Categorie: Geen categorie

Verborgen camera

  door

Hebben we het van de week gehad over toch wat zware berichten uit het vakgebied. Berichten die ingaan op de schade die we jaarlijks wereldwijd lopen en de status van de beveiliging in Nederland. Laten we het dan vandaag en morgen maar weer eens hebben over berichten die niet de wereldeconomie aangaan. Nee berichten die heel persoonlijk zijn en mensen in hun privacy aantasten want ook dit zijn problemen waar we mee geconfronteerd worden.

Twee Amerikaanse vrouwen hebben een zonnebank aangeklaagd omdat ze daar stiekem werden gefilmd, waarna de naaktfoto’s op verschillende pornosites verschenen. Volgens de twee vrouwen vond het misdrijf in 2006 plaats, maar ontdekten ze dit pas in de zomer van vorig jaar. Zonder medeweten en toestemming werden de twee naar eigen zeggen door een gat in het plafond gefilmd (bron).

Nu kun je je natuurlijk afvragen hoe deze vrouwen er achter kwamen maar dat geeft het bericht niet weer. Erg genoeg natuurlijk voor deze vrouwen, maar trek de parellel nu eens door? Hoe makkelijk is het om mensen met een verborgen camera te filmen? En hoe makkelijk is het dan om bedrijfsgegevens met zo’n zelfde camera te filmen?

Iedereen heeft tegenwoordig een telefoon met camera en voor een paar tientjes koop je een verborgen camera als dat nodig is. Even aansluiten en hop, het werkt. Dat is natuurlijk het voordeel van “plug and play”.

Kennen we niet allemaal het verhaal met het schroefje in de muur dat een camera (b)leek te zijn? Hoe vaak is de directiekamer van jouw organisatie als eens gesweept? Weten we zeker dat er geen lijntjes naar buiten zijn?

We kunnen natuurlijk allerlei mooi beveiligingsbeleid maken, maar uiteindelijk gaat het er ook om dat we gewoon ons boerenverstand gebruiken en nadenken over de risico’s die we niet zien. En dat mag je in dit geval letterlijk nemen.

Maar ook voor dit soort risico’s zijn tegenmaatregelen:

Binnenkort toch maar eens kijken of we (goedkoop) aan zo’n apparaatje kunnen komen. Zodra dat lukt, hou ik jullie uiteraard op de hoogte.

Criminelen betalen 9 euro voor e-mailadres

  door

We gaan vandaag nog maar even door op het bericht dat we gisteren ook al als bron aanhaalden.

Internetcriminelen hebben veel geld over voor persoonlijke informatie zoals creditcardgegevens en toegang tot e-mailaccounts. Een e-mailadres zou al gauw 9 euro waard zijn. Informatie over een bankrekening is zelfs 7,50 tot 95 euro waard en creditcardgegevens rond de 23 euro (bron).

Rare jongens die internetcriminelen, weten ze dan echt niet dat je bij Hotmail of Gmail een gratis emailaccount aan kunt maken? Ja, natuurlijk weten ze dat. Het gaat ze dan ook niet zozeer om het emailadres maar meer om de gegevens die in de mailbox staan en de wijze waarop ze dat adres kunnen misbruiken zonder dat het herleidbaar is.

Verder zijn ze druk op zoek naar bankgegevens en creditcardgegevens. Hoe ze aan die gegevens komen? Ach, wellicht heb je eerder het bericht al eens gelezen dat de internetwinkels niet zo goed beveiligd zijn en anders zijn er ook nog allerlei “man-in-the-middle” en virus aanvallen om je gegevens te achterhalen. Lukt dat allemaal niet dan rollen ze toch gewoon even je zakken als je net hebt staan pinnen in de supermarkt?

