Tag archieven: beveiliging

Ongelofelijke domme codes

codeWij mensen zijn dom. iPhone-gebruikers zijn ongelofelijk dom. Hoe vaak zijn we gewaarschuwd slimme inlogcodes en wachtwoorden te gebruiken? En wat doen we? We kopen een iPhone, downloaden de applicatie Big Brother Camera Security en jawel, nu staan we te kijk in diverse computer- en veiligheidsbladen.

Die applicatie heeft de pincodes bijgehouden waarmee het programmaatje kan worden gestart. We hadden het kunnen weten, want de applicatie heeft niet voor niets Big Brother in de naamgeving. Het gekoekeloer leverde de wetenschap op dat 1234 de meest gebruikte pincode is. De maker van de applicatie ontdekte ook dat er veel pincodes met 19 begonnen en zeer waarschijnlijk de geboortejaren van de gebruikers zijn.
Daniel Amitay legt het keurig uit op zijn weblog (Engelstalig). Zijn stiekeme onderzoekje was geïnspireerd op een artikel in de New York Times, van januari vorig jaar, die de meest gebruikte internetwachtwoorden publiceerde. Nummer één is 123456.

Nu zijn er al lang methodes om dat soort dommigheden tegen te gaan. Op Twitter kun je een reeds in gebruik zijnde wachtwoord niet overnemen. Je moet dus wel iets anders verzinnen dan die ene Twitteraar die 12345678 gebruikt. Ook bekend is de methode dat je als klant wordt gedwongen een bepaald aantal tekens te gebruiken, die altijd uit een combinatie van letters en cijfers moeten bestaan.
Als je voor elk medium, dat een inlogcode en wachtwoord vereist, telkens iets nieuws moet verzinnen, krijg je hooguit last van het mahsro-verschijnsel. Want hoe onthoud je al die verschillende codes voor je Facebook, Linkedin, Twitter, iPhone, het intranet op je werk, je bankpas?

Je hoeft het niet te onthouden als je bij elke inlog een nieuw, eenmalig te gebruiken code moet intikken. Zo kun je bij internetbankieren een calculator gebruiken die een code levert, of je gebruikt een van de vel wachtwoordgeneratoren die op internet worden aangeboden. Doe je dat niet, dan is het verstandig regelmatig je wachtwoord te vernieuwen. Sommige systemen zijn zo geprogrammeerd dat ze je daar regelmatig toe dwingen.

Blijkbaar was de applicatie voor de iPhone niet uitgerust met dat soort voorzieningen. Het is dom dat de iPhone dat soort applicaties toelaat. Maar ja, alle verantwoordelijkheid ligt tegenwoordig bij onszelf en nergens anders, nietwaar? Dus geen gezeur, de iPhone uit de deur.

Informatiebeheer is spannend.

Informatie Vroeger, jongelui, was informatiebeheer maar een saaie bedoeling. Op een wat afgelegen plek in een gebouw, een slecht verlicht kamertje met een paar kasten, bewaarde een gepensioneerde de informatie. Had je, pakweg, de gegevens van een klant nodig, ging je naar de archivaris en vroeg om het dossier.

Daar ging eigenlijk niet zo veel mee mis. Ja, pas als de archivaris overleed, had je een paar weken een zootje, want de nieuwe ging het oude systeem naar eigen hand zetten. Dan duurde het wel even voor een dossier teruggevonden werd.
Ze bestaan nog wel, archivarissen, maar ook zij worden steeds vaker informatiebeheerders genoemd. Omdat het archief digitaal is geworden, richten de systeembeheerders het archief in. Nog wel naar wens van de archivaris.

Tegenwoordig is informatiebeheer een reuze spannende bedoeling. High-tech architectuur, complexe databanken en leuk voor de gebruiker. Je hoeft niet meer naar een stoffig kamertje, maar kan vanaf je eigen pc met een paar klikken bij je eigen informatie.
Goed, je moet een paar codes onthouden om er echt in te kunnen, maar dat ongemak heb je voor lief, want je weet dat je gegevens veilig zijn opgeborgen en dat alleen jij er bij kan.

