Verwijderde foto’s na jaren nog steeds op Facebook

Facebook belooft dat het alle foto’s die gebruikers in hun profiel verwijderd hebben binnen enkele maanden van zijn servers zal halen. Zelfs foto’s die door gebruikers in 2008 zijn verwijderd, blijken nog zichtbaar voor iedereen die de url van de foto heeft. Het is niet de eerste keer dat Facebook in opspraak raakt vanwege een fout in het fotosysteem. Enige tijd geleden bleek dat ook afgeschermde foto’s op het sociale netwerk zichtbaar werden gemaakt als gebruikers misbruik melden (bron).

Na ons bericht van gisteren over eventuele nep Facebook-profielen (waarbij we de kanttekening van betrouwbaarheid van het onderzoek plaatsten) gaan we vandaag nog even door met de risico’s van Facebook. Al jaren blijkt dat foto’s die door de gebruiker verwijdert zijn, daarna nog gewoon zichtbaar zijn, mits je de URL weet. Ook hier geldt dus weer dat je als gebruiker bewust moet zijn van hetgeen je online doet.

Plaats je een keer een leuke foto van een feestje en ben je daar na een paar maanden wel weer klaar mee, dan kun je er vanuit gaan dat die foto met een beetje zoeken toch nog is terug te vinden. Ben je van plan om een carrière stap te maken dan loop je het risico dat je nieuwe werkgever op foto’s stuit waar je niet echt gelukkig van wordt.

Tel daarbij op dat die foto door al je contacten gewoon te zien was en je laat een behoorlijk spoor achter op het internet. Ben jij heel bewust bezig met wie je wel en niet wilt koppelen op Facebook? Accepteer jij alleen privé contacten of mogen ook je collega’s jouw online vriend worden? Wat je er ook mee doet, misschien wil je dat je er zakelijk toch iets anders uitziet, dat je collega’s een ander beeld van je hebben dan dat je op Facebook laat zien.

De verhalen zijn natuurlijk bekend. Iemand meldt zich een dag ziek maar plaatst op Facebook dat ze lekker gaat winkelen in de stad omdat het uitverkoop is. Even niet bij nagedacht dat dat bericht ook door je collega’s gezien wordt.

Voordat je me ervan gaat betichten: nee, ik ben zeker niet tegen sociale netwerksites ook al heb ik zelf geen geen profielen op Facebook of Hyves. Het gaat mij er meer om dat mensen zich bewust worden van de sporen die ze nalaten. Leuk dat je nu een foto of tekstje plaatst, maar ben je over 2 jaar nog net zo blij met dat bericht? Is het antwoord “nee” dan moet je je misschien nog een keer bedenken. Grote kans trouwens dat jouw volgers dat leuke berichtje helemaal niet zullen missen, want ja er gebeuren best interessante dingen maar er staat ook een hoop onzin op…en die onzin zou jou nog wel eens op kunnen breken.

Organisaties zeer slecht voorbereid op cyberdiefstal

Organisaties zijn zeer slecht voorbereid als het gaat om een datalek of cyberdiefstal. Slechts 52% werkt met een gescheiden netwerk voor machines met gevoelige data, zo blijkt uit onderzoek van SpicyLemon, uitgevoerd door Webwereld.(bron)

Veelal kijken we met angst en beven naar de grote boze buitenwereld. Als de dood dat we getroffen worden door een aanval van de echte techneuten. Maar we vergeten nog vaak het “low hanging fruit”, zoals we dat zo mooi noemen.

Laten we er nu eerst eens voor zorgen dat we de normale zaakjes op orde hebben. Daarna kunnen we altijd nog focussen op een zware aanval (die we waarschijnlijk toch niet tegen kunnen houden). Daarbij moeten we niet alleen naar buiten kijken, maar juist ook naar binnen.

De grootste dreiging komt nog altijd van binnenuit. En dan niet eens altijd omdat het om moedwillige aanvallen gaat. Nee, we hebben te maken met gebruikers en dat zijn net mensen. En mensen maken fouten, zo simpel is het nu eenmaal.

Naast de onbewuste fouten komt het ook nog teveel voor dat de medewerker zich helemaal niet bewust is van zijn op handen zijnde fout. Hij heeft geen weet van de beveiligingsregels en als hij ze al kent dan weet hij niet hoe ze toegepast moeten worden terwijl hij gewoon zijn werk kan doen (daar wordt hij immers op afgerekend).

