Categorie: Geen categorie

Overheidscloud vergroot risico’s op datalekken

  door

We zijn deze week lekker bezig met het nemen van een bepaald soort risico als uitgangspunt voor het blog. Daar gaan we vandaag nog even mee door. Vandaag pakken we weer een heel ander soort risico, namelijk dat op datalekken.

Overheden moeten goed nadenken of, en welke data in een cloud wordt opgeslagen. Landen worden aangespoord extra op beveiliging en contractvoorwaarden te letten (bron).

Interessant natuurlijk dat er hier specifiek gesproken wordt over de overheden die goed (lees: beter) na moeten denken over beveiliging in “the cloud”, maar dat geldt natuurlijk net zo goed voor alle andere organisaties en zelfs voor privé personen.

Een (vrij) nieuwe techniek en er moet inderdaad goed over de risico’s worden nagedacht. Toch moeten we deze ontwikkelingen niet uit de weg gaan, in veel gevallen kan het onderbrengen in de cloud zelfs beter zijn dan het op je eigen servers laten draaien.

Het gaat er natuurlijk om dat je goed de risico’s in kaart brengt voor de beschikbaarheid, integriteit en exclusiviteit van de data die je in de cloud opslaat. Doe je dat op een weldoordachte wijze dan zul je zien dat voor de ene organisatie de beschikbaarheid bijvoorbeeld enorm toeneemt terwijl ze concessies moeten doen aan de integriteit of de exclusiviteit.

Voor andere organisaties zal juist de beschikbaarheid afnemen terwijl de integriteit toeneemt. Het grootste bezwaar dat leeft tegen opslaan in de cloud is die van de exclusiviteit van de gegevens.

Of gewoon in simpel Nederlands: wie kan er allemaal bij mijn gegevens en wat doen ze er dan mee? Toch ben ik er van overtuigd dat ook de exclusiviteit van de data voor veel organisaties er enorm door kan toenemen. Nu werken ze nog op een verouderde infrastructuur, worden patches niet doorgevoerd en weten we al helemaal niet wie er van onze medewerkers bij de gegevens kan.

Maar om donderwolken te voorkomen, is het wel van belang goed naar die risico’s te kijken. Er over na te denken en de juiste maatregelen te nemen om die risico’s af te dekken. Ik geloof dat het kan en ik geloof dat voor veel organisaties de zon achter de wolken kan schijnen.

Afrika wordt veiliger voor bedrijfsleven

  door

Bedrijven kunnen veiliger zakendoen in Afrika. Door de economische ontwikkeling zijn de risico’s op bijvoorbeeld oorlogen, stakingen, rellen en wanbetaling in een aantal Afrikaanse landen afgenomen. Dat blijkt uit de Political Risk Map 2011 die woensdag werd gepubliceerd door de internationale verzekeringsmakelaar en risicoadviseur Aon (bron).

Opmerkelijk bericht. Door de economische ontwikkeling van de afgelopen jaren zijn de risico’s afgenomen. Blijkbaar hebben de Afrikaanse landen dus minder last van de economische crisis dan de westerse landen. Amerika, Europa en delen van Azië worden er harder door geraakt.

Volgens Aon verbeterde het risicoprofiel van de Afrikaanse landen Kenia, Mozambique, Rwanda, Oeganda en Zambia. In Algerije en Benin verslechterde het risicoprofiel. De meest risicovolle Afrikaanse landen om zaken te doen, zijn Congo, Soedan, Zimbabwe en Somalië. Het minste risico lopen ondernemingen in Zuid-Afrika, Namibië en Marokko. Ook Tunesië geldt als een redelijk veilig land om zaken te doen, maar in het onderzoek is de recente politieke onrust in dat land niet meegenomen.

In het onderzoek was de huidige toestand in Tunesië nog niet meegenomen, maar dat geeft dus aan dat de situatie er nog niet in alle landen echt stabiel is. De vraag is natuurlijk hoe snel de situatie in de andere landen ook om kan slaan. Hoewel je dan nu minder risico loopt, ga je voor een investering toch een langere termijn relatie aan en die wil je terug verdienen, toch?

