Tag Archives: Informatiebeveiliging

Embedding Privacy in ICT Architectures

Van 23 – 26 oktober 2015 vond in Amsterdam de Amsterdam Privacy Conference plaats, georganiseerd door het Amsterdam Platform for Privacy Research (APPR). Dit is een samenwerkingsverband van privacy onderzoekers binnen de Universiteit van Amsterdam vanuit verschillende achtergronden en disciplines. De conferentie werd uitzonderlijk druk bezocht door rechtswetenschappers, privacy-juristen, informatici, politicologen, cryptologen, e.d. ‘from all around the world’. Samen met John van der Pas (Saxion Hogeschool) presenteerde ik daar een paper waarin we de stelling verkondigen dat de privacy van een burger (en zeker in het Big Data tijdvak!) alleen beschermd kan worden wanneer zijn belang op privacy en de bescherming van zijn persoonsgegevens meegenomen wordt in de ontwikkeling van soft- en hardware-architecturen. We beginnen deze paper als volgt:

“According to Johnson & Grandison (2007), failure to safeguard privacy of users of services provided by private and governmental organisations, leaves individuals with the risk of exposure to a number of undesirable effects of information processing. Loss of control over information about a person may lead to fraud, identity theft, reputation damage, and may cause psychosocial consequences ranging from mild irritation, unease, social exclusion, physical harm or even, in extreme cases, death. Although pooh-poohed upon by some opinion leaders from search engine and ICT industries for over a decade (Sprenger, 1999; Esguerra, 2009), the debate in the wake of events like the tragic case of Amanda Todd could be interpreted as supporting a case for proper attention to citizens’ privacy. Truth be told, for a balanced discussion on privacy in the age of Facebook one should not turn towards the social media environment that seems to hail any new development in big data analysis and profiling-based marketing as a breathtaking innovation. If the myopic view of technology pundits is put aside, a remarkably lively debate on privacy and related issues may be discerned in both media and scientific communities alike. A quick keyword search on ‘privacy’, limited to the years 2000-2015, yields huge numbers of publications: Worldcat lists 19,240; Sciencedirect 52,566, IEEE explore 71,684 and Google scholar a staggering 1,880,000. This makes clear that privacy is still a concept considered relevant by both the general public and academic and professional audiences. Quite impressive for a subject area that has been declared ‘dead’”.

Citatie: J. van de Pas, G.J. van Bussel, ‘Embedding Privacy in ICT Architectures. The citizen as public stakeholder in architecture development’, B. van der Sloot (red.), Proceedings of the Amsterdam Privacy Conference (21-26 October 2015), Amsterdam (Amsterdam: APPR, 2015), 14 pages, incl. references (only available on USB). PDF

Share This:

Infographic: Increasing online trust

De Online Trust Alliance voert jaarlijks een audit uit naar de bescherming van  burgers en hun gegevens. Voor 2015 werden bijna 1000 websites van grote banken, retailers, sociale media bedrijven, kranten, tv-bedrijven, uitgevers, muziekmaatschappijen, nieuwssites, regeringsinstellingen en Internet of Things-sites ge-audit. 44% van deze websites voldeed aan de criteria van klantbescherming en privacy. 45% van de bedrijven faalde hierin echter, wat zorgwekkend is. En let wel: dat de websites voldoen aan de criteria van klantbescherming en privacy betekent niet dat de privacy van klanten daadwerkelijk gewaarborgd is!

 
Increasing online trust

Share This:

Zo lek als een mandje, of ‘A gift for the hackers’

KRO Reporter zond in december 2013 een documentaire uit over de risico’s van de printers, scanners en NAS-apparatuur die benaderbaar zijn zijn vanaf het internet door anderen, omdat ze (default instelling) niet beveiligd zijn met een wachtwoord: een cadeautje voor hackers. Dit cadeautje kan hackers een schat aan persoonlijke en vertrouwelijke informatie opleveren van grote bedrijven, maar ook van particulieren. Elektronische patiënteninformatie, paspoorten en financiële gegevens waren onbeveiligd. KRO Reporter deed onderzoek. De documentaire werd in januari 2013 met een Engelse voice-over door Journeyman.tv internationaal verspreid. Hoewel het specifieke probleem ondertussen is opgelost zijn dit soort problematische beveiligingslekken aan de orde van de dag. Een opmerking past er wel bij: het is niet zo simpel als wordt verteld. In die zin is de reportage enigszins misleidend. Maar het wijst op een duidelijk probleem: er is te weinig beveiliging ingebouwd in het ontwerp van de systemen zelf…

Share This:

The secret history of hacking

Een ‘historische’ film over het ontstaan en de eerste jaren van ‘hacking’ (1970-2000).

