Categorie: Uncategorized

Werknemers ontslagen na melden beveiligingslek

  door

Twee werknemers van een Amerikaans energiebedrijf, zeggen ontslagen te zijn omdat ze een beveiligingslek hebben gemeld (bron). De twee ontdekten en rapporteerden dat ongeautoriseerde computers op het mainframe van de centrale waren aangesloten. Het systeem van de centrale zou ook op software zijn aangesloten die zich nog in de testfase bevond. Verder zouden teveel werknemers toegang tot de computers hebben. Reden genoeg voor de twee om alarm te slaan vorige week hoorden ze dat ze ontslagen waren.

Hartstikke goed (not), shoot the messengers: ontslaan die mensen. Het levert alleen maar werk en kosten op als iedereen incidenten en lekken gaat melden. Nee struisvogel politiek is in dit geval de juiste keuze, kop in het zand dan zien we niks en wat we niet zien gebeurt ook niet.

Voordeel voor het energiebedrijf is natuurlijk wel dat geen van de werknemers het meer in zijn hoofd zal halen om lekken te melden, het kan je de kop kosten. Als er geen lekken gemeld worden, dan zijn er ook geen lekken en zijn we dus veilig. Ehm, benieuwd wanneer er een power down plaats zal vinden in deze stad, als ik daar woonde zou ik toch maar een generator aanschaffen.

Ik zeg: maak ze medewerkers van de maand, ze hadden een energiebedrijf kunnen behoeden voor grote gevolgen en de gevolgen van de klanten. Als binnenkort het licht uitgaat zal er door de klanten een behoorlijke claim worden neergelegd. Ben benieuwd of we er ooit nog wat van horen.

Bedrijven nemen vaker illegale software door crisis

  door

Softwarepiraterij is in Nederland weer in opkomst. Steeds meer bedrijven zeggen door de economische recessie geen budget meer te hebben om de licenties voor software te kunnen betalen (bron).

Dat constateert de organisatie Business Software Alliance (BSA), die het gebruik van illegale software probeert op te sporen. Sinds eind mei is het aantal zaken waarbij piraterij wordt vermoed met 50 tot 80 procent toegenomen in vergelijking met vorig jaar. Bedrijven die betrapt werden, moesten bijna 300.000 euro betalen aan licentiekosten, schadevergoedingen en juridische bijstand.

Naast het risico op het alsnog betalen van licentiekosten (geen budget voor), schadevergoeding (geen budget voor) en juridische bijstand (geen budget voor) bestaat er ook het risico dat de illegale kopieenn malware, trojans of virussen bevatten en het is zomaar de vraag of de illegale software via internet een update kan krijgen. Verder staat het natuurlijk ook niet goed voor het imago van de organisatie, wat denken de klanten ervan?

Onduidelijk blijft waarom de bedrijven deze crisis niet aangrijpen om (voor een aantal applicaties) over te stappen op Open Source Software. Voor deze software hoeven geen licentiekosten betaald te worden, dat is dan alvast terugverdient. De beheerkosten vallen wellicht iets hoger uit, maar ik denk dat dat met de besparing op de licentiekosten best nog eens mee kon vallen. Ben benieuwd of de crisis de kans is voor Open Source initiatieven.

Obstakel voor nooduitgang verbetert evacuatie

  door

Een strategisch geplaatst obstakel voor een nooduitgang kan de evacuatie van mensen uit een gebouw vreemd genoeg versnellen tijdens een ramp (Bron). Dat hebben Japanse wetenschappers aangetoond.

Bij een experiment plaatsen ze een pilaar op 65 centimeter afstand aan de linkerzijde van de deuropening. Na een minuut hadden zeven extra mensen zich in veiligheid gebracht via de nooduitgang. Volgens de onderzoekers kan een obstakel aan de zijkant van een nooduitgang de opstopping, die normaal gesproken ontstaat voor de deuropening, verminderen. Een obstakel voor de nooduitgang werkt echter niet altijd. De precieze plek is van groot belang. Als een pilaar in het midden voor de deuropening wordt geplaatst, neemt de snelheid van evacuatie juist af.

Hebben we er jaren voor gevochten om nooduitgangen en vluchtwegen vrij te houden blijkt dat een obstakel juist nuttig kan zijn. Helaas betreft het hier een wetenschappelijk onderzoek, theoretisch zal het allemaal best kloppen. In de praktijk zie ik dit verkeerd gaan, pilaren worden op de verkeerde plaats neergezet, zijn te breed of groot of zijn niet goed verankerd waardoor de nooduitgang in zijn totaliteit niet meer bruikbaar is in geval van nood.

Nee, laten we voorlopig nog maar zorgen dat de nooduitgangen en vluchtwegen vrij zijn van obstakels en als in de toekomst (aan de linkerzijde) obstakels worden geplaatst dan hebben we daar wetenschappelijk onderzoek bij nodig. Ik hoop dat ik in dat geval via de rechterzijde het gebouw kan verlaten.

