Tag: laptops

Politie adviseert tracking-software op laptops

  door

De politie drukt laptop-gebruikers op het hart om tracking-software te installeren, waardoor in het geval van diefstal de machine eenvoudiger is terug te vinden (bron).

Een goed advies van de politie. Nog te weinig mensen zijn zich bewust van het feit dat er tracking-software beschikbaar is waarmee de laptop kan worden terug gevonden na diefstal. Hartstikke goed, maar ook aan tracking-software schuilt een andere kant.

Wat als je continu gevolgd kunt worden met die tracking-software? Door je baas maar bijvoorbeeld ook door de politie of hackers. Ze weten op ieder ogenblik waar je uit hangt en wat je aan het doen bent. Twijfelen ze dan kunnen ze even je webcam overnemen om te checken of je wel echt achter je pc zit.

Stel dat een crimineel de gegevens weet te achterhalen van jouw tracking-software. Hij kan via internet inloggen en checken waar jouw laptop zich bevindt. Grote kans dat jij in de buurt bent van je laptop zodra die buiten de deur is. Kleine moeite om dan even ongenodigd jouw huis te bezoeken en de rest van je waardevolle spullen mee te nemen.

Stel dat de politie in staat is om je continu te volgen. Sterker nog, theoretisch kunnen ze op die manier zelfs meten hoe hard je gereden hebt. Ben je eerder op de plaats van bestemming dan volgens de routeplanner kan, dan kun jij de boete verwachten (overigens kunnen ze dat nu ook al via je mobiele telefoon maar gelukkig gebruiken ze die nog niet om je op deze wijze bekeuringen te sturen).

Of wat denk je van je werkgever. Als die op ieder moment kan volgen waar je laptop is en als die op ieder moment uit kan lezen hoeveel letters en woorden je getypt hebt, dan kunnen daar natuurlijk ook hele verkeerde conclusies uit getrokken worden. Voor je het weet ben jij lekker thuis aan het werk in je badjas en wordt er even een foto gemaakt via de webcam voor in je personeelsdossier.

Nee, natuurlijk ben ik geen voorstander van diefstal van je laptop. Iedereen die zijn laptop wel eens is kwijtgeraakt of iedereen die wel eens een flinke crash heeft meegemaakt, weet dat de gegevens inderdaad vaak onmisbaar zijn. De back-up is helaas niet meer aanwezig of zo oud dat we daar ook niets meer aan hebben. Maar de vraag is of tracking-software je daarvoor behoedt.

De eerste de beste crimineel zal toch minimaal proberen om jouw harde schijf te deleten, wat moet hij met jouw foto’s (nou ja sommige foto’s zullen op internet verschijnen of je wordt er mee gechanteerd, maar dat is weer een heel ander verhaal) maar voor de rest vreet het alleen maar ruimte.

Tracking-software: ja, maar wel als er vanuit de wet- en werkgever eerst goed over de kaders wordt nagedacht. Ach, misschien zit er al dergelijke software op jouw laptop maar wist je het zelf nog niet. Nu ben je in ieder geval ook bekend met de andere kant van het verhaal.

Britse leger verliest 287 computers en de rest…

  door

Hadden we het gisteren al over een onderzoek waaruit de schrikbarende cijfers naar voren kwamen over USB-sticks en het verlies daarvan in Engeland? Dan kunnen we daar vandaag mooi bij aansluiten met het volgende bericht.

Het Britse ministerie van Defensie is de afgelopen achttien maanden 287 computers kwijtgeraakt. Het ging om 188 laptops en 99 desktops. Ook verdwenen 72 harde schijven en 73 USB-sticks. Toch valt de schade volgens de defensiesecretaris mee, aangezien de apparaten versleuteld waren of over andere beveiligingsmaatregelen beschikten.

Naast de computers raakte het ministerie ook 150 back-up tapes, achttien mobiele telefoons, tien BlackBerry’s en 194 cd’s en dvd’s kwijt. Volgens secretaris Andrew Robathan werken er meer dan 250.000 mensen voor het ministerie en is het daardoor onvermijdelijke dat materiaal verloren raakt (bron).

Met 250.000 medewerkers is het inderdaad onvermijdelijk dat er materiaal verloren raakt. De vraag is alleen welke aantallen nog acceptabel zijn en welke maatregelen je genomen hebt om de informatie op die apparatuur te beschermen. Zo te lezen hebben ze daar over nagedacht en zijn het slechts de lege hulzen die verloren zijn. De informatie er op (die vele malen meer waarde vertegenwoordigd dan de apparatuur zelf) is blijkbaar niet te lezen.

Toch zit hem daar natuurlijk ook een groot risico. De informatie is nu misschien niet te ontcijferen en wellicht kan Jan met de korte achternaam dat in de toekomst ook niet. Maar hoe zit het met de serieuzere partijen? Hoe zit het met buitenlandse overheden die over veel meer mogelijkheden beschikken? Kunnen die de informatie ook niet uitlezen? En weten we dat echt zeker?

