security

now browsing by tag

 
 

Security & Privacy

vision-protection-hedge-414227_1920

Wij hadden laatst een leuke discussie binnen OnOrOf over de thema’s Security & Privacy waar ik u graag deelgenoot van maak.

Security vs Privacy

In de afgelopen decennia zijn er veel woorden uit het Engels gangbaar geworden in ons dagelijks taalgebruik. We praten net zo makkelijk over security bij het gebruik van het internet als bij het bezoek aan een festival of sportspektakel. Relevante nuance verschillen verdwijnen hierdoor soms in de achtergrond.

Dat gebeurde ook in onze OnOrOf discussie. Iemand merkte terecht op dat ons verhitte debat niet meer over security ging maar eigenlijk meer over privacy. Een beetje een aha momentje zoals, alle honden zijn dieren maar niet alle dieren zijn honden. Privacy is duidelijk meer dan alleen data en/of information security. Een goede data en informatie beveiliging alleen is nog geen garantie dat onze privacy niet geschonden wordt.

Wat is privacy

Maar wat is privacy dan als wij ons beperken tot het internet. Zelf kan ik goed uit de voeten met het volgende:

  • Zelf bepalen wie welke informatie over ons krijgt en heeft.
  • De wens onbespied en onbewaakt te leven.

 

Kernwaarden van OnOrOf

Hiermee kommen we ook bij de kernwaarden van OnOrOf. Het gaat om meer dan alleen de technische aspecten van veilig gebruik van het internet. Neemt niet weg dat data en information security belangrijke randvoorwaarden zijn voor de borging van onze privacy op het internet. Wij zullen over deze onderwerpen dan ook blijven publiceren.
Bron uitgelichte afbeelding: www.pixabay.com

Is de overheid vriend of vijand als het gaat over privacy en security?

privacy en security

Als Nederlanders zijn wij gewend te denken, dat de overheid er voor ons is, om ons en onze privacy te beschermen.

Beschermt de overheid onze privacy?

De overheid komt echter steeds meer in een lastig pakket te zitten, waarbij het maar de vraag is of onze overheid nog in de positie is om onze privacy te beschermen. Onze overheid heeft geld nodig en moet het van het innen van belastingen hebben. U heeft vast gelezen dat het gerechtshof in den Bosch de uitspraak heeft gedaan dat dienstaanbieders voor SMS/Mobile parkeren klantgegevens des gevraagd aan de belastingdienst moet leveren.(bron: Uitspraak  Gerechtshof ‘s-Hertogenbosch) Dat voelt misschien goed, dat de pakkans van fraudeurs vergroot wordt, maar tegelijkertijd wordt een deel van onze privacy te grabbel gegooid.

Misbruik van het systeem

Nu wil ik Nederland niet met Venezuela vergelijken, maar de aantasting van privacy door de overheid daar is niet minder eclatant. De Venezolaanse overheid gaat vingerprint identificatie in winkels en supermarkten invoeren om zo ongewenste handel in levensmiddelen tegen te gaan. Levensmiddelen in de omringende landen zijn aanzienlijk duurder wat de burger een mooie snabbel kan opleveren. Ook hier lijkt het weer zo prachtig dat misbruik van het systeem wordt voorkomen, maar ook hier gaat dit ook weer ten kosten van de privacy.

Het gebeurt omdat het kan

De moraal van het verhaal is de vraag of en in welke mate onze overheid instaat is om de privacy van zijn burgers echt goed te beschermen. Er zijn zoveel andere belangen, die onze overheid moet dienen, dat wij onwillekeurig onze privacy als burger zien verdampen. Het gebeurt omdat het technisch domweg kan. Bestanden worden stukje bij beetje gekoppeld. Of het nu de camerabeelden zijn van onze snelwegen die langer worden bewaard om boeven en terroristen te vangen of parkeergegevens in de strijd tegen belasting ontduikers. Bij iedere koppeling leveren wij een stukje van onze privacy in. Het gebeurt omdat het kan. We kunnen onze overheid dan ook niet alles kwalijk nemen, zolang wij er zelf niets tegen overstellen. Wat voor de overheid geldt, geldt ook voor de burger. Vertrouwen is goed, controle is goed. Tijd voor burgers om zich zelf te organiseren.


