Tag: impact

Politie: overvallers niet al te snugger

  door

Criminelen die een overval plegen, lijken niet al te snugger te zijn. De pakkans is groot, terwijl de buit over het algemeen vrij gering is, zeker in relatie tot het risico dat overvallers nemen (bron).

Je zult jezelf maar beroepscrimineel noemen. Je hele beroepsgroep wordt in eens uitgemaakt voor domoor. Maar een dergelijk bericht is natuurlijk niet nieuw. We weten al jaren dat de kans op een aanzienlijke buit minder en minder wordt. Meer en meer mensen betalen immers met digitaal geld en meer en meer bedrijven romen hun geld op tijd af. Er is gewoon minder baar geld voor handen en dat is maar goed ook.

Aan de andere kant is het voor veel jongeren toch nog steeds erg makkelijk om een overval te plegen. Zij denken niet in termen als “pakkans” en met een paar tientjes zijn ze ook al erg tevreden. Dat verschilt van degene die zich tot de beroepscriminelen rekenen, die houden wel degelijk rekening met de kans en de impact. Pakkans groot en buit laag, dan gaan ze al snel op zoek naar een andere mogelijkheid om aan hun geld te komen.

Je kunt het natuurlijk vergelijken met de carrière die iedere werknemer ook doormaakt. Aan het begin van die carrière weten we nog relatief weinig en met de jaren komt ook de ervaring. Na een paar jaar kijken we ineens heel anders tegen ons werkzame leven aan. Ik kan me zomaar voorstellen dat dat met een criminele carrière ook zo gaat. In het begin denk je helemaal niet aan een pakkans en als je eenmaal wat overtredingen begaan hebt wordt je vanzelf ervarener in je “vakgebied”.

Je wilt helemaal geen simpele overval meer plegen en je hebt er in je carrière voor gekozen om wat treden van de ladder te nemen. Je houdt je inmiddels bezig met zaken die voor veel meer financiële zekerheid kunnen zorgen.

Juist daarom is het zo belangrijk om de pakkans op jongere leeftijd te vergroten. Hoe eerder je ze pakt en hoe eerder ze criminele activiteiten afleren, hoe minder kans we lopen dat ze daadwerkelijk carrière maken op dit gebied. Helaas komt daar veel meer bij kijken dan alleen het vergroten van de pakkans. De straffen (voor zover die natuurlijk helpen) moeten daarop afgestemd worden. Dan heeft opsluiten alleen, weinig zin. Nee, we moeten ervoor zorgen dat ze ook daadwerkelijk en bewust voor een andere, meer legale, carrière kiezen.

En ja, dan zul je moeten werken voor je geld. En ja, dan begin je ook weer aan de onderkant van de ladder en verdien je een habbekrats per uur waarvan je ook nog eens een groot deel naar de belastingdienst mag brengen. Je moet dan ook wel stevig in je schoenen staan om iedere morgen vroeg je bed uit te komen en aan de slag te gaan. Jouw makkers slapen lekker uit, plegen een kraakje en rijden in een mooiere auto dan jij doet.

Zolang misdaad loont (en dat zal het waarschijnlijk altijd wel blijven doen) zijn we nog niet van dit soort problematiek verlost. Hoe het dan wel moet? Geen idee, volgens mij zijn daar al vele studies voor uitgevoerd en is het echt passende antwoord nog niet gevonden. Tot die tijd blijven we hier maar geregeld bloggen over dit soort nieuwsberichten…wat de nieuwswaarde dan af en toe ook mag zijn.

Hardware veel onveiliger dan software

  door

Eind vorig jaar kwam het onderstaande bericht al voorbij. Maar omdat we deze week bezig zijn met het aanvullen van ons lijstje risico’s, kan deze niet ontbreken.

Hackers zullen zich in 2012 massaal op hardware richten, aangezien fabrikanten zeker tien jaar achterlopen in vergelijking met softwareleveranciers. Dat is een voorspelling van Michael Sutton van beveiligingsbedrijf Zscaler Research (bron).

