Auteur:

Duitse gynaecoloog schiet stiekem foto’s

  door

Misschien moet je eerst even gniffelen bij onderstaand bericht maar als je er goed over nadenkt dan is het natuurlijk erger dan het in eerste instantie lijkt omdat het hier gaat om een vertrouwensband die je denkt te hebben.

Justitie in Duitsland verdenkt een 41-jarige gynaecoloog ervan intieme foto’s en video’s te hebben geschoten van zijn patiënten tijdens onderzoeken. Hij deed dat met minicamera’s, verborgen in een horloge en een pen (bron).

Een minicamera is zo gekocht en de beelden zijn gemakkelijk gemaakt. Zolang dat met toestemming van de patiënt en in het kader van het onderzoek gaat is er niet veel aan de hand maar als dat niet het geval is dan wordt het natuurlijk een ander verhaal en dan is het goed dat Justitie dit soort praktijken keihard aanpakt. De lijn is dun en het gebied kan grijs zijn, maar over de schreef gaan moet worden aangepakt.

Trek een witte jas aan en je bent een dokter. Grote kans dat veel mensen direct geloven wat je zegt en doet. Ook als dat een keer wat minder prettig aanvoelt (letterlijk of figuurlijk). Het is immers een dokter dus die zal wel weten wat hij of zij doet, toch?

Maar dokters zijn ook mensen en mensen kunnen fouten maken. Maar ze kunnen ook over de schreef gaan en dat lijkt bij deze gynaecoloog het geval te zijn. Zwak hoor, mensen in een dergelijk kwetsbare positie tot je slachtoffers maken.

Ik vraag me overigens wel af hoe Justitie erachter is gekomen dat deze man beelden maakte zonder toestemming. Iemand moet aangifte hebben gedaan waardoor het balletje is gaan rollen. Negen vrouwen hebben een aanklacht tegen de dokter ingediend. Zij herkenden zichzelf in de beelden die waren vastgelegd op cd’s en dvd’s. Ook in de computer op de praktijk van de gynaecoloog is materiaal teruggevonden.

Deze gynaecoloog wordt officieel verdacht van ernstige schending van de persoonlijke levenssfeer van zijn patiënten. En in dit geval lijkt het duidelijk dat er illegaal beelden zijn gemaakt. Maar denk je nu eens in dat de pc van een andere gynaecoloog (of andere specialist) onbeveiligd is en beelden, die met toestemming zijn gemaakt, op het internet verschijnen? Mocht je arts je dus ergens toestemming voor vragen, denk dan nog even na voor je toestemming geeft, vraag wat hij er mee gaat doen, hoelang en hoe veilig het een en ander bewaard wordt.

Ik denk persoonlijk dat dit nog maar het topje van de ijsberg is en dat er veel gevallen zijn waarbij de patiëntgegevens onvoldoende beveiligd zijn en/of patiënten geen aangifte durven te doen van onethisch handelen van een arts. Het is maar goed dat we niet alles weten want dat zou ons vertrouwen in de doktoren kunnen schaden en dat vertrouwen moeten we nu juist houden om weer beter te worden als we ziek zijn.

Miljoenenbrand om ‘dagje vrij’

  door

Een 24-jarige dokwerker wilde zo graag naar huis dat hij de kernonderzeeër waar hij aan werkte in brand heeft gestoken. De schade aan de boot is ruim 400 miljoen dollar (bron).

Nu kun je natuurlijk een keer een slechte dag hebben en de balen hebben van je werk. Maar om daarvoor nou een onderzeeër in de brand te steken gaat wel erg ver. Ach, een incident zul je denken en gelukkig lijkt het daar ook op. Toch gebeuren dit soort zaken meer dan we denken alleen is de schadepost dan minder groot.

Het is altijd moeilijk om hard te maken maar: er zullen altijd medewerkers zijn die naar hun werk komen omdat ze nu eenmaal geld moeten verdienen. Werk is niet de uitdaging maar juist een vervelende onderbreking van het weekend. Het merendeel van die ongemotiveerde medewerkers zal gewoon zijn of haar werk doen en stipt om 5 uur de spullen pakken. Maar er lopen er ook tussen die een groot gevaar kunnen vormen voor een bedrijf.

