Privacywaakhond lekt 1.000 e-mailadressen

Een Amerikaanse organisatie die de privacy van gamers behartigt, heeft zelf geblunderd door de e-mailadressen van duizend mensen te lekken die een klacht hadden ingediend…Zo’n duizend mensen dienden bij de Entertainment Software Rating Board (ESRB) een klacht in. De ESRB wilde alle klagers een antwoord sturen, maar in plaats van de BCC optie te gebruiken, werd er voor de “reply all” optie gekozen (bron).

Zo zie je maar dat ook de instanties die juist moeten waken voor de privacy niet onfeilbaar zijn. Een foutje is snel gemaakt en daar is natuurlijk weinig aan te doen. Gelukkig hebben ze inmiddels hun spijt getoond en betreuren ze het incident. Prima natuurlijk maar ik denk dat als een andere instantie zo’n fout had gemaakt de ESRB waarschijnlijk aan alle bellen had getrokken en het had uitgemeten in het nieuws. Gezien het Amerikaanse klimaat was er een hoge claim neergelegd en moesten de bestuursvoorzitters zich verantwoorden voor de rechter. Wordt de komende tijd toch moeilijk voor de ESRB om serieus claims neer te leggen want de geloofwaardigheid heeft natuurlijk wel een duw gekregen.

Zelf heb je ze waarschijnlijk ook wel eens gehad, die mailtjes waarin de adressen in BCC moesten staan maar waarbij ze gewoon zichtbaar waren. Geef maar toe, je kijkt dan ook even snel of er geen interessante adressen tussen zitten. En? Heb je op deze manier wel eens interessante adressen ontdekt?

Vrouw probeert baby door wc te spoelen

En opmerkelijk bericht, dat niet zozeer te maken heeft met risico of beveiliging, maar opvallend is het wel.

Een Indiase vrouw is woensdag bevallen in de wc van een vliegtuig en probeerde vervolgens het kind door het toilet te spoelen…Het kind werd in de toiletpot gevonden, nadat het toestel uit Turkmenistan was geland in Amritsar in het noorden van India…Omdat de baby vastzat werd het met toiletpot en al in allerijl naar een ziekenhuis gebracht. Chirurgen moesten een zaag gebruiken om het hoofdje uit de toiletpot te bevrijden (bron).

Misschien heb je het gemerkt maar de laatste paar weken wat meer berichten over het gedrag van mensen en in die zin kunnen we het dan weer wel koppelen aan risico en beveiliging. We proberen met allerlei maatregelen om bedrijven veiliger te maken en daar mag een hoop geld tegenaan, zelf tijdens economisch zware tijden. Maar een onderbelicht aspect blijft toch het gedrag van mensen, waarom doen mensen sommige dingen wel en andere dingen nu juist weer niet?

Wat mij betreft moeten er wat goede psychologen opstaan die onderzoek van menselijk gedrag gaan koppelen aan beveiliging. Dat zou interessante resultaten op kunnen leveren waarmee we bedrijven verder kunnen helpen in het beveiligen van hun gegevens en processen. Als er psychologen zijn die er onderzoek naar willen doen, ik wil jullie er graag bij helpen.

Een veel gehoorde uitspraak is dat de keten zo zwak is als de zwakste schakel en dat voor beveiliging geldt dat de mens vaak die zwakste schakel is. Hoewel we, met alle berichten over menselijk gedrag, misschien geneigd zijn om dit voor waar aan te nemen, weiger ik me daar bij neer te leggen. Vanuit mijn positieve instelling geloof ik er nog steeds in dat we van onze zwakste schakel juist de sterkste schakel kunnen maken, maar dan moeten we daar wel tijd en energie in steken. Niet eenmalig, maar continu, met de juiste interdisciplinaire kennis en de juiste methodieken. Makkelijk? Nee, ik weet zeker van niet, maar het is wel onze plicht om het minimaal te proberen.

