Tag: diefstal

Dit verwacht je ook niet

  door

Werden we gisteren al verrast door het gewijzigde daderprofiel van een pinpasdief? Vandaag doen we er nog een schepje bovenop. Blijkbaar is het de week waarin we ons laten verrassen.

Laten we maar weer eerlijk zijn. Hoeveel mensen zouden ingrijpen als zij getuige zijn van een overval? Zeer waarschijnlijk zijn de meesten van ons dusdanig verrast dat we niet meer in staat zijn om de dader een flink pak op de broek te geven. We zullen er eerder voor kiezen om te vluchten of weg te duiken dan dat we ons mengen in de strijd.

Deze man twijfelt er geen moment over en besluit dat het tijd is om in te grijpen.

(het kan even duren voor het filmpje laadt, excuses voor het ongemak, duurt het te lang dan kun je het best even refreshen).

Britse leger verliest 287 computers en de rest…

  door

Hadden we het gisteren al over een onderzoek waaruit de schrikbarende cijfers naar voren kwamen over USB-sticks en het verlies daarvan in Engeland? Dan kunnen we daar vandaag mooi bij aansluiten met het volgende bericht.

Het Britse ministerie van Defensie is de afgelopen achttien maanden 287 computers kwijtgeraakt. Het ging om 188 laptops en 99 desktops. Ook verdwenen 72 harde schijven en 73 USB-sticks. Toch valt de schade volgens de defensiesecretaris mee, aangezien de apparaten versleuteld waren of over andere beveiligingsmaatregelen beschikten.

Naast de computers raakte het ministerie ook 150 back-up tapes, achttien mobiele telefoons, tien BlackBerry’s en 194 cd’s en dvd’s kwijt. Volgens secretaris Andrew Robathan werken er meer dan 250.000 mensen voor het ministerie en is het daardoor onvermijdelijke dat materiaal verloren raakt (bron).

Met 250.000 medewerkers is het inderdaad onvermijdelijk dat er materiaal verloren raakt. De vraag is alleen welke aantallen nog acceptabel zijn en welke maatregelen je genomen hebt om de informatie op die apparatuur te beschermen. Zo te lezen hebben ze daar over nagedacht en zijn het slechts de lege hulzen die verloren zijn. De informatie er op (die vele malen meer waarde vertegenwoordigd dan de apparatuur zelf) is blijkbaar niet te lezen.

Toch zit hem daar natuurlijk ook een groot risico. De informatie is nu misschien niet te ontcijferen en wellicht kan Jan met de korte achternaam dat in de toekomst ook niet. Maar hoe zit het met de serieuzere partijen? Hoe zit het met buitenlandse overheden die over veel meer mogelijkheden beschikken? Kunnen die de informatie ook niet uitlezen? En weten we dat echt zeker?

Wie zegt me dat die informatie niet toch ontcijfert kan worden en wie zegt me dat de informatie niet in vreemde handen terecht is gekomen? Lijkt misschien ver gezocht (en hopelijk zit ik er ook volkomen naast), maar bekijk het eens op kleinere schaal.

Hoe weet je nu bijvoorbeeld zeker dat je thuis pc echt veilig is? Eerlijk is eerlijk, dat weet je eigenlijk niet. Je hoopt het en zolang het apparaat geen vreemde kuren vertoond ga je er dan ook maar vanuit. Maar hoe komen er dan zo vaak foto’s op straat die men toch liever privé had gehouden? De kans is niet zo groot dat jij een specifiek target bent maar als je voordeur open staat dan zou je zomaar slachtoffer kunnen zijn (zonder dat je het weet).

Dat zelfde geldt voor de netwerken van bedrijven (groot en klein) en we kunnen wel allerlei vulnerability scans uitvoeren, maar ook dat geeft geen 100% garantie. Kortom: ik hoop voor de heer Robathan dat hij gelijk heeft en in de toekomst ook gelijk blijft houden. Zeker weten zullen we het nooit, dus laten we er ons verder ook maar niet onnodig druk om maken.

