Auteur:

CFO’s bang voor reputatieschade door cybercrime

  door

Na het bericht over het aanstellen van CISO’s in grote bedrijven en het feit dat wij, als informatiebeveiligers, ons best moeten doen om aansluiting te vinden bij het top management van de organisatie gaan we daar vandaag verder op in.

Nederlandse CFO’s geven de computerbeveiliging van hun bedrijf gemiddeld een 6,8. Dat blijkt uit onderzoek van Deloitte. CFO’s zijn vooral bang voor reputatieschade, als hun bedrijf ten prooi valt aan cybercrime (bron).

Dit bericht bevestigd waar we het al vaker, veel vaker, over hebben gehad. Het gaat het management helemaal niet om de technische of de informatiebeveiligingsrisico’s. Nee, het gaat het top management om kosten, omzet en imago. Blijkbaar worden de CFO’s met name getriggerd door het imago van de organisatie.

Bij onze volgende risico analyse moeten we dus extra aandacht besteden aan het risico voor ons imago. Prima dat we duidelijk willen maken dat onze firewall echt niet meer kan en dat we daarmee grote risico’s lopen. Maar leg dan ook uit dat we het risico lopen dat klantgegevens op grote schaal op straat komen. De CFO kan dan zelf wel bedenken dat hij dit een onacceptabel risico voor de organisatie vindt.

Bekijken het we zo en houden we in ons achterhoofd dat veel organisaties geen CISO hebben, dan moeten er misschien voor zorgen dat de CFO onze grootste sponsor wordt. Een 6,8 klinkt als een voldoende maar is dat misschien voor jouw organisatie helemaal niet. En ja, dat cijfer is arbitrair maar kan ons ook helpen om daadwerkelijk meer aan beveiliging te gaan doen.

Maar laten we dan ook terug vallen op het feit dat het niet alleen gaat om technische maatregelen. Nee, we maken duidelijk welke risico’s we lopen (voor het imago) maar we geven ook duidelijk aan met welke combinatie van technische, organisatorische en procedurele maatregelen we dat risico naar een acceptabel niveau kunnen brengen.

De komende jaren hebben we echt de kans om informatiebeveiliging naar de volgende volwassenheidsfase te laten groeien. Aan ons de keus of we die kans voorbij laten gaan of met beide handen aanpakken.

CISO’s in opmars

  door

Een kwart van de grote organisaties heeft inmiddels een CISO (Chief Information Security Officer) in dienst; een teken dat er op directieniveau meer aandacht is voor IT-beveiliging. Dat blijkt uit een rapport van IBM, dat hiervoor met ruim 130 beveiligingsmedewerkers van diverse niveaus in 7 landen sprak (bron).

Nu kunnen we natuurlijk heel blij zijn met het feit dat een kwart van de bedrijven inmiddels een CISO heeft aangesteld. Maar dat betekent dat nog steeds 75% van de grote organisaties nog geen CISO hebben en dan moeten we niet uit het oog verliezen dat het hier specifiek gaat om grote organisaties. De middelgrote en kleine organisaties zijn buiten scope en ik vrees dat de cijfers daar nog erger zijn.

Maar laten we nog even verder gaan. Ook heeft 75 procent niet genoeg budget en daadkracht voor een degelijk IT-beveiligingsbeleid, zo concluderen de onderzoekers van IBM. Wel denkt twee derde dat de budgetten hiervoor de komende 2 jaar zullen stijgen.

Nu kun je informatie zo sturen als je wilt, maar wat mij betreft bevestigd dit het beeld dat ik al jaren over de bühne probeer te brengen. Het is nog slecht gesteld met de aandacht voor informatiebeveiliging.

En nu zou ik daarover kunnen klagen maar dat doen we natuurlijk niet. Nee, het komt ook door hoe wij informatiebeveiliging aan het management willen “verkopen”. Wij slagen er nog te weinig in om de beveiligingsrisico’s te koppelen aan de “enterprise risks”. We vallen het management nog te veel lastig met allerlei technische beveiligingsmaatregelen en projecten. Het management begrijpt er niets van en wij kunnen het niet goed genoeg uitleggen.