Lastige situatie. Hoewel het risico dus afneemt, geldt dat er eerst voor langere tijd een stabiele situatie moet zijn om echt goed zaken te kunnen doen. Daar gaan nog wel wat jaren overheen en het is te hopen dat de Afrikaanse landen lering trekken uit de situatie in Amerika en Europa. Doen ze dat, dan kunnen ze er ook echt sterker uit komen.

Tel daarbij de opwarming van de aarde en over een aantal jaar houden ze op de Nationale TV Zender van Zambia misschien wel een inzamelingsactie om ons, zielige Nederlanders, te helpen.

Nee, natuurlijk zal het zo’n vaart niet lopen, maar dat de onderlinge verhoudingen in de wereld aan het veranderen zijn mag nu wel duidelijk zijn. Voorlopig verdiep ik me nog even in China, binnenkort maar eens een LOI-cursus Chinees bestellen om klaar te zijn voor de nabije toekomst.

119 Zuid-Hollandse bedrijven lopen hetzelfde risico als Chemie-Pack

  door

Laten we het vandaag maar eens hebben over een risico. Een risico waar we ons allemaal wel wat bij voor kunnen stellen, maar waar een berg bedrijven te weinig bij stil staan. Het risico waardoor een groot aantal organisaties de deuren definitief kan sluiten als ze er door getroffen worden: brand.

Met de brand in Moerdijk nog vers in het geheugen, worden er natuurlijk allerlei kamervragen gesteld. De ene partij zal zeggen dat het allemaal best goed verlopen is terwijl de andere kant juist zal schreeuwen dat het een zooitje is en dat het echt anders moet. De waarheid? Nou, vrij simpel: die ligt ergens in het midden.

Mijn oog viel op het volgende bericht:
In de provincie Zuid-Holland zijn 119 bedrijven die qua risico vergelijkbaar zijn met Chemie-Pack, het chemische bedrijf dat in januari verwoest werd door een brand (bron).

In Zuid-Holland alleen al zijn 119 bedrijven die vergelijkbaar zijn. Ben je ook zo benieuwd hoeveel van die bedrijven de juiste maatregelen hebben getroffen om brand te voorkomen of in ieder geval te kunnen onderdrukken? Waarschijnlijk kan het scenario zoals dat zich bij Chemie-Pack heeft voorgedaan, zich ook bij een groot aantal van die andere bedrijven voor doen.

Verderop in het bericht wordt het gelukkig allemaal wat genuanceerd:
De kans op een grote brand is er één keer in de 1500 jaar. Deze kans is groter als de brandbestrijding niet in orde is.
De kans dat zo’n brand zich voordoet is één keer in de 1500 jaar…mij is niet duidelijk waar deze statistiek op gebaseerd is, maar hij lijkt mij aan de onwaarschijnlijk lage kant (ja, lage kant, de kans is natuurlijk veel groter dat het vaker gebeurt).

Gelukkig wordt de kans verkleind als de brandbestrijding in orde is, ja, ook dat lijkt me vrij logisch. Daar hoef je echt geen hogere wiskunde voor gestudeerd te hebben.

Waar iedereen wel erg makkelijk overheen stapt is het feit dat Chemie-Pack in 2007 en 2008 nog niet aan de eisen voldeed en later ineens weer wel. Die berichtgeving is mij nog niet duidelijk geworden. Het zegt mij alleen maar dat deze organisatie misschien wel ‘compliant’ was (maar dan marginaal) en zeker niet ‘in control’. Het verschil daartussen? Dat leg ik je graag persoonlijk een keer uit tijdens een bak koffie.

Feit is wel dat de slogan (vertrouwde omgang met chemische producten) van Chemie-Pack achteraf in ieder geval niet de brandveiligheid betrof.