Bewusteloze man zat hele dag in bus

Het Openbaar Ministerie in de Duitse stad Magdeburg onderzoekt het gedrag van twee buschauffeurs die een bewusteloze man een dag lang door de stad zouden hebben vervoerd zonder enige notie van hem te nemen…Dat hij in de stadsbus bleef zitten, ook toen telkens het eindpunt werd bereikt, was de chauffeurs niet opgevallen (bron).

Vorige week hadden we al een filmpje over het zogenaamde bystander-effect en dit soort berichten heeft daar wel wat van weg. Blijkbaar letten we niet meer op wat er om ons heen gebeurt en als er iemand uren in de bus blijft zitten dan valt ons dat niet eens meer op. Nu kunnen we natuurlijk de buschauffeurs de schuld geven (en ja ze vervullen zeker een bepaalde rol) maar al die passagiers die in zijn gestapt en misschien wel naast de man hebben gezeten? Is het dan echt niemand opgevallen dat de man misschien niet slechts in slaap was gevallen? Ehm, de psyche van de mens blijft een raar maar interessant onderwerp.

Misschien al een bekend filmpje maar hier zie je wederom een voorbeeld van hoe er gereageerd wordt als je onwel wordt en in dit geval zelfs in een ziekenhuis.

Werknemers nemen bedrijfsgegevens mee op vakantie

Europese bedrijven hebben hun vertrouwelijke informatie onvoldoende beveiligd. Nu veel werknemers werk meenemen op vakantie lopen bedrijven het risico dat vertrouwelijke informatie op straat komt te liggen (bron).

Eerst maar even de feiten op een rij:

  • Slechts 44% van de bedrijven een beleid heeft om te voorkomen dat werknemers bedrijfsgevoelige informatie met zich meenemen.
  • Niet meer dan 41% een beleid voor het afdrukken van vertrouwelijke documenten.
  • Slechts 47% van de Europese bedrijven heeft een beleid om het afdrukken van klantgegevens te beheren.

Het staat natuurlijk leuk dat werknemers bedrijfsgegevens meenemen op vakantie maar daar gaat het in dit geval helemaal niet om. Het gaat namelijk in zijn algemeenheid over het meenemen van bedrijfsgegevens en daarbij doet het er niet toe of dat is naar de camping of gewoon naar huis. Nee het gaat erom dat bedrijven helemaal geen zicht hebben op wat er met hun gegevens gebeurt. Hierbij moeten we verder kijken dan afgedrukte gegevens alleen, want er gebeuren ook dingen met onze digitale gegevens waar we geen zicht op hebben.

Slechts 41% heeft een beleid voor het afdrukken van vertrouwelijke gegevens en 44% voor het meenemen daarvan, dat klinkt al schrikbarend maar tel daarbij nog even de volgende discussie op: wat zijn vertrouwelijke gegevens? Wat voor jou vertrouwelijk is hoeft dat voor mij helemaal niet te zijn. Nee de discussie gaat dus veel verder dan vertrouwelijke gegevens. Het gaat om een algemeen afdruk/meeneem beleid van zowel analoge als digitale gegevens. Verschillende niet vertrouwelijke gegevens bij elkaar kunnen juist weer vertrouwelijk worden en wat vandaag vertrouwelijk is hoeft dat morgen niet meer te zijn (denk bijv. aan financiële jaarstukken).

Slechts weinig bedrijven hebben echt zicht op de vertrouwelijkheid van hun gegevens. Vaak moet de medewerker maar bepalen of het vertrouwelijk is zonder dat daar enig toezicht op is en we weten toch allemaal hoe het met het beveiligingsbewustzijn van het personeel gesteld is?

Zo te zien ligt er de komende jaren nog genoeg werk op ons te wachten en dat begint bij het bewust maken van het management en juist daar ontbreekt het vaak aan.
Er zijn echt wel maatregelen te bedenken om de gegevens beter te beveiligen, maar dan zal het management de eerste stap moeten zetten en moeten snappen welke risico’s ze nu echt lopen. Het meenemen van (vertrouwelijke) gegevens is er daar slechts één van.

