Regering wil boete slechte beveiliging verhogen

De regering wil de boete voor slechte beveiliging bij bedrijven die persoonsgegevens laten lekken opschroeven. Waar bedrijven in een concept-wetsvoorstel 200.000 euro boete konden krijgen, wordt dat in het definitieve voorstel 450.000 euro. De boete kan opgelegd worden aan elk bedrijf waarvan persoonsgegevens zijn uitgelekt (bron).

Hoe vaak horen we binnen bedrijven niet dat we die beveiligingsmaatregelen nemen omdat het nu eenmaal van de Compliance afdeling moet? Ik hoor het al jaren om me heen en het lijkt er op dat niemand zich meer afvraagt waarom Compliance er eigenlijk op controleert.

Nu zijn er natuurlijk Compliance afdelingen die zelf ook geen flauw idee hebben en die zich vergeten af te vragen waarom ze eigenlijk controleren. Maar er zijn ook veel competente Compliance medewerkers te vinden.

Laten we er iets verder op inzoomen. Er zijn regels om risico’s af te dekken. Als we kunnen achterhalen welke risico’s dat zijn dan kunnen we daar goede “controls” op zetten. We moeten dus niet langer controleren om te controleren maar we moeten controleren om risico’s af te dekken. Als wij goed voor ogen hebben welke risico’s dat zijn dan kunnen we dat aan de medewerkers uitleggen en dan wordt het voor iedereen een stuk duidelijker waarom we sommige beveiligingsmaatregelen nemen.

En, toegegeven, er zijn binnen bedrijven veel, heel veel, beveiligingsmaatregelen die niet terug te leiden zijn tot een risico. Daarom pleit ik zelf altijd voor minder maatregelen in plaats van meer maatregelen en alles dicht spijkeren.

Het gaat hier te ver om alles volledig uit de doeken te doen (daar kun je hele boeken over schrijven als het moet en je mag me altijd vragen dan kom ik het bij een bak koffie aan je toelichten). Zaak is wel dat we verder kijken dan onze neus lang is en laten we dan bovenstaand artikel als voorbeeld nemen.

Je zou kunnen denken dat we maatregelen nemen om te voorkomen dat we een boete krijgen (voor veel bedrijven is dit ook zo, het gaat om kosten en omzet). Maar het gaat ook om imago. Je wilt dus maatregelen nemen om je imago te beschermen. Dat is allemaal leuk en aardig, maar uiteindelijk gaat het er natuurlijk om dat je de gegevens van je klanten beschermd. Dat is de reden dat we beveiliging moeten inregelen en dan is het opleggen van boetes slechts een pressiemiddel om het voor elkaar te krijgen.

We moeten als bedrijven niet langer “compliant” willen zijn, nee, we moeten er naar streven om “in control” te zijn. Hiermee beschermen we de gegevens van onze klanten en voorkomen we dat we hoge boetes krijgen. Er is nog een lange weg te gaan en die weg begint bij het bewust worden van de zaken die we moeten regelen en met name het antwoord op de vraag: waarom we dat moeten regelen.

Tapes met data 800.000 mensen verloren tijdens oefening

In de Verenigde Staten zijn tijdens een “disaster recovery” oefening verschillende back-up tapes met de gegevens van 800.000 burgers kwijtgeraakt. Na de oefening door IBM werden de tapes naar Iron Mountain gestuurd, maar kwamen daar niet aan. Op de tapes stonden namen, adresgegevens, social security nummers, rijbewijs- of identificatienummers, zorgverzekering en informatie van de werkgever (bron).

Een opmerkelijk bericht, als je het mij vraagt. Is de basis van een oefening niet dat het wel eens verkeerd zou kunnen gaan en dat je juist oefent om in geval van echte nood over de juiste “disaster recovery” maatregelen te beschikken? We analyseren de oefening en trekken de “lessons learned” zodat we goed voorbereid zijn.

Een basis principe daarbij is dat je een dergelijke oefening nooit uitvoert met daadwerkelijke gegevens. Nee, voor de oefening maak je gebruik van fictieve gegevens (of op zijn minst zorg je ervoor dat de gegevens versleuteld zijn…hoewel dat zeker niet de voorkeur heeft, fictief is in dit geval toch echt beter).