Positief punt is dat men verwacht dat er de komende 2 jaar extra budgetten beschikbaar komen. Nu maar hopen dat we die budgetten ook daadwerkelijk in kunnen zetten om risico’s af te dekken. Doen we dit verkeerd dan houden we de huidige cyclische manier van werken: geen budget, toename risico’s => te veel risico’s dan meer budget, we zetten dat budget verkeerd in en leggen te weinig verantwoording af aan het management => het management moet bezuinigen en komt als eerste het beveiligingsbudget opeisen.

Kortom: we hebben de komende jaren een kans als informatiebeveiligers. Laten we die kans met beide handen aangrijpen en ervoor zorgen dat informatiebeveiliging een volgende volwassenheidsfase bereikt…daar zijn we gezamenlijk verantwoordelijk voor.

Buren belangrijkste inbraakpreventiemaatregel

  door

Wanneer het aankomt op de beveiliging van het woonhuis tijdens een vakantie, blijkt bijna de helft van Nederland op de buren te rekenen. Dat wijst een representatief onderzoek uit van de Vereniging Europese Beveiligingsbedrijven (VEB), de grootste brancheorganisatie binnen de beveiligingssector. Bijna 45 procent vertrouwt erop dat de buren een oogje in het zeil houden, zo komt uit het onderzoek van marktonderzoeksbureau IBT naar voren (bron).

Beter een goede buur dan een verre vriend? Als je bovenstaande leest, zou je dat wel denken. En natuurlijk hopen we allemaal dat de buren een beetje opletten als jij niet thuis bent. Maar om ze nou als belangrijkste preventiemaatregel te bestempelen gaat wel erg ver.

Sterker nog, ik wil het mijn buren helemaal niet aan doen, ik wil ze die verplichting helemaal niet geven. Stel dat ze constateren dat ze vreemde geluiden uit je huis horen als jij op vakantie bent. Eis jij dan van ze dat ze met een honkbalknuppel naar binnen gaan om polshoogte te nemen?

Nee, ik hoop dat ze de politie bellen als ze zien dat er een ruitje is ingeslagen. Maar dat is nog steeds niet preventief maar juist reactief. Preventief moeten ze actief achter het raam blijven staan om mijn voordeur in de gaten te houden? En wat als ze via de achterdeur komen? Dan moet misschien de buurman aan de voorkant gaan staan terwijl de buurvrouw de achterkant in de gaten houdt.

Maar goed, uit het bericht blijkt wel dat er dagelijks bij 175 huishoudens wordt ingebroken. Tijdens de vakantieperiode, traditioneel het jachtseizoen voor inbrekers, neemt dit met een vijfde toe. Dat wist ik dan weer niet en spreekt meer tot de verbeelding dan loze percentages.

Gelukkig zijn ze binnen de beveiligingsbranche ook niet gek en hadden ze ook al onderkend dat de buurman niet een heel goede preventievemaatregel is.
Voorzitter Paul van der Velde van de VEB is niet verbaasd over de uitkomst van het onderzoek. “Dit soort geluiden horen we al decennia lang. Maar een goed beveiligd huis blijft altijd beter dan een goede buur. Want ook die gaat normaal gesproken ’s nachts naar bed en is niet altijd aanwezig. Zorg daarom voor degelijk hang- en sluitwerk liefst in combinatie met een goede alarminstallatie en adequate alarmopvolging. Al is volgens Van der Velde met enkele simpele handelingen al veel leed te voorkomen. Zo wijst hij erop dat veel mensen bijvoorbeeld vergeten hun reservesleutel onder de mat of uit de bloempot te halen. “Of ze laten kostbare spullen in het zicht liggen. Hou tijdens de vakantie de gordijnen of zonwering gewoon open en vraag iemand om regelmatig de post van de mat te halen. Zorg ervoor dat de woning een zoveel mogelijk bewoonde indruk maakt. Daarnaast melden veel mensen op sociale media als Facebook, Twitter en Hyves dat ze op vakantie gaan. Doe dit niet, want ook daar leest het dievengilde steeds vaker mee”, besluit de VEB-voorzitter.

Zo hebben we toch weer wat geleerd en we weten inmiddels dat het prima is om een goede buur te hebben, maar die schakelen we niet in als anti-inbraakmiddel.

