Tag: prive

Vader denkt techneut te zijn

  door

Maar liefst 93 procent van de vaders denkt de computerexpert van de familie te zijn. Misschien moeten zij dat beeld maar eens bijstellen, want slechts één op de vijf andere gezinsleden is het hier mee eens (bron).

Als we ons dus afvragen waar toch al die slecht beveiligd prive PC’s vandaan komen dan kunnen we met een gerust hart stellen dat de “vaders” van tegenwoordig al die nieuwigheden ook niet meer bij kunnen benen. We kopen een PC en doen daar vrolijk van alles en nog wat mee. We klikken op wat linkjes om de beveiliging eens flink dicht te zetten en kijken daar nooit meer naar om.

Niet zo gek dat al die PC’s open en bloot staan voor iedereen die een beetje technische kennis heeft. Sterker nog, in veel gevallen weten de zoons beter met de PC om te gaan dan de vader. We kunnen het vergelijken met het onderhouden van je auto.

Vroeger was dat allemaal nog redelijk simpel. Onderhoud aan je auto deed je zelf. Hop, motorkap open en flink schroeven aan alle schroefjes die we tegen kwamen. De auto bleef prima rijden en we hadden toch weer wat geld uitgespaard. Tegenwoordig zijn er minder en minder mensen die nog zelf aan hun auto sleutelen. Dat kan ook bijna niet anders want het is allemaal niet zo simpel meer als jaren geleden. Er zit nu meer elektronica in je auto dan dat er in de jaren 80 in een spaceshuttle zat.

Willen we onze auto zelf nog een beetje onderhouden dan vullen we zo af en toe nog wat vloeistoffen bij, maar daarmee hebben we het dan ook wel gehad. De rest laten we lekker door de garage doen. Zouden we dit ook niet kunnen inrichten voor de PC’s van mensen?

Koop je een nieuwe PC dan zit daar de beveiliging al goed in gebouwd. Na zoveel uren moet je terug naar de winkel om je updates uit te laten voeren (met je auto ga je na 10 duizenden kilometers ook nog een keertje terug). Zelf vullen we dan af en toe de vloeistoffen bij door de virusscanners en software actueel te houden. Een meer jaren onderhoudsplan sluit je direct af bij aankoop en misschien kun je zelfs 5 of 7 jaar garantie krijgen.

Zou een mooie nieuwe bedrijfstak kunnen zijn. Maar dan het liefst wel een die we kunnen vertrouwen. En daarmee grijpen we weer terug op het bericht van eerder deze week waarbij een computerwinkel vindt dat hij prive gegevens gewoon mag inzien. Ehm, als ik in mijn auto iets laat slingeren als ik hem naar de garage breng dan ga ik er vanuit dat dat er nog gewoon ligt als ik mijn auto weer op kom halen. Dat verwacht ik dan dus ook bij een computerwinkel…jij mag het onderhoud doen maar moet wel van mijn eigendommen afblijven.

Doen we dat op de juiste manier dan kunnen we computerwinkels weer gaan vertrouwen, dan kunnen we er voor zorgen dat PC’s veilig blijven en hebben we ook nog eens flink wat werkgelegenheid erbij. Fantasie of werkelijkheid? Voorlopig nog het eerste.

Google gaat privegegevens combineren

  door

Google gaat het eigen privacybeleid aanpassen, zodat het gegevens van ingelogde gebruikers kan combineren. Het zal voor gebruikers niet mogelijk worden om zich voor de optie uit te schrijven…”De grootste verandering is voor gebruikers met een Google-account. Ons nieuw privacybeleid maakt duidelijk dat als je bent ingelogd, we informatie die je voor de ene dienst gebruikt, met informatie van andere diensten mogen combineren”, zegt privacydirecteur Alma Whitten. “Het komt erop neer dat we je als één gebruiker bij al onze producten beschouwen.”(bron)

We hebben het al zo vaak aangehaald. Op zich is het niet zo’n ramp als er allerlei gegevens van je worden verzameld (ja, het klinkt gek, maar ik zal het je zo uitleggen). Het wordt pas eng als de gegevens gecombineerd gaan worden. En daar gaat Google nu van alles aan doen. Eigenlijk weten we helemaal niet wat Google allemaal van ons weet, maar vanaf 1 maart zouden we wel eens voor verrassingen kunnen komen te staan.