Maar goed, de tapes zijn opgestuurd en onderweg kwijt geraakt. We kunnen in ieder geval de les trekken dat we dergelijke gegevens of tapes niet zomaar versturen. Ik stel me zo voor dat ze gewoon in een doosje zijn gestopt met een adressticker erop. Ja ja. Mooie “disaster recovery” strategie is dat. In geval van nood wil je toch zeker weten dat de gegevens op een andere plek nog voorhanden zijn. Verzending via een reguliere poststroom lijkt me dan niet de veiligste oplossing.

Al snel zullen we denken dat we natuurlijk ook gewoon lege tapes zouden kunnen versturen om helemaal geen risico te lopen. Maar dat werkt niet. Nee, we willen juist testen of we nog bij de gegevens kunnen na een incident. We willen dus wel degelijk dezelfde hoeveelheid gegevens hebben, maar dan wel gerandomiseerd (zie ook de opmerking daarover op Security.nl).

Een positief aspect is dat men in ieder geval oefent. Er zijn nog genoeg organisaties die de op papier geweldige “disaster recovery” strategie nooit in de praktijk testen en dan na een incident de deksel lelijk op de neus krijgen. Daarbij kunnen we dan weer onderscheid maken in organisaties die helemaal niet stil staan bij dat testen (ze weten het gewoon niet) of die organisaties die weten dat ze moeten testen maar daarvoor niet goed zijn ingericht.

Er wordt nog wel eens te makkelijk gedacht over de “disaster recovery”. Het proces staat op papier, de plannen staan in de kast en klaar zijn we. Helaas wijkt de test omgeving totaal af van de productie omgeving en echt testen kunnen we dus niet. Jammer, want er wordt veel geld aan uit gegeven zonder dat we enige zekerheid hebben.

Het is nu maar te hopen dat de gegevens van de 800.000 mensen ook echt verloren is geraakt en niet in verkeerde handen is gekomen. Op de tapes stonden immers namen, adresgegevens, social security nummers, rijbewijs- of identificatienummers, zorgverzekering en informatie van de werkgever. Gegevens waarmee identiteitsdiefstal een peulenschil wordt.

Google gaat privegegevens combineren

Google gaat het eigen privacybeleid aanpassen, zodat het gegevens van ingelogde gebruikers kan combineren. Het zal voor gebruikers niet mogelijk worden om zich voor de optie uit te schrijven…”De grootste verandering is voor gebruikers met een Google-account. Ons nieuw privacybeleid maakt duidelijk dat als je bent ingelogd, we informatie die je voor de ene dienst gebruikt, met informatie van andere diensten mogen combineren”, zegt privacydirecteur Alma Whitten. “Het komt erop neer dat we je als één gebruiker bij al onze producten beschouwen.”(bron)

We hebben het al zo vaak aangehaald. Op zich is het niet zo’n ramp als er allerlei gegevens van je worden verzameld (ja, het klinkt gek, maar ik zal het je zo uitleggen). Het wordt pas eng als de gegevens gecombineerd gaan worden. En daar gaat Google nu van alles aan doen. Eigenlijk weten we helemaal niet wat Google allemaal van ons weet, maar vanaf 1 maart zouden we wel eens voor verrassingen kunnen komen te staan.

Ok, eerst maar even terug op die afzonderlijke gegevens. Is het erg als je weet dat een wachtwoord “Welkom01” is? Op zich niet, want als je niet weer voor welk systeem en welke inlognaam erbij hoort, kom je niet zover. Is het erg dat ze weten dat je op de 15de van een maand geboren bent? Nou, niet echt als de maand onbekend is. Is het erg als men de vervaldatum van je creditcard weet? Nee, niet als ze het nummer en de veiligheidscode niet kennen. Daarom zijn afzonderlijke gegevens dus niet zo interessant, nee het wordt pas wat als we die gegevens om kunnen zetten in informatie.

Natuurlijk zijn we al jaren gewaarschuwd door allerlei instanties en mensen over Google. Maar ja, je kunt er bijna niet meer omheen. Wie gebruikt Google niet om te zoeken? Wie heeft er geen Gmail-account en wie heeft er geen foto’s op Picasa? En dit is pas het topje van hun ijsberg.

