Categorie: Geen categorie

Nederlands leger richt zich op cyberoorlog

  door

Nederland krijgt in januari 2012 een nieuw krijgsmachtonderdeel, dat zich volledig gaat toeleggen op het voeren van internetoorlogen. Wie handig is met een toetsenbord kan oorlogen ingrijpend beïnvloeden. Met de vorming van een ’digitale taskforce’, wil de krijgsmacht laten zien dat het menens is op het internet (bron).

Natuurlijk weten we allemaal dat we meer en meer oorlogen zullen krijgen in de virtuele wereld. Deze zullen voorlopig nog wel aangevuld worden met kogels, bommen en granaten, maar denk je eens in. Je kunt een heel land ontwrichten als je de bevolking kan weghouden van hun primaire levensbehoeften. Je zorgt er gewoon voor dat men het water uit de kraan niet meer durft te drinken, je voorkomt dat voedsel getransporteerd kan worden, je zorgt voor elektriciteitsstoornissen en voorkomt dat men onderling kan communiceren. De radiofrequenties worden platgegooid en er ontstaat chaos. Voor zover je je er nog niets bij voor kon stellen, kun je dat nu wel. En geloof me, er is nog veel meer mogelijk.

Op zich nog weinig opmerkelijks. Gewoon feiten en we zullen daar zeker mee geconfronteerd worden in de toekomst. Geen menselijke slachtoffers door rondslingerende kogels, maar ze langzaam uit laten drogen en uit laten hongeren. Geen fraai vooruitzicht, toch?

Wat dan weer wel opmerkelijk is, is dat we spreken over Defensie. Of in gewoon Nederlands: bescherming. Nu is er inderdaad de afgelopen jaren niet zoveel te beschermen geweest dus hebben we onze bijdrage geleverd aan allerlei vredesmissies. Nee, daar gaan we hier geen discussie over voeren. Er zijn mensen tegen en er zijn mensen voor.

Nu gaan we dus een krijgsmachtonderdeel oprichten dat zich gaat richten op internetoorlogen. Maar draaien we de wereld dan niet een beetje om? Zouden we geen krijgsmachtonderdeel op moeten richten dat zich gaat richten op internetdefensie? Gaan we nu ineens actief meedoen in allerlei oorlogen op het internet (die, als je het mij vraagt, allang bezig zijn)?

Zouden we de aandacht niet beter kunnen richten op het beschermen van onze kritieke infrastructuur? Ja, ik weet het, daar lopen al allerlei initiatieven voor, maar hoe goed die zijn is slechts voor een enkeling echt inzichtelijk.

Nee, voor we actief ten strijde trekken, zou ik persoonlijk toch graag een iets beter gevoel willen hebben bij de beveiliging van onze eigen infrastructuur. Ik heb liever dat we die zowel virtueel als fysiek goed beschermen zodat we recht doen aan Defensie. Maar het zal altijd wel een spanningsveld blijven, we noemen het het Ministerie van Defensie, maar spreken wel over krijgsmacht.

EC stelt nieuwe eisen aan bodyscanners

  door

Het is alweer een flink aantal maanden geleden dat we het hier hadden over de bodyscanners die we tegenwoordig op veel vliegvelden vinden. En als er dan weer eens iets over in het nieuws komt, ja, dan kunnen we het niet laten om daar maar weer eens een onderwerp aan te wijden.

De Europese Commissie heeft nieuwe regels aangenomen voor het toepassen van bodyscanners op vliegvelden…Zo mogen de bodyscanners geen afbeeldingen opslaan, bewaren, kopiëren of afdrukken. Ongeautoriseerde toegang tot de afbeelding is verboden en moet ook voorkomen worden. Ook moeten reizigers worden geïnformeerd over de omstandigheden waaronder de controle plaatsvindt. Daarnaast hebben reizigers het recht om de bodyscan te weigeren en een alternatieve screening methode te kiezen. Om de gezondheid van passagiers te beschermen zijn bodyscanners die röntgenstralentechnologie gebruiken verboden (bron).

Ik weet natuurlijk niet hoe vaak jij de afgelopen jaren op Schiphol bent geweest, maar inmiddels ben ik een aantal keer geconfronteerd geweest met deze bodyscanners. En ik moet je zeggen: het geeft je toch een dubbel gevoel.