Auteur gastblog: de heer Fred Stortelers

OnOrOf_FredStortelersWebsite: FSMConsultants.nl | LinkedIn: Fred Stortelers | Twitter: @FSMConsultants
Eigenaar: FSM Consultants BV specializes in the setup, execution and trouble shooting for major IT/ICT projects as well as building professional organizations. Key elements are technologies driving innovation and business.
Quote: Life isn’t about finding yourself. Life is about creating yourself. – George Bernard Shaw


Bron uitgelichte afbeelding: www.pixabay.com

Security en privacy trends

locks-366125_1280

Gelukkig zijn er steeds meer bedrijven en ook de overheid die zich bezig houden met de ontwikkelingen op het gebied van security en privacy. OnOrOf.net volgt een aantal security en privacy trends.

Founder en partner bij Kahuna Rhett Oudkerk Pool:

“De belangrijkste ontwikkeling zal zijn dat bedrijven zich gaan klaar maken voor allerlei security & privacy wetgeving. Hiervoor is het nodig om echt forensisch klaar te zijn. Je moet kunnen zien of er onregelmatigheden in je infrastructuur gebeuren, anders kun je nooit zeker zijn dat bijvoorbeeld privacy gevoelige gegevens op straat komen te liggen. Serieuze boetes en plichten. Security is eindelijk een boardroom issue.”

Algemeen directeur Realopen IT Bram Haasnoot:

“Organisaties hebben te maken met een constante verandering in hun IT-landschap terwijl het bedrijfsrisico met deze verandering toeneemt. Veelal gedreven door krimpende budgetten en toename van toezichthouders rond wet- en regelgeving is de belangrijkste trend voor 2014 het veilig en gecontroleerd toegang kunnen aanbieden en beheersen vanaf verschillende locaties en devices. Nu wordt I&AM al gebruikt bij grote organisaties, veel onderwijsinstellingen en ziekenhuizen, maar ik verwacht dat deze oplossing steeds vaker ingezet wordt om veiligheid en flexibiliteit van de groei van identiteiten, apps en devices te waarborgen.”

Government crypto specialist bij Compumatica secure networks Ad Koolen:

“De security affaire bij Diginotar heeft duidelijk gemaakt dat de overheid strenger moet toezien op het verstrekken van overheidscertificaten waarmee de authenticiteit van een gebruiker wordt bevestigd. Deze certificaten (pki-overheid) worden ook toegepast in de nieuwe digitale identiteitsdocumenten zoals het paspoort en de ID-kaart, maar ook kentekenbewijzen en straks de nieuwe e-ID die het huidig DigID zal gaan vervangen. Er zijn in Nederland vier commerciële bedrijven die overheidscertificaten uitgeven, echter, deze certificaten zijn allen gebaseerd op een buitenlands moedercertificaat. Het gebruik van een Nederlandse root-CA zal niet alleen door de Nederlandse overheid worden toegejuicht, andere Europese landen en bedrijven zullen hier graag gebruik van willen gaan maken.”

Zelfstandig security adviseur Michiel Steltman:

“De belangrijkste trend in de tweede helft van 2014 is voor mij de ‘security crisis’. Naar mijn mening wordt deze crisis veroorzaakt door het convergeren van een aantal problemen. Na Heartbleed weten we dat open source toch niet zo veilig is als we dachten. Na Oauth weten we dat authentiseren met paswoorden niet langer houdbaar is. De overheid holt met haar gedrag het vertrouwen in adequate bescherming van onze informatie en privacy steeds meer uit. De huidige frameworks zoals ISO27001 geven ons onvoldoende garanties en bedrijven weten dat we meer in security moeten investeren, maar niemand wil er zelf voor betalen en niemand weet hoeveel er echt nodig is.”

