Tag: verlies

Reizigers verliezen 3.500 laptops op luchthavens VS

  door

Reizigers blijken massaal mobiele apparaten op populaire Amerikaanse luchthavens te verliezen, zo blijkt uit onderzoek. In 2011 werden op zeven grote luchthavens meer dan 8.000 mobiele apparaten verloren. Slechts één van de zeven onderzochte luchthavens geeft de verloren apparatuur aan de autoriteiten. In de meeste gevallen laten reizigers hun laptop liggen (3.576), gevolgd door smartphones (3.444) en USB-sticks (996). (Bron)

Het zijn cijfers waar je eigenlijk niet bij stilstaat en 3.500 klinkt natuurlijk als erg veel. Maar hoeveel mensen zouden er in dat jaar via die 7 grote luchthavens vliegen? Vele honderdduizenden, als het er niet meer zijn. Ja, dan valt 3.500 natuurlijk wel weer mee.

Het is natuurlijk wel zaak om deze laptops (en andere mobiele apparaten) voldoende te beveiligen. Dat we apparatuur kwijt raken is nog tot daaraan toe maar we zullen toch eerder wakker liggen van de gegevens op die apparatuur.

Een beetje laptop kost een paar honderd euro en die schrijven we binnen een paar jaar af. Maar de informatie op de harde schijven heeft waarschijnlijk een veel hogere waarde. Het is dan ook te hopen dat als het om bedrijfslaptops gaat er in ieder geval een goede backup is gemaakt en het “device” van een wachtwoord en encryptie is voorzien.

Ik ben overigens benieuwd wat het Bring Your Own Device (BYOD) principe hier voor invloed op zal hebben. Zijn mensen voorzichtiger met hun eigen spullen dan met de spullen van de baas? Of zou het juist andersom zijn?

En als we dan nog even doordenken. Hoeveel van die 3.500 laptops zijn echt verloren? En hoeveel zijn er bewust achtergelaten? Hoe vaak hoor jij je collega’s niet afgeven op die oude laptop die ze hebben. Oud? Nou ja, hij gaat toch zeker al 2 jaar mee en al je collega’s hebben inmiddels een nieuwe. Tijd om de jouwe maar weer eens kwijt te raken zodat je een goed excuus hebt om een nieuwe aan te vragen.

Hiermee is het hebben van een laptop dus op een wat vreemde manier een beveiligingsrisico. Omdat een medewerker mogelijk de balen heeft van zijn oude laptop, “verliest” hij hem om een nieuwe te kunnen aanvragen. Daarmee lopen we niet alleen financiële schade (een paar honderd euro voor vervanging van die laptop) maar juist ook enorme risico’s dat onze informatie op straat komt. Zo zie je maar dat informatiebeveiliging veel meer bevat dan alleen een firewall of antivirus software. Dat is wat het vak ook zo mooi maakt. Creatief bezig zijn met het onderkennen van de risico’s.

Personeel schuldig aan meeste datalekken

  door

Bedrijven geven hun werknemers de schuld van de meeste datalekken die plaatsvinden. 78% stelt dat er gegevens zijn uitgelekt door nalatig gedrag of kwaadwillend personeel. De voornaamste oorzaak van datalekken zijn het verlies van laptops of andere mobiele apparaten (35%), blunders (32%) en systeemfouten (29%), aldus onderzoek van het Ponemon Institute (bron).

Het is al langer bekend (en zelf vind ik het een te gemakkelijke uitspraak en als je verder leest weet je ook waarom), maar het personeel is de zwakke schakel. Zo, daarmee kunnen we als werkgever onze verantwoordelijkheid afschuiven en treft ons geen blaam, toch? Nou, dat is zomaar de vraag. Want integrale beveiliging bestaat nog steeds uit een combinatie van technische, procedurele, organisatorische, bouwkundige en elektronische maatregelen.

Als het personeel echt de zwakste schakel is, dan zul je als werkgever dus moeten zorgen dat jouw basis beveiligingsniveau op orde is. Daarnaast zorg je ervoor dat je weet waar de risico’s zitten en heb je er ook nog eens alles aan gedaan om je medewerkers bewust te maken van deze risico’s en de beveiligingsmaatregelen.

Als je het zo beziet, is het veel te makkelijk om de schuld in de schoenen van de medewerkers te schuiven. Natuurlijk zijn er medewerkers die willens en wetens de boel lopen te manipuleren. Dat moet je als werkgever onderkennen en daar moet je keihard tegen op treden. Maar je moet natuurlijk eerst voorkomen dat deze medewerkers grote schade aan kunnen richten. Dat doe je door ze bijvoorbeeld te screenen en door functiescheiding toe te passen. Maar dat doe je ook door je personeel niet meer als nummer te zien. Nee, je moet ze verantwoordelijkheid geven en je moet ze respecteren. Het is heel simpel: deze medewerkers mogen dan een risico vormen voor de beveiliging, maar als het goed is leveren ze ook een actieve bijdrage aan het voortbestaan van de organisatie (anders heb je ze niet nodig en had je ze allang weg gereorganiseerd, toch?).

