Tag: software

We gaan nog even verder met fraude internetbankieren

  door

Hoopten we gisteren nog dat het aantal fraudes met internetbankieren zou afnemen omdat het met 300% gestegen is. Dan gaan we vandaag nog even verder met wat informatie over internetbankieren.

Vorig jaar werd er bij 8.000 Nederlanders door malware of phishing geld van de bankrekening gehaald…De totale schade door aanvallen op internetbankieren bedroeg vorig jaar 35 miljoen euro, wat neerkomt op zo’n 4.400 euro per slachtoffer. Het aantal slachtoffers nam wel toe, van 1.383 in 2010 naar 8.000 in 2011 (bron).

Of wat te denken van onderstaande gegevens.

De internetfraude steeg van bijna tien miljoen euro in 2010 naar 35 miljoen euro vorig jaar. De fraude door skimming (het kopiëren) van betaalpassen steeg van 19,7 miljoen euro in 2010 naar 38,9 miljoen euro vorig jaar (bron).

Dat zegt ons allemaal een stuk meer dan een stijging van 300%. Het krijgt nu vorm en we zien het aantal Euro’s en slachtoffers dat er mee gemoeid is.

Misschien is dit allemaal nog wat te abstract. We zien geen gezicht bij het slachtoffer en kunnen ons er dus maar moeilijk mee identificeren. Na onderstaand bericht lukt ons dat nog een stuk beter.

Een 80-jarige man uit Purmerend is slachtoffer geworden van een virus dat duizenden euro’s van zijn rekening haalde. De man kreeg tijdens het internetbankieren plots een melding te zien, zo laat de politievoorlichter van de regio Zaanstreek-Waterland tegenover Security.nl weten (bron).

Ach, die arme, oude stakker, het zou zomaar jouw opa kunnen zijn. Denk je nu misschien. Maar geloof me, bij die 8.000 slachtoffers zijn mensen uit alle lagen van de samenleving. Denk dus niet dat het jou niet kan gebeuren want voor je het weet ben jij aan de beurt.

Weet je nog dat we het eerder deze week hadden over de Online Periodieke Keuring van Microsoft of de software scan van Secunia? Daar deden we toen wat luchtig over en ik schat de kans groot dat je toen bent vergeten om jouw eigen pc even te scannen. Maar misschien werpen de cijfers over fraude met internetbankieren daar nu ineens een ander licht op. Sterker nog: stel dat jouw opa wel zo slim was om zijn pc te scannen en jij nu slachtoffer bent geworden…dan sta jij toch mooi met je broek op je enkels.

Wat je ook doet en of je nu wel of niet jouw software scant. Je weet nu in ieder geval dat het niet geheel ongevaarlijk is om op een pc met verouderde software te internetbankieren. Wil je dit jaar niet worden toegevoegd aan de lijst met slachtoffers dan kun je daar nu in ieder geval je steentje aan bijdragen. En als je dat dan toch doet moet je het je opa misschien ook even voordoen (en nee, niet omdat jij nu zonodig je erfenis veilig moet stellen, maar omdat je ze misschien wel een groot plezier doet…en dat is toch ook wat waard?).

1,2 miljoen Nederlanders met verouderde software

  door

Deze titel belooft ons een artikel waar ikzelf in ieder geval helemaal niets van geloof.

Stel je voor dat er maar 1,2 miljoen Nederlanders zijn met verouderde software, dan zou er voor de virusschrijvers bijna geen lol meer aan zijn. Nee, ik geloof er helemaal niets van en geloof dat het er meer zijn, veel meer zelfs. Maar goed, nu eerst de kern van het originele bericht.

Ruim 1,2 miljoen Nederlanders gebruiken verouderde software en lopen daardoor groter risico op virussen, zo waarschuwt Microsoft (bron).

Oh, het verhaal wordt al een stuk duidelijker. Er zijn 1,2 miljoen Nederlanders met een verouderde Windows versie. Dat lijkt er al een stuk meer op en zou misschien best het geval kunnen zijn. Maar waarom brengt Microsoft een dergelijk bericht naar buiten? We lezen nog even verder zodat we daar ook conclusies aan kunnen verbinden.

Microsoft waarschuwt gebruikers van Windows XP en Vista die niet de laatste update hebben geïnstalleerd, ook geen nieuwe beveiligingsupdates meer krijgen…”Omdat we vinden dat iedereen veilig online moet kunnen zijn, hebben we de Online Periodieke Keuring ontwikkeld.”