Wikipedia weet er het volgende van te melden: “The featured computer security hacking and social engineering stories and anecdotes predominantely concern experiences involving Kevin Mitnick. The film also deals with how society’s (and notably law enforcement’s) fear of hacking has increased over time due to media attention of hacking (by way of the film WarGames as well as journalistic reporting on actual hackers) combined with society’s further increase in adoption of and subsequent reliance on computing and communication networks. John Draper, Steve Wozniak and Kevin Mitnick are prominently featured while the film additionally features comments from or else archive footage concerning Denny Teresi, Joybubbles, Mike Gorman, Ron Rosenbaum, Steven Levy, Paul Loser, Lee Felsenstein, Jim Warren, John Markoff, Jay Foster, FBI Special Agent Ken McGuire, Jonathan Littman, Michael Strickland and others”.

Een aardige introductie in de geschiedenis van een fenomeen dat aanleiding gegeven heeft tot het ontstaan van informatiebeveiliging. De strijd tussen beide fenomenen kleurt de ontwikkeling van de ICT tot in onze tijd.
 

Share This:

Hoe data verdwijnen…

Wie is eigenaar van bedrijfsinformatie ? Auteursrecht is er duidelijk over, maar in de alledaagse praktijk is het redelijk grijs. Iron Mountain heeft onderzocht hoe medewerkers in Europa omgaan met die data en dat zij een gevoel hebben ook eigenaar te zijn van de data waaraan ze mede gewerkt hebben. De volledige whitepaper kan hier gelezen worden. De samenvatting van het onderzoek staat ook in de bijgaande infographic.

when_employees_leave

Share This:

10 ‘easy’ steps to Information Governance

Information governance is een opkomende discipline, die informatiekwaliteit, -management, -beleid, procesmanagement en risicomanagement combineert. Het bepalen van de waarde van informatie voor organisaties is niet eenvoudig. Deze infographic toont in tien ‘makkelijke’ stappen hoe een begin te maken met Information Governance.

infographic_10-easy-steps-to-data-governance_stibo-systems_uk

Share This:

Who is spying on you ?

We zijn ons allemaal bewust van computer hackers. Wat het meeste schokt meestal is om te merken hoe eenvoudig het is voor hackers om je informatie te stelen. Deze infographic gaat daarover: het wil laten zien hoe makkelijk informatie kan worden gestolen en kan worden gevolgd. Publieke wifi-netwerken zijn zeer onveilig: gebruik je veel internet bij McDonalds, houdt er dan rekening mee dat je veiligheid precair is. De infographic is van Hotspot Shield VPN.

Who is spying on you?

Share This:

Richtsnoeren voor de beveiliging van persoonsgegevens

Het College Bescherming Persoonsgegevens (CBP) heet zogeheten richtsnoeren voor beveiliging van persoonsgegevens uitgebracht.

privacy
In de ‘richtsnoeren’ is vastgelegd hoe het CBP de beveiligingsnormen uit de Wet Bescherming Persoonsgegevens (Wbp) toepast als het de beveiliging van persoonsgegevens onderzoekt en beoordeelt. ‘De Wet bescherming persoonsgegevens geeft veel open normen waar we veel vragen over kregen. Deze richtsnoeren moeten duidelijkheid scheppen over waar wij naar kijken als we onderzoeken doen’, laat een woordvoerster van het CBP weten. De richtsnoeren treden 1 maart 2013 in werking.

Het CBP onderzocht vorig jaar 28 beveiligings- en datalekken. Daarbij gaat het volgens de woordvoerster om ernstige overtredingen die grote groepen mensen hebben getroffen. Het ging onder meer om webformulieren waarop persoonsgegevens waren ingevuld die vervolgens onbeveiligd via internet werden verstuurd. Daarnaast werden datalekken onderzocht die via SQL-injecties en cross site scripting werden gehackt. Daarbij ging het om persoonsgegevens die veelal niet versleuteld waren, waardoor ze eenvoudig konden worden misbruikt.

