FBI: Cyberaanvallen bedreigen staatsveiligheid

De toenemende cyberaanvallen op de Verenigde Staten zijn niet alleen een bedreiging voor de economie, maar ook voor de staatsveiligheid, zo waarschuwde de FBI deze week. Amerikaanse bedrijven en overheidsinstanties zouden het doelwit van buitenlandse spionnen en criminelen zijn. Volgens Shawn Henry, het net benoemde hoofd van de Cyber Divisie, houden niet alleen oplichters en identiteitsdieven zich met cybercrime bezig, de georganiseerde misdaad, terroristen en overzeese regeringen zijn ook betrokken. Henry vreest ook voor nieuwe groepen hackers die zich verenigen om kennis en ervaring uit te wisselen en samen cyberaanvallen uit te voeren. Hij vergelijkt het met bendes die een bank willen overvallen, waarbij er criminelen met verschillende expertise benodigd zijn.

Dit toont maar weer aan de het niet meer amateurs zijn die met wat simpele tooltjes proberen in te breken. De georganiseerde criminaliteit heeft zich jaren geleden ook al gericht op dit soort activiteiten en zelfs overheden bemoeien zich er mee. Voor het niveau van beveiliging betekent dit dat we het moeten managen en constant alert moeten zijn, we kunnen niet op onze lauweren rusten. De omgeving verandert continu, daar moeten we ons niveau van beveiliging dan ook continu op afstemmen. Wanneer heeft u voor het laatst de plan, do, check, act cyclus voor beveiliging doorlopen? Misschien is dit een goed moment om de inrichting van de beveiliging weer eens tegen het licht te houden.

Dertig miljoen PC’s met nep-virusscanners besmet

De uitbraak van nep-virusscanners begint epidemische vormen aan te nemen, want volgens de Spaanse virusbestrijder Panda Security zijn wereldwijd 30 miljoen Windows computers ermee besmet. Via pop-ups en drive-by aanvallen laat de software gebruikers geloven dat hun systeem gevaar loopt en het aanschaffen van de nep-virusscanner de problemen oplost. De tactiek lijkt goed te werken, want uit cijfers blijkt dat maar liefst drie procent van alle geinfecteerde gebruikers besluit om de aangeboden software te kopen. Dat levert de verspreiders van de nep-virusscanners maandelijks tien miljoen euro op.

Ook al zien de nep-virusscanners er nog zo goed en betrouwbaar uit, een korte zoektocht op internet laat al snel zien wat het echte doel van deze nep-virusscanners is. Het wordt dan ook aangeraden te controleren of de virusscanner die je wilt gaan gebruiken ook echt een virusscanner is en hoe goed hij zijn werk doet. Computermagazines testen regelmatig de werking van virusscanners en het wil absoluut niet zeggen dat de scanner die je tien jaar geleden gebruikte vandaag de dag nog zo goed is.

Uiteraard moeten we naast anti-virusprogramma´s niet de firewall (inclusief de juiste instellingen), anti-spyware en alle andere soorten beveiligingsprogramma´s vergeten. De juiste combinatie van beveiligingsprogramma´s kan veel problemen voorkomen, niet alleen voor thuis, maar zeker ook in de zakelijke wereld.

Bedrijven bewaren teveel persoonsgegevens

Bedrijven slaan teveel informatie over hun klanten en werknemers op en brengen die en zichzelf daardoor in gevaar. Door de verzameldrift van bedrijven zullen bedreigingen voor die data de komende tijd niet verdwijnen. “Het model dat we nu gebruiken betekent dat organisaties teveel gegevens bezitten. In een normale e-commerce transactie wil de ondernemer meer informatie bewaren als de de waarde van de transactie omhoog gaat. Maar dat geldt ook voor de aansprakelijkheid en risico. Dat proces moet veranderen,” aldus vice president Gerry Gebel. Het proces vindt niet alleen bij klanten plaats, ook gegevens van personeel zoals screenings, medische verzekeringen en salarisgegevens worden massaal opgeslagen.

Binnen Nederland is de Wet Bescherming Persoonsgegevens van kracht als het gaat om de opslag van persoonsgegevens. Niet alleen moeten organisaties de persoonsgegevens aanmelden ook moeten zij aantoonbaar beveiligingsmaatregelen implementeren om deze gegevens te beschermen.

