Eerste Kamer tegen landelijk EPD

Voorlopig komt er geen landelijk elektronisch patientendossier, een meerderheid van de Eerste Kamer is namelijk tegen, zo meldt dagblad De Pers. Uit een rondgang van de krant blijkt dat de Senaat het bijna vijftig miljoen euro kostende landelijke systeem te duur vindt. De Senatoren noemen het wetsvoorstel ‘absoluut prematuur’ en ‘een veel te griezelig avontuur’ (bron).

Ehm, inmiddels is het elektronisch patientendossier al zo vaak behandeld dat het een beetje een vervelend onderwerp begint te worden, maar goed, deze kunnen we niet aan ons voorbij laten gaan. De vraag die ik me stel gaat eigenlijk geeneens over het EPD maar over de wijze waarop dergelijke beslissingen verlopen. Moet de Eerste Kamer niet in een veel vroeger stadium betrokken worden als ze bedenkingen hebben? Nu zijn er allerlei partijen druk aan het ontwikkelen geslagen, er zijn miljoenen mee gemoeid, veel discussies gevoerd, burgers ongerust gemaakt en nu is de Eerste Kamer ertegen (overigens zie ik niet direct terug dat ze zich zorgen maken om privacy of beveiliging, maar goed, dat terzijde).

CDA-senator Hans Franken valt partijgenoot Ab Klink af door te stellen: Als de wetgever iets wil wat al die dokters niet willen, dan kun je er maar beter niet aan beginnen. Een mooie stelling van de heer Franken die in dit geval de spijker op zijn kop slaat. Konden we deze stelling maar breder inzetten: als de wetgever iets wil wat anderen niet willen, dan kun je er maar beter niet aan beginnen.

Aangezien we de komende jaren nog flink te bezuinigen hebben zeg ik (bij wijze van spreken, want ik ben net het Rode Kruis en dus partij onafhankelijk): Franken voor presiden en dan alles afschaffen wat de wetgever wil maar waar niemand anders op zit te wachten, weg met die regels, weg met de bureaucratie en alles wat het leven onnodig moeilijk maakt.

Voor vice-premier wijzen we dan Dupuis aan die het Ministerie zelfs naief noemt. Het zou onvoldoende kennis van zaken hebben en heeft de problematiek zwaar onderschat, zo laat hij de krant weten. En daarin kunnen we hem denk ik alleen maar gelijk geven.

Dit dossier wordt ongetwijfeld vervolgd.

Beveiliging is ook een kwestie van gedrag

Hoewel de titel wat mij betreft te zwak is (het is niet ook een kwestie van gedrag maar voor het grootste gedeelte een kwestie van gedrag), is het een interessant bericht. Meer en meer bedrijven ontdekken dat het niet alleen meer gaat om bouwkundige en/of elektronische maatregelen maar dat juist de medewerkers van grote invloed zijn.

Natuurlijk moet het bedrijf zorgen voor de juiste maatregelen, de juiste toegangscontrole, de juiste firewalls en encryptie…maar als we eenmaal een goede basis hebben gelegd, moeten we ons continu richten op de mensen in onze organisatie.

Beveiliging draait niet alleen om het nemen van fysieke maatregelen en technologie, maar in grote mate ook om het gedrag van medewerkers…Voor alle sites heeft De Laat een universeel veiligheidsconcept ontwikkeld dat bestaat uit een goede periferie, toegangscontrole, cameratoezicht, alarmering op deuren en ramen, duidelijke huisregels en de eis dat alle medewerkers een verklaring omtrent gedrag moeten hebben. Ondanks alle veiligheidsmaatregelen benadrukt De Laat dat veiligheid ook vooral tussen de oren van de medewerkers moet zitten (bron).

Beveiligingsbewustzijn wordt steeds belangrijker en gelukkig onderkennen meer en meer bedrijven dat. Helaas zien we toch nog vaak dat er gebruik wordt gemaakt van een simpele powerpoint en een poster aan de muur. Geloof me, daarmee verandert het gedrag van de medewerkers echt niet.

Om een organisatie veilig te maken en te houden moet de cultuur binnen die organisatie stevig aangepakt worden…en dat is moeilijker dan het wellicht op het eerste gezicht lijkt.