Security manager bij Mirabeau Sander Nieuwenhuis:

“Privacy gaat steeds meer issue worden. Accepteren bezoekers van website dat gegevens kwetsbaar zijn en worden gebruikt voor profiling, of slaat de trend om naar meer vraag om veilig omgaan met privacy?”

Principal security consultant bij Madison Gurkha Hans van de Looy:

“Als Edward Snowden iets heeft losgemaakt bij het algemene publiek is het wel de roep om het beschermen van de privacy. De komende maanden zal er steeds vaker aandacht worden gevraagd door allerlei consumentenorganisaties voor het goed of nog beter beschermen van persoonsgegevens en andere vertrouwelijke informatie. Goede beveiliging kan dan ook nooit een optie zijn die je achteraf kunt toevoegen aan een oplossing. Het is een inherent onderdeel van die oplossing en moet als zodanig vanaf het prille begin worden meegenomen in het bouwen ervan. En daar kunnen bijna alle organisaties nog het een en ander leren.”


Bron: Computable (‘Security kan nog alle kanten opgaan’)
Bron uitgelichte afbeelding: www.pixabay.com

Security kan nog alle kanten opgaan.

security-326154_1280

Er is nog veel te doen over security en het wordt alleen maar meer. De achterdeuren zijn nog lang niet dicht getimmerd bij veel organisaties. Voorbeelden ten over en elke dag weer. Onthullingen van Edward Snowden, Angela Merkel die wordt afgetapt, DDos-aanvallen, Heartbleed, zoals ook bij de Nederlandse Zorgautoriteit.

Business Case

Onderzoek heeft aangetoond dat in meer van de helft van de gevallen geen Business Case wordt opgesteld bij een investering op het gebied van security en dat security managers zich bezighouden met checklisten en niet met de “buitenwereld”.

Lector Yuri Bobbert

OnOnrof.net volgt een interessante visie van een lector Business Information Security.
De ontwikkelingen voor het komende half jaar kunnen nog alle kanten opgaan volgens Yuri Bobbert. Hij vindt NZA-case symbolisch voor hoe wij denken.

Een voorbeeld die hij geeft:
“Door veel overheden is materiaal aangeschaft die heel toegankelijk is. Nu er duidelijk is geworden dat Angela Merkel is afgetapt, worden mensen heel paranoia en willen zij opeens geen Amerikaanse producten meer. Terwijl we al twintig jaar weten dat er een achterdeur zit in de meeste firewalls. Dat was ook bekend bij Justitie en de verschillende ministeries.”
Dit komt volgens Bobbert doordat de mensen die nu de IT-beslissingen nemen onvoldoende weten wat de implicaties zijn van zo’n beslissing. Er ontbreekt een business case en de generatie die nu leiding geeft is beperkt opgeleid met een informatica en security-achtergrond, laat staan dat zij diepgaande kennis hebben over nieuwe technologiebewegingen zoals big data, social media of cloud computing.

“Wat is dat en wat verandert dat nou daadwerkelijk voor mijn bedrijfsvoering? Zijn vragen die nauwelijks worden gesteld. Ik vind de NZA-case symbolisch voor hoe de mensen aan de top nu nog denken. Alsof we nog in de jaren vijftig leven. ‘Dit gaat wel aan ons voorbij.’
In veel Raad van Besturen en Commissariaten is veel vergrijzing, met als gevolg dat security wordt genegeerd. Bijvoorbeeld met betrekking tot DDoS-aanvallen; dat weten we wel, maar er wordt gewoon niets aan gedaan. Dat geldt ook voor zo’n Heartbleed. We weten al jaren dat dit kan gebeuren.”

Onderzoek Universiteit van Antwerpen

Uit onderzoek van de Universiteit van Antwerpen blijkt bovendien dat in de helft van de gevallen geen business case wordt opgesteld bij een IT-investering. Dit vindt Bobbert ongelofelijk.