Continue reading

Share This:

Cloud Computing is riskant ?

EnisaAan de groei van cloud computing kleven volgens ENISA (European Network and Information Security Agency), Europa’s cybersecurity-agentschap, grote bezwaren. Clouddiensten zelf worden een kritieke informatie infrastructuur.

‘In a few years, a large majority of organisations will be dependent on Cloud computing. Large Cloud services will have tens of millions of end-users. What happens if one of these cloud services fails, or gets hacked?’, zo staat in het rapport te lezen. Het rapport verschijnt een week nadat de Europese Commissie een plan aankondigde voor een nieuwe Netwerk en Informatie beveiligingsrichtlijn. Volgens die nieuwe richtlijn krijgt Enisa een sleutelrol in de ondersteuning van de Europese lidstaten bij het delen van informatie over beveiligingslekken.

Continue reading

Share This:

Privacy en beveiliging “Cloud” organisatieverantwoordelijkheid

Het Nationaal Cyber Security Centrum (NCSC) gaat geen rol spelen bij problemen op het gebied van veiligheid en privacy in de ‘cloud’. De veiligheid van gegevens is zaak van organisaties zelf. Dat vindt staatssecretaris Teeven van Veiligheid en Justitie. Op vragen van enkele leden van de Tweede Kamer over de mogelijkheid voor de VS om ‘vrijelijk’ te graaien in persoonsgegevens van Nederlanders die opgeslagen zijn in de cloud, antwoordde Teeven geen rol weggelegd te zien van de NCSC.

Kamerleden Gesthuizen en Van Bommel (SP) en Oosenburg (PvdA) hadden Teeven naar aanleiding van een rapport van het Instituut voor Informatierecht van de Universiteit van Amsterdam over de risico’s van ‘cloud computing’ voor onderwijs- en onderzoeksinstellingen een aantal vragen gesteld. In zijn antwoord zegt Teeven eigenlijk niets nieuws. Amerikanen en Europeanen kunnen toegang krijgen tot Nederlandse gegevens in de ‘cloud’. Die opslag is primair de verantwoordelijkheid van degene die die gegevens laat verwerken door een bedrijf dat dat in de ‘cloud’ doet.

Continue reading

Share This:

Greep op Apps ?

Het is een illusie te veronderstellen dat de IT-afdeling greep krijgt op de apparaten en de apps die medewerkers meenemen in de onderneming. Daarom is een ander concept nodig van beveiliging en hoe je het ook wendt of keert: dat kost geld !

Met bring your own device (byod) komen ook de virussen het bedrijfsnetwerk binnen. De experts Simon Leech (HP), Martijn Bellaard (Brain Force), John Knieriem (Intermax) en Michael van der Vaart (Nod32) onderstrepen dat Intrusion Prevention en Detection op zichzelf hier geen soelaas bieden. Deze technologieëen werken aan de grenzen van het netwerk, en zouden meer naar binnen toe moeten worden toegepast. ‘Bovendien moet je gaan sturen op context en content. Nagaan wat het gedrag is van een gebruiker, afgaande op het dataverkeer dat hij of zij genereert. Als daar iets misgaat, kun je hem of haar isoleren’, aldus Van der Vaart.

Continue reading

Share This:

Hoe Toy Story 2 gered werd….

Een toevallige vondst: een filmpje van Pixar dat duidelijk maakt hoe ze bijna een goot gedeelte van Toy Story 2 kwijtraakten, doordat ‘iemand’ een rm * commando ingaf (‘remove all’). En toen kwam de conclusie dat de backups niet hadden gewerkt ! De technisch directeur van de filmproductie bleek een kopie van de gehele film te hebben gemaakt en die op haar eigen computer thuis te hebben geplaatst. Op deze manier kon het meeste van de film worden gered.

Twee opmerkingen:

  1. Hoe is het mogelijk dat er maar een backupsysteem werkte en dat niet voortdurend werd geverifieerd of de backup juist was. In de film wordt gesuggereerd dat er 20 tot 30 mensjaren werk verloren hadden kunnen gaan.
  2. Het is verwonderlijk dat een film moet worden gered door een illegale kopie: het kan niet anders dan in een bedrijf waarin men uiterst voorzichtig is met ‘things getting out’ in haar beleid blij is met kopieen buiten de muren van het bedrijf. Het redt de film, maar daartoe had men wat anders moeten regelenn

Wat gebeurde er werkelijk ?

