vrijdag 22 juli 2016

Knaagdieren



[Dit is de laatste Security (b)log voor de vakantie.]


In de komkommertijd duikt er gewoonlijk ergens een of ander beest op waarvoor Nederland niet de natuurlijke habitat is. In de loop der jaren kregen we door de pers slangen, een poema en gevaarlijke spinnen geserveerd. Dit jaar is het er nog niet van gekomen, of je moet de Pokémons meerekenen. Waarschijnlijk zijn er nog geen komkommerdieren opgedoken omdat er teveel echt nieuws is, zoals politieke ontwikkelen ten westen en ten oosten van ons en natuurlijk die idiote aanslagen.
 
Een maand geleden kreeg ik toch alvast een zomers dierenverhaal aangereikt. Een collega vertelde dat hij eens op de wc zat en gescharrel boven het plafond hoorde. Na gedane zaken belde hij de facilitaire dienst om te melden dat er een knaagdier boven het plafond zat. Het was nog knap lastig om deze onalledaagse melding geregistreerd te krijgen. De dienstdoende medewerker moest eerst de fasen onbegrip, ongeloof en hilariteit door voordat hij of zij in staat was om zakelijk te noteren wat er aan de hand was. Hier eindigt de anekdote waardoor ik helaas niet kan melden of ze een beestje hebben aangetroffen en zo ja, wat het was.
 
Knaagdieren staan erom bekend dat ze graag hun tanden in kabels zetten. Vraag maar aan autobezitters in gebieden waar de steenmarter voorkomt. Er schijnt soms visolie in de kabels verwerkt te zijn, als weekmaker. Kennelijk is zo’n marter een visminnend wezen. Maar ze worden ook verdacht van speelsheid. Kortom, er zijn allerlei theorieën waarom ze hun scherpe tandjes in jouw kabels zetten, maar het enige dat vaststaat is dát ze het doen.
 
Knagers en rekencentra gaan in principe niet zo goed samen. Stel dat ze het hier op een paar kabels gemunt zouden hebben, dan heb je in potentie een vet beschikbaarheidsprobleem. Google leert ons dat knaag- en andere dieren inderdaad een punt van zorg zijn voor rekencentra, maar bijvoorbeeld ook voor telecombedrijven – het maakt ze niet uit of ze hun tanden in een stroom-, telefoon- of glasvezelkabel zetten, al is bij die eerste de kans het grootst dat ze het niet overleven, zoals de wezel die eerder dit jaar de large hadron collider (deeltjesversneller) van CERN in Zwitserland lamlegde nu ook weet.
 
Er zijn tal van manieren om je tegen deze kabelvraat te beschermen. Zoals bijvoorbeeld met metalen kabelmantels, dikke PVC-buizen (te groot om de bek omheen te krijgen), verwarmingsdraden (ze houden niet van warme kabels), een vies smaakje in de kunststof kabelmantel en… katten. Ja, er zijn rekencentra die katten op de loonlijst hebben. Ze werken tegen een ‘hongerloon’: ze mogen opeten wat ze vangen. Hamsteren is niet gewenst.
 
Bij aanvallen op rekencentra denken we doorgaans aan hackers. Die komen – al dan niet – binnen via dezelfde kabels waarop kabelknagers het hebben voorzien. De fysieke aanvalsvector is dus dezelfde. Maar daar waar de een hem slechts als ingang gebruikt, daar heeft de ander het eindpunt al bereikt. Wat nu als een menselijke aanvaller, die het niet op je data heeft voorzien maar gewoon je rekencentrum onderuit wil halen, samenspant met het dierenrijk en een legertje ratten, muizen of wezels op je terrein uitzet? Is het dan ‘kip, ik heb je’, of heb je deze keer de put gedempt vóórdat het kalf verdronken is?
 
Tip voor de achterbank tijdens lange vakantieritten: tel het aantal keren dat in deze blog een dier wordt genoemd. Tel dan nog eens, want er zitten ook een paar verstopte beestjes in en het woord ‘dier’ telt ook mee. Niet gaan katten als je broer of zus een ander aantal telt! In geval van ruzie beslissen je ouders.
 
