School verliest USB-stick met gegevens scholieren

Een Amerikaanse school is een onbeveiligde USB-stick met de gegevens van alle leerlingen verloren. De gegevensdrager werd vorige weekt uit de school gestolen en bevatten informatie zoals naam, naam van ouders of opvoeders, telefoonnummers, busnummer en andere gegevens…De Lake Ridge Middle School gebruikte geen encryptie en lijkt daar ook niet mee bekend te zijn (bron).

Gelukkig een school in Amerika zul je denken, dat gebeurt hier toch niet? Ehm, zoveel kijk op de beveiliging binnen scholen heb ik persoonlijk niet, maar als ik de concullegas om me heen mag geloven is het hier niet veel beter gesteld met de beveiliging op scholen. Nee, het budget dat beschikbaar is voor de scholen wordt aan andere dingen uitgegeven. Op zich begrijpelijk natuurlijk…maar de vraag is of het aan de goede dingen wordt uitgegeven…aan nieuwe leraren en verbeteringen van het onderwijs niet als ik het nieuws mag geloven.

Een geruststellend idee is dan wel dat de school haar excuses aanbiedt en de ouders adviseert om naar de rest van een “fantastisch schooljaar” te kijken. Ja, ja, ga maar rustig slapen, er is niks aan de hand…totdat je kind wel de schoolbus heen neemt maar nooit meer terug komt. Kijken of alle andere ouders dan nog zo rustig kunnen slapen.

Kijkend naar de claimcultuur in Amerika ben ik heel benieuwd hoelang de directeur van de school aan mag blijven en hoeveel claims hij/zij om de oren zal krijgen.

Ook je boordcomputer is te hacken

Een Amerikaans team computerwetenschappers kan de boordcomputer van moderne auto’s kraken. Met deze hack willen ze de auto-industrie wijzen op het belang van een degelijke beveiliging…De wetenschappers sloten een laptop aan op de testauto en experimenteerden met verschillende commando’s. De software werd draadloos bediend via een andere laptop die zich in een tweede rijdende wagen bevond.

De resultaten zijn verrassend. Zo kunnen de remmen uitgeschakeld worden, ongeacht hoe hard op het rempedaal wordt getrapt. De achterklep en de motorkap kunnen geopend worden, de deuren en de radio bediend en de snelheidsmeter aangepast (bron).

Welk merk auto de onderzoekers hebben gebruikt willen ze niet zeggen, nou, mag ik een gokje wagen? Ik hou het op Toyota.

En wij maar denken dat de Japanners, met Toyota voorop, aan het bezuinigen zijn op de kwaliteit van de producten die ze leveren waardoor de remmen niet meer werken en het gas automatisch naar de hogere regionen gaat. Niets is minder waar, de Japanners (de uitvinders van de kwaliteitscontrole) leveren nog steeds kwalitatief hoogwaardige producten…nee er zijn gewoon wat Toyota’s gehackt door een pukkelige scriptkiddie (tenminste dat is mijn aanname). Nu bij Toyota de lol er een beetje af is richt hij zich op Lexus. Benieuwd welk volgend auto merk aan de beurt is.

Een pak van mijn hart dat de Japanse producten kwalitatief gewoon nog goed zijn en alleen maar haperen als ze gehackt zijn…hoef ik in ieder geval geen nieuwe breedbeeld, flatscreen 4D TV te gaan kopen.

Pedofiel brengt besmette PC naar computerwinkel

Hadden we gisteren al een directeur van een beveiligingsbedrijf die niet zo slim bezig was…maar ook de “gewone” burger kan er wat van zo blijkt uit het volgende verhaal.

Een 46-jarige Amerikaan is gearresteerd nadat hij zijn laptop met kinderporno naar een computerwinkel bracht. Volgens Daniel Wagner uit Sheboygan bevatte zijn computer een virus en werkte die niet meer naar behoren.

Het personeel van de computerwinkel trof meer dan zestig kinderporno afbeeldingen aan, waaronder een als achtergrond. Daarop werd de politie ingelicht, die de man arresteerde toen hij zijn laptop kwam ophalen. Op sommige van de 67 afbeeldingen waren kinderen van drie jaar oud te zien. Wagner hangt een maximale gevangenisstraf van 210 jaar en een boete van 1,4 miljoen dollar boven het hoofd (bron).

Moet ik hier nog iets aan toevoegen? Volgens mij niet, het verhaal is duidelijk genoeg. De komende 210 jaar zijn we van deze man af…tenzij hij in zijn cel een internetverbinding krijgt natuurlijk.