Natuurlijk wil je niet dat er allerlei terroristen bij je in het vliegtuig zitten, de vraag is natuurlijk wel of die hun wapentuig gewoon als handbagage mee zullen nemen. Zeer waarschijnlijk hebben die andere kanalen om er voor te zorgen dat ze tot de tanden toe gewapend in een vliegtuig kunnen zitten. Maar goed, laten we het daar maar niet over hebben.

Nee, het dubbele gevoel dat ik er bij heb, is dat het toch wel erg gemakkelijk is. Je neemt plaats in de bodyscanner die nog wel wat weg heeft van een verticale zonnehemel. Even de armen omhoog en zoef-zoef, de scan zit er op. Als je zo slim bent geweest om je riem en sieraden af te doen, is de kans groot dat je zo door kunt lopen. Gemak dus, dat is het gevoel aan de ene kant.

Aan de andere kant vraag ik me wel af wat voor straling ze gebruiken en hoe veilig dat dan is voor mijn “volksgezondheid”. Röntgenstralen mogen dan verboden zijn (in de EU), maar wat ze dan wel gebruiken zal voor velen van ons een raadsel zijn. Twijfel aan de andere kan dus over hoe goed het voor de gezondheid is. Maar er is nog meer twijfel. Wat doen ze met de scan en wat kunnen ze nu precies wel en niet zien. Privacy boven veiligheid of toch liever andersom?

En ja, je kunt natuurlijk altijd kiezen voor die alternatieve scanmethode. Kans is dan natuurlijk wel aanwezig dat je even apart in een hokje moet. Drie keer door de knieën en even flink kuchen. De rij achter je zal het je echt niet kwalijk nemen dat ze nog langer moeten wachten voor ze door de check kunnen…nee hoor, men staat daar voor de lol.

Ach, we doen het voorkomen of we een keus hebben, maar is die keus ook echt een alternatief of worden we met lichte dwang toch gedwongen om ons als kuddedieren mee te laten voeren? Eerlijk is eerlijk, ik heb me bij het lot neergelegd en maak toch maar gebruik van de scanner…in de hoop dat mijn twijfels ongegrond zullen zijn en blijven.

Drie principes voor een veilige webomgeving…maar dan wel met een integrale benadering

  door

De golf aan beveiligingsincidenten maakt duidelijk dat gemeenten nog een flinke stap te maken hebben. Dat hoeft niet ingewikkeld te zijn als de problematiek maar serieus wordt genomen. In ieder geval volgens Brenno de Winter (bron). Kort geleden schreef hij hier een artikel over.

Wie beveiliging serieus neemt geeft ongeveer tien procent van het IT-budget uit aan de bescherming. Met dat getal rekenen veel auditors die controleren of organisaties aan eisen voldoen. Een verplichte standaard is de ISO-27001, omdat deze op de lijst van open standaarden van het Forum Standaardisatie staan. Daarnaast valt moeilijk te ontkomen aan het uitvoeren van goede technische controles.

De drie principes omschrijft hij verder als volgt:

  1. Up-to-date zijn
  2. Wees minimalistisch
  3. Wees alert

Voor een volledige toelichting op wat er bedoeld wordt verwijs ik graag naar het originele artikel dat te vinden is op www.gemeente.nu of door simpel weg hier te klikken.

Inderdaad uitstekende principes. Niets op tegen natuurlijk. Als het de gemeente dan ook nog eens lukt om een integrale beveiligingsbenadering te hanteren, gebaseerd op risico management, dan zijn we nog een stap verder. We moeten immers niet vergeten dat de informatiebeveiliging ondersteunend is aan de bedrijfsvoering van de gemeente…en die kan best een dagje zonder een website.

We moeten er vooral voor waken dat de beveiligingsmaatregelen die we nemen niet alleen maar technisch van aard zijn. Natuurlijk komen we vanzelf bij de techniek, maar een goede set bestaat uit technische, procedurele, organisatorische, bouwkundige en elektronische maatregelen.

We hebben er niets aan als we de techniek niet juist beheren met procedures, we willen er ook zeker van zijn dat iemand zich verantwoordelijk voelt voor die nieuwe firewall van ons. En dat mooie doosje met knipperende lampjes bergen we natuurlijk veilig op in onze serverruimte waarop toegangscontrole van toepassing is en waarin we netjes een alarmsysteem hebben aangebracht om fysieke inbraken te kunnen detecteren.