Driekwart werknemers gebruikt illegale USB-sticks

  door

Bijna driekwart van de Britse werknemers gebruikt “illegale” USB-sticks op de werkvloer en ook encryptie wordt nauwelijks toegepast. De illegale USB-sticks zijn sticks die niet door de werkgever zijn geautoriseerd. Ze kunnen van thuis of conferenties zijn meegenomen. Verder bleek dat bij 72% van de Britse bedrijven werknemers USB-sticks met vertrouwelijke gegevens waren verloren (bron).

Het betreft natuurlijk geen “illegale” USB-sticks in de zin van het woord, maar het betreft USB-sticks die door de werkgever niet zijn uitgegeven en dus niet onder controle staan. Dat het er veel waren, is bijna algemeen bekend, maar dat het er zoveel zijn geeft toch te denken.

Met het “bring your own” principe zullen de cijfers alleen nog maar toenemen. Bijkomend issue hier is dat:“Als je een laptop verliest kun je niet meer werken, als je een USB-stick verliest komt niemand dit te weten”. Dat is met diefstal van informatie in heel veel gevallen het feit.

Eigenlijk kun je in veel gevallen trouwens niet eens spreken over diefstal maar komt het eerder neer op het illegaal kopiëren van de data. De data hoeft daarna immers niet weg te zijn maar kan nog steeds op de server staan. Stelen we een laptop dan is dat inderdaad al vrij snel duidelijk, we kunnen niet meer werken en zullen aan onze manager uit moeten leggen dat we bestolen zijn. Bij USB-sticks is dit inderdaad niet het geval. Verliezen we onze eigen USB-stick dan hebben we er vast thuis nog wel een in de kast liggen. Jammer van die informatie, maar die slaan we wel weer opnieuw op.

We vergeten dan nog wel eens dat de informatie in verkeerde handen is gekomen en dat informatie een veel hogere waarde kan hebben dan die ene laptop. De medewerker zelf heeft er dan misschien geen last van, maar als bedrijf kunnen we enorm in verlegenheid gebracht worden. Brengt iemand de USB-stick naar de krant, dan kost het ons imago. Brengt hij hem echter naar de concurrent, dan kan ons dat ook nog eens een berg geld kosten (om over claims, verlies van klanten enzo nog maar te zwijgen).

Met deze cijfers is het tijd om binnen je eigen organisatie nog eens goed je ogen open te houden. Is jouw organisatie representatief en vindt het daar ook op grote schaal plaats? Dan wordt het tijd om maatregelen te nemen.

Natuurlijk kunnen we de USB-poorten dichtzetten, maar dat is wat kort door de bocht. Misschien moeten we ervoor zorgen dat iedere medewerker makkelijker (en goedkoper) aan een veilige USB-stick kan komen. Misschien moeten we er wat extra tijd aan besteden tijdens onze bewustwordingscampagnes, misschien moeten we wat vaker controles aan de poort houden.

Kortom: er is best iets aan te doen, maar uiteindelijk zit de grootste winst hem in de medewerkers bewust maken van de gevaren. De gevaren voor zichzelf (in het uiterste geval ontslag) en gevaren voor de organisatie (in het uiterste geval faillissement en dus ontslag voor iedereen…wil jij dat op je geweten hebben?).

Dief krijgt berouw

  door

Omdat we het deze week al meerdere keren hebben gehad over de politie, sluiten we daar de week dan ook maar mee af.

Een 31-jarige man heeft zich in de nacht van woensdag op donderdag bij de politie in Nijmegen gemeld om op te biechten dat hij een inbraak had gepleegd in een woning in die stad. Hij wilde opgepakt worden omdat hij bang was nog meer ‘verkeerde dingen’ te doen, aangezien het niet goed met hem ging. De man bekende dat hij bij de inbraak een spelcomputer had gestolen. Agenten namen dat niet zomaar voor waar aan, maar toen bij controle bleek dat er inderdaad in die woning was ingebroken kreeg de dief zijn zin: hij zit in de cel, aldus de politie donderdag (bron).

