Pedofiel brengt besmette PC naar computerwinkel

Hadden we gisteren al een directeur van een beveiligingsbedrijf die niet zo slim bezig was…maar ook de “gewone” burger kan er wat van zo blijkt uit het volgende verhaal.

Een 46-jarige Amerikaan is gearresteerd nadat hij zijn laptop met kinderporno naar een computerwinkel bracht. Volgens Daniel Wagner uit Sheboygan bevatte zijn computer een virus en werkte die niet meer naar behoren.

Het personeel van de computerwinkel trof meer dan zestig kinderporno afbeeldingen aan, waaronder een als achtergrond. Daarop werd de politie ingelicht, die de man arresteerde toen hij zijn laptop kwam ophalen. Op sommige van de 67 afbeeldingen waren kinderen van drie jaar oud te zien. Wagner hangt een maximale gevangenisstraf van 210 jaar en een boete van 1,4 miljoen dollar boven het hoofd (bron).

Moet ik hier nog iets aan toevoegen? Volgens mij niet, het verhaal is duidelijk genoeg. De komende 210 jaar zijn we van deze man af…tenzij hij in zijn cel een internetverbinding krijgt natuurlijk.

Anti-identiteitsdiefstal reclame wordt nachtmerrie

De directeur van een bedrijf dat zegt identiteitsdiefstal te voorkomen, is zelf dertien keer hiervan slachtoffer geworden. LifeLock kreeg onlangs nog een boete van 12 miljoen dollar wegens misleidende reclame…LifeLock CEO Todd Davis zette zelfs zijn social security nummer op de website en vermeldde die in reclames. Sinds 2007 hebben identiteitsdieven hier dertien keer misbruik van gemaakt. De financiele schade loopt in de duizenden dollars, maar de imagoschade is waarschijnlijk velen malen groter. (bron).

Het is natuurlijk leuk om als beveiligingsbedrijf een beetje een confronterende propositie aan te houden, maar dan moet je er natuurlijk niet gek van opkijken als je zelf slachtoffer wordt. Blijkbaar heeft de directeur blind vertrouwen in zijn eigen producten, onterecht blijkt nu.

Dat de financiele schade meevalt is tot daaraan toe, maar inderdaad wat doet het met het imago van de organisatie. Dat geldt natuurlijk niet alleen voor dit bedrijf maar voor alle bedrijven. Graag willen ze de risico’s gekwantificeerd hebben (zodat er mee gerekend kan worden: kosten en baten), maar wat zijn nu eigenlijk de kosten voor het imago?

Na de vliegtuigramp is de Telegraaf ook een aantal abonnees kwijt geraakt, een berichtje de wereld in slingeren was genoeg om een sneeuwbal effectje op te roepen bij anderen. Een individu kan op zich niet zoveel bereiken maar als hij een massa (hoe klein ook) weet te bereiken dan kan dat enorme gevolgen hebben. Aan de andere kant, er zijn genoeg incidenten in het nieuws (op straat raken van informatie bijvoorbeeld) waarbij geroepen wordt dat het slecht is voor het imago…maar echt weinig omzet wordt er door de bedrijven niet gemaakt. Maar goed, we dwalen een beetje af.

Advies is gewoon om maar niet teveel te roepen over beveiliging in reclame uitingen, dat lijkt nog het veiligst. Kijken we nog even naar BurgerKing bijvoorbeeld: die heeft de “overval”-weken waarbij ze in de reclame aangeven dat je ze bijna beroofd…rare jongens die dat verzonnen hebben, zo vraag je er wel een beetje om.

75% Nederlandse bedrijven lekt persoonsgegevens

Maar liefst driekwart van de Nederlandse bedrijven heeft persoonlijke gegevens van consumenten, klanten of werknemers verloren. Veel meer dan het wereldwijde gemiddelde, wat 58% bedraagt (bron).

Als we dus denken dat we in Nederland ver voorop lopen op het gebied van beveiliging, dan hebben we het goed mis. We doen het vele malen slechter dan het gemiddelde. Dan vraag je je natuurlijk af welke landen het allemaal beter doen. Zeker als je kijkt naar het feit dat wij zo graag kenniseconomie willen zijn. Blijkbaar schiet onze kennis toch nog te kort.

