Stelend personeel enorme schadepost

De schade voor winkeliers door medewerkers die een greep uit de kassa doen, magazijnbedienden die artikelen verduisteren en personeel dat zelf koopt zonder te betalen, is vorig jaar met tien miljoen euro gestegen tot een verliespost van 180 miljoen euro (bron).

180 miljoen klinkt natuurlijk als een enorm bedrag, maar iets in mij zegt me dat dit slechts het topje van de ijsberg is. De schadepost bestaat natuurlijk niet alleen uit diefstal en verduistering van goederen uit winkels. Ook in kantoorpanden wordt natuurlijk vrolijk “geshopt”. De toner thuis op? Dan nemen we er toch een mee van de zaak? Even wat extra reiskosten declareren om het gat te vullen? Wie controleert of jij echt op reis bent geweest?

Denk dus niet dat we er met die 180 miljoen gezegend vanaf komen, want dit is slechts een klein gedeelte van de arbeidsbevolking en slechts een klein gedeelte van wat we daadwerkelijk zien. Het onderzoek is uitgevoerd door de stichting Fraude Aanpak Detailhandel en alle andere organisaties vallen dus buiten de boot.

Het is ook weer vakantietijd, dus het WC-papier, de plastic koffiebekertjes. Ze verdwijnen aan de lopende band omdat we ze zo hard nodig hebben op de camping. Onvoorstelbaar eigenlijk dat medewerkers dit soort risico’s willen lopen. Je zult gepakt worden met 2 WC-rollen in je koffer. Moet je toch een goed verhaal hebben om daar mee weg te komen. Wil jij echt je baan op de tocht zetten omdat je wat WC-papier nodig hebt?

De vraag is nu dus hoeveel procent van het totaal die 180 miljoen is. Dan kunnen we ook uitrekenen hoe groot de kans is dat je gepakt wordt. Ook hier geldt dus weer dat als de pakkans gering is (en dat is hij volgens mij), de fraudes toenemen. Dat zal de komende jaren ook niet minder worden dus we zullen de controles op moeten voeren…helaas bezuinigen we daar vaak als eerste op.

Nummerborden en auto’s moeten chip krijgen

Nummerborden moeten in de toekomst worden uitgerust met een speciale chip, waardoor de politie op afstand kan scannen of een auto bijvoorbeeld is gestolen. Dat adviseert een werkgroep onder leiding van de RAI Vereniging van auto-importeurs (bron).

We hebben er in het verleden al eens voor gewaarschuwd en het lijkt er nu toch echt van te komen. Nog meer chips in je auto waardoor je nog gemakkelijker te volgen bent. En dat allemaal onder het mom van het voorkomen van kenteken diefstallen (ja er staat om op afstand te kunnen scannen of een auto gestolen is, maar als de chip in het kenteken zit dan zegt dat nog niets over de auto). Nou, we zullen de privacy discussie wel weer voorbij zien komen.

Oh wacht, ze hebben ook een manier gevonden om de chip in je auto te kunnen verwerken (zonder dat we argwaan krijgen): Als extra beveiliging komt er een chip met dezelfde code achter de voorruit. Die komt achter een kleine sticker, evenals een vignet die in de Alpenlanden worden gebruikt.

Bij dit soort zaken wordt het belangrijk om duidelijk te krijgen waarvoor de techniek gebruik mag worden. Mag de politie het alleen gebruiken om diefstal van auto’s en kentekens te achterhalen of mogen ze het straks ook gebruiken om jou een bekeuring te geven als je te hard gereden hebt?

Het grote voordeel van de nieuwe platen is volgens de RAI dat de politie in een straal van zo’n 20 meter de chip kan uitlezen. Zo kunnen agenten direct zien of de auto geregistreerd staat als gestolen.