Oké, we zoomen nog even iets verder in op de cijfertjes die genoemd werden:
78% stelt dat er gegevens zijn uitgelekt door nalatig gedrag of kwaadwillend personeel. De voornaamste oorzaak van datalekken zijn het verlies van laptops of andere mobiele apparaten (35%), blunders (32%) en systeemfouten (29%)

Er wordt geschreven dat 78% nalatig of kwaadwillend is geweest. Maar de voornaamste redenen zijn verlies, blunders en systeemfouten. Dat kun je toch moeilijk kwaadwillend noemen. Nalatig, misschien, maar waar gewerkt wordt, worden fouten gemaakt. Het gaat er met name om of die nalatigheid verwijtbaar is. Deden ze het met opzet of is het een menselijke fout (die iedereen kan overkomen)?

Verlies van laptops en mobiele apparaten gebeurt zelden expres. Daarom heet het ook verlies, anders was het wel diefstal. En er zijn zat managers waarvan de laptop verloren is geraakt, zijn zij allemaal verdacht? Een blunder wordt ook zelden bewust gemaakt en systeemfouten hebben het al in zich: fouten. En was fouten maken niet menselijk?

Nee, prima dat we wijzen naar de medewerker en ja ze vervullen een belangrijke taak, maar voordat we wijzen moeten we als organisatie toch echt eerst even in de spiegel kijken en zorgen dat we de beveiliging ook echt goed op orde hebben (en niet alleen op papier, zoals we nog te vaak zien).

66% verloren USB-sticks bevat malware

  door

Wie een USB-stick vindt moet hier voorzichtig mee omgaan, de kans is groot dat er malware op de datadrager staat. Dat beweert anti-virusbedrijf Sophos aan de hand van een eigen onderzoekje. De virusbestrijder kocht 50 USB-sticks tijdens een veiling van verloren goederen die in Australische treinen waren gevonden. Op tweederde van de USB-sticks stond malware. Het ging om 62 geïnfecteerde bestanden op 33 sticks (bron).

Ook hier betreft het, net als het bericht van gisteren, weer geweldige cijfers waar je over kan twisten. 66% van de “gevonden” sticks bevat malware. Gevoelsmatig vind ik dat wat aan de hoge kant, maar op zich doet dat er niet toe.

Dergelijke berichten kunnen we gebruiken om de mensen bewust te maken. Vind je een USB-stick, stop hem dan niet zomaar in je PC om te kijken wat er op staat. Voor je het weet, ben je besmet. Klinkt allemaal erg logisch en we kunnen best willen dat men zich aan deze gedragsregel houdt, maar dat gaat niet gebeuren.

Zijn we niet allemaal nieuwsgierig? Vinden we zo’n stick dan willen we snel kijken wat er op staat en zo’n stick kunnen we zelf best nog een keer gebruiken. Hop, de stick in je PC en kijken maar. Grote kans dat je niet eens merkt dat je besmet raakt. Balen als er niet echt spannende documenten en foto’s op staan natuurlijk. Je verwijdert de gegevens en hebt weer een mooi stickie dat je voorlopig kunt gebruiken (voorlopig ja, tot jij hem kwijt raakt).

Het aantal sticks met een besmetting mag dan hoog zijn, het aantal sticks met encryptie is dat zeker nog niet: Toch was geen enkele stick versleuteld of bevatte versleutelde bestanden.

Dat kunnen we de gebruikers natuurlijk aanrekenen maar kijk ook eens naar de andere kant. De kant van de aanbieders. Moeten de leveranciers van USB-sticks of encryptiesoftware zich niet achter de oren krabben? Hebben zij hier ook niet een bepaalde verantwoordelijkheid in? Wie het weet mag het zeggen.

Vind je binnenkort een USB-stick, dan is de keuze aan jou: of je kijkt er op met het risico dat je besmet raakt, of je laat hem lekker liggen (en hoopt dat een ander hem oppakt en besmet raakt). Grote kans dat je tegen die tijd dit bericht alweer vergeten bent en kiest voor de eerste optie…het zal toch wel gewoon in onze genen zitten.

Britse leger verliest 287 computers en de rest…

  door

Hadden we het gisteren al over een onderzoek waaruit de schrikbarende cijfers naar voren kwamen over USB-sticks en het verlies daarvan in Engeland? Dan kunnen we daar vandaag mooi bij aansluiten met het volgende bericht.