Er zijn zelfs Chinese veilingsites die gegevens gewoon verkopen. Voor zo’n 20 euro koop je daar de gegevens van een account met zo’n 150 euro tegoed. Je kunt slechtere investeringen doen, zullen we maar zeggen. De overige gegevens zijn trouwens ook gewoon via het internet te koop. Alleen kom je dan op allerlei mystieke internetsites terecht waar je beter niet kunt komen omdat jij dan weer gehackt wordt. Nee, blijf maar gewoon eerlijk voor je geld werken, dat is wel zo veilig.

Maar dat criminaliteit loont wordt wel weer duidelijk…En ach, wat had je gedacht: de Chinezen staan bekend om hun kopieer gedrag. Kun je ze dit kwalijk nemen dan? Volgende keer als ik Bami en een Loempia ga halen toch maar even contact betalen, je weet maar nooit.

Schade internetcriminaliteit 750 miljard per jaar

  door

De totale omvang van deze illegale ondergrondse economie is volgens Europol momenteel niet te meten. Wel is volgens antivirusbouwer McAfee duidelijk dat bedrijven wereldwijd jaarlijks voor ongeveer 750 miljard dollar schade lijden door internetcriminaliteit (bron).

We mogen in Nederland blij zijn dat de Euro/Dollar-koers nog steeds in ons voordeel uitwijst. Daarmee lopen we in euro’s toch wat minder schade op, zullen we maar zeggen. Maar is het niet onvoorstelbaar dat bedrijven wereldwijd 750 miljard schade lijden door internetcriminaliteit?

Wow, een miljard heeft 9 nullen. Dus cijfermatig ziet het er als volgt uit:
750.000.000.000. Dat is de schade die we jaarlijks minimaal lopen. Ehm, tijd dat mijn aandeel voor advies stijgt naar 1% van dit schadebedrag.

En dan te bedenken dat volgens Europol de ondergrondse illegale economie niet te meten is? Tel daarbij het bericht van gisteren op dat het met de informatiebeveiliging in Nederland nog niet goed gesteld is en we hebben een business case. Althans, dat zou je zeggen, helaas wijst de praktijk toch anders uit en wordt er (te) weinig gedaan om de informatiebeveiliging in Nederland naar een hoger plan te tillen.

Het sterkt mij uiteraard in de gedachte dat er nog heel veel werk te doen is op informatiebeveiligingsgebied…nu nog het inzicht bij de organisaties voor elkaar weten te krijgen en we kunnen binnenkort het werk allemaal niet meer aan.

Storingen groter gevaar in NL dan cyberaanvallen

  door

Storingen vormen bij Nederlandse bedrijven een veel groter gevaar dan cyberaanvallen, zo stelt het Centraal Bureau voor de Statistiek (CBS). Er werd gekeken naar beveiligingsincidenten bij zowel Nederlandse als andere Europese landen. Storingen, oftewel de uitval van ICT-diensten of vernietiging / verminking van gegevens door storingen in hardware of software komt in Nederland bij 19% van de bedrijven voor. Aanvallen van buitenaf (7%), infecties (7%) en datalekkage door Inbraak, pharming of phishing (4%) vormden een veel kleiner deel van de incidenten (bron).

Als het Centraal Bureau van de Statistiek het onderzocht heeft dan zal er toch zeker een kern van waarheid in de gegevens zitten. Goed om te weten natuurlijk, zo kunnen we met feiten naar buiten treden.

Het geeft maar weer eens aan dat we informatiebeveiliging moeten relativeren en wel op die manier dat de grootste dreiging helemaal niet van buitenaf komt. Natuurlijk moeten we aan “grensbewaking” doen en blijven doen (en daar kan ook nog heel wat in verbeterd worden). Maar het wordt belangrijker om ook eens naar de interne organisatie te kijken.

Helaas wordt in het bericht niet aangegeven waardoor die interne storingen veroorzaakt worden. Dat kan natuurlijk technisch falen van de systemen zijn, foutieve instellingen, fouten van medewerkers en ga zo maar door. Maar wat te denken van de bewuste activiteiten van medewerkers? Nog te vaak worden allerlei technische beveiligingsmaatregelen ingezet terwijl met organisatorische en procedurele maatregelen veelal meer effect te bereiken is tegen lagere kosten.

