Tag: oorzaak

Man schiet echtgenote dood om Facebookfoto

  door

Een man heeft in de Dominicaanse Republiek zijn echtgenote doodgeschoten omdat hij haar op Facebook op de foto met een andere man had gezien…Na de moord pleegde hij zelfmoord. Valentín Núñez Luciano uit de hoofdstad Santo Domingo mishandelde zijn vrouw al eerder, voordat hij de noodlottige foto op de sociale netwerksite zag (bron).

Begonnen we de week met het bericht dat er organisaties zijn die hun sollicitanten dwingen inzage te geven in het Facebook-gebruik. We sluiten hem af met iemand die daar beter geen inzage in had kunnen geven. Jammer overigens dat dit soort nieuwsberichten gekoppeld worden aan Facebook, het is zo suggestief. Die foto van deze dame met een andere man is niet vanzelf op Facebook gekomen en sterker nog, die foto is ook niet spontaan ontstaan en zegt ook helemaal niets over haar relatie met die andere man (wie weet was het gewoon de melkboer).

Makkelijk om te scoren met “Facebook” in de titel, maar dit is natuurlijk gewoon een geval van jaloezie. Het medium mag dan Facebook zijn, maar had net zo goed de brievenbus kunnen zijn van Valentínn, als de postbezorger hem netjes thuis had bezorgd. Maar goed, we dwalen wat af en het is ook niet de reden dat ik dit nieuwsbericht gebruikt heb voor mijn blog.

Nee, de reden is dat het zo goed inzicht geeft in de oorzaak-gevolg relatie. Geef maar toe, zo had je nog niet naar het bericht gekeken.

Maar, zonder deze vrouw te willen beschuldigen (want er is immers niet gezegd wat er op die foto stond), maar de vrouw stond op de foto met een andere man. Daarom zou hij haar hebben vermoord. Lezen we nog even door dan zien we dat het niet de eerste keer was dat hij zijn vrouw mishandelde. Kortom: een simpel voorbeeld van oorzaak en gevolg. Ging zij met die man op de foto omdat ze eerder door haar eigen man was mishandeld of werd ze destijds mishandeld omdat ze ook al met een andere man op de foto had gestaan?

Het bericht lijkt misschien wat ver af te staan van risk & security, toch is dat niet het geval. Bij informatiebeveiliging zien we veelal hetzelfde gebeuren. We nemen de gevolgen als uitgangspunt en acteren daarop, zonder dat we de echte oorzaken achterhalen. Lukt het ons om meer en meer te kijken naar de echte oorzaken dan zien we dat we ook steeds beter “in control” zullen komen.

Begrijp me overigens niet verkeerd: het achterhalen van echte oorzaken is geen sinecure en is in de praktijk ingewikkelder dan gedacht. Het gevolg van het een is immers de oorzaak van het ander, ach, het heeft wel wat weg van een proces: input, blackbox, output = input, blackbox, output…maar voor een vrijdag gaat deze gedachte misschien te ver. Laten we het er maar op houden dat we metaforen voor beveiliging gewoon om ons heen kunnen zien en laten we die gebruiken om aan te sluiten bij de beeldvorming van anderen.

Voor nu zou ik zeggen: check dit weekend nog even je Facebook foto’s, voor je het weet was dat ook direct je laatste foto.

Dreigingen: oorzaak en gevolg

  door

Gisteren zijn we al ingegaan op de vraag of de dreigingen inzichtelijk zijn. Daarbij zijn we ook al kort ingegaan op de relatie tussen oorzaak en gevolg. Die natuurlijk vergelijkbaar is met zaken als: doel en middel, kip en ei enzovoorts. Als we inderdaad serieus met het inzichtelijk maken van de dreigingen omgaan, dan wordt de volgende vraag:

Zijn de mogelijke gevolgen van een dreiging geïnventariseerd (de risico scenario’s zijn bekend)?

Na de vorige stap hebben we zicht op de dreigingen die ons daadwerkelijk uit het veld kunnen slaan. We hebben hele lijsten met oorzaken en gevolgen. Of eigenlijk hebben we een lijst met allerlei gevolgen en gaan we vandaar uit terugredeneren naar de mogelijke oorzaken voor die gevolgen. Vreemd, maar waar: op de een of andere manier is het voor ons makkelijker om te denken in gevolgen dan in oorzaken. Op zich helemaal niet erg, maar wel goed om te beseffen zodat we nog even doordenken.

