Reizigers verliezen 3.500 laptops op luchthavens VS

Reizigers blijken massaal mobiele apparaten op populaire Amerikaanse luchthavens te verliezen, zo blijkt uit onderzoek. In 2011 werden op zeven grote luchthavens meer dan 8.000 mobiele apparaten verloren. Slechts één van de zeven onderzochte luchthavens geeft de verloren apparatuur aan de autoriteiten. In de meeste gevallen laten reizigers hun laptop liggen (3.576), gevolgd door smartphones (3.444) en USB-sticks (996). (Bron)

Het zijn cijfers waar je eigenlijk niet bij stilstaat en 3.500 klinkt natuurlijk als erg veel. Maar hoeveel mensen zouden er in dat jaar via die 7 grote luchthavens vliegen? Vele honderdduizenden, als het er niet meer zijn. Ja, dan valt 3.500 natuurlijk wel weer mee.

Het is natuurlijk wel zaak om deze laptops (en andere mobiele apparaten) voldoende te beveiligen. Dat we apparatuur kwijt raken is nog tot daaraan toe maar we zullen toch eerder wakker liggen van de gegevens op die apparatuur.

Een beetje laptop kost een paar honderd euro en die schrijven we binnen een paar jaar af. Maar de informatie op de harde schijven heeft waarschijnlijk een veel hogere waarde. Het is dan ook te hopen dat als het om bedrijfslaptops gaat er in ieder geval een goede backup is gemaakt en het “device” van een wachtwoord en encryptie is voorzien.

Ik ben overigens benieuwd wat het Bring Your Own Device (BYOD) principe hier voor invloed op zal hebben. Zijn mensen voorzichtiger met hun eigen spullen dan met de spullen van de baas? Of zou het juist andersom zijn?

En als we dan nog even doordenken. Hoeveel van die 3.500 laptops zijn echt verloren? En hoeveel zijn er bewust achtergelaten? Hoe vaak hoor jij je collega’s niet afgeven op die oude laptop die ze hebben. Oud? Nou ja, hij gaat toch zeker al 2 jaar mee en al je collega’s hebben inmiddels een nieuwe. Tijd om de jouwe maar weer eens kwijt te raken zodat je een goed excuus hebt om een nieuwe aan te vragen.

Hiermee is het hebben van een laptop dus op een wat vreemde manier een beveiligingsrisico. Omdat een medewerker mogelijk de balen heeft van zijn oude laptop, “verliest” hij hem om een nieuwe te kunnen aanvragen. Daarmee lopen we niet alleen financiële schade (een paar honderd euro voor vervanging van die laptop) maar juist ook enorme risico’s dat onze informatie op straat komt. Zo zie je maar dat informatiebeveiliging veel meer bevat dan alleen een firewall of antivirus software. Dat is wat het vak ook zo mooi maakt. Creatief bezig zijn met het onderkennen van de risico’s.

FBI waarschuwt voor laptop-aanvallen in hotels

We gaan alweer aardig richting de vakantietijd dus er komen ook weer meer berichten die we daaraan kunnen relateren. Laten we er maar direct mee beginnen (voor je het vliegtuig pakt en dit bericht te laat leest).

De FBI waarschuwt reizigers voor een recent ontdekte aanval, waarbij laptops via software updates worden besmet. De aanval vindt plaats via de internetverbindingen van niet nader genoemde hotels. Tijdens het instellen van de internetverbinding op de hotelkamer, verschijnt er op de laptop van het doelwit een venster dat er een update voor een geïnstalleerd programma beschikbaar is. Als de reiziger de update opent, wordt er malware geïnstalleerd (bron).

Ideaal natuurlijk dat je tegenwoordig in veel hotels gebruik kunt maken van WIFI. Even je tablet of je laptop in de koffer en je kunt ook op vakantie heerlijk internetten en je mails lezen. Zelf maak ik daar zo min mogelijk gebruik van. Niet omdat het zo gevaarlijk is (want ja dat is het) maar omdat het vakantie is en ik best een paar dagen zonder kan.

Maar goed, voor iedereen die na 1 dag zonder WIFI, zonder berichten op Facebook, zonder emails toch een beetje de rillingen krijgt, is het goed om te weten dat die verbindingen niet allemaal zo veilig zijn als je misschien denkt. Niet alleen kwaadaardige aanvallers kunnen gemakkelijk een aanval plegen, maar vertrouw jij die hotel eigenaar? Wie zegt mij dat hij niet al het verkeer dat via zijn router loopt aan een grondig onderzoek onderwerpt?