Een gewaarschuwd mens telt voor twee, maar zijn we niet al te laat? Hebben we niet al teveel gegevens afgestaan aan Google? En hoe integer zijn ze dan straks met die gegevens? Het antwoord daarop weten we nu nog niet, maar we worden met zijn allen wel stevig in een houdgreep genomen. Grote kans dat we niet meer uit die houdgreep komen omdat we inmiddels al zo aan de diensten gewend zijn geraakt.

Knap van Google, dat moet je ze nageven. Eerst geef je alles gratis weg (de gratis economie is nu eenmaal booming). Maar ja daarna moet er wel op een andere manier geld worden verdient en dat gaat dus gebeuren door combinatie van gegevens waardoor we meer en meer over het individu te weten komen en we meer en meer persoonlijke advertenties jouw kant op kunnen sturen. Wat ze er nog meer mee zullen doen blijft gissen.

Benieuwd of de massa de wijziging in het beleid van Google oppikt of dat we gewoon op “ok” klikken en weer vrolijk doorgaan. Ik vrees voor het laatste, maar hoop dat het tegendeel bewezen zal worden.

Nederlander ruilt privacy niet voor ‘koopje’

AMSTERDAM – Nederlanders zijn niet bereid privégegevens en informatie over hun surfgedrag achter te laten bij adverteerders als ze in ruil daarvoor gratis content krijgen of goedkoper uit zijn. Dit blijkt uit donderdag gepubliceerd wereldwijd onderzoek van adviesbureau KPMG onder bijna 10.000 consumenten (bron).

Als je dit zo leest dan zou je kunnen denken dat het nog niet zo slecht gesteld is met die gekke Nederlanders. Toch is dit bericht tegenstrijdig aan vele eerdere berichten waarin duidelijk werd dat mensen hun wachtwoord of pincode al weggegeven voor een reep chocola. En nee, ik heb de links naar deze andere artikelen even niet paraat, dus wil je je echt een goed beeld vormen dan zul je die er zelf even bij moeten zoeken.

Misschien zit het hem hier ook met name in de vraagstelling en de exacte weergave van de antwoorden. Het verschil dus tussen kennis, houding en gedrag. Nee, ik wil mijn gegevens niet weggeven voor korting maar doe het in de praktijk toch omdat ik toch wel erg graag die korting wil hebben. Het sociaal wenselijke antwoord komt dan dus niet overeen met het vertoonde gedrag.

Laten we het bericht nog wat verder uitpluizen:
Uit het onderzoek blijkt dat bijna twee derde van de Nederlanders zijn gegevens niet inruilt voor een goedkopere deal. Buiten Nederland is een meerderheid van de consumenten hiertoe wel bereid.
Wat is er gebeurt met “ons bin zuunig” en “kijken, kijken en niet kopen”. Volgens mij willen wij juist voor een dubbeltje op de eerste rang zitten. Ook hier kunnen we best aangeven dat we onze gegevens liever niet weggeven maar dat in de praktijk toch doen (zonder er bij na te denken zelfs).

Denk alleen maar aan de Airmiles. Miljoenen mensen die over zo’n pas beschikken. Al jaren trouwens. Daar hebben ze inderdaad ooit wat gegevens voor af moeten staan, maar welke dat exact waren zijn we allang vergeten. Nu krijgen we korting (van een paar cent) en met een beetje mazzel sparen we een nieuwe set keukenhanddoeken bij elkaar. Ja daar moeten we dan wel € 9,95 voor bijbetalen maar dat is natuurlijk logisch (oh ja, die keukenhanddoeken kosten in een andere winkel maar € 4,95 maar we hebben mooi wel 5 euro korting op de adviesprijs van € 14,95).

Ruim de helft van de Nederlanders wil ook geen advertenties op zijn mobiele apparaat ontvangen als hij in ruil daarvoor goedkopere producten of gratis content kan krijgen. Slechts 14 procent betaalt voor content op het internet.
Bovenstaande zin is op zich natuurlijk al tegenstrijdig. Nee, natuurlijk willen we geen advertenties maar 86% betaalt niet voor content op internet. Iets is maar zelden gratis, er moet op de een of andere manier toch ergens een verdienmodel achter zitten. Op internet zie je dat er veelal verdient wordt aan die reclames. De keuze is dus betalen of gratis maar dan met advertenties. De weegschaal slaat voorlopig nog door naar gratis…dan ontkomen we dus niet aan advertenties.