Continue reading

Share This:

WikiRebels: de effecten van Wikileaks !

Exclusieve ongecensureerde beelden van de eerste diepgaande documentaire over WikiLeaks en de mensen die er achter zitten! Vanaf de zomer van 2010 heeft de Zweedse televisie het geheime medianetwerk WikiLeaks en zijn hoofdredacteur, Julian Assange, gevolgd. 

De reporters Jesper Huor en Bosse Lindquist zijn naar de belangrijkste landen gereisd waar Wikileaks actief is en interviewden topleden, zoals Assange, de nieuwe woordvoerder Kristinn Hrafnsson en mensen als Daniel Domscheit-Berg, die zijn eigen versie ‘Openleaks.org’ begint!

Wat is de toekomst van de organisatie? Worden ze sterker dan ooit, of worden ze gebroken door de VS? Wie is Assange: vrijheidsvechter, spion of verkrachter? Wat zijn zijn doelstellingen? Wat zijn de gevolgen voor het internet? 

Er zijn schokkende beelden !

Share This:

Schneier over cyber war

Bruce Schneier is een van de grootste experts op het vlak van informatiebeveiliging. Zijn persoonlijke blog (waarnaar ik bij de links op deze site verwijs) is daar een voorbeeld en expressie van. Zijn opvattingen zijn dan ook de moeite van het beluisteren of lezen waard. In maart vorig jaar hield hij in het Shangri La Hotel in Parijs een voordracht over de oorlog tegen cyber crime. Ik had het genoegen daarbij aanwezig te zijn en ik vind het de moeite waard om de video die daarvan op YouTube is verschenen (en die ik pas onlangs aantrof) ook via deze site openbaar te maken. Schneier gaat in op de mogelijkheden om cyber crime te bestrijden. In een wereld waarin we steeds meer ‘bedreigd’ worden door onzichtbare criminelen, lijkt het mij nodig dat we meer weten over wat we kunnen doen tegen dit soort activiteiten. Misschien dat dit verhaal een begin kan zijn. Schneier pratte bijna een uur. Dat is een hele tijd, maar het is wel de moeite.

 

Share This:

Web Warriors

Een video van CBC, een Canadese televisiemaatschappij. War Warriors is een documentaire van een uur die een diepgaande blik werpt op Cyber Space en de gevaren die daar loeren voor onze fysieke maatschappij. Uitgangspunt is de totale blackout in een deel van Canada en het Noorden van de VS in 2004. Een blik in de wereld van hackers, virusschrijvers en hun bestrijders. Kijk en huiver….

 

Share This:

Stuxnet-opvolger verbijstert beveiligers

De securitywereld is verrast door nieuwe malware, Flame. Deze malware lijkt op het beruchte Stuxnet en waart (naar schatting) al vijf tot acht jaar onopgemerkt rond. Flame (ook Flamer en Skywiper genoemd) plant uitvoerbare code (binaries) op besmette pc’s en gebruikt daarvoor het .ocx-bestandsformaat wat dienst doet voor Microsofts ActiveX. Veel antiviruspakketten scannen .ocx-bestanden niet. Een uitzondering is McAfee, maar Flame verstopt zich in bestanden met de .tmp-extensie, meldt Mikko Hypponen van F-Secure.

Hij stelt dat Flame het zoveelste teken is dat de beveiligingsindustrie, waaronder ook F-Secure, heeft gefaald. Na de niet gedetecteerde voorgangers Stuxnet en Duqu weet ook Flame de producten van verschillende beveiligingsbedrijven te omzeilen. Deze nieuwste malware heeft hiervoor diverse geavanceerde mogelijkheden ingebouwd, waaronder de detectie van ruim honderd verschillende securitypakketten.

Continue reading

Share This:

Beveiliging is altijd lek

Security-onderzoeker Dan Kaminksy, bekend van het gat in internetbasisprotocol DNS, is blij dat mensen beseffen dat geen enkel netwerk immuun is voor cyberaanvallen. Dat betekent, zegt hij tegen techmagazine Wired, dat de security-industrie en haar klanten eindelijk de waarheid kunnen accepteren dat wat ze jarenlang hebben gedaan niet werkt.