Wachtwoorden veiliger op papier dan op PC

Het is veiliger om wachtwoorden op papier te bewaren dan op een computer, dat zegt beveiligingsexpert Gunter Ollmann. In het verleden werd vaak gewaarschuwd om wachtwoorden juist niet op te schrijven, maar steeds meer kenners komen daar op terug…Volgens Ollmann hebben gebruikers zowel op werk als thuis tientallen wachtwoorden die ze moeten onthouden. “Voordat je het weet zit je tot over je oren in de wachtwoorden.” Nu zijn er wel allerlei tools om wachtwoorden te bewaren en bieden de meeste browsers dit standaard aan. “Het probleem is dat cybercriminelen betere tools hebben”, merkt Ollmann op (bron).

Je ziet hier dat het succes van een bepaalde beveiligingsmaatregel voorbij is gestreefd door de praktijk. Een wachtwoord op zich kan best veilig zijn, maar het probleem is dat je het met één wachtwoord niet meer redt tegenwoordig. Zoveel systemen, zoveel wachtwoorden. Natuurlijk is het niet veilig om je wachtwoord op te schrijven maar het is in ieder geval veiliger dan je wachtwoorden op je computer te bewaren, dat kan best zo zijn. Het veiligst is natuurlijk om je wachtwoord(en) te onthouden en nergens te noteren, niet op papier en niet op je computer, maar dat is een ondoenlijke zaak tegenwoordig omdat je zoveel verschillende wachtwoorden moet onthouden.

Ga eens na, hoeveel systemen kun jij binnen een minuut bedenken waar je een ander wachtwoord voor nodig hebt? Ik kan er zoal een stuk of 15 tot 20 bedenken die ik allemaal probeer te onthouden en dan weet ik zeker dat ik er nog eens zo’n 15 tot 20 vergeten ben (en nee, ik schrijf ze nog steeds nergens op, het gaat me nog redelijk af). Voor de één moet ik 4 cijfers onthouden (pincode, telefoon, etc.) terwijl ik voor de ander 6 karakters moet onthouden (Windows, websystemen, etc.) en de volgende vereist 8 karakters waarvan 2 cijfers en 2 symbolen (websites, email, etc.).

Uiteraard proberen we er een soort logica in te bedenken voor onszelf zodat we het kunnen onthouden, probleem daarbij is dat alle systemen op andere momenten vragen om een nieuw wachtwoord waardoor het niet meer synchroon loopt en je haast wel gedwongen wordt om het op te schrijven.

Natuurlijk kun je onderscheid maken in privé gebruik en zakelijk gebruik maar het is van de gekken dat je voor zakelijk gebruik alleen al 10 wachtwoorden moet onthouden en dat alleen maar om in te loggen (dan heb je dus nog geen werk verzet). Er zijn allerlei systemen om het te vereenvoudigen maar die worden als snel te duur bevonden. Er wordt altijd gevraagd naar de terugverdientijd van een bepaalde maatregel en hoewel die niet voor alle beveiligingsmaatregelen even eenvoudig te berekenen is, is die voor een goed inlog-systeem wel te bepalen.

Bedenk eens hoe vaak je de helpdesk hebt moeten bellen voor een wachtwoord reset? Dat kost de medewerker van de helpdesk veel tijd maar jij kunt ook niet aan je werk beginnen. Daar kun je best gemiddelden tegenaan gooien, qua tijd en gemiddeld uurloon. Ik denk dat je verbaasd zult staan over de korte terugverdientijd van een goed (en veilig) inlog systeem.

Oh, wacht, Windows vraagt om mijn wachtwoord te updaten…

Nederlander geruster op vakantie dankzij alarminstallatie

Een kwart van de Nederlanders overweegt een alarminstallatie te kopen. 10% wil dat voor de zomervakantie en 15% in de toekomst…Het bezit van een alarminstallatie heeft twee doelen. Enerzijds schrikt het inbrekers af en verhoogt het de pakkans, maar minstens zo belangrijk is het feit dat een alarminstallatie leidt tot een veiliger gevoel op vakantie. De helft van de mensen met een alarminstallatie geeft namelijk aan dat zij met een veiliger gevoel op vakantie gaan dan voorheen zonder alarminstallatie (bron).