En in de grote boze buitenwereld …
 
... likken opsporingsdiensten hun vingers af bij het lezen van het privacybeleid van Pokémon GO.
http://www.thecanary.co/2016/07/19/uk-prime-minister-excited-pokemon-go-not-reason/
... hebben nep-Pokémon-apps ook hun weg naar de officiële Google Play store gevonden.
http://www.securityweek.com/malicious-pokémon-go-apps-land-google-play
... moeten ge-3D-printe vingers van een vermoorde man de politie toegang tot zijn telefoon geven.
http://fusion.net/story/327145/3d-print-dead-mans-fingers-to-unlock-his-phone/
... is een apparaatje in ontwikkeling dat verklapt of je telefoon je bespioneert.
https://www.wired.com/2016/07/snowden-designs-device-warn-iphones-radio-snitches/
... verbiedt België anonieme simkaarten. Alsof de lokale terroristen en criminelen zijn aangewezen op simkaarten uit dat land.
http://www.nu.nl/mobiel/4296220/belgie-verbiedt-anonieme-simkaart.html
 ... vervalt de garantie niet als je een apparaat openschroeft.
http://blog.iusmentis.com/2016/07/22/elektronicaboeren-schenden-consumentenwet-garantiestickers/
... is er een Stagefright-achtige bug in iOS en OS X gesignaleerd.
http://www.welivesecurity.com/2016/07/21/users-iphones-macs-must-update-avoid-stagefright-like-bug/
... staat Nederland op de vierde plaats op de ranglijst van ransomwarebesmettingen.
https://www.fraudehelpdesk.nl/nieuws/nederland-wereldwijd-nummer-vier-besmettingen-ransomware/
... is het onverstandig om je levenswerk uitsluitend op de computer van iemand anders op te slaan.
http://fusion.net/story/325231/google-deletes-dennis-cooper-blog/
... kun je heel wat privacy-instellen op de iPhone en iPad aanpassen aan je eigen wensen.
https://blog.kaspersky.com/ios-tracking-setup-part-1/12625/
... zijn vijf phishers door de Nederlandse rechter tot drie jaar cel veroordeeld. Ze hadden zo'n vijf ton buitgemaakt, die ze gedeeltelijk (?) moeten terugbetalen.
https://www.fraudehelpdesk.nl/nieuws/phishingbende-krijgt-tot-drie-jaar-cel/
... heeft AV-TEST een aantal fitness trackers en de Apple Watch aan een security check onderworpen.
https://www.av-test.org/en/news/news-single-view/seven-fitness-wristbands-and-the-apple-watch-in-a-security-check-2016/
... geeft GCHQ tips aan organisaties voor het opzetten van een wachtwoordbeleid.
https://www.cesg.gov.uk/guidance/password-guidance-simplifying-your-approach
... verhindert deze malware dat je je bank belt als je bankkaart gestolen is.
http://www.techweekeurope.co.uk/security/android-malware-cards-blocks-calls-banks-195188#pz6ZGMIsOrfEH66I.99
... is dit de ideale vakantielectuur voor wie wil weten wat er in de nabije toekomst allemaal mis kan gaan.
http://nymag.com/daily/intelligencer/2016/06/the-hack-that-could-take-down-nyc.html
 
Gepost door op Geen opmerkingen:
Labels: , , , ,

vrijdag 15 juli 2016

Pokémon GO

Ik zit niet zo in de spelletjes, maar om Pokémon GO kon deze week niemand heen. Twitter confronteerde mij er als eerste mee, maar al gauw hoorde ik ook allerlei berichten op de radio en vond mijn zoon dat ik daar maar eens over moest bloggen. Nee, zei ik, dat heeft niets met mijn vak te maken. Binnen een uur was ik om: er bleken wel degelijk implicaties voor beveiliging en privacy te zijn. Op Twitter heb ik voor mezelf een Infosec-lijst gemaakt, waar berichten in verschijnen van tweeps die voornamelijk over informatiebeveiliging twitteren, en daar ging het dus ook opeens vooral over Pokémon GO. Een veeg teken.
 
Het spelletje is officieel nog helemaal niet beschikbaar in Nederland, maar desondanks zijn er al hele volksstammen die het spelen. Voor je Android-toestel met je dan ergens een apk-bestand vandaan zien te halen – een Android package, een installatiebestand zeg maar. Mijn zoon had de desbetreffende apk ook op de kop getikt maar werd achterdochtig toen zijn smartphone vroeg of het goed was om een app te installeren die niet uit de Play Store kwam. Gelukkig kon ik hem op tijd uitleggen dat hij nooit apps uit alternatieve stores mag installeren omdat daar vaak malware in voorkomt. Een half uur later las ik het eerste bericht waarin melding werd gemaakt van een besmette Pokémon-apk. Inmiddels zijn er meerdere foute apk’s, waaronder exemplaren die de hacker volledige toegang tot jouw apparaat verschaffen.
 