Vroeger wist alleen de archivaris waar je gegevens opgeborgen waren. Wilde je erbij dan moest je dus langs die archivaris en zijn geleuter over de nieuwste kleinkinderen, zijn jicht en geklaag over allerlei moderniteiten. Eenmaal dat station gepasseerd, dook de archivaris in een paar tellen je dossier op en je kon er zeker van zijn dat het ook echt jouw dossier was. Dat vertelde de archivaris immers zelf, die blijkbaar op de stille momenten de dossiers doornam. Hoe kon hij anders weten dat jij in Beddingwolde was geboren. De achtergrootvader van de archivaris was daar ooit dominee geweest. Maar goed, met je dossier en een hele geschiedenis rijker kon je met je eigen gegevens aan de slag.

Tegenwoordig heb je geen last van kletsende archivarissen. Bovendien zijn de digitale gegevens zo goed beveiligd, dat de kans wel erg klein is dat de informatiebeheerder je een mailtje stuurt met een “wat leuk dat jij in Beddingwolde bent geboren, ik ook! Herinner jij je de hangplek nog waar het hele dorp gekke Bertje om dwaze boodschappen stuurde?”
Dus nu tik je het webadres van het gewenste archief in, laten we zeggen IB-groep. Dat IB staat voor informatiebeheer. In dit geval: alle informatie over studiefinanciering. Je logt in met je gebruikersnaam en daarna je Digidcode.

En jawel hoor, daar heb je jouw gegevens. Het is zelfs veel leuker dan vroeger. Je bent in Beddingwolde geboren, maar informatiebeheer heeft daar Blaricum van gemaakt. Grappig, want was je in Blaricum geboren, had je zeer waarschijnlijk nooit een studiebeurs nodig gehad. Bij nadere inspectie ben je ook een jaar of twee jonger, want de geboortedatum is ook een andere dan de jouwe.
Zo leuk en ook zo spannend is informatiebeheer tegenwoordig. Leuk dat je vanaf je eigen pc bij jouw informatie kan. Spannend, omdat je niet weet of er tegelijkertijd wel meer mensen bij hun dossier willen. Reuze spannend, want als dat het geval is, gaat het fout. En dan staar je ineens in de gegevens van een ander.
Foutje van het systeem, zegt en woordvierende informatiebeheerder. Met de Digid heeft het niets te maken.

Ook leuk en spannend: heb je even niets te doen, ga dan je Digid eens uit je blote hoofd raden. Maak er een spelletje van. In hoeveel pogingen zit je in je eigen dossier? In april had een autohandelaar in Castricum er maar
een paar pogingen voor nodig en zat toen in het dossier van een mevrouw uit Beneden-Leeuwen. De kans dat jou dat lukt, komt maar zes keer per jaar voor, aldus de toen verantwoordelijke staatssecretaris.
Mooi. Zou het alledaagse praktijk zijn, dan is informatiebeheer niet spannend meer.

Wie is er verantwoordelijk achter de schermen?

Beeldschermen Achter de schermen is het niet pluis. De doorsnee internetter verschaft zich met een muisklik toegang tot een wereldwijd netwerk, maar tast dan wel in de digitale duisternis. Gaat er achter de schermen wat mis, dan is de gebruiker daar zelf schuldig aan.
Dat mag je concluderen uit het antwoord dat ICT-jurist Arnoud Engelfriet geeft, op een vraag van een lezer op Security.nl.

De vraag was: mag een bank je verplichten de beveiliging van je computer op orde te hebben?
De vraagsteller wilde internetbankieren en werd geconfronteerd met de kleine lettertjes, waarmee de bank de verantwoordelijkheid voor de beveiliging geheel bij de klant legt. Kan dat? Mag dat?

Arnoud Engelfriet bevestigt dat steeds meer banken eisen dat de klant zelf er voor zorgt veilig te kunnen internetbankieren. Dat blijkt gebaseerd te zijn op twee artikelen uit het Burgerlijk Wetboek.
Artikel 7.529 stelt dat een klant, bij verlies van een betaalinstrument aansprakelijk is tot slechts 150 euro, behalve als de klant nalatigheid valt te verwijten. Artikel 7.524 stelt dat als de klant zijn betaalinstrument kwijt is en vermoedt dat andere ermee aan de haal zijn gegaan, hij onmiddellijk de bank moet inlichten. Dan is hij niet meer aansprakelijk voor de betalingen die met het verloren betaalinstrument worden gedaan.
Een betaalinstrument is bijvoorbeeld je pinpas, maar ook een lijst met TAN-codes.