Risicoanalyse vooraf is het belangrijkst

  door

Risicoanalyse is het belangrijkste voorafgaand aan een groot evenement waar veel mensen komen. Dit uiteraard naar aanleiding van de gebeurtenissen tijdens het dancefeest Sunset Grooves zaterdagavond (Bron).

Inmiddels heb ik een risicoanalyse methodiek ontwikkeld en voor een aantal grootschalige evenementen uitgevoerd (het World Tennis Tournament, KLM Open). Ik ben zeker voorstander van het vooraf uitvoeren van zo’n analyse. De organisatoren (veelal een commerciele marketing/sponsor organisatie) kijken echter toch nog vaak terughoudend naar het uitvoeren van een risicoanalyse, de commercie moet vooral niet gehinderd worden door allerlei beveiligingsmaatregelen die getroffen moeten worden.

Toch kan een risicoanalyse vooraf inzicht geven in de dreigingen die relevant zijn, dit uiteraard afhankelijk van het evenement, de locatie en het bezoekersprofiel. Voor grootschalige evenementen is een vergunning van de gemeente vereist. Naar mijn mening zou de gemeente voor het verstrekken van de vergunning minimaal een (kwalitatief goede) risicoanalyse moeten vereisen. Daarbij dan ook weer kijkend naar de aard van het evenement, de locatie en het aantal bezoekers.

Om het uitvoeren van de risicoanalyse succesvol te maken moet de risicoanalist de commerciele kant van het evenement begrijpen. Er moet niet gekeken worden naar wat niet kan/mag of onveilig is, maar er moet gekeken worden hoe het evenement zo veilig mogelijk kan verlopen.

Hadden de gebeurtenissen van het afgelopen weekend dan voorkomen kunnen worden? Wellicht, maar er is op dit moment nog zoveel onduidelijk dat daar eigenlijk geen uitspraken over gedaan kunnen worden. Wel hadden de dreigingen vooraf inzichtelijk kunnen worden gemaakt door een risicoanalyse en had misschien meer toegangscontrole moeten worden uitgevoerd. Dat dit laatste niet gebeurd is lijkt uit de nieuwsberichten een welbewuste keuze. Gelukkig is Lowlands een stuk rustiger verlopen, misschien vervult ervaring een belangrijke rol?

Schoolbestuur moet van onbesproken gedrag zijn

  door

Schoolbestuurders moeten kunnen aantonen dat ze geen strafbare feiten hebben begaan die hun werk in de weg zouden kunnen staan. Waarschijnlijk moeten ze een zogeheten Verklaring omtrent het gedrag (VOG) gaan overleggen (bron).

Leraren en directieleden moesten in het verleden al een VOG kunnen overleggen maar het schoolbestuur dus blijkbaar tot op heden nog niet. Het kan dus zijn dat er nu een bestuurder is aangesteld die een strafblad heeft van hier tot Tokio. Een bestuurder die fraude heeft gepleegd, die is opgepakt voor kinderporno of zijn diploma’s gewoon via internet gekocht heeft. Raar, in andere branches worden medewerkers met een mindere functie dan bestuurder standaard gescreend.

Het is sowieso goed om medewerkers een Verklaring Omtrent Gedrag te laten overleggen, daarnaast kunnen voor bepaalde functies ook aanvullende screeningen worden uitgevoerd. Zelf ben ik denk ik al minimaal 15 keer door verschillende organisaties gescreend, MIVD, AIVD, Ministerie van Justitie en nog wat commerciële screeningsorganisaties. Hoewel ik zeker voorstander ben van uitgebreide screeningen moet daar nu ook weer niet teveel waarde aan gehecht worden. Het zegt alleen maar dat iemand in het verleden niet schuldig is bevonden, dus of hij/zij heeft nooit wat verkeerds gedaan of hij/zij is er nooit voor opgepakt.

Tweede dode Mexicaanse griep in Nederland

  door

In Nederland is een tweede persoon overleden aan de Mexicaanse griep. Het gaat om een 58-jarige man. Net als het eerste slachtoffer was hij al ernstig ziek voor hij griep kreeg. Zo meldt nu.nl

Er is al veel ophef gemaakt over de Mexicaanse griep en we moeten nog maar afwachten of het echt zo’n rampscenario wordt als voorspeld is. Voorlopig kunnen we in ieder geval de les trekken dat de instanties het eigenlijk ook allemaal niet weten. Ga je gezond naar de grieppoli (het nieuwe woord voor 2009?) kom je met Mexicaanse griep thuis. Raadt het RIVM je aan om vooral niet naar de huisarts te gaan, adviseert Minister Klink juist van wel.

Maar goed dit blog gaat over security en risk, wat heeft de griep daarmee te maken? De continuïteit van de bedrijfsvoering kan er ernstig door in gevaar komen. Is het niet omdat de medewerkers ziek zijn, dan wel omdat ze in quarantaine zitten (in dat geval is het middel erger dan de kwaal).

Aan de andere kant blijkt dat de Nederlandse Spoorwegen met iets meer dan 70% van de medewerkers nog treinen kan laten rijden. Als ik bij de NS werkte zou ik me ernstig zorgen gaan maken…ik zie een flinke bezuinigingsronde aankomen bij de spoorwegen.