Let op. Nu wordt traject controle bijvoorbeeld nog uitgevoerd met camera’s. Een geluk voor ons (als we opletten) want deze kunnen we nog zien waardoor we hard op onze rem kunnen trappen. Straks, als ze over scan apparatuur beschikken die op basis van chips werkt dan is die apparatuur veel gemakkelijker te verbergen waardoor we meer en meer bekeuringen zullen ontvangen. En natuurlijk, nu wordt er nog hard geroepen dat het daar niet voor gebruikt zal/mag worden…maar na een aantal jaren is iedereen dat vergeten en worden dit soort technieken meer en meer gebruik om ons te bekeuren (en het eigenlijk doel: het opsporen van kentekens en gestolen auto’s wordt uit het oog verloren).

Sticker beschermt laptop tegen webcam-hackers

De helft van de Amerikanen met een laptop weet niet dat iemand anders op afstand de webcam kan hacken en live kan meekijken, aldus onderzoek door een bedrijf dat speciale stickers aanbiedt om de webcam af te dekken. Met name vrouwen en ‘generatie Y’ zijn onbekend met de mogelijkheid om op afstand iemand te begluren (bron).

Ok, het is misschien een beetje: wij van WC-eend raden u WC-eend aan, maar goed. Blijkbaar bestaat er een bedrijf dat zijn geld moet zien te verdienen met het verkopen van speciale stickers om de webcam af te plakken. Geen flauw idee trouwens wat er zo speciaal is aan die sticker want je kunt je webcam natuurlijk gewoon afplakken met alles dat niet doorschijnend is, daar heb je geen speciale sticker voor nodig.

Toch is het goed om dit bericht hier te behandelen, want ze geven nog wat meer tips. Het advies dat laptopbezitters dan ook krijgen is het afdekken van de webcam, bekend raken met de potentiële risico’s, het in de gaten houden van het webcamlichtje en het gebruik van een virusscanner.

Uit sympathie zou je kunnen overwegen om bij dit bedrijf een sticker te kopen, maar je mag het wat mij betreft ook gewoon met een post-it of pleister doen. Je kijkt maar wat je doet. Feit is wel dat: “Ervaren hackers kunnen de webcam in minder dan een minuut hacken en zelfs het licht uitschakelen dat toont dat de webcam is ingeschakeld”, zegt Parham Eftekhari, oprichter van CamPatch Webcam Covers.

Nou ja, je doet er maar mee wat je wilt. Mijn webcam is in ieder geval (nog) niet afgeplakt en ik vertrouw voorlopig nog even op mijn up-to-date beveiligingssoftware als antivirus en firewall. Besluit jij om voor de zekerheid je webcam af te plakken vergeet dan niet dat men op dezelfde wijze ook je microfoon uit kan luisteren, dus misschien moet je 2 stickers plakken als je echt paranoia bent.

Woensdag gevaarlijkste dag voor inbox

Omdat het morgen alweer woensdag is, komt onderstaande informatie vandaag al goed van pas zodat we morgen extra alert kunnen zijn.

Woensdagen in maart waren het meest geliefde moment voor aanvallers om via e-mail bij bedrijven en organisaties in te breken. Beveiligingsbedrijf FireEye analyseerde in de eerste vier maanden van dit jaar wanneer gerichte aanvallen, voorzien van kwaadaardige bijlage of link, voorkwamen. De meeste aanvallen vinden op woensdag plaats, gevolgd door donderdag. Zondag, zaterdag en vrijdag zijn het rustigst (bron).

Nu zou je natuurlijk je wekelijkse vrije dag of je wekelijkse emailvrije dag voortaan op woensdagen kunnen laten vallen maar dat is natuurlijk niet de oplossing want het gaat om berichten die op woensdagen in je mailbox zijn verschenen.

Wel vreemd overigens want de drukste dagen op een kantoor zijn toch meestal de dinsdagen en de donderdagen. Woensdag is alweer halverwege de week, dus men neemt graag een vrije dag of werkt graag thuis op die dag. Nou ja, je bent gewaarschuwd en morgen moet je dus weer een keer extra alert zijn op vreemde mailtjes en niet zomaar allerlei links en foto’s openen. Maar dat geldt natuurlijk niet alleen voor de woensdagen, hou daar de andere dagen ook gewoon rekening mee en jij bent in ieder geval een stuk veiliger.