Voor het hoognodige werk vind ik het prima om van zijn WIFI gebruik te maken (want mijn vakantiefoto’s mag hij best zien), maar als het echt spannend wordt dan pak ik de draad na de vakantie wel weer op. Zo zijn we niet alleen een stuk veiliger maar kunnen we ook nog eens lekker ontspannen.

Nou ja, als je gaat binnenkort dan ben je gewaarschuwd.

Aanvallen op mobiele apparaten zullen escaleren

In 2011 blijft Apple niet gevrijwaard van cybercriminaliteit, zullen de aanvallen op mobiele apparaten escaleren en zullen deze aanvallen meer politiek gemotiveerd zijn…Dat voorspelt McAfee in het rapport Threat Predictions 2011 (bron).

Je hoeft natuurlijk geen helderziende te zijn om te kunnen constateren dat aanvallen op mobiele apparaten meer en meer plaats zullen vinden. De smartphones en laptops bevatten allerlei informatie die het voor de criminelen interessant maakt om ze aan te vallen en Apple is ook niet zo exotisch meer dat het niet aangevallen wordt.

Leuk natuurlijk dat hier een bericht aan wordt gewijd maar het echte probleem zit hem, wederom, in het bewustzijn. Het bewustzijn van het management binnen organisaties en het bewustzijn bij de gebruikers van de apparaten.

Nee, ik wil helemaal niet zeggen dat je allerlei ingewikkelde kunsten uit hoeft te halen om je data beter te beschermen. Maar een aantal basis zaken kun je toch wel regelen? Laten we allemaal eens beginnen met een wachtwoord of pincode op onze smartphone en laptop. Dat kan al een berg leed voorkomen.

Natuurlijk kan het zo zijn dat je na een diefstal je smartphone of laptop kwijt bent, maar dat is niet de echte waarde. Nee, de echte waarde zit hem in de informatie op die apparaten. De data maar ook bijvoorbeeld je mailberichten, je contactpersonen en je wachtwoorden voor allerlei internetsites. Lastig om kwijt te raken, maar voor je organisatie een groot risico.

Laten we 2011 tot het jaar dopen waarop we nog meer dan voorheen gaan proberen om de managers van organisaties beveiligingsbewuster te maken.

Tweedehands mobiele telefoons vol privegegevens

Ben je alweer aan een nieuwe mobiel toe? Denk dan nog eens goed of je je oude vertrouwde mobiel echt wel door wilt verkopen voor een paar tientjes.

Meer dan de helft van de tweedehands telefoons verkocht via eBay bevat privégegevens, aldus onderzoekers. Het gaat om intieme foto’s, telefoonnummers, pincodes en creditcardnummers. Het bedrijf Disklabs analyseerde vijftig gebruikte mobieltjes die via de veilingsite werden aangeboden. Bij negen van de vijftig toestellen was er nog pornografisch materiaal aanwezig. Een zelfde aantal bevatte nog kalenderinformatie en video’s. Adresgegevens, creditcardnummers en pincodes werden op 26 van de 50 telefoons aangetroffen (bron).

Bij 26 van de 50 toestellen werden nog adresgegevens, creditcardnummers en pincodes aangetroffen. Deze gegevens, die wat mij betreft vele malen vertrouwelijker zijn dan pornografisch materiaal, kalender informatie of video’s worden voor het gemak even op één hoop gegooid. Maar laten we eerlijk zijn, waar lig jij meer wakker van? Dat de koper jouw filmpje kan zien of dat hij met je creditcard lekker kan gaan shoppen op het internet?

Ikzelf zou me meer zorgen maken om mijn creditcard gegevens, maar goed dat kan ook komen omdat mijn telefoon geen pornografisch materiaal bevat en de foto’s en filmpjes die er wel op staan ook het 6 uur journaal niet gaan halen.