Er zijn ook privacy-bedenkingen. De meeste mensen loggen in met hun Google-account, en in de iOS-versie van het spelletje hadden de ontwikkelaars  “per ongeluk” volledige toegang tot dat account van de gebruiker gevraagd. Dat betekent dat Niantic, het bedrijf achter Pokémon GO, geautoriseerd was om je Gmail-account en je bestanden in de Google-cloud  te benaderen, zoals documenten en foto’s. Ze hadden zelfs mail vanuit jouw account kunnen versturen. Die fout hebben ze nu opgelost en de rechten teruggebracht tot normale proporties. Dat neemt echter niet weg dat de gebruiksvoorwaarden erg veel ruimte laten voor het verzamelen van informatie. Je weet wel, van die voorwaarden waar je altijd ongezien mee akkoord gaat.
 
In de Amerikaanse staat Missouri hebben criminelen het spel misbruikt om argeloze mensen naar een afgelegen plek te lokken en ze daar te beroven. Uiteraard waren er vuurwapens in het spel. En er zijn meer berichten uit de wereld van de fysieke veiligheid, gewoon in Nederland: spelers die van het spoor geplukt moesten worden, de politie die haar handen vol heeft aan spelers die op hun schermpje turend over straat lopen zonder uit te kijken en ziekenhuizen die proberen om spelers  buiten de deur te houden.
 
Ons management wil geen ge-Pokémon op het terrein hebben. Zeker niet door buitenstaanders, maar ook niet door medewerkers. Het desbetreffende bericht op het intranet heeft wat stofjes doen opwaaien, onder andere door mensen die zich erover opwinden dat er een verbod is afgekondigd en dat ze beschuldigd worden van fotograferen of filmen. Wat dat laatste betreft: dat stáát er helemaal niet. Er staat alleen een herinnering dat fotograferen niet mag. Maar goed, verplaats je eens even in de mensen die het verbod moeten handhaven. Die zien je straks rondlopen met een camerabeeld op je telefoon. Moeten ze dan echt bij iedereen nagaan of hij foto’s maakt of op virtuele wezens jaagt? Dat is net zo ondoenlijk als bij een clear desk-controle bepalen of die paperassen op een bureau wel of niet vertrouwelijk zijn. Daarom is de regel dat er helemáál geen papieren horen te liggen. En weet je, we leven in roerige tijden. Laten we het de mensen die over onze fysieke en digitale veiligheid waken wat gemakkelijker maken.
 
Inmiddels ben ik – tegen wil en dank – ook speler in het spel geworden, maar dan anders. De beste remedie tegen ongewenste taferelen is immers het wegnemen van de oorzaak. Ons management wil niet dat er Pokédingen op ons terrein verblijven en daarom heb ik een poging gewaagd om bij Niantic om een Pokémon-vrije zone te vragen. Compleet met coördinaten en een kaartje waarop ons complex is omkaderd. Tot nu toe heb ik nog geen succesverhalen van anderen gelezen, dus ik ben benieuwd hoe dit loopt als ze bij het Californische bedrijf van de schrik van hun succes zijn bekomen. Het automatische antwoord heb ik alvast binnen (“We will review and take appropriate action”). Daarmee heb ik in ieder geval een e-mailadres te pakken en het is niet eens een noreply-adres.
 
En in de grote boze buitenwereld …
 
... blijft ransomware een groot gevaar. Het Amerikaanse US-CERT en het Canadese CCIRC hebben deze alert samengesteld om nog eens te beschrijven wat het is en hoe je je kunt beschermen.
https://www.us-cert.gov/ncas/alerts/TA16-091A
... is momenteel een massale ransomware-campagne aan de gang.
https://www.grahamcluley.com/2016/07/careful-inbox-massive-locky-ransomware-campaign-underway/
... komt er misschien wel een middel tegen alle ransomware.
http://www.theregister.co.uk/2016/07/12/ransomware_defeated/
 