We hebben het natuurlijk al veel vaker aangehaald: het gaat om kennis, houding en gedrag. Dat is de ene kant, maar laten we vooral niet vergeten dat er ook nog een andere kant is: gewoon je werk doen. En ja, dan is beveiliging inderdaad vaak lastig.

Daarom moeten we vanuit beveiliging ook zo goed mogelijk kijken naar de “business”. Hoe kunnen we hen zo makkelijk mogelijk hun werk laten doen zonder dat we bijzondere risico’s lopen? Daar zouden we ons vanaf heden meer en meer op moeten richten. Beveiliging is ondersteunend aan de bedrijfsprocessen want zonder bedrijfsprocessen ook geen beveiliging.

Voordat we dus weer een nieuw stukje beleid schrijven, waarbij we mensen verbieden om zakelijke gegevens naar het privé account te mailen of waarbij we het niet meer toestaan dat gegevens onversleuteld op een USB-stick worden opgeslagen, moeten we de wereld omdraaien. Vraag nu eens gewoon aan die gebruiker wat hij nodig heeft om het zo veilig mogelijk te doen.

Bij de vraag naar verbeterpunten op beveiligingsgebied, wordt door de verschillende deelnemers aangegeven dat met name de bewustwording bij eindgebruikers en bij de directie vergroot moeten worden. Ruim 37% wil regelmatig security audits door externe partijen gaan laten uitvoeren.

Het zijn net mensen…en daar kunnen wij best mee leren communiceren. Die beveiligingsaudits komen dan wel als we de basis geregeld hebben.

Jongeren laks online, ouderen onwetend

Nederlanders gaan onveilig het internet op: in 2011 doen we minder aan bescherming dan in 2010. Jongeren zijn “laks en naïef”, terwijl 55-plussers “onvoldoende vaardigheden” hebben (bron).

Een opmerkelijke uitkomst van het onderzoek, of eigenlijk een heel logisch iets? Als je het mij vraagt het laatste. Natuurlijk zou je verwachten dat mensen beter nadenken voor ze het internet op gaan. Maar wees eerlijk. Hoe weet je nu precies welke bescherming (of software) je nodig hebt en hoe weet je nu dat je echt goed beveiligd bent?

We kunnen natuurlijk al weer vrij snel een parallel trekken naar het autorijden. Waarbij er natuurlijk ook een verschil is: voor autorijden moet je eerst je rijbewijs halen. En nee, ik wil niet direct zeggen dat we dat dan ook maar moeten verplichten voor het gebruik van computers. Nee, ieder zijn eigen verantwoordelijkheid en als ze zich vrijwillig willen laten scholen dan moet iedereen dat lekker voor zichzelf weten.

Maar goed, terug naar het autorijden en het aanschaffen van een auto. Natuurlijk zijn er mensen die goed kijken naar de uitslag van de Euro NCAP-test en er zullen best mensen zijn die hun keuze puur en alleen baseren op de uitslag van die test. Toch zal het merendeel van de mensen die een auto aanschaffen niet geïnteresseerd zijn in de uitkomsten van de test. Nee, de keuze zal gebaseerd zijn op het uiterlijk van de auto, de wijze waarop die de status vergroot of degene met de laagste bijtelling.

Vraag je aan mensen of ze een veilige auto willen rijden, dan zal het antwoord volmondig ja zijn. Nu zouden we een dergelijke vraag ook kunnen stellen als het om internet gaat. Wilt u zo veilig mogelijk internetten? Zou vreemd zijn als hier het antwoord ineens “nee” is.

Het draait, zoals bij veel zaken, om “willen” en “kunnen”. Ik ben er van overtuigd dat het merendeel van de mensen best veilig wil internetten. Geen gebrek aan motivatie dus. Dan kan het nog maar aan een ding liggen en dat is “kunnen”. Men weet simpelweg niet hoe of men is er in de verste verte niet in geïnteresseerd.

Daar kunnen we natuurlijk hele mooie bewustwordingscampagnes tegenaan gooien maar dat gaat erg weinig verschil maken (en als de onderzoeken over 2012 iets anders tonen, dan is er gerommeld met de cijfers en was het onderzoek wat mij betreft onbetrouwbaar). Wat dan wel? Op zich is zo’n bewustwordingscampagne helemaal niet zo’n slecht idee, maar we zien vaak dat de uitvoering te wensen overlaat.

Willen we er echt voor zorgen dat zowel de ouderen als de jongeren veiliger het internet opgaan dan moeten we ons naast kennis met name richten op houding en gedrag. Leuk dat men weet dat ze onveilig zijn, maar wat als ze niet weten hoe ze dat moeten veranderen?