Nederland mist urgentie in aanpak cyberdreiging

  door

Het niet nemen van bekende basismaatregelen is de grootste bedreiging voor de cyberveiligheid van Nederland. Dat meldt het Cybersecuritybeeld 2011 van het Nationaal Cyber Security Center (bron).

Hoe meer we ons verdiepen in beveiliging, hoe ingewikkelder onze aanpak wordt. We kiezen voor allerlei technisch hoogstaande maatregelen die ons moeten helpen bij het beter beveiliging van onze organisatie. Prima, uitstekend…maar niet voordat we de basis goed geregeld hebben en niet voordat we daadwerkelijk begrijpen dat het gaat om de juiste combinatie van technische, organisatorische en procedurele maatregelen.

Er lopen op dit moment zeer veel initiatieven binnen bedrijven om de beveiliging te verbeteren. In het verleden hebben we een beetje teveel bezuinigd op informatiebeveiliging, dus die achterstand moeten we maar snel inhalen met de nieuwste technische snufjes.

Toch zien we dat organisaties vergeten om even afstand te nemen van hun huidige situatie en situatie die ze uiteindelijk willen bereiken. Zouden organisaties wel de tijd nemen om hun beveiligingsstrategie goed uit te denken dan zou dat niet alleen heel veel geld schelen maar zou er ook nog eens voor zorgen dat de beveiliging vele malen beter wordt.

Het is geen kunst om honderduizenden euro’s in beveiliging te stoppen. Het is wel een kunst om met zo min mogelijk maatregelen een zo goed mogelijk niveau van beveiliging te bereiken. Daarvoor grijpen we niet naar maatregelen maar redeneren we vanuit de risico’s. Weten we die risico’s (en de kans en impact) dan kunnen we bepalen welke risico’s we accepteren en voor welke risico’s we maatregelen willen nemen.

En voor die risico’s waarvoor we besluiten om maatregelen te nemen komen we dan weer terug bij de juiste combinatie van technische, organisatorische en procedurele maatregelen.

Helaas allemaal een utopie. In de praktijk hebben we het gevoel dat we risico’s lopen. Welke dat zijn weten we eigenlijk niet maar de nieuwste technische snufjes moeten ons helpen. Zo gaat het niet werken en zijn we de komende jaren misschien wel bezig om achterstallig onderhoud op het gebied van informatiebeveiliging weg te werken…maar veel veiliger zullen we daar helaas niet door worden.

Twitter-account Reuters nu ook gehackt

  door

Hackers hebben ingebroken op een Twitteraccount van het Britse persbureau Reuters. De hackers publiceerden nepberichten over het conflict in Syrië. Dat heeft het mediabedrijf in de nacht van zondag op maandag gemeld (bron).

Te vaak vertrouwen we al blind op wat er op internet geslingerd wordt. Het staat er, dus het is waar. Waar rook is, is vuur en ga zo nog maar even door. Als we iets sceptischer zijn dan accepteren we niet zomaar alles wat op internet verschijnt en denken we zelf ook nog even na.

Maar als er persbureaus gehackt worden en nepberichten de wereld in worden geholpen dan vertrouwen veel mensen dat wat er staat ook echt nieuws is. Het mag dan iets kleinschaligs lijken maar het kan enorm snel escaleren als we de bronnen niet checken en dubbel checken.

De nepberichten worden geplaatst en voordat het persbureau daarachter komt zijn we al weer een paar uur verder. Veel nieuwssites, kranten en journaals baseren hun informatie op dat van persbureaus en omdat ze graag de eerste willen zijn komt het controleren van de gegevens nog wel eens onder druk te staan. Voor je het weet is het nepbericht bij iedereen bekend als “de waarheid”. Natuurlijk kunnen we een rectificatie sturen maar slechts weinig mensen zullen die rectificatie ook daadwerkelijk lezen.

Ik moet er niet aan denken wat de gevolgen kunnen zijn van dit soort nepberichten. In ieder geval is het zaak om de “feiten” die we voorgeschoteld krijgen te checken bij verschillende bronnen, tenminste: als we niet zomaar alles voor waarheid aan willen nemen.

Bedrijven in zes sectoren moeten hack melden

  door

Hadden we het gisteren nog over het tekort aan kennis op het gebied van informatiebeveiliging in 2016 en zagen we daarbij dat dat tekort er eigenlijk op dit moment al is? Dan sluiten we daar vandaag bij aan met een bericht waarmee nog duidelijker zal worden dat het tekort snel zal toenemen.