Vullen we de drie principe dus aan met risico management en een integrale benadering dan zijn we lekker op weg. De techniek kunnen we op die manier best onder controle houden. Waar we extra aandacht aan moeten besteden is aan de medewerkers binnen de gemeente. Veelal zien we dat de gevolgen van incidenten zich uitten als een security incident. De oorzaak ligt veelal ergens anders.

Men wil best die systemen goed beheren, men wil best patches en updates doorvoeren, men wil zich best aan de beveiligingsregels houden…maar ja, als er geen budget is of als het management niet begrijpt dat er iets moet gebeuren dan lopen we vast.

We kunnen dat natuurlijk makkelijk het management in de schoenen schuiven, maar dat is niet terecht. Het gaat er om om de beveiligingsmaatregelen (rule based benadering) door te vertalen naar de operationele risico’s (oorzaak en gevolg) die we vervolgens uitleggen in enterprise risks (omzet/budget, kosten en imago). Dit is overigens niet specifiek voor gemeenten maar ook voor alle andere organisaties. Het verschil zit hem er in dat een gemeente minder belang hecht aan de “omzet” en eerder denkt in termen als budget. Waar dan wel weer extra de nadruk op ligt is het imago.

Imago geschaad? Burgemeesterspositie op de tocht. Kunnen we dus geen rationele redenen bedenken om de beveiliging van de gemeente te verbeteren dan kunnen we het altijd nog proberen in te steken vanuit het imago van de burgemeester en wethouders…wie weet krijg je als beveiliger dan de aandacht die je verdient (maar ga daar wel gepast mee om).

Nederlandse spammer krijgt 600.000 euro boete

  door

Een Nederlands bedrijf en twee natuurlijke personen moeten wegens overtreding van het spamverbod een boete van 600.000 euro betalen, waar eerst 660.000 euro was opgelegd. De partijen kregen van de OPTA (Onafhankelijke Post en Telecommunicatie Autoriteit) een boete voor het (laten) versturen van ongevraagde commerciële e-mailberichten, zonder voorafgaande toestemming van de ontvanger. Daarbij werd er niet altijd een goed functionerende afmeldmogelijkheid geboden. In totaal werden meer dan 60 miljoen spamberichten verstuurd. (bron)

€ 600.000 / 60.000.000 = € 0,01 (met dank aan: pieterstam.nl voor de berekening) per verzonden bericht. Kijk, dat zijn tenminste straffen waar we over na gaan denken (tenminste: als je kijkt naar de totale boete en niet naar de boete per bericht…een postzegel is duurder). Dit zou inderdaad moeten voorkomen dat ongenuanceerd SPAM verzonden wordt. Nu zullen we natuurlijk allemaal juichen van geluk en we vinden het allemaal terecht dat er flink gestraft wordt.

Toch blijft het allemaal een beetje vreemd. Bij ongewenste email straffen we zwaar. Maar wordt er ook nog een boete opgelegd als ik toch ongevraagde post in mijn postbus krijg terwijl ik een “nee, nee” sticker op mijn brievenbus plak? En als ik me aan heb gemeld voor het “bel me niet”-register en ik word toch gebeld, hoe sterk sta ik dan als ik een klacht indien? Is het dan hun woord tegen het mijne?

Nu zijn er natuurlijk genoeg voorbeelden van SPAM te vinden, maar er zijn ook grijze gebieden. Er wordt door een organisatie te goeder trouw een mailtje gestuurd aan een beperkte groep mensen. Dat is SPAM, omdat het niet gewenst is en men er geen toestemming voor heeft gegeven. Stel dat de bakker op de hoek je een mailtje stuurt waar jij niet op zat te wachten…klaag jij hem dan direct aan? Vast niet.

Waar het bij SPAM natuurlijk om gaat is de grote SPAMMERS die inderdaad direct een mailtje sturen aan 60 miljoen mensen met onderwerpen als penis-verlenging, haargroei middelen en ga zo nog maar even door.

