Thuiswinkel.org royeerde vorig jaar 36 leden

De organisatie achter het keurmerk voor webwinkels Thuiswinkel.org heeft in het afgelopen jaar 36 leden geroyeerd omdat zij de veiligheid niet op orde hadden, of bijvoorbeeld niet voldeed aan de wet- en regelgeving. Dat zei directeur Wijnand Jongen maandag desgevraagd…Wanneer websites niet aan de regels voldoen, worden ze in eerste instantie geschorst als lid van het keurmerk. “Als daarna geen verbetering optreedt, volgt royement.”(bron)

Met alle hacks van de afgelopen weken is het goed om te weten dat organisaties als Thuiswinkel.org beveiliging in ieder geval serieus lijken te nemen. Hoewel natuurlijk niet duidelijk is hoe dan aangetoond moet worden dat de website veilig is, proberen ze de eigenaren in ieder geval iets wijs te maken.

Geen veilige website, geen lid meer van Thuiswinkel.org. Jammer maar helaas, dit biedt slechts een beperkte garantie. Want wees eerlijk, check jij altijd of de site waarop je aan het shoppen bent echt is aangesloten bij Thuiswinkel.org? Ja, oké, misschien valt je oog toevallig op het logo maar check je ook op de site van Thuiswinkel.org of de site echt is aangesloten? Er zijn natuurlijk nog genoeg sites die ten onrechte het logo voeren (en ja, gelukkig probeert Thuiswinkel.org daar een stokje voor te steken) en daarnaast zijn er nog andere “waarmerken” die de consument wel vertrouwen moeten geven maar in wezen niet zoveel voorstellen.

We zouden natuurlijk het voorbeeld van Baby-dump.nl aan kunnen halen. Die zijn/waren wel degelijk aangesloten maar toch lekte er behoorlijk wat informatie. Onduidelijk is wat mij betreft dan ook hoe en wanneer de beveiliging getoetst wordt. Dempen we de put als het kalf verdronken is of proberen we ook te voorkomen dat het kalf in die put kan vallen?

Ik kon het niet nalaten en heb op Thuiswinkel.org even de term “beveiliging” ingetoetst. Daarmee werden 407 resultaten gevonden. Kleine kans dat de eigenaar van een website die allemaal heeft gelezen. Natuurlijk zou ik uitgebreid onderzoek kunnen doen naar de eisen die gesteld worden op het gebied van beveiliging, maar dat laat ik graag aan de website eigenaren zelf over. Feit is wel dat ook Thuiswinkel.org bestaat bij de gratie van haar leden. Stellen we de eisen te streng dan hebben we maar weinig leden, laten we de eisen teveel los dan waarmerken we onveilige sites. De waarheid zal dus ergens in het midden liggen.

Voor vandaag sluiten we maar weer eens af met een vraag ter overweging: hoe weet je nu echt zeker dat je website veilig is? Wie het weet mag het zeggen.

De beste wensen en een veilig 2012

Allereerst natuurlijk allemaal de beste wensen voor dit nieuwe jaar. Als je de Staatsloterij of Postcode loterij niet hebt gewonnen en als jouw bedrijf tijdens de feestdagen niet is afgebrand, is het vandaag weer tijd om aan de slag te gaan. Maar niet voordat je natuurlijk eerst al je collega’s de hand hebt geschut en een goed 2012 hebt gewenst.

Uiteraard zijn we benieuwd wat dit nieuwe jaar ons zal brengen. Wat gaat de economie doen, blijft de Euro nu wel of niet bestaan en krabbelen we weer eens uit de recessie? Welke beveiligingsincidenten zullen we dit jaar allemaal in het nieuws zien, welke daarvan treffen jouw organisatie en wat gaan bedrijven eraan doen om deze incidenten te voorkomen?

Zo aan het begin van dit nieuwe jaar is het allemaal nog koffiedik kijken. Feit is wel dat we 2011 af hebben kunnen sluiten met allerlei beveiligingsincidenten die we in 2012 toch liever willen voorkomen. Daarvoor kunnen we nu (of morgen) al beginnen met de eerste stap: risicoanalyse.

Mijn persoonlijke (beveiligings)wens voor 2012 sluit daar mooi bij aan. Laten we van 2012 het jaar maken waarin we stoppen met investeren in beveiligingsmaatregelen zonder dat er daarvoor een goede risicoanalyse is gemaakt. Zo zorgen we er niet alleen voor dat er meer risico’s daadwerkelijk worden afgedekt, maar zo zorgen we er ook voor dat de kosten en baten met elkaar in evenwicht blijven. We kunnen ze verantwoorden aan het management, gaan efficiënt met de beveiligingsbudgetten om en houden aan het eind van dit jaar misschien nog een deel van dat budget over.

Het lukraak geld uitgeven aan allerlei losstaande beveiligingsmaatregelen, die meer schijnveiligheid dan beveiliging opleverde, is zo 2011…nu breekt een periode aan waarbij we de beveiligingmaatregelen baseren op de operationele risico’s en uiteindelijk op de “enterprise risks” en die blijven voor 2012 ongewijzigd: omzet, kosten en imago, al het andere is daar een afgeleide van.