De moraal is natuurlijk dat we niet de beveiliging van software uit het oog moeten verliezen (want daar is nog genoeg mis mee), nee, we moeten simpelweg de hardware aan ons lijstje toevoegen. Denk aan allerlei apparatuur als printers, routers, servers maar ook kopieerapparaten en koffiemachines mogen wat mij betreft tegen het licht worden gehouden.

Natuurlijk loop je meer risico met netwerkapparatuur waarop bedrijfsinformatie staat en natuurlijk is het nog een ver van mijn bed show dat we aangevallen worden via koffiemachines. Toch zit er aan een koffiemachine een directer risico. We hebben het in het verleden wel eens aangehaald, maar zullen er nog een keer kort op ingaan.

De kans is groot dat onze koffie leverancier op afstand kan kijken wat er met de machine aan de hand is. Op afstand wordt het aantal geschonken bakjes koffie uitgelezen en jouw bedrijf krijgt daarvoor de rekening gepresenteerd. Maar wat als de leverancier de cijfertjes een beetje beïnvloed en naar boven toe afrond? Ben jij in staat om te controleren of de cijfers kloppen? En als de leverancier via het netwerk de machine kan benaderen, kunnen de criminelen dan niet via die netwerkverbinding ons netwerk binnen dringen?

Voor de kopieerapparaten geldt natuurlijk hetzelfde. De leverancier ziet het aantal kopietjes en printjes op afstand en jij betaald per pagina. Maar de kans is ook aanwezig dat de informatie die geprint of gekopieerd is op afstand is uit te lezen. In dergelijke apparaten zit een harde schijf en als het de leverancier of een crimineel lukt om de informatie uit te lezen dan ligt de informatie op straat.

De hardware wordt nu ook aan ons lijstje toegevoegd en de software blijft gewoon op ons lijstje staan. De kans en de impact schatten we. Maar als ons lijstje wordt uitgebreid moeten we ook de prioriteiten gaan stellen. We kunnen niet alle risico’s tegelijk aanpakken en dat is ook helemaal niet nodig. Met de inschatting van de kans en impact (op een 5-puntsschaal) ontstaat ook direct een prioriteitenlijst. De risico’s met de hoogste score pakken we het eerst op.

Logisch, toch? Ja, als je het zo ziet en leest wel. Maar ook hier is de praktijk weer een stuk lastiger. Nog te vaak zien we dat we wel risico’s aan het afdekken zijn maar dat het niet noodzakelijkerwijs de risico’s met de hoogste score zijn. Nee, veelal zijn het de risico’s die we het makkelijkst op kunnen lossen (het zogenaamde low hanging fruit), de meer ingewikkelde risico’s schuiven door omdat we daar meer budget of meer denkkracht voor nodig hebben.

Zonde, want hiermee lopen we weer in dezelfde cirkel als we de afgelopen jaren hebben gedaan. We verzanden (of verzuipen) in beveiligingsmaatregelen en verliezen de risico’s uit het oog. Mag ik je er nog even aan helpen herinneren dat 2012 het jaar is van de ommezwaai? Even afstand nemen en terug naar ons lijstje met risico’s. Die beveiligingsmaatregelen volgen dan vanzelf wel.

Cyberspionage grootste dreiging voor Nederland

  door

Omdat we het nieuwe jaar beginnen met risicoanalyse, kunnen we het volgende risico aan ons lijstje toevoegen: cyberspionage. Hiervoor moeten we dus de kans en de impact bepalen zodat we onze verdediging daar op aan kunnen passen.

Cyberspionage en cybercrime zijn de grootste digitale dreigingen waar Nederland nu mee wordt geconfronteerd, zo staat in het eerste cybersecuritybeeld Nederland (CSBN) dat minister Opstelten van Veiligheid en Justitie naar de Tweede Kamer stuurde…Volgens het rapport zijn de aanvallen gericht op het verkrijgen van vertrouwelijke informatie van economische of politieke waarde, of op direct geldelijk gewin. (bron).

