Categorie: Geen categorie

Succes BYOD hangt af van beveiliging

  door

Nog even in een notendop: De almaar groeiende populariteit van persoonlijke mobiele apparatuur verandert de manier waarop technologie binnen het bedrijfsleven gebruikt wordt. Steeds meer werknemers nemen eigen apparatuur mee naar kantoor. Het is aan de organisatie om te zorgen dat hun data op een veilige manier aan deze toestellen aangeboden wordt (bron).

Voor de zekerheid: BYOD gaat over het Bring Your Own Device-principe. Dus niet meer een vaste werkplek of laptop van je baas maar er gewoon lekker zelf voor zorgen dat je over de juiste apparatuur beschikt die je nodig hebt voor je werk. Op zich natuurlijk niet zo’n gekke gedachte en het kan de organisatie een berg geld schelen omdat ze minder aan beheer hoeven te doen.

Het risico zit hem er in dat je verschillende soorten apparatuur op je netwerk krijgt waar je geen controle over hebt en de informatie waar jij eigenaar van bent wordt gemakkelijk opgeslagen op diezelfde apparatuur (waar je dus nog steeds geen controle over hebt).

Zoals we al vaker hebben aangehaald is informatie voor veel organisaties het nieuwe goud. De informatie is noodzakelijk voor het voortbestaan er van. Maar ja, als we een paar euro kunnen besparen dan zijn we al snel vergeten wat de waarde van die informatie is.

Maar we willen natuurlijk niet terugvallen in de oude patronen van beveiliging. We keren niet terug naar het 1.0 scenario. Nee, wij zijn niet tegen ontwikkelingen. Dus ook niet tegen de ontwikkeling die we BYOD noemen. We willen wel graag dat we goed nadenken over de risico’s die nieuwe ontwikkelingen met zich meebrengen. Hebben we die risico’s eenmaal in kaart gebracht dan kunnen we ook keuzes maken.

Willen we die risico’s lopen en dus accepteren, willen we die risico’s afdekken of willen we die risico’s misschien verzekeren? Uiteindelijk kan de organisatie zelfs besluiten om BYOD voorlopig toch nog maar even niet in te voeren.

BYOD heeft dus best wat risico’s in zich en welke dat allemaal zijn, laat ik hier nog even in het midden. Maar als we het relativeren dan kunnen we natuurlijk ook gewoon concluderen dat BYOD een gewone ontwikkeling is, net als andere ontwikkelingen in het verleden en als ontwikkelingen in de toekomst.

Daar moeten we dus niet op tegen zijn, want stilstand is achteruitgang. We moeten dus nu al proactief beginnen met de risico’s in kaart brengen. Ook als er binnen jouw organisatie nog niet over BYOD gesproken wordt, weet je nu al dat het er aan zit te komen. Je kunt je er dus al op voorbereiden. Waar wacht je nog op?

Beveiliging SharePoint veelal omzeild

  door

Uit onderzoek blijkt dat bijna de helft van SharePoint-gebruikers gevoelige of vertrouwelijke documenten kopieert naar niet beveiligde hard-drives, usb-sticks, of deze zelfs naar een externe mailt. (bron)

Nu kunnen we natuurlijk hele discussies voeren over Sharepoint en hoe veilig we Sharepoint wel of juist niet kunnen maken. Dan komen we al snel op vragen als: wie mag vanuit welke rol bij welke informatie en op welk moment dan? Hoe gaan we ons autorisatiemanagement inrichten en hoe vaak gaan we de rechten van gebruikers controleren.

Allemaal hartstikke belangrijke vragen waarop we nog belangrijkere antwoorden zullen moeten vinden. Maar daarmee zijn we er nog niet. Nee, hier blijkt maar weer eens uit dat we echt niet kunnen zonder een integrale aanpak op basis van risicomanagement.