Beveiligingscamera’s makkelijk te hacken

Hadden we het gisteren nog over het cameraplan dat verplicht gesteld wordt voor kleine bedrijven als ze aanspraak willen maken op subsidie voor beveiligingsmaatregelen dan gaan we vandaag nog even door op het hacken van beveiligingscamera’s.

Organisaties laten veelal na hun bewakingscamera’s te beveiligen. Daardoor is het voor mensen met kwade bedoelingen vaak heel eenvoudig om de besturing over te nemen of beelden op te vragen
(bron).

Voordat je denkt dat de beveiligingscamera’s met allerlei zware, ingewikkelde, technische tools aangevallen worden, zetten we je gelijk weer met beide benen op de aarde.

In 70 procent van de gevallen laten de kopers van dergelijke bewakingscamera’s na om de standaard inlognamen en wachtwoorden te veranderen. Terwijl de camera’s in kwestie in de configuratie waarin ze geleverd worden, wel op afstand te bedienen zijn.

Of je het hacken wilt noemen of dat je deze term vloeken in de kerk vindt, doet niet terzake. Het gaat er natuurlijk om hoe simpel het is om op dergelijke camera’s in te loggen. Ook dit is niet nieuw natuurlijk want dat bestond met de eerste netwerkcamera’s ook al. En voordat we camera’s aan het netwerk gingen hangen was het risico ook al aanwezig in modems en routers.

Weet je nog? Je kreeg je eerste ADSL-router. Plug-and-Play. Makkelijker kon niet. Uit de doos, kabel erin, activeren en na een paar minuten begonnen de lampjes te branden en kon jij razendsnel internetten. Met een draadloze router werd het allemaal nog makkelijker en kon je gewoon met je laptop op schoot vanaf de bank het hele internet onveilig maken.

Na een paar jaar kwam er ineens WEP (jij had geen flauw idee waar het voor stond, maar met 1 vinkje was ook jouw verbinding beveiligd). Later moest je over op WPA omdat WEP blijkbaar niet zo veilig meer was. Jij een ander vinkje aangezet en veilig was je weer. Nou ja, zo kunnen we nog wel even doorgaan.

Maar het feit dat er nu meer draadloze verbindingen beveiligd zijn, komt niet zozeer omdat de gebruikers zich bewust zijn geworden van de risico’s. Nee, het komt omdat de fabrikanten een trucje bedachten waardoor jij je standaard wachtwoord moest wijzigen en waarbij er automatisch een beveiligde verbinding werd opgezet. Jaren geleden heb ik al eens gekeken in mijn eigen omgeving en stonden er nog vele verbindingen open. Waarschijnlijk heeft iedereen in mijn omgeving inmiddels een nieuwe router, want alle verbindingen zijn nu wel voorzien van een slotje.

Nu kunnen we proberen om de bedrijven die de camera’s aanschaffen duidelijk te maken dat ze wachtwoorden moeten wijzigen maar dat gaat toch niet lukken. Nee, als de fabrikanten hetzelfde trucje toe gaan passen als ze bij routers hebben gedaan dan zijn de camera’s over een aantal jaren ook allemaal net iets beter beveiligd.

Tot die tijd moet het cameraplan (zie gisteren) ons dan maar beveiligen en dat dat een wassen neus is weten we allemaal maar een veel beter alternatief zien we helaas nog niet.

Smile: your on candid camera

Ook dit jaar kunnen kleine bedrijven een beroep doen op subsidie om beveiligingsmaatregelen te treffen. Wel is voortaan een cameraplan verplicht bij het aanbrengen van camera’s (bron).