De medewerker heeft al toegang tot allerlei informatie, systemen en andere waardevolle zaken van het bedrijf. Hoe gefrustreerder hij of zij raakt hoe groter het gevaar. En ja, dat gevaar heb je waarschijnlijk niet zien aankomen. Misschien is deze medewerker wel netjes gescreend toen hij binnen kwam, maar hoeveel jaar geleden was dat? En betekent een screening niet alleen maar dat men nooit ergens voor gepakt is? Het geeft geen absolute zekerheid dat iemand niets op zijn kerfstok heeft.

De signalen van je medewerkers moet je dus goed in de gaten houden en dat is als security manager een moeilijke zaak. Je kent immers niet alle medewerkers persoonlijk en hebt al helemaal geen zeggenschap over ze. Je zult dus een goede verstandhouding moeten hebben met de middenmanagers binnen jouw bedrijf en je moet ervoor zorgen dat zij je informeren als ze afwijkende signalen opvangen.

En dan nog blijft het een moeilijke zaak want dit soort incidenten kondigen zich meestal niet van te voren aan. Zeker in tijden waarin er flink gereorganiseerd wordt binnen organisaties neemt het risico van gefrustreerde medewerkers sterk toe. Er wordt bezuinigd en de medewerkers zien hun jaarlijkse loonsverhoging verdampen en op een bonus hoeven ze wat jou betreft al helemaal niet te rekenen.

Aan deze kant van het verhaal zitten natuurlijk 2 zijden. Vanuit de organisatie vind je het niet meer dan logisch dat je geen loonsverhogingen geeft in moeilijke tijden, dat is immers geen recht dat de medewerker verworven heeft. De medewerker denkt daar heel anders over en heeft ieder jaar nog een loonsverhoging ontvangen dus men vindt dat ze er recht op hebben. Twee kanten van de medaille, zullen we maar zeggen.

Dit mag misschien allemaal niet zo belangrijk lijken maar toch moet je de medewerkers niet onderschatten. Hoe meer er intern bezuinigd en gereorganiseerd wordt hoe groter de kans dat medewerkers gefrustreerd raken en als dat vuurtje zich aanwakkert dan kan het zomaar zo zijn dat jouw bedrijf ook in de (virtuele) brand staat.

Hou je oren en ogen goed open en kijk hoe tevreden of gefrustreerd de medewerkers zijn. Misschien moet je het hoger management waarschuwen en na gaan denken over aanvullende beveiligings- en managementmaatregelen om de risico’s beheersbaar te houden.

Hacker ontdekt lek in 4 miljoen hotelkamers

  door

Misschien zit je deze week wel heerlijk te genieten van je wel verdiende vakantie. En nu wil ik je niet de stuipen op het lijf jagen, maar misschien is het goed als je toch even onderstaand bericht leest.

Een werknemer van Mozilla zal vanavond een kwetsbaarheid in de elektronische sloten van zeker vier miljoen hotelkamers demonstreren. Het gaat om twee problemen die de 24-jarige Cody Brocious ontdekte en waardoor het mogelijk is om wereldwijd in hotels deuren te openen. Het gaat om de sloten van fabrikant Onity, die volgens het bedrijf op tussen de vier en vijf miljoen deuren wereldwijd geïnstalleerd zijn (bron).

Nu is natuurlijk de vraag wat veiliger is? Een deur met een slot dat makkelijk te flipperen is of een elektronisch slot dat wat moeilijker te kraken is? Zaak is wel dat je goed op je spullen moet letten als je je hotelkamer verlaat. Maar moest je dat niet altijd al? Konden de schoonmakers en de technici van het hotel toch al niet je kamer in?

Vreemd overigens hoe snel je je thuis kan voelen in een hotelkamer. Je laat je spullen slingeren en denkt er te weinig bij na. Maar voor de schoonmaker ligt er veel interessants in je kamer en toon jij nog maar eens aan dat hij of zij het gestolen heeft? Wie is er eigenlijk verantwoordelijk en denkt de directie van het hotel daar ook zo over?

