“10% Nederlanders belt politie bij dataverlies”

hmm, opvallen bericht.

In het geval bedrijven persoonlijke gegevens verliezen, belt tien procent van de Nederlanders de politie, zo blijkt uit een straatenquete die beveiligingsbedrijf SafeNet onder vijftig Nederlanders uitvoerde. 28% wil de organisatie in kwestie zelfs voor de rechter slepen, terwijl een zelfde percentage geen zaken meer met “lekkende” bedrijven doet (bron).

Mensen worden zich dus meer en meer bewust van hun persoonlijke gegevens en willen de bedrijven zelfs voor de rechter slepen. Hopen (althans voor mij) dat organisaties dit bericht ook lezen. Ook willen veel mensen geen zaken meer doen met die organisaties…wees dus gewaarschuwd en doe je best om de gegevens zo goed mogelijk te beschermen. En geloof me, er is nog een hoop werk te doen.

Verder leest bijna zestig procent van de Nederlanders nooit het privacybeleid voordat ze vertrouwelijke gegevens ergens achterlaten. Ook controleert 85% zelden tot nooit hoe een bedrijf hun gegevens beschermt (bron).

Ik kan me voorstellen dat bijna niemand (vind persoonlijk het percentage nog aan de lage kant) het privacybeleid leest, het is net als met de algemene voorwaarden. Lappen tekst, moeilijke woorden en we kunnen toch niet controleren of het ook echt waar is. Wees eens eerlijk. Wanneer heb jij voor het laatst het privacybeleid van een site gelezen? Nooit? Nee, dat dacht ik al.

Boodschap aan bedrijven: maak je privacybeleid kort, duidelijk en krachtig. Geen mitsen en maren, geen onnodig moeilijke woorden en zorg dat je je er ook echt aan houdt. Wil je de gegevens verkopen voor commerciële doeleinden? Zeg dat dan gewoon, dat is wel zo eerlijk (en ik denk niet dat het je heel veel klanten zal schelen). Hou je de gegevens strikt voor jezelf, dan moet je het helemaal aan de grote klok hangen (en je er aan houden natuurlijk).

Toch de gegevens op straat geraakt? Dan zullen je klanten het je (terecht) kwalijk nemen, maar als je er alles aan gedaan hebt om het te voorkomen dan kun je de schade misschien nog beperken. En ik bedoel hier niet de financiële schade, maar de imagoschade…want dat is vaak de grootste angst.

Wethouder veiligheid slachtoffer van skimmers

De Zoetermeerse wethouder van veiligheid is slachtoffer van skimming geworden, zo meldt RTV West. Skimmers wisten vorige week duizend euro in Marokko van de rekening van Patrick van Domburg te halen. Zijn pinpas werd bij een betaalautomaat van de ING Bank in het winkelcentrum Stadshart gekopieerd (bron).

Zo zie je maar, de skimmers hebben geen onderscheid gemaakt. Daarnaast kun je zien dat het dus als gebruiker zeer moeilijk is om te zien of een automaat bewerkt is door skimmers, zelfs voor mensen die er beroepsmatig mee bezig zijn. De apparatuur die wordt toegepast is nauwelijks van echt te onderscheiden en ziet er erg professioneel uit. Telefoontjes waarvan de camera gebruikt wordt, extra batterijen voor een langere levensduur en een sleuf die de strip op je kaart kopieert. Die jongens hebben tenminste een vak geleerd (helaas passen ze hun kwaliteiten wat illegaal toe).

Maar wat kun je er nu zelf aan doen? Ehm, moeilijk, gewoon goed opletten en als je het niet vertrouwd dan maar even geen geld opnemen. Hoeveel garantie dat biedt? Niet zoveel als ik eerlijk moet zijn. Hou vooral je bankafschriften goed in de gaten…hoewel de bank het meestal eerder op zal merken dan jijzelf en dat vind ik dan weer een geruststelling.

De banken monitoren continu wat er met de geldstromen gebeurt, helaas zijn er nog steeds mensen slachtoffer maar ze voorkomen er hiermee ook een heleboel.

 

Facebook grootste security-gevaar binnen bedrijven

Facebook vormt van de netwerksites het grootste beveiligingsrisico binnen bedrijven. Spam, phishing en malware via dit soort sites groeit snel. Dat blijkt uit een nieuw onderzoek door Sophos. Van de ondervraagde managers bij vijfhonderd bedrijven vond 60 procent dat Facebook het grootste gevaar vormde. Myspace eindigde op de tweede plek met 18 procent, Twitter staat derde met 17 procent. Linkedin vormt volgens de bedrijven een veel geringer risico (4 procent). (bron)

Er wordt dan wel aangekondigd dat Facebook het grootste gevaar is, maar als je bovenstaande brontekst goed leest dan blijkt het de mening te zijn van de ondervraagde managers. Ik ben eigenlijk wel geinteresseerd in de gedachte erachter (natuurlijk, gevoelsmatig snap ik best dat het risico’s met zich mee brengt), maar in dit geval wil ik weten waar zij hun mening op baseren.