Een beetje tegenstrijdig natuurlijk: we willen dat iedereen veilig online is, maar geven je niet de laatste update als je er een keer een gemist hebt. Oh wacht, er is een Online Periodieke Keuring ontwikkeld. Kan natuurlijk best handig zijn, maar is een dergelijk bericht dan niet gewoon een verkapte reclame? En waarom heeft Microsoft een dergelijke reclame nodig? Ze kunnen toch alles pushen naar jouw pc? Gewoon een popup de volgende keer dat je inlogt en daar kun je alleen maar voor “ok” kiezen. Moet jij eens opletten hoe snel dit probleem is opgelost.

Een leuke poging van Microsoft en je bent natuurlijk geheel vrij om het te proberen, maar er is al jaren Secunia die ook scant of je software up-to-date is. Deze kijkt niet alleen naar Microsoft producten maar heeft een nog iets bredere blik en neemt ook niet-Microsoft software onder de loep.

Nou ja, wat je ook gebruikt, het is altijd goed om periodiek te checken of je software nog up-to-date is en je hebt nu in ieder geval twee mogelijkheden om het eens te proberen. En je moet het ze natuurlijk nageven: het is inderdaad waar dat de meeste problemen op je pc (als het om virussen gaat) komen door verouderde software…dat gebeurt jou vanaf vandaag niet meer en als je dan ook nog zorgt dat je anti-virus software actueel is, ben jij vandaag alweer een stukje veiliger geworden.

Hardware veel onveiliger dan software

  door

Eind vorig jaar kwam het onderstaande bericht al voorbij. Maar omdat we deze week bezig zijn met het aanvullen van ons lijstje risico’s, kan deze niet ontbreken.

Hackers zullen zich in 2012 massaal op hardware richten, aangezien fabrikanten zeker tien jaar achterlopen in vergelijking met softwareleveranciers. Dat is een voorspelling van Michael Sutton van beveiligingsbedrijf Zscaler Research (bron).

De moraal is natuurlijk dat we niet de beveiliging van software uit het oog moeten verliezen (want daar is nog genoeg mis mee), nee, we moeten simpelweg de hardware aan ons lijstje toevoegen. Denk aan allerlei apparatuur als printers, routers, servers maar ook kopieerapparaten en koffiemachines mogen wat mij betreft tegen het licht worden gehouden.

Natuurlijk loop je meer risico met netwerkapparatuur waarop bedrijfsinformatie staat en natuurlijk is het nog een ver van mijn bed show dat we aangevallen worden via koffiemachines. Toch zit er aan een koffiemachine een directer risico. We hebben het in het verleden wel eens aangehaald, maar zullen er nog een keer kort op ingaan.

De kans is groot dat onze koffie leverancier op afstand kan kijken wat er met de machine aan de hand is. Op afstand wordt het aantal geschonken bakjes koffie uitgelezen en jouw bedrijf krijgt daarvoor de rekening gepresenteerd. Maar wat als de leverancier de cijfertjes een beetje beïnvloed en naar boven toe afrond? Ben jij in staat om te controleren of de cijfers kloppen? En als de leverancier via het netwerk de machine kan benaderen, kunnen de criminelen dan niet via die netwerkverbinding ons netwerk binnen dringen?

Voor de kopieerapparaten geldt natuurlijk hetzelfde. De leverancier ziet het aantal kopietjes en printjes op afstand en jij betaald per pagina. Maar de kans is ook aanwezig dat de informatie die geprint of gekopieerd is op afstand is uit te lezen. In dergelijke apparaten zit een harde schijf en als het de leverancier of een crimineel lukt om de informatie uit te lezen dan ligt de informatie op straat.

De hardware wordt nu ook aan ons lijstje toegevoegd en de software blijft gewoon op ons lijstje staan. De kans en de impact schatten we. Maar als ons lijstje wordt uitgebreid moeten we ook de prioriteiten gaan stellen. We kunnen niet alle risico’s tegelijk aanpakken en dat is ook helemaal niet nodig. Met de inschatting van de kans en impact (op een 5-puntsschaal) ontstaat ook direct een prioriteitenlijst. De risico’s met de hoogste score pakken we het eerst op.

Logisch, toch? Ja, als je het zo ziet en leest wel. Maar ook hier is de praktijk weer een stuk lastiger. Nog te vaak zien we dat we wel risico’s aan het afdekken zijn maar dat het niet noodzakelijkerwijs de risico’s met de hoogste score zijn. Nee, veelal zijn het de risico’s die we het makkelijkst op kunnen lossen (het zogenaamde low hanging fruit), de meer ingewikkelde risico’s schuiven door omdat we daar meer budget of meer denkkracht voor nodig hebben.