Een gewaarschuwd mens telt voor twee dus als je je hotelkamer verlaat dan berg je je spullen netjes op in de hotelkluis (hoewel je je daar natuurlijk ook direct bij afvraagt hoe veilig die is, daar hebben ze ook de code van) of je neemt je spullen mee als je op stap gaat. Weeg even af wat je veiliger vindt en dan zal het allemaal best goed komen deze vakantie.

Hacktool voor slimme meters gelanceerd

  door

Het is alweer een poosje stil rondom de slimme meters maar we hadden het hier tijden geleden al over en we konden erop wachten tot er een tool ontwikkeld was waarmee de slimme meters gehackt kunnen worden.

Een beveiligingsonderzoeker die slimme energienetwerken onderzoekt heeft een tool gelanceerd om de veiligheid van slimme meters te testen. De Termineter tool is ontwikkeld door Spencer McIntyre, lid van het SecureState’s Research & Innovation Team (bron).

Het is nu nog wachten op het moment dat deze (of een andere) tool vrij op de markt beschikbaar komt. Lukt dat dan kunnen niet alleen de energiebedrijven de meters testen maar kunnen ook hackers de meters beïnvloeden. Maar omdat we nu nog fysieke toegang tot de meter nodig hebben, zullen het eerst de bewoners van de huizen zijn die gaan proberen om de meters te beïnvloeden. Dat deden we vroeger door de meter om te draaien of door magneten strategisch in de meterkast te plaatsen. Nu kunnen we het straks gewoon met onze laptop doen.

Dan zijn de Energieleveranciers weer aan bod en die zullen er weer tools tegenaan moeten gooien om fraude op te sporen. Zo wordt er weer flink met geld heen en weer geschoven en is de wedloop, die we binnen de anti-virus wereld al jaren kennen, ook gestart voor de energie meters.

Ik ben blij dat mijn energieleverancier nog gewoon een domme meter gebruikt. Ik hoef me er voorlopig niet druk om te maken. Heb jij al wel een slimme meter dan zou ik de komende jaren het verbruik maar eens goed in de gaten houden en vergelijken met de gegevens uit het verleden. Zo voorkom je misschien dat je maandelijkse lasten flink omhoog gaan.

Security-training voor personeel is geldverspilling

  door

Security-training voor personeel is geldverspilling althans, volgens Dave Aitel van beveiligingsbedrijf Immunity.

Het trainen van gebruikers om bijlagen en links in verdachte e-mails niet te openen is weggegooid geld, aldus een bekende beveiligingsexpert. Volgens Dave Aitel van beveiligingsbedrijf Immunity is het een “hardnekkige mythe” dat bedrijven hun veiligheid kunnen verbeteren door het personeel te leren hoe ze kunnen voorkomen om de organisatie met malware te infecteren (bron).

Nu kun je met training alleen natuurlijk nooit alle dreigingen buiten de deur houden en er zullen altijd medewerkers zijn die blind op allerlei linkjes klikken. Maar om te zeggen dat het geldverspilling is, gaat mij te ver.

Het gaat altijd om de combinatie van de juiste technische, organisatorische en procedurele maatregelen. Vergeten we er een dan hebben we een probleem en zal onze beveiliging wankelen. Daarom kan training nooit weggegooid geld zijn…mits we ons richten op de juiste aspecten en mits we die training aanvullen met andere maatregelen.

Ik ben het er wel mee eens dat de huidige manier waarop we geld stoppen in security awareness vaak weggegooid geld is. Maar dat komt niet omdat training niets toevoegt maar omdat we de verkeerde manier van trainen volgen.

De basis en de theorie zijn heel simpel: richt je op kennis, houding en gedrag en ook in die volgorde. In de praktijk zien we echter dat men zich vooral richt op kennis en dat we houding en gedrag uit het oog verliezen of simpelweg niet weten hoe we die kunnen beïnvloeden.

We kunnen blijven stellen dat de security manager verantwoordelijk is voor de training, maar daarbij heeft hij of zij wel ondersteuning nodig. Vanuit security kunnen we de inhoud goed aangeven maar we zijn geen experts op het gebied van educatie en/of menselijk gedrag. Juist als we daar experts bij betrekken die weten hoe dat exact werkt zijn we al een stap verder.