Bijna 90 procent geeft aan bepaalde websites niet langer te zullen bezoeken zodra die overgaan tot betaalde toegang. In dat geval zullen zij op zoek gaan naar alternatieve sites die gratis zijn.
Ook hier weer een logisch antwoord. Stel je hebt de keuze: ergens voor betalen of iets gratis krijgen…wat heeft jouw voorkeur? Natuurlijk krijgen we iets liever gratis, alleen mogen we dan natuurlijk niet dezelfde functionaliteiten verwachten als dat we er voor betalen. Alternatieve sites zullen er misschien best zijn, maar ook die moeten op de een of andere manier hun geld verdienen…dat zal dan waarschijnlijk zijn met advertentieverkopen.

Voor niets gaat de zon op. Dat is altijd al zo geweest en zal waarschijnlijk ook altijd zo blijven. We mogen het dan de gratis economie noemen maar dat betekent niets meer dan dat het voor de ontvanger gratis is en dat het verdienmodel erachter anders is dan in het verleden.

Nee, mijn beeld is in ieder geval niet gewijzigd en ik ben er van overtuigd dat mensen misschien zeggen dat ze hun gegevens niet weg willen geven maar dat in de praktijk toch gewoon doen. Zelfs als dat uiteindelijk niet echt iets oplevert…nee, het moet inspelen op het gevoel van de mens en dan worden alle gegevens gewoon weggeven.

Manager vindt scheiden minder stressvol dan IT-security

Een opmerkelijk bericht dat ik vorige week onder ogen kreeg.

72% van de IT-managers vindt een klein auto-ongeluk, persoonlijke schuld of een scheiding minder stressvol dan het verantwoordelijk zijn voor en beschermen van bedrijfsgegevens. Voor 14% is het zelfs minder stressvol om ontslagen te worden dan als IT-manager actief te blijven. Dat beweert beveiligingsbedrijf Websense in een nieuw onderzoek.

Bijna negentig procent van de duizend ondervraagde managers zegt dat hun baan risico loopt als er een beveiligingsincident plaatsvindt, waaronder als er vertrouwelijke gegevens van de CEO of andere bestuurders wordt gestolen. Verder stelt dertig procent dat hun onderneming 100% beveiligd is, terwijl vijftig procent stelt dat ze over voldoende bescherming beschikken, maar dat sommige dreigingen er altijd doorheen zullen glippen. (bron)

Blijkbaar speelt er zich nogal wat af in de hoofden van IT-managers. Op zich ook niet zo vreemd natuurlijk. Met de huidige economische situatie wordt er flink bezuinigd. Ook op het gebied van informatiebeveiliging. Het is eerder pappen en nat houden dan op basis van de onderkende risico’s aan de slag gaan.

Wat misschien nog wel erger is, is dat 30% denkt dat ze 100% beveiligd zijn. Klinkt toch als onze kop in het zand steken. Geen enkele organisatie is 100% beveiligd. Dat komt omdat we nu eenmaal risico’s lopen. Zeer verschillende risico’s.

Denk alleen maar aan risico’s van natuurlijke aard (storm, hagel, overstroming). De natuur kunnen we nog steeds niet beïnvloeden. Dus lopen we risico’s. Daarnaast hebben we nog de risico’s van meer persoonlijke aard. Daarbij kunnen we dan weer onderscheid maken tussen eigen medewerkers en buitenstaanders, maar ook bewuste en onbewuste fouten. Kleine kans dat we die allemaal onder controle hebben.

Als het inderdaad allemaal zo stressvol is, dan is het een goed idee om toch eens een goede nulmeting uit te voeren. Zo kom je er vanzelf achter waar nog eventueel de blinde vlekken zitten. Het is niet zozeer de vraag of die blinde vlekken er zijn, maar meer waar zich die bevinden. Daarbij kijken we dan weer naar de beveiliging van geautomatiseerde, niet geautomatiseerde data maar natuurlijk ook naar de personele en materiële beveiliging.