Er komt een meldplicht voor bedrijven die de dupe zijn geworden van een ernstige hack. De meldplicht geldt alleen voor bedrijven in zes sectoren, waar het gevaar bestaat dat een digitale inbraak het maatschappelijk leven ontwricht…De meldplicht moet er nog dit jaar zijn voor onder meer sectoren die zich bezighouden met nutsvoorzieningen, telecom en de luchthavens als Schiphol en Rotterdam The Hague Airport. Maar ook de overheid zelf en de financiële sector moeten zich aan de meldplicht houden. Nog voor het einde van het jaar moet de wettelijke verplichting een feit zijn (bron).

Nu is de meldplicht op zich al een reden voor bedrijven om er wakker van te liggen maar als we nog net even een paar stappen verder denken dan betekent een dergelijke meldplicht ook dat we daadwerkelijk “in control” moeten komen op het gebied van informatiebeveiliging. We moeten niet alleen het beveiligingsniveau op orde hebben maar moeten daar ook sturing aan geven. We moeten gaan meten wat we al goed doen en waar we nog achter lopen. We moeten meetbaar maken waar zich risico’s voor zouden kunnen doen en waar zich reeds incidenten voor hebben gedaan.

Een hele interessante want er zijn nog maar weinig bedrijven die echt “in control” zijn op dit gebied. Een aantal is nog niet eens compliant en heeft nog bergen werk te verzetten. En nu kun je concluderen dat je natuurlijk als bedrijf alleen maar hoeft te melden wat je ook daadwerkelijk weet. Maar zo makkelijk kom je er (hopelijk) niet vanaf.

Nee, vergelijk het met de jaarrekening die veel bedrijven op moeten leveren. Daarbij moet je daadwerkelijk zicht hebben op je financiën. En natuurlijk weet ik dat je een jaarrekening ook met een dikke of dunne pen in het rood of in het groen kunt kleuren…er is niets tegen een beetje creatief boekhouden als het de waarheid maar weergeeft (welke waarheid mag je deels zelf bepalen maar ga je daarin te ver dan komt je dat duur te staan).

Iets dergelijks zou je op basis van een dergelijke meldplicht ook voor informatiebeveiliging (of breder voor je hele bedrijfsvoering) in kunnen stellen. Dat is misschien voor nu nog een brug te ver en zal alleen nog maar meer druk zetten op de aantallen informatiebeveiligers die nodig zijn, maar als ons dat ooit lukt hebben we een grotere kans dat er meer organisaties ook echt serieus naar gaan kijken.

In 2016 een tekort aan informatiebeveiligers

  door

Mensen die aan een opleiding beginnen, hebben rooskleurige vooruitzichten. ICT- Office verwacht dat er in 2016 een tekort is ontstaan van 6.300 mensen. Het tekort betreft vooral hbo- en wo-gediplomeerden, in mindere mate ook goed geschoolde mbo’ers (niveau 4). De vacatures zullen vooral ontstaan op softwarevlak, niet op het gebied van hardware. Bedrijven denken vooral moeite te krijgen met het opvullen van vacatures voor programmeur, developer, tester en in de informatiebeveiliging (bron).

Hartstikke goed dat ICT- Office hier aandacht aan besteedt en prima dat ze aangeven dat er in 2016 een tekort is ontstaan in de informatiebeveiliging. Overigens lijkt dat nu al het geval. Er komt steeds meer vraag naar informatiebeveiliging en goede informatiebeveiligers zijn nu eenmaal moeilijk te vinden. Daarbij moet er dan ook nog de juiste match gemaakt worden tussen informatiebeveiliging en informatiebeveiligingsopdracht of functie.

We zien dat er met name veel vraag is naar technische informatiebeveiligers en dat is logisch. De afgelopen jaren hebben bedrijven flink bezuinigd op de beveiliging en op de techniek, dus daar moet nu flink wat achterstallig onderhoud worden weggewerkt.