“Als een bedrijf iemand aanneemt of een activa koopt, wordt er altijd gekeken of de kosten wel opwegen tegen de baten. Maar bij een IT-investering wordt dat niet altijd gedaan. En met betrekking tot security is het nog dramatischer gesteld. Meestal wordt dan gezegd, ‘ik moet een firewall hebben’. Vervolgens wordt die gekocht en half geconfigureerd neergezet. Dat terwijl bedreigingen vanuit internet heel dynamisch zijn. We weten dus dat zo’n apparaat continu gefinetuned moet worden, maar dat gebeurt bijna niet. Omdat nergens is vastgelegd wat de initiële investeringen zijn en wat het periodieke onderhoud ervan kost.” Dit heeft volgens Bobbert te maken met een verouderde manier van leiding geven aan mensen binnen een hypermoderne technologie.

Bedrijven die DDoS-aanvallen laten gebeuren zijn niet proactief bezig. Natuurlijk zijn er wel initiatieven; banken praten met elkaar, telecombedrijven praten met elkaar, eigenlijk alle organisaties die veel kritische infrastructuur hebben en dezelfde problemen delen. Politie, justitie, maar commerciële organisaties niet of te weinig. Terwijl ze wel openstaan voor die kennisuitwisseling.

Opleiding wordt steeds belangrijker

Daarom wordt opleiding volgens hem de komende tijd nog belangrijker.

“In IT-opleidingen moet heel veel veranderen. Ze moeten nog beter gaan aansluiten op het bedrijfsleven. Daar is nu een grote stap in gezet met het European e-Competence Framework (e-CF). Op Europees niveau zijn er afspraken gemaakt en profielen opgesteld. Deze zijn vervolgens doorvertaald door bijvoorbeeld het Platform van Informatie Beveiliging (PvIB) en worden geadopteerd door onder andere de LOI Hogeschool. Dit maakt de benodigde skills die IT-professionals moeten hebben heel duidelijk voor een hr-manager. Ook met betrekking tot security.

Er wordt binnen het Framework bijvoorbeeld onderscheid gemaakt tussen security engineer, een medewerker op operationeel niveau, een security specialist, die zich richt op een specifiek gebied van security of een security officer. Nu wordt de engineer wel eens een officer genoemd terwijl een officer zich bezighoudt met beleid uitzetten en mensen bewegen om maatregelen te treffen en besluitvorming te doen om de bedrijfsvoering te verbeteren en veiliger te maken. Veel meer gericht op het proces.”

De jonge vraagbaak

Langzamerhand vindt er ook binnen organisaties een verschuiving plaats.
“Nog steeds zitten ze bij een Raad van Bestuur niet te springen om een dertigjarige op te nemen. Maar zij zien ook het voorbeeld van Microsoft en Google, waar respectievelijk een CEO van in de veertig rondloopt en het de dertigers zijn die bepalen. Die bedrijven hebben de oude garde zoals Phillips al lang ingehaald. Dus kennelijk kunnen ze iets heel goed”, legt Bobbert uit.

“Daardoor wordt het dus steeds logischer om toch jongeren in de bestuurskamer toe te laten. Ervaring is in dit vakgebied nu eenmaal ondergeschikt omdat beveiliging continu verandert en een zeer jonge discipline is. Adoptief vermogen en analytisch vermogen zijn belangrijke competenties. Ik zie dan ook steeds meer dat een bestuurskamer een jongere als vraagbaak inzet die hier heel veel vanaf weet en de essentie heel makkelijk kan uitleggen.”

Overheidsinmenging en bestuurlijke aansprakelijkheid

Ook de overheid helpt mee aan de kentering in bewustwording. Bedrijven maken zich klaar voor allerlei security & privacy wetgeving die nu wordt geëffectueerd.

