Tag: lekken

Lekken informatie jaagt bedrijven op kosten

  door

Gisteren hadden we het nog over IT-managers en andere medewerkers die bij reorganisaties informatie meenemen. Daar haalde ik al aan dat de echte schade daarvan onbekend is en nauwelijks in geld is uit te drukken. Maar aan de hand van onderstaand bericht kunnen we er toch enig gevoel bij krijgen.

Het lekken van bedrijfsgevoelige informatie kost bedrijven jaarlijks in totaal 115 miljoen euro. Bij circa 10.000 Nederlandse bedrijven zijn de afgelopen 5 jaar ongewenst gevoelige gegevens op straat komen te liggen. Het lekken van informatie gebeurde in 58 procent van de gevallen doordat medewerkers van een bedrijf overstapten naar een concurrent. Ook slordig gedrag 31 (procent) en diefstal (17 procent) worden als oorzaken genoemd (bron).

115 miljoen euro klinkt natuurlijk als een enorm bedrag, maar het is denk ik slechts het topje van de ijsberg. Dat topje dat boven het water uitsteekt en dat we kunnen zien. Maar net als bij een ijsberg zit het merendeel onder water. Daarvan weten we helemaal niet dat de informatie gelekt is.

Volgens de Vereniging voor Weerkunde en Klimatologie is slechts 10% van de ijsberg zichtbaar en zit dus 90% onder water. Als we die parallel trekken dan is die 115 miljoen euro dus slechts 10% van de totale schade.

Te weinig bedrijven monitoren hun informatie op een serieuze manier. Natuurlijk zijn er bedrijven die hun emailverkeer monitoren en natuurlijk zijn er bedrijven die nog steeds het gebruik van USB-sticks verbieden. Maar een integrale aanpak waarbij de daadwerkelijke data gemonitord wordt, kom je nog maar zelden tegen. En het is ook geen sinecure. We beschikken over Terabytes aan informatie en zorg er maar eens voor dat die gevolgd kan worden.

Dat lukt misschien nog bij informatie die in allerlei databases staat en daar kunnen we ook nog allerlei rechten opzetten. Maar hoe ga je om met al die Word, PowerPoint en Excel documenten die door de medewerkers zelf gemaakt worden. Als het goed is, is die informatie belangrijk voor de organisatie want waarom zou ze anders gemaakt worden? Toch zie je dat bij het vertrek van een medewerker zijn persoonlijke schijf na een paar weken geleegd wordt en de informatie dus verloren raakt.

Was die informatie dan niet belangrijk? Of weten we eigenlijk helemaal niet wat voor informatie onze medewerkers uit onze gegevens samenstellen? Blijkbaar niet en we missen die informatie ook eigenlijk niet als ze verloren gaat. Raar, toch? Als medewerker zet je je met hard en ziel in voor je organisatie en je zorgt voor allerlei informatie die jij voor je werk nodig hebt, maar bij ontslag is er niemand meer die er om maalt. En een overdracht vindt meestal ook al niet plaats.

Vertrekt er dus een medewerker (vrijwillig of niet) dan moet je je als organisatie afvragen over welke relevante informatie hij of zij beschikt en wat je daar dan nog mee wilt doen. Doe je dat niet dan zet je als organisatie misschien wel wat stappen terug in de tijd en kost die reorganisatie je straks meer dan dat hij je oplevert.

Hacker onthult lekken in industriele systemen

  door

Een grote brand in Moerdijk en nog veel erger een groot ongeval in een kernreactor in Japan en zo kunnen we nog wel even doorgaan. Je zou toch zeggen dat we inmiddels wel aandacht voor de beveiliging daarvan zouden hebben?

Ehm, nou de organisaties zelf misschien niet, maar een beveiligingsonderzoeker “gelukkig” wel.