De klant is koning en heeft dus altijd gelijk…maar in dit geval helemaal: Consumenten vinden op hun beurt de privacy en bescherming van persoonlijke gegevens belangrijk, maar 51% heeft geen vertrouwen in de organisaties en bedrijven aan wie ze hun gegevens verschaffen.
Dat ze geen vertrouwen hebben in de organisaties blijkt nu terecht.

Voor organisaties kan beveiliging dus echt een onderscheidend vermogen en concurrentievoordeel zijn. Als je aan kan tonen dat de beveiliging op orde is en de klanten je vertrouwen dan kan je daar de voordelen uithalen.

Onbeveiligd wifi strafbaar in Duitsland

Het gerechtshof in Karlsruhe stelt in een vonnis dat internetabonnees hun wlan-aansluiting met passende maatregelen moeten beveiligen. Consumenten moeten daarmee voorkomen dat hun draadloze verbinding misbruikt wordt voor inbreuk op auteursrecht door onbevoegden. Verzuim kan leiden tot een schadevergoeding van maximaal 100 euro

Volgens het hof hoeft de gebruiker echter niet meer te doen dan het wijzigen van het default wachtwoord. Gebruik van de nieuwste beveiligingstechnieken is dus niet verplicht; ook de makkelijk kraakbare WEP-encryptie volstaat.(bron).

Na dit soort berichten vind ik het altijd jammer dat ik geen jurist ben. En natuurlijk kan ik het juridisch best uitzoeken maar dat gaat me te ver. Ik vraag me bijvoorbeeld af of we ook de parallel kunnen trekken tussen de digitale en analoge wereld. Kan een rechter het bijvoorbeeld ook strafbaar stellen als mijn voordeur niet beveiligd is? Stel dat ik een slecht slot in mijn voordeur heb waarop iedere loper past, er wordt ingebroken en mijn (legaal gekochte) CD´s worden gestolen. Kan hij me dan boete op leggen van 100 Euro? Is er eigenlijk een verschil tussen de digitale en analoge wereld op dit gebied en hebben we wel afzonderlijke wetten en jurisprudentie nodig?

Natuurlijk is er een verschil tussen de digitale en analoge wereld, maar wat is de definitie van diefstal? Is dat niet het wegnemen van enig goed (of iets dergelijks), terwijl in de digitale wereld eerder sprake zal zijn van het kopieren van enig auteursrechtelijk item. De gestolen informatie is namelijk vaak niet weg maar gewoon gekopieerd.

Het gaat in dit geval maar net om het doel van de crimineel: wil hij iets zelf ook in bezit krijgen of wil hij jou iets afnemen. In de analoge wereld misschien hetzelfde maar in de digitale wereld zeker niet.

Feit blijft dat het interessant is dat een rechter mensen kan verplichten iets aan beveiliging te doen, zaak dat er ook meer verplichtingen opgelegd worden aan de bedrijven, dan zijn we weer een stap verder in de richting van een veilige(re) wereld.

Deur zwakke schakel in beveiliging panden

Bij een inbraak in een woning aan de Vliesbes in Doetinchem is woensdagnacht een televisie weggenomen. Ook werd ingebroken in een bedrijf aan de Stikkenweg in Zelhem. Of daar iets is weggenomen is nog niet bekend. In beide gevallen is men binnengekomen door een deur open te breken. De politie onderzoekt de inbraken (bron).

Is mei niet een beetje vroeg voor de komkommertijd? Natuurlijk vind ik het belangrijk dat de media aandacht besteed aan beveiliging, want dat draagt (hopelijk) bij aan het bewustzijn. Maar als je niets beters te melden hebt dan dat de deur de zwakke schakel is, meld dan gewoon niks.

Natuurlijk is een deur een zwakke schakel, net zoals ramen en alle andere openingen in de buitenmuur. Dat was geen nieuws, dat is geen nieuws en dat zal nooit nieuws worden tenzij een krant natuurlijk vindt dat het wel nieuws is.