Praktijklokalen vaak nog onveilig

  door

Veiligheid blijft een zorgenkindje in veel praktijklokalen van scholen in het voortgezet en middelbaar beroepsonderwijs (mbo). De Arbeidsinspectie meldde maandag op basis van onderzoek vorig jaar dat in ruim driekwart van de 136 gecontroleerde scholen onveilig werd gewerkt met machines en gevaarlijke stoffen. In 2009 werd er nog bij negen van de tien onveilig gewerkt in de praktijklokalen (bron).

Niet alleen het niveau van de opleidingen maar ook de veiligheid staat zwaar onder druk. Voor een land als Nederland, dat zo graag kenniseconomie wil zijn, doen we toch echt iets verkeerd. Volgens mij wordt het tijd dat er weer eens wat instellingen onder curatele gezet worden. En nee, denk nu niet dat het alleen maar komt door alle bezuinigingen, dat is misschien een deel van het probleem, maar er zijn genoeg scholen met voldoende budget.

Dat budget wordt alleen niet goed ingezet. Ik zal mijn commentaar onderbouwen met een simpel voorbeeld:
De in november bij de in opspraak geraakte hogeschool Inholland opgestapte bestuursleden Lein Labruyère en Joke Snippe krijgen tot maart van dit jaar gewoon doorbetaald, omdat hun arbeidsovereenkomst nog geldig is. Bovendien krijgen de twee per maart een ’gouden’ handdruk van respectievelijk 175.000 euro en 155.000 euro mee (bron).

De scholen die al eerder gecontroleerd waren, hebben er wel iets aan gedaan. Maar om nu te zeggen dat ze echt hun verantwoordelijkheid hebben genomen gaat me te ver:
In veel gevallen hadden de scholen wel maatregelen getroffen in de lokalen waar eerder was geïnspecteerd, maar niet in de overige lesruimtes. Bij de niet eerder gecontroleerde scholen waren de praktijklokalen zelfs maar in 3 procent van de gevallen helemaal in orde.

Zo, we hebben het gehad over de veiligheid van de leerlingen…redeneer nu nog even verder over de beveiliging (ja, er is een verschil, echt waar: veiligheid = safety, beveiliging = security), daar zal het wel niet veel beter mee gesteld zijn.

Klantendatabase UGG gestolen

  door

Eerlijk is eerlijk. Ik moest de titel even drie keer lezen voor ik wist waar het over ging. Maar goed, het gaat inderdaad om het schoenenmerk met de wollen binnenkant (en de absurd hoge prijs).

De Australische schoenenfabrikant UGG heeft klanten een brief gestuurd waarin het waarschuwt dat de klantendatabase is gestolen. Net als verschillende andere bedrijven had UGG de klantgegevens bij marketingbedrijf Silverpop ondergebracht…Klanten krijgen het advies om niet te reageren op verzoeken van UGG waar om persoonlijke of financiële informatie wordt gevraagd. Hoeveel klanten zijn getroffen is onbekend (bron).

In eerste instantie vraag je je af waarom dit nu zo schokkend is. De gegevens kunnen ze waarschijnlijk ook gewoon uit het telefoonboek halen. Dat is natuurlijk waar, maar dan wordt het voor de criminelen wel met losse flodders schieten, want hoe weet je dan dat iemand UGG’s heeft?

Nu weten ze zeker dat iemand UGG’s heeft en kunnen ze de aanval beter richten op slachtoffers die ontvankelijk zijn voor een aanval. Er zullen maar weinig UGG’s eigenaren zijn die de gevaren er van inzien. Een brief van UGG’s, hé wat leuk, oh kijk nou een aanbieding op maat. Hop, snel naar de site in de brief en bestellen maar. Een koopje, toch? Nou waarschijnlijk niet, waarschijnlijk betaal je voor iets dat je nooit geleverd krijgt en erger nog ze beschikken over jouw creditcard gegevens.

Kortom: iedereen met UGG’s…vernietig direct het bewijsmateriaal en koop nooit meer nieuwe UGG’s. Veel te gevaarlijk (en we schonen er het straatbeeld weer eens lekker mee op). Nu nog een dergelijk bericht over Crocs en we lopen tenminste allemaal weer eens op normale schoenen, haha. Ik ga ophouden, voordat ik alle fashionistas achter me aan krijg.