Ik moet de organisatie nog tegenkomen die het over de hele linie goed voor elkaar heeft. Dat is natuurlijk niet erg, als we maar niet onze kop in het zand steken en denken dat wij geen risico’s lopen. Vergeet niet: het grootste risico’s is het risico dat we niet onderkend hebben…

De kwaliteit van opgeslagen informatie

De bewaartermijnen hebben we aan een onderzoek onderworpen. We weten welke termijnen wettelijk gelden en hebben voor de rest van de informatie bepaald hoelang we ze willen bewaren. Leuk allemaal, maar niet het doel op zich. We bewaren deze informatie omdat we er in de toekomst iets mee willen of mee moeten. Dan is het dus zaak om er voor te zorgen dat deze informatie in goede staat blijft en beschikbaar is op het moment dat het nodig is.

De vraag:
Wordt tijdens de opslag van de informatie (documenten, tapes, etc.) de kwaliteit van de informatie bewaakt (beschikbaarheid, gesteldheid, fysieke toestand, etc.)?

Het gaat er niet om om de informatie te bewaren en er nooit meer naar om te kijken. Het gaat er om dat we deze informatie kunnen gebruiken als dat nodig is. Bijvoorbeeld omdat we een storing hebben gehad en een back-up terug willen zetten of omdat de belastingdienst bewijsvoering vraagt. Is het dan niet handig om er zeker van te zijn dat we de opgeslagen informatie nog kunnen gebruiken?

We moeten dus eisen stellen aan de opslag. Willen we het liever op tapes hebben of stappen we over naar meer virtuele omgevingen? Waar slaan we de tapes dan op en waar staan die virtuele servers eigenlijk (ja ik weet het, ze zijn virtueel, eigenlijk is de vraag: waar staat die informatie dan)? Eerst een keuze dus hoe we deze informatie op gaan slaan. Stellen we de kwaliteitseisen goed dan moeten we ook nog testen of de opgeslagen gegevens daar nog aan voldoen.

Kunnen we de gegevens inderdaad nog gebruiken binnen de afgesproken bewaartermijnen of zijn de tapes inmiddels zo verkleefd dat we ze beter direct weg kunnen gooien? En als het ons lukt om de gegevens terug te halen, hoe betrouwbaar zijn die gegevens dan nog? Wie verteld ons dat deze gegevens niet gewijzigd zijn?

De gegevens mogen we dan bewaard hebben, maar beschikken we ook nog over de systemen om deze gegevens te lezen? Stel dat je een mooie back-up van je oude financiële gegevens hebt. We werkten toen nog in het oude boekhoudsysteem, weet je nog? Inmiddels zit alles in ons nieuwe systeem en dat werkt een stuk makkelijker, toch? Maar hebben we nog systemen beschikbaar met het oude systeem om de gegevens terug te halen of kan ons nieuwe systeem deze gegevens importeren?

Het doel was niet het opslaan van de gegevens maar het beschikbaar hebben van die gegevens als we ze nodig hebben. Te vaak zien we nog dat de gegevens wel in een back-up zijn opgeslagen, maar dat de software in geen velden of wegen meer te bekennen is. Leuk hoor, al die tapes, servers, floppy’s en USB-sticks, maar als de programmatuur ontbreekt kunnen we daar niet zo veel mee.

Dan nog een klein puntje van aandacht, dat gelukkig een minder groot probleem wordt omdat we meer en meer gaan virtualiseren: waar slaan we de back-ups eigenlijk op? Zeker als het om fysieke gegevens gaat, zoals tapes of papieren documenten die belangrijk voor ons zijn, moeten we ons die vraag stellen. Bewaren we alles in hetzelfde gebouw en wat doen we dan als het gebouw in een brand verloren gaat? Of slaan we ze op een andere locatie op en binnen hoeveel tijd kunnen we dan beschikken over die gegevens? Geen onoverkomelijke vragen, maar wel vragen die we moeten stellen en antwoorden waar we over na moeten denken. Zet de verschillende opties op een rij en bepaal de voor- en nadelen van de verschillende opties. Zo komen we vanzelf bij de voor ons best passende wijze van opslag, tegen de kwaliteit die we nodig hebben.