We moeten dus uitgaan van die risico’s. En natuurlijk kunnen we dan technische risico’s voor Sharepoint benoemen. De kans en de impact van een ongeautoriseerde toegang tot het systeem. Uiteraard moeten we daar maatregelen tegen nemen. Maar hoe zit het nu met die geautoriseerde toegang?

Hoe voorkomen we nu dat medewerkers die geautoriseerd zijn er met onze gegevens vandoor gaan (bewust of onbewust). Het risico is dus naast ongeautoriseerde toegang juist ook de risico’s die je loopt met de informatie. Daar gaat het om. Dus wat is de kans en de impact als onze informatie bijvoorbeeld verloren gaat omdat die bij iemand lokaal op zijn laptop staat?

Maar ook hier kunnen we nog niet stoppen. Die informatie is ondersteunend aan onze bedrijfsprocessen. Daar verdienen we immers ons geld mee. We moeten dus kijken welke informatie van belang is voor de bedrijfsprocessen. We moeten nagaan wat de kans en impact voor het stil vallen van die processen is als gevolg van het verloren gaan van informatie.

Als die informatie echt zo belangrijk is voor de ondersteuning van onze bedrijfsprocessen dan moeten we er dus voor zorgen dat die informatie niet zomaar verloren kan gaan. En als we vervolgens besluiten om die informatie via Sharepoint te delen dan moeten we ook nagaan hoe we ongeautoriseerde toegang gaan voorkomen.

Van een bottom-up benadering naar een top-down benadering dus en in dit geval gebruikten we Sharepoint even als voorbeeld, maar er is meer dan Sharepoint, er is meer dan informatie, er is meer dan bedrijfsprocessen. We komen toch weer terug op de continuïteit van onze organisatie. En alles dat bijdraagt aan die continuïteit moeten we serieus nemen.

Geweld toegestaan na cyberaanval

  door

In het geval een digitale aanval leidt tot een aanmerkelijk aantal dodelijke slachtoffers of grootschalige vernietiging van of schade aan vitale infrastructuur, mag de Nederlandse overheid een vergeldingsaanval uitvoeren. Dat staat in een advies dat de Adviesraad voor Internationale Vraagstukken (AIV). (bron)

Klare taal? Of juist helemaal niet? Wat is bijvoorbeeld een aanmerkelijk aantal dodelijke slachtoffers of wat is grootschalige vernietiging van of schade aan vitale infrastructuur? Heel benieuwd wie de scepter zwaait over de grote gevaarlijke rode knop. Wie mag hem indrukken en welke criteria hangen daar dan achter?

Nu moeten we ons natuurlijk ook afvragen wie de aanval heeft ingezet. Is dat een scriptkiddie of is dat een vreemde mogendheid die hele andere belangen heeft? Natuurlijk zouden we moeten stellen dat we toch minimaal beschermd zijn tegen aanvallen van scriptkiddies.

Maar als we het nieuws en de beveiligingsincidenten in de gaten houden dan blijkt veelal dat we daar al niet tegen beveiligd zijn. Een vreemde mogendheid die over veel meer kennis en mogelijkheden beschikt gaat echt niet zomaar sporen na laten. Maar stel nu dat zo’n scriptkiddie inderdaad een flinke aanval inzet maar daarbij geen dodelijke slachtoffers maakt en ook geen grootschalige vernietiging tot gevolg heeft. Mogen we dan wel een vergeldingsaanval inzetten of niet? En als we zo’n aanval niet in mogen zetten, hoe zorgen we er dan voor dat de “kiddie” gewoon weer lekker buiten gaat voetballen?

Wellicht moeten we het hele rapport lezen, maar deze samenvatting van het rapport, roept meer vragen op dan dat het antwoorden geeft. Jammer, het had zo mooi kunnen zijn maar hier schieten we helemaal niets mee op.

Wil jij het hele rapport wel lezen? Ga gerust je gang en laat me daarna even weten wat er nu echt in staat en of we daar nu echt ook mee opgeschoten zijn. Ik ben benieuwd maar heb helaas geen tijd om het volledige advies te lezen. Ik hoor graag van je.