Toch valt het mij persoonlijk mee hoeveel van dergelijke berichten ik nog ontvang. Het zijn eerder de minder opvallende SPAM berichten. Sites waar je ooit wel eens je email adres hebt achtergelaten, onderwerpen waar je op zich wel in geïnteresseerd bent, etc.

Een oplossing blijft natuurlijk om een emailadres aan te maken waarop je SPAM kunt ontvangen. Dat adres kun je achter laten waar je maar wilt. Belangrijke mail ontvang je er toch niet op, dus 1x in de zoveel tijd gooi he hem gewoon even leeg.

Advocaat verliest 200.000 euro door internetscam

  door

Een Nieuw-Zeelandse advocaat heeft 200.000 euro verloren door een internetscam die zich in Amsterdam afspeelde. De 59-jarige John David Rangitauira handelde in naam van Jennifer Taukamo. Die had een e-mail van de “Central Bank” ontvangen waarin haar als onderdeel van een erfenis 27 miljoen dollar werd aangeboden. Het tweetal vloog naar Amsterdam waar ze pallets met geld getoond werden (bron)

Van een advocaat zou je toch beter mogen verwachten. Check, check, dubbel check. Maar blijkbaar is een advocaat ook maar een mens. Als het te goed lijkt, dan is het dat vaak ook.

Wees eerlijk, hoe vaak heb jij al mails ontvangen waarin bleek dat je nog een verre oom had die helaas is overleden en aan jou de erfenis wil nalaten? Nooit geweten dat je nog een oom bezat. Jammer, want als hij inderdaad zo rijk was, dan had je hem vast willen ontmoeten toen hij nog in leven was. Maar ja, dood is dood daar kun jij ook niets aan doen, gelukkig dat hij wel wist dat hij nog een neef of nicht in een ander land had.

200.000 euro investeren om een deel van een erfenis van 27 miljoen dollar te kunnen bemachtigen. Als het werkelijk zo zou zijn is het inderdaad een goede investering. Helaas zijn er teveel verre familieleden die inmiddels zijn overleden en waarvan al allerlei mails de hele wereld over zijn gestuurd. Geloof me, er is nog nooit een zogenaamde erfgenaam rijk van geworden.

Waarschijnlijk is de kans groter dat je de lotto, de staatsloterij en de postcodeloterij in dezelfde week wint een stuk groter. Maar de mail zag er ook zo goed uit, dat kon toch niet een verzinsel zijn? Nu weet je dus beter en trap je er hopelijk niet meer in. En voor diegene die geen mail uit Amsterdam maar uit Nigeria ontvangen moeten helemaal alle alarmbellen gaan rinkelen…je bent gewaarschuwd.

Nu gaat het in dit voorbeeld natuurlijk om klinkende munt. Bedenk ook dat eenzelfde verhaal op gaat voor mooie vrouwen in het buitenland die zo zielig zijn maar graag speciaal met jou in contact willen komen, sterker nog: ze willen zelfs graag met je trouwen om de rest van hun leven bij je te blijven. Helaas hebben ze geen geld voor een ticket. Als jij die nu even voor ze voorschiet dan zien jullie elkaar binnenkort op Schiphol. Nou, sterkte…er mee.

Krijg je weer eens een aanbod dat te mooi is om waar te zijn? Dan weet je nu wat je te doen staat: de mail gewoon weggooien en je SPAM-filter nog wat strakker instellen.

Man met 300.000 identiteiten gepakt

  door

Een Amerikaanse man is veroordeeld tot een gevangenisstraf van acht jaar wegens het bezit van 300.000 persoonlijke profielen. Op een externe harde schijf van de 40-jarige Robert Delgado vonden onderzoekers namen, adresgegevens, geboortedata en social security nummers. Ook werden er afbeeldingen aangetroffen die voor het vervalsen van creditcards en rijbewijzen waren te gebruiken (bron).

Dat is tenminste een gespleten persoonlijkheid. De vraag is natuurlijk wat je van plan bent met 300.000 identiteiten. Je kunt natuurlijk proberen om creditcards aan te vragen waarop je vervolgens schulden maakt voor degene van wie je de identiteit hebt gestolen. Maar is 300.000 dan niet een beetje veel? En je zult toch een behoorlijk dikke portemonnee moeten hebben om al die creditcards met je mee te zeulen.