Vervolgens stelt Arnoud Engelfriet dat de beveiligingseisen die banken de klant opleggen rechtsgeldig zijn, als die eisen redelijk te noemen zijn. Hij vindt de eis een recent virusprogramma te hebben, zo’n redelijke eis.
Dat lijkt mij ook. Het impliceert wel dat de klant ook wordt verplicht het nieuws een beetje te volgen. Fraude met internetbankieren is fors toegenomen, zoemde het gisteren in het nieuws. Het kost de banken ruim vier miljoen euro. Een schadepost die overigens een stuk kleiner is dan de fraude met bankpassen en betaalautomaten. Dat kost de banken 36 miljoen euro.

Zo zijn er dus minimaal twee verplichtingen waar je aan moet voldoen om te kunnen internetbankieren. Een recente pc-bescherming en het volgen van informatie via het nieuws, voorlichtingscampagnes en de informatieve mails van je bank. Een klein beetje moeite, voor een groot gemak.

Het lijkt allemaal heel logisch. Toch valt er heel wat op af te dingen, maar kom daar maar eens om bij een bank.
De banken zien niet graag dat je je geld onder je matras bewaard. En ook niet dat je je bankzaken op de ouderwetse, papieren wijze regelt. Je kan er altijd nog voor kiezen, maar dan wordt je betaalverkeer wel duurder. Er is dus een mate van dwang de consument aan het internetbankieren te krijgen. Prima, maar mag daar dan ook een goede service tegenover staan? Bijvoorbeeld een uitstekende beveiliging door de bank zelf? Daar mankeert nog veel aan, zoals in KRO’s Reporter was te zien.

Maar dan nog. Hoe redelijk de eis ook lijkt, die de bank aan klanten oplegt (cliënt dient zelf zorg te dragen voor de aanschaf van een anti-virusprogramma en personal firewalls), ongelukken voorkom je er niet mee.
Wie het nieuws een beetje volgt (de impliciete eis van de banken), weet ook dat de beveiligingssoftware eerst achter het net vist, voor lekken zijn gedicht en er op nieuwe trucjes van cybercriminelen een afdoend antwoord komt. Daar kun je een doorsnee klant toch niet verantwoordelijk voor houden?

Het regent op de regent

Het regent op de regent

We schakelen over naar Wemeldinge.

Chef: “Zeg, we hebben aan alles gedacht, toch?”
Ambtenaar: “Ja, chef”.

Chef: “Er kon niks gebeuren, toch?”
Ambtenaar: “Ja, chef”.

Chef: “Het zou een perfecte dag worden, toch?”
Ambtenaar: “Ja, chef”.

Chef: “Zo eentje waar we naam mee zouden maken, en dat heel de wereld ons dan inhuurt om grote evenementen te beveiligen, zodat we een beetje uit de kosten van deze operatie zouden komen, toch?”
Ambtenaar (voelt nattigheid): “Dat was wel het idee, chef. Maar ach, er is altijd wel iets of iemand, diet roet in het eten gooit, dat kunnen we nooit helemaal voorzien”.

Chef: “Wat!? Roet in het eten? Is de cateraar niet gescreend?”
Ambtenaar: “Nee, dat zit wel goed, chef”.

Chef: “Juist. Maar ter zake, wat doet die regen hier?”
Ambtenaar: “Ja, eh… ik zei al, er zijn altijd dingen waar je geen invloed op hebt”.


Chef: “Je bent wel erg snel klaar met je evaluatie. Niemand er aan gedacht het KNMI over te nemen?”
Ambtenaar: “Maar chef….”

Chef: “Niemand op het idee gekomen Piet Paulusma in de boeien te slaan?”
Ambtenaar: “Nee, maar chef…”

Chef: “Wat chef!!!”
Ambtenaar: “Dat zou ook niet geholpen hebben, want ze zeggen wel wat over het weer, alleen kunnen ze het niet sturen”.

Chef: “Niet sturen? Man, weet je hoe ze zulke zaken in China aanpakken?”
Ambtenaar: “Ja, maar chef, dat is toch geen echte democratie”.