Security op de managementtafel

  door

Gisteren hebben we afgesloten met de opmerking dat we niet uit kunnen sluiten dat we voldoende aandacht krijgen als we die onderwerpen kunnen raken waar het management van wakker ligt. Een mooie overweging voor vandaag.

Formeel gezien, zou het management natuurlijk wakker moeten liggen van de enterprise risks. Of, in gewoon Nederlands: de risico’s waardoor we omzet mislopen, waardoor we een stijging in kosten zien of waardoor ons imago een deuk op kan lopen.

Onze drietrapsraket: stap 1: risk management, stap 2: security management (gericht op preventie en detectie) en stap 3 business continuity (repressie en correctie) zou daar dan op gericht moeten zijn.

Uitdaging hierbij is dat we enterprise risks maar moeilijk direct kunnen beïnvloeden. Wij zijn immers de security-afdeling en moeten ons vooral niet bemoeien met de missie, visie, strategie en doelstellingen van de organisatie. Het management is daar verantwoordelijk voor en zal ons daarbij niet betrekken.

Daar kun je natuurlijk wakker van liggen. Maar dat is helemaal niet nodig. We moeten ons ook niet willen bemoeien met dat soort zaken. Wij moeten ons druk maken om onze bijdrage aan die missie, visie, strategie en doelstellingen. Hoewel we ons er dus niet mee moeten bemoeien, moeten we er niet onverschillig tegen over staan. Nee, sterker nog: wij moeten haarfijn weten wat ze zijn om onze aanpak van risk management, security management en business continuity management daar zo goed mogelijk bij aan te laten sluiten.

Als het in de praktijk voor alle organisaties en alle managers op deze manier zou werken, dan was het “verkopen” van security een stuk eenvoudiger. Maar wat het lastig maakt is het feit dat de belangen van de managers niet altijd overeen komen met de belangen van de organisatie.

Helemaal geen security issue maar veel meer een organisatorisch issue. Mensen komen naar hun werk, maar wat drijft hen en waarom komen ze eigenlijk? Misschien omdat ze inderdaad een zinvolle bijdrage willen leveren aan de organisatie, maar misschien ook omdat ze aan het eind van de maand toch gewoon een salaris nodig hebben.

Wat de persoonlijke doelstelling van de medewerkers ook is, we moeten ze zien te achterhalen als we beveiliging de aandacht willen geven die het nodig heeft.

Maar we kunnen natuurlijk niet alleen naar de ander blijven wijzen. We moeten ook goed in de spiegel kijken. We moeten dus niet negatief staan tegenover ontwikkelingen en we moeten niet bij voorbaat alles verbieden. Nee, we moeten realistisch zijn als we kijken naar de risico’s. Deze moeten we bezien in het licht van de missie, visie, strategie en doelstellingen.

Vervolgens moeten we proberen de operational risks te koppelen aan de enterprise risks (steeds met realiteitszin). Daarbij kunnen we het management onafhankelijk adviseren. Wij geven ze inzicht in de risico’s, de kans en de impact daarop, de kosten voor preventieve, detectieve, repressieve en/of correctieve maatregelen.

Beveiliging in de vorm van business cases waarbij de beveiligingsbusiness case onderdeel moet zijn van de grotere business case. Is dit dan de makkelijkste weg? Nee, waarschijnlijk niet. De makkelijkste weg zal zijn om separaat van alles te blijven opereren. Lekker in die ivoren toren blijven zitten. Maar dat is misschien een oplossing voor de korte termijn.

Willen we een oplossing voor de lange termijn dan moeten we deze overwegingen (en die van gisteren bijvoorbeeld) nog eens goed uitdenken. Dat is nu juist wat het zo leuk maakt.