Kunnen zij met feiten onderbouwen dat ook echt een risico vormt? Zijn er incidenten ontdekt die ze kunnen relateren aan Facebook en al die andere sites?

Veel organisaties spelen met de problematiek rondom social networking sites, er zijn er al genoeg die dit soort sites maar ook sites als Youtube bijvoorbeeld dicht willen zetten. Zo kunnen de medewerkers er in ieder geval vanuit het bedrijfsnetwerk niet bij…althans dat is de gedachte.

Natuurlijk denken we vanuit beveiliging en laten we deze sites snel dichtzetten, maar hoe zit het met de commercie? De organisatie draait niet om beveiliging, beveiliging is ondersteunend…nee het draait om de commercie en de verkoop van jouw producten en diensten. Marketeers lopen voorop als het om social networking gaat en maken hiervan gebruik om de producten en diensten onder de aandacht te brengen. Dichtzetten van deze site betekent dus dat je omzet mis loopt…en dat lijkt me niet de bedoeling.

Nee beter dan dichtzetten van deze sites is om de medewerkers duidelijk te maken wat de risico’s zijn. De risico’s voor de organisatie maar ook de risico’s voor de persoon zelf.

Zo werd ik laatst gevraagd om voor een presentatie even wat namen van mensen te googlen. Zo gezegd zo gedaan…van een aantal kwam ik toch best interessante gegevens tegen. Als je ze daarmee confronteert dan schrikken ze en gaan ze echt beter nadenken voor de toekomst.

Ik kwam er bijvoorbeeld een tegen die ondersteboven in een paaldanspaal (wow, mooi woord) hing op zijn Partyflock site. Ja, op “zijn”, zo schokkend was het nu ook weer niet maar als hij ooit gaat solliciteren is de kans groot dat je nieuwe werkgever je al lang gezien heeft.

Kortom: bedrijven moeten dit soort ontwikkelingen niet tegenhouden, doen ze dat wel dan kost ze dat een hoop omzet, nee ze moeten het juist op een zo veilig mogelijke wijze stimuleren.

Gek he? Dat iemand die continu bezig is met risico’s en beveiliging zo denkt, haha.

Top 10 ergste beveiligingsmaatregelen

Nee ik heb ze niet zelf verzonnen of onderzocht en of ik het er volledig mee eens ben laat ik voor het gemak ook maar even in het midden.

Als het gaat om informatiebeveiliging zijn er verschillende manieren om informatie te beschermen, maar sommige gebruikte maatregelen waren, zijn en zullen nooit effectief zijn. Aan de andere kant kunnen deze maatregelen voor problemen zorgen, IT-afdelingen op kosten jagen en uiteindelijk meer kwaad dan goed doen. Fred Cohen, een van de eerste “virusschrijvers”, verzamelde tien van de ergste “security practices” (bron).

  1. Het wijzigen van wachtwoorden
  2. Een bron via reverse DNS lookup authenticeren
  3. Terugslaan uit zelfverdediging
  4. Gebruikers over technische zaken laten beslissen
  5. We kunnen de stekker er bij een incident uittrekken
  6. Het gebruik van ontdekte lekken als graadmeter
  7. Vertrouw wat de leverancier beweert
  8. De NSA gebruikt het, dus kan ik het vertrouwen
  9. We gebruiken best practices
  10. Het is voor uw veiligheid

Leuk grapje…not!!

PHILADELPHIA – Een grap van een Amerikaanse security-medewerker op de luchthaven van Philadelphia is niet gewaardeerd door het slachtoffer. De 22-jarige studente Rebecca Solomon reisde op 5 januari van Philadelphia naar Detroit, maar kreeg op de luchthaven van vertrek de schrik van haar leven. Volgens lokale media deed de medewerker alsof hij drugs in de bagage van Solomon had gevonden.

Toen de studente door het beveiligingspoortje gelopen was, kwam de man op Solomon af met een zakje wit poeder in zijn hand. Hoe kom je hieraan?, zou hij haar hebben gevraagd. Eerlijk antwoorden, dan komt alles goed, voegde hij daaraan toe. Om na twintig seconden paniek en zweten bij Solomon te zeggen: grapje, het is van mij.