Aanvullende maatregelen voor draagbare en verwijderbare media

Nu we gezien hebben dat de draagbare en verwijderbare media niet meer zijn weg te denken moeten we doorpakken naar de risico’s die dat met zich meebrengt. Hebben we die risico’s in kaart dan kunnen op basis daarvan besluiten er iets aan te doen of de risico’s gewoon te accepteren.

De volgende vraag is dan ook niet echt een verrassing:
Zijn er aanvullende maatregelen genomen om de informatie op draagbare en verwijderbare media te beschermen (encryptie, wisprocedures, kluis, etc.)?

Het is een gegeven dat er draagbare media zijn en dat er media door medewerkers in gebruik zijn die niet onder onze controle staan. Dat gegeven kunnen we accepteren maar dan lopen we enorme risico’s met onze informatie. We moeten deze risico’s inzichtelijk maken en aan het management voorleggen. Zij kunnen er vervolgens een oordeel over vellen.

Het gaat hier te ver om structureel alle bijbehorende risico’s in kaart te brengen. We pakken er een aantal uit en laten de rest over aan jouw eigen inbeeldingsvermogen. De vraag omvat al wat maatregelen waar uiteraard risico’s bijhoren: encryptie, wisprocedures en kluizen.

Het zal je niet verrassen dat encryptie met name bedoeld is om de exclusiviteit van de informatie te waarborgen. We willen niet dat iedereen zomaar bij de informatie kan als een medium verloren wordt. Te vaak hebben we al in het nieuws gehoord dat een USB-stick gevonden en bij een krant ingeleverd is.

De wisprocedures gaan ook in op exclusiviteit, maar ook bijvoorbeeld op de integriteit van de informatie. Waar is de meest actuele informatie beschikbaar? Nemen we beslissingen op basis van de juiste informatie of is de informatie inmiddels al lang achterhaald? Niet alle informatie hoeft voor eeuwig bewaard te worden, sommige informatie is na verloop van tijd echt niet meer nodig. Weggooien dus…of, begrijp me niet verkeerd: wissen dus en dan het liefst op een veilige manier.

De draagbare media verlaten ons gebouw. Maar waar worden deze opgeslagen? Liggen ze in de auto van een medewerker, zit het in een jaszak of ligt het thuis op de keukentafel? Als het om vertrouwelijke informatie gaat is het goed om na te gaan waar die mogelijk wordt opgeslagen. Een kluis kan een maatregel zijn om diefstal te bemoeilijken…maar er zijn natuurlijk ook andere maatregelen te bedenken.

Andere risico’s waar je aan kunt denken zijn de opslag en toegankelijkheid van de gegevens. Slaan medewerkers hun documenten op op de C-schijf van hun laptop of is deze informatie centraal beschikbaar? We willen wel dat we over de informatie kunnen beschikken als dat nodig is. Met het nieuwe werken zien we dat meer informatie lokaal wordt opgeslagen, hoe gaan we om met de back-up van die gegevens? Kunnen andere medewerkers ook bij die gegevens als onze medewerker lekker van zijn of haar vakantie geniet? Zomaar wat vragen om eens over na te denken. Ja maar wij werken met Sharepoint of op een andere manier “in the cloud”…prima, maar is alle relevante informatie daar ook opgeslagen dan?

Het probleem (of voor diegene die dat liever hebben: de uitdaging) is niet zozeer de draagbare media maar het feit dat de gegevens en informatie daarmee dus ook draagbaar worden. Ze zijn niet meer binnen de muren van ons gebouw aanwezig maar kunnen zich overal op de wereld bevinden. Een risico? Ja zeker. Moeten we daar tegen zijn? Nee, absoluut niet, dan worden we een 1.0 beveiliger en dat is wat we nu juist willen voorkomen, toch?

Kritische bedrijfsprocessen en gegevens

Gisteren hebben we al gezien dat we onze risicostrategie aan moeten passen aan hoe kritisch het bedrijfsproces is of de gegevens zijn. Leuk gezegd, maar wat zijn dan die kritische processen en gegevens? Ho, ho, niet zo snel, dat is nu juist de vraag waar we vandaag naar kijken.

