Category Archives: IT Beveiliging

Data Loss Protection (DLP): uiteraard niet, stel je voor

22 februari 2010

In Nederland zijn weinig bedrijven, die maatregelen nemen om dataverlies te voorkomen (DLP). 'Je zou verwachten dat bedrijven door de media-aandacht over verloren USB-sticks, verloren laptops, vergeten smartphones, aan de straat gezette dossier e.d. zorgvuldiger omspringen met data'. Tom Welling van beveiligingsleverancier Symantec reageert verbaasd op de belangrijkste conclusie in het Symantec Enterprise Security Report 2010. Hij kan een verklaring geven voor het feit dat Nederlanders minder aan Data Loss Prevention (DLP) doen dan andere landen. 'De wetgeving is in Nederland nog niet zo ver gevorderd als bijvoorbeeld in de Verenigde Staten. Daar krijg je gewoon een fikse boete wanneer je klantgegevens verliest. Dat kan oplopen in de miljoenen. De drempel is daar dus veel lager om een DLP-systeem van enkele tienduizenden euro’s te implementeren', zo geeft Welling aan. 'Ook in het Verenigd Koninkrijk wordt DLP veel vaker toegepast. Daar is immers een meldplicht van kracht bij dataverlies'. Gevolg van dit gebrek aan regulering is dat Nederlandse bedrijven moeilijk kunnen inschatten hoeveel geld ze verliezen aan dataverlies. 'Als je een boete krijgt, is dat makkelijk te vertalen naar cijfers. In Nederland gaat het alleen om imagoschade. Dat is een stuk moeilijker te berekenen', aldus Welling. Imagoschade kan overigens wel in de papieren lopen, maar de gevolgen daarvan zijn vaak niet te relateren aan de werkelijke oorzaak.

Continue reading →

Het Nieuwe Werken als beveiligingsramp

19 februari 2010

Steeds meer bedrijven kijken naar het nieuwe werken. De opkomst ervan wordt vanuit leveranciers en overheden, gestimuleerd. Termen als 'efficiënter werken', 'beperken reiskosten' en 'terugdringen fileleed' worden te pas en te onpas gebruikt, maar IT-technisch hoor je niet zo veel. Hoe zit het met de beveiliging bij het nieuwe werken? Momenteel zijn we in de overgang van een informatietijdperk naar een netwerktijdperk. Toegevoegde waarde lever je door kennis te delen en bijdragen te leveren aan een collectief. Deze ontwikkeling zien we niet alleen in een web 2.0-fenomeen als Wikipedia, maar ook in het nieuwe werken, waarbij het kennisdelen en samenwerking belangrijke succesfactoren zijn. De integriteit van deze gedeelde kennis is daar een zorgpunt. We moeten er voor zorgen dat kennis gebaseerd is op betrouwbare bronnen en dat deze niet hopeloos verouderd of incompleet is. Dit betekent dat we technieken en methoden moeten ontwikkelen waarmee we de integriteit van gedeelde kennis kunnen vergroten.

Continue reading →

Vrije Universiteit: gegevens lekken. Welnee, het staat bewust open, hoor !

9 februari 2010

De VU heeft de verbinding met het eigen intranet beveiligd met https en het bezoeken van de 'voordeur' van de site levert slechts de inlogpagina op. Via Google zijn achterliggende pagina's echter toegankelijk. Komt men zo binnen dan kan een surfer rustig op op andere links klikken en daarmee een deel van het intranet bekijken. Het gaat om het deel 'Medezeggenschap' van de Ondernemingsraad van de universiteit. Daar zijn naast vergaderverslagen en planningen ook de adviezen van de Ondernemingsraad te vinden en het stappenplan bij reorganisaties. Verder zijn er zaken toegankelijk als het interne adresboek van de hele universiteit, en de samenstellingen van de diverse commissies en werkgroepen. Ook zijn er intern gepubliceerde fotoreportages van uitjes en borrels in te zien. In een eerste reactie vraagt woordvoerder Ronald van Gelder zich af of er inderdaad iets aan de hand is. Hij vertelt dat hij de IT-afdeling van de VU in zal lichten, zodat die actie kan ondernemen. 'Voor zover dat de bedoeling is'. Van Gelder stelt dat de toegankelijkheid van het interne adresboek geen probleem is; dat is langs andere wegen al in te zien.

