bewust Archieven -

Verwijderde foto’s na jaren nog steeds op Facebook

door Geen categorie

Facebook belooft dat het alle foto’s die gebruikers in hun profiel verwijderd hebben binnen enkele maanden van zijn servers zal halen. Zelfs foto’s die door gebruikers in 2008 zijn verwijderd, blijken nog zichtbaar voor iedereen die de url van de foto heeft. Het is niet de eerste keer dat Facebook in opspraak raakt vanwege een fout in het fotosysteem. Enige tijd geleden bleek dat ook afgeschermde foto’s op het sociale netwerk zichtbaar werden gemaakt als gebruikers misbruik melden (bron).

Na ons bericht van gisteren over eventuele nep Facebook-profielen (waarbij we de kanttekening van betrouwbaarheid van het onderzoek plaatsten) gaan we vandaag nog even door met de risico’s van Facebook. Al jaren blijkt dat foto’s die door de gebruiker verwijdert zijn, daarna nog gewoon zichtbaar zijn, mits je de URL weet. Ook hier geldt dus weer dat je als gebruiker bewust moet zijn van hetgeen je online doet.

Plaats je een keer een leuke foto van een feestje en ben je daar na een paar maanden wel weer klaar mee, dan kun je er vanuit gaan dat die foto met een beetje zoeken toch nog is terug te vinden. Ben je van plan om een carriâˆšÂ®re stap te maken dan loop je het risico dat je nieuwe werkgever op foto’s stuit waar je niet echt gelukkig van wordt.

Tel daarbij op dat die foto door al je contacten gewoon te zien was en je laat een behoorlijk spoor achter op het internet. Ben jij heel bewust bezig met wie je wel en niet wilt koppelen op Facebook? Accepteer jij alleen privâˆšÂ© contacten of mogen ook je collega’s jouw online vriend worden? Wat je er ook mee doet, misschien wil je dat je er zakelijk toch iets anders uitziet, dat je collega’s een ander beeld van je hebben dan dat je op Facebook laat zien.

De verhalen zijn natuurlijk bekend. Iemand meldt zich een dag ziek maar plaatst op Facebook dat ze lekker gaat winkelen in de stad omdat het uitverkoop is. Even niet bij nagedacht dat dat bericht ook door je collega’s gezien wordt.

Voordat je me ervan gaat betichten: nee, ik ben zeker niet tegen sociale netwerksites ook al heb ik zelf geen geen profielen op Facebook of Hyves. Het gaat mij er meer om dat mensen zich bewust worden van de sporen die ze nalaten. Leuk dat je nu een foto of tekstje plaatst, maar ben je over 2 jaar nog net zo blij met dat bericht? Is het antwoord “nee” dan moet je je misschien nog een keer bedenken. Grote kans trouwens dat jouw volgers dat leuke berichtje helemaal niet zullen missen, want ja er gebeuren best interessante dingen maar er staat ook een hoop onzin op…en die onzin zou jou nog wel eens op kunnen breken.

Organisaties zeer slecht voorbereid op cyberdiefstal

door Geen categorie

Organisaties zijn zeer slecht voorbereid als het gaat om een datalek of cyberdiefstal. Slechts 52% werkt met een gescheiden netwerk voor machines met gevoelige data, zo blijkt uit onderzoek van SpicyLemon, uitgevoerd door Webwereld.(bron)

Veelal kijken we met angst en beven naar de grote boze buitenwereld. Als de dood dat we getroffen worden door een aanval van de echte techneuten. Maar we vergeten nog vaak het “low hanging fruit”, zoals we dat zo mooi noemen.

Laten we er nu eerst eens voor zorgen dat we de normale zaakjes op orde hebben. Daarna kunnen we altijd nog focussen op een zware aanval (die we waarschijnlijk toch niet tegen kunnen houden). Daarbij moeten we niet alleen naar buiten kijken, maar juist ook naar binnen.

De grootste dreiging komt nog altijd van binnenuit. En dan niet eens altijd omdat het om moedwillige aanvallen gaat. Nee, we hebben te maken met gebruikers en dat zijn net mensen. En mensen maken fouten, zo simpel is het nu eenmaal.

Naast de onbewuste fouten komt het ook nog teveel voor dat de medewerker zich helemaal niet bewust is van zijn op handen zijnde fout. Hij heeft geen weet van de beveiligingsregels en als hij ze al kent dan weet hij niet hoe ze toegepast moeten worden terwijl hij gewoon zijn werk kan doen (daar wordt hij immers op afgerekend).

