Categorie: Geen categorie

Gaan werklozen de PC Hooftstraat beveiligen?

  door

Twee berichten van alweer even geleden maar mijn oog viel op de volgende nieuwsberichten in de nieuwsdienst van Google en met name de samenhang daartussen:

Je kunt met deze berichten meerdere kanten op. Zo zou je kunnen stellen dat de PC Hooftstraat beveiligd kan worden door werklozen maar je kunt je natuurlijk ook afvragen waarom je werklozen inzet voor beveiliging terwijl beveiliging nu juist één van de aspecten is waar het eerst op wordt bezuinigd.

Je houdt werklozen een worst voor maar vervolgens zal het enorm moeilijk voor ze zijn om een baan te vinden waarvoor ze zijn omgeschoold. Ach, ik zal het wel verkeerd zien en hoop dat het een succes wordt. Ik wens de werklozen een mooie toekomst toe in dit oh zo mooie vakgebied.

Microsoft: Stop de paniekzaaierij

  door

Stop de FUD, dat is de boodschap van Microsoft aan beveiligingsgemeenschap en pers. Volgens de softwaregigant wordt er teveel onjuiste informatie verspreid, waardoor eindgebruikers een verkeerd beeld van de risico’s krijgen die ze online lopen…”We zien graag dat mensen betrokken raken. Stop de FUD. We zien dat de vijand van ons succes in het voorkomen van online criminaliteit in paniekzaaierij ligt, wat weer tot sensationalisme kan leiden. Als gemeenschap moeten we bij de feiten blijven en zorgen dat we de juiste context rond de risico’s van beveiligingslekken in software geven.” (bron)

Je kan zeggen van Microsoft wat je wil en ik ben geheel onpartijdig en niet voor of juist tegen Microsoft, Microsoft is voor mij gewoon een feit. In dit geval vind ik in ieder geval dat ze er goed aan doen om te waarschuwen voor paniekzaaierij, ik geef ze helemaal gelijk.

We willen nog te graag paniek zaaien en beveiliging exotisch maken, daar moeten we (als beveiligingsexperts) mee stoppen. Beveiliging is gewoon één van de bedrijfskundige uitdagingen waar een organisatie mee moet stoeien. Niet wezenlijk verschillend van bijvoorbeeld kwaliteitsmanagement. Zolang we beveiliging exotisch houden, verdienen we niet het respect van het management dat nodig is om ze echt te helpen.

Om het minder exotisch te maken moeten we veel meer ‘business talk’ hanteren. Een manager zit helemaal niet te wachten op de details en de ‘bits and bytes’. Sterker nog, daar snapt hij helemaal niets van en dat is maar goed ook. Hij heeft wel andere zaken aan zijn hoofd en moet andere zaken veel beter snappen dan de beveiligingsdetails.

Beveiliging blijft voor veel mensen mysterieus terwijl als we praten over risico’s de managers het ineens wel snappen. Beveiliging is nog steeds niet het doel en dat zal het ook nooit worden. Nee beveiliging is een middel om de risico’s die de bedrijfsvoering kunnen beïnvloeden te beheersen.

Ook met de paniekzaaierij moeten we stoppen, de risico’s en beveiligingsincidenten moeten we in een groter verband zien. Heeft dat incident nu echt zoveel invloed op de continuïteit van het bedrijfsproces of valt het eigenlijk wel mee? Als er een paar laptops gestolen worden is dat natuurlijk vervelend (en we kunnen het incident best onderzoeken) maar het bedrijfsproces zal er waarschijnlijk nauwelijks hinder van ondervinden.

Toch zien we vaak dat na een incident alle registers open gaan en er veel tijd wordt gestoken in het onderzoeken daarvan. Daarmee verliezen we vaak uit het oog wat nu de echte risico’s zijn die de organisatie loopt: nu even niet, we zijn een incident aan het onderzoeken. Dat is natuurlijk heel erg reactief. Natuurlijk moeten we repressieve maatregelen nemen om het incident in te dammen maar daarna moeten we weer zo snel mogelijk terug in de pro-actieve modus om te proberen nieuwe incidenten te voorkomen.