Ondernemers dupe van sticker truc

  door

Door op opengemaakte rekeningen van overheidsinstanties een sticker met hun eigen bankrekeningnummer te plakken, zijn oplichters erin geslaagd bedrijven in de provincies Friesland en Noord-Holland tienduizenden euro´s te ontfutselen (bron).

Na de spookfacturen een nieuwe en verbluffend simpele methode om de financiële crisis door te komen. Nadeel van dit soort simpele methodes is het copycat gedrag van mensen. Ik zie de hengeltjes alweer te voorschijn komen, even je brievenbus hengelen, stickertjes plakken en je komt de maand weer door.

De oplossing om dit te voorkomen is natuurlijk net zo simpel als de oplichtingstruc. Gewoon controleren of er geen sticker geplakt is op de factuur en als je het niet vertrouwt even de originele verzender contacten.

Top 100 gevaarlijkste websites op internet

  door

Je kan beter geen pornosites bezoeken, schrijft Symantec. Zij onderzochten de 100 gevaarlijkste websites op het web en (hoe verrassend) ontdekte dat 48% pornografie bevat, op zich niet gevaarlijk, toch? Maar een ander kenmerk van deze “dirty sites”, is de hoeveelheid malware en dreigingen waar ze bezoekers aan blootstellen (leuke woordkeus, zie bron). Een gemiddelde kwaadaardige website bevat 23 dreigingen. Bij een site uit de Top 100, zijn dit er 18.000.

Een overzicht van een deel van de “dirty sites” is op deze pagina te vinden.

Waarschijnlijk hebben we binnenkort weer wat laptops van mensen virusvrij te maken…maar dit soort sites zijn natuurlijk niet bezocht. Weet je nog hoe het ging met “Sex voor de Buch”? Niemand had het destijds gezien, maar iedereen kon erover meepraten.

Websites overheid onveilig

  door

De websites van de overheid bieden criminelen ruimschoots de gelegenheid zonder problemen (persoons)gegevens van Nederlanders te pakken te krijgen, zo blijkt uit onderzoek van internetbeveiligingsbedrijf Networking4all. In het slechtste geval kan een crimineel de complete identiteit van een persoon overnemen. Met alle vreselijke gevolgen van dien. Gevolgen die veel verder gaan dan alleen creditkaart fraude.

Hoewel dit onderzoek zich specifiek heeft gericht op de zogenaamde SSL-certificaten binnen de overheid is al langer bekend dat websites in veel gevallen vatbaar zijn (bijvoorbeeld voor Cross-site scriptin: XSS). Deze onveiligheden betreffen zeker niet alleen websites van de overheid maar ook van commerciele organisaties (zoals banken, zorgverzekeraars), stichtingen, verenigingen en zorginstellingen. Niet alleen kunnen criminelen zo in het bezit komen van privacy gevoelige gegevens, ze zijn ook in staat om websites van organisaties plat te leggen. Als uw organisatie voor (een deel van) de omzet afhankelijk is van de website is het verstandig te onderzoeken voor welke kwetsbaarheden de website vatbaar is. De voordeur van uw winkel doet u op slot en een alarmsysteem hebben we inmiddels ook allemaal wel, waarom laten we de website dan zo open staan?

Printer is goudmijn voor datadieven

  door

De beveiliging van printers en geprinte vertrouwelijke documenten bij bedrijven is slecht geregeld, zo blijkt uit onderzoek van Samsung. Zo ziet 56% van het personeel regelmatig vertrouwelijke stukken verlaten in de printer liggen en iets meer dan de helft is niet bekend met maatregelen om het printernetwerk te beveiligen. Met name mensen die in de financiele sector werken (68%) lopen vaak tegen gevoelige informatie aan die voor het oprapen ligt. In de gezondheidszorg gaat het om 34% van de werknemers die persoonlijke patientgegevens bij de printers vindt. Het zijn ook de gegevens van collega’s die hierdoor voor anderen inzichtelijk worden. Negentien procent ontdekte zo de salarisgegevens van andere werknemers, voortgangsgesprekken en C.V.’s.

De juiste combinatie van technische, procedurele, organisatorische, bouwkundige en elektronische op de organisatie toegesneden maatregelen kunnen de diefstal van vertrouwelijke stukken voorkomen. Zo kan er bijvoorbeeld voor worden gekozen vertrouwelijke stukken alleen op geselecteerde printers te laten printen (technische maatregel), procedureel kunnen medewerkers bewust gemaakt worden vertrouwelijke stukken niet op de printers achter te laten. Medewerkers kunnen persoonlijk verantwoordelijk gemaakt worden voor vertrouwelijke stukken (organisatorische maatregel) en printers voor vertrouwelijke stukken kunnen geplaatst worden in afgescheiden ruimtes met inbraakdetectie of biometrische toegangssystemen (bouwkundige en elektronische maatregelen).

Belangrijk is om de te nemen maatregelen af te stemmen op de processen en cultuur binnen de organisatie.