Als het ons lukt om deze gedachte vast te houden, dan kijken we op 31 december 2012 vast terug op een veilig 2012.

Driekwart werknemers gebruikt illegale USB-sticks

Bijna driekwart van de Britse werknemers gebruikt “illegale” USB-sticks op de werkvloer en ook encryptie wordt nauwelijks toegepast. De illegale USB-sticks zijn sticks die niet door de werkgever zijn geautoriseerd. Ze kunnen van thuis of conferenties zijn meegenomen. Verder bleek dat bij 72% van de Britse bedrijven werknemers USB-sticks met vertrouwelijke gegevens waren verloren (bron).

Het betreft natuurlijk geen “illegale” USB-sticks in de zin van het woord, maar het betreft USB-sticks die door de werkgever niet zijn uitgegeven en dus niet onder controle staan. Dat het er veel waren, is bijna algemeen bekend, maar dat het er zoveel zijn geeft toch te denken.

Met het “bring your own” principe zullen de cijfers alleen nog maar toenemen. Bijkomend issue hier is dat:“Als je een laptop verliest kun je niet meer werken, als je een USB-stick verliest komt niemand dit te weten”. Dat is met diefstal van informatie in heel veel gevallen het feit.

Eigenlijk kun je in veel gevallen trouwens niet eens spreken over diefstal maar komt het eerder neer op het illegaal kopiëren van de data. De data hoeft daarna immers niet weg te zijn maar kan nog steeds op de server staan. Stelen we een laptop dan is dat inderdaad al vrij snel duidelijk, we kunnen niet meer werken en zullen aan onze manager uit moeten leggen dat we bestolen zijn. Bij USB-sticks is dit inderdaad niet het geval. Verliezen we onze eigen USB-stick dan hebben we er vast thuis nog wel een in de kast liggen. Jammer van die informatie, maar die slaan we wel weer opnieuw op.

We vergeten dan nog wel eens dat de informatie in verkeerde handen is gekomen en dat informatie een veel hogere waarde kan hebben dan die ene laptop. De medewerker zelf heeft er dan misschien geen last van, maar als bedrijf kunnen we enorm in verlegenheid gebracht worden. Brengt iemand de USB-stick naar de krant, dan kost het ons imago. Brengt hij hem echter naar de concurrent, dan kan ons dat ook nog eens een berg geld kosten (om over claims, verlies van klanten enzo nog maar te zwijgen).

Met deze cijfers is het tijd om binnen je eigen organisatie nog eens goed je ogen open te houden. Is jouw organisatie representatief en vindt het daar ook op grote schaal plaats? Dan wordt het tijd om maatregelen te nemen.

Natuurlijk kunnen we de USB-poorten dichtzetten, maar dat is wat kort door de bocht. Misschien moeten we ervoor zorgen dat iedere medewerker makkelijker (en goedkoper) aan een veilige USB-stick kan komen. Misschien moeten we er wat extra tijd aan besteden tijdens onze bewustwordingscampagnes, misschien moeten we wat vaker controles aan de poort houden.

Kortom: er is best iets aan te doen, maar uiteindelijk zit de grootste winst hem in de medewerkers bewust maken van de gevaren. De gevaren voor zichzelf (in het uiterste geval ontslag) en gevaren voor de organisatie (in het uiterste geval faillissement en dus ontslag voor iedereen…wil jij dat op je geweten hebben?).

Het veilig opslaan van reservekopieen

Nou, nog een keer over de reservekopieen dan voordat we dat verder met rust zullen laten. We hebben de eisen gesteld voor de beschikbaarheid, exclusiviteit en integriteit. We hebben keuzes gemaakt en we hebben getest of de gegevens ook echt benaderbaar zijn. Vandaag stellen we ons de vraag:

Worden de reservekopieen veilig opgeslagen (eventuele externe locatie)?

Waar slaan we de reservekopieen eigenlijk op? Doen we dat op tapes in ons eigen pand of kiezen we ervoor de tapes naar een ander pand te brengen? Hebben we zelf geen tapes en laten we de back-ups via internet overbrengen naar een extern datacenter en wie kunnen er dan eigenlijk allemaal bij? Oh ja, ik weet het, er zijn andere manieren dan tapes, maar het spreekt wel lekker tot de verbeelding, toch?

Laten we eerst ingaan op het opslaan van de reservekopieën in ons eigen pand. Dat is een optie, maar wat als ons hele pand afbrand? Hebben we dan nog ergens de gegevens beschikbaar? Hoe veilig is ons pand eigenlijk en welke incidenten vinden daar zoal plaats? Staat de back-up server op de kapstok bij de ingang (geloof me, ik heb het gezien) of kiezen we voor een veilig serverhok dat netjes op slot kan en waar de airco ervoor zorgt dat het niet al te warm wordt? Wie hebben er dan allemaal toegang tot de serverruimte en hebben zij allemaal die toegangsrechten wel nodig? Ook hier weer een groot aantal vragen die we onszelf kunnen stellen. Misschien kies je voor de, ogenschijnlijk, veiligere optie en host je de back-ups extern.