Zodra organisaties gaan kijken naar de echte risico’s die ze lopen kunnen ze daarbij ook nog eens een berg geld besparen omdat ze niet aan allerlei futiliteiten geld hoeven uit te geven. Maar goed, we zien dat het vaak makkelijker is om budget te vragen voor een concrete maatregel dan dat we geld willen hebben voor het afdekken van abstracte risico’s. Om dat op te lossen moeten we vanuit de beveiligingskant meer ‘business talk’ hanteren, moeten we paniekzaaierij voorkomen en moet het management begrijpen dat we niet aan beveiliging doen maar risico’s voor ze afdekken.

Er zal nog behoorlijk wat water door de Maas gaan voordat we het echt goed in de klauw hebben, maar dat is nu juist de uitdaging. Beveiliging is geen technisch probleem maar een bedrijfskundig probleem om de risico’s voor de bedrijfsvoering te beheersen en dat we daarvoor soms technische maatregelen nemen is een bijkomstigheid.

Ziekenhuis verliest laptops met patientgegevens

  door

Een Amerikaans ziekenhuis is twee onversleutelde laptops met de gegevens van ruim tweeduizend patiënten verloren, zo heeft het bekendgemaakt. Op de gestolen machines stonden namen, datum van opname, medisch dossiernummer, patiëntnummer, social security nummer, ras, verzekeringsmaatschappij, adres, telefoonnummer, geslacht, geboortedatum, allergieën en eerste diagnose van de patiënt…De laptops waren wel met een wachtwoord beveiligd, maar om gegevens in de toekomst adequaat te beschermen gaat het Jewish Hospital alle computers voortaan versleutelen (bron).

Het is alweer enige tijd geleden dat we het hier hadden over ziekenhuizen die gegevens verliezen. Er gebeurt ook zoveel op beveiligingsgebied dat we keuzes moeten maken in de onderwerpen die aandacht krijgen.

Inmiddels zou je toch denken dat ziekenhuizen hun lesje geleerd hebben en de minimale beveiligingsmaatregelen wel geïmplementeerd zijn. Zeker in Amerika waar de regelgeving toch wat strikter is dan hier. Maar niet dus, vraag jij je ook wel eens af hoeveel ziekenhuizen kwetsbaar zijn en wat er in Nederland eigenlijk allemaal op dit gebied gebeurt? In Amerika zijn instanties verplicht dit soort incidenten te melden en openbaar te maken, in Nederland geldt dat nog steeds niet. We weten dus helemaal niet welke incidenten zich hier voor doen.

Het College Bescherming Persoonsgegevens gaf een aantal maanden geleden aan minder aan preventief advies en meer aan controle te gaan doen. Als ik eerlijk ben heb ik daarna niet zoveel meer van ze gehoord. Dat hoeft niet te betekenen dat ze niet gecontroleerd hebben en/of niets gevonden hebben, maar kan ook betekenen dat we als burgers daar niet van op de hoogte worden gebracht.

Identiteitsdiefstallen wordt een steeds groter probleem maar het krijgt nog niet de aandacht die het verdient. Bij verlies van persoonlijke gegevens schreeuwen we om het hardst dat onze privacy geschonden is, maar de link naar identiteitsdiefstal wordt nog niet door iedereen gelegd. Ik heb er eigenlijk minder moeite mee als mijn gegevens verloren raken en niemand daar iets mee kan (dan blijven het gewoon gegevens en wordt het nooit informatie), ik heb er veel meer moeite mee als iemand wat met die gegevens kan doen. Verzekeraars bijvoorbeeld die mijn premie er op aanpassen of criminelen die mijn gegevens gebruiken om leningen mee af te sluiten.

Privacy. Er is al veel over gezegd en geschreven en er zal de komende jaren nog veel meer over gezegd en geschreven worden. Met het digitaliseren van de wereld wordt het alleen nog maar een grotere uitdaging om de privacy zo goed mogelijk te beschermen. Misschien moeten we over een aantal jaar echt wel concluderen dat privacy niet meer bestaat. Eng? Ja, maar wat kun je er als individu aan doen?