In ieder geval heb je dit weekend een tweetal overwegingen om eens over na te denken. Mocht je een mening hebben, laat het me gerust weten. Ik ben benieuwd. Heb je zelf andere overwegingen waar je eens iets over wilt schrijven? Dan mag dat natuurlijk hier ook, geen probleem, ik hoor graag van je.

Preventie, detectie, repressie en correctie

  door

Vandaag maar eens een bericht dat niet direct gekoppeld is aan een nieuwsbericht maar meer aan een overweging. Uiteraard benieuwd wat jullie er van vinden.

Het lijken zulke eenvoudige termen en de volgorde lijkt ook vrij logisch: preventie, detectie, repressie en correctie. Dat is waar het allemaal om draait als we het hebben over de drietrapsraket: risk, security, continuity.

Risk management, security management en business continuity management. Deze begrippen kunnen we aan elkaar koppelen en dan wordt het allemaal nog een stuk duidelijker.

Eerst moeten we bepalen welke risico’s we allemaal lopen. Daarvoor roepen we risk management in het leven. We kijken naar de enterprise risks en naar de operational risks en bepalen de dreigingen die we op ons af kunnen zien komen. Voor deze dreigingen bepalen we de kans en de impact en de hele basis is gelegd. Uiteraard moeten we hierbij nog wel rekening houden met de missie, visie en strategie van onze organisatie. Om die te bereiken bepalen we de doelstellingen voor de korte termijn. Risico’s die daar een negatieve invloed op kunnen hebben verdienen onze aandacht.

Nu we die dreigingen weten kunnen we bepalen wat onze risicomanagement strategie is. Welke risico’s willen we in behandeling nemen en welke risico’s accepteren we? Voor die risico’s die de aandacht verdienen gaan we verder met de stap security management.

In die zin is security management gericht op preventie. Het voorkomen van de risico’s en het voorkomen van incidenten. Maar zoals we weten, kunnen we niet alle incidenten voorkomen. In dat geval zullen we dus moeten zorgen dat we de incidenten detecteren. In dit opzicht dus onderdeel van security management.

Business continuity management kunnen we dan koppelen aan de repressie en de correctie. Met business continuity zorgen we ervoor dat we tijdens een incident gewoon door kunnen draaien. Maar als we het hebben over correctie dan komen we al snel uit bij disaster recovery. Oké, het incident heeft zich voorgedaan en op basis van de business continuity maatregelen hebben we met workarounds toch gewoon door kunnen werken.

Maar ja, die workarounds kunnen we niet langdurig in het leven houden. Ze zijn bijvoorbeeld te duur of niet efficient genoeg voor de dagelijkse gang van zaken. Daar komen dan de correctieve maatregelen om de hoek kijken. We moeten weer terug naar de business as usual. Als het goed is kunnen we met de BCP’s (business continuity plans) en de DRP’s (disaster recovery plans) aan de gang om de schade voor ons te beperken.

Hebben we een dergelijke cyclus eenmaal doorlopen dan begint het spel weer van vooraf aan. We gaan weer kijken naar de dreigingen en de kans en de impact daarvan. Misschien moeten we concluderen dat de kans en de impact toch hoger is dan we vooraf hadden ingeschat. Daar passen we de security maatregelen en de business continuity aanpak dan weer op aan.

Maar ook als we niet geconfronteerd worden met de uitbraak van een incident. Dan toch moeten we de cyclus continu doorlopen. Alleen treden dan onze BCP’s en DRP’s niet echt in werking. Wel kunnen we ze natuurlijk testen en reviewen. Blijkbaar zijn we niet geconfronteerd met een incident of blijkbaar hebben onze security maatregelen goed gewerkt. Wat het antwoord hierop is? Dat moeten we analyseren. Zijn we echt “in control” (onze maatregelen hebben gewerkt) of hebben we gewoon mazzel gehad en is dit incident onze deur voorbij gegaan?

Tot zover de overwegingen voor vandaag. We kunnen dus de koppeling leggen: stap 1: risk management, stap 2: security management (gericht op preventie en detectie) en stap 3 business continuity (repressie en correctie).