Virtuele verkrachting

  door

Vandaag gaan we nog even door met het bericht waar we gisteren mee geëindigd zijn.

Eenmaal toegang tot de e-mailaccounts wijzigde hij het wachtwoord. Vervolgens doorzocht Bronk de inbox op naaktfoto’s, die hij vervolgens naar alle contacten in de adreslijst stuurde. Ook wist hij van verschillende slachtoffers het Facebook-account over te nemen door een nieuw wachtwoord aan te vragen. Het nieuwe wachtwoord werd dan naar het e-mailadres gestuurd dat hij al had overgenomen. In veel gevallen plaatste Bronk de naaktfoto’s ook op Facebook en andere internetsites.

Het is natuurlijk al erg genoeg dat je emailaccount gekraakt wordt, maar als ze vervolgens dan ook nog de informatie (de naaktfoto’s in dit geval) doorgaan sturen aan al je contacten dan maakt dat het er alleen maar erger op. Moet je je voorstellen, je kunt je waarschijnlijk nooit meer vertonen in je vrienden groep (of je hebt er ineens allemaal fans bij, dat kan natuurlijk ook). Dan voel je je toch letterlijk in je eer aangetast.

Aan de hand van de informatie in de foto’s wisten de autoriteiten verschillende slachtoffers op te sporen. In totaal deden 46 slachtoffers aangifte, die de acties van Bronk “virtuele verkrachting” noemden (bron).

“Virtuele verkrachting”, als je het begrip leest zonder dat je er de achterliggende informatie bij hebt dan kun je je er weinig bij voorstellen. Maar met dit bericht erbij, wordt het ineens een begrip dat in de Dikke van Dalen voor 2011 kan worden opgenomen. Overigens kan er naast virtuele verkrachting natuurlijk ook een aanklacht worden ingediend voor schending van de privacy en inbraak in computersystemen.

Ben heel benieuwd welke straf deze man boven zijn hoofd hangt. En een simpel advies is natuurlijk om dergelijke foto’s niet in je inbox te laten staan (nog los van de vraag waarom je sowieso zulke foto’s wilt hebben en bewaren, het gaat zo vaak mis…maar goed iedereen is oud en wijs genoeg om voor zichzelf dat besluit te nemen).

Man steelt naaktfoto’s uit gekraakte e-mailaccounts

  door

Een Amerikaanse man heeft de e-mailaccounts van honderden vrouwen gekraakt opzoek naar naaktfoto’s…Van december 2009 tot september 2010 verschafte Bronk zichzelf toegang tot de e-mailaccounts van de vrouwen door de geheime vraag juist te beantwoorden. Op de Facebook pagina’s van zijn slachtoffers zocht hij naar informatie en hun e-mailadres. Vervolgens benaderde hij de e-mailprovider van het slachtoffer en deed zich als klant voor die zijn wachtwoord kwijt was. Bronk wist in veel gevallen de geheime vraag van de provider te beantwoorden met de informatie van de Facebook pagina’s (bron).

Met deze titel heb ik waarschijnlijk direct je aandacht, toch? Nou, oké, hartstikke goed maar het gaat me niet zozeer om de naaktfoto’s die de man stal (sensatiezoekerij natuurlijk) want dat is al erg genoeg. Nee, het gaat er hier om dat hij dus eenvoudig in staat is geweest om de geheime vraag van de accounthouders te kunnen beantwoorden.

Er is meer en meer informatie over ons op internet te vinden. Met een paar klikken kan ik al een aardig profiel van je opbouwen. En nee, we hoeven niet als kluizenaar in de anonimiteit te blijven, maar we moeten ons wel bewust zijn van de informatie die we achter laten.

Wees eens eerlijk, wanneer heb jij jezelf voor het laatst geGoogled? Wanneer heb jij je profiel gecheckt met www.wieowie.nl? Nog nooit? Oh, dan zou ik dat maar eens snel doen en ga dan ook even na hoe eenvoudig die geheime vraag van jou te beantwoorden is.