Bij risicoanalyse moeten we goed onderscheid blijven maken in oorzaak en gevolg. Halen we die door elkaar en schatten we de kans en impact verkeerd, dan is de kans groot dat we verkeerde beveiligingsmaatregelen treffen. Theoretisch simpel, in de praktijk een stuk weerbarstiger: als we de kans hoog schatten dan moeten we die maatregelen vinden die de kans verlagen. Is de impact groot, dan zoeken we naar maatregelen om de impact te verminderen. Zijn zowel de kans als de impact groot, dan nemen we dus maatregelen om beide te verlagen. Simpel gezegd, lastig in de praktijk gebracht.

Daarbij moeten we ook goed kijken naar de zogenaamde daderprofielen: tegen wie moeten we ons eigenlijk beschermen? Voor cyberspionage wordt hierbij onderscheid gemaakt in “statelijke actoren” en “criminelen”.

Criminelen zou het merendeel van alle cyberincidenten veroorzaken, waardoor deze het meest tastbaar zijn voor de samenleving. “Statelijke actoren kunnen echter de kennis en middelen mobiliseren om de meest geavanceerde en grootschalige aanvallen uit te voeren.

Gelukkig mogen we gebruik maken van het dreigingsoverzicht om te bepalen waar wij nu het risico lopen.

Tijd dus om cyberspionage aan onze lijst met risico’s toe te voegen en hem hoog op de agenda te zetten. Tijd om ons risk framework aan te passen en onze kop uit het zand te halen. Cyberspionage is een grote dreiging, maar als wij onze maatregelen nemen, dan wordt de kans een stuk kleiner dat het ons treft.

Het systeem voor onderhoud van informatiesystemen

  door

Zo, dat fantastisch mooie, nieuwe, supersnelle netwerkcomponent is aangeschaft en voorlopig zitten we er weer goed bij, toch? Afschrijving van dat systeem in 5 jaar, dus voorlopig hebben we er geen omkijken naar, toch? Onderhoud van het nieuwe component was optioneel bij de aanschaf, dus daar hebben we flink op kunnen bezuinigen, toch?

Als het gaat om onderhoud van de informatiesystemen dan moeten we verder kijken dan de neus lang is. We moeten niet alleen kijken naar de economische levensduur maar juist ook naar de technische levensduur (die wellicht vele malen belangrijker is). Gelukkig kunnen we met goed onderhoud die technische levensduur flink verlengen (en op de lange termijn dus flink wat geld verdienen). Maar goed, eerst maar even de vraag:

Is er een systeem voor het onderhoud van informatiesystemen, netwerkcomponenten en IT-middelen?

Je hebt het voorbeeld vast wel eens gehoord: het aanschaffen van een Rolls Royce is een ding, het onderhouden daarvan een ander. Dat was in het verleden, naar horen zeggen, ook de reden dat de prijzen nou niet echt overzichtelijk waren. Als je naar de prijs moest vragen dan kon je het niet betalen. As simple as that.

Trekken we de parallel naar het onderhoud van de informatiesystemen dan geldt daarvoor in enige mate hetzelfde. Het aanschaffen is een, maar het onderhouden is twee. Hoe vaak zien we niet dat de systemen weg staan te stoffen? De schoonmaker mag zeker niet in de serverruimte komen want wie weet wat die daar stuk kan maken (ja ja, ik weet het onderhoud is niet gelijk aan schoonmaak, maar we trokken een parallel, weet je nog?).

Onderhoud is niet goedkoop en kan al snel oplopen tot 20% van de aanschafprijs. Het voordeel is wel dat we daarmee de levensduur van het systeem kunnen verlengen en wat is er nou mooier dan een systeem te hebben dat de economische levensduur in technische zin overleeft.