De jonge vrouw, die na een vakantie bij haar ouders weer terug naar de universiteit wilde gaan, spreekt van de langste twintig seconden van mijn leven. Ze barstte na het voorval in tranen uit.

De beveiligingsdienst TSA heeft de grap van de medewerker bevestigd. De man zou inmiddels niet meer bij de dienst werkzaam zijn. Of hij ontslagen is, wil de TSA niet zeggen (bron).

Bedrijven overgeleverd aan cybercriminelen

Bedrijven en security professionals zijn overgeleverd aan cybercriminelen, die altijd een stap voor lopen en daardoor een groot risico voor ondernemingen vormen…Inmiddels zou cybercrime de grootste cyberdreiging zijn en weten cybercriminelen die bedrijfsnetwerken infiltreren langer onopgemerkt te blijven. Veel bedrijven negeren echter deze dreiging en geven geld uit aan het bestrijden van “mindere” dreigingen. Deloitte spreekt van een ernstig gebrek aan bewustzijn, maar ook van zelfgenoegzaamheid als het om dit onderwerp gaat. Zowel automatiseringsafdelingen als security officers zouden tekort schieten.

Daarbij staat het uitgeven van grote sommen geld niet gelijk aan beveiliging. Wie meer uitgeeft hoeft niet per definitie veiliger te zijn. “We zien veel organisaties middelen voor technologische beveiligingsmaatregelen uittrekken, terwijl eenvoudige, goedkope maatregelen zoals patchmanagement, log analyse, verminderen van rechten, wachtwoorden laten verlopen en het opheffen van de toegang van ex-werknemers worden genegeerd.” (bron)

Zo zie je maar dat meer uitgeven aan beveiliging niet betekent dat je ook echt beter beveiligd bent. Ik kan het alleen maar eens zijn met wat hierboven is aangegeven. Het gaat er niet om dat je zoveel mogelijk besteed, het gaat erom dat je de middelen zo slim mogelijk besteedt (en geloof me, dat is makkelijker gezegd dan gedaan). Oh ja, middelen betekent meer dan geld maar ook kennis, beschikbare tijd, etc.

Bij beveiliging gaat het er in de praktijk nog te vaak om om beveiligingmaatregelen te implementeren…waar het echt om gaat is risico’s afdekken (bijvoorbeeld door ze te mitigeren, over te dragen aan anderen of ze gewoon te accepteren) waarbij we rekening moeten houden met het belang van de bedrijfsprocessen (laten we eerst de risico’s voor de belangrijkste processen beheersen). Maatregelen zijn niet alleen de technische maatregelen maar juist een combinatie van technische, organisatorische, procedurele, bouwkundige en elektronische maatregelen en dan het liefst in samenhang bezien.

Het is veiliger om Jan Jansen te heten

HR-managers beoordelen steeds vaker een sollicitant aan de hand van de gegevens die online over hem of haar zijn te vinden…Zo heeft in de Verenigde Staten 70% van de personeelsmanagers kandidaten wegens dit soort informatie geweigerd. In Groot-Brittannie is dit 41%, terwijl Duitsers (16%) en Fransen (14%) het internet nog in mindere mate bij het beoordelen van een sollicitant gebruiken…HR-managers gebruiken het vaakst zoekmachines en sociale netwerksites om dit soort gegevens te vinden. De voornaamste reden om iemand te weigeren zijn levensstijl en ongepaste opmerkingen, foto’s en andere informatie die van de kandidaat online te vinden zijn. In sommige gevallen kan een positieve online reputatie wel helpen bij het krijgen van de baan.

Jaren geleden, nog ver voordat Hyves, LinkedIn of Facebook bestonden werd ik hierover al gewaarschuwd in een van de toen populaire computerblaadjes. Eigenlijk is me dat altijd bijgebleven. Diegene die dat toen al door had was er snel bij. Zelfs informatie die je jaren geleden op het internet hebt achtergelaten kan nog worden teruggevonden…pas dus op waar je je sporen achter laat.

Zeker als je een beetje een aparte combinatie van voor- en achternaam hebt, ben je makkelijker terug te vinden. Kijk maar eens op www.wieowie.nl en zoek daar eens op je eigen naam. Heet je Jan Jansen dan zit je eigenlijk wel goed, daar zijn er zoveel van te vinden dat het niet meer of moeilijk naar jou te herleiden is. Daaruit kunnen we dus simpelweg concluderen dat het veiliger is om Jan Jansen te heten.

Op zich is het hebben van een online reputatie niet erg (op mijn naam ben ik ook te vinden…en de laatste keer dat ik keek kwam ik niks schokkends tegen) alleen je moet je er van bewust zijn en het proberen te beheren.