Gek eigenlijk dat we nog zo laconiek doen over onze mobiele telefoons en dat we ons nog zo weinig zorgen maken over de gegevens die er op staan. Veel mensen slapen tegenwoordig met hun mobiel en die bevat hun hele hebben en houwen. Toch zijn we bereid om ons leven voor een paar tientjes te verkopen op Ebay. Vreemde gedachte, je oude portemonnee verkoop je toch ook niet als je een nieuwe hebt? En als je hem wel verkoopt dan haal je toch echt eerst je creditcard eruit.

Maar goed, dit soort onderzoeken zijn al vele malen gedaan, niet alleen voor mobiele telefoons maar ook voor oude harde schijven, laptops en computers. De conclusie is steeds hetzelfde: met weinig moeite zijn de gegevens terug te halen. Wat je daaraan kun doen, ach er zijn verschillende opties:
1) Zorg ervoor dat alle gegevens er echt goed af zijn en dat klinkt makkelijker dan het is. Even formatteren is echt niet genoeg want in no time zijn je gegevens weer leesbaar. Vraag je wel even af of al die moeite het waard is voor die paar tientjes die je ervoor terugkrijgt.
2) Of mijn favoriet: sloop je oude telefoon, harde schijf, laptop. Knip hem in stukken, sla er met een hamer op, verbrand hem of zorg voor goede wissoftware. Dat ding is toch al afgeschreven.

Ziekenhuis verliest laptops met patientgegevens

Een Amerikaans ziekenhuis is twee onversleutelde laptops met de gegevens van ruim tweeduizend patiënten verloren, zo heeft het bekendgemaakt. Op de gestolen machines stonden namen, datum van opname, medisch dossiernummer, patiëntnummer, social security nummer, ras, verzekeringsmaatschappij, adres, telefoonnummer, geslacht, geboortedatum, allergieën en eerste diagnose van de patiënt…De laptops waren wel met een wachtwoord beveiligd, maar om gegevens in de toekomst adequaat te beschermen gaat het Jewish Hospital alle computers voortaan versleutelen (bron).

Het is alweer enige tijd geleden dat we het hier hadden over ziekenhuizen die gegevens verliezen. Er gebeurt ook zoveel op beveiligingsgebied dat we keuzes moeten maken in de onderwerpen die aandacht krijgen.

Inmiddels zou je toch denken dat ziekenhuizen hun lesje geleerd hebben en de minimale beveiligingsmaatregelen wel geïmplementeerd zijn. Zeker in Amerika waar de regelgeving toch wat strikter is dan hier. Maar niet dus, vraag jij je ook wel eens af hoeveel ziekenhuizen kwetsbaar zijn en wat er in Nederland eigenlijk allemaal op dit gebied gebeurt? In Amerika zijn instanties verplicht dit soort incidenten te melden en openbaar te maken, in Nederland geldt dat nog steeds niet. We weten dus helemaal niet welke incidenten zich hier voor doen.

Het College Bescherming Persoonsgegevens gaf een aantal maanden geleden aan minder aan preventief advies en meer aan controle te gaan doen. Als ik eerlijk ben heb ik daarna niet zoveel meer van ze gehoord. Dat hoeft niet te betekenen dat ze niet gecontroleerd hebben en/of niets gevonden hebben, maar kan ook betekenen dat we als burgers daar niet van op de hoogte worden gebracht.

Identiteitsdiefstallen wordt een steeds groter probleem maar het krijgt nog niet de aandacht die het verdient. Bij verlies van persoonlijke gegevens schreeuwen we om het hardst dat onze privacy geschonden is, maar de link naar identiteitsdiefstal wordt nog niet door iedereen gelegd. Ik heb er eigenlijk minder moeite mee als mijn gegevens verloren raken en niemand daar iets mee kan (dan blijven het gewoon gegevens en wordt het nooit informatie), ik heb er veel meer moeite mee als iemand wat met die gegevens kan doen. Verzekeraars bijvoorbeeld die mijn premie er op aanpassen of criminelen die mijn gegevens gebruiken om leningen mee af te sluiten.

Privacy. Er is al veel over gezegd en geschreven en er zal de komende jaren nog veel meer over gezegd en geschreven worden. Met het digitaliseren van de wereld wordt het alleen nog maar een grotere uitdaging om de privacy zo goed mogelijk te beschermen. Misschien moeten we over een aantal jaar echt wel concluderen dat privacy niet meer bestaat. Eng? Ja, maar wat kun je er als individu aan doen?