Het lijkt er bijna op of ik een offensief ben begonnen tegen de politie, maar dat is niet het geval (die moet je te vriend houden hoewel dat na deze week wel moeilijk zal worden voor mij). Met dit soort berichten vragen ze er ook wel een beetje om.

Eerst besluit een stichting dat de agenten zelf maar moeten gaan bepalen hoe hoog de boete wordt. Later komt er een onderzoek naar buiten dat meer politie zorgt voor meer veiligheid en nu zien we dat een crimineel die zichzelf aangeeft er moeite voor moet doen om serieus te worden genomen.

Wil je je daden opbiechten dan moet je dus niet raar staan te kijken dat je daar niet eens voor wordt opgepakt. Grijpen we nog even terug naar het bericht van gisteren dan vraag ik me af als we 100 van dit soort agenten extra inzetten wat dan de uitkomsten zijn. Of zijn ze bij de berekeningen al uitgegaan van juist dit soort agenten?

Waarschijnlijk hebben ze het te druk met de onderhandelingen over de hoogte van de boetes. Iemand die per ongeluk op zijn toeter drukt moeten we natuurlijk veel zwaarder bestraffen dan die dief die zichzelf aan komt geven.

Eigenlijk had ik de gezichten van die agenten wel willen zien toen de dief zichzelf aan kwam geven. Keken ze verbaasd of keken ze juist heel geïrriteerd omdat ze gestoord werden in hun dagelijkse werkzaamheden (wat die dan ook mogen zijn, want volgens mij zou de prioriteit toch moeten zijn om criminelen op te pakken).

Nee, ik weiger te geloven dat deze agenten, stichtingen en onderzoeken representatief zijn voor de politie. Maar als ze serieus willen werken aan hun imago, dan is er nog een berg werk te doen.

Man met 300.000 identiteiten gepakt

  door

Een Amerikaanse man is veroordeeld tot een gevangenisstraf van acht jaar wegens het bezit van 300.000 persoonlijke profielen. Op een externe harde schijf van de 40-jarige Robert Delgado vonden onderzoekers namen, adresgegevens, geboortedata en social security nummers. Ook werden er afbeeldingen aangetroffen die voor het vervalsen van creditcards en rijbewijzen waren te gebruiken (bron).

Dat is tenminste een gespleten persoonlijkheid. De vraag is natuurlijk wat je van plan bent met 300.000 identiteiten. Je kunt natuurlijk proberen om creditcards aan te vragen waarop je vervolgens schulden maakt voor degene van wie je de identiteit hebt gestolen. Maar is 300.000 dan niet een beetje veel? En je zult toch een behoorlijk dikke portemonnee moeten hebben om al die creditcards met je mee te zeulen.

Blijkbaar is 300.000 inderdaad te veel, want nu is de man toch opgepakt en zal voorlopig zijn cel met 300.000 anderen moeten delen. Zo zie je maar, uiteindelijk loop je tegen de lamp. Dat zie je wel vaker. Er wordt fraude gepleegd maar op een gegeven moment ga je te ver. Daar zit hem nu juist ook het probleem van fraude. Je kunt er niet meer mee stoppen omdat het dan op gaat vallen.

Binnen organisaties zie je dat ook nogal eens gebeuren. De mensen die fraude plegen zijn opvallend vaak aanwezig, ze nemen opvallend weinig vakantiedagen op en zijn bijna nooit ziek. Nu moeten we natuurlijk niet al onze beste medewerkers direct gaan verdenken van fraude, want er zijn er ook echt die gewoon betrokken zijn bij jouw organisatie…maar het geeft te raden.

Als je dan toch wilt frauderen dan is het de kunst om niet gepakt te worden. In die zin is het altijd een wedstrijd tussen de fraudeur en de anti-fraude afdeling. Op korte termijn wint een fraudeur nog wel eens, maar op de langere termijn is het toch meestal de anti-fraude afdeling die met nieuwe onderzoekstechnieken bestaande fraudes weet op te lossen…tenzij je dus geen anti-fraude afdeling hebt, dan is de kans groot dat je grote sommen geld misloopt.

