s gaan verkondigen. Dit legt ons als beveiligingsexperts ook een verplichting op, namelijk om professioneel advies te geven waarbij we reële risico’s en verwachtingen moeten toe passen.

Waarschijnlijk gaan we dezelfde weg in als met “compliance”. Eerst zorgen we dat we “security compliant” zijn (beter bekend als het afvinken van vinklijstjes) waarna we meer en meer zullen groeien naar “in control” zijn. Voor wat betreft compliance verlaten we nu zo’n beetje de eerste fase en gaan we toe naar beheersing, beveiliging zal daar achteraan lopen en het zal nog even duren voordat we de volgende fase bereiken. Maar ik ben positief gestemd, “in control” op het gebied van beveiliging, security management zoals het ooit bedoeld was, een professionalisering van het vakgebied.

De vlag hangt uit, een mijlpaal op beveiligingsgebied (voor de datalekken tenminste).

Regelmatig incidenten in ziekenhuizen

Bijna de helft (46 procent) van de ziekenhuizen in Nederland heeft maandelijks of vaker te maken met een incident. Hierbij gaat het om incidenten als diefstal, verbale agressie en fysieke agressie…Dit blijkt uit onderzoek van Securitas onder ruim 350 werknemers uit verschillende ziekenhuizen. Bijna de helft van de ondervraagden geeft aan minimaal maandelijks te maken te hebben met een incident. Nog eens 42 procent zegt dat hun ziekenhuis meerdere keren per jaar te maken heeft met incidenten. De meeste incidenten vinden plaats op de spoedeisende hulp. De top vijf van meest voorkomende incidenten is:
1. diefstal
2. verbale agressie
3. fysieke agressie
4. inbraken op ongeoorloofde afdelingen
5. seksuele intimidatie

(bron)

Het is te hopen dat je binnenkort niet hoeft te worden opgenomen in een ziekenhuis want je bent je leven er niet zeker. Eerst wordt er ingebroken en worden jouw persoonlijke spullen uit je nachtkastje gestolen, vervolgens wordt je uitgescholden voor van alles en nog wat, waarna je klappen krijgt. Als laatste wordt je ook nog seksueel geïntimideerd waarna je met een nog half open wond naar huis wordt gestuurd om verder uit te zieken. We denken allemaal dat we naar huis worden gestuurd omdat het teveel geld kost om ons daar te houden, maar de echte reden is dat het thuis veel veiliger is dan in het ziekenhuis. Het is voor onze eigen bestwil.

Nou, een vooruitzicht waar je van opknapt, toch? En dan te bedenken dat er voor de ziekenhuizen de NEN7510 beveiligingsnorm is, kun je nagaan hoe het gesteld is met instellingen waar zo’n norm niet voor aanwezig is.

Er is blijkbaar nog genoeg te doen in de ziekenhuisbranche. Op zich een natuurlijk lastig te beveiligen sector want het zijn nu eenmaal open instellingen waar je snel naar binnen moet kunnen als je eerste hulp nodig hebt.

FBI wil backdoor in encryptie software

Een leuke en interessante afsluiter voor deze week. De FBI wil een backdoor in encryptie software. Al jaren is bekend dat encryptie software die in Amerika (en/of wereldwijd) verkocht wordt een backdoor moet hebben, de gegevens moeten op de één of andere manier bekeken kunnen worden. Dat druist natuurlijk volledig in tegen het doel van encryptie: het versleutelen van gegevens zodat alleen de rechtmatige ontvanger de gegevens kan lezen.

Amerikaanse inlichtingendiensten willen het gehele internet kunnen afluisteren en pleiten daarom voor een backdoor in alle versleutelde communicatiediensten. Steeds meer communicatie vindt online plaats, bijvoorbeeld via diensten als Skype. De FBI beschikt echter niet over de mogelijkheden om deze gesprekken af te luisteren. Als het aan de inlichtingen- en opsporingsdiensten ligt, bouwen sociale netwerksites, Skype en andere online diensten een backdoor in die het mogelijk voor de Amerikaanse overheid maakt om al het verkeer te onderscheppen (bron).

Denken we dat de Nederlandse overheid meer en meer grip op de burgers wil krijgen dan moeten we de Amerikanen zeker niet uitvlakken. Eerlijk is eerlijk: ze komen er wel openlijk voor uit.

Barack Obama beschikt sinds kort over een knop waarmee hij het hele internet uit kan schakelen. Zal wel in de plaats gekomen zijn van de o zo bekende hotline. De FBI wil kunnen beschikken over alle gegevens die over het internet gaan zodat we weinig meer te verbergen hebben.