Bende misbruikt dongles via slecht beveiligde laptops

Een Oost-Europese bende heeft een aantal bedrijven op kosten gejaagd door via dongles van KPN sms’jes te sturen. Dit was mogelijk doordat een aantal slecht beveiligde laptops gekraakt waren…De hackers verstuurden sms’jes via de software van de dongles, een usb-stick die dient als netwerkontvanger, nadat ze eenmaal in de laptops hadden ingebroken…KPN heeft inmiddels maatregelen genomen om de gekraakte laptops van klanten te beschermen tegen verdere acties van de hackers (bron).

KPN verwijst naar de maatregelen die ze op hun site hebben gezet. Het kan geen kwaad om daar eens een kijkje te nemen. Kortweg geven ze de volgende opties voor veilig internetten:
1. Bescherm uw computer met een beveiligingspakket
2. Installeer de laatste software updates
3. Installeer een firewall
4. Download een virusscanner
5. Veilig draadloos online

Helft laptops zonder virusscanner en wachtwoord

Iets minder dan de helft van de laptopgebruikers installeert geen beveiligingssoftware of wachtwoord om de machine te beschermen, zo blijkt uit onderzoek. 44% van de ondervraagde consumenten zegt dat er geen virusscanner of firewall op de computer aanwezig is. Een wachtwoord tijdens het opstarten is bij 45% van de gebruikers niet ingesteld (bron).

Deze gegevens drukken ons toch weer even op de feiten. 45% gebruikt bijvoorbeeld geen wachtwoord voor het opstarten. De gegevens op die laptops liggen dus op straat zodra de laptop gestolen wordt. Jammer is dat er niet wordt aangegeven of het hier zakelijke of privé laptops betreft. Ik kan me bijna niet voorstellen dat ook bij zakelijk gebruik nauwelijks wachtwoorden worden gebruik, dit mag toch inmiddels wel een algemene bedrijfspolicy zijn.

Voor privé gebruik moet de gebruiker zelf besluiten. Als je er heel bewust voor kiest om geen wachtwoord te gebruiken dan kan dat natuurlijk, alleen moet je er dan wel zeker van zijn dat je geen vertrouwelijke gegevens op je laptop hebt staan.

Als daarnaast bijna de helft van de mensen geen virusscanner of firewall aanzet dan lopen ze wellicht een nog groter risico. Bij diefstal van je laptop houdt een virusscanner of firewall weinig tegen, maar op afstand je gegevens achterhalen wordt zo wel erg makkelijk. En maar klagen als er privé foto’s op internet verschijnen…hoewel je je natuurlijk ook af kunt vragen waarom je bepaalde privé foto’s (ja die met veel huidskleur) sowieso wilt hebben, maar dat is weer een heel andere discussie.

Uit het onderzoek blijkt dat mensen zich wel zorgen maken om de risico´s, maar vervolgens geen maatregelen treffen. Het lijkt er sterk op dat men nog steeds denkt: dat overkomt mij niet.

Er wordt aangegeven dat het er op lijkt dat mensen denken dat het hen niet overkomt. Blijkbaar wordt hier een conclusie getrokken die niet nader onderzocht is. Misschien ligt de oorzaak wel ergens anders, misschien is men zich toch niet bewust van de risico’s of misschien vindt men al die maatregelen wel veel te ingewikkeld.

Je moet tegenwoordig aardig wat verstand hebben van computers en besturingssystemen wil je je gegevens nog enigszins veilig houden en dan nog weet je nooit zeker of je nu ook echt veilig bent. Hoe vaak zien we niet dat mensen wel virusscanners en firewalls gebruiken maar overal vrolijk op “ja” of “ok” klikken?

Stel nu eens dat 44% helemaal geen virusscanner of firewall gebruikt en dat van degene die dat wel gebruiken ook nog eens 44% altijd op “ok” klikt. Dan staat een groot deel van de digitale wereld open. Een enge gedachte als je het mij vraagt.

Een gat in de markt hebben we misschien te pakken: maak een complete set aan software die de grootste risico’s afvangt (ja die zijn er, dat weet ik ook wel) maar maak die nu eens foolproof. Een beetje zoals ze ook met telefoons hebben gedaan: een telefoon met grote knoppen waarmee je alleen kunt bellen (sommige mensen zitten niet te wachten op internet, MMS, GPS en weet ik wat we er allemaal mee kunnen).