“De mensen op bestuurlijk niveau zien in dat zij iets moeten doen. Bij overtreding van de privacywet geldt bestuurlijke aansprakelijkheid en een boete van 2 procent van de jaaromzet. Daarvoor komen ze wel in beweging. Wat ik hieraan belangrijk vind is dat de bestuurder zich nu afvraagt: Wat doen we eigenlijk aan het beschermen van privacy, toetsen wij onszelf wel op het lekken van gegevens?’ De security manager moet die vraag kunnen beantwoorden en kunnen verantwoorden waarom zij dat wel of niet doen, wat dat kost en welk potentieel risico er nog steeds is.

Ook de utiliteitensector wordt verplicht om frequent hun assets te meten, waar die staan, en of die gevaar lopen. Zodat niet zomaar op afstand een gemaal opengezet kan worden en de Noordoostpolder onder water loopt. Of een energiecentrale buiten gebruik wordt gesteld.

Heel veel van deze wetgeving komt voort uit het Diginotar-incident. Dit was heel serieus en heeft Nederland heel erg geraakt. Ik denk dat de NZA-case ook een hele grote impact gaat hebben, maar meer op de bestuurlijke aansprakelijkheid van security. Het mag toch niet zo zijn dat jij je werknemer gaat negeren en dat er vervolgens zoiets gebeurt. Ik zou daar nu niet graag bestuurder zijn.”

Meten is weten

Als de bestuurlijke aansprakelijkheid groter wordt, dan moet de boel beter worden onderbouwd met een business case. Dat kan alleen maar met feiten, dus de ontwikkeling naar alles meetbaar maken, wordt volgens Bobbert steeds duidelijker.

“Worden wij aangevallen en hoe vaak? Is dat vijf keer per dag of vijfhonderd keer per dag. En bij Bol.com is dat wat belangrijker dan bij de stenenfabriek op de hoek. Die gegevens moet je uit de apparatuur halen en je vervolgens afvragen: Hoe doen wij het? Zo wordt bewustzijn gecreëerd.

De essentiële data moet dus beter worden geïnterpreteerd. Dit kan betekenen dat je geen firewall neer hoeft te zetten. Misschien zijn intelligente switches wel voldoende. Maar de gemiddelde it’er denkt: Ik wil die laatste blauwe firewall met al die lampjes. De security manager moet echter vanuit zijn kennis zeggen: maar wat houdt die firewall tegen en hoe kan dat onze bedrijfsdoelstellingen helpen? Dus veel meer vanuit een business idee. Dit lijkt heel logisch, maar het gebeurt nog bijna niet”, aldus Bobbert.

“Vanuit de wetenschap is er veel onderzoek gedaan naar business case criteria. Die criteria gebruiken wij in de praktijk bij bedrijven maar deze worden ook binnen de security-opleidingen behandeld. Daarmee kunnen bestuurders en managers op basis van feiten uit de business case hun besluitvorming doen.”

Op basis hiervan kan bijvoorbeeld gericht worden bepaald of bijvoorbeeld mobile computing toegelaten kan worden of wel of niet alles in de cloud onder te brengen. Hij zegt: “Als je een gemeente bent, kun je prima mobile toelaten want gemeentedocumentatie is vaak publiek, dus waarom ga je dan moeilijk doen en dit verbieden? Maar voor Europol of de NATO ligt het wat gevoeliger.”

Maar eigenlijk zijn security officers hiervoor te veel met andere dingen bezig, legt Bobbert uit. “Uit een heel grootschalig onderzoek van de Universiteit van Antwerpen onder 48 security officers met meer dan vijftien jaar ervaring kwam onder andere naar voren dat ongeveer de helft intern bezig is te voldoen aan checklijstjes, dus ISO en audits en niet met de buitenwereld. De security officer anticipeert onvoldoende op mogelijke bedreigingen. Een strategie ten aanzien van ongecensureerde media en hoe daarop te reageren, is er niet. Dat vind ik zo schokkend. Want het gebeurt toch echt buiten: DDoS, internet, cyber, spionage. Het is vergelijkbaar met als de politie alleen maar op kantoor zou zitten.”