Een overig opmerkelijk feit:
Ook vergeleken met de ons omringende landen is het aandeel bedrijven met ICT-beveiligingsincidenten hoog. In Duitsland was het 22 procent, in België 24 procent en in het Verenigd Koninkrijk slechts 10 procent…Nederland behoort met Denemarken en Noorwegen tot de landen met de meeste ICT-beveiligingsincidenten.

Kortom: werk aan de winkel voor de Nederlandse organisaties. En het wordt misschien wat vervelend maar dat begint toch echt bij het bewustzijn van het management.

Security awareness is als een aap leren fietsen

  door

Deze week heb ik me weer verbaasd over de mate waarin beveiliging en risico’s worden onderschat. Niet dat dat nu zo nieuw is, want ik verbaas me keer op keer en probeer dan ook continu het bewustzijn te verhogen.

Een poos geleden heb ik daarom al eens een presentatie op mijn LinkedIn-profiel gezet maar voor zover ik me kan herinneren is hij hier nog niet geplaatst. Als afsluiter voor deze week: security awareness is als een aap leren fietsen.

Security awareness is als een aap leren fietsen

Het verhogen van het bewustzijn is geen makkelijke opgave, dat hoor je mij niet beweren. Maar toch moeten we er meer en meer aandacht aan besteden. Dat is de enige manier om het bewustzijn en daarmee de beveiliging te verhogen.

Oh ja en voor diegene die het gemist hebben: een bewustzijnscampagne is meer dan een poster aan de muur.

Beveiliging mobiele apparaten wordt vaak onderschat

  door

We hadden het er al eerder over deze week, maar goed de kracht zit hem in de herhaling zullen we maar zeggen.

De beveiliging van mobiele apparaten wordt vaak onderschat. Onderzoek van Juniper Networks toont dit aan. Zeker 75% van de mensen zou hun mobiele apparaat gebruiken om gevoelige persoonlijke of bedrijfsinformatie te benaderen of zelfs te delen. Nog eens 81% benadert het bedrijfsnetwerk zonder toestemming van het bedrijf (bron).

Ik heb er al zoveel en zo vaak over geschreven dat ik bijna niet meer weet wat ik er nog aan toe kan voegen. Dus zullen we onszelf maar weer eens herhalen maar dan in andere bewoording.

We moeten steeds blijven kijken naar oorzaak en gevolg. Theoretisch heel simpel, toch? In de praktijk een stuk lastiger. Dat de beveiliging (en zeker niet alleen die van mobiele apparatuur) onderschat wordt is een gevolg. Het is niet, ik herhaal, niet de oorzaak. De oorzaak moet gezocht worden in bewustzijn, ik herhaal, bewustzijn.

Het management blijft beveiliging lastig vinden. Dat komt omdat we met zijn allen blijven denken in allerlei exotische beveiligingsmaatregelen. Deze maatregelen kosten bergen met geld, maken het werken lastig en er gebeurt toch nooit wat? Op zich allemaal (deels) waar, zeker als we uit blijven gaan van die maatregelen.

Willen we het management overtuigen dan moeten we echt meer en meer gaan denken en communiceren in operationele en bedrijfsrisico’s. Uiteindelijk is en blijft de beveiliging ondersteunend aan de primaire processen van de organisatie. Daar verdienen we ons geld mee en de operationele risico’s die dat geld verdienen kunnen beïnvloeden moeten we op een efficiënte wijze zien te beheersen.

Het management moet wegblijven van en niet lastig gevallen worden met die beveiligingsmaatregelen. Nee ze moeten overtuigd worden van het feit dat wij de operationele onacceptabele risico’s beheersen. En dat is makkelijker gezegd dan gedaan, dat weet ik ook wel. Toch moeten we er, in het kader van de bezuinigingen, niet mee wachten want dan staan we straks 1-0 achter.