Blijkbaar is 300.000 inderdaad te veel, want nu is de man toch opgepakt en zal voorlopig zijn cel met 300.000 anderen moeten delen. Zo zie je maar, uiteindelijk loop je tegen de lamp. Dat zie je wel vaker. Er wordt fraude gepleegd maar op een gegeven moment ga je te ver. Daar zit hem nu juist ook het probleem van fraude. Je kunt er niet meer mee stoppen omdat het dan op gaat vallen.

Binnen organisaties zie je dat ook nogal eens gebeuren. De mensen die fraude plegen zijn opvallend vaak aanwezig, ze nemen opvallend weinig vakantiedagen op en zijn bijna nooit ziek. Nu moeten we natuurlijk niet al onze beste medewerkers direct gaan verdenken van fraude, want er zijn er ook echt die gewoon betrokken zijn bij jouw organisatie…maar het geeft te raden.

Als je dan toch wilt frauderen dan is het de kunst om niet gepakt te worden. In die zin is het altijd een wedstrijd tussen de fraudeur en de anti-fraude afdeling. Op korte termijn wint een fraudeur nog wel eens, maar op de langere termijn is het toch meestal de anti-fraude afdeling die met nieuwe onderzoekstechnieken bestaande fraudes weet op te lossen…tenzij je dus geen anti-fraude afdeling hebt, dan is de kans groot dat je grote sommen geld misloopt.

Wie is binnen jouw organisatie degene met het hoogste aantal gewerkte uren? En is dat omdat hij zo betrokken is bij de organisatie of heeft hij een minder legale wijze gevonden om zijn salaris wat te verhogen?

Beveiligingsproblemen bij 160 webwinkels

  door

Een 17-jarige student heeft beveiligingslekken gevonden op de websites van 160 webwinkels met een Thuiswinkel.org-certificaat. De organisatie achter het keurmerk wil meer aandacht aan beveiliging geven. De gevonden kwetsbaarheden waren hoofdzakelijk cross site scripting-kwetsbaarheden, waarmee cookies kunnen worden achterhaald en malafide code kan worden uitgevoerd (bron).

Vreemd eigenlijk, als een 17 jarige student het voor elkaar krijgt om de lekken van verschillende sites bloot te leggen dan wordt het nieuws en wijst iedereen naar de slechte beveiliging van die webwinkels. we vergeten ineens dat we ons hier op een hellend vlak begeven.

Hoe zou de reactie geweest zijn als er stond dat het een 17 jarige jongen, afkomstige van een ethnische minderheid, was gelukt om bij 160 huizen in te breken omdat het raampje boven de keukendeur open stond? Zouden we dan nog een zelfde reactie vertonen? Het antwoord laat ik aan jou over.

Toch opmerkelijk. Als we ons in de digitale wereld begeven dan is onze blik ineens anders. Niet alleen als het gaat om mogelijke hack-pogingen maar ook als het gaat om privacy. Via sociale netwerksites geven mensen informatie prijs die ze normaal toch liever voor zich zouden houden. Hoewel we zelf die informatie vrijelijk het internet op slingeren, klagen we aan de andere kant wel steen en been als organisaties innovaties door willen voeren die mogelijk onze privacy schaden.

Ik ben er nog niet uit waardoor het verschil tussen de fysieke en de virtuele wereld is ontstaan. Zou het toch wat te maken hebben met het anonieme karakter? Voelen we ons veiliger als we van achter onze laptop allerlei acties ondernemen omdat we dan minder met onszelf geconfronteerd worden? Wie het weet mag het zeggen en eerlijk gezegd ben ik wel benieuwd wat jullie er van denken.

iPad 2-slot te omzeilen met magneetje

  door

Laat ik er mee beginnen dat ik alle iPad2 eigenaren voor straks een prettig weekend toe wens, ga maar rustig slapen. Ja, iedereen die net als ik zo’n ding niet bezit wens ik natuurlijk ook een prettig weekend, maar wij zullen ook nog eens een rustig weekend hebben…wij hoeven ons wat minder zorgen te maken.

Ben je dus jaloers op al die collega’s die wel zo’n iPad2 in hun bezit hebben en jou daar de ogen mee uitsteken? Dan moet je toch nog even verder lezen…grote kans dat jij eind van de dag het hardst lacht en wel lekker van je rustige weekend kunt genieten. Wil je je collega’s echt goed op de kast krijgen dan laat je ze dit bericht pas om kwart voor 5 zien…op het punt dat ze je net een prettig weekend hebben gewenst.