Overigens moeten we met onderhoud ook weer niet doorschieten. Sommige systemen willen we helemaal niet onderhouden…we leven in een weggooimaatschappij, toch? Wie doet er nu nog 5 jaar met zijn smartphone of laptop? Willen we daar dan enorme onderhoudskosten voor dragen of accepteren we dat het vaak goed gaat en we zo af en toe een laptop wat eerder moeten vervangen?

Nee, bij onderhoud kijken we enerzijds naar de economische aspecten, maar we kijken natuurlijk juist ook naar hoe kritiek het systeem is. Welke kritische bedrijfsprocessen zijn afhankelijk van het systeem en hoe lang mogen die uit de lucht zijn voordat de klanten beginnen te piepen…of we omzet mislopen?

Kortom: ook bij onderhoud van de informatiesystemen is een kosten/baten en impact analyse noodzakelijk. Doen we dat op de juiste wijze dan kunnen we het onderhoudssysteem afstemmen op de bedrijfsvoering en besteden we alleen onderhoudskosten aan die systemen waarvoor we dat noodzakelijk vinden.

Dreigingen: oorzaak en gevolg

  door

Gisteren zijn we al ingegaan op de vraag of de dreigingen inzichtelijk zijn. Daarbij zijn we ook al kort ingegaan op de relatie tussen oorzaak en gevolg. Die natuurlijk vergelijkbaar is met zaken als: doel en middel, kip en ei enzovoorts. Als we inderdaad serieus met het inzichtelijk maken van de dreigingen omgaan, dan wordt de volgende vraag:

Zijn de mogelijke gevolgen van een dreiging geïnventariseerd (de risico scenario’s zijn bekend)?

Na de vorige stap hebben we zicht op de dreigingen die ons daadwerkelijk uit het veld kunnen slaan. We hebben hele lijsten met oorzaken en gevolgen. Of eigenlijk hebben we een lijst met allerlei gevolgen en gaan we vandaar uit terugredeneren naar de mogelijke oorzaken voor die gevolgen. Vreemd, maar waar: op de een of andere manier is het voor ons makkelijker om te denken in gevolgen dan in oorzaken. Op zich helemaal niet erg, maar wel goed om te beseffen zodat we nog even doordenken.

Hebben we eenmaal een dreiging geïdentificeerd dan stellen we onszelf nog even de vraag: is dit nu een oorzaak of juist een gevolg? Constateren we dat we hier te maken hebben met een gevolg dan stellen we onszelf de vraag wat dan de mogelijke oorzaken (er kunnen er meer, veel meer zijn) zijn.

Vervolgens kunnen we de kans en de impact voor deze dreigingen bepalen. Dit geeft een indicatie van de prioriteiten die we moeten stellen. Als we de risico analyse helemaal kwantitatief hebben gedaan dan kunnen we er nog echt mee rekenen ook, maar de praktijk is dat veelal statistieken ontbreken om het echt goed kwantitatief aan te pakken. Vaak wordt dan ook voor een meer kwalitatieve manier gekozen, waarbij we wel cijfers kunnen gebruiken maar alleen om de dreigingen onderling vergelijkbaar te maken. Een kans op een schaal van 1 tot 5 en de impact op diezelfde schaal. Het zegt niets over het absolute risico, maar maakt onderling vergelijken een stuk makkelijker.

De kans en impact bepalen is nuttig, maar zoals geschreven dient die stap nog gevolgd te worden met een beschrijving van de echte gevolgen en oorzaken van een dergelijke dreiging. Wat zijn de gevolgen en oorzaken van een overstroming? Wat zijn de gevolgen en oorzaken van een virusuitbraak op ons netwerk? De beveiligingsmaatregelen die we uiteindelijke besluiten te nemen dienen de gevolgen te beïnvloeden of de oorzaken weg te nemen.

Simpel gezegd kunnen we maatregelen nemen die:
• De kans verkleinen;
• De impact verkleinen;
• De kans en impact verkleinen.
Welke we kiezen hangt af van de kans en de impact die we bepaald hebben. Is de kans klein dan kunnen we er beter voor kiezen om de impact te verlagen. Is de impact daarentegen laag dan kiezen we ervoor om juist de kans te beïnvloeden. Zijn zowel de kans als de impact hoog, dan pakken we ze beide bij de horens.