Nou ja, als we het op de juiste manier doen dan is security training geen weggegooid geld, maar we hebben voorlopig nog wel stappen te zetten om de “return on investment” te verhogen.

VNG ondersteunt gemeenten bij ICT-beveiliging

  door

Gisteren gaven we al aan dat het met de beveiliging van veel overheidsinstellingen nog slecht gesteld is terwijl de overheid de boetes die ze op wil leggen aan bedrijven flink verhoogd. Ik vind nog steeds dat we met een publiek-private samenwerking moeten proberen de beveiliging van de BV Nederland te verhogen en zal zelf mijn steentje bijdragen door het volgende bericht onder jullie aandacht te brengen.

De Vereniging Nederlandse Gemeenten (VNG) gaat actief gemeenten ondersteunen om hun ICT-beveiliging beter op orde te krijgen. In oktober moet daarvoor een permanent bureau worden opgericht (bron).

Nu is het natuurlijk nog helemaal de vraag hoe serieus dit punt wordt opgepakt, maar er lijkt een begin te worden gemaakt en dat is al meer dan we jaren kunnen zeggen. Het is te hopen dat er niet over een nacht ijs wordt gegaan en dat er eerst goed nagedacht wordt over de structuur die we kunnen hanteren.

Dus niet direct met allerlei standaard lijstjes komen maar aangeven hoe gemeenten “in control” kunnen komen en hoe ze beter sturing kunnen geven. Het bestuur moet duidelijk gemaakt worden wat informatiebeveiliging is, hoe het samenhangt met risicomanagement en waar Compliance dan om de hoek kan komen kijken.

Dit initiatief is zowel een kans als een bedreiging. Pakken we het verkeerd aan dan zitten we nog jaren vast aan een imperfecte aanpak met alle gevolgen van dien. Het risico is dat we teveel gaan denken vanuit de beveiligingsmaatregelen zonder dat we de risico’s als uitgangspunt nemen. Als dat het geval wordt dan gaan er miljarden gespendeerd worden aan maatregelen die weinig bijdragen aan de echte informatiebeveiliging.

Misschien ken je het verloop met het zogenaamd voldoen aan SOx (Sarbanes-Oxley). Hierbij zijn ook miljarden verloren gegaan omdat we niet meer nadachten over het “waarom” maar gewoon domweg de maatregelen implementeerden “omdat het moest”. De “lessons learned” van SOx zouden we goed kunnen gebruiken om te onderzoeken waar we de beveiliging structureel beter kunnen regelen.

Ik ben heel benieuwd wat de aanpak zal zijn en welke partijen erbij betrokken zullen worden. Mij mogen ze altijd benaderen want mijn handen jeuken en ik heb nog wel wat interessante strategieën om het structureel beter in te regelen waarbij we niet uitgaan van de maatregelen maar juist van de risico’s. We houden het voor je in de gaten en zullen zien of ze deze kans oppakken of voorbij laten gaan.

Overheid heeft te weinig kennis van beveiliging

  door

Hadden we het er gisteren nog over dat de overheid de boetes voor slechte beveiliging binnen bedrijven wil verhogen? Dan moeten ze eerst eens beginnen met het zelf goed organiseren van de beveiliging binnen die overheidsinstellingen.

De Nederlandse overheid heeft te weinig kennis van digitale beveiliging en geeft daarom slechte sturing. Dat concludeert de Onderzoeksraad voor de Veiligheid in een onderzoek dat gedaan werd naar aanleiding van de hack bij Diginotar…Ook is gekeken hoe beveiliging bij de overheid is geregeld. Daarom is ook gekeken naar beveiliging bij de Belastingdienst, de Sociale Verzekeringsbank en een aantal gemeenten. De Onderzoekraad concludeert dat bestuurders door gebrek aan kennis slechte sturing geven en dat de veiligheid bij de overheid fors verbeterd moet worden (bron).

