Tag: video

Directiekamers af te luisteren via videoconferencingsysteem

  door

In een onderzoek, uitgevoerd door Chief security officer H.D. Moore van het Amerikaanse Rapid7 vond hij 5000 vergaderzalen met videoconferencingsysteem die voor ongenode gasten eenvoudig toegankelijk waren. Daarbij ging het onder meer om vergaderzalen bij grote namen uit de juridische wereld en uit de wereld van verstrekkers van risicokapitaal, bij farmaceutische bedrijven en bedrijven uit de olie-industrie. De videoconferencingsystemen waren geleverd door markleiders Polycom en Cisco, en door Sony, LifeSize en anderen(bron).

Zo zien we maar weer dat de beveiligingslekken niet altijd zitten waar onze focus op gericht is. Laten we eerlijk zijn, op veel risico-lijstjes zullen de videoconferencingsystemen nog niet voorkomen. En misschien “sweepen” we de directiekamers regelmatig op afluisterapparatuur (hoewel dat al een unicum lijkt), maar de “vijand” hebben we zelf in huis gehaald.

De soep wordt, als het goed is, echter niet zo heet gegeten als hij wordt opgediend. Ergens in ons beleid zal best staan dat vertrouwelijke gegevens niet via de telefoon gedeeld mogen worden (omdat we al jaren weten dat die afgeluisterd kunnen worden). Nu kun je natuurlijk hele discussies voeren of de videoconferencingsystemen wel of niet onder dit beleid vallen, maar dat is niet zo spannend. Valt het er namelijk nog niet onder dan passen we ons beleid toch even aan?

Maar gisteren haalden we het ook al aan. We moeten kijken naar de behoefte van de gebruikers. Leuk dat we het op papier verbieden, maar als de directie zich er al niet aan houdt dan moeten we ons wat dingen af gaan vragen.

We kunnen natuurlijk heel hard roepen dat beveiligingsbeleid ook voor de directie geldt en dat het management het goede voorbeeld moet geven. Daar heb je theoretisch best gelijk in, maar als ons beleid niet toereikend is dan moeten we toch echt eerst in de spiegel kijken.

Blijkbaar is er een behoefte om via videoconferencingsystemen te communiceren, ook over vertrouwelijke zaken. Dan zullen we dus op zoek moeten naar een manier waarop dat zo veilig mogelijk kan. Wat die manier exact is, weet ik ook nog niet, dus de zoektocht kan beginnen.

Zolang we de pot met goud aan het einde van de regenboog nog niet gevonden hebben, is het wel verstandig om de directie er van bewust te maken dat er wellicht een risico zit in het videoconferencingsysteem. Daarbij geven we natuurlijk richtlijnen over hoe ze zo veilig mogelijk kunnen communiceren en we geven ook aan dat we op zoek zijn naar een oplossing waar zij geen last van zullen hebben. Een uitdaging staat je daarbij wel te wachten, maar die gaan we natuurlijk niet uit de weg.

En om alles weer even te nuanceren en naar normale proporties terug te brengen: 9 van de 10 videoconferencing gesprekken zullen wellicht enigszins vertrouwelijk zijn, maar echte geheimen zullen ze nu ook weer niet bevatten. Dus voordat we ze maar direct verbieden wel eerst even bekijken wat er zoal besproken zal worden.

Om je alvast wat kaders mee te geven: Moore concentreerde zich op twee configuratiefouten: het plaatsen van het videoconferencingsysteem buiten de firewall en het gebruik van het automatisch accepteren van inkomende oproepen. Laten we ons daarop dan als eerste richten en voor die tijden dat de videoconferencing mogelijkheid niet nodig is kunnen we nog altijd gewoon de stekker uit het stopcontact trekken.

Nou, ik ga nu even een viedoconference in en zal het niet over geheime zaken hebben.

Gebruik videobewijs aan banden

  door

Straatrovers, inbrekers en zakkenrollers dreigen vrijuit te gaan indien in hun strafzaak gebruik wordt gemaakt van beelden van bewakingscamera´s. Dergelijk beeldmateriaal mag niet zomaar door justitie worden opgeëist als bewijslast, omdat het gevoelige informatie kan bevatten over iemands ras.

Het hoogste rechtscollege oordeelde eind vorige maand naar aanleiding van een straatroof in de Rotterdamse metro, dat de officier van justitie niet zomaar de ov-chipgegevens had mogen vorderen van mensen die op dat moment op het betreffende metrostation waren. Bij die gegevens zaten ook pasfoto´s van reizigers, zodat de dader via het signalement van het slachtoffer kon worden opgespoord.

De Hoge Raad vonniste dat dergelijke persoonsgegevens alleen nog maar mogen worden opgeëist, indien er sprake is van een misdrijf waarvoor voorlopige hechtenis mogelijk is en er een ernstige inbreuk is op de rechtsorde. Dat rechtvaardigt een inbreuk op de persoonlijke levenssfeer, zoals foto’s waaruit iemands etnische achtergrond kan worden afgeleid (bron).

Kortom een straatroof wordt door de Hoge Raad niet als een serieus misdrijf gezien, in ieder geval niet een waarvoor voorlopige hechtenis mogelijk is of die een ernstige inbreuk is op de rechtsorde. Voor alle mensen die zich zo enorm druk maken om hun privacy natuurlijk een goed besluit, maar laten we eerlijk zijn. Ze weten toch alles al over je en als ze nog niet over die informatie beschikken dan kunnen ze die snel genoeg achterhalen.

Is nu juist het doel niet om criminaliteit tegen te gaan? Daar hang je toch de beveiligingscamera’s voor op? Of mogen we die alleen maar als preventieve maatregel gaan zien? Dat zal de boefjes afschrikken. In dit geval gaat het niet echt om camera’s (het is de conclusie die VVD-Kamerlid Teeven trekt) maar ik kan hem er geen ongelijk in geven.

Natuurlijk moet het geen politiestaat worden waarbij de overheid standaard over je gegevens beschikt en je daarop continu op monitort. Maar als je dan toch de beschikking kunt hebben over gegevens na een straatroof dan moet je natuurlijk niet nalaten om die gegevens te gebruiken.

Kortom: de politie maakte in dit geval gebruik van de middelen die ze ter beschikking had, keurt de Hoge Raad het af. Daar zul je het blauw op straat flink mee motiveren.

Ach de leden van de Hoge Raad zullen wel door chauffeurs gereden worden en het huis waar ze in wonen zal ook een onneembare vesting zijn. Ja, zo kan iedereen zich veilig voelen. Ik zeg: afnemen die dienstauto’s (we moeten toch nog wat miljard bezuinigen en alle beetjes helpen) en gewoon een abonnementje voor de metro geven. Laatste ritje met de dienstauto naar station Marconiplein (Rotterdam) dan nemen ze van daar de metro maar…en dan niet klagen als de straatrover die jij vrij gesproken hebt even je zakken komt rollen.