Het advies? Start vandaag nog met het denken in operationele risico’s en maak daarbij steeds de vertaalslag naar de bedrijfsrisico’s.

Kritische infrastructuur is slecht beveiligd

  door

Het is droevig gesteld met de beveiliging van kritische industriële infrastructuur. Zo worden veel belangrijke industriële processen niet beveiligd door gespecialiseerde hard- en software, maar bewaakt door huis-tuin-en-keukencomputers. En dat maakt ze kwetsbaar…Bij kritische infrastructuur moet men denken aan automatisering die gebruikt wordt voor de besturing van belangrijke processen. Dit kan variëren van de besturing van bruggen en sluizen tot de veiligheidssystemen die waken over een veilig en beheersbaar proces in een kerncentrale (bron).

De kritische infra, zeg maar de spil waarop het land draait, is dus net zo slecht beveiligd als alle andere organisaties en processen. Merkwaardig? Ach, het verbaast me niet. Gevaarlijk? Ja, dat zeker wel.

We onderschatten dit probleem. Zelfs als er ergens een “klein berichtje” over wordt geplaatst is er niemand die aan de bel trekt. Hallo, beste mensen van de Tweede Kamer…wordt het geen tijd dat hier eens stevige kamervragen over worden gesteld?

We hebben het hier over de kritische infrastructuur. In het voorbeeld wordt luchtig beschreven dat dit bijvoorbeeld een kerncentrale kan betreffen en daarmee lijkt de kous af. Maar wat te denken van de drinkwatervoorziening? Het Openbaar Vervoer? Gasinstallaties? De media? En zo kunnen we nog wel even doorgaan.

We staren ons voorlopig blind op terroristische aanslagen (en daar moeten we zeker voor waken) maar vlak ook alsjeblieft de digitale oorlogsvoering niet uit. Nederland kan met een aantal drukken op de knop worden platgelegd en geloof me er zijn landen die dat al lang kunnen.

Vroeger gingen we nog op de barricades tegen de kernwapens, want die konden wel zoveel schade aanrichten. Wordt het nu dan niet eens tijd dat we de politiek duidelijk maken dat een slechte beveiliging van de kritische infrastructuur onacceptabel is?

2011. Ja het kan een mooi jaar worden…maar er kan ook verschrikkelijk veel verkeerd gaan.

E-mails verdwenen uit Hotmail

  door

Duizenden Hotmail-gebruikers wereldwijd doen sinds 1 januari hun beklag over het feit dat tientallen e-mails en mappen verdwenen zijn (bron).

Natuurlijk beschikken veel mensen over een Hotmail en/of Gmail-account. Al is het alleen maar om dit adres achter te kunnen laten op internetsites waar je je moet registreren. Alle SPAM wordt zo netjes naar je Hotmail-account gestuurd. Nu die SPAM verdwenen is gaan er allerlei mensen klagen. Raar want voor zover ik weet geeft Hotmail (en Gmail ook niet trouwens) geen enkele garantie over hun diensten. Je mag ze gratis gebruiken, maar wat kun je daarvoor verwachten?

Overigens moet je niet veronderstellen dat er op je andere mailboxen (ja die van je internetprovider) wel garanties worden gegeven. Een goede les dus voor iedereen die mail ontvangt en dat toch graag wil bewaren: kijk eens welke garanties je hebt gekregen? Waarschijnlijk niet al te veel. Dan is het toch beter om een kopietje van je mail lokaal te bewaren…maar ja dan loop je weer het risico dat je harde schijf crashed. Toch maar een backupje maken zou ik zeggen.

Ach, aan de andere kant. Er worden ook wel erg veel emails bewaard die niemand ooit meer gebruikt (geloof me ik ken het probleem). De post in je brievenbus bewaar je ook niet zo lang, toch?

Aanvallen op mobiele apparaten zullen escaleren

  door

In 2011 blijft Apple niet gevrijwaard van cybercriminaliteit, zullen de aanvallen op mobiele apparaten escaleren en zullen deze aanvallen meer politiek gemotiveerd zijn…Dat voorspelt McAfee in het rapport Threat Predictions 2011 (bron).