Continue reading →

OV-chipkaart en privacy gaan wel samen, tenminste…..

29 januari 2010

De OV-chipkaart zou met dezelfde infrastructuur veel privacyvriendelijker zijn als de software anders was ontwikkeld. Vervoersbedrijven krijgen dan gewoon inzicht in vervoersstromen. Dat vertelt Bart Jacobs, hoogleraar op het gebied van het maken van veilige systemen en beveiliging bij de Radboud Universiteit. Hij voorzag vanaf het begin de privacyproblemen, die nu optreden. Het ontwerp van het OV-chipkaartsysteem is dus niet goed. ´Waar het om gaat is dat de OV-chipkaart vooral een betaalkaart is en zo moet je het ook behandelen´, legt hij uit. Wie op saldo reist moet een betaling verrichten, waarbij het nodig is een administratie te voeren. Bij abonnementshouders, zoals studenten en jaarkaarten, is dat niet nodig. ´Daar gaat het om het vaststellen dat iemand een reisrecht heeft´. Een poortje of een paal voert een controle op reisrecht nu ook uit, weet Jacobs. In theorie had in het ontwerp een ´hash´, een niet herleidbaar getal gebruikt kunnen worden. ´Dat registreer je bij het inchecken en het uitchecken. Een volgende reis krijg je een nieuwe hash´, vertelt hij. ´Dan weet je toch hoeveel reizigers er op een traject zijn, maar weet je niet wie het zijn´.

Continue reading →

Nieuwe filtermethode tegen spam

26 januari 2010

Een groep informatici van de Universiteit van Californië (San Diego) en het Internationale Computer Science Institute in Berkeley heeft een methode ontwikkeld, die het eenvoudiger maakt om spam te herkennen en te blokkeren. De onderzoekers maken gebruik van een eigenschap van botnet-spam: om spamfilters te omzeilen, brengt de software steeds kleine veranderingen in de verzonden spamberichten aan. Die veranderingen, in bv. onderwerp-regels, zijn vastgelegd in een template waarmee de botnets hun spamberichten genereren. De groep liet botnet-software duizend mailtjes genereren. Deze berichten werden geanalyseerd en zo waren zij in staat de template voor de spam te achterhalen. De reverse-engineered template kon vervolgens gebruikt worden om spamfilters te instrueren de ongewenste berichten, die op basis van de template werden gegenereerd, tegen te houden. Volgens de onderzoekers resulteerde dat in een nauwkeurigheidsgraad van honderd procent: op een monster van een miljoen mailtjes passeerde geen enkel spammailtje het filter, terwijl zich eveneens geen enkele false positive voordeed.

Continue reading →

Klink onder vuur over beveiliging EPD

14 januari 2010

Minister Klink houdt voor de beveilging van het Elektronisch Patiënten Dossier (EPD) vast aan het gebruik van DigiD, zoals dat nu ook door de Belastingdienst wordt gebruikt, zo stelt hij in antwoord op kamervragen over de beveiliging. Hij is hierdoor onder vuur komen te liggen van de VVD. VVD-kamerlid Zijlstra heeft verklaard: 'Dit is in strijd met de hele belangrijke afspraak met de Kamer, dat er namelijk het veiligste systeem voorhanden wordt gebruikt'. De VVD pleit dan ook voor het gebruik van Public Key Infrastructure (PKI), een systeem van elektronische certificaten dat veel veiliger wordt geacht dan het voorgestelde DigiD. Het argument van de minister dat PKI nog niet voldoende ontwikkeld is en de uitrol voor burgers nog jaren op zich laat wachten, acht men niet geloofwaardig. Gedreigd wordt dan ook de steun voor het EPD in te trekken. Het EPD dat toch al zwaar bekritiseerd wordt moet de komende tijd nog verder worden uitgewerkt in verschillende Algemene Maatregelen van Bestuur (AmvB). Normaal is voor een AmvB geen stemming in het parlement nodig, maar in de EPD-Wet is vastgelegd dat ook alle AmvB's eerst door de Kamer moeten. Zijlstra: 'De minister zal bij de behandeling daarvan ons moeten overtuigen. Anders heeft hij een probleem op dat gebied en daarmee met het hele EPD'.