Kunnen we dit aan concrete voorbeelden koppelen waar het management wakker van ligt, dan sluit ik niet uit dat we aandacht krijgen van dat management. Maar goed, dat is een mooie overweging voor morgen.

Scan sociale media op ‘verdachte info’

  door

De KLPD heeft een systeem aangeschaft om verdachte informatie van openbare bronnen te verzamelen. Het systeem CY-Humint (Cyber Human Intelligence) wordt geleverd door Athena GS3 Security Implementations Ltd in Holon Industrial Zone in Israël. Het speuren wordt beperkt tot openbare bronnen, zoals blogs, microblogs, websites, forums, chatrooms en sociale netten als Facebook, Hyves en Twitter (bron).

Dit bericht heeft misschien, op het eerste gezicht, niet zoveel nieuwswaarde maar het is goed om te weten dat de politie steeds actiever wordt in het volgen van openbare bronnen. Volgens mij doen ze dat trouwens al jaren en dat is maar goed ook. Misschien is dan de nieuwswaarde dat het vanaf nu op een intelligentere wijze gebeurt.

Daarbij moeten we natuurlijk oppassen. Teveel berichten kunnen we niet monitoren dus zetten we tools in om ons werk te vergemakkelijken. Oppassen dus dat we het allemaal niet te strak inregelen want dan zien we helemaal niets meer. En in dit geval geldt niet: “wat niet weet wat niet deert.” Maar ook oppassen voor alle “fals positives”. Een bericht zonder interpretatie kan tot verkeerde conclusies leiden.

Een praktijkvoorbeeld is het monitoren van websites die door de medewerkers bezocht mogen worden onder werktijd. Termen als: “borst en borsten” zetten we op de zwarte lijst want daar hoeft niemand naar te kijken, dat valt onder pornografie. Maar ja, je zult maar een arts zijn of je zult maar een bakker zijn die op zoek is naar het recept voor borstplaat. Ja ja, het inregelen en fine tunen is nog niet zo makkelijk, maar natuurlijk geen reden om er niet aan te beginnen.

Het monitoren van openbare bronnen is natuurlijk niet alleen belangrijk voor de politie maar ook voor andere organisaties. Commerciële organisaties zouden bijvoorbeeld kunnen monitoren wat er zoal over de door hen gevoerde merken openbaar gezet wordt. Hier kunnen we beveiliging en commercie vereenzelvigen. We willen monitoren waar we eventueel risico’s lopen maar willen ook weten wie er positief over ons merk Tweet en Blogt.

Weer een voorbeeld dus waarbij beveiliging niet meer als losstaand aspect gezien moet worden. Dat weten wij natuurlijk allang want beveiliging is en blijft ondersteunend aan onze bedrijfsprocessen en dan kunnen we ook maar beter weten wat de buitenwereld over ons de wereld in helpt.

Oh ja, je kunt er natuurlijk dure tooling voor aanschaffen, maar met een simpel Google dashboard kun je ook al een heel eind komen en zo’n dashboard is gratis. Het fine tunen moet je dan zelf nog doen (en dat kost meer tijd dan je denkt) maar dat moet je bij dure tooling ook. Ik zou zeggen, kijk eens naar de mogelijkheden die Google je biedt. Kom je er niet uit dan mag je het me altijd laten weten en help ik je daarbij.

Reclame oké in ruil voor gratis content

  door

Iets meer dan de helft (51%) van de Amerikaanse smartphone- en tabletbezitters vindt reclame op hun apparaten prima mits dat inhoudt dat ze gratis toegang krijgen tot content. Dat blijkt uit het State of the Media: Consumer Usage Report van bureau Nielsen (bron).

Het kan natuurlijk zo zijn dat Amerikaanse smartphone- en tabletbezitters totaal anders zijn dan de Nederlandse gebruikers. Toch is bovenstaand bericht nogal tegenstrijdig aan het bericht dat we gisteren al lazen.