Kaminsky legt uit dat er een enorm convervatieve houding heerst in de beveiligingswereld. ‘Do what everyone else is doing, whether or not it works. It’s not about surviving, it’s about claiming you did due diligence’, zo stelt Kaminsky. ‘That’s good if you’re trying to keep a job. It’s bad if you’re trying to solve a technical problem’. Zoals dus het beveiligen van IT-systemen en netwerken.

‘In reality’, zo zegt Kaminsky, ‘No one knows how to make a secure network right now. There’s no obvious answer that we’re just not doing because we’re lazy. Simply installing firewalls and intrusion detection systems and keeping anti-virus signatures up to date won’t cut it anymore — especially since most companies never know they’ve been hit until someone outside the firm tells them. If someone walks up to you on the street and hits you with a lead pipe, you know you were hit in the head with a lead pipe. Computer security has none of that knowing you were hit in the head with a lead pipe’.

Continue reading

Share This:

Hacktivisten als datadieven

Bijna zestig procent van de data die wordt gestolen bij datalekken komt in handen van hacktivisten. Volgens een rapport van Verizon was 2011 dan ook het jaar van de hacktivist.

Het Amerikaanse telecombedrijf Verizon publiceerde donderdag zijn jaarlijkse ‘Data Breach Investigations Report’. Uit dit rapport blijkt dat 58 procent van de data die bij de onderzochte datalekken werd gestolen, in handen kwam van hacktivisten. Dat is een trendbreuk met eerdere jaren, waarin vooral cybercriminelen die op geld uit zijn de statistieken domineerden.

Verizon onderzocht 855 datalekken waarbij 174 miljoen ‘records’ gestolen werden. Voor het onderzoek werden gegevens van onder meer de Nederlandse High Tech Crime Unit van het KLPD gebruikt. Daarnaast leverden overheidsdiensten uit de VS, Australië, Groot-Brittannië en Ierland gegevens over lekken aan voor het onderzoek.

Continue reading

Share This:

Nederland leidt anti-internet extremisme platform

Nederland voert een Europees project aan om extremisme op internet te bestrijden via ‘samenwerking met bedrijven’. Hoster Leaseweb vreest een hellend vlak. Het zogeheten Clean IT Project, opgezet met Europese subsidie, valt onder de Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV). Het is bedoeld voor een publiek-private samenwerking als een situatie ontstaat van ‘deadlocked talks between government and industry’ (zoals de website van het project aangeeft). Doel is een vrijwillige medewerking van private partijen met overheden en opsporingsinstanties in de EU-landen.

Een formele aanpak is niet de bedoeling. Het projectteam van Clean IT stelt op de eigen site dat het een niet-wetgevend raamwerk wil ontwikkelen, dat bestaat uit algemene principes en ‘best practices’. Die zijn dan bedoeld om extremistische activiteiten op internet in Europa aan te kunnen pakken.

De projectleider bij NCTV stelt dat Clean IT voortborduurt op de totstandkoming van de Nederlandse gedragscode Notice-and-Takedown. De Nederlandse programmamanager zet die aanpak van onrechtmatige of illegale content neer als een vorm van zelfregulering door het bedrijfsleven.

Continue reading

Share This:

RSA-algoritme is lek

Wetenschappers hebben een fout ontdekt in de manier waarop publieke sleutels worden gegenereerd met het RSA-algoritme voor het versleutelen van online communicatie en transacties. Een klein deel van de publieke sleutels, 27.000 van de 7,1 miljoen, zijn niet ad random tot stand gekomen. Daardoor is het mogelijk dat iemand de geheime priemgetallen kan achterhalen die gebruikt worden om een publieke sleutel te creëren. De onderzoekers verzamelden beveiligingssleutels op het web en controleerden de betrouwbaarheid van de sleutels, ervan uitgaande dat er elke keer afwijkende random keuzen zijn gemaakt, bij het aanmaken van de sleutels. Dat blijkt niet het geval te zijn: twee op elke duizend RSA-sleutels biedt geen beveiliging.

Continue reading

Share This: