Categorie: Geen categorie

Facebook grootste security-gevaar binnen bedrijven

  door

Facebook vormt van de netwerksites het grootste beveiligingsrisico binnen bedrijven. Spam, phishing en malware via dit soort sites groeit snel. Dat blijkt uit een nieuw onderzoek door Sophos. Van de ondervraagde managers bij vijfhonderd bedrijven vond 60 procent dat Facebook het grootste gevaar vormde. Myspace eindigde op de tweede plek met 18 procent, Twitter staat derde met 17 procent. Linkedin vormt volgens de bedrijven een veel geringer risico (4 procent). (bron)

Er wordt dan wel aangekondigd dat Facebook het grootste gevaar is, maar als je bovenstaande brontekst goed leest dan blijkt het de mening te zijn van de ondervraagde managers. Ik ben eigenlijk wel geinteresseerd in de gedachte erachter (natuurlijk, gevoelsmatig snap ik best dat het risico’s met zich mee brengt), maar in dit geval wil ik weten waar zij hun mening op baseren.

Kunnen zij met feiten onderbouwen dat ook echt een risico vormt? Zijn er incidenten ontdekt die ze kunnen relateren aan Facebook en al die andere sites?

Veel organisaties spelen met de problematiek rondom social networking sites, er zijn er al genoeg die dit soort sites maar ook sites als Youtube bijvoorbeeld dicht willen zetten. Zo kunnen de medewerkers er in ieder geval vanuit het bedrijfsnetwerk niet bij…althans dat is de gedachte.

Natuurlijk denken we vanuit beveiliging en laten we deze sites snel dichtzetten, maar hoe zit het met de commercie? De organisatie draait niet om beveiliging, beveiliging is ondersteunend…nee het draait om de commercie en de verkoop van jouw producten en diensten. Marketeers lopen voorop als het om social networking gaat en maken hiervan gebruik om de producten en diensten onder de aandacht te brengen. Dichtzetten van deze site betekent dus dat je omzet mis loopt…en dat lijkt me niet de bedoeling.

Nee beter dan dichtzetten van deze sites is om de medewerkers duidelijk te maken wat de risico’s zijn. De risico’s voor de organisatie maar ook de risico’s voor de persoon zelf.

Zo werd ik laatst gevraagd om voor een presentatie even wat namen van mensen te googlen. Zo gezegd zo gedaan…van een aantal kwam ik toch best interessante gegevens tegen. Als je ze daarmee confronteert dan schrikken ze en gaan ze echt beter nadenken voor de toekomst.

Ik kwam er bijvoorbeeld een tegen die ondersteboven in een paaldanspaal (wow, mooi woord) hing op zijn Partyflock site. Ja, op “zijn”, zo schokkend was het nu ook weer niet maar als hij ooit gaat solliciteren is de kans groot dat je nieuwe werkgever je al lang gezien heeft.

Kortom: bedrijven moeten dit soort ontwikkelingen niet tegenhouden, doen ze dat wel dan kost ze dat een hoop omzet, nee ze moeten het juist op een zo veilig mogelijke wijze stimuleren.

Gek he? Dat iemand die continu bezig is met risico’s en beveiliging zo denkt, haha.

Top 10 ergste beveiligingsmaatregelen

  door

Nee ik heb ze niet zelf verzonnen of onderzocht en of ik het er volledig mee eens ben laat ik voor het gemak ook maar even in het midden.

Als het gaat om informatiebeveiliging zijn er verschillende manieren om informatie te beschermen, maar sommige gebruikte maatregelen waren, zijn en zullen nooit effectief zijn. Aan de andere kant kunnen deze maatregelen voor problemen zorgen, IT-afdelingen op kosten jagen en uiteindelijk meer kwaad dan goed doen. Fred Cohen, een van de eerste “virusschrijvers”, verzamelde tien van de ergste “security practices” (bron).