De belangrijkste security trends en ontwikkelingen volgens Yuri Bobbert:

  • Nasleep afluisterpraktijken Merkel voelbaar bij overheden
  • Opleiding wordt steeds belangrijker
  • De jongere generatie doet zijn intrede in bestuurskamer als vraagbaak
  • Overheidsinmenging d.m.v privacy wetgeving zorgt voor bestuurlijke aansprakelijkheid
  • Meten is weten: met als doel bewustwording en verantwoording (reporting)

  • Bio van Yuri Bobbert

    Yuri Bobbert is CEO en oprichter (2004) van B-Able. Daarnaast is hij lector Business Information Security aan Hogeschool NOVI en als onderzoeker verbonden aan het IT Alignment & Governance (ITAG) Research Institute van de Antwerp Management School.

    Bron uitgelichte afbeelding: www.pixabay.com

    Event: “No one owns the internet; we all do”

    family-333064_1280

    “No one owns the internet; we all do”, stelling bijeenkomst NL IGF 19 juni 2014:

    Vrijdag 19 juni 2014 heeft het Event NL IGF 2014 plaatsgevonden. OnOrOf.net was aanwezig.
    Thema van de bijeenkomst was, wie zijn nu eigenlijk de belanghebbende partijen van het Internet. Tot nu toe had men het over de partijen overheid, bedrijfsleven en techniek, maar nu gelukkig ook over de Internet gebruiker als belanghebbende.

    Twee belangrijke conclusies van de discussies van de middag waren:

    – de Internet gebruiker moet zich meer bewust worden van de belangrijkheid van het Internet;
    – de regie moet daarom ook meer bij de Internet gebruiker komen te liggen, dus de regie in handen van de gebruikers.

    Bijzonder interessant waren de stellingen die behandeld werden:


    being cyber secure starts with awareness
    let’s keep the internet open, innovative and free
    let’s give young people a voice
    cyber security is important for everyone
    we are all responsible for making the internet a better place for children
    no one owns the internet; we all do
    stand up for freedom of expression on the internet

    Allemaal een schot in de roos.

    De moraal van het verhaal is, dat we ons steeds meer bewust worden van het feit, dat wij als Internet gebruikers meer zeggenschap moeten krijgen en dat er toch wel steeds vaker signalen zijn dat de betrokken partijen daar bewust van worden.

    OnOrOf heeft als belangrijkste doelstelling om te faciliteren, dat de regie op Internet in handen komt van de gebruikers. Dit is het bestaansrecht van OnOrOf.


    Bron: http://ecp.nl/projecten//2563/nederlands-internet-governance-forum-nl-igf.html
    Bron uitgelichte afbeelding: wwww.pixabay.com

    Bron: Inhoud van het Programma NL IGF Event Programma NL IGF Event

    Beveiliging van het internet zit soms letterlijk onder uw kont.

    OnOrof_apen[5]

    Krakkemikkelige beveiliging

    Twee boeiende artikelen trokken mijn aandacht afgelopen weekend. In de Autovisie stond een aardig verhaal over de krakkemikkelige beveiliging van met name de premium automerken. Een BMW-eigenaar was verbaasd hoe eenvoudig een handige onverlaat met wat kennis van hard- & software zijn kostbaar eigendom kon meenemen. De onverlaat moet dan wel in de buurt van het begeerde voertuig zijn om deze te jatten. Volgens AUDI verandert dit binnenkort. In het blad voor AUDI-rijders staat namelijk een leuk verhaal over de nieuwe mogelijkheid om met je smartphone op afstand je auto te besturen. Dit kan onder andere handig zijn bij het inparkeren in zeer smalle en kleine ruimtes. Je stapt uit en manoeuvreert je auto per smartphone in de schaars beschikbare ruimte.