... denk je misschien dat je niets te verbergen hebt, maar ondertussen moet je wel alles beschermen. Een VPN kan je daarbij helpen. [Dit is een reclamefilmpje van F-Secure, maar omdat Mikko Hyppönen aan het woord komt, is het toch zeer informatief.]
https://www.youtube.com/watch?v=DbXlQJ0HIpg
 
 
... is behavioural targeting een reden om bovenstaand filmpje serieus te nemen.
http://www.emerce.nl/achtergrond/behavioural-targeting-pseudonieme-gegevens-wel-zo-onschuldig
 
... kleven er een paar beveiligingsrisico's aan 3D-printen.
https://www.helpnetsecurity.com/2016/07/13/3d-printing-risks/
 
... heeft de Europese Commissie het Privacy Shield geaccordeerd.
http://europa.eu/rapid/press-release_IP-16-2461_en.htm
 
... lees je in dit opiniestuk van Max Schrems, die eerder de Free Harbour-afspraken tussen de EU en de VS wist te torpederen en Jan-Philipp Albrecht, lid van het Europees Parlement voor de Groenen, wat zij vinden van het Privacy Shield. (Dat dit artikel verschenen is in de Irish Times is niet geheel toevallig: Schrems had een zaak tegen Facebook aangespannen, dat zijn Europese vertegenwoordiging in Dublin heeft. Als gevolg van deze zaak veegde uiteindelijk het Europese Hof van Justitie Safe Harbour van tafel.)
http://www.irishtimes.com/opinion/privacy-shield-the-new-eu-rules-on-transatlantic-data-sharing-will-not-protect-you-1.2719018
 
... kun je het Schrems zelf horen zeggen in dit filmpje. Hij wordt hier geïnterviewd door Albrecht.
https://youtu.be/swj-Zmgps8I
 
 
... kun je geld verdienen door beveiligingsbugs in auto's te vinden.
https://www.helpnetsecurity.com/2016/07/13/fiat-chrysler-automobiles-bug-bounty/
 
... moet een Amerikaanse gezondheidsinstelling $ 650.000 boete betalen vanwege de diefstal van een mobiel apparaat dat medische gegevens van 412 patiënten bevatte.
http://blogs.csc.com/2016/07/07/theft-of-employee-iphone-results-in-650000-hipaa-fine
 
Gepost door op Geen opmerkingen:
Labels: , , , ,

vrijdag 8 juli 2016

Instant messaging


Het rommelt een beetje in de wereld van instant messaging. WhatsApp is daar de onbetwiste leider, maar er is onbehagen. "Huh? Het werkt toch prima?", denk je nu misschien. Ja, dat klopt. Maar er zijn wat kanttekeningen bij de beveiliging te plaatsen. WhatsApp heeft onlangs een flinke stap voorwaarts gezet met de beveiliging van zijn dienst. Alle communicatie is nu versleuteld. Iemand die de boodschap onderschept, kan haar niet lezen. Ook WhatsApp kan het passerende verkeer niet lezen. Dus wat zeur ik nou?
 
Bij versleuteling horen sleutels. En wie heeft de sleutels van jouw berichtuitwisseling? Jij en je gesprekspartner, keurig asymmetrisch, met elk een setje bestaande uit een publieke en een geheime sleutel. Bovendien wordt voor ieder contact een unieke sleutel gebruikt, zodat áls iemand een sleutel weet te achterhalen niet meteen alles open en bloot ligt. Bovendien past WhatsApp open source software toe en die wordt over het algemeen als veiliger (want controleerbaar) beschouwd dan gesloten software. Een vet groen vinkje dus.
 
WhatsApp biedt een optie om een back-up op te slaan in Google Drive of de iCloud. En daar zit het addertje: die back-up is niet versleuteld. Omdat deze optie het mogelijk maakt om je berichten naar je volgende telefoon over te hevelen, zijn er ongetwijfeld mensen die de optie aanzetten. En al heb je dat zelf niet, dan zorgen zij er wel voor dat tenminste een deel van jouw berichten onversleuteld in de cloud kom te staan. Rood kruis!
 
Nou en? Het hangt natuurlijk van de inhoud en de context af hoe erg dat allemaal is. Voor privégebruik is het allicht niet zo spannend, tenzij er pikanterieën in het spel zijn. WhatsApp wordt echter in toenemende mate zakelijk toegepast. Er zijn voorbeelden bekend van artsen die even een foto van een stuk patiënt naar een collega appen voor een second opinion, of van opsporingsambtenaren die via WhatsApp bij een collega informeren naar de wettelijke status van een gefotografeerd voorwerp. De meegestuurde tekst zou zo’n plaatje wel eens extra spannend kunnen maken. Met dat soort dingen moet je toch uitkijken, hoe goedbedoeld de acties ook zijn.
 