Je hoeft natuurlijk geen helderziende te zijn om te kunnen constateren dat aanvallen op mobiele apparaten meer en meer plaats zullen vinden. De smartphones en laptops bevatten allerlei informatie die het voor de criminelen interessant maakt om ze aan te vallen en Apple is ook niet zo exotisch meer dat het niet aangevallen wordt.

Leuk natuurlijk dat hier een bericht aan wordt gewijd maar het echte probleem zit hem, wederom, in het bewustzijn. Het bewustzijn van het management binnen organisaties en het bewustzijn bij de gebruikers van de apparaten.

Nee, ik wil helemaal niet zeggen dat je allerlei ingewikkelde kunsten uit hoeft te halen om je data beter te beschermen. Maar een aantal basis zaken kun je toch wel regelen? Laten we allemaal eens beginnen met een wachtwoord of pincode op onze smartphone en laptop. Dat kan al een berg leed voorkomen.

Natuurlijk kan het zo zijn dat je na een diefstal je smartphone of laptop kwijt bent, maar dat is niet de echte waarde. Nee, de echte waarde zit hem in de informatie op die apparaten. De data maar ook bijvoorbeeld je mailberichten, je contactpersonen en je wachtwoorden voor allerlei internetsites. Lastig om kwijt te raken, maar voor je organisatie een groot risico.

Laten we 2011 tot het jaar dopen waarop we nog meer dan voorheen gaan proberen om de managers van organisaties beveiligingsbewuster te maken.

Bedrijven stellen richtlijnen op voor social media

  door

Instellingen en grote organisaties werken aan het opstellen van codes en richtlijnen voor het gebruik van Twitter en Facebook. Organisaties willen daarmee voorkomen dat medewerkers hun bedrijf in verlegenheid brengen (bron).

Je ziet het steeds vaker en dit Blog is daar uiteraard een goed voorbeeld van. Medewerkers beschikken over veel meer mogelijkheden om met de buitenwereld te communiceren. Hyves, LinkedIn, Facebook, Blogs, Twitter wie heeft of kent ze niet.

Hoewel er nog organisaties zijn die deze nieuwe media angstvallig buiten de deur proberen te houden, zijn er ook organisaties die de voordelen ervan inzien. Vanuit commercieel standpunt kun je er niet meer omheen en dat hoeft ook niet.

Ook bij de inzet van nieuwe media moeten de medewerkers zich bewust zijn van de risico’s. Niet alleen de risico’s voor zichzelf maar ook de risico’s voor de organisatie waar ze voor werken. Nog te vaak zien we Tweets als “de komende twee weken lekker in de zon”, ja dan moet je ook niet gek opkijken als je huis leeggeroofd is na je vakantie.

Maar zo zien we ook meer en meer informatie over organisaties op het web verschijnen. Technisch kunnen we best het een en ander tegenhouden (en dat moeten we ook zeker doen) maar juist de medewerker kan hierin een sterke of zwakke schakel vormen. Bewust maken dus.

Nog te weinig bedrijven scannen continu het web af om te kijken wat er over hen geschreven wordt. Natuurlijk kunnen we Google automatisch berichtjes aan ons laten versturen, maar veel belangrijker is wat medewerkers en klanten over ons schrijven op Hyves, Blogs en allerlei andere sites die je niet continu monitord.

Ik ben benieuwd wanneer organisaties dit in gaan zien en dan ben ik ook direct benieuwd hoe ze dit gaan controleren en beheersen. Er zijn al wel wat tools voor te vinden, maar volgens mij zijn die nog niet toereikend. Daarnaast is het van belang ook de juiste reactie op tijd te geven voordat negatief nieuws escaleert.

Een grote uitdaging voor veel organisaties. Als iemand al “best practices” heeft die werken dan hou ik me aanbevolen.