Oké, dat ging dan meer om het afstaan van gegevens, maar wat mij betreft kunnen we het één niet los zien van het ander. Willen we gratis apps dan zal dat leiden tot veel reclame in die apps en zeer waarschijnlijk worden de gegevens die gegenereerd worden ook voor andere doeleinden gebruikt. Zolang dat anoniem gebeurt en niet terug te herleiden is naar een individu valt het allemaal nog wel mee.

Natuurlijk kun je een nickname aanmaken in die apps. Maar dan nog kunnen er waardevolle gegevens verzameld worden. Zo weet men je telefoonnummer en aan de hand van je telefoonnummer kunnen ze je volgen. 24-uur per dag. Daaruit kunnen dan weer interessante gegevens gehaald worden want wanneer was jij op welke locatie, kom je vaker op die locatie en wat is er dan zoal op die locatie?

Reclame in ruil voor gratis content lijkt meer op de zogenaamde gratis economie zoals we die nu zien. Men wil niet meer betalen als het ook gratis kan. Geen probleem zolang we ons er maar van bewust zijn en zolang we maar begrijpen dat we dan de reclames om de oren krijgen.

Maar het wordt erger als verschillende gegevens van verschillende gratis apps gecombineerd gaan worden en via je telefoonnummer aan de persoon te koppelen is. Bij het aanvragen van jouw telefoonnummer heb je behoorlijk wat gegevens door moeten geven aan de provider. Wat nu als die provider via de apps ook beschikt over jouw smartphone-gedrag? Wat nu als die provider de ontwikkelaars van de apps geld geeft voor die gegevens of wat nu als die provider een flinke smak geld betaald om eigenaar te worden van die app?

Onwaarschijnlijk? Nou, waarschijnlijk niet. Het is aan de orde van de dag dat dergelijke apps en websites verkocht worden. Zonder dat we dat overigens weten. Oké, als we al het digitale nieuws goed volgen dan staat er vast wel ergens een berichtje, maar veel van ons zal dat ontgaan.

Neem nu een onafhankelijke website voor verzekeringen. Laten we die Independer noemen. Daar kun je verzekeringen vergelijken zodat je automatisch bij de voor jou beste verzekering uit komt. Laten we nu ook eens aannemen dat een verzekeraar een meerderheidsbelang neemt in die website. Laten we de verzekeraar hier voor het gemak Achmea noemen en laten we zeggen dat die 77% van het belang overneemt. Hoe onafhankelijk is Independer nu nog?

Misschien kom je inderdaad tot de conclusie dat je vanaf heden misschien beter een andere onafhankelijke site kunt raadplegen als je verzekeringen wilt vergelijken. Maar hoe vaak heb je Independer gebruikt? Welke gegevens heb je daar allemaal ingevuld? En wat hebben zij met die gegevens gedaan? Sterker nog: heb je ooit wel eens hun privacy statement gelezen en in hoeverre is dat statement gewijzigd na verkoop van hun belang?

Juist. Ik wil helemaal niet zeggen dat het zo is gegaan bij Independer en/of Achmea maar ik haal het hier gewoon als voorbeeldje aan. Er zijn er natuurlijk veel meer. Werd Hyves niet ingelijfd in de Telegraaf Media Groep? Is Marktplaats jaren geleden niet al verkocht? Nou ja, je begrijpt de strekking.

Reclame dus inderdaad best oké in ruil voor gratis content maar we moeten ons wel bewust blijven van de wijzigingen die zich in de toekomst voordoen. Kun jij er zelf echt wat aan doen? Nou, nee. Want ook de betaalde content levert deze risico’s op.

Mooi, hè? Die digitale revolutie die al jaren gaande is?