Anti-identiteitsdiefstal reclame wordt nachtmerrie

De directeur van een bedrijf dat zegt identiteitsdiefstal te voorkomen, is zelf dertien keer hiervan slachtoffer geworden. LifeLock kreeg onlangs nog een boete van 12 miljoen dollar wegens misleidende reclame…LifeLock CEO Todd Davis zette zelfs zijn social security nummer op de website en vermeldde die in reclames. Sinds 2007 hebben identiteitsdieven hier dertien keer misbruik van gemaakt. De financiele schade loopt in de duizenden dollars, maar de imagoschade is waarschijnlijk velen malen groter. (bron).

Het is natuurlijk leuk om als beveiligingsbedrijf een beetje een confronterende propositie aan te houden, maar dan moet je er natuurlijk niet gek van opkijken als je zelf slachtoffer wordt. Blijkbaar heeft de directeur blind vertrouwen in zijn eigen producten, onterecht blijkt nu.

Dat de financiele schade meevalt is tot daaraan toe, maar inderdaad wat doet het met het imago van de organisatie. Dat geldt natuurlijk niet alleen voor dit bedrijf maar voor alle bedrijven. Graag willen ze de risico’s gekwantificeerd hebben (zodat er mee gerekend kan worden: kosten en baten), maar wat zijn nu eigenlijk de kosten voor het imago?

Na de vliegtuigramp is de Telegraaf ook een aantal abonnees kwijt geraakt, een berichtje de wereld in slingeren was genoeg om een sneeuwbal effectje op te roepen bij anderen. Een individu kan op zich niet zoveel bereiken maar als hij een massa (hoe klein ook) weet te bereiken dan kan dat enorme gevolgen hebben. Aan de andere kant, er zijn genoeg incidenten in het nieuws (op straat raken van informatie bijvoorbeeld) waarbij geroepen wordt dat het slecht is voor het imago…maar echt weinig omzet wordt er door de bedrijven niet gemaakt. Maar goed, we dwalen een beetje af.

Advies is gewoon om maar niet teveel te roepen over beveiliging in reclame uitingen, dat lijkt nog het veiligst. Kijken we nog even naar BurgerKing bijvoorbeeld: die heeft de “overval”-weken waarbij ze in de reclame aangeven dat je ze bijna beroofd…rare jongens die dat verzonnen hebben, zo vraag je er wel een beetje om.

75% Nederlandse bedrijven lekt persoonsgegevens

Maar liefst driekwart van de Nederlandse bedrijven heeft persoonlijke gegevens van consumenten, klanten of werknemers verloren. Veel meer dan het wereldwijde gemiddelde, wat 58% bedraagt (bron).

Als we dus denken dat we in Nederland ver voorop lopen op het gebied van beveiliging, dan hebben we het goed mis. We doen het vele malen slechter dan het gemiddelde. Dan vraag je je natuurlijk af welke landen het allemaal beter doen. Zeker als je kijkt naar het feit dat wij zo graag kenniseconomie willen zijn. Blijkbaar schiet onze kennis toch nog te kort.

De klant is koning en heeft dus altijd gelijk…maar in dit geval helemaal: Consumenten vinden op hun beurt de privacy en bescherming van persoonlijke gegevens belangrijk, maar 51% heeft geen vertrouwen in de organisaties en bedrijven aan wie ze hun gegevens verschaffen.
Dat ze geen vertrouwen hebben in de organisaties blijkt nu terecht.

Voor organisaties kan beveiliging dus echt een onderscheidend vermogen en concurrentievoordeel zijn. Als je aan kan tonen dat de beveiliging op orde is en de klanten je vertrouwen dan kan je daar de voordelen uithalen.

Onbeveiligd wifi strafbaar in Duitsland

Het gerechtshof in Karlsruhe stelt in een vonnis dat internetabonnees hun wlan-aansluiting met passende maatregelen moeten beveiligen. Consumenten moeten daarmee voorkomen dat hun draadloze verbinding misbruikt wordt voor inbreuk op auteursrecht door onbevoegden. Verzuim kan leiden tot een schadevergoeding van maximaal 100 euro

Volgens het hof hoeft de gebruiker echter niet meer te doen dan het wijzigen van het default wachtwoord. Gebruik van de nieuwste beveiligingstechnieken is dus niet verplicht; ook de makkelijk kraakbare WEP-encryptie volstaat.(bron).

Na dit soort berichten vind ik het altijd jammer dat ik geen jurist ben. En natuurlijk kan ik het juridisch best uitzoeken maar dat gaat me te ver. Ik vraag me bijvoorbeeld af of we ook de parallel kunnen trekken tussen de digitale en analoge wereld. Kan een rechter het bijvoorbeeld ook strafbaar stellen als mijn voordeur niet beveiligd is? Stel dat ik een slecht slot in mijn voordeur heb waarop iedere loper past, er wordt ingebroken en mijn (legaal gekochte) CD´s worden gestolen. Kan hij me dan boete op leggen van 100 Euro? Is er eigenlijk een verschil tussen de digitale en analoge wereld op dit gebied en hebben we wel afzonderlijke wetten en jurisprudentie nodig?