Computers op scholen slecht beveiligd

We horen vaak berichten over de jeugd van tegenwoordig en dat het niveau van de opleidingen achteruit holt. Jongeren krijgen nog nauwelijks les en kunnen nog maar met veel moeite een normaal Nederlands briefje typen.
Toch zijn de jongeren zo gek nog niet, ze hebben gewoon nieuwe methodes om “resultaten” te bereiken.

De beveiliging van computers op middelbare scholen is zo lek als een mandje. Leerlingen kunnen moeiteloos cijfers veranderen, proefwerken inzien en roosters naar hun hand zetten (bron).

Zeg nou zelf, als je vroeger de keuze had tussen: vroeg op, veel studeren en redelijke cijfers halen of uitslapen, chillen met je vrienden en jezelf allemaal 10-en geven via het netwerk van je school. Uiteindelijk moet je het echte werk toch in de praktijk leren, of niet?

Er is zelfs een levendige handel in cijfers, absentiebriefjes en roosters. Dit zijn de ondernemers van de toekomst, zullen we maar zeggen: Een leerling van een school uit Amstelveen ging verder en wiste voor vijf euro notities van absenties van zo’n twintig medeleerlingen. Ook paste hij roosters aan en speelde proefwerken door naar klasgenoten ‘om even het cijfer op te kunnen halen’.

Maar is het nu heel integer en naief van de leerlingen om het nieuws op te zoeken, of is het gewoon dom en schieten ze zichzelf in hun voet? Wie het weet mag het zeggen.

We worden gewoon ingehaald door de jongeren, daar kunnen we moeilijk over doen en we kunnen proberen onze “macht” (want van dat middel maken leraren toch vaak gebruik of misbruik) in te zetten. Maar moeten we de hand niet in eigen boezem steken? Moeten we niet gewoon de leraren beter op gaan leiden en de scholen betere middelen beschikbaar stellen ? Een andere leerling wijst erop dat wachtwoorden van leraren makkelijk te achterhalen zijn via hun eigen laptops. Leerlingen geven presentaties vaak op de laptop van hun docent. “Met de usb-stick kan ik binnen twee seconden al zijn wachtwoorden downloaden. Terwijl ik die presentatie geef bijvoorbeeld.”

Voordat we afsluiten nog even voor degene die denken dat het allemaal wel mee zal vallen: Bij steekproeven door Kennisnet onder tien scholen in 2004 en 2007 bleek niet een school goed beveiligd.

Maakindustrie angstig voor lek bedrijfskennis

Een onderzoek in de Maakindustrie, uitgevoerd door Securitas, geeft interessante inzichten, een korte samenvatting:

  • Het lekken van bedrijfskennis naar de concurrent wordt als beveiligingsrisico gezien
  • Bedrijven zijn bang voor sabotage van het productieproces
  • Bedrijven vinden hun bedrijf kwetsbaar voor beveiligingsincidenten
  • Bedrijven zetten zeer beperkt het topmanagement in om draagkracht voor het beveiligingsbeleid te vergroten
  • Een groot deel van de bedrijven doet helemaal niets om de draagkracht en het commitment voor het beveiligingsbeleid te vergroten.

In het westen van Nederland ziet 28 procent van de bedrijven het lekken van bedrijfskennis naar de concurrent als grootste beveiligingsrisico. Hiermee is het de enige regio die dit als belangrijkste risico ziet.

Terwijl bedrijven in de maakindustrie landelijk gezien het meest bang zijn voor sabotage van het productieproces, ziet het westen van Nederland het lekken van bedrijfsinformatie juist als grootste risico. In de andere regio´s staat dit op de tweede of derde plaats. Het westen van Nederland lijkt binnen de maakindustrie een vreemde eend in de bijt. Ze hebben niet alleen een andere inschatting van het beveiligingsrisico, ze vinden hun bedrijf (met 29 procent) ook opvallend kwetsbaarder voor beveiligingsincidenten dan de rest van Nederland. In het oosten is dit percentage bijvoorbeeld 17 procent.

In het midden van Nederland zet slechts 15 procent het topmanagement in om draagkracht voor het beveiligingsbeleid te vergroten. In de rest van Nederland is dit percentage bijna 10 procent hoger. Het topmanagement van bedrijven kan juist heel goed ingezet worden voor het verhogen van de betrokkenheid bij het beveiligingsbeleid. Leidinggevenden hebben een voortrekkersrol. Wanneer zij hun commitment niet regelmatig uitspreken, of vertalen in het bedrijfsbeleid, zal de rest van het bedrijf ook niet volgen. Op deze manier blijft beveiliging een ondergeschoven kindje. 35 procent van de Nederlandse bedrijven in deze branche doet zelfs helemaal niets om de draagkracht en het commitment voor het beveiligingsbeleid te vergroten. Dit is in alle regio´s van het land ongeveer gelijk. (bron).