Nederlander ruilt privacy niet voor ‘koopje’

  door

AMSTERDAM – Nederlanders zijn niet bereid privégegevens en informatie over hun surfgedrag achter te laten bij adverteerders als ze in ruil daarvoor gratis content krijgen of goedkoper uit zijn. Dit blijkt uit donderdag gepubliceerd wereldwijd onderzoek van adviesbureau KPMG onder bijna 10.000 consumenten (bron).

Als je dit zo leest dan zou je kunnen denken dat het nog niet zo slecht gesteld is met die gekke Nederlanders. Toch is dit bericht tegenstrijdig aan vele eerdere berichten waarin duidelijk werd dat mensen hun wachtwoord of pincode al weggegeven voor een reep chocola. En nee, ik heb de links naar deze andere artikelen even niet paraat, dus wil je je echt een goed beeld vormen dan zul je die er zelf even bij moeten zoeken.

Misschien zit het hem hier ook met name in de vraagstelling en de exacte weergave van de antwoorden. Het verschil dus tussen kennis, houding en gedrag. Nee, ik wil mijn gegevens niet weggeven voor korting maar doe het in de praktijk toch omdat ik toch wel erg graag die korting wil hebben. Het sociaal wenselijke antwoord komt dan dus niet overeen met het vertoonde gedrag.

Laten we het bericht nog wat verder uitpluizen:
Uit het onderzoek blijkt dat bijna twee derde van de Nederlanders zijn gegevens niet inruilt voor een goedkopere deal. Buiten Nederland is een meerderheid van de consumenten hiertoe wel bereid.
Wat is er gebeurt met “ons bin zuunig” en “kijken, kijken en niet kopen”. Volgens mij willen wij juist voor een dubbeltje op de eerste rang zitten. Ook hier kunnen we best aangeven dat we onze gegevens liever niet weggeven maar dat in de praktijk toch doen (zonder er bij na te denken zelfs).

Denk alleen maar aan de Airmiles. Miljoenen mensen die over zo’n pas beschikken. Al jaren trouwens. Daar hebben ze inderdaad ooit wat gegevens voor af moeten staan, maar welke dat exact waren zijn we allang vergeten. Nu krijgen we korting (van een paar cent) en met een beetje mazzel sparen we een nieuwe set keukenhanddoeken bij elkaar. Ja daar moeten we dan wel € 9,95 voor bijbetalen maar dat is natuurlijk logisch (oh ja, die keukenhanddoeken kosten in een andere winkel maar € 4,95 maar we hebben mooi wel 5 euro korting op de adviesprijs van € 14,95).

Ruim de helft van de Nederlanders wil ook geen advertenties op zijn mobiele apparaat ontvangen als hij in ruil daarvoor goedkopere producten of gratis content kan krijgen. Slechts 14 procent betaalt voor content op het internet.
Bovenstaande zin is op zich natuurlijk al tegenstrijdig. Nee, natuurlijk willen we geen advertenties maar 86% betaalt niet voor content op internet. Iets is maar zelden gratis, er moet op de een of andere manier toch ergens een verdienmodel achter zitten. Op internet zie je dat er veelal verdient wordt aan die reclames. De keuze is dus betalen of gratis maar dan met advertenties. De weegschaal slaat voorlopig nog door naar gratis…dan ontkomen we dus niet aan advertenties.

Bijna 90 procent geeft aan bepaalde websites niet langer te zullen bezoeken zodra die overgaan tot betaalde toegang. In dat geval zullen zij op zoek gaan naar alternatieve sites die gratis zijn.
Ook hier weer een logisch antwoord. Stel je hebt de keuze: ergens voor betalen of iets gratis krijgen…wat heeft jouw voorkeur? Natuurlijk krijgen we iets liever gratis, alleen mogen we dan natuurlijk niet dezelfde functionaliteiten verwachten als dat we er voor betalen. Alternatieve sites zullen er misschien best zijn, maar ook die moeten op de een of andere manier hun geld verdienen…dat zal dan waarschijnlijk zijn met advertentieverkopen.