De charme van het internet gaat er zo wel een beetje af, vind je niet? Ach, we hebben geen keuze. Binnenkort kunnen de veiligheidsdiensten weer gewoon bij onze gegevens. Nu nog hopen dat de Amerikanen bereidt zijn om de backdoors met ons te delen, anders krijgen ze wel een erg grote voorsprong.

Ik denk dat het volgende verzoek van de FBI wordt om gaten te laten bestaan in de firewalls (voor zover die er nog niet inzitten) en de anti-virus pakketten (voor zover die er nog niet inzitten). Zo kunnen ze simpel onze harde schijf bekijken en ons met een virus infecteren als zij dat nodig vinden. De tijd van de stand-alone pc ligt alweer wat jaren achter ons en ook de meest geheime of kritische systemen zijn gewoon aangesloten op het internet, misschien is een stand-alone oplossing toch zo’n gek idee nog niet.

Dan had de Iraanse kernreactor gewoon lekker rustig door kunnen draaien (bron). Ga maar lekker slapen…

Wegwerkzaamheden leiden tot verlies detailhandel

Wegwerkzaamheden leiden niet zelden tot omzetverlies in de detailhandel. Meer dan negentig procent van de winkeliers is ervan overtuigd dat opengebroken wegen, omleidingen en overlast door herrie en vuil ervoor zorgen dat klanten wegblijven…De belangrijkste klachten van winkeliers zijn omzetverlies, geïrriteerde bezoekers en het wegblijven van klanten. Belangrijkste oorzaken lijken de slechte toegankelijkheid, vuil, gevaarlijke situaties en geluidsoverlast te zijn (bron).

Vanuit risico management kijken we altijd naar de risico’s die een organisatie loopt. Daarbij moeten we de primaire processen in de gaten houden en als vertrekpunt nemen. Risico’s die zich richten op het primaire proces kunnen direct tot omzetverlies leiden. We moeten er rekening mee houden dat we alleen de risico’s kunnen beheersen waar we zelf invloed op uit kunnen oefenen. Voor die risico’s kunnen we maatregelen nemen om de kans op, de impact van of beide te beïnvloeden.

Als ondernemer kun je, ogenschijnlijk, weinig doen aan risico’s die door de omgeving gecreëerd worden en die impact hebben op jouw omzet. Aan wegwerkzaamheden bijvoorbeeld kun je als individu weinig doen, die worden je medegedeeld en je hebt er maar mee te leven (geloof me ik kan het weten, ik ervaar het iedere dag als ik in de file sta).

En ja ik schreef inderdaad ogenschijnlijk. Want je kunt aan een aantal risico’s in de omgeving best wat doen. Natuurlijk kun je die wegwerkzaamheden niet tegenhouden, maar dat is ook niet nodig. Het gaat er natuurlijk om dat de omzet gewaarborgd is. Je zou een 2de filiaal kunnen openen op een andere locatie, je kunt een internetwinkel beginnen, je kunt starten met een bezorgservice. Met een beetje creativiteit (en lef) kun je zo een risico in je voordeel ombuigen. Je waarborgt niet alleen je omzet maar maakt ook nog eens een groei door.

Risico management is een creatief proces met allerlei creatieve en innovatieve oplossingen, we moeten alleen leren om naar de echte oorzaken en gevolgen te kijken. De wegwerkzaamheden kunnen misschien als oorzaak gezien worden, maar de gevolgen in omzetverlies moeten we toch kunnen compenseren?

Dat is wat het vakgebied nu juist zo leuk maakt, je verlaat de gebaande paden en gaat op zoek naar nieuwe oplossingen om een risico te beperken.

Oh ja, om terug te komen op de file waar ik dagelijks in sta. Je zult denken dat ik daar dan ook zelf wat aan kan doen (ik kan bijvoorbeeld thuis werken of een andere opdracht dichterbij zoeken). Daar heb je helemaal gelijk in, daarom klaag ik ook niet (of bijna nooit) over die file want dat is mijn eigen keuze. De opdracht die ik doe, het resultaat dat ik hoop te bereiken is me meer waard dan de file. Ook dat is een risico-afweging. En als die wegwerkzaamheden ooit zijn afgerond, dan wordt het leven er alleen maar beter op.

Je bent gewaarschuwd: Cyberpiraten jagen via LinkedIn

Mensen die op de sociale netwerksite LinkedIn ingeschreven staan, moeten op hun hoede zijn voor cybercriminelen die het op hun bankgegevens voorzien hebben…Volgens het Cisco worden leden van LinkedIn momenteel overstelpt met spammails…De e-mails bevatten een ‘boobytrap’. Als de ontvanger op de link in de mail klikt, wordt er automatisch kwaadaardige software gedownload, die bekend staat onder de naam ZeuS (bron).