Wie is binnen jouw organisatie degene met het hoogste aantal gewerkte uren? En is dat omdat hij zo betrokken is bij de organisatie of heeft hij een minder legale wijze gevonden om zijn salaris wat te verhogen?

Kwart werknemers zou bedrijfsgeheimen verkopen

  door

Het lijkt erop of we deze week nieuwsberichten aanhalen die ervoor zorgen dat de IT-managers het beveiligen van de gegevens alleen maar als nog stressvoller gaan ervaren. Dat is uiteraard niet de bedoeling, want er zijn echt mogelijkheden om de specifieke risico’s voor jouw organisatie goed in kaart te brengen. Ga dus uit van de risico’s en niet van de maatregelen. Een helikopterview wil daarbij nog wel eens helpen.

Een kwart (25 procent) van de werknemers is bereid bedrijfsgeheimen te verkopen…Dat blijkt uit onderzoek van Monster (in Nederland bekend als Monsterboard.nl) onder bijna 5000 respondenten wereldwijd…
Van de ondervraagden zegt 8 procent zelfs al eens bedrijfsgeheimen te hebben verkocht, terwijl 17 procent aangeeft in te gaan op een aanbod om bedrijfsgevoelige informatie te verkopen, wanneer de kans daartoe zich voordoet. (bron)

Helaas staat er niet bij waarom de medewerkers bereid zijn om de bedrijfsgeheimen te verkopen. Nu zijn het interessante gegevens waar een IT-manager inderdaad gestrest van zou kunnen raken. We zullen dus op zoek moeten naar de redenen achter de mogelijke verkoop van bedrijfsgeheimen.

Komt het misschien omdat we de medewerkers onvoldoende belonen? Komt het misschien omdat zij het zwaard van Damocles boven het hoofd zien hangen en vrezen voor de volgende reorganisatie? Komt het misschien omdat de bedrijfscultuur ook niet meer is wat hij ooit geweest is? Komt het omdat de medewerkers zich niet meer gewaardeerd voelen? Of zijn er andere redenen te vinden?

Feit is wel dat dergelijke incidenten al snel onder security incidenten worden geschaard. Maar hierbij moeten we iets verder doordenken. Veelal zien we dat de gevolgen inderdaad als security incident gezien kunnen worden. We geven de Security Manager opdracht hier iets aan te doen. Al snel komen er allerlei ingewikkelde technische maatregelen voorbij om de gegevens beter te beveiligen.

Een optie, dat zeker, maar kunnen we de Security Manager hier wel verantwoordelijk voor maken? Vaak zullen we zien dat de oorzaak van een incident zich helemaal niet bevindt in het security gebied. Neem het verkopen van bedrijfsgeheimen als voorbeeld. Dit is een organisatorisch probleem. We moeten ervoor zorgen dat de medewerker zich weer verbonden voelt met onze organisatie. We moeten voorkomen dat hij zijn ziel zomaar aan de “duivel” verkoopt.

De cultuur binnen het bedrijf zegt veel, ook als het gaat om de status van de informatiebeveiliging. De Security Manager heeft maar beperkte invloed op die cultuur, we kunnen hem of haar daar dan ook niet verantwoordelijk voor stellen.

Na een incident is het maar al te makkelijk om te wijzen naar de Security Manager, die heeft gefaald (althans, dat is het beeld). Het is de taak van de Security Manager om de verantwoordelijkheid voor beveiliging in de lijnorganisatie te beleggen. Na een incident moeten we niet de Security Manager op straat gooien, nee we moeten hem verzoeken het incident grondig te onderzoeken en tot de grondoorzaken te komen. Ook als we die oorzaken eigenlijk liever niet willen horen.

De kans is immers groot dat het niet zo zeer schort aan informatiebeveiliging maar aan verkeerde keuzes op managementniveau. De medewerkers zijn helaas inderdaad vaak de zwakste schakel, maar dat mag je hen niet kwalijk nemen. Het is onze taak om er, gezamenlijk met alle andere managers, voor te zorgen dat de cultuur goed is omdat we daarmee het risico op dergelijke incidenten verkleinen.