Niets menselijks is de overheid dus vreemd. Wat wel vreemd is, is dat er gedreigd wordt met het opleggen van hoge boetes aan bedrijven die het slecht voor elkaar hebben terwijl ze de zaken zelf niet veel beter geregeld hebben.

De overheid moet hierin een voorbeeldfunctie vervullen. Zij moeten het beter voor elkaar hebben dan het gemiddelde bedrijf en zij moeten sturing geven aan de beveiliging binnen Nederlandse bedrijven. Natuurlijk zijn er best overheidsinstanties die zich hier mee bezig houden, maar blijkbaar krijgen die nog niet voldoende draagvlak om goed te adviseren. Ze hebben te weinig mandaat, te weinig mensen, te weinig kennis, te weinig budget of welke andere reden je dan ook kunt bedenken.

Wil de overheid de beveiliging echt op orde krijgen dan moeten ze vooraan lopen. Ze moeten aantonen hoe het dan wel beveiligd kan worden. Ze moeten de normen en kaders stellen. Ze moeten de vraagbaak zijn voor bedrijven die wel willen maar nog niet kunnen. Zolang dat niet gebeurd blijft het een lastig verhaal.

We kunnen dan hard roepen dat we de boetes verhogen maar ik zie liever dat we vanuit de overheid de organisaties helpen met duidelijke richtlijnen en kaders. Voor die bedrijven die het niet zelfstandig op kunnen pakken moeten we dan zorgen dat er hulp komt vanuit de overheid.

Ook hier geldt weer oorzaak en gevolg. We kunnen wel boetes opleggen maar ik zie liever dat we met zijn allen, in publiek-private samenwerking, proberen om allemaal veiliger te worden. Misschien een mooi onderwerp voor de aankomende verkiezingen? Of is dit toch niet sexy genoeg en te moeilijk uit te leggen aan “Henk en Ingrid”?

Regering wil boete slechte beveiliging verhogen

  door

De regering wil de boete voor slechte beveiliging bij bedrijven die persoonsgegevens laten lekken opschroeven. Waar bedrijven in een concept-wetsvoorstel 200.000 euro boete konden krijgen, wordt dat in het definitieve voorstel 450.000 euro. De boete kan opgelegd worden aan elk bedrijf waarvan persoonsgegevens zijn uitgelekt (bron).

Hoe vaak horen we binnen bedrijven niet dat we die beveiligingsmaatregelen nemen omdat het nu eenmaal van de Compliance afdeling moet? Ik hoor het al jaren om me heen en het lijkt er op dat niemand zich meer afvraagt waarom Compliance er eigenlijk op controleert.

Nu zijn er natuurlijk Compliance afdelingen die zelf ook geen flauw idee hebben en die zich vergeten af te vragen waarom ze eigenlijk controleren. Maar er zijn ook veel competente Compliance medewerkers te vinden.

Laten we er iets verder op inzoomen. Er zijn regels om risico’s af te dekken. Als we kunnen achterhalen welke risico’s dat zijn dan kunnen we daar goede “controls” op zetten. We moeten dus niet langer controleren om te controleren maar we moeten controleren om risico’s af te dekken. Als wij goed voor ogen hebben welke risico’s dat zijn dan kunnen we dat aan de medewerkers uitleggen en dan wordt het voor iedereen een stuk duidelijker waarom we sommige beveiligingsmaatregelen nemen.

En, toegegeven, er zijn binnen bedrijven veel, heel veel, beveiligingsmaatregelen die niet terug te leiden zijn tot een risico. Daarom pleit ik zelf altijd voor minder maatregelen in plaats van meer maatregelen en alles dicht spijkeren.

Het gaat hier te ver om alles volledig uit de doeken te doen (daar kun je hele boeken over schrijven als het moet en je mag me altijd vragen dan kom ik het bij een bak koffie aan je toelichten). Zaak is wel dat we verder kijken dan onze neus lang is en laten we dan bovenstaand artikel als voorbeeld nemen.