Hebben we eenmaal een dreiging geïdentificeerd dan stellen we onszelf nog even de vraag: is dit nu een oorzaak of juist een gevolg? Constateren we dat we hier te maken hebben met een gevolg dan stellen we onszelf de vraag wat dan de mogelijke oorzaken (er kunnen er meer, veel meer zijn) zijn.

Vervolgens kunnen we de kans en de impact voor deze dreigingen bepalen. Dit geeft een indicatie van de prioriteiten die we moeten stellen. Als we de risico analyse helemaal kwantitatief hebben gedaan dan kunnen we er nog echt mee rekenen ook, maar de praktijk is dat veelal statistieken ontbreken om het echt goed kwantitatief aan te pakken. Vaak wordt dan ook voor een meer kwalitatieve manier gekozen, waarbij we wel cijfers kunnen gebruiken maar alleen om de dreigingen onderling vergelijkbaar te maken. Een kans op een schaal van 1 tot 5 en de impact op diezelfde schaal. Het zegt niets over het absolute risico, maar maakt onderling vergelijken een stuk makkelijker.

De kans en impact bepalen is nuttig, maar zoals geschreven dient die stap nog gevolgd te worden met een beschrijving van de echte gevolgen en oorzaken van een dergelijke dreiging. Wat zijn de gevolgen en oorzaken van een overstroming? Wat zijn de gevolgen en oorzaken van een virusuitbraak op ons netwerk? De beveiligingsmaatregelen die we uiteindelijke besluiten te nemen dienen de gevolgen te beïnvloeden of de oorzaken weg te nemen.

Simpel gezegd kunnen we maatregelen nemen die:
• De kans verkleinen;
• De impact verkleinen;
• De kans en impact verkleinen.
Welke we kiezen hangt af van de kans en de impact die we bepaald hebben. Is de kans klein dan kunnen we er beter voor kiezen om de impact te verlagen. Is de impact daarentegen laag dan kiezen we ervoor om juist de kans te beïnvloeden. Zijn zowel de kans als de impact hoog, dan pakken we ze beide bij de horens.

Het risico van het ontbreken van het bepalen van de gevolgen van een dreiging zijn dat we wel allerlei rekenkundige/cijfermatige bepalingen krijgen voor de dreigingen maar dat er alsnog een mismatch ontstaat tussen de te nemen beheersingsmaatregelen en de daadwerkelijke dreiging.

Terugkomend op de overstroming. We kunnen wel proberen om de kans te verkleinen door de Waterschappen te verzoeken de dijken te verhogen maar de kans dat we hier resultaat boeken is slechts beperkt. Beter kunnen we ons richten op de impact. Wellicht is het mogelijk de serverruimte op de eerste verdieping van ons pand te situeren zodat de schade beperkt blijft bij een dijkdoorbraak.

Kortweg moeten we dus kijken naar de beheersingsmaatregelen waar we zelf invloed op uit kunnen oefenen. De maatregelen waar we geen invloed op hebben moeten we wel onderkennen maar kunnen we zelf niet beheersbaar maken.

Informatiebeveiliging: de belangrijkste dreigingen

  door

Hoewel de kop van het blog misschien anders doet vermoeden ga ik hier niet een lijst opnoemen met de belangrijkste bedreigingen op het gebied van informatiebeveiliging. Waarom niet? Op zich heel simpel, dat is niet het doel van mijn blogs en als je ze toch wilt vinden dan kun je er met Google snel genoeg achter komen. Nee, hier wordt juist ingegaan op de vraag en het waarom van de vraag, die dan ook luidt:

Zijn de belangrijkste dreigingen vastgesteld (men weet welke risico’s men loopt)?

Nu we inmiddels hebben gezien dat we moeten redeneren vanuit de operationele risico’s en niet meer vanuit de afzonderlijke beveiligingsmaatregelen kunnen we nader ingaan op de belangrijkste bedreigingen voor de continuïteit voor onze bedrijfsprocessen. Continuïteit van de bedrijfsprocessen, juist, dat is waar het om gaat. Voor die continuïteit heb je natuurlijk allerlei aspecten nodig, denk bijvoorbeeld maar aan: betalende klanten, goed geschoold en gemotiveerd personeel, producten die aan de behoeften voldoen, een organisatiestructuur en ga zo maar door. Informatiebeveiliging is ook een van die aspecten, niets meer en niets minder. Niet belangrijker of minder belangrijk dan al die andere aspecten en de juiste aspecten bij elkaar levert een succesvolle organisatie op (waarbij voor het gemak nog even geen rekening wordt gehouden met de markt en externe factoren die we niet zelf kunnen beïnvloeden).