De achtste vraag die we moeten stellen is:
Zijn de kritische bedrijfsprocessen en gegevens inzichtelijk en zijn er continuïteitsplannen en uitwijkmogelijkheden voor deze processen?

En het antwoord? Ja, nee of weten we het eigenlijk niet?

We moeten dus gaan kijken en onderzoeken van welke bedrijfsprocessen de organisatie echt afhankelijk is. We kunnen daarvoor het bedrijfsprocessen model van de organisatie gebruiken (voor zover die er is) maar we moeten ook zeker niet vergeten dat er veel processen zijn die niet duidelijk gedefinieerd zijn maar waar we wel heel erg van afhankelijk zijn.

Ik wil hier niet belanden in een discussie over wat nu exact de definitie is van een proces maar neem nu email eens als voorbeeld. In de feitelijke vorm niet echt een proces, maar wel een middel waar we erg van afhankelijk zijn geworden. Daarmee kunnen we direct de conclusie trekken dat we wel zicht moeten hebben op de kritische processen, maar dat we een proces op zich niet echt goed kunnen beveiligen.

Nee, we moeten de risico’s voor zo’n proces bepalen, maar we moeten uiteindelijk maatregelen nemen om de geautomatiseerde en de niet geautomatiseerde data, de assets en de mensen te beveiligen. Een proces wordt immers ondersteund door die middelen. Zonder die middelen geen proces, toch?

Op basis van wat we als kritisch zien voor het voortbestaan van de organisatie kunnen we prioriteiten stellen. Maar dat niet alleen, nee we kunnen ook kijken naar die processen (en ondersteunende middelen) waar we continuïteitsplannen en uitwijkmogelijkheden voor nodig hebben. Begrijp me niet verkeerd want een uitwijkmogelijkheid is daarbij, in mijn ogen, meer dan een uitwijklocatie met ICT voorzieningen. Uitwijk moet er voor zorgen dat het gehele proces doorgaat, niet alleen de systemen.

Bij het bepalen van hoe kritisch we een proces ervaren kunnen we bijvoorbeeld kijken naar de tijd waarna we dat proces echt gaan missen of voelen (in onze portemonnaie). Hoeveel omzet lopen we mis als een proces uit de lucht gaat? Hoeveel imagoschade levert ons dat op? En hoeveel kosten zullen we moeten maken om weer zo snel mogelijk in de lucht te zijn?

Als onze hele uitwijkoperatie € 100.000,- kost na een incident en we lopen in die periode “slechts” € 10.000,- mis, dan moeten we ons toch nog eens achter de oren krabben en kijken of we niet een bedrijfseconomisch betere oplossing kunnen bedenken.

We hebben nu weer het een en ander in perspectief geplaatst en gezien dat de maatregel niet meer mag kosten dan het probleem (tenzij we risicomijdend zijn natuurlijk, maar goed dat is weer een ander verhaal). Nog twee vragen en we hebben we belangrijkste aspecten inzichtelijk, nog even volhouden dus want morgen gaan we naar vraag 9.

Nogmaals, voor diegene onder jullie die echt niet 10 dagen willen wachten, je kunt de quickscan zelf ook al doorlopen door hier te klikken of door me snel uit te nodigen voor die bak koffie.

Vertrouwelijke faxen justitie verkeerd terechtgekomen

Een 75-jarige inwoner van Weert heeft naar eigen zeggen de afgelopen jaren bij herhaling faxen met vertrouwelijke informatie van justitie gekregen, die niet voor hem bestemd zijn. Daarin staan volgens de man privacygevoelige gegevens (bron).

We kunnen natuurlijk allerlei technische, ingewikkelde en dure beveiligingsoplossingen bedenken en implementeren, maar de mens is en blijft toch vaak de zwakste schakel. Even een nummertje verkeerd invoeren en de fax komt bij de verkeerde terecht.

Gelukkig een incident dat we niet vaak tegenkomen (denken we) en wat in de toekomst langzaam zal uitsterven. Wie stuurt er nog een fax (wees eerlijk, wanneer stuurde jij er voor het laatst één?) en wie heeft er nog een fax? Justitie heeft in dit geval natuurlijk pure pech, de kans dat je een fax verkeerd zendt, wordt steeds kleiner, er moet aan de andere kant maar net zo’n antiek apparaat hangen.