    Smartphone –gebruik & aansprakelijkheid

    Om de smartphonefunctie te mogen gebruiken blijkt Europa nog dwars te liggen. Het is wachten op het moment waarop de aansprakelijkheid voor het gebruik van dit soort functionaliteiten wettelijk geregeld is. Het mooie is nu dat in het Autovisie artikel de Europese wet- & regelgeving door de fabrikanten als medeplichtige van het boevengilde wordt aangewezen. Europa zorgt er voor dat u de vrijheid van keuze hebt waar u uw auto laat onderhouden. Dat kan dus ook bij niet merk gebonden garagehouders zijn. Met als gevolg dat er volgens de autofabrikanten teveel technische gegevens over de beveiliging van voertuigen op straat is komen te liggen. Een schrikbeeld doemt op. Het hoeft niet lang meer te duren of een autodief kan rustig met zijn smartphone bij Starbucks aan de koffie zit terwijl hij in stilte uw hybride auto met de noorderzon laat vertrekken.

    Maak beveiliging topprioriteit

    Tegen de achtergrond van de Europese verkiezingen wordt ook hier weer het bestaansrecht en de noodzaak voor OnOrOf.net duidelijk. Het wordt tijd dat Europa hier het voorbeeld van de creditcard wereld gaat volgen. Jaren geleden is daar de “liability shift” uitgevoerd. Hiermee werd het risico verplaats van de consument naar de creditcardmaatschappijen met als gevolg dat beveiliging- en fraudepreventie top prioriteit werden. Als Europa de consument echt wil beschermen zal een deel van de aansprakelijkheid direct bij de fabrikanten gelegd moeten worden.


    Auteur gastblog: de heer Fred Stortelers

    OnOrOf_FredStortelersWebsite: FSMConsultants.nl | LinkedIn: Fred Stortelers | Twitter: @FSMConsultants
    Eigenaar: FSM Consultants BV specializes in the setup, execution and trouble shooting for major IT/ICT projects as well as building professional organizations. Key elements are technologies driving innovation and business.
    Quote: Life isn’t about finding yourself. Life is about creating yourself. – George Bernard Shaw


    Bron uitgelichte afbeelding: www.autoblog.nl

    OnOrOf over phishing e-mails

    OnOrOf.net_Phishing

    Wat is nu eigenlijk een phishing email?

    Phishing is een vorm van internetfraude. Het bestaat uit het oplichten van mensen door ze te lokken naar een valse (bank)website, die een kopie is van de echte website en ze daar — nietsvermoedend — te laten inloggen met hun inlognaam en wachtwoord of hun creditcard-nummer. Hierdoor krijgt de fraudeur de beschikking over deze gegevens met alle gevolgen van dien. De slachtoffers worden vaak met een e-mail naar deze valse website gelokt met daarin een link naar de (valse) website met het verzoek om zogenaamd “de inloggegevens te controleren”. Een gelijkaardige vorm van oplichting werd uit analogie pharming genoemd. Beide methoden worden gebruikt voor identiteitsfraude. (Bron wikipedia)
    Uit onderzoek is gebleken (jaarlijks onderzoek naar de digitale wereld van adviesbureau LBVD), dat veel organisaties niet gewapend zijn tegen een aanval van phishing e-mails.

    Wat kunt u daar tegen doen?

    Ga na in uw organisatie of spamfilters ingesteld zijn dat de phishing e-mails tegengehouden worden.


    Artikel Computable

    Organisaties zwichten voor phishing e-mails; 12-05-2014 11:58 | Door Sander Hulsman

    Phishing
    Tijdens April Awareness 2014, een jaarlijks onderzoek naar de digitale wereld van adviesbureau LBVD, is gebleken dat 80 procent van de organisaties niet bestand was tegen een aanval met phishing e-mail. Bij deze organisaties kon LBVD onopgemerkt door het spamfilter heen komen. 23 procent van de medewerkers die de phishing e-mail in hun e-mailbox ontvingen, klikten op de link.
    20 procent van de deelnemende organisaties had zijn beveiliging wel goed op orde: de phishing e-mails kwamen in eerste instantie niet door het spamfilter heen. Nadat de ict-afdelingen ervoor zorgden dat onze phishing e-mails wel in de e-mailboxen terechtkwamen, klikte maar 10 procent van de medewerkers op de phishing-link.