Het risico van het ontbreken van het bepalen van de gevolgen van een dreiging zijn dat we wel allerlei rekenkundige/cijfermatige bepalingen krijgen voor de dreigingen maar dat er alsnog een mismatch ontstaat tussen de te nemen beheersingsmaatregelen en de daadwerkelijke dreiging.

Terugkomend op de overstroming. We kunnen wel proberen om de kans te verkleinen door de Waterschappen te verzoeken de dijken te verhogen maar de kans dat we hier resultaat boeken is slechts beperkt. Beter kunnen we ons richten op de impact. Wellicht is het mogelijk de serverruimte op de eerste verdieping van ons pand te situeren zodat de schade beperkt blijft bij een dijkdoorbraak.

Kortweg moeten we dus kijken naar de beheersingsmaatregelen waar we zelf invloed op uit kunnen oefenen. De maatregelen waar we geen invloed op hebben moeten we wel onderkennen maar kunnen we zelf niet beheersbaar maken.

Vijftien bedrijven in regio met groot risico

  door

Begonnen we deze week met de 119 risicobedrijven in Zuid-Holland, sluiten we af met de 15 risicobedrijven in de provincie Utrecht.

Liefst vijftien bedrijven in de provincie vallen in dezelfde risicoklasse als Chemie-Pack in Moerdijk. Dat blijkt uit een inventarisatie van RTV Utrecht (bron).

Waar maken ze zich in Utrecht zorgen om? 15 verspreid over de provincie. Zuid-Holland zal wel aan kop gaan met zijn 119. Maar natuurlijk moeten ze zich ook in Utrecht zorgen maken, de kans dat het daar fout gaat is natuurlijk ook enorm.

Het leuke van het bericht is dat er ook een overzicht gegeven wordt van de bedrijven:
– Brandstofdepot van Gulf Oil, Nigtevecht
– Schoonmaakmiddelenfabriek Ecolab, Nieuwegein
– Katalusatorenfabriek BASF, De Meern
– Brandstofopslag Van der Sluijs, Utrecht
– Drukkerij Biegelaar, Maarssen
– Schoonmaakmiddelenbedrijf Johnson, Mijdrecht
– Industriële vetten van Smit en zoon, Amersfoort
– Vuurwerkonderneming Breeschoten De Kruiterij, Veenendaal
– Vuurwerkgroothandel GBV Weco, Veenendaal
– Vuurwerkonderneming Rosa Investment, Veenendaal
– Transportonderneming TDG, Veenendaal
– Gashandel Bakker, Rhenen
– Gasdepot Primagaz, Woudenberg
– Van Appeldoorn chemische logistiek, Woudenberg

Laten we eerlijk zijn, er staan er toch een aantal tussen waarbij je niet zo snel zou verwachten dat daar een enorm risico is. Wat te denken van: Katalusatorenfabriek, Drukkerij Biegelaar en Transportonderneming TDG?

Ook weten we nu dat er wel wat concentratie vuurwerk in Veenendaal ligt opgeslagen. Dan ga je toch ineens anders naar een stad kijken, of niet?

In ieder geval is het goed dat er nu eindelijk weer eens wat aandacht voor is. De vuurwerkramp was blijkbaar alweer te lang geleden, de regels en controles waren alweer wat versoepeld…tijd dat we er nu eens echt goed naar gaan kijken en ook naar blijven kijken.

Helaas is het waar: een land heeft zo af en toe een ramp nodig om weer eens bij de les te komen…jammer dat we er niet in slagen om ook bij de les te blijven. Ook zo benieuwd wat de volgende ramp wordt? Ik eigenlijk niet maar dat er weer wat aan zit te komen, ja dat mag duidelijk zijn. Hopelijk een ramp met een kleine impact.