Een Italiaanse beveiligingsonderzoeker heeft tal van beveiligingslekken in industriële systemen onthuld, waardoor aanvallers op afstand belangrijke delen van de infrastructuur kunnen overnemen. De zogeheten SCADA-systemen (supervisory control and data acquisition) worden gebruikt in industriële omgevingen, zoals kernreactoren, raffinaderijen, gaspijplijnen en vliegvelden, die weer in verbinding met de publieke infrastructuur staan (bron).

Geeft niet echt een lekker gevoel, toch? Nou hopen maar dat andere, meer kwaadwillende, aanvallers niet op het idee worden gebracht en maar snel de patches doorvoeren om weer veilig te worden…oh, oeps, probleem: In 34 van de 35 lekken is het voor een aanvaller mogelijk om willekeurige code uit te voeren. Een probleem, want updates voor de kwetsbaarheden ontbreken.

Nou, dan maar snel de leverancier informeren zodat er alsnog met bloedspoed patches gemaakt kunnen worden…oh, oeps, nog een probleem: De makers van het Agora SCADA+ Pack laten weten dat SCADA-systemen lastig zijn te patchen, waardoor ook oude kwetsbaarheden nog relevant zijn.

Lijkt me toch een goed plan als dit soort bedrijven nog eens goed naar hun bedreigingen kijken, daarbij weten wij natuurlijk allang dat je 3 soorten bedreigingen kunt onderscheiden:
1) Bedreigingen van natuurlijke aard (als een aardbeving en Tsunami)
2) Bedreigingen van menselijke aard (bewust en onbewust handelen van mensen)
3) Bedreigingen van technologische aard (storingen, ontbreken van patches, etc.)
Maar weten dit soort bedrijven dat onderscheid ook te maken? En beter nog: kunnen ze ook met creatieve oplossingen komen (want die zijn er echt wel).

Misschien word ik paranoia maar het lijkt wel of we echt kunnen wachten op de volgende grote klap. Blijkbaar is Japan de ver-van-mijn-bed-show. Ik ga in ieder geval zorgen voor aluminium folie (zodat ik mijn ramen af kan plakken tegen straling) en een voorraadje water en blikvoer.

Hacker laat BP geheime informatie lekken

  door

Na de olielek heeft BP nu nog met andere lekken te maken.

Via slechts twee telefoontjes is het een hacker gelukt om te achterhalen welke laptops, besturingssystemen, virusscanners en virtual private network software BP gebruikt…Informatie zoals browser, gebruikte Adobe versie of wie het afval ophaalt zijn interessant voor een aanvaller. “Als we kwaadaardige hackers waren geweest, hadden we ze naar een website met een kwaadaardig bestand kunnen sturen, dat de persoon in kwestie waarschijnlijk had gedownload”, aldus Chris Hadnagy van Offensive Security, organisator van de wedstrijd (Bron).

BP heeft het zwaar te verduren de laatste tijd en ze zijn daar zelf deels debet aan. Ben je ook zo benieuwd hoelang BP nog langs de snelweg aanwezig zal zijn of wanneer ze geheel en al vergeten de geschiedenisboeken ingaan? Een lastige situatie en als we het dan toch hebben over de continuïteit van een organisatie dan heeft BP nog wel wat robbertjes te vechten.

De andere kant van de medaille is natuurlijk dat als ze hier uitkomen dan zijn ze voor de andere olieleveranciers nooit meer te verslaan. Een crisis kan leiden tot faillissement maar er zijn ook veel gevallen bekend van crisissen die leiden tot een sterke onverslaanbare organisatie. De crisis is dan snel vergeten en de naam van de organisatie staat bij iedereen op het netvlies.

Slechte reclame is ook reclame zullen we maar zeggen. Het kan wat mij betreft met BP dus twee kanten op en ik ben zeer benieuwd welke kant ze kiezen. Kiezen, vraag je je af? Heeft een organisatie dan een keuze na een crisis? Ja zeker wel, het gaat er om hoe je er mee omgaat, daar zijn inmiddels vele onderzoeken naar gedaan en volgens mij heeft BP de lessons learned daaruit nog niet echt in de praktijk gebracht. Maar goed, misschien staan ze 6-0 achter, dat wil niet zeggen dat ze ook daadwerkelijk zullen verliezen.