Een geheime vraag als: wat was de eerste school waar je op hebt gezeten is via Schoolbank makkelijk te achterhalen. De meisjesnaam van je moeder moet ook niet al te ingewikkeld zijn en de foto’s en naam van je lievelingsdier zijn waarschijnlijk ook wel op Hyves te vinden.

De geheime vraag mag dan geheim zijn, maar het antwoord is dat in veel gevallen niet. Het wordt tijd dat er toch eens wat mensen opstaan die serieus nagaan denken over nieuwe en vooral veilige internettoegang. Inlogaccount, wachtwoord en geheime vraag zijn blijkbaar niet voldoende meer, op naar een nieuwe oplossing en wie hem weet mag hem zeggen.

Supermarkt IT’er steelt voor 100.000 euro aan bonuspunten

  door

Een IT’er die bij de Britse supermarktketen Sainsbury werkte is veroordeeld tot een gevangenisstraf van twintig maanden wegens het stelen van zeventien miljoen bonuspunten…Stevenson werkte al twintig jaar bij de supermarktketen en was één van de belangrijkste programmeurs op het hoofdkantoor. Vanwege zijn functie had hij ook toegang tot het loyaliteitsprogramma (bron).

Je vraagt je natuurlijk eerst af wat iemand met 17 miljoen bonuspunten moet, nou dat is niet zo ingewikkeld, die kan hij vrij simpel inleveren via internet. Helaas voor deze man is hij toch tegen de lamp gelopen.

Het toont overigens maar weer eens aan dat we met zijn allen teveel naar de buitenkant kijken. We willen een firewall, anti-virus en anti-spam en veilig zijn we, althans dat is het beeld. Nog teveel wordt onderschat dat de grootste dreiging nog steeds intern zit. Bij de medewerkers, die al allerlei rechten hebben en die gemakkelijk bij allerlei informatie kunnen. Als we dan ook nog inzoomen op een bijzondere medewerker als de programmeur dan is het hek helemaal van de dam.

Nee, natuurlijk wil ik niet zeggen dat alle programmeurs verdacht zijn, er zijn een hele hoop goede programmeurs (echt, geloof me, het merendeel). Alleen zitten er ook hier rotte appels tussen en die kunnen een enorme impact hebben op de organisatie.

Nu moeten we het natuurlijk ook weer niet overdrijven. De bonuspunten waren zo’n 100.000 euro waard, voor de persoon in kwestie veel, voor de organisatie een schijntje. Het had veel dramatischer af kunnen lopen als de programmeur het foutje in het systeem had gebruikt om alle bonuskaarten van klanten te wissen…

Zo zie je maar: kijk niet alleen naar de buitenkant, maar denk ook eens goed na over de interne risico’s.

Verborgen camera (2)

  door

Voor diegene die denken dat alleen vrouwen in Amerika met een verborgen camera gefilmd worden. Wakker worden, wij zijn niet veel beter (of slechter) dan onze overzeese vrienden.

Een aantal weken geleden stond in Assen een verliefde buurman terecht, die een verborgen camera in de slaapkamer van zijn naaste buren plaatste. Hij was van plan het echtpaar in hun intiemste kamer te filmen en dan vooral de buurvrouw, waar hij jarenlang gevoelens voor koesterde. Doordat het stel alert was, is er geen filmpje geschoten (bron).

Als je goed kijkt zie je het gaatje waarachter de camera zich bevond. Gelukkig had deze buurman nog niet van de nieuwere technieken gehoord, want het kan met een veel kleiner gaatje ook al. De kans dat het dan was opgemerkt is een stuk kleiner.

Maar goed, daar gaat het spreekwoord: liever een goede buur dan een verre vriend. Geef mij persoonlijk dan toch die verre vriend maar…tenzij die natuurlijk je webcam gehackt heeft en vanaf afstand mee zit te kijken.

Het moet toch allemaal niet veel gekker worden, wie kun je nog vertrouwen? Ik ga maar weer ophouden met dit soort persoonlijke berichten en me weer storten op de wereldproblematiek…daar word je een stuk minder paranoia van.