Spionnen op zoek naar bedrijfsinformatie

  door

Enkele tientallen buitenlandse inlichtingendiensten zijn in Nederland actief op zoek naar economische informatie. Dat zegt een medewerker van de AIVD in het tijdschrift Forum van werkgeversorganisatie VNO-NCW. De AIVD’er baseert zich op een rapport van de inlichtingendienst over de risico’s van spionage bij het bedrijfsleven…De AIVD sluit niet uit dat er momenteel meer spionnen actief zijn in Nederland dan tijdens de Koude Oorlog. (bron).

Gelukkig zijn wij Nederlanders altijd het braafste jongetje van de klas, wij doen daar natuurlijk niet aan. Wij vertrouwen onze bevriende landen allemaal op de blauwe oogjes. Misschien controversieel maar zou het in het kader van de openbaarheid van bestuur niet netjes zijn als we aangeven welke landen wij allemaal bespioneren? Het antwoord? Nee, natuurlijk niet, er zijn grenzen aan de openbaarheid van bestuur en dat is maar goed ook.

We hebben al vaker berichten voorbij zien komen waarin wordt aangegeven dat Nederland het land is met de meeste telefoontaps in de wereld. Trekken we die lijn door dan zullen we in de spionage wereld waarschijnlijk ook een grote toeter meeblazen. Helaas merk je daar als organisatie weinig van. De spionage moet natuurlijk een bepaald doel hebben (dat kan zijn om te voorkomen dat we verrast worden door een kernbom, maar kan ook juist gericht zijn op het stimuleren van de economie). De kunst van spionage is om de informatie zo te verspreiden dat de bedrijven daarvan kunnen profiteren (zonder dat ze weten dat de informatie van spionage afkomstig is). Het spioneren om te spioneren is natuurlijk het doel niet, je moet iets met die informatie doen.

Nu gaat het in dit bericht om spionnen van inlichtingendiensten van andere landen. Dat onderkennen veel bedrijven niet, maar wat te denken van de “mollen” die concurrerende bedrijven inzetten? Hoeveel medewerkers lopen er bij jou in het bedrijf rond die informatie doorsturen naar de concurrent? Is die schoonmaker eigenlijk wel een schoonmaker of is hij eigenlijk aan het werk voor één van je concurrenten? Iedereen heeft zijn prijs, wees je daarvan bewust.

Bedrijven kijken, als het gaat om beveiliging, vaak naar de bedreigingen die van buitenaf komen, maar de bedreigingen die van binnenuit komen vergeten we nog vaak. Is iemand eenmaal door zijn screening dan vertrouwen we hem volledig en krijgt hij alle rechten op het netwerk. Een aantal bedrijven doen veel aan beveiligingsbewustzijn, maar dat richt zich met name op het verhogen van het kennis niveau van medewerkers die best veiliger willen werken en daarvoor de tools aangereikt krijgen. Bij de bewustzijnscampagnes maken we nog weinig onderscheid in mensen die bewust de boel willen molesteren.

Als bedrijf kun je je afvragen wat je liever hebt: een spion van een inlichtingendienst of één of meer mollen die de informatie direct doorsluizen naar je concurrent. Verrast dat de concurrent jouw nieuwe product zo snel kan imiteren? Dan zou ik toch het personeelsbestand nog eens goed tegen het licht houden en meer controle- en beveiligingsmaatregelen in bouwen om spionage te beperken.

Spionage is een serieus probleem voor de kenniseconomie die wij zo graag willen zijn. De kennis loopt met grote passen het land uit. Deels doen we dat zelf en heel bewust (denk alleen maar aan uitbestedingen aan landen als China en India) maar grotendeels weten we er niet van en dat is misschien nog wel een veel groter risico.

De beveiligingsrisico’s bij een reorganisatie

  door

Een arbeidsconflict is de aanleiding geweest voor een schietpartij in de Verenigde Staten, waarbij negen mensen het leven verloren…Een werknemer van een bierdistributiebedrijf in de stad Manchester die op het matje was geroepen door zijn bazen, schoot om zich heen, vermoordde acht collega’s, waarna hij zichzelf doodschoot (bron).