De vraag is natuurlijk met welke antieke instellingen Justitie nog zaken doet die niet over de email kunnen. Ben benieuwd, maar dat zal wel nooit duidelijk worden. Volgende keer toch maar gewoon email verzenden en dan wel eerst even checken of je de juiste adressen hebt ingevoerd.

Want als we terug gaan naar de basis dan is dit een risico dat steeds groter wordt. Meer en meer wordt er gecommuniceerd via de email, meer en meer berichten worden heen en weer gestuurd. De kans dat je een typefoutje maakt in een emailadres is groot en voor je het weet ligt heel je ziel en zaligheid op straat. Volgens mij mogen vertrouwelijke berichten binnen Justitie alleen gemaild worden als ze versleuteld zijn, dan wordt het risico al een stuk kleiner, maar blijkbaar geldt dit voor faxen (nog) niet.

Ziekenhuis verliest laptops met patientgegevens

Een Amerikaans ziekenhuis is twee onversleutelde laptops met de gegevens van ruim tweeduizend patiënten verloren, zo heeft het bekendgemaakt. Op de gestolen machines stonden namen, datum van opname, medisch dossiernummer, patiëntnummer, social security nummer, ras, verzekeringsmaatschappij, adres, telefoonnummer, geslacht, geboortedatum, allergieën en eerste diagnose van de patiënt…De laptops waren wel met een wachtwoord beveiligd, maar om gegevens in de toekomst adequaat te beschermen gaat het Jewish Hospital alle computers voortaan versleutelen (bron).

Het is alweer enige tijd geleden dat we het hier hadden over ziekenhuizen die gegevens verliezen. Er gebeurt ook zoveel op beveiligingsgebied dat we keuzes moeten maken in de onderwerpen die aandacht krijgen.

Inmiddels zou je toch denken dat ziekenhuizen hun lesje geleerd hebben en de minimale beveiligingsmaatregelen wel geïmplementeerd zijn. Zeker in Amerika waar de regelgeving toch wat strikter is dan hier. Maar niet dus, vraag jij je ook wel eens af hoeveel ziekenhuizen kwetsbaar zijn en wat er in Nederland eigenlijk allemaal op dit gebied gebeurt? In Amerika zijn instanties verplicht dit soort incidenten te melden en openbaar te maken, in Nederland geldt dat nog steeds niet. We weten dus helemaal niet welke incidenten zich hier voor doen.

Het College Bescherming Persoonsgegevens gaf een aantal maanden geleden aan minder aan preventief advies en meer aan controle te gaan doen. Als ik eerlijk ben heb ik daarna niet zoveel meer van ze gehoord. Dat hoeft niet te betekenen dat ze niet gecontroleerd hebben en/of niets gevonden hebben, maar kan ook betekenen dat we als burgers daar niet van op de hoogte worden gebracht.

Identiteitsdiefstallen wordt een steeds groter probleem maar het krijgt nog niet de aandacht die het verdient. Bij verlies van persoonlijke gegevens schreeuwen we om het hardst dat onze privacy geschonden is, maar de link naar identiteitsdiefstal wordt nog niet door iedereen gelegd. Ik heb er eigenlijk minder moeite mee als mijn gegevens verloren raken en niemand daar iets mee kan (dan blijven het gewoon gegevens en wordt het nooit informatie), ik heb er veel meer moeite mee als iemand wat met die gegevens kan doen. Verzekeraars bijvoorbeeld die mijn premie er op aanpassen of criminelen die mijn gegevens gebruiken om leningen mee af te sluiten.

Privacy. Er is al veel over gezegd en geschreven en er zal de komende jaren nog veel meer over gezegd en geschreven worden. Met het digitaliseren van de wereld wordt het alleen nog maar een grotere uitdaging om de privacy zo goed mogelijk te beschermen. Misschien moeten we over een aantal jaar echt wel concluderen dat privacy niet meer bestaat. Eng? Ja, maar wat kun je er als individu aan doen?