Je zou kunnen denken dat we maatregelen nemen om te voorkomen dat we een boete krijgen (voor veel bedrijven is dit ook zo, het gaat om kosten en omzet). Maar het gaat ook om imago. Je wilt dus maatregelen nemen om je imago te beschermen. Dat is allemaal leuk en aardig, maar uiteindelijk gaat het er natuurlijk om dat je de gegevens van je klanten beschermd. Dat is de reden dat we beveiliging moeten inregelen en dan is het opleggen van boetes slechts een pressiemiddel om het voor elkaar te krijgen.

We moeten als bedrijven niet langer “compliant” willen zijn, nee, we moeten er naar streven om “in control” te zijn. Hiermee beschermen we de gegevens van onze klanten en voorkomen we dat we hoge boetes krijgen. Er is nog een lange weg te gaan en die weg begint bij het bewust worden van de zaken die we moeten regelen en met name het antwoord op de vraag: waarom we dat moeten regelen.

Paspoortchip eenvoudig te kraken

  door

We waren er al bang voor, maar hebben toch allemaal gehoopt dat het wat langer zou duren.

De RFID-chip in het nieuwe Nederlandse paspoort is via gratis verkrijgbare software eenvoudig te kraken. Dat liet de Nederlandse beveiligingsonderzoeker Jeroen van Beek gisteren in De Telegraaf weten. De paspoortchip bevat onder meer de naam, geboortedatum, burgerservicenummer, foto en vingerafdrukken van de houder. Volgens Van Beek is de chip van korte afstand uit te lezen en te kopiëren (bron).

Overigens gaat de discussie verder dan dit, omdat er aan alle kanten kopieën van paspoorten worden gemaakt. Met name in hotels vinden ze dat een kopie van een paspoort moet kunnen en veel medewerkers zullen zelfs denken dat het een eis is omdat ze je anders geen kamer mogen geven.

Het College Bescherming Persoonsgegevens (CBP) lanceerde donderdag een aantal richtlijnen om zowel consumenten als bedrijven bewust te maken van de wetgeving. Bedrijven mogen in sommige gevallen wel vragen om legitimatie, maar een kopie maken is in de meeste gevallen verboden (bron).

Nu zitten we dus met een paspoort dat gemakkelijk gekopieerd kan worden en we zitten met bedrijven die niet weten wat de richtlijnen zijn. Tijd voor de overheid om hier maar weer eens een campagne tegenaan te gooien?

Een mooie slogan heb ik al voor ze verzonnen: “Weet hoe het hoort met een paspoort” (oh ja, deze URL natuurlijk niet direct registeren want dan kan de overheid het niet meer doen).

Fraudeur wisselt biljet met naakte vrouwen om in winkel

  door

Persoonlijk weet ik niet wat dommer is. Een biljet aannemen dat overduidelijk een vals biljet is of sowieso een biljet van € 1.000 aannemen (zo’n biljet bestaat immers niet want na € 500 houdt het op).

Een fraudeur in Tsjechië heeft met een wel heel gewaagde stunt uitgepakt. Met een overduidelijk vervalst bankbiljet van 1.000 euro, waarop een reeks naakte vrouwen stond afgebeeld, stapte hij een winkel binnen. Vreemd genoeg slaagde de 47-jarige man erin het biljet om te wisselen voor 24.000 Tsjechische Kronen (bron).

Als ondernemer kun je er niet altijd iets aan doen om het aannemen van vals geld te voorkomen. Natuurlijk kun je het door zo’n blauw lampje heen halen of je kunt een apparaat kopen dat het geld automatisch controleert. Maar dan nog kan het zo zijn dat er een keer iets doorheen glipt.

Hoe langer de rij voor de kassa, hoe kleiner de kans dat je medewerker het geld controleert. Maar sommige zaken mogen toch wel gelijk opvallen. De vraag is natuurlijk of het ook gelukt was met een briefje van bijvoorbeeld € 37,50 of een wit velletje papier met daarop geschreven dat het om een € 500 biljet ging. Waar moet je de grens trekken?

Wil je weten hoe jij kunt controleren of al het geld in je portemonnee echt is? Dan biedt Wikipedia je daar al een eerste stap voor. Verder kun je natuurlijk ook nog Googlen of via de site van De Nederlandsche Bank je ligt opsteken. Maar sommige mensen willen misschien gewoon graag voor de gek worden gehouden.