Security managers krijgen nog niet genoeg beloning

Security managers worden nog niet genoeg beloond voor hun werkzaamheden. Dat blijkt uit het Salarisonderzoek 2009/2010 van Security Management dat in het voorjaar van 2009 is verricht. Het onderzoek toont onder meer aan dat security voor veel bedrijven geen `main issue` is…De meeste managers moeten bovendien ook nog rapporteren aan de facility manager. Daarmee is de functie van de security manager in de praktijk niet toereikend genoeg om risico`s echt te handhaven. Door de lage positionering kan de security manager minder goed sturing geven aan risicobeheersing en de continuiteit van het bedrijf minder goed veilig stellen (bron).

Ja, dit blijft natuurlijk een beetje een kip en ei probleem. We zien steeds allerlei berichten voorbij komen waarbij we de conclusie kunnen trekken dat het met het niveau van de beveiliging nog niet zo goed gesteld is, maar ja wat wil je als je er de juiste beloning niet tegenover zet?

Een goede security manager moet ervaring hebben op vele gebieden, moet de organisatie door en door kennen en moet een gesprekspartner zijn voor de directie. Alleen op deze manier kan hij de risico’s voor de organisatie beheersen.

Stoppen we de security manager ergens onder de facility manager dan moeten we echt bij onszelf te raden gaan. Willen we beveiliging juist op de kaart zetten dan hebben we nog een hoop te doen.

Online beveiligingswereld is een elitaire wereld

In navolging op het bericht van gisteren waarbij we als beveiligingsexperts minder arrogant moeten worden hierbij volgens mij nog een aanvullend (en misschien wel veel groter) probleem: ons taalgebruik en onze communicatieve vaardigheden.

Het gebruik van computerjargon en weinig verbeeldingrijke reclame weerhouden internetgebruikers ervan om te onderzoeken hoe ze zichzelf online zouden moeten beveiligen. Dat is de conclusie van een aantal cyberexperts die hoe computergebruikers beter zouden kunnen beschermd worden tegen het groeiende probleem van online diefstallen, fraude, vandalisme, misbruik en spionage (bron).

Beveiligingsexperts moeten (althans als ik de berichten mag geloven) echt beter leren communiceren. Niet alleen het “wat” (communicatie) maar juist ook het “hoe” moeten we eens goed onder de loep nemen. Onder het “hoe” versta ik bijvoorbeeld onze woordkeuze en onze “tone-of-voice”. Oftewel de juiste dingen op de juiste manier zeggen.

Het jargon moeten we loslaten en we moeten ons meer verdiepen in de taal die de ontvanger spreekt. Nee, ik bedoel niet per definitie dat we Jip en Janneke taal moeten gaan spreken (dat zou in veel gevallen te arrogant zijn, zie het bericht van gisteren) maar wel dat we moeten proberen onze communicatie af te stemmen op de ander.

Een financieel expert moet anders benaderd worden dan een marketingmanager. De marketingmanager gebruikt weer andere woorden dan de algemeen directeur die vervolgens een andere taal spreekt dan de IT-manager.

Bepaal voor jezelf “wie je aan de lijn hebt”, wie je doelgroep is voor een bepaalde communicatieuiting. Willen we bijvoorbeeld de medewerkers ergens over informeren dan is het misschien een goed idee om eens met de communicatieafdeling door te spreken wat de beste communicatie is.

We nemen te vaak aan dat ze ons wel zullen begrijpen, we zijn zo met onszelf bezig dat we de vragende blikken niet eens opmerken. Voor ons zijn de begrippen misschien bekend en relevant maar denken we nu echt dat een medewerker het verschil weet tussen hacking en cracking? En beter nog: zou het hem moeten interesseren? Hij moet zijn werk kunnen doen en of zijn netwerk er nu uit ligt vanwege een hacker, een virus of een simpele storing maakt voor hem niet uit, hij wil gewoon zijn deadline halen en het moet gewoon werken.