Kijk nog eens op je Hyves, LinkedIn, Facebook of ander profiel. Staat daar informatie, staan daar foto’s waarvan je liever niet het dat je toekomstige werkgever ze ziet dan zou ik maar snel proberen de informatie te verwijderen…daarna moet je hopen dat de informatie niet in het geheugen van internet blijft hangen.

OV-chipkaart onbeperkte mogelijkheden

De ov-chipkaart blijkt onbedoeld breder inzetbaar dan alleen als betaalmiddel voor het openbaar vervoer. Studenten aan de Technische Universiteit Eindhoven kunnen met hun nieuwe chipkaart ook ondergrondse afvalbakken openen (bron).

Dat belooft natuurlijk veel goeds voor het rekeningrijden. Wederom zo’n mooi project waar iedereen wat huiverig voor is. Vreemd, alle andere projecten van de afgelopen jaren zijn toch ook goed verlopen? De OV-chipkaart beschikt zelfs over onverwachte mogelijkheden waar je niet eens extra voor hoeft te betalen, zien jullie nu wel dat het allemaal in het belang van de bevolking is (brood & spelen).

Lijkt me ideaal als ik straks met het kastje van Eurlings gratis en voor niets door de wasstraat kan, hup, daarna even door de Mc-drive op kosten van de overheid en vervolgens geheel gratis parkeren in een van de parkeergarages. Zo wordt het rekeningrijden toch nog goedkoper voor iedereen (tenzij je je auto nooit wast, een happy meal niet lekker vindt en nooit betaald parkeert)

Ach, rekeningrijden zal ongetwijfeld doorgaan, al is de hele bevolking er tegen…de Tweede Kamer beslist en die is voor. Toch nog maar even goed nadenken op wie we de volgende keer gaan stemmen…misschien staat er een partij op die wel naar zijn achterban luistert.

Veilingen en data op harde schijven

Ja, ze noemen het nieuws, maar volgens mij is dit al jaren zo. Ik wil jullie niet beinvloeden dus lees eerst even rustig de bron tekst.

Online veilingen bieden een makkelijke en goedkope manier om aan kwalitatief goede hardware te komen. PCM onderzocht hoe zorgvuldig de veilingmeesters omgaan met de data op harde schijven uit deze pc’s en notebooks. De uitslag is schokkend. op de helft van de pc’s wordt gevoelige informatie gevonden, waaronder financiele en medische gegevens (bron).

Op de helft van de pc’s wordt gevoelige informatie aangetroffen. Is het glas nu half vol of half leeg? Betekent dit dan ook automatisch dat de andere helft netjes gewist is? Dan valt de schade nog mee.

Vraag is natuurlijk of de veilingmeesters hier op aan te spreken zijn, persoonlijk vind ik van niet. Als ik een cd-speler laat veilen moet ik toch ook zelf mijn cd-tje eruit halen? De mensen die hun hardware veilen zijn er wat mij betreft zelf verantwoordelijk voor. Vaak zullen ze de kennis niet hebben en er maar op hopen dat niemand wat met hun gegevens zal doen. Ja, zo kun je ook denken.

Waarom zou je trouwens je oude hardware willen laten veilen? Kan me nauwelijks voorstellen dat dat enorme bedragen oplevert (wat kost opslag tegenwoordig). Nee, ik zou er dan toch maar voor kiezen om de hardware gewoon naar de schroothoop te brengen…en ook in dat geval even je harde schijven wissen.

Gelukkig is er nog de marechaussee…

Na de negatieve berichten over de politie van de afgelopen dagen hebben we gelukkig ook nog positief nieuws over een van de politiediensten…de marechaussee (ja ik weet het, dat valt onder Defensie).

Ondanks de chaos op met name de Amerikaanse lijsten met gezochte personen, heeft Schiphol in 2009 een record gebroken. Maar liefst 20.000 internationaal gezochte criminelen liepen tegen de lamp en moesten meekomen met de marechaussee omdat ze gesignaleerd stonden in het opsporingssysteem. In 2008 was dat nog niet eens de helft (bron).

Nog even ter herinnering: 20.000 criminelen die tegen de lamp liepen, dat zijn er zo’n 55 per dag dus 2 per uur. Wow, indrukwekkend. Vraag blijft natuurlijk hoeveel ze er niet te pakken hebben gekregen, maar dat zal altijd een vraag blijven.

Als de systemen van de marechaussee wel werken en de gegevens betrouwbaar zijn dan is er nog hoop. Misschien moet de politie eens te raden gaan bij de marechaussee. Er zijn ongetwijfeld lessons learned die de politie in kan zetten.
Ik zie een mogelijke fusie. Voeg de diensten samen en pak van beide het meest positieve.