Dit kan nog lachen worden, als je het mij vraagt. Prima dat kleine bedrijven geholpen worden om iets aan beveiliging te doen, daar hoor je me nu niet over. Maar een cameraplan zal voor veel van die organisaties toch echt teveel van het goede zijn.

Natuurlijk kunnen de installateurs en leveranciers hier een standaard template voor maken. Hop, even invullen en klaar zijn we. Maar daarvoor is een dergelijk cameraplan natuurlijk helemaal niet bedoeld. En ach, Minister Opstelten geeft het zelf ook al aan:
‘Daarom heb ik in de regeling voor 2012 een cameraplan verplicht gesteld bij subsidie voor camera’s. Dit wordt door een gespecialiseerde leverancier opgesteld”, aldus Opstelten.

Nu kun je dus € 1.000,- subsidie krijgen als je als kleine organisatie investeert in beveiligingsmaatregelen, waaronder beveiligingscamera’s. En ja, je kunt uren twisten over het nut van dergelijke camera’s. Maar laten we die discussie vooral niet voeren. Nee, als je dan toch al € 1.000,- terug kunt krijgen dan is het natuurlijk zonde van het geld om een deel hiervan te moeten betalen voor een papierentijger.

Dat plan wordt dus opgesteld door een specialistisch bedrijf. En ja, dat bedrijf gaat het ook echt niet gratis doen. Misschien dat de installateur je verteld dat hij het wel gratis voor je doet, maar dat betekent wat mij betreft alleen maar dat je slechtere kwaliteit spullen geleverd krijgt of teveel moet betalen. Het is natuurlijk niet zo dat als de kosten voor het opstellen van een cameraplan niet op de factuur staan, je daar ook niet voor betaald hebt. Het moet uit de lengte of breedte komen en voor niets gaat de zon op.

Terug naar het verhaal. Alle kleine bedrijven moeten straks dus een cameraplan hebben. Daar zullen we op gaan controleren want anders krijgen ze de subsidie niet. En geloof me, het opstellen van een goed integraal cameraplan kost tijd. Zeker als in dat plan ook de doelen worden aangeven voor die camera’s en als we in dat plan ook de privacy aspecten voldoende aan bod willen laten komen.

Sterker nog: er zijn maar weinig grote bedrijven met echt goede cameraplannen. Terwijl deze vele malen meer camera’s links en rechts hebben hangen. De MKB-er loopt straks qua beveiliging dus voorop. De grote organisaties blijven achter. Jammer dan dat ze met name voorop lopen met een papierentijger.

Wachtwoorden kinderspel voor hackers

Hoe vaak heb jij de afgelopen weken je wachtwoord moeten wijzigen? Lastig maar je doet het omdat je nu eenmaal weet dat het erbij hoort. Als je je auto parkeert in de stad dan doe je hem ook op slot en als je ’s morgens wilt inloggen dan hoort daar een wachtwoord bij. Het hebben van wachtwoorden zit al zo in ons systeem gebakken dat we er mee kunnen leven. Dit in tegenstelling tot veel andere beveiligingsmaatregelen (die wel echt werken). Nee, die proberen we toch liever te omzeilen.

Jammer dat het zo werkt en een tip voor de mede-beveiligers in andere organisaties. Schaf de huidige wachtwoord-policy af, want het heeft geen zin meer.

Het gebruik van wachtwoorden als voornaamste beveiliging tegen ongewenste indringers is bijna net zo verouderd als het gebruik van een driecijferig fietsslot: je voorkomt er nog net mee dat iedereen zomaar met je fiets gaat rennen, maar met een paperclip en een vloeipapiertje krijgt iedere basisscholier hem open (bron).

Voordat alle enthousiaste beveiligers aan de slag gaan om de wachtwoord-policy aan te passen, is het misschien raadzaam om nog even aan te halen dat we natuurlijk niet zomaar zonder wachtwoorden kunnen en ik durf zelfs te beweren dat een vorm van wachtwoord voorlopig nog in gebruik zal blijven (ook pincodes reken ik trouwens voor het gemak even tot wachtwoorden).