Ok, eerst maar even terug op die afzonderlijke gegevens. Is het erg als je weet dat een wachtwoord “Welkom01” is? Op zich niet, want als je niet weer voor welk systeem en welke inlognaam erbij hoort, kom je niet zover. Is het erg dat ze weten dat je op de 15de van een maand geboren bent? Nou, niet echt als de maand onbekend is. Is het erg als men de vervaldatum van je creditcard weet? Nee, niet als ze het nummer en de veiligheidscode niet kennen. Daarom zijn afzonderlijke gegevens dus niet zo interessant, nee het wordt pas wat als we die gegevens om kunnen zetten in informatie.

Natuurlijk zijn we al jaren gewaarschuwd door allerlei instanties en mensen over Google. Maar ja, je kunt er bijna niet meer omheen. Wie gebruikt Google niet om te zoeken? Wie heeft er geen Gmail-account en wie heeft er geen foto’s op Picasa? En dit is pas het topje van hun ijsberg.

Een gewaarschuwd mens telt voor twee, maar zijn we niet al te laat? Hebben we niet al teveel gegevens afgestaan aan Google? En hoe integer zijn ze dan straks met die gegevens? Het antwoord daarop weten we nu nog niet, maar we worden met zijn allen wel stevig in een houdgreep genomen. Grote kans dat we niet meer uit die houdgreep komen omdat we inmiddels al zo aan de diensten gewend zijn geraakt.

Knap van Google, dat moet je ze nageven. Eerst geef je alles gratis weg (de gratis economie is nu eenmaal booming). Maar ja daarna moet er wel op een andere manier geld worden verdient en dat gaat dus gebeuren door combinatie van gegevens waardoor we meer en meer over het individu te weten komen en we meer en meer persoonlijke advertenties jouw kant op kunnen sturen. Wat ze er nog meer mee zullen doen blijft gissen.

Benieuwd of de massa de wijziging in het beleid van Google oppikt of dat we gewoon op “ok” klikken en weer vrolijk doorgaan. Ik vrees voor het laatste, maar hoop dat het tegendeel bewezen zal worden.

ICT-beslisser is weinig bezorgd om beveiliging (van privé apparaten)

  door

Gingen we gisteren nog in op de tips om USB-sticks beter te beveiligen. Dan gaan we vandaag in op het feit dat ICT-beslissers in Nederland helemaal niet zo wakker liggen van de risico’s van privé apparaten.

ICT-beslissers in Nederland maken zich het minst zorgen om de beveiliging van privé-apparaten. In Nederland is 18 procent van hen totaal niet bezorgd over het toelaten van bedrijfsinformatie op persoonlijke apparaten van medewerkers, terwijl dit percentage wereldwijd gemiddeld 11 procent is. Dat blijkt uit onderzoek door Vanson Bourne onder 1100 ict-managers in elf landen (bron).

Het blijft opmerkelijk. Informatie is het nieuwe goud, informatie vertegenwoordigt een grote waarde voor veel organisaties. Toch maken we ons er geen zorgen om. Wat ons betreft mag iedereen die informatie lekker op een privé apparaatje zetten en er mee doen wat ze willen. Dat is natuurlijk niet zo, want als je deze ICT-beslissers letterlijk zou vragen of ze het acceptabel vinden dat vertrouwelijke informatie gestolen wordt, dan mag ik toch hopen dat het antwoord “nee” is.