We houden het natuurlijk allemaal in de gaten en voor de onderzoekers is er straks weer een interessante business case over het omgaan met een crisis. Helaas voor het natuurschoon en de dieren in de Golf van Mexico, maar zij zullen de (hoge) prijs moeten betalen.

Eeuwig zonde, of althans voor de duur dat de troep niet is opgeruimd en dat zal jaren duren. Vreemd overigens dat er voor allerlei rampen gironummers in het leven worden geroepen maar dat we de troep nu aan BP over laten…ach, dat zal wel aan mij liggen.

Privacywaakhond lekt 1.000 e-mailadressen

  door

Een Amerikaanse organisatie die de privacy van gamers behartigt, heeft zelf geblunderd door de e-mailadressen van duizend mensen te lekken die een klacht hadden ingediend…Zo’n duizend mensen dienden bij de Entertainment Software Rating Board (ESRB) een klacht in. De ESRB wilde alle klagers een antwoord sturen, maar in plaats van de BCC optie te gebruiken, werd er voor de “reply all” optie gekozen (bron).

Zo zie je maar dat ook de instanties die juist moeten waken voor de privacy niet onfeilbaar zijn. Een foutje is snel gemaakt en daar is natuurlijk weinig aan te doen. Gelukkig hebben ze inmiddels hun spijt getoond en betreuren ze het incident. Prima natuurlijk maar ik denk dat als een andere instantie zo’n fout had gemaakt de ESRB waarschijnlijk aan alle bellen had getrokken en het had uitgemeten in het nieuws. Gezien het Amerikaanse klimaat was er een hoge claim neergelegd en moesten de bestuursvoorzitters zich verantwoorden voor de rechter. Wordt de komende tijd toch moeilijk voor de ESRB om serieus claims neer te leggen want de geloofwaardigheid heeft natuurlijk wel een duw gekregen.

Zelf heb je ze waarschijnlijk ook wel eens gehad, die mailtjes waarin de adressen in BCC moesten staan maar waarbij ze gewoon zichtbaar waren. Geef maar toe, je kijkt dan ook even snel of er geen interessante adressen tussen zitten. En? Heb je op deze manier wel eens interessante adressen ontdekt?

Geheime gegevens Justitie gelekt

  door

Het ministerie van Justitie is een groot onderzoek gestart naar het lekken van vertrouwelijke informatie van de Landelijke Bijzondere Bijstandseenheid (LBB)…Onbekenden hebben een aantal weken geleden op internet gevoelige documenten en e-mails van de LBB gepubliceerd. Daarin staan onder meer namen en telefoonnummers van leden van de LBB…Wie achter de publicaties op internet zitten, is nog niet duidelijk. Zelf noemen de verantwoordelijken zich ‘Boris Boef en de Boze Bajesklanten’. Gezien de staat van de documenten, zijn ze vermoedelijk uit een prullenbak of vuilniszak gehaald (bron).

Ik kan natuurlijk ingaan op hoe stom dit wel niet is en dat als Justitie al geen informatie vertrouwelijk kan houden het voor andere bedrijven al helemaal niet te doen is, maar dat doe ik niet. Het is immers al pijnlijk genoeg dat dit soort incidenten gebeuren. En geloof me, ik weet hoe ontzettend moeilijk het is om alle beveiligingsrisico’s op te sporen en te voorkomen.

Als inderdaad de documenten opgevist zijn uit de vuilnisbakken dan blijkt maar weer dat het zogenaamde dumpster diving een reëel risico is voor bedrijven. Kunnen we natuurlijk kijken naar informatiebeveiliging en dan met name naar de technische maatregelen als firewalls en anti-virus maatregelen, maar dit hoort daar net zo goed bij.

Als ik Justitie inschat dan hebben ze in het beleid zeker maatregelen hier tegen genomen, er staan genoeg versnipperaars en de medewerkers zijn echt wel geïnformeerd. Met name dat informeren van de medewerkers speelt hierin een grote rol. We kunnen natuurlijk wel op papier zetten dat vertrouwelijke informatie versnipperd moet worden, maar als de medewerkers het niet weten of zich er niet aan houden dan zit juist daar het probleem.