  1. Het wijzigen van wachtwoorden
  2. Een bron via reverse DNS lookup authenticeren
  3. Terugslaan uit zelfverdediging
  4. Gebruikers over technische zaken laten beslissen
  5. We kunnen de stekker er bij een incident uittrekken
  6. Het gebruik van ontdekte lekken als graadmeter
  7. Vertrouw wat de leverancier beweert
  8. De NSA gebruikt het, dus kan ik het vertrouwen
  9. We gebruiken best practices
  10. Het is voor uw veiligheid

Leuk grapje…not!!

  door

PHILADELPHIA – Een grap van een Amerikaanse security-medewerker op de luchthaven van Philadelphia is niet gewaardeerd door het slachtoffer. De 22-jarige studente Rebecca Solomon reisde op 5 januari van Philadelphia naar Detroit, maar kreeg op de luchthaven van vertrek de schrik van haar leven. Volgens lokale media deed de medewerker alsof hij drugs in de bagage van Solomon had gevonden.

Toen de studente door het beveiligingspoortje gelopen was, kwam de man op Solomon af met een zakje wit poeder in zijn hand. Hoe kom je hieraan?, zou hij haar hebben gevraagd. Eerlijk antwoorden, dan komt alles goed, voegde hij daaraan toe. Om na twintig seconden paniek en zweten bij Solomon te zeggen: grapje, het is van mij.

De jonge vrouw, die na een vakantie bij haar ouders weer terug naar de universiteit wilde gaan, spreekt van de langste twintig seconden van mijn leven. Ze barstte na het voorval in tranen uit.

De beveiligingsdienst TSA heeft de grap van de medewerker bevestigd. De man zou inmiddels niet meer bij de dienst werkzaam zijn. Of hij ontslagen is, wil de TSA niet zeggen (bron).

Bedrijven overgeleverd aan cybercriminelen

  door

Bedrijven en security professionals zijn overgeleverd aan cybercriminelen, die altijd een stap voor lopen en daardoor een groot risico voor ondernemingen vormen…Inmiddels zou cybercrime de grootste cyberdreiging zijn en weten cybercriminelen die bedrijfsnetwerken infiltreren langer onopgemerkt te blijven. Veel bedrijven negeren echter deze dreiging en geven geld uit aan het bestrijden van “mindere” dreigingen. Deloitte spreekt van een ernstig gebrek aan bewustzijn, maar ook van zelfgenoegzaamheid als het om dit onderwerp gaat. Zowel automatiseringsafdelingen als security officers zouden tekort schieten.

Daarbij staat het uitgeven van grote sommen geld niet gelijk aan beveiliging. Wie meer uitgeeft hoeft niet per definitie veiliger te zijn. “We zien veel organisaties middelen voor technologische beveiligingsmaatregelen uittrekken, terwijl eenvoudige, goedkope maatregelen zoals patchmanagement, log analyse, verminderen van rechten, wachtwoorden laten verlopen en het opheffen van de toegang van ex-werknemers worden genegeerd.” (bron)

Zo zie je maar dat meer uitgeven aan beveiliging niet betekent dat je ook echt beter beveiligd bent. Ik kan het alleen maar eens zijn met wat hierboven is aangegeven. Het gaat er niet om dat je zoveel mogelijk besteed, het gaat erom dat je de middelen zo slim mogelijk besteedt (en geloof me, dat is makkelijker gezegd dan gedaan). Oh ja, middelen betekent meer dan geld maar ook kennis, beschikbare tijd, etc.

Bij beveiliging gaat het er in de praktijk nog te vaak om om beveiligingmaatregelen te implementeren…waar het echt om gaat is risico’s afdekken (bijvoorbeeld door ze te mitigeren, over te dragen aan anderen of ze gewoon te accepteren) waarbij we rekening moeten houden met het belang van de bedrijfsprocessen (laten we eerst de risico’s voor de belangrijkste processen beheersen). Maatregelen zijn niet alleen de technische maatregelen maar juist een combinatie van technische, organisatorische, procedurele, bouwkundige en elektronische maatregelen en dan het liefst in samenhang bezien.

Het is veiliger om Jan Jansen te heten

  door

HR-managers beoordelen steeds vaker een sollicitant aan de hand van de gegevens die online over hem of haar zijn te vinden…Zo heeft in de Verenigde Staten 70% van de personeelsmanagers kandidaten wegens dit soort informatie geweigerd. In Groot-Brittannie is dit 41%, terwijl Duitsers (16%) en Fransen (14%) het internet nog in mindere mate bij het beoordelen van een sollicitant gebruiken…HR-managers gebruiken het vaakst zoekmachines en sociale netwerksites om dit soort gegevens te vinden. De voornaamste reden om iemand te weigeren zijn levensstijl en ongepaste opmerkingen, foto’s en andere informatie die van de kandidaat online te vinden zijn. In sommige gevallen kan een positieve online reputatie wel helpen bij het krijgen van de baan.

