Tag: uitbesteding

Overheidscloud vergroot risico’s op datalekken

  door

We zijn deze week lekker bezig met het nemen van een bepaald soort risico als uitgangspunt voor het blog. Daar gaan we vandaag nog even mee door. Vandaag pakken we weer een heel ander soort risico, namelijk dat op datalekken.

Overheden moeten goed nadenken of, en welke data in een cloud wordt opgeslagen. Landen worden aangespoord extra op beveiliging en contractvoorwaarden te letten (bron).

Interessant natuurlijk dat er hier specifiek gesproken wordt over de overheden die goed (lees: beter) na moeten denken over beveiliging in “the cloud”, maar dat geldt natuurlijk net zo goed voor alle andere organisaties en zelfs voor privé personen.

Een (vrij) nieuwe techniek en er moet inderdaad goed over de risico’s worden nagedacht. Toch moeten we deze ontwikkelingen niet uit de weg gaan, in veel gevallen kan het onderbrengen in de cloud zelfs beter zijn dan het op je eigen servers laten draaien.

Het gaat er natuurlijk om dat je goed de risico’s in kaart brengt voor de beschikbaarheid, integriteit en exclusiviteit van de data die je in de cloud opslaat. Doe je dat op een weldoordachte wijze dan zul je zien dat voor de ene organisatie de beschikbaarheid bijvoorbeeld enorm toeneemt terwijl ze concessies moeten doen aan de integriteit of de exclusiviteit.

Voor andere organisaties zal juist de beschikbaarheid afnemen terwijl de integriteit toeneemt. Het grootste bezwaar dat leeft tegen opslaan in de cloud is die van de exclusiviteit van de gegevens.

Of gewoon in simpel Nederlands: wie kan er allemaal bij mijn gegevens en wat doen ze er dan mee? Toch ben ik er van overtuigd dat ook de exclusiviteit van de data voor veel organisaties er enorm door kan toenemen. Nu werken ze nog op een verouderde infrastructuur, worden patches niet doorgevoerd en weten we al helemaal niet wie er van onze medewerkers bij de gegevens kan.

Maar om donderwolken te voorkomen, is het wel van belang goed naar die risico’s te kijken. Er over na te denken en de juiste maatregelen te nemen om die risico’s af te dekken. Ik geloof dat het kan en ik geloof dat voor veel organisaties de zon achter de wolken kan schijnen.

Spionnen op zoek naar bedrijfsinformatie

  door

Enkele tientallen buitenlandse inlichtingendiensten zijn in Nederland actief op zoek naar economische informatie. Dat zegt een medewerker van de AIVD in het tijdschrift Forum van werkgeversorganisatie VNO-NCW. De AIVD’er baseert zich op een rapport van de inlichtingendienst over de risico’s van spionage bij het bedrijfsleven…De AIVD sluit niet uit dat er momenteel meer spionnen actief zijn in Nederland dan tijdens de Koude Oorlog. (bron).

Gelukkig zijn wij Nederlanders altijd het braafste jongetje van de klas, wij doen daar natuurlijk niet aan. Wij vertrouwen onze bevriende landen allemaal op de blauwe oogjes. Misschien controversieel maar zou het in het kader van de openbaarheid van bestuur niet netjes zijn als we aangeven welke landen wij allemaal bespioneren? Het antwoord? Nee, natuurlijk niet, er zijn grenzen aan de openbaarheid van bestuur en dat is maar goed ook.

We hebben al vaker berichten voorbij zien komen waarin wordt aangegeven dat Nederland het land is met de meeste telefoontaps in de wereld. Trekken we die lijn door dan zullen we in de spionage wereld waarschijnlijk ook een grote toeter meeblazen. Helaas merk je daar als organisatie weinig van. De spionage moet natuurlijk een bepaald doel hebben (dat kan zijn om te voorkomen dat we verrast worden door een kernbom, maar kan ook juist gericht zijn op het stimuleren van de economie). De kunst van spionage is om de informatie zo te verspreiden dat de bedrijven daarvan kunnen profiteren (zonder dat ze weten dat de informatie van spionage afkomstig is). Het spioneren om te spioneren is natuurlijk het doel niet, je moet iets met die informatie doen.

Nu gaat het in dit bericht om spionnen van inlichtingendiensten van andere landen. Dat onderkennen veel bedrijven niet, maar wat te denken van de “mollen” die concurrerende bedrijven inzetten? Hoeveel medewerkers lopen er bij jou in het bedrijf rond die informatie doorsturen naar de concurrent? Is die schoonmaker eigenlijk wel een schoonmaker of is hij eigenlijk aan het werk voor één van je concurrenten? Iedereen heeft zijn prijs, wees je daarvan bewust.

Bedrijven kijken, als het gaat om beveiliging, vaak naar de bedreigingen die van buitenaf komen, maar de bedreigingen die van binnenuit komen vergeten we nog vaak. Is iemand eenmaal door zijn screening dan vertrouwen we hem volledig en krijgt hij alle rechten op het netwerk. Een aantal bedrijven doen veel aan beveiligingsbewustzijn, maar dat richt zich met name op het verhogen van het kennis niveau van medewerkers die best veiliger willen werken en daarvoor de tools aangereikt krijgen. Bij de bewustzijnscampagnes maken we nog weinig onderscheid in mensen die bewust de boel willen molesteren.

Als bedrijf kun je je afvragen wat je liever hebt: een spion van een inlichtingendienst of één of meer mollen die de informatie direct doorsluizen naar je concurrent. Verrast dat de concurrent jouw nieuwe product zo snel kan imiteren? Dan zou ik toch het personeelsbestand nog eens goed tegen het licht houden en meer controle- en beveiligingsmaatregelen in bouwen om spionage te beperken.

Spionage is een serieus probleem voor de kenniseconomie die wij zo graag willen zijn. De kennis loopt met grote passen het land uit. Deels doen we dat zelf en heel bewust (denk alleen maar aan uitbestedingen aan landen als China en India) maar grotendeels weten we er niet van en dat is misschien nog wel een veel groter risico.