Voor niets gaat de zon op. Dat is altijd al zo geweest en zal waarschijnlijk ook altijd zo blijven. We mogen het dan de gratis economie noemen maar dat betekent niets meer dan dat het voor de ontvanger gratis is en dat het verdienmodel erachter anders is dan in het verleden.

Nee, mijn beeld is in ieder geval niet gewijzigd en ik ben er van overtuigd dat mensen misschien zeggen dat ze hun gegevens niet weg willen geven maar dat in de praktijk toch gewoon doen. Zelfs als dat uiteindelijk niet echt iets oplevert…nee, het moet inspelen op het gevoel van de mens en dan worden alle gegevens gewoon weggeven.

Slimme dief of gezichtsbedrog

  door

De nieuwe, platte TV, van LG vraagt er bijna om om gestolen te worden. Daar denkt deze dief hetzelfde over:

Of worden we voor de gek gehouden. Oké, geef het maar toe (zeker als je het filmpje helemaal hebt afgekeken en in de laatste paar seconden goed hebt opgelet). Grote kans dat jij het filmpje nogmaals bekeken hebt. En, welke conclusie trek je zelf? Een diefstal of een goede marketing actie van LG?

Eerlijk is eerlijk. De kans dat je gepakt wordt voor diefstal is een stuk kleiner als je het zo normaal mogelijk doet overkomen. Niets aan de hand en je loopt zo de winkel uit. Doe je het allemaal te opzichtig dan is de kans groot dat ze je te pakken nemen.

Maar het kan natuurlijk altijd nog een stukje extremer, kijk maar naar deze diefstal.

En nee, ik wil jullie nergens toe aanzetten want bedenk dat de kans nog altijd aanwezig is dat je er voor gepakt wordt en dan is de vraag zomaar of de buit opweegt tegen de straf, de boete of het strafblad.

Agent bespioneert dochter met spyware

  door

Een Duitse agent heeft spyware op de computer van zijn dochter geïnstalleerd om haar surfgedrag te monitoren. Haar vriend, die uit de hackerscene komt, ontdekte de malware. Om de vader terug te pakken hackte de jongen de computer van de politieagent. Daar ontdekte hij dat de vader zijn officiële politie e-mail naar een privé e-mailadres doorstuurde. Ook wist de jongen toegang tot het politienetwerk te krijgen, waarop een belangrijke politieserver moest worden uitgeschakeld (bron).

Een typisch voorbeeldje van iemand die wel een tooltje heeft maar die geen flauw idee heeft hoe de beveiliging eigenlijk werkt. Een “fool with a tool is stille a fool”, zullen we maar zeggen. Overigens ook een gevalletje machtsmisbruik want het zou hier ook kunnen gaan op een “federaal trojaans paard”. Tools die door de overheid worden ingezet…en ja een politieagent mogen we tot de overheid rekenen, maar dat betekent nog niet dat hij zulke tools met willekeur in mag zetten.

Een beetje dom natuurlijk dat de agent vergeten was dat de vriend van zijn dochter een stuk slimmer is met computers dan hij is. Eerlijk is eerlijk, het doorsturen van vertrouwelijke mail naar een privémailadres is niet netjes en het valt nog mee dat de “hacker” hier melding van gemaakt heeft. Had hij het daarbij gelaten dan was er weinig aan de hand, maar ja, deze jongen moest zo nodig het politienetwerk platleggen.

De vraag is nu wie er harder gestraft zal worden: de agent vanwege misbruik van middelen en macht of de vriend van zijn dochter vanwege een inbraak op het politie netwerk.

In ieder geval zit er iets stevig verkeerd in de vader-dochter-schoonzoon relatie. En als je het mij vraagt mag de agent nog niet klagen want de hacker had ook hele andere files op de pc van de agent achter kunnen laten en voor je het weet staat de politie in een kwaad daglicht vanwege een onwetende agent die zo graag zijn dochter wil monitoren.