Zonde, want hiermee lopen we weer in dezelfde cirkel als we de afgelopen jaren hebben gedaan. We verzanden (of verzuipen) in beveiligingsmaatregelen en verliezen de risico’s uit het oog. Mag ik je er nog even aan helpen herinneren dat 2012 het jaar is van de ommezwaai? Even afstand nemen en terug naar ons lijstje met risico’s. Die beveiligingsmaatregelen volgen dan vanzelf wel.

Software zonder geldige licentie

  door

Illegale software, zo noemen we het al snel. Maar eigenlijk draait het om software zonder een geldige licentie. De software op zich is legaal, alleen de wijze waarop wij er aangekomen zijn en hoe wij het gebruiken voldoet niet. Toch ook een aspect waar we ons op moeten richten door bijvoorbeeld licentiebeheer goed in te richten.

De vraag is dan ook niet geheel toevallig:
Zijn er maatregelen tegen “illegale” software (software zonder geldige licentie)?

Aan het gebruik van software zonder licentie zitten een aantal kanten. Zo kunnen we kijken naar de software die niet in onze standaard zit maar door medewerkers wel op hun werkstation wordt geïnstalleerd. Maar we kunnen ook kijken naar de software die wel onze standaard is maar waarvoor we het gebruik niet goed monitoren (of in gewoon Nederlands: we hebben meer gebruikers dan licenties).

Het draait om licentiebeheer en zicht op welke software er allemaal draait op ons netwerk. We willen geen claims aan onze broek omdat we teveel gebruikers hebben. Dat kost ons niet alleen geld in de vorm van boetes maar kan ook ons imago een deuk bezorgen. Daarnaast willen we ook geen software op ons netwerk dat we niet kennen. Hoe veilig is die software eigenlijk en door wie wordt die software op welke wijze dan up-to-date gehouden?

Installatie van software kan er zomaar voor zorgen dat ons netwerk uit de lucht gaat. Daarom willen we alleen die software waar we zicht op hebben en waar we eerst tests op hebben uitgevoerd. Theoretisch allemaal heel erg leuk. In de praktijk komen we nog wel tegen dat er niet goed naar de gebruikers is geluisterd. Zij hebben behoefte aan een bepaald soort software dat niet tot onze standaard behoort. Helaas voor deze gebruiker, maar die software gaan we niet installeren, toch? Eerlijk gezegd slaan we dan een verkeerde weg in. We moeten niet vergeten dat we ondersteunend zijn. Die medewerker zal een goede reden hebben om die software te willen. Hebben we al eens aan hem of haar gevraagd waarom deze software nodig is? Hebben we al eens gekeken of we niet al een dergelijke soort software met dezelfde functionaliteit in onze standaard hebben zitten? Hebben we al eens gekeken of we het toch niet op een veilige wijze mogelijk kunnen maken voor die medewerker?

Doen we dat niet dan is de kans groot dat hij of zij zelf probeert de software te installeren en dan worden er al snel illegale downloads gemaakt. De medewerker gaat natuurlijk zelf niet betalen voor een dure applicatie en een download is dan al snel opgestart. Wordt deze software inderdaad op ons netwerk geïnstalleerd dan zijn we het overzicht aan het kwijtraken. Ha, zeg je, installeren op ons netwerk is voor gebruikers niet mogelijk, probleem opgelost, toch?

Nou, niet helemaal. Nogmaals: die gebruiker heeft vast een goede reden om die software te willen. Kan er niet geïnstalleerd worden op het netwerk dan is de kans groot dat hij of zij het op eigen middelen installeert. Hop, de software op de eigen laptop en op de dag dat we thuiswerken gebruiken we die. Ons netwerk loopt in ieder geval minder gevaar, maar we zijn de informatie die gebruikt wordt wel kwijt. Die informatie staat nu op middelen die wij niet kennen of ondersteunen en de vraag is zomaar hoe veilig die dan wordt opgeslagen en hoe we dan zorgen voor back-ups.

We moeten bij het kijken naar software zonder licentie dus niet zomaar roepen dat we alles blokkeren dat niet tot de standaard behoort. Daarmee leggen we het probleem bij de gebruikers neer. Nee, we zijn en blijven ondersteunend en moeten dus goed kijken naar de behoefte van onze “klanten”. Waarom willen zij bepaalde software en hoe kunnen we dat zo goed mogelijk faciliteren? Doen we dat, dan leveren we een meerwaarde en worden we ook nog eens geaccepteerd door de gebruikers. Hoe mooi wil je het hebben?