Toch worstelen veel organisaties met de bescherming van deze gegevens. Het College Bescherming Persoonsgegevens heeft een zelfevaluatie gemaakt waarmee organisaties inzicht kunnen krijgen in de status van de Wet Bescherming Persoonsgegevens, de zelfevaluatie is hier te vinden

Rookverbod gevaar voor bedrijven

De Telegraaf bericht over het feit dat het rookbeleid binnen bedrijven grote gevolgen kan hebben voor de beveiliging van die bedrijven. De rokers gaan geregeld naar buiten om een sigaret te roken. Ze verlaten het gebouw door de nooduitgang of gewoon via de hoofdingang. De nooduitgang blijft vervolgens open staan waardoor indringers gemakkelijk het gebouw in kunnen en de bedrijfseigendommen gemakkelijk het bedrijf uit kunnen.

De bewakers bij de hoofdingang krijgen inmiddels zoveel medewerkers per dag langs hun loket dat het controleren er bij in schiet. De diefstal van goederen, laptops en privé eigendommen van de medewerkers is daarmee een feit. Niet alleen buitenstaanders kunnen gemakkelijk het gebouw betreden om diefstal te plegen, ook de eigen medewerkers worden verleid om goederen, laptops en privé eigendommen van collega’s te stelen en er tijdens een rookpauze simpel mee naar buiten te lopen.

Wat goed zou moeten zijn voor onze gezondheid en wat het risico op brand zou moeten verlagen brengt dus juist een extra risico op diefstal met zich mee.

Dieven verkleden zich als bankmedewerker

Door zich voor te doen als bankmedewerkers zijn criminelen erin geslaagd bij talloze Ierse winkels de betaalautomaten te manipuleren en zo tenminste 20.000 creditcardgegevens te stelen. De criminelen maakten de winkeleigenaren wijs dat ze onderhoudswerkzaamheden kwamen verrichten. Zodoende wisten ze apparatuur toe te voegen die de kaartgegevens via het internet toegankelijk maakte (Security.nl, 19 augustus 2008).

Buiten de manipulatie van de betaalautomaten zijn ook de winkeleigenaren gemanipuleerd, ze zijn om de tuin geleid en zijn ervan uit gegaan dat de persoon die voor ze stond ook echt een bankmedewerker was. Hieruit blijkt het belang dat gehecht moet worden aan de controle van de identiteit van leveranciers, service monteurs en alle andere externe partijen. Niet alleen als ze in levende lijve voor je staan maar ook als ze je telefonisch benaderen.

Hoe vaak gebeurt het niet dat je via de telefoon benaderd wordt voor informatie, weet je dan altijd wie de vraag stelt, ken je de ander aan de andere kant van de telefoonlijn? En weet je ook zeker dat hij is wie hij zegt dat hij is? Als je het niet helemaal vertrouwd zou je het telefoonnummer kunnen vragen en de persoon terug kunnen bellen. Zo heb je al enige zekerheid, maar vertrouwelijke informatie moeten we natuurlijk nooit via de telefoon verstrekken. Dat weet jij, maar weten je collega´s het ook, zijn ze zich er voldoende van bewust? Een beveiligingsbewustzijnscampagne kan het bewustzijn onder het personeel vergroten.

Thuiswerkplek onveilig

De Telegraaf bericht over de onveiligheid van thuiswerkplekken. Zo blijkt, niet geheel verrassend, dat een groot deel van de thuiswerkplekken onveilig is. Hackers of virussen kunnen op deze manier toegang krijgen tot gevoelige bedrijfsgegevens. Hierdoor kunnen gegevens verloren gaan of gemanipuleerd worden.

Thuiswerken wordt steeds populairder en meer en meer organisaties stimuleren hun medewerkers om op deze manier 24 uur per dag bereikbaar te zijn. Naast een laptop beschikken we ook over een pda of Blackberry en omdat we graag willen werken moeten we toch vooral en overal beschikken over de bedrijfsinformatie.

Is informatiebeveiliging al een ingewikkelde uitdaging binnen het bedrijfsnetwerk. Met het meer en meer open worden van de infrastructuren en de toename van de mobiele werkplekken wordt deze uitdaging er niet gemakkelijker op.

De software op de werkplek moet up-to-date blijven, de firewall moet ingeschakeld zijn, de anti-virus maatregelen moeten bij de tijd zijn en moet worden voldaan aan alle andere technische voorschriften van de ICT-afdeling. Een organisatie moet nadenken over de wijze waarop met gevoelige informatie wordt omgegaan en welke eisen we aan de informatie maar ook aan de medewerkers stellen. De medewerker op zijn beurt moet begrijpen dat de informatie waarmee hij werkt weleens gevoelig kan zijn.