Toch is hier een waarschuwing op zijn plaats voor de bedrijven die naarstig op zoek zijn naar kennis en kunde op dit gebied. Je kunt proberen als bedrijf de medewerkers zelf in dienst te nemen (op je afdeling informatiebeveiliging die je misschien onder de IT afdeling hangt en mijn vaste lezers weten dat ik daar toch echt anders over denk). Maar je kunt ook overwegen om strategische samenwerkingsverbanden aan te gaan met specialisten op dit gebied (en ja, inderdaad, ik preek voor eigen parochie maar ik zal het uitleggen).

Informatiebeveiliging is een breed vakgebied en kan zelfs nog breder worden als we ook kijken naar aanpalende gebieden als risico management, compliance, business continuity, disaster recovery, fysieke beveiliging, anti-fraude en ga zo nog maar even door. Er zijn simpelweg geen profielen te vinden van mensen die al deze gebieden met een voldoende niveau af kunnen dekken.

Je hebt als bedrijf dus niet veel aan een informatiebeveiliger als hij of zij (kom op dames, het is een mooi vakgebied dus ik nodig jullie graag uit om daar deel van uit te maken) een bepaald specialisme heeft. Het risico is te groot dat de andere onderdelen achterop raken en dan geldt nog steeds dat de keten zo zwak is als de zwakste schakel.

We zullen het blog niet te lang maken en richting een einde gaan. Voor bedrijven geldt dat ze nu al moeten anticiperen op het tekort aan informatiebeveiligers. Ze moeten nu al beginnen met mensen aannemen en opleiden (tenminste als je ze echt zelf in dienst wilt hebben). Anders je moet nu al op zoek naar strategische samenwerkingsverbanden.

Voor scholieren en studenten, die aan de vooravond van een keuze voor vervolgstudie staan, geldt dat ze de opleidingen op het gebied van informatiebeveiliging zeker kunnen overwegen. En om terug te komen op de uitnodiging voor meer vrouwen in dit vakgebied: Jullie kijken weer anders aan tegen informatiebeveiliging dan al die mannelijke 1-en en 0-en die nu de dienst uitmaken en beveiliging gaat alleen goed werken als we er van verschillende kanten naar kijken.

Datalek? Pas op voor boete!

  door

Bijna iedere week komen tal van organisaties in het nieuws vanwege het lekken van gevoelige bedrijfsdata. De oorzaak zit meestal in kwaadaardige aanvallen door hackers. Het gevolg is dat de privé-gegevens van met name consumenten op straat komen te liggen. Voor staatssecretaris Teeven van Justitie en Veiligheid een reden tot een wetsvoorstel, waarbij bedrijven en instellingen kunnen worden beboet als zij hun beveiliging niet op orde hebben (bron).

Hoewel je er over kunt twisten of de meeste datalekken daadwerkelijk door kwaadaardige aanvallers veroorzaakt worden is de strekking van het verhaal dat je als organisatie ervoor moet zorgen dat je beveiliging op orde is omdat je anders een boete kunt krijgen.

Nu moet je als organisatie niet wakker liggen van die boete. Je moet je beveiliging niet op orde brengen om boetes te voorkomen. Nee, je moet je beveiliging op orde hebben omdat je gegevens van klanten in bezit hebt die ze je in vertrouwen hebben gegeven. Je moet zorgen dat je beveiliging op orde is om waardevolle data niet te verliezen. Je moet je beveiliging op orde hebben om te voorkomen dat je bedrijfsprocessen stil vallen. Nou ja, zo kunnen we nog wel even doorgaan met de redenen voor een goede beveiliging.

Die redenen zijn er trouwens al jaren maar die lijken binnen veel organisaties toch niet goed aan te slaan. Het is voor velen een ver van mijn bed show onder het mom van: dat gebeurt ons toch niet.

Misschien is het dan wel goed om boetes op te leggen en misschien is het wel goed als managers inderdaad meer aandacht aan beveiliging gaan besteden om die boete te voorkomen (en daarmee hun eigen bonus veilig te stellen).

Waarom je het ook doet, houd er rekening mee dat beveiliging alleen maar goed geregeld kan zijn als dat vooraf wordt gegaan door een goede manier van risico management, door de juiste combinatie van technische, procedurele, organisatorische, bouwkundige en elektronische maatregelen. En als we dan toch zo lekker bezig zijn, zullen we dan ook direct de business continuity op orde brengen? Gaat het dan toch fout dan kunnen we er in ieder geval voor zorgen dat de schade beperkt blijft.