Alcohol maakt meer kapot dan je lief is, zelfs als je broodnuchter bent in dit geval. Triest natuurlijk dat dit soort incidenten zich voordoen, maar ik denk dat veel managers dit toch nog onderschatten.

We zitten in een economisch moeilijk klimaat, er zijn vele reorganisatierondes en er zullen er naar alle waarschijnlijkheid nog vele volgen. Natuurlijk hebben de managers allemaal training gehad in moeilijke gesprekken maar een risico lopen ze daarbij altijd. Het merendeel van de werknemers zal gelaten en depressief het gebouw verlaten om er vervolgens nooit meer terug te keren, maar er is een categorie die de confrontatie niet uit de weg zal gaan.

Hoewel het doodschieten van je baas en collega’s wel erg ver gaat en we het gelukkig niet vaak horen, zijn er vele risico’s als gevolg van de reorganisaties (of in dit geval zwaar weer gesprekken). Heb je bijvoorbeeld wel eens stil gestaan bij:

  • Interne diefstal van laptops en vertrouwelijke informatie?
  • Het bewust verstoren van de processen of het infecteren van het netwerk met een virus?
  • De negatieve werkhouding die ontstaat en medewerkers die elkaar opjutten?
  • Het imago van de organisatie dat een knauw kan krijgen?
  • Gerichte aanvallen op het gebouw, bijvoorbeeld door vernieling en brandstichting?
  • Aanvallen op de managers of de directie van de organisatie?
  • Gijzeling van de familieleden van de manager?
  • etc, etc, etc.

Wil ik daarmee zeggen dat je als organisatie niet moet reorganiseren? Nee, natuurlijk niet, dat is de keuze van het management en in veel gevallen is die keuze beperkt: of we reorganiseren of we gaan failliet. In beide gevallen komt het personeel op straat.

Wat ik wel wil zeggen is dat je de risico’s voor de reorganisatie goed in kaart moet brengen en dat je het reorganisatieproces daar zo goed mogelijk op aan moet passen. Hoe vaak zien we niet dat iemand ontslagen wordt maar wel tot het eind van de maand moet werken (en dus over de toegangspas en rechten beschikt)? Hoe vaak zien we niet dat een reorganisatie een kille aangelegenheid is waaruit ieder menselijk aspect is weggelaten? Hoe vaak zien we niet dat de financiële afhandeling een drama wordt? Hoe vaak zien we niet dat er gezegd wordt dat er gezocht wordt naar een nieuwe baan maar de uiteindelijke begeleiding belabberd is?

Mijn advies in deze? Neem bij een reorganisatie ook de risico’s mee, niet alleen de risico’s voor de continuïteit van de bedrijfsprocessen maar ook de risico’s die de medewerkers en managers binnen je organisatie lopen. Voor medewerkers die te horen krijgen dat er voor hen geen plek meer is, is het altijd een hard gelach, maar met het juiste reorganisatieproces kun je een hoop risico’s voorkomen.

Zo zie je maar, op de gekste zaken kun je een risico analyse loslaten en wat mij betreft zouden we meer in risico’s moeten gaan denken.

Zware beveiliging voor Oktoberfest Duitsland

  door

De Duitsers dempen de put nadat het kalf verdronken is. Zien we dat niet zo vaak na incidenten dat er korte termijn aandacht is voor de beveiliging? Heel benieuwd hoe het over een aantal jaar zal gaan, dan is de aandacht weer verslapt en moet er weer zo goedkoop mogelijk gewerkt worden.

Wilde je dus ooit naar het Oktoberfest? Dan is dit misschien wel je kans om het op de veiligste manier te doen.

Met de gebeurtenissen rond de Loveparade in het geheugen is de beveiliging rond het Oktoberfest in München zwaarder dan ooit tevoren. Ook kwamen vorig jaar dreigementen binnen van terreurnetwerk al-Qaeda. Er zullen drie beveiligingsringen met betonnen obstakels komen rond het feestterrein. Jaarlijks trekt het festijn zo’n zes miljoen bezoekers. Het Oktoberfest viert dit jaar zijn 200e verjaardag, op 18 september gaat het bierfeest van start (Bron).