De cijfervergrendeling op de iPad 2 is eenvoudig te omzeilen. Als de gebruiker een codeslot heeft ingesteld, moet dat viercijferige nummer eerst worden ingevoerd. Maar dat kan worden omzeild. De Apple-tablet is toegankelijk door op de uit-knop bovenaan de iPad 2 te drukken, vervolgens annuleren van de code-invoer om daarna met een magneetje langs de rechterrand te vegen. Apple’s eigen Smart Cover of een magneetje geven hiermee toegang tot de iPad. (bron)

Voordat ik een oorlog start tussen Windows en Apple eerst maar even direct ontkrachten dat ik niet voor Apple en tegen Windows (of andersom) ben. Degene die mij wat beter kennen, weten dat ik meestal maar een simpele eis heb: het moet gewoon werken. De techniek doet mij er minder toe. Zo, dat is ook weer gezegd en nu niet allemaal reacties geven die een flame war veroorzaken…daarvoor zijn genoeg andere sites te vinden waar je wel je reactie kwijt kunt.

Alle bezitters van een iPad2 zullen het weekend druk zijn met het zoeken van meer informatie over dit probleem. Ze zullen op zoek gaan naar oplossingen om dit te voorkomen en vele zullen YouTube er op na slaan om te kijken of het ook echt werkt. Sterkte jongens.

Wij, als niet iPad2 bezitters, hebben natuurlijk ook een taak dit weekend. We moeten de winkel in om een magneet (of iets dat daarop lijkt) te kopen. Deze neem je uiteraard maandag mee naar je werk, leg je pontificaal om je bureau en als er weer een iPad2 bezitter naar je toe komt om je de ogen uit te steken, dan hoef je alleen nog maar met je magneet te zwaaien en ze naar dit bericht te verwijzen. Grote kans dat ze je voorlopig met rust laten.

Minder branden in 2010

  door

Vandaag maar weer eens een bericht van een heel andere orde. Veel meer gericht op de feiten en uiteindelijk vallend binnen het gebied van fysieke beveiliging. Maar ja, ook die draagt bij aan de continuïteit van de organisatie.

In 2010 ontving de brandweer bijna 151 duizend alarmmeldingen. In 44 procent van de gevallen was echter sprake van loos alarm. 41 duizend keer was er daadwerkelijk brand uitgebroken en bijna 44 duizend maal kwam de brandweer in actie voor diverse hulpverleningsactiviteiten.

In 2010 was 60 procent van alle brandmeldingen een loos alarm. Veruit het grootste deel daarvan, 48,5 duizend, kwam binnen via een automatische brandmeldinstallatie. Dit is 8 procent minder dan in 2009. Relatief veel loze meldingen komen uit verzorgings-/verpleeghuizen. (bron)

Als je dit zo leest dan zou je kunnen concluderen dat de brandweer soms drukker is met het beantwoorden van loos alarm dan met het daadwerkelijk blussen van branden. 48,5 duizend keer kwam er een loos alarm binnen van een automatische brandmeldinstallatie. Als we niet oppassen gaat dit dezelfde kant op als met de loos alarmmeldingen die via inbraakdetectiesystemen worden afgegeven.

De politie is er inmiddels mee gestopt om alle automatische inbraakmeldingen op te volgen. Te vaak bleek er loos alarm. Nu moet je dus eerst iemand gaan laten kijken voordat de politie met gillende sirenes aan komt rijden. Voor we het weten moet er straks ook bij een automatische brandmelding eerst geverifieerd worden of er ook echt brand is.

Ik geef het je te doen. Zit je net lekker achter je biefstukje in een restaurant gaat het brandalarm thuis af. Je krijgt een melding op je smartphone en voordat de brandweer uitrukt willen ze wel eerst zeker weten dat je huis ook echt in de fik staat. Flinke jongen als jij niet als een gek naar huis scheurt en eerst rustig je biefstukje op eet. Er zit niks anders op en je gaat op pad.