Jaren geleden, nog ver voordat Hyves, LinkedIn of Facebook bestonden werd ik hierover al gewaarschuwd in een van de toen populaire computerblaadjes. Eigenlijk is me dat altijd bijgebleven. Diegene die dat toen al door had was er snel bij. Zelfs informatie die je jaren geleden op het internet hebt achtergelaten kan nog worden teruggevonden…pas dus op waar je je sporen achter laat.

Zeker als je een beetje een aparte combinatie van voor- en achternaam hebt, ben je makkelijker terug te vinden. Kijk maar eens op www.wieowie.nl en zoek daar eens op je eigen naam. Heet je Jan Jansen dan zit je eigenlijk wel goed, daar zijn er zoveel van te vinden dat het niet meer of moeilijk naar jou te herleiden is. Daaruit kunnen we dus simpelweg concluderen dat het veiliger is om Jan Jansen te heten.

Op zich is het hebben van een online reputatie niet erg (op mijn naam ben ik ook te vinden…en de laatste keer dat ik keek kwam ik niks schokkends tegen) alleen je moet je er van bewust zijn en het proberen te beheren.

Kijk nog eens op je Hyves, LinkedIn, Facebook of ander profiel. Staat daar informatie, staan daar foto’s waarvan je liever niet het dat je toekomstige werkgever ze ziet dan zou ik maar snel proberen de informatie te verwijderen…daarna moet je hopen dat de informatie niet in het geheugen van internet blijft hangen.

OV-chipkaart onbeperkte mogelijkheden

  door

De ov-chipkaart blijkt onbedoeld breder inzetbaar dan alleen als betaalmiddel voor het openbaar vervoer. Studenten aan de Technische Universiteit Eindhoven kunnen met hun nieuwe chipkaart ook ondergrondse afvalbakken openen (bron).

Dat belooft natuurlijk veel goeds voor het rekeningrijden. Wederom zo’n mooi project waar iedereen wat huiverig voor is. Vreemd, alle andere projecten van de afgelopen jaren zijn toch ook goed verlopen? De OV-chipkaart beschikt zelfs over onverwachte mogelijkheden waar je niet eens extra voor hoeft te betalen, zien jullie nu wel dat het allemaal in het belang van de bevolking is (brood & spelen).

Lijkt me ideaal als ik straks met het kastje van Eurlings gratis en voor niets door de wasstraat kan, hup, daarna even door de Mc-drive op kosten van de overheid en vervolgens geheel gratis parkeren in een van de parkeergarages. Zo wordt het rekeningrijden toch nog goedkoper voor iedereen (tenzij je je auto nooit wast, een happy meal niet lekker vindt en nooit betaald parkeert)

Ach, rekeningrijden zal ongetwijfeld doorgaan, al is de hele bevolking er tegen…de Tweede Kamer beslist en die is voor. Toch nog maar even goed nadenken op wie we de volgende keer gaan stemmen…misschien staat er een partij op die wel naar zijn achterban luistert.

Veilingen en data op harde schijven

  door

Ja, ze noemen het nieuws, maar volgens mij is dit al jaren zo. Ik wil jullie niet beinvloeden dus lees eerst even rustig de bron tekst.

Online veilingen bieden een makkelijke en goedkope manier om aan kwalitatief goede hardware te komen. PCM onderzocht hoe zorgvuldig de veilingmeesters omgaan met de data op harde schijven uit deze pc’s en notebooks. De uitslag is schokkend. op de helft van de pc’s wordt gevoelige informatie gevonden, waaronder financiele en medische gegevens (bron).

Op de helft van de pc’s wordt gevoelige informatie aangetroffen. Is het glas nu half vol of half leeg? Betekent dit dan ook automatisch dat de andere helft netjes gewist is? Dan valt de schade nog mee.

Vraag is natuurlijk of de veilingmeesters hier op aan te spreken zijn, persoonlijk vind ik van niet. Als ik een cd-speler laat veilen moet ik toch ook zelf mijn cd-tje eruit halen? De mensen die hun hardware veilen zijn er wat mij betreft zelf verantwoordelijk voor. Vaak zullen ze de kennis niet hebben en er maar op hopen dat niemand wat met hun gegevens zal doen. Ja, zo kun je ook denken.