Sceptici voeren ook aan dat WhatsApp tegenwoordig tot het Facebook-imperium hoort, een bedrijf dat niet heel hoog staat aangeschreven als het om privacy gaat. Mede daarom gebruiken ze liever alternatieve messenger apps als Threema, Signal of Telegram. Die eerste schermt niet alleen met zijn Zwitserse onafhankelijkheid, maar ook met end-to-end encryptie (zoals hierboven beschreven bij WhatsApp), anonimiteit en het minimaliseren van metadata – data over de uitgewisselde berichten. Metadata zijn belangrijk, want zij verschaffen inzicht in wie wanneer met wie communiceert. De NSA doet daar bijvoorbeeld heel veel mee. En op het gebied van metadata heeft WhatsApp ook een minpunt: zij verzamelen ze, doen er ongetwijfeld een paar marketingkunstjes mee en staan ze waarschijnlijk ook wel af aan opsporingsdiensten als die erom vragen.
 
Signal scoort ook veel punten en heeft op zijn homepage citaten staan van grootheden als Edward Snowden (die ken je), Bruce Schneier (een Amerikaanse beveiligingsgoeroe) en Matt Green (cryptograaf aan de Johns Hopkins University). Bovendien staat hun ontwikkelaar Moxie Marlinspike hoog aangeschreven in de community. Concurrent Telegram belooft dat je berichten "heavily encrypted" zijn, een zelfvernietigingsmechanisme hebben en je tegen hackers beschermen. Een paar jaar geleden loofden ze $ 200.000 uit voor degene die Telegram zou kraken. Dat geld hoefden ze niet uit te keren. Vorig jaar werd het prijzengeld met een ton verhoogd en de opdracht werd gemakkelijker gemaakt. Ook nu werd daar niemand rijk van.
 
Zoals altijd geldt ook hier dat je je moet laten leiden door een risico-afweging. Houd er ook rekening mee in hoeverre je een doelwit voor een gerichte aanval zou kunnen zijn – beschik je over informatie die voor anderen dusdanig interessant zou kunnen zijn dat ze gericht proberen om jouw communicatie te onderscheppen? Instant messaging gebeurt in de cloud, dus op andermans computers. Dat is een belangrijk aandachtspunt.
 
Voorstanders van alternatieve apps lopen steeds tegen hetzelfde probleem aan: iedereen zit op WhatsApp en ze hebben geen zin om er een tweede app op na te houden omdat jij dat graag wilt. Vooralsnog weten de kleintjes geen kritieke massa te bereiken. Ter vergelijking: WhatsApp heeft een miljard actieve gebruikers, Facebook Messenger (!) 900 miljoen en Telegram toch nog 100 miljoen. Threema en Signal worden op de Amerikaanse marketingsite* waar deze cijfers vandaan komen niet eens genoemd, elders heb ik geen actuele cijfers gevonden.
 
Rest organisaties die besluiten om WhatsApp te wantrouwen één optie: een ander systeem verplicht stellen voor zakelijk gebruik. Of teruggrijpen op SMS.
 
 
En in de grote boze buitenwereld …
 
... moet je zelf ook nog aan de bak om Signal echt veilig te kunnen gebruiken.
https://theintercept.com/2016/07/02/security-tips-every-signal-user-should-know/
 
... kunnen metadata ook bedrog aan het licht brengen.
https://www.grahamcluley.com/2016/07/huawei-learns-photo-meta-data-bite-bum/
 
 
... wordt jouw telefoon – en dus jij – gevolgd terwijl je winkelt. Hoe fout is dat eigenlijk?
http://blog.iusmentis.com/2016/06/27/huh-grote-steden-word-telefoon-gevolgd
 
 
... neemt het risico op financiële cybercrime toe, zegt het CPB.
http://www.cpb.nl/persbericht/risico-op-financiele-cybercrime-neemt-toe
 
... heb je deze kennis en eigenschappen nodig om penetratietester te worden.
http://www.darkreading.com/careers-and-people/so-you-want-to-be-a-penetration-tester/d/d-id/1326163
 
 
 