Als jullie het niet erg vinden laat ik het Oktoberfest aan me voorbij gaan, ik gooi thuis wel een spuitworst op de BBQ en drink daar een biertje bij. Mij niet gezien om tussen 6 miljoen Duitsers naar slagermuziek te gaan luisteren. Na de gebeurtenissen op de Loveparade en bij ons de Dodenherdenking mijd ik grote mensenmassa’s voorlopig even.

Hacker laat BP geheime informatie lekken

  door

Na de olielek heeft BP nu nog met andere lekken te maken.

Via slechts twee telefoontjes is het een hacker gelukt om te achterhalen welke laptops, besturingssystemen, virusscanners en virtual private network software BP gebruikt…Informatie zoals browser, gebruikte Adobe versie of wie het afval ophaalt zijn interessant voor een aanvaller. “Als we kwaadaardige hackers waren geweest, hadden we ze naar een website met een kwaadaardig bestand kunnen sturen, dat de persoon in kwestie waarschijnlijk had gedownload”, aldus Chris Hadnagy van Offensive Security, organisator van de wedstrijd (Bron).

BP heeft het zwaar te verduren de laatste tijd en ze zijn daar zelf deels debet aan. Ben je ook zo benieuwd hoelang BP nog langs de snelweg aanwezig zal zijn of wanneer ze geheel en al vergeten de geschiedenisboeken ingaan? Een lastige situatie en als we het dan toch hebben over de continuïteit van een organisatie dan heeft BP nog wel wat robbertjes te vechten.

De andere kant van de medaille is natuurlijk dat als ze hier uitkomen dan zijn ze voor de andere olieleveranciers nooit meer te verslaan. Een crisis kan leiden tot faillissement maar er zijn ook veel gevallen bekend van crisissen die leiden tot een sterke onverslaanbare organisatie. De crisis is dan snel vergeten en de naam van de organisatie staat bij iedereen op het netvlies.

Slechte reclame is ook reclame zullen we maar zeggen. Het kan wat mij betreft met BP dus twee kanten op en ik ben zeer benieuwd welke kant ze kiezen. Kiezen, vraag je je af? Heeft een organisatie dan een keuze na een crisis? Ja zeker wel, het gaat er om hoe je er mee omgaat, daar zijn inmiddels vele onderzoeken naar gedaan en volgens mij heeft BP de lessons learned daaruit nog niet echt in de praktijk gebracht. Maar goed, misschien staan ze 6-0 achter, dat wil niet zeggen dat ze ook daadwerkelijk zullen verliezen.

We houden het natuurlijk allemaal in de gaten en voor de onderzoekers is er straks weer een interessante business case over het omgaan met een crisis. Helaas voor het natuurschoon en de dieren in de Golf van Mexico, maar zij zullen de (hoge) prijs moeten betalen.

Eeuwig zonde, of althans voor de duur dat de troep niet is opgeruimd en dat zal jaren duren. Vreemd overigens dat er voor allerlei rampen gironummers in het leven worden geroepen maar dat we de troep nu aan BP over laten…ach, dat zal wel aan mij liggen.

Helpdeskmedewerker steelt naaktfoto’s van PC

  door

Een 48-jarige Amerikaanse vrouw die verschillende naaktfoto’s op haar computer kwijt was, schakelde een helpdeskmedewerker van Dell in om ze terug te vinden, maar kwam van een koude kermis thuis. Ze kwam in contact met Riyaz Shaikh, een werknemer van het Indiase Sitel, een callcenter dat Dell-klanten ondersteunt.

Fitzgerald, een computeranalfabete, gaf Shaikh toegang tot haar computer. De man wist uiteindelijk de foto’s op haar machine te achterhalen. Na het contact met de helpdeskmedewerker ontving Fitzgerald een e-mail dat haar naaktfoto’s op een website waren verschenen (bron).

Sommige mensen vragen er natuurlijk ook wel zelf om. Noem je jezelf al computeranalfabete dan lijkt het toch onverstandig om dergelijke foto’s (of ander vertrouwelijk materiaal) op je pc op te slaan. Goed, doe je dat alsnog (want waar bewaar je ze anders?) dan ga je natuurlijk een helpdeskmedewerker niet verzoeken om jouw naaktfoto’s op je schijf op te zoeken. Dat lijkt me vragen om problemen en misschien grof maar dan ben je niet alleen een computeranalfabeet maar volgens mij compleet van een andere wereld.