Dan zijn er twee opties: of je huis staat echt in de fik en de brandweer zal toch echt moeten komen, hoe vervelend dat ook voor ze is…ze hebben immers nog wat telefoontjes te beantwoorden. De andere optie is dat er niks of weinig aan de hand is en je de brandweer lekker op de kazerne kunt laten. In beide gevallen weet je dat je het lekkere biefstukje aan je neus voor bij kunt laten gaan.

We moeten ook niet vergeten dat nieuwe huizen tegenwoordig standaard worden uitgerust met rookmelders. Gevolg hiervan zal zijn dat de brandweer het alleen maar drukker krijgt de komende jaren. En dan te weten dat de bezuinigingen ook haar tol eisen bij de brandweer. Meer meldingen, minder middelen en nog minder geld. Heel benieuwd hoe ze dit op gaan lossen.

Negeren Windows updates nekt CheapTickets.nl

  door

Gisteren hadden we het nog over de FBI-topman die graag een tweede internet wil omdat daar dan de kritieke systemen onderling veilig kunnen communiceren. Daarbij gaf ik ook al aan dat er naast zware technische aanvallen ook de simpelere aanvallen en fouten zorgen voor beveiligingslekken. Nu wil ik niet direct beweren dat CheapTickets tot de kritieke systemen moet worden gerekend, maar het onderbouwd wel het idee dat er nogal wat schort aan de basis van beveiliging bij bedrijven.

Door een niet gepatchte test-webserver lagen de gegevens van 715.000 klanten van CheapTickets.nl voor het grijpen, waaronder wachtwoorden en paspoortnummers. De Windows Server 2003 omgeving was niet up-to-date, waardoor een aanvaller via een lek uit 2009 toegang kreeg tot een back-up, met daarin de eerder genoemde gegevens, maar ook zaken als volledige naam, adres, woonplaats, maaltijdvoorkeur en telefoonnummer.

In een verklaring laat CheapTickets weten dat het om een testomgeving ging met consumentengegevens die gedurende de periode 2008 tot 2009 werden verzameld. De gegevens zouden inmiddels offline zijn gehaald. (bron)

Voor al die organisaties die besluiten om nog maar een dure firewall aan te schaffen moeten we natuurlijk eerst even op de rem gaan staan. Voordat je investeert in nog een technische maatregel moeten we eerst eens goed kijken naar de organisatorische en procedurele maatregelen.

De vragen die gesteld moeten worden zijn bijvoorbeeld:

  • Waarom was de Windows server niet up-to-date?
  • Waarom was de test omgeving gekoppeld aan het internet?
  • Waarom werd er gebruik gemaakt van echte gegevens en niet van fictieve gegevens?

Beantwoorden we die vragen dan zijn we op weg om de echte oorzaken van een dergelijk incident te achterhalen. De gevolgen mogen zich dan uitten in een security incident, de oorzaken liggen (zoals bij veel incidenten) buiten dit vakgebied.

Het betreft hier onder andere tekortkomingen in ontwikkeling en beheer. Misschien goed om toch nog eens te duiken in standaarden als de ITIL-processen en als we nog eens Googlen op best practices voor ontwikkeling en beheer dan vinden we ongetwijfeld ook nog wel wat slimme tips.

De lessen die wij zelf natuurlijk trekken is dat we updates sneller testen en doorvoeren, dat we de OTAP-omgevingen scheiden van de productie omgevingen en van het internet, dat we persoonsgegevens niet langer bewaren dan strikt noodzakelijk en dat als we dan toch willen testen we gebruik maken van fictieve gegevens. Doen we dat, dan zijn we al weer een aardig stuk op weg en had in ieder geval dit incident voorkomen kunnen worden.

Maar ja, misschien ook een goede les voor al die klanten. Beveiliging is een kwaliteitsaspect. Dan moet je niet gek opkijken dat je bij een prijsvechter een minder goede beveiliging kunt verwachten. Ze moeten het geld toch ergens vandaan halen en dat doen ze onder andere door weinig te investeren in informatiebeveiliging.

Helaas geldt dat niet alleen voor CheapTickets maar ook voor andere organisaties. De basis van beveiliging is (nog lang) niet op orde, maar met de huidige bezuinigingen en met de concurrentiestrategie die veel organisaties op dit moment voeren, wordt er niet geïnvesteerd in informatiebeveiliging en kunnen we dergelijke incidenten meer en meer verwachten.