... snapt minister Kamp eindelijk dat hij zijn privémail niet zakelijk moet gebruiken. Maar hij is niet de enige bewindspersoon die achterloopt op het gebied van beveiligingsbewustzijn.
http://www.volkskrant.nl/binnenland/meer-nederlandse-ministers-gebruiken-prive-mail-voor-zakelijke-doeleinden~a4334700
 
... leek Hillary Clinton in een soortgelijke affaire met de hakken over de sloot aan vervolging te ontkomen. Maar nu heeft 'haar' ministerie van Buitenlandse zaken het interne onderzoek heropend.
http://blogs.wsj.com/washwire/2016/07/05/no-charges-are-appropriate-statement-by-fbi-director-comey-on-clinton-email-probe/
http://www.bbc.com/news/election-us-2016-36742095
 
... moeten werkgevers en werknemers onderling afspreken wat wel en niet naar huis mag worden gemaild.
https://ictrecht.nl/arbeidsrecht/mag-een-werknemer-gevoelige-bedrijfsinformatie-naar-zijn-prive-emailadres-sturen
 
... kun je de initiële wachtwoorden van wifi-routers – die vaak ongewijzigd blijven – gewoon berekenen.
https://www.dancvrcek.com/hacking-wifi-passwords-a-randomness-problem/
 
... geeft de politie op scholen voorlichting over kinderporno en social media.
https://www.om.nl/onderwerpen/kinderporno/@93272/kennen-jullie/
 
... vergroot het vermelden van het BSN op het paspoort de kans op identiteitsfraude niet, aldus de minister van Veiligheid en Justitie. Ondertussen promoot zijn collega van BZK al jaren een app waarmee je een geschoonde scan van je reisdocument kunt maken.
https://www.security.nl/posting/477111/Minister%3A+BSN+op+paspoort+vergroot+risico+id-fraude+niet
https://www.rijksoverheid.nl/onderwerpen/identiteitsfraude/vraag-en-antwoord/veilige-kopie-identiteitsbewijs
 
... is het nieuwste spotje van Centraal Beheer allesbehalve fictie.
https://www.security.nl/posting/477192/Smartphones+kwetsbaar+voor+verborgen+stemopdrachten
 
Gepost door op Geen opmerkingen:
Labels: , , , , , , , , ,

vrijdag 1 juli 2016

Gekantelde kippen



Onlangs had ik een afspraak vanwege het eerste lustrum van de interne Security (b)log, om half negen ’s ochtends. Mijn gesprekspartner kwam te laat. Eén van de oorzaken: een gekanteld kippentransport. Ik ben nogal visueel ingesteld en zie dat tafereel dan ook onmiddellijk voor mijn geestesoog: overal kippenbloed op het zwarte asfalt, ontredderd rondlopend overlevend pluimvee tussen de verenchaos, auto’s die vooraan in de file staan en de ruitenwissers aanzetten om hun besmeurde voorruiten schoon te vegen. Dat soort dingen. “Misschien kun je dat ongeluk wel in je blog verwerken”, zei hij nog.

Hoe koppel je gekantelde kippen aan security? Zou dit als metafoor voor het een of ander kunnen dienen? Laten we eens naar oorzaak en gevolg kijken. Ik vond een studie van de Stichting Wetenschappelijk Onderzoek Verkeersveiligheid (SWOV) uit 1997 die in de samenvatting het volgende stelt:

Uit de literatuur over het kantelmechanisme bij vrachtwagens komt naar voren dat vrachtwagens voornamelijk problemen met kantelen ondervinden als zij een hoog zwaartepunt hebben (volle belading) en dan of met hoge snelheid door bochten rijden, of plotseling moeten uitwijken. De problemen nemen bovendien toe als de voertuigen geleed zijn, een groot aangrijpingsvlak voor dwarswind hebben, en een minder goed afgestemd remsysteem.

Bij de factoren die bij kantelen een rol spelen, zijn 'hoge snelheid', 'ontwijken' en 'bochten' oververtegenwoordigd. Ook harde wind is een belangrijke oorzaak van kantelen. Bij voertuigen met gevaarlijke stoffen is de kans op vervolgschade groot. 