Deze mevrouw zal haar lesje wel geleerd hebben, maar hoeveel water moet er nog door de Maas voordat mensen logisch gaan nadenken over wat ze op hun computer doen en hoe ze daar mee omgaan? Als je je autosleutels kwijt bent dan vraag je een crimineel toch ook niet om je te helpen zoeken?

Maar goed, laat dit weer een waarschuwing zijn: geef nooit een ander van buitenaf toegang tot je pc, je bent dan immers volledig de controle kwijt. Maar ja, als je met een probleem zit, wie moet je dan vragen? Moet je je laptop dan naar de ComputerDokter brengen? Ook dat is geen goed idee, want die zal ook over je wachtwoord moeten beschikken om hem weer te fixen.

Lastige positie trouwens voor zo’n ComputerDokter. Stel je zal integer zijn en toch tegen zulke foto’s aanlopen, wat doe je dan? Voor diegene die zelf ook wel eens iemand hebben geholpen met hun computer (al is het alleen maar om de Cookies weg te gooien) een bekend probleem, je ziet toch altijd zaken die je liever niet wilt zien. Ik hou het er dan altijd maar op dat dat soort Cookies per ongeluk daar terecht zijn gekomen, dat is beter voor je gemoedsrust.

Oh ja, laten we ook nog even concreet worden: hoe kun je dit nu zo goed mogelijk oplossen? Het antwoord is natuurlijk verbluffend simpel: dit soort foto’s niet van jezelf maken, dat scheelt een hoop ellende.

Supermarkt stopt RFID-chip in onderbroeken

  door

De Amerikaanse supermarktketen Wal-Mart is begonnen met het aanbrengen van Radio Frequency Identification (RFID) chips in herenkleding, zoals spijkerbroeken, ondergoed en sokken…De chips blijven actief, ook al verlaten ze de winkel (bron).

Dat was natuurlijk te verwachten met al die nieuwe technologieën. Van origine bedoeld om het logistieke proces te vergemakkelijken (lees: goedkoper te maken) maar nu al op andere wijze toegepast. Raar maar waar, dynamiet was ook nooit bedoeld om oorlogen mee te winnen.

Voor degene die het niet weten de RFID-chip is kortweg de digitale vervanger van de barcode. Daar is natuurlijk niets mis mee, maar deze chips zijn op afstand uit te lezen zodat het langs een poortje halen van de producten al genoeg is om ze te scannen. Verdiep je in RFID en je zult lezen dat het merendeel van de chips slechts op een paar centimeter afstand is uit te lezen. Dat zal wel, maar wie kent niet het verhaal van Bluetooth? Bedoeld om op een paar meter afstand van elkaar te kunnen communiceren maar met een simpele Pringles-bus (ja, die van de chips en dat zijn andere chips dan de RFID-chips) al op kilometers afstand uit te lezen.

Altijd handig dat je op meters afstand erachter kunt komen welk merk en welke maat ondergoed iemand aan heeft. Vooral voor marketeers (en criminelen, maar ik wil ze zeker niet over één kam scheren) ideaal, “profilen” van je klanten was nog nooit zo makkelijk.

Binnenkort loop je in het warenhuis en krijg je de aanbiedingen op maat: “Wil die meneer met die rode onderbroek maat L zich melden op de sokkenafdeling, we hebben prachtig bijpassende sokken in de aanbieding.” Belachelijk? Nu misschien nog wel maar het komt er aan, mark my words. Oh ja en voor diegene die dat zo erg vinden…doet Google dit niet al jaren online? Je ooit afgevraagd waarom de zoekresultaten je op het lijf geschreven zijn? Ehm, nu heb je een deel van het antwoord.

“Er zijn twee dingen die je absoluut niet wil taggen, kleding en identiteitsdocumenten, en ironisch genoeg is dat waar het begint”, zegt Katherine Albrecht, oprichter van Consumers Against Supermarket Privacy Invasion and Numbering.