Op basis van gezond boeren verstand, Google en bijvoorbeeld een brainstormsessie kunnen we de voor ons meest relevante dreigingen inzichtelijk maken. Vervolgens kunnen we voor die dreigingen de kans en de impact bepalen zodat we ook de prioriteiten kunnen stellen. Overigens moeten we wel voor onszelf duidelijk hebben wat de oorzaken en de gevolgen zijn. Brand is bijvoorbeeld niet een oorzaak maar eerder een gevolg, een gevolg van bijvoorbeeld een gefrustreerde medewerker die de boel in de fik steekt of kortsluiting in de meterkast. Twee totaal verschillende oorzaken, die ook een andere set aan maatregelen vereisen.

Vaak zullen we zien dat het gevolg dan misschien wel in het vakgebied van informatiebeveiliging mag vallen, maar dat de oorzaak heel ergens anders ligt. Voor die gefrustreerde medewerker moeten we kijken hoe tevreden ons personeel is, hoe we ze met respect behandelen terwijl we voor die kortsluiting misschien een iets betere administratie van de stroomvoorziening nodig hebben (die ene firewall kon echt niet meer op die groep, maar zonder inzicht blijft het gissen).

Voor een organisatie in het oosten van Nederland zal de kans op een Tsunami waarschijnlijk erg laag zijn terwijl de kans op brand of een virusuitbraak vele malen hoger kan zijn. Het voordeel van het bepalen van de dreigingen die voor onze specifieke organisatie van belang zijn, is dat we deze in de toekomst kunnen hergebruiken en eventueel aan kunnen vullen op basis van onze leereffecten.

Het risico van het niet redeneren vanuit reële dreigingen is dat we de verkeerde problemen het eerst oplossen. We zijn dan misschien wel serieus bezig met het onderwerp maar onze scope ligt verkeerd en ons budget wordt niet goed besteed waardoor we de echte risico’s onvoldoende afdekken.

Stel jezelf de vraag: wat kan ons uit het veld slaan? En is dat dan een gevolg of een oorzaak? Als we dat weten kunnen we een bewuste keuze maken: willen we er iets aan doen, of juist niet? En als we er wat aan willen doen, wat is dat dan?

Anti-virusbedrijf infecteert opzettelijk smartphones

  door

We horen vaak dat we in economisch opzicht nog weinig te vrezen hebben van de Chinezen. Ze zouden immers alleen nog maar in staat zijn om te kopiëren wat door anderen is uitgevonden. Een mening waar ik het overigens niet mee eens ben. Volgens mij onderschatten we de vindingrijkheid van de Chinezen. En om mijn mening maar eens kracht bij te zetten een mooi voorbeeld van die vindingrijkheid:

Een Chinees anti-virusbedrijf zou smartphone-gebruikers opzettelijk met malware infecteren om ze vervolgens voor het verwijderen ervan te laten betalen. Volgens de Chinese staatstelevisie verspreidde het bedrijf NetQin een app voor smartphones, die stiekem een geïnfecteerde app installeert genaamd Feiliu. De NetQin app waarschuwt vervolgens voor een virus op de telefoon en vraagt zo’n twintig cent voor een update om de malware te kunnen verwijderen (bron).

Of het bericht waar is? Geen flauw idee. Of het verdienen van geld op deze wijze integer is? Nou, zeker niet.

Toch kunnen we hier met zijn allen over vallen. Maar feit is dat er natuurlijk al jaren een discussie gaande is over de macht en kracht van de virusschrijvers aan de ene en de anti-virusbedrijven aan de andere kant.

De een zijn dood is de ander zijn brood, toch? Zonder virussen geen anti-viruspakketten. Een raar idee misschien, maar wel de waarheid.

En nu wil ik de anti-virusbedrijven niet in een slecht daglicht plaatsen want het geldt voor veel meer branches en organisaties. Zonder criminaliteit geen politie, zonder oorlogen geen militairen, zonder warm weer geen ijscoman, zonder regen geen paraplu.

Kortom: de markt en de omgeving van die markt beïnvloeden elkaar. Erg? Ehm, in sommige gevallen wel, maar je er druk om maken heeft weinig zin, je er tegen wapenen kan wel handig zijn.

Veilig internetten geen prioriteit bij studenten

  door

Een onderzoek van SURFnet in samenwerking met een aantal hoger onderwijs- en onderzoeksinstellingen naar het beveiligingsbewustzijn van studenten en medewerkers, laat zien dat de aandacht voor internetbeveiliging onder studenten laag is (bron).