Juist door in jargon te blijven praten creëren we een enorme mist en plaatsen we ons in een lastige situatie. Als we mazzel hebben willen ze best naar ons luisteren…maar horen ze ons ook en begrijpen ze wat we bedoelen? Vaak is jargon helemaal niet nodig, die bewaar je maar voor de indruk die je achter wilt laten bij je mede beveiligingsexperts.

Beveiliging is helemaal niet zo exotisch en moeilijk als we soms willen doen geloven. Sterker nog het moeilijkste aspect van beveiliging is gewoon de communicatie.

Beveiliging mag minder arrogant

Beveiliging mag minder arrogant, zo zegt de titel maar volgens mij mogen we dit direct vervangen door: beveiliging moet minder arrogant (of is dat dan weer arrogant als ik het zo stel?).

Overal werken klanten het liefst samen met vriendelijke, dienstbare en geduldige mensen. Jammer genoeg is deze omschrijving niet van toepassing op veel securitydeskundigen, behalve wanneer zij in gesprek zijn met andere securityprofessionals (bron).

Als beveiligingsdeskundige hebben we nog steeds een groot imagoprobleem. Natuurlijk zijn er nog steeds “experts” met weinig inlevingsvermogen die alles het liefst willen verbieden. Toch denk ik dat er meer en meer experts opstaan die in het vizier hebben dat beveiliging (in welke vorm dan ook) altijd ondersteunend is aan de business. Met het primaire bedrijfsproces verdient de organisatie haar geld, beveiligingsmaatregelen kosten ogenschijnlijk alleen maar.

De kunst voor ons als beveiligingsexperts is om die maatregelen te vinden die een meerwaarde hebben voor de nieuwe ontwikkeling. In de praktijk merken we nog steeds dat het gemakkelijker is om beveiligingsmaatregelen te adviseren (die van alles verbieden, die het werk onmogelijk maken, etc) dan om mee te denken om de risico’s af te dekken. Oh ja, een risico accepteren kan ook een hele goede maatregel zijn (vanuit de business gezien), als de risico-acceptatie op het juiste niveau binnen de organisatie plaatsvindt dan kan ik daar uitstekend mee leven.

Bij iedere maatregel die uiteindelijk geadviseerd wordt moeten we ons afvragen of de business daar nu echt mee geholpen is en of we nu ook echt een reëel risico afdekken voor de organisatie. Daarbij moeten we steeds bedenken dat maatregelen bestaan uit de combinatie van: technische, procedurele, organisatorische, bouwkundige en elektronische maatregelen.

Trekken we de parallel met fysieke beveiliging dan verbaast het mij dat er nog maar zo weinig wordt gedaan aan esthetisch verantwoorde systemen. Wat bedoel ik daarmee? Waarom zijn er bijvoorbeeld geen mooi weergegeven ruimtedetectoren? Laten we eerlijk zijn, wie wil er nu een lelijke detector aan de muur hebben? Waarom kan die niet mooi zijn? Volgens mij is het een kleine kunst om een rookdetector te verwerken in een plafonnière. Een combinatie die mij over zou halen om er serieus over na te denken. Nu moet ik twee dingen aan mijn plafond hangen, een detector en een lamp…combineren we dat dan biedt dat vele voordelen.

Oh ja, de rookdetector is hier natuurlijk slechts een simpel voorbeeld. Ik ben er van overtuigd dat we op alle gebieden maatregelen kunnen bedenken (die dus ook echt risico’s afdekken) die het het werk voor de medewerkers makkelijker maakt of die er esthetisch mooi uitzien. Kunst voor ons als beveiligingsexperts is om verder te kijken dan onze neus en juist die adviezen te geven waar de business echt mee geholpen is.

Om er dan nog maar een (fysiek) voorbeeldje bij te halen. Het gebruik maken van camerasystemen is van oudsher een beveiligingsissue. Toch zijn er al jaren systemen die ook het aantal bezoekers en bezoeksgedrag kunnen monitoren, daarmee kun je op marketinggebied hele interessante gegevens achterhalen. Een combinatie dus waarmee je de beveiligingsmaatregelen inzet om de business te helpen verbeteren.

Gooien we er toch maar weer eens een van mijn motto’s in: alles kan, maar wel zo veilig mogelijk.