Natuurlijk is er een verschil tussen de digitale en analoge wereld, maar wat is de definitie van diefstal? Is dat niet het wegnemen van enig goed (of iets dergelijks), terwijl in de digitale wereld eerder sprake zal zijn van het kopieren van enig auteursrechtelijk item. De gestolen informatie is namelijk vaak niet weg maar gewoon gekopieerd.

Het gaat in dit geval maar net om het doel van de crimineel: wil hij iets zelf ook in bezit krijgen of wil hij jou iets afnemen. In de analoge wereld misschien hetzelfde maar in de digitale wereld zeker niet.

Feit blijft dat het interessant is dat een rechter mensen kan verplichten iets aan beveiliging te doen, zaak dat er ook meer verplichtingen opgelegd worden aan de bedrijven, dan zijn we weer een stap verder in de richting van een veilige(re) wereld.

Deur zwakke schakel in beveiliging panden

Bij een inbraak in een woning aan de Vliesbes in Doetinchem is woensdagnacht een televisie weggenomen. Ook werd ingebroken in een bedrijf aan de Stikkenweg in Zelhem. Of daar iets is weggenomen is nog niet bekend. In beide gevallen is men binnengekomen door een deur open te breken. De politie onderzoekt de inbraken (bron).

Is mei niet een beetje vroeg voor de komkommertijd? Natuurlijk vind ik het belangrijk dat de media aandacht besteed aan beveiliging, want dat draagt (hopelijk) bij aan het bewustzijn. Maar als je niets beters te melden hebt dan dat de deur de zwakke schakel is, meld dan gewoon niks.

Natuurlijk is een deur een zwakke schakel, net zoals ramen en alle andere openingen in de buitenmuur. Dat was geen nieuws, dat is geen nieuws en dat zal nooit nieuws worden tenzij een krant natuurlijk vindt dat het wel nieuws is.

Het valt me steeds vaker op dat er allerlei informatie in het nieuws gegeven wordt die niet of nauwelijks terzake doet. Wordt de hart-van-nederland-cultuur ook door andere media overgenomen of is dat eigenlijk al jaren zo en begin ik me er steeds meer over te verbazen? Wat is er mis met het gewoon simpel weergeven van de feiten? Zonder meningen van Jan en Alleman die we op straat aanspreken en voor de camera laten verschijnen? Graag baseer ik mijn mening zelf, op de feiten die terzake doen en niet op wat de overbuurman ergens van vindt.

Eerste Kamer tegen landelijk EPD

Voorlopig komt er geen landelijk elektronisch patientendossier, een meerderheid van de Eerste Kamer is namelijk tegen, zo meldt dagblad De Pers. Uit een rondgang van de krant blijkt dat de Senaat het bijna vijftig miljoen euro kostende landelijke systeem te duur vindt. De Senatoren noemen het wetsvoorstel ‘absoluut prematuur’ en ‘een veel te griezelig avontuur’ (bron).

Ehm, inmiddels is het elektronisch patientendossier al zo vaak behandeld dat het een beetje een vervelend onderwerp begint te worden, maar goed, deze kunnen we niet aan ons voorbij laten gaan. De vraag die ik me stel gaat eigenlijk geeneens over het EPD maar over de wijze waarop dergelijke beslissingen verlopen. Moet de Eerste Kamer niet in een veel vroeger stadium betrokken worden als ze bedenkingen hebben? Nu zijn er allerlei partijen druk aan het ontwikkelen geslagen, er zijn miljoenen mee gemoeid, veel discussies gevoerd, burgers ongerust gemaakt en nu is de Eerste Kamer ertegen (overigens zie ik niet direct terug dat ze zich zorgen maken om privacy of beveiliging, maar goed, dat terzijde).

CDA-senator Hans Franken valt partijgenoot Ab Klink af door te stellen: Als de wetgever iets wil wat al die dokters niet willen, dan kun je er maar beter niet aan beginnen. Een mooie stelling van de heer Franken die in dit geval de spijker op zijn kop slaat. Konden we deze stelling maar breder inzetten: als de wetgever iets wil wat anderen niet willen, dan kun je er maar beter niet aan beginnen.

Aangezien we de komende jaren nog flink te bezuinigen hebben zeg ik (bij wijze van spreken, want ik ben net het Rode Kruis en dus partij onafhankelijk): Franken voor presiden en dan alles afschaffen wat de wetgever wil maar waar niemand anders op zit te wachten, weg met die regels, weg met de bureaucratie en alles wat het leven onnodig moeilijk maakt.

Voor vice-premier wijzen we dan Dupuis aan die het Ministerie zelfs naief noemt. Het zou onvoldoende kennis van zaken hebben en heeft de problematiek zwaar onderschat, zo laat hij de krant weten. En daarin kunnen we hem denk ik alleen maar gelijk geven.