De software leveranciers gaan hier natuurlijk van smullen en proberen nog meer software aan de man te brengen. Op zich niet erg, als die software zou werken. En met werken bedoel ik niet de technische werking. Ik ben best overtuigd van die technische werking, maar men leest de bijschrijving niet en installeert klakkeloos de software met de illusie dat ze nu een stuk veiliger zijn.

Willen we er echt voor zorgen dat men veiliger wordt, dan moeten we de gebruiker centraal stellen. We moeten kijken waarom de jongeren laks zijn en waarom het de ouderen niet lukt. We zouden kunnen stellen dat we het een en ander in Jip-en-Janneke-taal uit moeten leggen, maar daarmee doen we de gebruiker echt te kort. Nee, laten we er eerst eens voor zorgen dat we weten waarom men het niet kan en laten we dan proberen in gewoon Nederlands uit te leggen wat ze moeten doen, op welke wijze ze dat moeten doen en waarom ze dat moeten doen. Geen gemakkelijke opgave, maar wel een hele interessante uitdaging.

Realistisch? Ehm, voorlopig zal de onveiligheid alleen maar toenemen. We koppelen meer systemen op internet en geven meer gegevens prijs dan waarvan we ons bewust zijn. Het is een utopie om te denken dat we dat met de huidige aanpak echt gaan veranderen.

Nalatigheid is belangrijkste oorzaak verlies persoonsgegevens

Nalatigheid en slordigheid bij medewerkers van bedrijven of partnerbedrijven zijn nog steeds de voornaamste oorzaken van het uitlekken van persoonsgegevens. In 41 procent van de onderzochte gevallen zou nalatigheid of slordigheid binnen een organisatie of bij een partnerbedrijf de oorzaak zijn geweest. Aanvallen van buitenaf door cybercriminelen zijn (met 31%) echter sterk in opkomst (bron).

Wederom een bevestiging van een feit dat binnen de beveiligingswereld al jaren bekend is. De grootste dreiging komt (nog) niet van buitenaf maar zit gewoon lekker achter zijn of haar buro en ontvangt er maandelijks nog een goed salaris voor ook. In dit geval wordt gesproken over nalatigheid en slordigheid, beide gevallen van onbewust handelen van de medewerker. Daarnaast moeten we ook zeker die medewerkers niet onderschatten die bewust informatie lekken, daar zit een veel grotere uitdaging.

Aangegeven wordt dat een van de oplossingen is om de medewerkers beter te trainen in de richtlijnen. Op zich natuurlijk een goed punt, daarmee kunnen we (als we het ook echt goed doen) nalatigheid en slordigheid deels voorkomen. Feit is wel dat we degene die het moedwillig en doelbewust doen hier niet mee tegen houden. Deze categorie is vele malen moeilijker in toom te houden. Hoe we dat dan wel kunnen doen? Ja, dat is een vraag die we zo 1, 2, 3 niet kunnen beantwoorden in concrete bewoording. We kunnen natuurlijk eens starten met een goed basis beveiligingsniveau. Veel organisaties besteden tonnen zo niet miljoenen aan beveiligingsmaatregelen zonder dat ze weten hoe goed ze nu eigenlijk beveiligd zijn. Is daar dan geen oplossing voor? Natuurlijk wel, sterker nog, ik heb hem in de vorm van een maturity scan gewoon voor je “op de plank” liggen. Een investering voor organisaties die snel is terug verdiend.

Gaan we even door op het terugverdienen van de investering dan komen de volgende onderzoeksgegevens goed van pas:
Volgens de onderzoekers kost een zaak waarbij persoonsgegevens worden buitgemaakt gemiddeld 7,2 miljoen dollar voor een Amerikaans bedrijf. Per gebruikersrecord zouden de kosten 214 dollar bedragen, tegenover 204 dollar een jaar daarvoor.

Uiteindelijk gaat het voor organisaties maar om drie hoofdpunten: omzet (verlies), kosten (verhoging) en imago (schade). Als we nu eens in die termen leren denken, dan wordt ineens duidelijk waarom we aan beveiliging zouden moeten doen en wat dat dan jaarlijks mag kosten. Ingewikkeld? Ehm, best wel, maar als we een aantal aannames doen dan kunnen we al een heel eind komen.

Geïnteresseerd? Mooi, dan hebben we er weer een volgeling bij. Laat het me weten en binnenkort leg ik het je uit tijdens een goede bak koffie.