Het Britse ministerie van Defensie is de afgelopen achttien maanden 287 computers kwijtgeraakt. Het ging om 188 laptops en 99 desktops. Ook verdwenen 72 harde schijven en 73 USB-sticks. Toch valt de schade volgens de defensiesecretaris mee, aangezien de apparaten versleuteld waren of over andere beveiligingsmaatregelen beschikten.

Naast de computers raakte het ministerie ook 150 back-up tapes, achttien mobiele telefoons, tien BlackBerry’s en 194 cd’s en dvd’s kwijt. Volgens secretaris Andrew Robathan werken er meer dan 250.000 mensen voor het ministerie en is het daardoor onvermijdelijke dat materiaal verloren raakt (bron).

Met 250.000 medewerkers is het inderdaad onvermijdelijk dat er materiaal verloren raakt. De vraag is alleen welke aantallen nog acceptabel zijn en welke maatregelen je genomen hebt om de informatie op die apparatuur te beschermen. Zo te lezen hebben ze daar over nagedacht en zijn het slechts de lege hulzen die verloren zijn. De informatie er op (die vele malen meer waarde vertegenwoordigd dan de apparatuur zelf) is blijkbaar niet te lezen.

Toch zit hem daar natuurlijk ook een groot risico. De informatie is nu misschien niet te ontcijferen en wellicht kan Jan met de korte achternaam dat in de toekomst ook niet. Maar hoe zit het met de serieuzere partijen? Hoe zit het met buitenlandse overheden die over veel meer mogelijkheden beschikken? Kunnen die de informatie ook niet uitlezen? En weten we dat echt zeker?

Wie zegt me dat die informatie niet toch ontcijfert kan worden en wie zegt me dat de informatie niet in vreemde handen terecht is gekomen? Lijkt misschien ver gezocht (en hopelijk zit ik er ook volkomen naast), maar bekijk het eens op kleinere schaal.

Hoe weet je nu bijvoorbeeld zeker dat je thuis pc echt veilig is? Eerlijk is eerlijk, dat weet je eigenlijk niet. Je hoopt het en zolang het apparaat geen vreemde kuren vertoond ga je er dan ook maar vanuit. Maar hoe komen er dan zo vaak foto’s op straat die men toch liever privé had gehouden? De kans is niet zo groot dat jij een specifiek target bent maar als je voordeur open staat dan zou je zomaar slachtoffer kunnen zijn (zonder dat je het weet).

Dat zelfde geldt voor de netwerken van bedrijven (groot en klein) en we kunnen wel allerlei vulnerability scans uitvoeren, maar ook dat geeft geen 100% garantie. Kortom: ik hoop voor de heer Robathan dat hij gelijk heeft en in de toekomst ook gelijk blijft houden. Zeker weten zullen we het nooit, dus laten we er ons verder ook maar niet onnodig druk om maken.

Controle van de voorschriften

  door

Gisteren hebben we hard gewerkt aan het opstellen van voorschriften voor de bescherming van voor ons kostbare informatie. Vertrouwen was leuk, maar controle is beter en de papierentijgers willen we al helemaal voorkomen. Daarom moeten we goed kijken naar wat er met de informatie gebeurt.

De logische vraag die daarbij hoort, is:
Wordt er gecontroleerd of de voorschriften ter bescherming van informatie tegen onbevoegde kennisneming, verlies en/of beschadiging worden nageleefd?

In de vraag hebben we het over drie onderwerpen, namelijk kennisname, verlies of beschadiging. In meer bekende termen voor informatiebeveiliging hebben we het dan over exclusiviteit, beschikbaarheid en integriteit.

Oftewel: is de juiste informatie die we nodig hebben beschikbaar op het juiste moment en voor de juiste persoon. Dat is niet iets wat we eenmalig vast kunnen stellen en waar we nooit meer naar om hoeven te kijken.

Het kan best zijn dat een medewerker de informatie in zijn huidige functie nodig heeft om zijn werk te kunnen doen. Maar ja, of je nu wilt of niet, de kans is aanwezig dat een medewerker promotie maakt. Hij is, bijvoorbeeld, nu geen beheerder meer maar teamleiders van alle beheerders. Chapeau, goed gedaan. Maar daarmee hoeft hij dus niet meer bij alle gegevens te kunnen waar hij eerst wel bij kon. Nee, zijn profiel moet opnieuw worden bekeken en zijn informatiebehoefte moet opnieuw worden vastgesteld.