Chef: “Nee, precies, en daarom hebben ze daar geen regen als ze mooi weer willen hebben. Ze zetten gewoon het leger in om die kl**te, f**cking wolken aan barrels te schieten. Maar daar heeft niemand hier aan gedacht, zeker?”
Ambtenaar: “Zeker, chef”.

Chef: “Kijk, als iedereen nou gewoon gedaan had wat ik zei, glijden we tenminste niet af naar een dictatuur”.
Ambtenaar: “En wat precies van wat u gezegd hebt dan, chef?”

Chef: “Heb ik niet gezegd dat we niets, maar dan ook helemaal niets aan het toeval over zouden laten?”
Ambtenaar: “Nee, dat hebt u wel gezegd”.

Chef: “Juist, dus weet je wat jij gaat doen?”
Ambtenaar: “Even mijn laarzen leeggieten, chef”.

Chef: “Dat doe je maar in je eigen tijd. Nee, jij zoekt hier en nu uit wie er de regen over het hoofd heeft gezien”.

Ambtenaar: “En dan, chef?”

Chef: “Ketting aan zijn enkels, verzwaren met beton en afzinken in de Westerschelde, zodat iedereen weet dat als er dan toch iets misgaat, wij de verantwoordelijken altijd straf aanpakken”.
Ambtenaar: “Maar chef, de leiding is toch verantwoordelijk?”

Chef: “Zeg nou moet je niet proberen mij de zwarte piet in mijn klompen te schuiven”.
Ambtenaar: “Nee, maar ik bedoel, het kan nog tot vervelende vragen voor u leiden”.

Chef: “Zou je denken? Nou, okee dan, zand erover. En snel wat, want daar heb je Hare Majesteit al en die moet toch droog aan de overkant zien te komen.”
Ambtenaar: “Ja, chef”.

Alweer een zorgalarm.

Alweer een zorgalarm Steeds minder zorginstellingen in Nederland hanteren de code van informatiebeveiliging. Een bericht dat klakkeloos is overgenomen door De Telegraaf en websites voor de beveiligingsbranche en de medische sector.

Het alarm is afgegeven door Niscayah, een bedrijf dat beveiligingsoplossingen verkoopt aan de zorgsector. Dit bedrijf onderzoekt elke twee jaar de beveiliging in de zorg en
constateert nu dat van de 88 respondenten “slechts 23% van de respondenten de code informatiebeveiliging hanteert, t.o.v. 57% in 2007”. De respondenten zijn werkzaam in ziekenhuizen en verpleeghuizen.

Volgens het bedrijf is niet alleen de ict-beveiliging onvoldoende (denk aan het EPD!), 20% van de brandmeldinstallaties zijn niet goedgekeurd, het aantal stroomstoringen neemt toe en de beveiliging tegen inbraak en agressieve indringers, is veelal verouderd.
Nu heeft Niscayah er natuurlijk een commercieel belang bij de zorgsector op de gaten en de lekken te wijzen. Het bedrijf biedt immers de oplossingen? Als je nagaat dat 88 respondenten op zo’n 1845 zorginstellingen wat weinig is, dan lijken de percentages wel mee te vallen. Ter verduidelijking: er zijn in Nederland zo’n 140 ziekenhuizen,ongeveer 342 verpleeghuizen en maar liefst 1363 verzorgingshuizen. De cijfers zijn uit 2004 en 2005 en dus misschien niet helemaal actueel, maar veel zal het niet schelen.

Maar het commerciële bedrijf is niet de enige die maar aan een paar zorginstellingen genoeg heeft om de alarmbel te luiden.
In 2008 meldde het CBP (College Bescherming Persoonsgegevens) dat een onderzoek naar de informatiebeveiliging bij 20 ziekenhuizen, genoeg was voor de IGZ (Inspectie Gezondheidszorg), om alle ziekenhuizen de opdracht te geven een plan van aanpak op te stellen. In 2009 liet de IGZ weten dat bij van de twintig onderzochte ziekenhuizen de boel nog niet op orde hadden en dat van de 72 ziekenhuizen die niet waren onderzocht, er nog eentje was die helemaal geen plan had ingediend.