Jammer genoeg weten we niet wie er naar de antwoorden gevraagd is en welke rol deze zogenaamde ICT-beslissers in de organisatie vervullen. De vraagstelling en context zijn ons evenmin duidelijk. Ik kan me zomaar voorstellen dat de ICT-beslissers (wat een raar woord overigens, maar goed we blijven hem vandaag gewoon gebruiken) wel andere zorgen aan de kop hebben.

Zeer waarschijnlijk staat er een enorme druk op hun budget, we moeten het immers allemaal met minder geld doen op dit moment. In dat geval kan ik me heel goed voorstellen dat men het toejuicht dat personeel privé apparatuur mee neemt naar het werk. Hier komt natuurlijk ook het Bring Your Own-principe om de hoek kijken.

Nederlandse ict-beslissers verwachten dat over twee jaar zes op de tien medewerkers een privé-apparaat gebruikt om te werken en dat is meer dan in andere landen. 

Het scheelt natuurlijk een flinke slok op een borrel als je als organisatie voor 4 in plaats van 10 medewerkers een werkplek aan hoeft te schaffen. Hoe groot die slok is? Nou, zo’n 60% dus alleen al aan aanschaf van hardware. Stel dat je 100 man personeel hebt lopen en de vervanging van de hardware er aan zit te komen. Een beetje werkplek kost je toch al snel zo’n € 2.500 (ja ja, ook ik vraag me af waarom die prijs zo hoog is een laptopje heb je ook al voor € 300 maar de beheerkosten zijn hierin ook verwerkt). € 2.500 x 100 = € 250.000 terwijl € 2.500 x 40 maar € 100.000 is.

In de ogen van de ICT-beslisser kan er natuurlijk nog veel meer bezuinigd worden want ook ondersteuning van de medewerkers kan flink teruggeschroefd worden. Die medewerker geven we per 5 jaar € 500 en de rest zoeken ze maar lekker zelf uit, toch?

Zolang er nog te weinig incidenten zijn of bekend worden, zal deze trend zich zeer waarschijnlijk door blijven zetten. Beveiliging kost in de ogen van de ICT-beslissers alleen maar geld en levert niets op. Het Bring Your Own-principe zorgt voor flinke besparingen en die zijn veel makkelijker aan het management uit te leggen dan de bijbehorende risico’s. Als ICT-beslisser gooi je dus hoge ogen en de Security manager lost het probleem van de beveiliging maar lekker op.

Dat de Security manager vervolgens om een flink hoger budget vraagt, komt als een complete verrassing voor dat management en dat budget zal dan ook niet toegezegd worden…ook hij moet maar eens bezuinigen, toch? Ja, integrale beveiliging, ik heb er al zoveel over geschreven, maar hiermee wordt maar weer eens duidelijk dat we aan moeten tonen dat beveiliging geen technisch maar een bedrijfskundig vraagstuk is…gericht op de continuïteit van de organisatie. Werk aan de winkel dus.

De Wet Bescherming Persoonsgegevens

  door

Op het gebied van informatiebeveiliging zijn (nog) niet heel erg veel relevante wetten waaraan we ons verplicht moeten houden. Uit algemene wetgeving kunnen we natuurlijk wel afleiden dat we ons als goed huisvader dienen te gedragen. In hoeverre we “goed” dan nader definiëren is aan onszelf. Toch is er minimaal een wet waaraan we ons moeten houden als we gegevens van personen ontvangen, opslaan en hopelijk tijdig weer verwijderen.

De vraag die hierbij hoort is:
Wordt regelmatig getoetst of de bepalingen van de Wet Bescherming Persoonsgegevens worden nageleefd?

Onze klanten kopen bij ons omdat ze ons vertrouwen (of omdat ze nu eenmaal geen andere aanbieder hebben, maar daar gaan we voor nu even niet vanuit). Als dat zo is dan mogen wij dat vertrouwen niet schaden, dat is niet alleen niet netjes maar zal er ook voor zorgen dat de klanten massaal hun biezen pakken en nooit meer terug zullen keren.