“De waarheid is dat iedereen die nu nog waardevolle data probeert te beschermen, daarvoor minimaal multifactor authenticatie en/of aanvullende beveiligingsmaatregelen zal moeten treffen,” meent Peter Lindstrom, analist bij Spire Security. “Het wachtwoord alleen kent teveel zwakke plekken, waaronder de voor de hand liggende menselijke fouten.”

Waar het dus op neer komt is dat een wachtwoord alleen niet meer voldoende is. Er moet meer gebeuren. Er moet een combinatie zijn van:
– iets wat je weet (kennis)
– iets wat je bezit
– iets wat je bent (persoonlijke eigenschap)

Helaas maar waar voor alle beveiligers die zo blij zijn dat het wachtwoordbeleid binnen de organisatie lijkt te werken (met name omdat het technisch afgedwongen wordt en je er als medewerker maar mee te leven hebt). We zullen aan de slag moeten en we zullen al die organisaties die alleen nog maar van “kennis” (een wachtwoord) gebruik maken moeten overtuigen dat ze met een driecijferig fietsslot werken.

Nou, ik wens iedereen, die de taak krijgt toegewezen om het management te overtuigen, heel veel succes. Heb je een succesverhaal waardoor het jou wel gelukt is. Laat het ons dan weten, dan kunnen we die informatie delen en elkaar weer verder op weg helpen.

Nu ga ik snel mijn wachtwoorden wijzigen want ook ik maak me wel eens schuldig aan “de vloek van het herbruikbare wachtwoord”

Topmanager ziet risico’s van ICT niet

Voor veel van ons eigenlijk een bericht met weinig nieuwswaarde, wij weten dit immers al jaren en vechten al langer tegen deze bierkaai. Maar toch kan het geen kwaad om een dergelijk bericht aan te halen. Al was het alleen maar omdat er nu een aantal instituten achter zitten die misschien wel gelooft worden.

Topmanagers van bedrijven zien geen verband tussen ict-risico’s en bedrijfsrisico’s voor hun onderneming. Dat is de belangrijkste conclusie uit het Governance Report 2012 dat securityleverancier RSA samenstelde in samenwerking met het onderzoeksinstituut CyLab van de Carnegie Mellon Universiteit. Leidinggevenden blijken geen zicht te hebben op de rol van computersystemen en data binnen hun bedrijf. Zij realiseren zich niet hoe ict-risico’s de bedrijfsresultaten kunnen ondermijnen (bron).

Ik kan natuurlijk alleen maar aansluiten bij een dergelijk bericht. Het gaat ook helemaal niet om informatiebeveiliging en al helemaal niet om de IT. Nee, het gaat, zoals al veel vaker is geroepen, om de bedrijfscontinuïteit. Maar op de een of andere manier blijft dat een vies woord voor veel managers.

Persoonlijk vind ik het dan ook niet zo spannend dat men de koppeling tussen IT en bedrijf niet ziet. Nee, wat ik veel interessanter zou vinden is als het ons lukt om de echte redenen daarvan te vinden. Managers (over het algemeen) zijn natuurlijk niet de domste mensen van deze planeet. En als ze er een keer goed over na zouden denken dan zien zij echt de koppeling tussen de verschillende risico’s wel. Vraag is echter of ze dat interesseert. Waarom zouden ze daar wakker van liggen? Hun eigen bonus is veel belangrijker dus daar moet alles voor wijken.

Misschien dat die managers te weinig het gevoel hebben dat ze echt een bijdrage leveren aan de continuïteit van de organisatie. Ze managen wel van alles maar vragen zichzelf ook wel eens af wat hun bijdrage nu bijdraagt aan het collectief. Zo bezien is het dus ook geen beveiligingsrisico dat er geen koppeling wordt gelegd tussen IT-risico en bedrijfsrisico. Nee, eerder is het een organisatorisch of bedrijfskundig risico waar het topmanagement een belangrijke rol in speelt.