We hebben het natuurlijk al veel vaker aangehaald: het gaat om kennis, houding en gedrag. Dat is de ene kant, maar laten we vooral niet vergeten dat er ook nog een andere kant is: gewoon je werk doen. En ja, dan is beveiliging inderdaad vaak lastig.

Daarom moeten we vanuit beveiliging ook zo goed mogelijk kijken naar de “business”. Hoe kunnen we hen zo makkelijk mogelijk hun werk laten doen zonder dat we bijzondere risico’s lopen? Daar zouden we ons vanaf heden meer en meer op moeten richten. Beveiliging is ondersteunend aan de bedrijfsprocessen want zonder bedrijfsprocessen ook geen beveiliging.

Voordat we dus weer een nieuw stukje beleid schrijven, waarbij we mensen verbieden om zakelijke gegevens naar het privâˆšÂ© account te mailen of waarbij we het niet meer toestaan dat gegevens onversleuteld op een USB-stick worden opgeslagen, moeten we de wereld omdraaien. Vraag nu eens gewoon aan die gebruiker wat hij nodig heeft om het zo veilig mogelijk te doen.

Bij de vraag naar verbeterpunten op beveiligingsgebied, wordt door de verschillende deelnemers aangegeven dat met name de bewustwording bij eindgebruikers en bij de directie vergroot moeten worden. Ruim 37% wil regelmatig security audits door externe partijen gaan laten uitvoeren.

Het zijn net mensen…en daar kunnen wij best mee leren communiceren. Die beveiligingsaudits komen dan wel als we de basis geregeld hebben.

Jongeren laks online, ouderen onwetend

door Geen categorie

Nederlanders gaan onveilig het internet op: in 2011 doen we minder aan bescherming dan in 2010. Jongeren zijn “laks en naâˆšÃ˜ef”, terwijl 55-plussers “onvoldoende vaardigheden” hebben (bron).

Een opmerkelijke uitkomst van het onderzoek, of eigenlijk een heel logisch iets? Als je het mij vraagt het laatste. Natuurlijk zou je verwachten dat mensen beter nadenken voor ze het internet op gaan. Maar wees eerlijk. Hoe weet je nu precies welke bescherming (of software) je nodig hebt en hoe weet je nu dat je echt goed beveiligd bent?

We kunnen natuurlijk al weer vrij snel een parallel trekken naar het autorijden. Waarbij er natuurlijk ook een verschil is: voor autorijden moet je eerst je rijbewijs halen. En nee, ik wil niet direct zeggen dat we dat dan ook maar moeten verplichten voor het gebruik van computers. Nee, ieder zijn eigen verantwoordelijkheid en als ze zich vrijwillig willen laten scholen dan moet iedereen dat lekker voor zichzelf weten.

Maar goed, terug naar het autorijden en het aanschaffen van een auto. Natuurlijk zijn er mensen die goed kijken naar de uitslag van de Euro NCAP-test en er zullen best mensen zijn die hun keuze puur en alleen baseren op de uitslag van die test. Toch zal het merendeel van de mensen die een auto aanschaffen niet geâˆšÃ˜nteresseerd zijn in de uitkomsten van de test. Nee, de keuze zal gebaseerd zijn op het uiterlijk van de auto, de wijze waarop die de status vergroot of degene met de laagste bijtelling.

Vraag je aan mensen of ze een veilige auto willen rijden, dan zal het antwoord volmondig ja zijn. Nu zouden we een dergelijke vraag ook kunnen stellen als het om internet gaat. Wilt u zo veilig mogelijk internetten? Zou vreemd zijn als hier het antwoord ineens “nee” is.

Het draait, zoals bij veel zaken, om “willen” en “kunnen”. Ik ben er van overtuigd dat het merendeel van de mensen best veilig wil internetten. Geen gebrek aan motivatie dus. Dan kan het nog maar aan een ding liggen en dat is “kunnen”. Men weet simpelweg niet hoe of men is er in de verste verte niet in geâˆšÃ˜nteresseerd.

Daar kunnen we natuurlijk hele mooie bewustwordingscampagnes tegenaan gooien maar dat gaat erg weinig verschil maken (en als de onderzoeken over 2012 iets anders tonen, dan is er gerommeld met de cijfers en was het onderzoek wat mij betreft onbetrouwbaar). Wat dan wel? Op zich is zo’n bewustwordingscampagne helemaal niet zo’n slecht idee, maar we zien vaak dat de uitvoering te wensen overlaat.