Het valt me steeds vaker op dat er allerlei informatie in het nieuws gegeven wordt die niet of nauwelijks terzake doet. Wordt de hart-van-nederland-cultuur ook door andere media overgenomen of is dat eigenlijk al jaren zo en begin ik me er steeds meer over te verbazen? Wat is er mis met het gewoon simpel weergeven van de feiten? Zonder meningen van Jan en Alleman die we op straat aanspreken en voor de camera laten verschijnen? Graag baseer ik mijn mening zelf, op de feiten die terzake doen en niet op wat de overbuurman ergens van vindt.

Eerste Kamer tegen landelijk EPD

Voorlopig komt er geen landelijk elektronisch patientendossier, een meerderheid van de Eerste Kamer is namelijk tegen, zo meldt dagblad De Pers. Uit een rondgang van de krant blijkt dat de Senaat het bijna vijftig miljoen euro kostende landelijke systeem te duur vindt. De Senatoren noemen het wetsvoorstel ‘absoluut prematuur’ en ‘een veel te griezelig avontuur’ (bron).

Ehm, inmiddels is het elektronisch patientendossier al zo vaak behandeld dat het een beetje een vervelend onderwerp begint te worden, maar goed, deze kunnen we niet aan ons voorbij laten gaan. De vraag die ik me stel gaat eigenlijk geeneens over het EPD maar over de wijze waarop dergelijke beslissingen verlopen. Moet de Eerste Kamer niet in een veel vroeger stadium betrokken worden als ze bedenkingen hebben? Nu zijn er allerlei partijen druk aan het ontwikkelen geslagen, er zijn miljoenen mee gemoeid, veel discussies gevoerd, burgers ongerust gemaakt en nu is de Eerste Kamer ertegen (overigens zie ik niet direct terug dat ze zich zorgen maken om privacy of beveiliging, maar goed, dat terzijde).

CDA-senator Hans Franken valt partijgenoot Ab Klink af door te stellen: Als de wetgever iets wil wat al die dokters niet willen, dan kun je er maar beter niet aan beginnen. Een mooie stelling van de heer Franken die in dit geval de spijker op zijn kop slaat. Konden we deze stelling maar breder inzetten: als de wetgever iets wil wat anderen niet willen, dan kun je er maar beter niet aan beginnen.

Aangezien we de komende jaren nog flink te bezuinigen hebben zeg ik (bij wijze van spreken, want ik ben net het Rode Kruis en dus partij onafhankelijk): Franken voor presiden en dan alles afschaffen wat de wetgever wil maar waar niemand anders op zit te wachten, weg met die regels, weg met de bureaucratie en alles wat het leven onnodig moeilijk maakt.

Voor vice-premier wijzen we dan Dupuis aan die het Ministerie zelfs naief noemt. Het zou onvoldoende kennis van zaken hebben en heeft de problematiek zwaar onderschat, zo laat hij de krant weten. En daarin kunnen we hem denk ik alleen maar gelijk geven.

Dit dossier wordt ongetwijfeld vervolgd.

Agent deels blind door pepperspray

Door een oefening met pepperspray ziet een hoofdagent in opleiding met zijn rechteroog alleen nog een soort rode mist. Het is de eerste keer dat een agent in opleiding mogelijk blijvend letsel overhoudt aan de oefening met pepperspray die met alle eerstejaarsstudenten wordt gedaan (bron).

Ja, je vraagt er ook wel een beetje om als je dit soort wapens tijdens de opleiding op elkaar uitprobeert. Dit is waarschijnlijk een van de redenen dat pepperspray in Nederland als wapen wordt gezien en dus verboden is. Het heeft wel wat weg van de ontgroeningen die studenten doen, vind je niet?

De vraag is natuurlijk waarom je in hemelsnaam een dergelijk wapen uit gaat proberen op eerstejaarsstudenten. Argument is wellicht dat ze dan weten hoe het voelt en wat het met je doet zodat ze nadenken voordat ze het op criminelen toepassen. Maar je gaat ook je wapen niet leegschieten op eerstejaarsstudenten zodat ze weten hoe een schotwond voelt, toch? En een politiehond laat je ook alleen maar los op eerstejaarsstudenten als ze een beschermend pak aantrekken.