Een TV stelen terwijl je er naar zit te kijken

  door

Deze week hebben we weer wat serieuze berichten geblogd over integrale beveiliging en de wijze waarop organisaties nu eens echt beter beveiligd kunnen worden. Daarom sluiten we de week maar eens af met een kort opmerkelijk en wel heel brutaal bericht.

Dieven namen een televisie mee waar een echtpaar op dat moment naar zat te kijken…De bewoners van het huis zaten voor de buis toen met een harde klap een ruit werd ingegooid…Twee mannen grepen de televisie door het kapotte raam en gingen ermee vandoor op een scooter…De 59-jarige bewoner wilde achter de rovers aan, maar hij kon de voordeur niet open krijgen. De dieven bleken goed voorbereid: ze hadden de voordeur met een touw vastgemaakt aan een geparkeerde auto (bron).

70% personeel steelt van werkgever bij vertrek

  door

Volgens onderzoek zou 70% van het personeel stelen bij vertrek of ontslag…onzin natuurlijk. Nee niet omdat het niet waar is, maar omdat volgens mij het percentage vele malen hoger ligt. Maar goed, het exacte percentage doet er niet toe, wat er wel toe doet is dat men nog teveel naar de buitenwereld kijkt. Ben je eenmaal gescreend dan mag je verder overal bij en alles doen, zo lijkt het.

Een groot deel van de Britse werknemers is van plan om bij een mogelijk vertrek bij hun werkgever iets mee te nemen. Met name intellectueel eigendom (27%) en klantgegevens zijn populair (17%), zo blijkt uit onderzoek. Zeventig procent loopt met het idee om iets van de zaak mee te nemen mochten ze van baan wisselen of ontslagen worden. Ongeveer de helft van de werknemers zegt de bedrijfsgegevens al in bezit te hebben. Voornamelijk uit voorzorg mochten ze van baan veranderen (bron).

Aan de hand van dit soort gegevens zie je maar weer dat er nog een hoop werk te doen is op beveiligingsgebied. Niet alleen het beter beschermen van je eigendommen maar juist het bewust maken van de managers van dit soort risico’s. Geloof me, het wordt nog zwaar onderschat.

Het lastige is dat het hier wel gaat om diefstal maar dat de gegevens daarna niet weg zijn, nee ze zijn gekopieerd en daar komen veel organisaties niet of te laat achter. Was het maar zo dat de gegevens echt weg waren, dan wist je het en kon je alarm slaan.

Informatiebeveiliging ontwikkeld nog steeds maar in veel organisatie lopen we achter de feiten aan. We installeren een firewall, anti-virus en anti-spam en geloven het verder wel. We zijn nu toch veilig en de buitenwereld kan niet zomaar op ons netwerk. Op zich kan dat kloppen, maar de grootste dreiging komt niet van buiten, nee die komt van binnen.

We kunnen wel blijven denken dat ons personeel integer is en dat kan ook onder normale omstandigheden best zo zijn, maar hoe gaan ze zich gedragen als ze boventallig worden? Zijn ze dan nog steeds zo loyaal? Waarschijnlijk niet. Daar kunnen we allerlei onderzoek naar doen, maar volgens mij zit dat gewoon in het oerinstinct van de mens. Zij moeten overleven en daarbij maken ze graag gebruik van de gegevens waar ze bij kunnen.

Willen we als organisatie aansluiten bij de modernere informatiebeveiliging dan zullen we twee kanten op moeten. Namelijk die van het denken in zogenaamde “enterprise risks”, dus meer abstract vanuit de impact op onze omzet en kosten. En anderzijds moeten we meer gaan denken in het beveiligen van onze data. Dat kan bijvoorbeeld door encryptie en toegangsrechten maar dat weerhoudt geauthoriseerd personeel er niet van om bij de gegevens te kunnen.