Five Practical Tips for Performing Risk Assessments

Een risico assessments is een van de belangrijkste hulpmiddelen voor de beveiligingsprofessional. Wanneer ze goed uitgevoerd worden hebben ze een enorme meerwaarde voor organisaties. Maar ze kunnen ook het tegenovergestelde effect hebben als ze niet goed worden uitgevoerd. Het CISO Handboek (te vinden op www.cisohandbook.com) geeft een vijftal praktische tips bij het uitvoeren van risico assessments.

  1. Measure the Scope of the Risk Assessments That You are Currently Conducting.
  2. Use Risk Assessments to Enable Business Decisions.
  3. Make a Conscious Decision Regarding the Risk Model Employed in the Assessment.
  4. Focus on the Trending Elements of the Risk Assessment
  5. Ensure the Goal Matches the Approach of the Assessment

The State of Information Security Survey 2008

In December 2007 heeft de Information Security Media Group (bekend van www.bankinfosecurity.com en www.cuinfosecurity.com) een onderzoek uitgevoerd naar de status van informatiebeveiliging binnen financiele instellingen in de United States.

De resultaten van het onderzoek zijn dubbelzinnig. Aan de ene kant geeft 64% van de instellingen aan dat ze zichzelf goed of zelfs zeer goed in staat acht om te gaan met informatiebeveiliging risico’s. Verder meent het merendeel van de instellingen dat de clienten voldoende vertrouwen stellen in de beveiligingsmaatregelen die zijn geïmplementeerd. Aan de andere kant geeft een op de vijf instellingen aan de laatste twee jaar last te hebben gehad van een beveiligingsrisico of niet te weten of ze hier last van hebben gehad. Tweederde van de financiele instellingen heeft zijn informatiesystemen (deels) uitbesteedt aan service providers. Toch geven ze aan slechts beperkt vertrouwen te hebben in de beveiligingsmaatregelen van de service providers. Een belangrijk aandachtspunt dat door 73% van de instellingen wordt gezien is de verbetering van het beveiligingsbewustzijn van clienten.

De overige verbeterpunten die op de agenda staan voor 2008 zijn onder meer:

  • Documenteren en communiceren van Informatiebeveiligingsplannen;
  • Verbeteren van Vendor management.

De management samenvatting van het onderzoek is terug te vinden op de website van bankinfosecurity.

Defensie neemt beveiligde USB stick in gebruik

Na een aantal keer het nieuws te hebben gehaald met verloren USB sticks is het Ministerie van Defensie begonnen met het verstrekken van beveiligde USB sticks aan haar medewerkers. Deze sticks worden door het Ministerie in bruikleen aan de medewerkers gegeven zodat altijd de eigenaar van de stick achterhaald kan worden.

Mits de achterliggende techniek voldoende sterk is, wordt hiermee aan de exclusiviteitseisen die gesteld worden aan de staatsgeheime informatie tegemoet gekomen. Ook voor andere organisaties, zoals financiele instellingen, dienstverleners in de zorgsector en gemeentes, zou dit een goede maatregelen kunnen zijn om de aan hen toevertrouwde informatie beter te beschermen.

Door aanvullend de medewerkers te trainen, de juiste classificatie aan de informatie toe te kennen en het verstrekken van toegang tot die informatie op basis van need to know kan al voor een deel voorkomen worden dat informatie in de verkeerde handen terecht komt. Als dan ook nog op de juiste wijze back-ups van de informatie gemaakt worden kunnen we naast de exclusiviteitseisen ook aan de beschikbaarheidseisen voldoen.

Aanpassingen privacybeleid noodzakelijk

Het College Bescherming Persoonsgegevens (CBP) heeft op 2 april 2008 haar jaarverslag over 2007 gepubliceerd. In dit jaarverslag is aangegeven dat in 2007 over de schending van de privacy 5900 klachten bij het College zijn ingediend. Naar aanleiding van deze klachten en controles van het CBP hebben verschillende organisaties hun privacybeleid aan moeten passen.

Privacy en marketing leven vaak op gespannen voet met elkaar. Wat voor marketing een goede bron van informatie is moet vanuit privacy standpunt beschermd worden. Het is belangrijk om een goed en doordacht privacybeleid te ontwikkelen dat zo goed mogelijk wordt afgestemd op de doelstellingen van de organisatie.Het is organisaties best toegestaan klantinformatie te gebruiken en te hergebruiken, als maar voldoende duidelijk is gemaakt voor welke doeleinden de gegevens verzameld worden. Op www.mijnprivacy.nl kan meer informatie worden gevonden over de bescherming van de persoonsgegevens. Het gehele jaarverslag kan op de website van het CBP worden gedownload.