Maar ook in dat geval komen er een aantal vragen om de hoek kijken. Hebben we de juiste Service Level Agreements opgesteld en houdt de leverancier zich daaraan? Hoe betrouwbaar is die leverancier eigenlijk en wie is eigenaar van de servers en data? Staat de informatie in Nederland of ergens in het buitenland? Welke medewerkers bij de leverancier kunnen eigenlijk bij onze data? Er wordt nog wel eens gewerkt met een algemeen “Admin-account”, maar is nu nog te traceren welke medewerker er op welk moment dat account gebruikt heeft? Zo zie je maar, ook hier een aantal (en nog vele malen meer) vragen waar we toch even bij stil moeten staan.

Het doel blijft zo snel mogelijk weer over de data kunnen beschikken op het moment dat dat nodig is. Afhankelijk van de aard van de organisatie kunnen we ervoor kiezen onze data veilig op te slaan in ons eigen pand, op een andere locatie of extern onder te brengen bij een specialist. Hebben we te maken met echt spannende data die voor het voortbestaan van onze organisatie cruciaal is, dan kan het ook zomaar zijn dat we voor een combinatie kiezen.

Alles voor het voortbestaan van onze organisatie, toch? Ja, maar ook in dit geval moeten de kosten tegen de baten opwegen en met logisch nadenken komen we al een heel eind. Testen we vervolgens of het geplande ook nog werkt dan bieden we toch een bepaalde mate van zekerheid. Vinden we dat nog niet genoeg? Dan zullen we aanvullende maatregelen moeten nemen.

Cameratoezicht in het centrum van Vlaardingen

Je zult misschien denken, dit heeft toch geen nieuwswaarde. Maar toch ben ik het daar niet mee eens, natuurlijk is dit een lokale oplossing die al op vele plaatsen wordt toegepast. Maar voor mij, juist voor mij, heeft dit wel degelijk nieuwswaarde.

Oh ja, en voor degene die dat niet weten…Vlaardingen is de plaats waar mijn huis woont (of is deze uitspraak ook al niet modern genoeg meer?).

De gemeente Vlaardingen gaat camera’s plaatsen in het uitgaansgebied van de stad om een veilig uitgaansklimaat te bevorderen. De camera’s worden voor een periode van acht jaar geplaatst met een evaluatie na één jaar…De gemeente had al maatregelen genomen om een veilig uitgaansklimaat te garanderen zoals de invoering van het convenant veilig uitgaan als het opleggen van gebiedsverboden. Ondanks de inzet van deze maatregelen blijft het aantal incidenten in het uitgaansgebied hoog met name voor de delicten bedreiging, mishandeling, ruzie en zakkenrollerij (bron).

Ik ben benieuwd en ga binnenkort maar weer eens een rondje stad lopen om de voortgang in de gaten te houden. Binnenkort kunnen jullie me dus wellicht live op de webcam van de gemeente zien. Als ze hem overdag tenminste ook aanzetten want ’s nachts ben ik niet zo vaak in de stad te vinden.

Het zal een stuk veiliger worden in het pittoreske Vlaardingen, als ik dit bericht mag geloven, nog veiliger (want was het zo onveilig dan? volgens mij viel het wel mee). Iedereen kan weer met een gerust hart hierheen komen, hier zal je niks gebeuren. De vraag is natuurlijk wat je hier als buitenstaander moet doen, maar dat moet je zelf dan maar ontdekken. Ik ben immers het VVV niet (die kun je bereiken via: 010-434 66 66)

Wordt vast vervolgd en laat even weten als je onze stad bezocht hebt.

Bedienen van sluizen en bruggen op afstand veilig

Rijkswaterstaat Zeeland heeft groen licht voor voortgang project bedienen op afstand. Het bedienen van sluizen en bruggen op afstand is veilig. De Vaste Kamercommissie voor Verkeer en Waterstaat behandelde gisteren het evaluatierapport van de eerste fase van het project voor bedienen op afstand van Rijkswaterstaat Zeeland. Na de behandeling trok demissionair minister Camiel Eurlings de conclusie dat ook de grote sluizen in Zeeland en Limburg op afstand bediend kunnen gaan worden (bron).

Meer en meer van de (vitale) infrastructuur wordt aangesloten op allerlei computernetwerken en dus op internet. Hierboven weer een voorbeeld daarvan. Het is te hopen dat de conclusie die Camiel trekt goed onderbouwd is, helaas kunnen we dat uit het stuk zelf niet halen, daarvoor zullen we de evaluatierapporten moeten bekijken.

Het is bijna wachten op het moment dat we in het nieuws berichten vinden waaruit blijkt dat het toch niet zo veilig was als gedacht. Een hacker die de sluizen overneemt en Zeeland onder water zet, je moet er niet aan denken.