Het blijft altijd een mooie discussie: helpt een alarmsysteem inderdaad om inbraak te voorkomen? Waarschijnlijk wel als we het hebben over de kruimeldiefjes maar de wat zwaardere jongens laten zich er niet door afschrikken (zeker niet door de huis-tuin-en-keuken alarmsystemen van een paar tientjes). Een kruimeldief heeft ook niet een huis op het oog maar maakt gebruik van de mogelijkheden die hij in de wijk tegenkomt terwijl de zwaardere jongen eerder bewust zal kiezen voor een bepaald huis.

Uit het onderzoek blijkt dat de mensen met een alarmsysteem geruster op vakantie gaan, de vraag is of dat ook werkelijk zo is. Het merendeel van de alarmsystemen vereist dat er eerst iemand gaat kijken voordat de alarmcentrale een surveillant of de politie inschakelt. Zit je dus lekker in het zonnetje te genieten van je wel verdiende vakantierust dan is de kans groot dat het alarm je een sms stuurt dat er iets mis is. Jij moet dan eerst op zoek gaan naar iemand die het even kan checken. Hopelijk heb je daar vooraf afspraken over gemaakt en weet je direct wie je moet bellen. De vraag is alleen of je iemand (bijv. je buurman, je kinderen, je ouders) naar je huis wil sturen als er een inbreker rond loopt, wil je dat op je geweten hebben.

Maar goed, ga er even vanuit dat er iemand polshoogte is gaan nemen en dat er daadwerkelijk is ingebroken. De alarmcentrale zal dan de politie in schakelen maar zit jij nu echt nog zo rustig op vakantie? Je weet niet wat de schade is en wat er allemaal gestolen is terwijl je nog 3 weken heerlijk van de zon mag genieten. Nee, volgens mij is in sommige gevallen geen bericht een goed bericht.

Best sniper…

Hadden we gisteren nog de domste inbreker van deze wereld, vandaag hebben we de beste sniper van deze wereld. Mocht de politie nog een nieuwe schietinstructeur zoeken dan moeten ze deze sniper maar eens benaderen, voor een kleine transfer som is hij waarschijnlijk wel bereid om zijn kunsten te tonen.

Dit waren de filmpjes wel weer voor deze week, kijken wat de volgende week ons brengt…meer films of toch weer wat actuele feiten. Wie het weet mag het zeggen.

Worst burglar…

Volgens mij kun je op deze wereld 2 soorten criminelen onderscheiden, namelijk diegene die heel slim zijn (en die we waarschijnlijk nooit zullen pakken voor hun daden) en degene die toch maar beter hun lagere school af hadden kunnen maken om daarna een vak te leren.

Deze Braziliaanse inbreker zal voorlopig niet meer toeslaan, niet omdat hij nou zo dom is om het niet meer te proberen maar omdat hij voorlopig opgesloten zit. Nu maar hopen dat hij niet probeert uit te breken, dat zou nog zijn dood worden.

Beveiligingscamera’s zijn niet alleen maar slecht…

Deze week gooien we er maar weer eens wat filmpjes tegenaan, niet omdat de inspiratie ontbreekt om teksten te schrijven, maar omdat beelden zoveel meer kunnen zeggen dan 1000 woorden. Vandaag een al wat ouder filmpje, misschien heb je hem wel eens eerder gezien, maar hij blijft leuk.

Er is veel te doen over beveiligingscamera’s in combinatie met privacy (en geloof me, veel camera’s leggen meer vast dan wij weten), maar sommige mensen vragen er ook om om vereeuwigd te worden op het internet.

Hit and run…niemand zal helpen

Wat zou jij doen als iemand hulp nodig heeft? Stel je ziet dat iemand wordt aangereden, schiet jij te hulp? Het sociaal wenselijke antwoord mag duidelijk zijn. Natuurlijk schiet jij te hulp. Maar is dat ook zo?

Hadden we het gisteren nog over het bystander effect en werd een filmpje getoond waarin een experiment wordt uitgevoerd, nu een praktijksituatie waarbij ook dit effect om de hoek komt kijken (wees gewaarschuwd, het is geen lachwekkend filmpje dit keer).