Willen we er echt voor zorgen dat zowel de ouderen als de jongeren veiliger het internet opgaan dan moeten we ons naast kennis met name richten op houding en gedrag. Leuk dat men weet dat ze onveilig zijn, maar wat als ze niet weten hoe ze dat moeten veranderen?

De software leveranciers gaan hier natuurlijk van smullen en proberen nog meer software aan de man te brengen. Op zich niet erg, als die software zou werken. En met werken bedoel ik niet de technische werking. Ik ben best overtuigd van die technische werking, maar men leest de bijschrijving niet en installeert klakkeloos de software met de illusie dat ze nu een stuk veiliger zijn.

Willen we er echt voor zorgen dat men veiliger wordt, dan moeten we de gebruiker centraal stellen. We moeten kijken waarom de jongeren laks zijn en waarom het de ouderen niet lukt. We zouden kunnen stellen dat we het een en ander in Jip-en-Janneke-taal uit moeten leggen, maar daarmee doen we de gebruiker echt te kort. Nee, laten we er eerst eens voor zorgen dat we weten waarom men het niet kan en laten we dan proberen in gewoon Nederlands uit te leggen wat ze moeten doen, op welke wijze ze dat moeten doen en waarom ze dat moeten doen. Geen gemakkelijke opgave, maar wel een hele interessante uitdaging.

Realistisch? Ehm, voorlopig zal de onveiligheid alleen maar toenemen. We koppelen meer systemen op internet en geven meer gegevens prijs dan waarvan we ons bewust zijn. Het is een utopie om te denken dat we dat met de huidige aanpak echt gaan veranderen.

Functiescheiding in functiebeschrijvingen

door Geen categorie

Hadden we het eerder al kort over het belang van functiescheiding en het feit dat functiescheiding echt niet alleen belangrijk is voor het financiâˆšÂ´le domein. Hier gaan we kort in op het opnemen van de functiescheiding in de functiebeschrijvingen. Daarom de vraag:
Is de functiescheiding formeel in de functiebeschrijvingen vastgelegd?

Als we deze vraag willen beantwoorden moeten we dus eerst zicht krijgen op die functies en die activiteiten die we graag van elkaar willen scheiden om de risico’s beheersbaar te maken en te houden. We kijken daarbij ook naar de rechten die een medewerker heeft. Voor kleine organisaties allemaal nog wel inzichtelijk te maken omdat we man en paard bij naam kennen. Bij grotere organisaties wordt het al wat lastiger, we kennen niet iedereen bij naam en weten ook niet exact over welke rechten ze allemaal beschikken.

Natuurlijk kunnen we wel een uitdraai maken uit de systemen zodat we kunnen achterhalen welke rechten ze hebben. Maar welke algemene accounts zijn er allemaal en wie maakt daar gebruik van? Wellicht beschikken we maar over een algemeen admin-account waar alle beheerders gebruik van maken. Houden we dan nog zicht op de scheiding in verschillende taken en mogelijkheden?

Om dit te voorkomen moeten we de medewerker dus wijzen op de functiescheiding. We willen dat graag formaliseren en leggen dat vast in de functiebeschrijving. Hetgeen we beschrijven komt natuurlijk uit onze algemene analyse waarbij we duidelijk hebben welke functies we nooit willen of mogen combineren.

Daarnaast willen we de medewerker duidelijk maken dat als hij toch over rechten beschikt, die conform beleid niet gecombineerd mogen worden, hij vriendelijk doch dringend verzocht wordt hier melding van te maken (dit uiteraard bovenop de controles die we er zelf op uitvoeren). Ja zul je zeggen, dat is lekker, die medewerker gaat dat natuurlijk nooit melden, want daarmee beperkt hij zijn rechten. Klopt, helemaal waar. Maar er zijn ook medewerkers die wel van rechten af willen omdat ze niet per ongeluk het systeem op zijn kop willen gooien.

Eerder hebben we in de functieomschrijving of het beleid natuurlijk ook al opgenomen dat een ieder persoonlijk verantwoordelijk is voor wat er onder zijn of haar account gebeurt. Zou jij het risico willen lopen dat het netwerk plat gaat vanwege een virus op jouw werkplek omdat je toevallig over teveel rechten beschikt? Ik niet, hoe minder rechten ik heb, hoe beter dat voor de organisatie is…zeker om onbewuste fouten te voorkomen.

Dan hebben we natuurlijk nog de bewuste acties om het netwerk plat te leggen. Medewerkers die gefrustreerd raken, medewerkers die graag informatie willen lekken. Deze gaan inderdaad geen melding maken van het feit dat ze teveel rechten hebben, nee, sterker nog, ze zullen proberen steeds meer rechten te krijgen zodat ze “god worden op het netwerk”.