Als voor een manager of een afdeling duidelijk is welke bijdrage ze leveren aan de totale organisatie, als voor hen duidelijk is welke informatie zij daarbij nodig hebben en als dan ook nog duidelijk wordt op welke IT-systemen die informatie draait, ja dan zou het ze misschien interesseren. Maar zolang de IT intern is “uitbesteed” aan een andere afdeling en zolang de persoonlijke bonus er niet op aangepast wordt overzien we het geheel niet meer.

Dat kun je een manager (volgens mij) niet kwalijk nemen. Nee, daarvoor moet je risicomanagement en informatiebeveiliging via een top-down benadering goed inregelen. En eerlijk is eerlijk: dat is makkelijker gezegd dan gedaan.

Nederland kampioen afluisteren

In Nederland worden ruim 22.000 telefoons afgeluisterd. Het gaat om gemiddeld 50 telefoons per gemeente. Nederlandse opsporingsambtenaren luisteren daarmee veel meer telefoons af dan hun collega’s in omringende landen (bron).

Op zich natuurlijk al een opmerkelijk bericht dat wij gemiddeld de meeste telefoons afluisteren, maar de vraag is natuurlijk waarom en wat doen we of voorkomen we daarmee? Dergelijk nieuws komt niet naar buiten en ik schat de kans dan ook groot dat de opsporingsambtenaren het merendeel van hun tijd naar onzin telefoontjes zitten te luisteren.

“Schat, ik ben over 10 minuten thuis, zet de aardappelen maar vast op”. Zo, weer een paar seconde kostbare opsporingstijd verloren gegaan. Nu is het natuurlijk al jaren een trend dat we minder en minder bellen en steeds meer “whatsappjes” en “pingetjes” sturen. Vraag jij je dan ook niet af of al die berichten ook gemonitord worden? Ik heb mijn “whatsapp” er net even op nageslagen en kom in zijn totaliteit 0 (lees: nul) spannende berichtjes tegen. Hopen voor de opsporingsambtenaren dat ze mij niet af hoeven te luisteren want dat is echt zonde van hun tijd.

Nou ja, hoor je binnenkort een storing op de lijn, hoor je een vreemde klik tijdens je gesprek of hoor je achtergrondgeluiden terwijl de ander in een rustig hoekje zit te bellen, dan kan het zomaar zo zijn dat er met je wordt meegeluisterd. Heb je iets spannends te vertellen dan doe je dat het beste dus niet via de telefoon.

Maar wacht, was dit niet al jaren de normaalste gang van zaken? Was het “vroeger” ook verboden om vertrouwelijk of geheime gegevens via de telefoon te bespreken (een veel geziene bedrijfspolicy)? Dan is er dus in de afgelopen jaren aan het risico niets gewijzigd. Alleen zijn we inmiddels vergroeid met onze telefoon en zijn we vergeten dat die redelijk eenvoudig is af te luisteren.

Wat dat betreft kunnen we het misschien nog het beste vergelijken met autorijden. In de auto voelen we ons veilig en omdat we ons veilig voelen zingen we keihard met de muziek mee, peuteren we lekker in onze neus en steken we vrolijk een middelvinger naar de ander op. Niemand die ons wat doet, niemand die ons ziet, toch? Met de telefoon is volgens mij iets vergelijkbaars aan de gang. We wanen ons veilig als we door ons mobieltje praten, niemand die ons kan horen. Nou ja, als je tenminste niet ijsberend door het kantoor door je microfoon loopt te gillen (mensen: het is een telefoon, als je wat zachter praat hoort de ander je ook hoor).

Ach, zolang je niets te verbergen hebt, heb je ook niks om je druk over te maken. Dus gewoon lekker blijven bellen en als je iets “vertrouwelijks” moet vertellen (of het nu privé of zakelijk is), gewoon lekker bij de ander een bak koffie gaan drinken en face-to-face het gesprek aangaan.