Lang leve de privacy zul je denken, maar eigenlijk moet Wal-Mart ervoor beloond worden, zij komen er tenminste eerlijk vooruit. Geloof me, er zitten al meer RFID-chips verwerkt in spullen die je bij je draagt of aan hebt dan je denkt. Geloof je me niet? Dan zou ik nog maar eens goed zoeken en hou er daarbij rekening mee dat een chip vaak al niet groter meer is dan een zandkorrel.

Britse Defensie verliest 340 laptops

  door

Het Britse Ministerie van Defensie is de afgelopen twee jaar 340 laptops kwijtgeraakt, waarvan de meeste niet versleuteld waren. De schade bedraagt bij elkaar meer dan 700.000 euro. Naast de laptops verdwenen ook 593 CDs, DVDs en diskettes, 215 USB-sticks, 96 draagbare harde schijven en dertien mobiele telefoons. Van alle gestolen of verloren apparaten, was 80% onversleuteld. Volgens een Defensiewoordvoerder wordt het verlies van materiaal zeer serieus genomen en zijn er robuuste procedures aanwezig. (bron).

Ben je na het lezen van bovenstaande gegevens ook zo benieuwd hoeveel tanks, kanonnen, geweren en munitie ze kwijt zijn geraakt? Ik wel, maar goed, dat zullen we wel nooit te weten komen. Hopelijk gaan ze voorzichtiger met hun personeel om. Nu staat er een klein berichtje op internet en alleen degene die er in geïnteresseerd zijn lezen het. Maar als er de afgelopen twee jaar 340 militairen om het leven waren gekomen dan was de wereld te klein geweest.

Schrikbarende cijfers en dan hebben we het hier nog over een instantie als het leger kun je nagaan wat er bij andere, minder beveiligde, organisaties zoal verdwijnt. Of zou het leger het hier slechter doen dan de maatschappij? We mogen hopen van wel, maar dat ze een serieus probleem hebben mag duidelijk zijn.

De afgelopen jaren hebben ze waarschijnlijk allerlei mooi, ingewikkeld en vooral duur oorlogsmaterieel gekocht, maar ze hadden beter een deel kunnen investeren in beveiligingsmaatregelen. Natuurlijk hebben naties nog oorlogsmaterieel nodig, maar er is steeds meer sprake van digitale oorlogsvoering en die hebben de Britten in ieder geval al verloren.

En hoewel we voorzichtig moeten zijn met het geven van beveiligingsadviezen (want we kennen de context niet) kunnen we in ieder geval stellen dat de focus zou moeten liggen op: versleuteling van de gegevens en bewustwording bij het personeel. Maak het personeel persoonlijk verantwoordelijk voor de spullen die ze krijgen en als ze daarvan iets zijn kwijtgeraakt dan duurt het even langer voordat ze er een streepje bij krijgen op de schouder. Dit soort maatregelen kunnen andere bedrijven natuurlijk ook doorvoeren. Maak het personeel verantwoordelijk en trekt de kosten die je loopt bij verlies of diefstal af van het salaris, moet je eens opletten hoe goed iedereen op zijn spullen gaat letten.

Als militairen, die van nature toch al een gevoel bij beveiliging zouden moeten hebben, al zo met hun spullen omgaan dan moeten we ons zorgen maken voor de veiligheid van de maatschappij en de gewone burgers daarin, die zijn zich nog minder bewust van de risico’s.

Voorlopig ligt er nog genoeg werk voor de beveiligingsadviseurs alleen moet het management gaan begrijpen dat er aan dit soort risico’s wel degelijk iets te doen is. En die 700.000 euro heb je dan zo terug verdient. Die 700.000 euro is trouwens niet de echte schade, dat is slechts de schade voor de hardware, maar hoeveel is de informatie die er op te vinden is waard en hoeveel uren zijn er verloren gegaan als gevolg van het zoekraken van gegevens? Daar zit hem de echte schade en die is vele malen hoger.

Het lijkt me toch dat er, na het zomerreces, vragen over gesteld gaan worden in het Lagerhuis, hopelijk geven ze een seintje als ze dat gaan doen want die discussie wil ik niet missen.