Op papier allemaal niet zo ingewikkeld, in de praktijk toch een stuk weerbarstiger. Hoe vaak zien we niet dat medewerkers die inmiddels 30 jaar voor dezelfde baas werken overal bij kunnen? Er zijn wel steeds nieuwe informatiebehoeften bij gekomen, maar de rechten die hij niet meer nodig heeft zijn hem nooit afgenomen.

Daarbij kunnen we natuurlijk kijken wat hij bewust met de informatie doet. Kijkt hij er nog wel eens naar, kopieert hij ze niet toevallig en heeft hij ze wel eens doorgestuurd naar de Telegraaf? Voor het merendeel van de medewerkers zal dit wel meevallen…maar ja, hoeveel mollen zitten er bij jou in de organisatie?

Naast bewust handelen is er ook nog zoiets als onbewuste fouten. De medewerker vindt zelf dat hij de informatie niet meer nodig heeft en denkt zijn C-schijf eens lekker op te schonen door alles te verwijderen. Ctrl+Alt+Delete en we beginnen weer met een schone lei. Helaas waren we even vergeten dat deze informatie nooit verder is gekomen dan de C-schijf. De medewerker heeft er geen last van als het verwijderd wordt, hij gebruikt ze immers toch niet meer. Maar hoe zit het met zijn opvolger? Moet die de informatie niet overgedragen krijgen? Of moet hij maar helemaal opnieuw beginnen met informatie verzamelen?

Oké, opslagruimte kost tegenwoordig niets meer, dus we bewaren alles wat los en vast zit. Uiteraard moeten we niet alles tot in lengte van dagen bewaren, dat is nergens voor nodig. Maar we moeten wel bewust omgaan met de toegang tot de informatie en het verwijderen van die informatie. Doen we dat op de verkeerde manier dan hebben we geen last van “information overload” maar eerder van “information shortage”. Geen van beide zijn een prettig idee, tenminste, als je het mij vraagt.

Tien jaar werk kwijt na diefstal laptop

  door

Een Brits bedrijf is tien jaar aan werk kwijtgeraakt nadat dieven twee laptops hadden gestolen. Op één van de twee gestolen computers van DB Liquid stond gespecialiseerde software waar het bedrijf 300.000 euro in had geïnvesteerd. Volgens de directeur van het databasebedrijf heeft niemand wat aan de software, maar kan het wel het verlies van tien jaar aan werk betekenen (bron).

Wow, hier hebben ze toch even flink gefaald met hun back-up beleid. 10 jaar werk kwijt, je moet er toch niet aan denken, maar het is wel de harde realiteit. En geloof me, er zijn veel meer bedrijven die een dergelijk risico lopen omdat ze hun back-ups niet op orde hebben. Maar 10 jaar werk is wel heel erg veel en de vraag is natuurlijk of dit bedrijf de klap ooit te boven komt. En hoe zit het met jouw eigen back-ups? Zijn die op orde, kun jij je gegevens weer terughalen als je laptop gestolen wordt of als hij crasht?

Eerlijk is eerlijk, mijn belangrijkste gegevens kan ik (waarschijnlijk) nog wel reproduceren maar toch zal ik ook een deel van mijn bestanden kwijt zijn na een crash of diefstal. We verzamelen tegenwoordig allemaal digitale foto’s, films en muziek, de omvang daarvan is bizar, als we alles bij elkaar optellen zitten we al snel aan één of meer terabyte aan gegevens en hoe ga je die nog back-uppen? Ja, simpel door er een externe hard schijf bij te kopen, maar wat als die ook gestolen wordt?

Zelf heb ik ook wel eens een spontane crash van één van mijn harde schijven gehad en het grootste gevoel van ongenoegen was eigenlijk niet eens de crash en de gegevens waarvan ik wist dat ze weg waren…nee juist de gegevens waarvan ik niet meer weet of ze op de schijf stonden gaf mij dat slechte gevoel. Na een crash weet je voor een deel niet meer welke gegevens je mist en juist daar wringt de schoen.

Inmiddels alweer een poos geleden dat die schijf crashte en het merendeel heb ik wel weer teruggezet. De andere gegevens, waarvan ik niet meer weet of ik ze mis, heb ik eigenlijk helemaal niet gemist. Zo erg was het dus blijkbaar ook weer niet en het ruimt ook wel weer eens lekker op. Met al die gigabytes die we tegenwoordig tot onze beschikking hebben slaan we ook steeds meer gegevens op, ook gegevens die we helemaal nooit meer gebruiken en waarvan we niet eens weten dat ze onze schijf bevuilen.

Maar toch een tip voor alle bedrijven: ga nog eens goed na of het back-up beleid op orde is en of je er echt zeker van kunt zijn dat je de gegevens terug kunt halen. 10 jaar werk verliezen kan je duur komen te staan en kom je misschien nooit meer te boven. Dat risico wil je vast niet lopen.