Wat zou er nou gebeuren als een student tijdens de opleiding weigert? Moet hij dan van de opleiding af of mag hij gewoon door met de opleiding zonder de test? Raar eigenlijk, als je er zo bij nadenkt dat men blijkbaar in een opleiding gedwongen wordt tot dit soort praktijken. Misschien is dit wel een van de redenen dat de politie zo moeilijk aan nieuw personeel komt. Het nodigt ook niet echt uit: solliciteer bij ons en laat je verblinden door pepperspray, nee persoonlijk heb ik ook liever andere secundaire voorwaarden.

Heeft 11 september ons veiliger gemaakt?

Sinds 11 september zijn er weinig grote terroristische aanslagen gepleegd, wat doet vermoeden dat de aanval negen jaar geleden ons veiliger heeft gemaakt, maar is dat wel zo? Volgens beveiligingsgoeroe Bruce Schneier zijn er drie redenen waarom het de laatste tijd relatief stil is. Ten eerste zijn er helemaal niet zo veel terroristen. De tweede reden is dat het uitvoeren van een terroristische aanslag niet zo eenvoudig is als films en televisieseries ons doen geloven. Als laatste hebben terroristische aanslagen ook als functie om het thuisfront te imponeren. Elf september heeft de lat van hoe een spectaculaire aanval er uit moet zien vrij hoog gelegd. (bron)

Het blijft de gemoederen bezig houden en veel experts hebben er een uitgesproken mening over. De vraag of het ons veiliger heeft gemaakt is nauwelijks te beantwoorden, natuurlijk zijn er allerlei maatregelen genomen om bekende aanvallen te voorkomen (voor zover dat mogelijk is natuurlijk), maar uiteindelijk is het te moeilijk om je tegen terrorisme te beveiligen, zeker als je kijkt naar de afhankelijkheden die organisaties hebben.

Hoe kan ik me als zelfstandige organisatie bijvoorbeeld beveiligen tegen een vliegtuig dat mijn gebouw dreigt in te vliegen? Niet. We zijn in dat geval afhankelijk van allerlei andere organisaties die hun maatregelen op orde moeten hebben. Maar is de dreiging van terrorisme dan zo anders dan andere beveiligingsincidenten? In veel gevallen niet omdat ook daarbij externe factoren voor de dreiging kunnen zorgen en juist die externe factoren kun je niet beinvloeden.

Een organisatie kan zijn beveiliging nog zo goed op orde hebben, maar als de partijen waarvan hij afhankelijk is dat niet voor elkaar hebben, of als de verschillende beveiligingsniveau´s niet goed op elkaar aansluiten, dan lopen we risico.

Er wordt al langere tijd gesproken over beveiliging in de keten, dat geeft al uitdagingen genoeg, zeker gezien het gemiddelde beveiligingsniveau van organisaties. Verbeter de wereld begin bij jezelf, toch? Kortom: eerst moeten organisaties zelf hun beveiliging op orde hebben, daarna moet het in de keten met leveranciers en afnemers geregeld worden en dan kunnen we pas oplijnen met allerlei andere partijen waar we afhankelijk van zijn (denk niet alleen aan de overheid maar kijk ook eens naar de bedrijven in de omgeving).

Als iedere partij de beveiliging ter hand neemt en zorg draagt voor een acceptabel beveiligingsniveau, dan kunnen we wellicht spreken dat we veiliger zijn maar dat gaat in ieder geval nog jaren duren en begint bij beveiligingsbewustzijn op management niveau.

Zeldzame orchidee krijgt politiebescherming

Je kunt natuurlijk ook doorschieten:

De meest zeldzame orchidee van Groot-Brittannie zal politiebescherming krijgen zodra deze in bloei staat. De politie twijfelt nog of de orchidee ook cameratoezicht moet krijgen (bron).