Het is onze taak om daarvoor periodieke controles in te richten. Wij moeten proberen te achterhalen welke rechten gecombineerd zijn om de risico’s te beperken. Geen makkelijke opgave en alleen maar moeilijker als de organisatie groter wordt. Maar niet iets dat we uit de weg moeten gaan. Begin eens klein (noem het steekproef), pak eens een afdeling en begin er mee. Lukt het? Kunnen we er een standaard proces van maken? Kunnen we de overzichten sowieso boven tafel krijgen? Daarna kunnen we altijd nog uitbreiden naar de hele organisatie, maar bedenk ook hierbij dat beveiliging een lijnverantwoordelijkheid is. Als het ons lukt om de lijnmanager de controles zelf uit te laten voeren dan zitten we dichter bij het vuur. Zij controleren en tekenen daarvoor, net als ze voor het contract van de medewerker hebben getekend.

Nalatigheid is belangrijkste oorzaak verlies persoonsgegevens

door Geen categorie

Nalatigheid en slordigheid bij medewerkers van bedrijven of partnerbedrijven zijn nog steeds de voornaamste oorzaken van het uitlekken van persoonsgegevens. In 41 procent van de onderzochte gevallen zou nalatigheid of slordigheid binnen een organisatie of bij een partnerbedrijf de oorzaak zijn geweest. Aanvallen van buitenaf door cybercriminelen zijn (met 31%) echter sterk in opkomst (bron).

Wederom een bevestiging van een feit dat binnen de beveiligingswereld al jaren bekend is. De grootste dreiging komt (nog) niet van buitenaf maar zit gewoon lekker achter zijn of haar buro en ontvangt er maandelijks nog een goed salaris voor ook. In dit geval wordt gesproken over nalatigheid en slordigheid, beide gevallen van onbewust handelen van de medewerker. Daarnaast moeten we ook zeker die medewerkers niet onderschatten die bewust informatie lekken, daar zit een veel grotere uitdaging.

Aangegeven wordt dat een van de oplossingen is om de medewerkers beter te trainen in de richtlijnen. Op zich natuurlijk een goed punt, daarmee kunnen we (als we het ook echt goed doen) nalatigheid en slordigheid deels voorkomen. Feit is wel dat we degene die het moedwillig en doelbewust doen hier niet mee tegen houden. Deze categorie is vele malen moeilijker in toom te houden. Hoe we dat dan wel kunnen doen? Ja, dat is een vraag die we zo 1, 2, 3 niet kunnen beantwoorden in concrete bewoording. We kunnen natuurlijk eens starten met een goed basis beveiligingsniveau. Veel organisaties besteden tonnen zo niet miljoenen aan beveiligingsmaatregelen zonder dat ze weten hoe goed ze nu eigenlijk beveiligd zijn. Is daar dan geen oplossing voor? Natuurlijk wel, sterker nog, ik heb hem in de vorm van een maturity scan gewoon voor je “op de plank” liggen. Een investering voor organisaties die snel is terug verdiend.

Gaan we even door op het terugverdienen van de investering dan komen de volgende onderzoeksgegevens goed van pas:
Volgens de onderzoekers kost een zaak waarbij persoonsgegevens worden buitgemaakt gemiddeld 7,2 miljoen dollar voor een Amerikaans bedrijf. Per gebruikersrecord zouden de kosten 214 dollar bedragen, tegenover 204 dollar een jaar daarvoor.

Uiteindelijk gaat het voor organisaties maar om drie hoofdpunten: omzet (verlies), kosten (verhoging) en imago (schade). Als we nu eens in die termen leren denken, dan wordt ineens duidelijk waarom we aan beveiliging zouden moeten doen en wat dat dan jaarlijks mag kosten. Ingewikkeld? Ehm, best wel, maar als we een aantal aannames doen dan kunnen we al een heel eind komen.

GeâˆšÃ˜nteresseerd? Mooi, dan hebben we er weer een volgeling bij. Laat het me weten en binnenkort leg ik het je uit tijdens een goede bak koffie.

Tag: bewust

Verwijderde foto’s na jaren nog steeds op Facebook

Organisaties zeer slecht voorbereid op cyberdiefstal

Jongeren laks online, ouderen onwetend

Functiescheiding in functiebeschrijvingen

Nalatigheid is belangrijkste oorzaak verlies persoonsgegevens

Contact gegevens

Zoeken