Beveiligingsbewustzijn binnen organisaties is van groot belang omdat de medewerkers vaak zowel de sterkste als de zwakste schakel zijn. Helaas zien we nog te vaak dat er simpelweg een poster aan de muur wordt gehangen of een mooie e-learning omgeving wordt ontwikkeld maar dat er weinig wordt gedaan aan de beveiligingscultuur binnen een organisatie. Het gaat bij bewustzijn en het gedrag van medewerkers altijd om kennis, houding en gedrag terwijl veel bewustzijnscampagnes zich met name op kennis richten. Dat is natuurlijk ook het makkelijkst maar levert helaas te weinig op in de praktijk.

Hoe we kunnen voorkomen dat dit soort incidenten, door menselijk gedrag, het nieuws halen? Door beveiligingsbewustzijn op de goede manier aan te pakken en een beveiligingscultuur te creëren is er daar één van maar wel een hele belangrijke die in de praktijk nog vaak te makkelijk wordt afgedaan. Alle posters ten spijt moet er meer gedaan worden om culturen te veranderen, dat kost nu eenmaal veel inspanning en kost als snel zo’n 5 tot 7 jaar continue aandacht. Succes, zou ik zeggen, want veel organisaties hebben op dit moment geen horizon van 5 tot 7 jaar, laat staan een structureel budget om dit goed te borgen.

Maakindustrie angstig voor lek bedrijfskennis

  door

Een onderzoek in de Maakindustrie, uitgevoerd door Securitas, geeft interessante inzichten, een korte samenvatting:

  • Het lekken van bedrijfskennis naar de concurrent wordt als beveiligingsrisico gezien
  • Bedrijven zijn bang voor sabotage van het productieproces
  • Bedrijven vinden hun bedrijf kwetsbaar voor beveiligingsincidenten
  • Bedrijven zetten zeer beperkt het topmanagement in om draagkracht voor het beveiligingsbeleid te vergroten
  • Een groot deel van de bedrijven doet helemaal niets om de draagkracht en het commitment voor het beveiligingsbeleid te vergroten.

In het westen van Nederland ziet 28 procent van de bedrijven het lekken van bedrijfskennis naar de concurrent als grootste beveiligingsrisico. Hiermee is het de enige regio die dit als belangrijkste risico ziet.

Terwijl bedrijven in de maakindustrie landelijk gezien het meest bang zijn voor sabotage van het productieproces, ziet het westen van Nederland het lekken van bedrijfsinformatie juist als grootste risico. In de andere regio´s staat dit op de tweede of derde plaats. Het westen van Nederland lijkt binnen de maakindustrie een vreemde eend in de bijt. Ze hebben niet alleen een andere inschatting van het beveiligingsrisico, ze vinden hun bedrijf (met 29 procent) ook opvallend kwetsbaarder voor beveiligingsincidenten dan de rest van Nederland. In het oosten is dit percentage bijvoorbeeld 17 procent.

In het midden van Nederland zet slechts 15 procent het topmanagement in om draagkracht voor het beveiligingsbeleid te vergroten. In de rest van Nederland is dit percentage bijna 10 procent hoger. Het topmanagement van bedrijven kan juist heel goed ingezet worden voor het verhogen van de betrokkenheid bij het beveiligingsbeleid. Leidinggevenden hebben een voortrekkersrol. Wanneer zij hun commitment niet regelmatig uitspreken, of vertalen in het bedrijfsbeleid, zal de rest van het bedrijf ook niet volgen. Op deze manier blijft beveiliging een ondergeschoven kindje. 35 procent van de Nederlandse bedrijven in deze branche doet zelfs helemaal niets om de draagkracht en het commitment voor het beveiligingsbeleid te vergroten. Dit is in alle regio´s van het land ongeveer gelijk. (bron).