Heb je als security manager nooit goed draagvlak kunnen krijgen bij het management dan kun je het nu misschien proberen door ze te wijzen op het risico van boetes. Wij weten dan wel dat we het eigenlijk over bijvoorbeeld het voorkomen van imagoschade hebben…maar dat hoeven zij niet te weten.

Valse e-mail incassobureau verspreidt digitale bankrover

  door

De afgelopen dagen hebben duizenden Nederlanders een bericht van incassobureau Straetus Incasso ontvangen, maar in werkelijkheid wordt geprobeerd om een Trojaans paard te installeren dat geld van online bankrekeningen steelt. Het incassobureau heeft inmiddels een waarschuwing op de website geplaatst dat het de e-mails niet heeft verstuurd. De e-mails melden dat er een vordering tegen de ontvanger openstaat. Om de vordering te bekijken moet de ontvanger een link openen (bron).

Nu er meer en meer mensen last lijken te krijgen van de economisch zwaardere tijden, spelen de cyber criminelen daar handig op in. Doe je voor als een incassobureau en de kans is groot dat de ontvanger zich een hoedje schrikt en op de link klikt.

Niemand zit te wachten op de deurwaarder en het kan natuurlijk best zo zijn dat je een keer vergeten bent om een rekening te betalen. Die heb je wel gezien maar is tussen het oud papier terecht gekomen en nooit betaald. Een vrij reëel scenario, lijkt me. Maar ontvang je een mail van een incassobureau dan moet je nu dus extra op je hoede zijn. Het zou zomaar zo kunnen zijn dat je helemaal geen schulden hebt (gelukkig maar) maar dat je slachtoffer wordt van een trojan horse (helaas).

Je bent gewaarschuwd. Volgende keer toch maar gewoon netjes op tijd de rekeningen betalen dan kun je mailtjes van een zogenaamd incassobureau gewoon ongelezen verwijderen. Wil dat incassobureau echt wat van je dan sturen ze je wel een officiële brief, bellen ze of komen ze bij je aan de deur. Ik hoop dat beide jou nooit zullen gebeuren: geen deurwaarder aan je deur en geen slachtoffer van een trojan horse.

Celstraf voor begluren vrouwen via webcam

  door

Zijn we vorige week geëindigd met een gynaecoloog die stiekem foto’s en filmpjes maakte van zijn patiënten dan gaan we vandaag door met een informaticastudent die er ook zo zijn eigen manieren op na hield om vrouwen stiekem te begluren.

Een Amerikaanse informaticastudent is tot een jaar gevangenisstraf veroordeeld wegens het begluren van vrouwen via de webcam van hun laptop. De 21-jarige Trevor Timothy Harwell studeerde in 2009 informatica en werkte in een computerwinkel. Via zijn vrienden en kerk ontmoette Harwell zijn slachtoffers van wie hij de computer kreeg om te repareren (bron).

Tot zover niets nieuws of niets spannends. Deze manier hebben we al vele malen voorbij zien komen en ik vrees dat er nog vele gevallen zijn waarbij het nog niet bekend is geworden (wanneer heb jij je laptop voor het laatst weggebracht voor reparatie?). Wat er dan zo interessant is aan dit bericht? Dat is de wijze waarop deze student tegen de lamp is gelopen.

De zaak kwam aan het licht toen de vader van een slachtoffer de politie vanwege verdachte meldingen op de computer van zijn dochter inlichtte. Het bericht vertelde dat er problemen met de interne sensor waren en dat de gebruiker de laptop voor enkele minuten naast hete stoom moest plaatsen om zo de sensor te reinigen. Hierop namen veel slachtoffers hun laptops mee terwijl ze een douche aan het nemen waren.

Je moet het deze student nageven. Een creatieve manier om spannende beelden te kunnen maken heeft hij wel bedacht. Jammer voor hem dat er ook nog mensen zijn die logisch nadenken en die het maar vreemd vinden dat je de laptop naast hete stoom moet plaatsen.

Helaas maar er zijn honderdduizenden foto’s gevonden en het zou om tientallen slachtoffers gaan. Deze waren dus niet zo snugger om zich af te vragen of stoom goed kan zijn voor een laptop.