Waarom zou je trouwens je oude hardware willen laten veilen? Kan me nauwelijks voorstellen dat dat enorme bedragen oplevert (wat kost opslag tegenwoordig). Nee, ik zou er dan toch maar voor kiezen om de hardware gewoon naar de schroothoop te brengen…en ook in dat geval even je harde schijven wissen.

Gelukkig is er nog de marechaussee…

  door

Na de negatieve berichten over de politie van de afgelopen dagen hebben we gelukkig ook nog positief nieuws over een van de politiediensten…de marechaussee (ja ik weet het, dat valt onder Defensie).

Ondanks de chaos op met name de Amerikaanse lijsten met gezochte personen, heeft Schiphol in 2009 een record gebroken. Maar liefst 20.000 internationaal gezochte criminelen liepen tegen de lamp en moesten meekomen met de marechaussee omdat ze gesignaleerd stonden in het opsporingssysteem. In 2008 was dat nog niet eens de helft (bron).

Nog even ter herinnering: 20.000 criminelen die tegen de lamp liepen, dat zijn er zo’n 55 per dag dus 2 per uur. Wow, indrukwekkend. Vraag blijft natuurlijk hoeveel ze er niet te pakken hebben gekregen, maar dat zal altijd een vraag blijven.

Als de systemen van de marechaussee wel werken en de gegevens betrouwbaar zijn dan is er nog hoop. Misschien moet de politie eens te raden gaan bij de marechaussee. Er zijn ongetwijfeld lessons learned die de politie in kan zetten.
Ik zie een mogelijke fusie. Voeg de diensten samen en pak van beide het meest positieve.

Geloof me, ik heb niks tegen de politie

  door

Mogelijk is er sprake geweest van corruptie toen het KLPD in 2002 voor een Amerikaans merk pepperspray koos. Volgens de Amerikaanse justitie heeft een medewerker van de politie Rotterdam tegen betaling vertrouwelijke informatie aan de fabrikant van de spray doorgespeeld (bron).

Geloof het of niet, maar ik heb niks tegen de politie. Ze komen alleen wel erg vaak negatief in het nieuws de laatste tijd. Nu blijkt dat er met de aankoop van pepperspray is gerommeld. Dus niet alleen de systemen en het netwerk van de politie zijn onbetrouwbaar, nee erger nog een aantal inkopers zijn ook niet te vertrouwen.

Bij beveiliging draait het toch steeds om vertrouwelijkheid, integriteit en beschikbaarheid? Dan heeft de politie nog heel wat stappen te zetten de komende jaren. Vertrouwelijke informatie wordt doorgespeeld, zowel de medewerkers als de systemen en netwerken beschikken over onvoldoende integriteit en over de beschikbaarheid hoeven we het volgens mij ook al niet meer te hebben.

Netwerkstoringen bij de politie

  door

De invoer van aangiftes is aan banden gelegd bij diverse politiekorpsen. Dit om een netwerkstoring het hoofd te bieden, die al sinds vorige week loopt. Korpsen in Groningen, Friesland, Overijssel, Drenthe en Gelderland hebben al sinds vorige week last van een computerstoring (bron).

Gisteren al een bericht over het ICT-systeem van de politie dat zo moeilijk is dat geen agent zich er meer aan waagt. Nu een bericht over netwerkstoringen bij de politie. Gaat lekker als je het zo leest. Gelukkig zijn er geen problemen met C2000, stel je voor 😉

De statistieken waren dus al niet betrouwbaar vanwege het systeem maar worden nog onbetrouwbaarder door netwerkstoringen. We zullen ongetwijfeld aan het eind van het jaar horen dat de criminaliteit in Nederland voor het zoveelste jaar is gedaald. Raar eigenlijk dat we allemaal een minder veilig gevoel krijgen.

Nee, de statistieken liegen er niet om, echt, uit de cijfers blijkt dat de criminaliteit best meevalt. Niemand die zich aan het eind van 2010 bij het horen van de statistieken nog herinnert dat de systemen onbetrouwbaar zijn.

Nou, kom maar op met het rekeningrijden…zal ongetwijfeld ook een succes worden.