Nee, inmiddels zijn er ook tools waarmee je de data kunt volgen in de tijd, waarmee je kunt zien wie welke informatie heeft ingezien, wie wat heeft gekopieerd en waarmee je op afstand informatie kunt vernietigen. In Nederland heb ik ze nog niet veel gezien, in Amerika zijn ze daar al verder mee. En nee, ik heb niet direct de naam van de tool op mijn netvlies maar als je daar behoefte aan hebt wil ik best nog eens Googlen voor je.

Rolstoelheld pakt winkeldief

  door

Larry Skopnik, die tien jaar geleden zijn rug brak bij een ongeluk, schoot een vrouwelijke winkelbediende ter hulp toen deze bedreigd werd door een winkeldief. Hij verrichtte de heldendaad in de Food Store in Vancouver. Toen Skopnik zag dat de cassière een verdacht briefje van 50 dollar weigerde en de vrouw daarop werd belaagd, trok hij de dief op de grond en hield hem in een houdgreep (bron).

Ik hoef er verder niets over te schrijven, gewoon kijken.

IT-manager begluurt honderden patientendossiers

  door

Een Britse IT-manager moet mogelijk de gevangenis in omdat hij honderden patiëntendossiers begluurde. De 22-jarige Dale Trever bekeek in 431 gevallen de dossiers, die allemaal van vrouwen waren. In 336 gevallen ging het om de gegevens van familie, vrienden en collega’s…De IT-manager ging zelfs in het weekend terug om in de dossiers te grasduinen. Trever heeft inmiddels schuld bekend, maar ontkent dat hij de medische dossiers heeft aangepast of geprint. De rechter doet volgende maand uitspraak (bron).

Ja daar kun je op wachten zullen we maar zeggen. Er zijn al vaker discussies gevoerd over de IT-managers en IT-beheerders die toegang hebben tot alle systemen en gegevens zonder dat iemand daar achter komt (tenzij je natuurlijk een goede controle inbouwt of functiescheiding doorvoert). Geloof me het is een risico dat door organisatie te weinig wordt gezien en als het al gezien wordt dan wordt het onderschat.

IT-ers kunnen binnen vele organisaties overal bij, bij klanten dossiers, bij geheime gegevens maar ook bij de financiële gegevens. Vele IT-ers weten dan ook exact wat de directeur verdient. Zeker in tijden van reorganisaties is dit een reëel risico. Zodra er onrust ontstaat zijn je gegevens niet veilig meer. Dat geldt overigens niet alleen voor de IT-ers, maar ook voor de andere medewerkers.

Er wordt wel degelijk onderscheid gemaakt in mappen op servers. Zo kan een medewerker van afdeling A vaak niet bij de gegevens van afdeling B. Maar binnen de mappenstructuur van zijn afdeling kan hij vaak wel alles of heel veel zien. Een kopietje van die gegevens is snel gemaakt en de capaciteit van een USB-stick is ook geen beperking meer.

Reorganisaties, die soms erg onmenselijk zijn, zijn een reëel beveiligingsrisico voor organisaties. Juist in die tijden moeten de beveiligingsmaatregelen verhoogd worden en moet de beveiligingsafdeling voldoende budget hebben. Het omgekeerde is vaak waar, beveiliging is één van de aspecten waarop het eerst bezuinigd wordt, het heeft geen direct omzet gerelateerde meerwaarde (althans dat is de perceptie).

De komende tijd gaan er nog heel wat reorganisaties plaatsvinden en het is te hopen dat de medewerkers dan meer gevoel hebben voor de organisatie dan de organisatie voor de medewerkers. Helaas worden de medewerkers nog te vaak als kostenpost gezien (een erg oude management gedachte).

Oh ja een bijkomend aspect: medewerkers die je organisatie verlaten zijn een ambassadeur voor jouw organisatie. Als je ze slecht behandeld dan kan dat funest zijn voor het imago van de organisatie.

Kortom: reorganisaties zijn een groot beveiligingsrisico voor organisaties, maar dat wordt nog niet vaak onderkend. Schroef de beveiligingsmaatregelen op en behandel je ex-medewerkers met respect.