Ai, dit is een pijnlijk probleem voor de toekomst. De jeugd heeft de toekomst maar als de jeugd onvoldoende beveiligingsbewust is dan hebben we nog een hoop werk te doen. De studenten van nu zijn de directeuren van de toekomst. Als ze zich nu al geen raad weten met de beveiliging hoe moet dat dan voor de bedrijven die ze gaan leiden in de toekomst? Wordt het dan leiden of lijden?

Jammer is dat het onderzoek niet heeft geprobeerd te achterhalen wat de oorzaken zijn. Dat is wat ons nu juist moet interesseren. Niet alleen voor de studenten maar juist ook voor het bedrijfsleven. Kennen we de oorzaken niet dan kunnen we alleen aan symptoombestrijding doen.

Probeer bij een beveiligingsprobleem of incident in je praktijksituatie eens te achterhalen wat de oorzaak is en dan bedoel ik de echte oorzaak, dus niet het sociaal wenselijke antwoord dat we krijgen. Nee, vraag nog even door. Wat bedoel ik hier nu weer mee? Ik zal het kort proberen toe te lichten: een medewerker veroorzaakt een incident. Is dan de medewerker de oorzaak (zo ja dan moeten we daar dus wat aan doen), maar is dat wel echt zo? In veel gevallen is de medewerker niet de oorzaak, ja hij veroorzaakt het probleem, maar waarom? Doorvragen dus. Wist hij niet dat hetgeen hij deed een risico vormde? Was er voor hem geen andere mogelijkheid om zijn werk uit te voeren? En ga zo nog maar even door.

Als hij niet wist dat het een risico vormde wat hij deed dan moeten we ons dat zelf kwalijk nemen. Blijkbaar is het ons niet gelukt om onze kennis voldoende bij hem over te brengen (zijn wij nu ineens de oorzaak? En moeten we daar dan niets aan doen?). Had de medewerker wel de middelen om het veilig te doen?

Neem als voorbeeld maar eens het gebruik van (privé) webmail binnen organisaties. De medewerker stuurt via webmail documenten naar zijn privé adres om er thuis verder aan te kunnen werken. “Strafbaar” feit omdat we in ons beleid hebben opgenomen dat dat niet mag? Of is dit de enige manier voor de medewerker om zijn deadline te halen? Moeten we er bijvoorbeeld niet voor zorgen dat hij een veilige thuiswerkplek heeft of moeten we hem niet een veilige USB-stick geven? Dat zouden we kunnen doen, maar waar we ook eens naar moeten kijken is de werkdruk die we hem hebben opgelegd.

Te vaak zien we nog dat managers opdrachten accepteren van de directie zonder daarbij met de medewerkers af te stemmen. De manager zegt dat het morgen af is (commitment aan de directie) en schuift het probleem door naar de medewerker. De medewerker op zijn beurt wil zijn manager niet teleurstellen (of is bang dat hij zijn bonus niet haalt) en gaat tegen beter weten in de opdracht aan. Hij mailt de nodige informatie naar zijn huisadres, maakt een typefout en het staat morgen in de krant.

Mogen jullie drie keer raden wie hier voor opdraait? De directie, de manager of de medewerker?
Al snel zullen we wijzen naar de medewerker, toch? Natuurlijk had de medewerker nooit de informatie over een onbeveiligde lijn moeten versturen, maar waarom deed hij dat? Om zijn manager niet teleur te stellen. De manager gaf hem niet genoeg tijd om zijn werk goed te kunnen doen, is de manager dan niet schuldig aan dit incident? De directie heeft onvoldoende budget ter beschikking gesteld en vindt veilige thuiswerkplekken een te dure oplossing. Is de directie niet schuldig dan?

Zo zie je maar, we zien ogenschijnlijk een beveiligingsincident maar eigenlijk is dat slechts het gevolg van een managementprobleem. Ga voor jezelf nog eens wat actuele beveiligingsincidenten na, was dat echt de schuld van de medewerker of hebben we die als symptoombestrijding de schuld gegeven en was daarmee de kous af?

Deze medewerker zal in de toekomst een dergelijk incident (hopelijk) niet meer veroorzaken maar hoeveel medewerkers kunnen dat nog wel doen? Moeten we niet de echte oorzaken (welke dat ook mogen zijn) proberen weg te nemen door bijvoorbeeld de werkdruk af te stemmen of de juiste middelen ter beschikking te stellen?