Kennen we niet allemaal de regel dat het behouden van een klant vele malen makkelijker is dan het werven van een nieuwe? Dat mag dan vanuit verkoop en marketing helemaal waar zijn, maar vanuit informatiebeveiliging moeten we daar dan ook actief een bijdrage aan leveren. Het is onze taak om de gegevens van personen goed beveiligd te houden.

Dat klinkt misschien niet zo ingewikkeld en wordt ook als niet meer dan logisch ervaren. Toch zien we in de praktijk vele incidenten waarbij de privé gegevens van klanten op straat zijn geraakt. Systemen worden gehackt, databases worden openbaar en USB-sticks met gegevens worden verloren. Allemaal zaken waar we bij informatiebeveiliging natuurlijk stil bij willen staan.

Maar we mogen ook niet vergeten dat we de persoonsgegevens opslaan met een bepaald, vooraf gesteld en bekend gesteld, doel. Buiten dat doel om mogen we die gegevens niet gebruiken voor bijvoorbeeld commerciële doeleinden…tenzij we daar expliciet toestemming voor hebben gekregen.

Doen we het op een handige manier dan mogen we die gegevens intern nog op een redelijke wijze gebruiken, het wordt al anders als we besluiten die gegevens ook aan anderen te verkopen. Natuurlijk kunnen we ergens in de kleine lettertjes opnemen dat dat ons recht is en als men daar niet mee instemt dat de deal dan helaas niet door kan gaan. Maar hiermee hebben we toch redelijk boter op ons hoofd. Laten we eerlijk zijn, hoe lang geleden was het dat jij zelf de kleine lettertjes bij een contract hebt gelezen? Lang? Nooit?

Vertrouwen is goed, controle is beter. Heb je zelf wel eens je persoonsgegevens in moeten vullen en werd je daarna verrast met allerlei reclamemateriaal of telefoontjes? Grote kans dat je gegevens verkocht zijn. Wil je het controleren dan kun je natuurlijk je persoonsgegevens zodanig kenmerken dat je kunt herleiden waar je ze hebt ingevuld en hoe die dan weer zijn verkocht. Je kunt dat bijvoorbeeld doen door op het formulier eens een andere voorletter in te vullen of bijvoorbeeld de eerste twee voorletters van je voornaam. Moet je eens doen en dan kijken welke adresetiketten daar wel erg mee overeen komen.

Moet je digitaal je gegevens ergens achterlaten dan kun je natuurlijk altijd een gratis emailadres aanmaken bij Hotmail, Gmail of iedere andere gratis aanbieder. Die kun je dan mooi gebruiken als je weer eens op een site je adres moet achterlaten. De SPAM komt dan vele malen eerder daar terecht dan in de mailbox die je voor meer serieuze zaken gebruikt.

Als we terug komen op het feit waarom men bij ons koopt dan gaat het er dus om dat ze ons vertrouwen. Dat vertrouwen mogen we niet te grabbel gooien omdat we dan de deksel lelijk op onze neus kunnen krijgen. Natuurlijk doen we er met allerlei beveiligingsmaatregelen van alles aan om die gegevens te beschermen (toch?), maar daarnaast zullen we dus met de verkoop en marketing afdeling in overleg moeten om legitiem gebruik van die gegevens vast te leggen.

Tweedehands mobiele telefoons vol privegegevens

  door

Ben je alweer aan een nieuwe mobiel toe? Denk dan nog eens goed of je je oude vertrouwde mobiel echt wel door wilt verkopen voor een paar tientjes.

Meer dan de helft van de tweedehands telefoons verkocht via eBay bevat privégegevens, aldus onderzoekers. Het gaat om intieme foto’s, telefoonnummers, pincodes en creditcardnummers. Het bedrijf Disklabs analyseerde vijftig gebruikte mobieltjes die via de veilingsite werden aangeboden. Bij negen van de vijftig toestellen was er nog pornografisch materiaal aanwezig. Een zelfde aantal bevatte nog kalenderinformatie en video’s. Adresgegevens, creditcardnummers en pincodes werden op 26 van de 50 telefoons aangetroffen (bron).