75% bedrijven doelwit cyberaanvallen

Driekwart van de bedrijven is de afgelopen maanden doelwit van een cyberaanval geweest. 36 procent beschreef de aanval als enigszins tot zeer effectief. Verder meldde 29 procent van de bedrijven dat het aantal aanvallen de afgelopen twaalf maanden is toegenomen en raakt 43 procent vertrouwelijke of zakelijke informatie kwijt. Dergelijke aanvallen kosten bedrijven gemiddeld 1,5 miljoen euro per jaar. Daarnaast meldden bedrijven dat beveiliging steeds lastiger wordt, als gevolg van onderbezetting, nieuwe IT-initiatieven waarvoor extra beveiliging nodig is en het belang van toezicht op IT.

“Als er een onderwerp is dat IT-managers wakker houdt, dan is het security”. 42% van de respondenten beschouwt beveiliging als de belangrijkste prioriteit, gevolgd door traditionele criminaliteit (17%), brand (17%) en natuurrampen (14%). Over terrorisme maken bedrijven zich met tien procent het minst zorgen (bron).

Kun je nagaan: een dergelijke aanval kost bedrijven gemiddeld 1,5 miljoen euro per jaar. Voor veel bedrijven is het security budget niet eens 1,5 miljoen. Zaak dat we ons meer en meer gaan richten op de kosten/baten-analyse voor beveiliging.

Voor de duidelijkheid. Deze 1,5 miljoen betreft alleen de cyberaanvallen. Kun je nagaan wat andere incidenten kosten. Weten we niet allemaal dat de grootste dreiging van intern komt. Medewerkers hebben al toegang tot het gebouw en delen van de informatie en kunnen vele malen meer schade aanrichten dan het genoemde bedrag.

Subsidie voor beveiliging MKB…

Ondernemers in het mkb krijgen ineens veel minder subsidie voor de beveiliging van hun bedrijven nadat het ministerie van Economische Zaken de subsidie om kleine bedrijven beter te beveiligen plotseling heeft versoberd…Onlangs werd bekend dat het ministerie van Economische Zaken de subsidie ook in 2010 zal verstrekken. Het bedrag is nu echter ingesnoerd van tienduizend naar duizend euro. Een woordvoerder van staatsecretaris Frank Heemskerk bevestigt de ingreep in de Telegraaf. De toeloop bleek zo groot dat er besloten is het subsidieplafond te verdelen (bron).

Goed werk van het Ministerie (not). Hebben ze eindelijk de MKB-ers zover dat ze aan beveiliging gaan doen korten ze de beschikbare budgetten. En niet een beetje, nee gewoon rigoureus. Denkt het Ministerie dat je een MKB-bedrijf met 1.000 euro kunt beveiligen? Of vinden ze dat de MKB-ers zelf maar geld bij moeten leggen?

Nou, het was een leuk initiatief van de overheid…voor zolang het duurde dan.

Nu maar hopen dat het Ministerie haar eigen beveiligingsbudgetten niet op dezelfde manier kort…want dan liggen binnenkort de gegevens op straat en kan de minister zich verantwoorden in de kamer.

Draadloos netwerk beter beveiligd

Draadloze thuisnetwerken worden veelal gezien als onveilig. Uit onderzoek blijkt echter dat in Nederland 89 procent van de bezitters van een draadloos thuisnetwerk de beveiliging heeft ingeschakeld. In Duitsland en Groot-Brittannie liggen deze percentages met respectievelijk 96 procent en 92 procent nog hoger (bron).

Dat is voorwaar geen slechte score…89% heeft een vorm van beveiliging aangezet. Even een steekproefje: bij mij in de buurt vind ik 10 draadloze netwerken, daarvan zijn er 7 met WPA2 beveiligd, 1 beveiligd met WEP en 2 zijn er onbeveiligd. Dat lijkt dus aardig in de buurt te komen zeker met zo’n kleine steekproef. Blijkbaar woon ik in een representatieve wijk.

Het bericht gaat verder:
In alle landen blijkt dat de jongste groep respondenten (18-24) het hoogste percentage van veilige draadloze netwerken heeft en het laagste percentage ingeschakelde beveiliging wordt gevonden bij de 55-plussers.

Blijkbaar kunnen de ouwetjes in dit geval nog wat van de jonkies leren. Op zich niet zo vreemd natuurlijk. De jongeren zijn opgegroeid met computers en de meeste zijn waarschijnlijk nog met DOS en Windows 3.1 begonnen (of nog eerder natuurlijk). De jongeren waren duidelijk de early adopters in dit geval terwijl de 55-plussers op afstand volgden.