Op zich niets nieuws natuurlijk. We ontvangen al jaren allerlei SPAM-mail waarin we op links kunnen klikken. Weten ze dan echt niet dat SPAM verboden is tegenwoordig, foei. Nee alle gekheid op een stokje, niks nieuws maar wel goed om continu onder de aandacht te brengen. Blijkbaar wordt er toch nog teveel op de links geklikt, anders stierf deze methode wel uit.

Het advies is gelukkig simpel: Het internetbedrijf adviseert gebruikers van LinkedIn om dergelijke e-mails te deleten.

Was het maar zo makkelijk. De kunst is natuurlijk om de SPAM te herkennen, mails van LinkedIn zien er allemaal hetzelfde uit en omdat je je hebt aangemeld voor allerlei groepen kan doorklikken toch weinig kwaad…ja dat zou je denken. De vertaalmachines op internet worden ook steeds beter, viste je vroeger SPAM er gemakkelijk uit omdat het vol spelfouten stond, ook daar kun je niet meer op vertrouwen.

Cybercrime wordt meer en meer gewoon goed waar we nog te weinig bij stil staan. Het is goed om daar continu bij stil te staan en onder de aandacht van de mensen te brengen.

Een ander bericht laat zien dat er kort geleden weer een groep criminelen is opgepakt die voor 7 miljoen van bankrekeningen heeft geplunderd. De Britse politie heeft in Londen negentien mensen aangehouden in verband met de diefstal van ruim zeven miljoen euro via ZeuS, kwaadaardige software die door cybercrimelen gebruikt is om in te breken op duizenden bankrekeningen (bron).

Geloof me, dit is het topje van de ijsberg. We weten niet hoeveel van dit soort groepen er zijn en hoeveel schade we lijden. De banken zullen hier meer zicht op hebben maar kunnen natuurlijk niet zoveel doen tegen de onwetendheid van de klanten. Wees dus huiverig bij het doorklikken en hou je rekening afschriften goed in de gaten, voor je het weet kun je opnieuw beginnen met sparen.

De politie moet een bekeuring krijgen…

De controlerende macht (de politie) overtreedt de wet. Wie gaat de bekeuringen uitdelen?

Het College Bescherming Persoonsgegevens (CBP) concludeert na onderzoek dat de KLPD in strijd met de wet handelt bij het invoeren van politiegegevens van verdachten in het Europol Informatiesysteem (EIS)…Zo worden onvoldoende maatregelen getroffen om te waarborgen dat de politiegegevens juist en nauwkeurig zijn. Er is bijvoorbeeld geen controle of aan de opnamecriteria is voldaan..Daarnaast onderneemt het Korps landelijke politiediensten (KLPD) onvoldoende actie om ervoor te zorgen dat de gegevens worden verwijderd of vernietigd zodra zij niet langer noodzakelijk zijn of wanneer de wet eist dat de gegevens verwijderd worden (bron).

Je gaat er toch vanuit dat de overheid zorgvuldig met je gegevens omgaat. Ja ik weet het, daar zijn al vele discussies over gevoerd en al snel wordt gezegd dat wie niets te verbergen heeft ook niets te vrezen heeft. Ja ja, geloof me ik heb weinig te verbergen maar krijg steeds grotere rillingen als ik dit soort berichten lees. Meer en meer gegevens worden opgeslagen in systemen waar we geen zicht op hebben, we moeten er maar op vertrouwen dat de gegevens goed beveiligd zijn…niet dus. We krijgen een elektronisch patiëntendossier, de OV-chip wordt ons ook door de strot geduwd en de politie houdt ook nogal wat van ons bij. Combineer alle gegevens en je kunt een aardig profiel opmaken.

Juist bij een instantie als de politie ga je er toch vanuit dat het allemaal goed geregeld is. Dat ze de gegevens goed checken en dat ze verwijderd worden als ze niet meer nodig zijn. Het kan nogal een impact hebben als je onterecht in deze systemen voorkomt. Leg dat maar eens uit als je staande wordt gehouden. Een lastig verhaal en jij zit een nachtje op water en brood. Zeker als het een Europol systeem is, ik weet niet hoe goed bijvoorbeeld jouw Frans is, maar ik kan net een stokbrood bestellen en zeker niet uitleggen dat ik niet degene ben die in het systeem staat.