Continue reading →

Hacken mag wel, stelen niet..

24 november 2009

De privé-mailbox van de staatssecretaris van Defensie hacken is toegestaan, oordeelt de politierechter. Wat niet mag is e-mails ontvreemden. Daarvoor is de hoofdredacteur van Revu veroordeeld. Volgens de rechter heeft Revu bij het hacken van de mailbox van staatssecretaris Jack de Vries geen ander doel voor ogen dan ‘het langs journalistieke weg aan de orde stellen van een maatschappelijk probleem’. Dit is zo’n groot onderdeel van het artikel dat de Revu hierover publiceerde dat strafvervolging niet op zijn plaats is en de vrijheid van meningsuiting belemmert. De rechter ontslaat journalist Nick Kivits van alle strafvervolging maar veroordeelt wel hoofdredacteur Altan Erdogan, die de hacker te ver liet gaan. De rechter oordeelt dat het binnendringen van de privé-mail van een bewindspersoon via een botnet en een brute force aanval journalistiek geoorloofd is omdat er geen andere manier is om de onveiligheid van e-mailboxen te bewijzen. ‘Immers een verhaal over het binnendringen van een fictief emailaccount, zoals de officier van justitie heeft aangegeven, heeft beduidend minder journalistieke waarde en dus ook minder gevolgen dan wanneer het daadwerkelijk gaat om de privé emailbox van een bewindspersoon’, aldus de rechter.

Continue reading →

Informatiebeveiliging

Informatiebeveiliging

Beveiliging van informatiesystemen en van daarin opgenomen gegevens en documenten is een hot item. Er is zelfs een al weer herziene Code voor Informatiebeveiliging, waarop ook extern kan worden getoetst ! Die belangstelling is niet ten onrechte, want er gaat regelmatig het een en ander mis. Nog niet zozeer omdat wij allemaal onvoorzichtig omgaan met onze procedures, onze wachtwoorden en zo, maar ook omdat leveranciers van systeem- en toepassingssoftware het niet voor elkaar krijgen om deze zonder ‘lekken’ te leveren.

Continue reading →

E-mail grootste lek binnen bedrijven

17 december 2005

Zes procent van de werknemers geeft toe dat zij wel eens vertrouwelijke informatie vanuit het bedrijf naar iemand hebben gemaild die daartoe geen toegang zou mogen hebben. Dat blijkt uit een onderzoek (Corporate e-mail user habits) uitgevoerd door de Radicati Group in samenwerking met Mirapoint. ‘While 6 percent may seem like a small number, in a 10,000-user organization, it translates to 600 employees leaking intellectual property’, zo stelt Sara Radicati, oprichtster en directeur van Radicati. ‘It only takes one e-mail to leak critical trade secrets that can cripple an organization’s business strategy. Companies should take a hard look at educating their workforce on its official email policy, and put in place outbound filtering and monitoring technology that can block confidential or sensitive emails before they leave the corporate network, as well as report violations’. Andere resultaten van het onderzoek wijzen op een andere zeer verontrustende trend: de meerderheid van de werknemers omzeilen de e-mailcontroles van hun bedrijf door voor zakelijke e-mail gebruik te maken van prive e-mail-accounts. 25 % van de respondenten gaf toe zeer regelmatig zakelijke e-mailberichten door te sturen naar hun prive mailbus. Dit kan het bedrijf aanzienlijke compliance-problemen opleveren, aangezien er dus mail is die buiten haar controle kan worden bewaard en waarvan het gebruik dus niet te controleren is.

Continue reading →

Beveiliging OK, gebruikers niet.