Wie zegt me dat die informatie niet toch ontcijfert kan worden en wie zegt me dat de informatie niet in vreemde handen terecht is gekomen? Lijkt misschien ver gezocht (en hopelijk zit ik er ook volkomen naast), maar bekijk het eens op kleinere schaal.

Hoe weet je nu bijvoorbeeld zeker dat je thuis pc echt veilig is? Eerlijk is eerlijk, dat weet je eigenlijk niet. Je hoopt het en zolang het apparaat geen vreemde kuren vertoond ga je er dan ook maar vanuit. Maar hoe komen er dan zo vaak foto’s op straat die men toch liever privé had gehouden? De kans is niet zo groot dat jij een specifiek target bent maar als je voordeur open staat dan zou je zomaar slachtoffer kunnen zijn (zonder dat je het weet).

Dat zelfde geldt voor de netwerken van bedrijven (groot en klein) en we kunnen wel allerlei vulnerability scans uitvoeren, maar ook dat geeft geen 100% garantie. Kortom: ik hoop voor de heer Robathan dat hij gelijk heeft en in de toekomst ook gelijk blijft houden. Zeker weten zullen we het nooit, dus laten we er ons verder ook maar niet onnodig druk om maken.

Toestemming voor bedrijfsmiddelen voor het verlaten van het gebouw

  door

Nu we weten hoe we met de bedrijfsmiddelen en attractieve zaken om moeten gaan, kunnen we gaan kijken naar de controle daarop. Dagelijks komen de medewerkers ons gebouw binnen en aan het eind van de dag verlaten ze de werkplek ook weer. Maar welke spullen nemen ze allemaal mee en welke zouden ze mee mogen nemen?

De vraag:
Zijn er maatregelen genomen die er zorg voor dragen dat (kwetsbare, kapitale) bedrijfsmiddelen niet zonder toestemming (registratie) het gebouw verlaten?

De betreffende vraag gaat twee kanten op. Enerzijds wil je niet dat medewerkers allerlei eigen apparatuur meenemen het gebouw in terwijl je aan de andere kant ook niet wil dat de apparatuur van de organisatie zonder toestemming wordt meegenomen.

Laten we eerst inzoomen op de eigen apparatuur van medewerkers. Hoe vaak zien we de waterkokers en Senseo-apparaten niet in de vensterbank staan? Dat mag dan misschien onschuldig lijken, maar weten we zeker dat onze stroomvoorziening die apparatuur ook allemaal aan kan? Houden we er rekening mee dat een medewerker aan het eind van de dag kan vergeten om het apparaat uit te zetten? Geeft dat geen extra risico’s voor brand en kortsluiting? Prima als het binnen onze organisatie is toegestaan om dergelijke apparatuur mee te nemen, maar dan moeten we wel de risico’s onderkennen en daar misschien wat mee doen.

Tot zover de waterkokers en koffiezetautomaten. Die staan we misschien toe. Maar mag een medewerker dan ook zijn eigen laptop meenemen en daar onze bedrijfsgeheimen op opslaan? Misschien roepen we nu volmondig: “nee”. Maar er ontstaat een nieuw principe dat we “bring-your-own” noemen. Dat houdt zoveel in als dat de medewerker maar lekker zelf moet zorgen voor zijn laptop.

Op zich helemaal geen probleem, het heeft alleen impact op de soort en de hoogte van de risico’s. Kwestie van een risico analyse uitvoeren en de juiste maatregelen nemen en eventuele beveiligingsmiddelen aan de medewerkers beschikbaar stellen. De 2.0 Security Manager ziet het als een uitdaging en denkt graag met de organisatie mee.

Naast het meebrengen van eigen apparatuur willen we natuurlijk ook voorkomen dat medewerkers apparatuur mee naar buiten nemen. Ze mogen dan een laptop hebben (liefst met een geleideformulier of iets dergelijks) maar andere apparatuur moet misschien wel gewoon in ons gebouw blijven. De laptop is voorzien van encryptiesoftware dus de informatie daarop is goed beveiligd. Maar wat als de informatie is opgeslagen op USB-sticks of externe harde schijven? Is die informatie ook goed beveiligd?

Vertrouwen is goed, controle is beter. Als we dus willen voorkomen dat bedrijfsmiddelen ons gebouw verlaten dan zullen we dat ook moeten controleren. Leuk dat we formulieren en een dikke administratie voeren, maar als we het nooit controleren dan heeft dat weinig zin. Bij controles geldt dan weer dat we de medewerkers daarvan op de hoogte moeten stellen en de kans is groot dat we even langs de OR moeten om zaken formeel te regelen.

We willen natuurlijk niet als politie agent gezien worden. We doen het dan ook niet om de medewerkers terecht te kunnen stellen. Nee, we doen het vanuit de optiek van de organisatie. Willen we dat het slaagt dan zorgen we er eerst voor dat een medewerker zijn werk zo makkelijk mogelijk kan doen, is dat gelukt dan is er helemaal geen noodzaak meer om bedrijfsmiddelen mee het gebouw uit te laten.