Natuurlijk moeten we de natuur beschermen, maar als dit het gevolg is van meer blauw op straat dan hoeft het van mij niet. Zitten we al te zeuren dat ze boeven moeten gaan vangen als we een bekeuring van 5 Euro krijgen voor een kilometer te hard dan slaat dit natuurlijk helemaal door.

Het zal best een bijzondere orchidee zijn en de waarde van delen ervan is al € 6.000,- maar ik weet nog wel meer zaken die vele malen meer kosten dan die € 6.000,- waar geen politiebescherming voor wordt ingezet. Sterker nog: als daar wat mee is en je belt de politie dan komen ze niet eens opdagen.

En als dit nu de laatste is die in Engeland groeit, moeten ze er dan niet voor gaan zorgen dat ze deze gaan klonen en vermenigvuldigen? Ik mag toch aannemen dat deze orchidee niet het eeuwige leven heeft en uiteindelijk zijn blaadjes zal laten vallen.

Helaas wordt er niet aangegeven of dit de laatste orchidee van zijn soort ter wereld is, in Engeland is er nog maar een, maar hoeveel zijn er nog in de rest van de wereld? Misschien staan andere landen er wel overvol mee en vormt het daar een echte overlast. Een tip voor de plaatselijke diender daar: bescherming als hij in bloei staat heeft weinig zin als je er de rest van het jaar niet naar omkijkt. De orchidee staat op een golfbaan, grote kans dat iemand met een flinke swing enorme schade aanricht.

Ach, misschien denk ik wel teveel door en moet ik me er niet zo druk om maken.

Privegegevens beschikbaar door lek kopieermachines

Door een gebrek aan beveiliging van de harde schijf in kopieerapparaten is persoonlijke en financiele informatie gemakkelijk beschikbaar voor derden. Ook in Nederland kan dit zorgen voor problemen als identiteitsdiefstal en creditcardmisbruik (bron).

Een bekend probleem waarvoor binnen de branche al langere tijd gewaarschuwd wordt, tevergeefs in veel gevallen. Kopieerapparaten beschikken tegenwoordig over aan interne harde schijf (en vaak een netwerkverbinding) waardoor de kopieen digitaal opgeslagen worden. De beveiliging van deze harde schijven laat te wensen over waardoor de gegevens er gemakkelijk afgehaald kunnen worden.

Nu richt dit bericht zich op de harde schijven in de kopieerapparaten, maar onderschat de netwerkverbindingen ook niet. De leverancier heeft op afstand toegang tot het apparaat zodat hij bij een storing snel in kan grijpen, maar dat hij (wellicht) via deze verbinding ook op je netwerk kan komen is bij veel bedrijven nog niet bekend.

Natuurlijk moeten we de ontwikkelingen in de techniek niet, vanwege beveiligingsobstakels, tegen willen houden. Maar het zou leveranciers niet misstaan als ze bij de ontwikkeling van dergelijke apparaten toch even naar de beveiliging ervan kijken of minimaal de gebruikers ervan op de hoogte stellen van de beveiligingsrisico’s. Een algemeen gehoord excuus is dat met beveiligingsmaatregelen de apparatuur duurder wordt dan dat van de concurrent. Dat zou kunnen kloppen, maar is goedkoop niet duurkoop in dit geval? Moet de gebruiker geen keuze vrijheid worden geboden? Of een goedkope machine zonder beveiliging of een iets duurdere maar dan wel een waarbij de beveiliging goed geregeld is?

Zolang er nog veel onbegrip is over beveiliging en risico’s zal dit de spagaat zijn waarin we blijven zitten. Te vaak wordt alleen gekeken naar de kosten en niet naar de risico’s. Na een incident krabben we ons dan achter de oren en vragen we ons af hoe dit in hemelsnaam heeft kunnen gebeuren. Het antwoord daarop is vrij simpel: het beveiligings- en risicobewustzijn bij bedrijven is onder de maat…en geloof me je loopt nog veel meer en grotere risico’s dan alleen het lekken via kopieermachines. Hoe je achter die risico’s komt? Ook dat antwoord is vrij simpel: risicomanagement invoeren.