Bij 26 van de 50 toestellen werden nog adresgegevens, creditcardnummers en pincodes aangetroffen. Deze gegevens, die wat mij betreft vele malen vertrouwelijker zijn dan pornografisch materiaal, kalender informatie of video’s worden voor het gemak even op één hoop gegooid. Maar laten we eerlijk zijn, waar lig jij meer wakker van? Dat de koper jouw filmpje kan zien of dat hij met je creditcard lekker kan gaan shoppen op het internet?

Ikzelf zou me meer zorgen maken om mijn creditcard gegevens, maar goed dat kan ook komen omdat mijn telefoon geen pornografisch materiaal bevat en de foto’s en filmpjes die er wel op staan ook het 6 uur journaal niet gaan halen.

Gek eigenlijk dat we nog zo laconiek doen over onze mobiele telefoons en dat we ons nog zo weinig zorgen maken over de gegevens die er op staan. Veel mensen slapen tegenwoordig met hun mobiel en die bevat hun hele hebben en houwen. Toch zijn we bereid om ons leven voor een paar tientjes te verkopen op Ebay. Vreemde gedachte, je oude portemonnee verkoop je toch ook niet als je een nieuwe hebt? En als je hem wel verkoopt dan haal je toch echt eerst je creditcard eruit.

Maar goed, dit soort onderzoeken zijn al vele malen gedaan, niet alleen voor mobiele telefoons maar ook voor oude harde schijven, laptops en computers. De conclusie is steeds hetzelfde: met weinig moeite zijn de gegevens terug te halen. Wat je daaraan kun doen, ach er zijn verschillende opties:
1) Zorg ervoor dat alle gegevens er echt goed af zijn en dat klinkt makkelijker dan het is. Even formatteren is echt niet genoeg want in no time zijn je gegevens weer leesbaar. Vraag je wel even af of al die moeite het waard is voor die paar tientjes die je ervoor terugkrijgt.
2) Of mijn favoriet: sloop je oude telefoon, harde schijf, laptop. Knip hem in stukken, sla er met een hamer op, verbrand hem of zorg voor goede wissoftware. Dat ding is toch al afgeschreven.

Prive Hyves profielen vaak toch te bekijken

  door

Vaak schermen mensen hun Hyves profiel af zodat deze alleen te zien is door vrienden. Deze Hyves profielen zijn niet voldoende beveiligd. Gebruikers die hun profiel afschermen zijn vaak in de veronderstelling dat alleen vrienden dan nog hun profiel kunnen zien. Uit het onderzoek is gebleken dat dit niet waar is. Via een achterdeur is namelijk een groot gedeelte van je profiel nog steeds zichtbaar. Dit is in meeste gevallen mogelijk door de standaard Hyves instellingen of door instellingen die gewijzigd zijn door de gebruiker zelf. Via RSS feeds zijn foto’s, gadgets, blog, WWW’s, krabbels, buzz, polls, events en tips nog steeds te bekijken (bron).

Voor die mensen die balen dat hun moeder ook op Hyves zit maar waarvan haar profiel is afgeschermd natuurlijk de ideale oplossing. Nu kun je ongestoord kijken naar de foto’s die ze erop gezet heeft.

Oh ja, ik ben natuurlijk niet verantwoordelijk voor wat jij met deze informatie doet. En of het echt zo simpel is? Wie zal het zeggen.

Oh ja, mocht je gewoon de laatste foto’s op Hyves willen zien dan kan het makkelijker. Ga naar Hyves klik dan onderaan (bij RSS feeds) op “Nieuwste foto’s” en vervolgens kom je automatisch op de foto’s uit. Kortom: wees gewaarschuwd, iedereen kan je foto’s zien…maar goed, je hebt vast niets te verbergen als je ze toch al op Hyves zet.