Dit dossier wordt ongetwijfeld vervolgd.

Agent deels blind door pepperspray

Door een oefening met pepperspray ziet een hoofdagent in opleiding met zijn rechteroog alleen nog een soort rode mist. Het is de eerste keer dat een agent in opleiding mogelijk blijvend letsel overhoudt aan de oefening met pepperspray die met alle eerstejaarsstudenten wordt gedaan (bron).

Ja, je vraagt er ook wel een beetje om als je dit soort wapens tijdens de opleiding op elkaar uitprobeert. Dit is waarschijnlijk een van de redenen dat pepperspray in Nederland als wapen wordt gezien en dus verboden is. Het heeft wel wat weg van de ontgroeningen die studenten doen, vind je niet?

De vraag is natuurlijk waarom je in hemelsnaam een dergelijk wapen uit gaat proberen op eerstejaarsstudenten. Argument is wellicht dat ze dan weten hoe het voelt en wat het met je doet zodat ze nadenken voordat ze het op criminelen toepassen. Maar je gaat ook je wapen niet leegschieten op eerstejaarsstudenten zodat ze weten hoe een schotwond voelt, toch? En een politiehond laat je ook alleen maar los op eerstejaarsstudenten als ze een beschermend pak aantrekken.

Wat zou er nou gebeuren als een student tijdens de opleiding weigert? Moet hij dan van de opleiding af of mag hij gewoon door met de opleiding zonder de test? Raar eigenlijk, als je er zo bij nadenkt dat men blijkbaar in een opleiding gedwongen wordt tot dit soort praktijken. Misschien is dit wel een van de redenen dat de politie zo moeilijk aan nieuw personeel komt. Het nodigt ook niet echt uit: solliciteer bij ons en laat je verblinden door pepperspray, nee persoonlijk heb ik ook liever andere secundaire voorwaarden.

Heeft 11 september ons veiliger gemaakt?

Sinds 11 september zijn er weinig grote terroristische aanslagen gepleegd, wat doet vermoeden dat de aanval negen jaar geleden ons veiliger heeft gemaakt, maar is dat wel zo? Volgens beveiligingsgoeroe Bruce Schneier zijn er drie redenen waarom het de laatste tijd relatief stil is. Ten eerste zijn er helemaal niet zo veel terroristen. De tweede reden is dat het uitvoeren van een terroristische aanslag niet zo eenvoudig is als films en televisieseries ons doen geloven. Als laatste hebben terroristische aanslagen ook als functie om het thuisfront te imponeren. Elf september heeft de lat van hoe een spectaculaire aanval er uit moet zien vrij hoog gelegd. (bron)

Het blijft de gemoederen bezig houden en veel experts hebben er een uitgesproken mening over. De vraag of het ons veiliger heeft gemaakt is nauwelijks te beantwoorden, natuurlijk zijn er allerlei maatregelen genomen om bekende aanvallen te voorkomen (voor zover dat mogelijk is natuurlijk), maar uiteindelijk is het te moeilijk om je tegen terrorisme te beveiligen, zeker als je kijkt naar de afhankelijkheden die organisaties hebben.

Hoe kan ik me als zelfstandige organisatie bijvoorbeeld beveiligen tegen een vliegtuig dat mijn gebouw dreigt in te vliegen? Niet. We zijn in dat geval afhankelijk van allerlei andere organisaties die hun maatregelen op orde moeten hebben. Maar is de dreiging van terrorisme dan zo anders dan andere beveiligingsincidenten? In veel gevallen niet omdat ook daarbij externe factoren voor de dreiging kunnen zorgen en juist die externe factoren kun je niet beinvloeden.

Een organisatie kan zijn beveiliging nog zo goed op orde hebben, maar als de partijen waarvan hij afhankelijk is dat niet voor elkaar hebben, of als de verschillende beveiligingsniveau´s niet goed op elkaar aansluiten, dan lopen we risico.

Er wordt al langere tijd gesproken over beveiliging in de keten, dat geeft al uitdagingen genoeg, zeker gezien het gemiddelde beveiligingsniveau van organisaties. Verbeter de wereld begin bij jezelf, toch? Kortom: eerst moeten organisaties zelf hun beveiliging op orde hebben, daarna moet het in de keten met leveranciers en afnemers geregeld worden en dan kunnen we pas oplijnen met allerlei andere partijen waar we afhankelijk van zijn (denk niet alleen aan de overheid maar kijk ook eens naar de bedrijven in de omgeving).

Als iedere partij de beveiliging ter hand neemt en zorg draagt voor een acceptabel beveiligingsniveau, dan kunnen we wellicht spreken dat we veiliger zijn maar dat gaat in ieder geval nog jaren duren en begint bij beveiligingsbewustzijn op management niveau.