29 mei 2005

Netwerkbeheerders zijn over het algemeen tevreden met de beveiliging
van de IT in hun organisaties, zover het desktop PC’s, remote access,
fysieke beveiliging en datacenters betreft. Ze zijn echter ten zeerste
bezorgd voor de onwetendheid, blunders en desinteresse van de
gebruikers, die de voornaamste oorzaak van kwetsbaarheden in de
beveiliging zijn.

Continue reading →

“Iedereen is van minuut tot minuut te volgen”. De risico’s voor de privacy in het hackers-tijd

11 mei 2005

Veel van de huidige digitale discussie staat in het teken van privacy, auteursrechten en kopieerbeveiliging van cd’s en software. In onze netwerkmaatschappij is bijna iedereen van minuut tot minuut te volgen. Wat internetgebruikers en mobiele bellers doen is voor het bedrijfsleven al sinds jaren geen geheim. Politie en geheime diensten krijgen steeds meer greep op deze persoonsgegevens. In verschillende landen, waaronder Nederland en Groot-Brittannië, zijn internetaanbieders en telecommaatschappijen verplicht om gegevens van klanten op te slaan en de overheid toegang daartoe te geven. Als het aan de Europese Commissie ligt wordt de bwaarplicht van dit soort gegevens nog zwaarder. Deze inbreuk op de privacy baart zorgen.

Geert-Jan van Bussel

Continue reading →

Anti-Spyware niet zo anti !

8 mei 2005

De meeste antispyware-pakketten ruimen spyware niet goed op. Dat
zegt de Consumentenbond, die dertien antispyware-pakketten getest
heeft. De conclusie: slechts twee pakketten maken de pc aardig schoon.

Continue reading →

Aantal phishing-aanvallen neemt af.

3 mei 2005

Phishing-aanvallen lijken op hun retour. Het aantal
phishing-berichten is vorige maand voor het eerst afgenomen. Volgens
het bedrijf Postini
is het aantal phishing-mailtjes in april met 45 procent afgenomen in
vergelijking met maart. Postini, dat helpt bij het filteren van e-mail,
stelt dat het in april 9 miljoen phishing-berichten heeft onderschept.
Continue reading →

Computertapes Time Warner zoek !

3 mei 2005

Mediaconcern Time Warner is een container kwijt met computertapes,
waarop persoonsgevoelige informatie staat van 600.000 huidige en
vroegere medewerkers. De container maakte deel uit van een transport
naar een dataopslagfaciliteit van Iron Mountain.

Continue reading →

Driemaal is genoeg !

2 mei 2005

Inloggen op de computer, aanmelden op een site, Hotmail of Gmail
raadplegen, een profiel wijzigen … het lijstje te onthouden
gebruikersnamen en wachtwoorden wordt alsmaar langer. Voor wie al die
toegangscodes maar moeilijk kan onthouden is er n schrale troost: u
bent niet de enige!

Continue reading →

Pentagon struikelt over censuur

2 mei 2005

Het Pentagon heeft onbedoeld een gecensureerd document gepubliceerd,
waarvan de zwartgemaakte tekst in de meta-data bewaard was gebleven.

Continue reading →

Anti-virussoftware kan niet overweg met 64-bit Windows

2 mei 2005

Windows XP Professional x64 Edition lijkt extra gevoelig voor
virussen. Bekende anti-virussoftwarepakketten als Norton en McAfee
kunnen niet overweg met het besturingssysteem.

Continue reading →

Virus verwijdert muziekbestanden

30 april 2005

Computerbeveiligers hebben een internetvirus ontdekt dat
muziekbestanden verwijdert. De worm verspreidt zichzelf via
uitwisselnetwerken zoals Kazaa en Bittorrent, en doet zich voor als een
dvd-kopieerprogramma.
Continue reading →

Beveiliging van e-mail-omgevingen moet breder

30 april 2005

De introductie van nieuwe communicatietoepassingen zal de eisen op
het gebied van beveiliging en beheer flink verzwaren. Uitbesteding van
deze taken maakt het probleem overzichtelijk en de kosten beheersbaar.
Continue reading →