Nou is een plan van aanpak één ding, de werkelijke uitvoering is weer wat anders.
In 2006 deden 51 ziekenhuizen mee aan een enquête van RTL Nieuws en de Nederlandse Vereniging van Ziekenhuizen (NVZ). Daaruit bleek dat de beveiliging tegen insluipers en diefstal nog beter kon, dan met de 50 miljoen euro aan beveiligingsmaatregelen al was bereikt. De voorzitter van de NVZ deed uiteraard een beroep op de overheid voor een bijdrage in de kosten ter verbetering.Het beveiligingsbedrijf Niscayah stelt dat 76% van haar 88 respondenten vond dat de overheid over de brug moet komen om de veiligheid te verbeteren.
Een zorgbestuurder
in Noord-Holland stelt dat de beveiliging bij de woonzorgcomplexen in zijn regio niet beter zal worden. Het geld ontbreekt.

Tja, dan moet de premie voor de zorgverzekering maar omhoog, zodat particuliere beveiliging in het basispakket kan. De patiënt mag zelf beslissen of hij/zij een eigen bewaker meeneemt naar ziekenhuis of verpleeghuis. Doet de patiënt dat niet, valt het natuurlijk onder eigen risico.
En de beveiliging van de ITC? Een illusie. Want als je de continue berichtgeving leest over lekkende systemen, virus- en phishing aanvallen, dan lijkt het wel of de virtuele criminaliteit vele malen groter is dan de hele beveiligingsindustrie aan kan.

Gezichtsherkenning

Gezichtsherkenning

Het boegbeeld van TON wordt wel eens verweten, programmatisch gezien, geen duidelijk geprofileerd gezicht te tonen. Dat is niet helemaal eerlijk. Om de Nederlandse politiek meer smoel te geven, trekt Verdonk het land in, luistert naar de mensen, en wat ze hoort waardeert ze op tot programmapunt. Zoiets duurt even, maar dan heb je ook wat.

Op haar recent aangevulde bewegingsprogramma staat nu de capuchon. Die moest verboden worden, omdat deze, bij jongeren populaire klederdracht gezichtsherkenning onmogelijk maakt. Bewakingscamera's registreren wel eens capuchons, waaronder handen vandaan komen die de dragers beter thuis hadden kunnen houden. Om de gezichten van overlast en criminaliteit producerende jongeren te herkennen, moet er een verbod komen op het dragen van een capuchon in openbare gelegenheden, stelt Verdonk.

Het kabinet ziet daar niks in. Minister Van der Laan probeerde met humor Verdonk op andere gedachten te brengen. Verdonk wil alle gezichten zien, maar van geinponems is ze niet gediend. “Ik verwacht geen lullige grapjes”, spoot ze de minister in het gelaat. Want wat de beveiligingscamera's niet zien, had Verdonk wel gezien: “Overal Marokkanen met een capuchon!”

Daarmee dus haar eigen standpunt onderuithalend, want zij herkent die jongeren dus wel. Ze had het beter over een andere boeg kunnen gooien. Als geen ander weet ze de camera's te vinden om haar beweging herkenbaar te maken. Ze is daar soms zo druk mee, dat ze haar gezicht niet laat zien bij stemmingen in de 2e Kamer. Dat kan natuurlijk, zolang er geen verbod is op het weghouden van je gezicht, terwijl je eigenlijk het volk dient te vertegenwoordigen.

De peilingen zien er inmiddels slecht voor haar uit, ondanks al die exposure. En weet u waar dat aan ligt? Gebrekkige gezichtherkenning. Mevrouw Verdonk mag dan geen capuchons dragen, maar helemaal recht in haar ogen kun je niet kijken als ze op Prinsjesdag een semi-transparante hoed draagt. Gezichtsherkenning

Hoewel ze zich sterk maakt voor herstel van Nederlandse tradities, maakt ze zich onzichtbaar als er een oer-Nederlands buitje klettert.Schuilgaan

Bij haar optredens in de openbare ruimte bedekt ze soms het linkergezicht, dan weer eens haar rechterkant.
Links

Rechts

En tijdens haar ontmoetingen met de pers is ze voor de camera's nauwelijks herkenbaar door de vele journalisten om haar heen.
Vaag gezicht

Wie voor een betere gezichtsherkennig is, moet natuurlijk zelf wel het goede voorbeeld geven.