    Tweede phishing-poging
    De medewerkers die op de phishing-link hadden geklikt kwamen terecht op een landingspagina. Op deze pagina werd duidelijk gemaakt dat ze slachtoffer waren van phishing en kregen zij tips om zich beter te kunnen wapenen tegen phishing. Ook hadden ze de mogelijkheid om de phishing e-mail door te sturen naar bekenden, met als doel ook het bewustzijn van deze ontvangers te verhogen. Dit was echter een tweede phishing-poging: zouden de, nu bewuste, medewerkers nogmaals slachtoffer worden van phishing? Slechts 0,5 procent van de getroffen medewerkers heeft de phishing e-mail doorgestuurd. Lees meer: Computable.nl

    Bron uitgelichte afbeelding: www.searchenginegenie.com

    Inleiding Security en Internet

    OnOrOf_security


    Security

    Voordat ik het wist had ik ja gezegd om voor OnOrOf.net iets over security te schrijven. In de afgelopen achtentwintigjaar heb ik in verschillende (uit)hoeken van de IT/ICT gewerkt. Omdat het onderwerp “security” hierin meestal in de een of andere vorm een prominente rol speelt, moet men gedacht hebben dat ik een geschikte kandidaat voor deze blog ben. Nu wordt er over het onderwerp “security” veel gepubliceerd. Als we het in het bijzonder over het Internet hebben gaat het al gauw over de technische zaken zoals encryptie, sleutels, certificaten en ISO-normen.

    Onze nationale privacy waakhond

    In een bredere maatschappelijke context komt college bescherming persoonsgegevens (CBP) onze nationale privacy waakhond in beeld. Hiermee betreden de politiek maar ook de juristen de arena wat het onderwerp security alleen nog maar boeiender maakt. Maar we zijn er dan nog niet. WWW staat voor world wide web het Internet. Door het gemak gebruiken we het dagelijks meerdere malen. We vergeten dan al snel dat er geen landsgrenzen op het Internet bestaan. Het Internet heeft dan ook geen respect voor uw voordeur, handtas of broekzak. Uw mobiele telefoon, laptop, tablet, bankpas of vaste klantenkaart verklappen doorlopend waar u bent of wat u (niet) doet. En de apps die u gebruikt, melden op gezette tijden iets van informatie aan een slordige 300 servers ergens in de wereld.

    Big data

    Op straat houden overheid, bedrijven en instellingen u met ontelbare camera’s in de gaten. Gelegitimeerd onder het onderwerp “security”. Uiteindelijk vormen al die kleine beetjes informatie Big Data. Facebook-baas Mark Zuckerberg claimt dat Facebook een relatiebreuk tussen mensen zes weken van tevoren weet, puur op basis van data-analyse. Kortom, security kan niet alleen worden overgelaten aan IT-ers, juristen, politici, overheid en bedrijfsleven. Ook als wereld- burger en gebruikers van het Internet moeten we er voor zorgen dat onze identiteit en persoonlijkheid behouden en beschermt wordt. Lid worden van OnOrOf.net is een eerste goed stap om het heft weer in eigen hand te krijgen. Hoe, leest u in een volgend artikel waar dieper op de aspecten van security wordt ingegaan.

    Bron uitgelichte afbeelding: via Pinterest

    Auteur gastblog: de heer Fred Stortelers

    Website: FSMConsultants.nl | LinkedIn: Fred Stortelers | Twitter: @FSMConsultants
    Eigenaar: FSM Consultants BV specializes in the setup, execution and trouble shooting for major IT/ICT projects as well as building professional organizations. Key elements are technologies driving innovation and business.
    Quote: Life isn’t about finding yourself. Life is about creating yourself. – George Bernard Shaw

    OnOrOf_FredStortelers

    ^