Acht jaar later kwam een quick scan van de Stichting Incident Management Vrachtauto's (STIMVA)  tot de volgende conclusie:

Een groot deel (59%) van de oorzaken van vrachtauto-ongevallen wordt in de CMV dossiers beschreven als zijnde een handelingen en/of de toestand van de vrachtautochauffeur. Dit wordt min of meer ondersteund door het feit dat 67% van de gekantelde vrachtauto’s op een rechte weg kantelt (waarom de chauffeur zo handelde wordt echter niet duidelijk uit de dossiers).

Het oudere rapport heeft het dus over mechanica, het nieuwere stuk – dat niet specifiek over kantelen gaat maar over ongevallen in het algemeen – kijkt vooral naar de chauffeur.

Wat kantelkippen voor de snelweg zijn, dat zijn beveiligingsincidenten voor de ICT. De geplette kippen komen bijvoorbeeld overeen met vernietigde gegevens, de loslopende kippen zijn bedrijfsgegevens die zich op een plek bevinden waar ze niet zouden moeten zijn, bijvoorbeeld in handen van hackers.

Het is logisch dat een vrachtwagen met een hoog zwaartepunt gemakkelijker kantelt. Dat hoge zwaartepunt vertaalt zich voor ons in de 'hoge' gevoeligheid van gegevens: gegevens die een hogere waarde hebben in termen van beschikbaarheid, integriteit of vertrouwelijkheid gaan gepaard met een hoger risico bij ongelukken – de impact is sowieso groter, en misschien ook wel de kans dát er iets gebeurt, als het gaat om gegevens die een derde misschien zou willen hebben. Het risico berekenen we nog steeds uit kans maal impact.

Dat een vrachtauto die te snel een bocht in rijdt of plotseling uitwijkt gemakkelijker kantelt dan eentje die op z'n dooie akkertje binnen de bebouwde kom rijdt, is ook begrijpelijk. ICT-projecten gaan ook wel eens te snel. Er is dan – nee, men néémt dan geen tijd om de beveiliging goed in te richten. Als je informatiebeveiliging niet van begin af aan mee-ontwerpt, dan komt het nooit meer helemaal goed.

Als we het over “handelingen en/of de toestand van de chauffeur” hebben, dan denk ik aan zaken als spelen met de telefoon, vermoeid- en gezondheid en dronkenschap. Dat zijn geen dingen die een prominente rol spelen bij beveiligingsincidenten. Andersoortige handelingen of nagelaten handelingen zijn echter juist heel vaak aanleiding voor gekanteld verkeer op de digitale snelweg. Ondoordacht gebruik van vreemde USB-sticks, downloads uit foute bronnen, het negeren van voorschriften, het afdoen van het aspect beveiliging als non-functional requirement en die term vervolgens vertalen in ‘niet belangrijk’ voor het project – het zijn slechts voorbeelden.

Aan die chauffeur kan ik iets doen door hem bewust te maken van bepaalde risico’s. Het hoge zwaartepunt (van bepaalde gegevens) kun je niet veranderen, maar als je je er bewust van bent, dan kun je voorzichtiger rijden en soms misschien een andere route kiezen.

En in de grote boze buitenwereld …

... bevat de komende update van het jarige Windows 10 verbeteringen op beveiligingsgebied.

... zijn miljoenen Android-telefoons besmet met een Trojaans paard.

... willen phishers je met onscherpe afbeeldingen verleiden tot het prijsgeven van je wachtwoord.

... zijn de EU en de VS het eens over een nieuwe versie van het Privacy Shield. We weten helaas nog niet welke wijzigingen zijn verwerkt.

... gaan de Amerikaanse autoriteiten straks jouw social media-accounts bekijken als je hun land wilt bezoeken.

... ontwikkelt Apple technologie waarmee het maken van opnames met een iPhone in 'verboden gebieden', bijvoorbeeld tijdens een concert, kan worden geblokkeerd.

... kun je een vingerafdrukprothese gebruiken om bij biometrische toegangssystemen niet je echte vingerafdruk achter te hoeven laten.

... wil het Cloud Signature Consortium een nieuwe, open standaard voor digitale handtekeningen in het leven roepen. Het toepassen van digitale handtekeningen moet gemakkelijker worden.

... waarschuwt deze kennelijk goedaardige ransomware voor het ondoordacht downloaden van "random shit".

... moet ransomware natuurlijk ook gebètatest worden.

... heeft de Brexit gevolgen voor ICT-contracten en dan vooral als het om het verwerken van persoonsgegevens gaat.

... haalt Google de SMS-code uit de tweefactorauthenticatie.

... zijn veel mensen zich niet bewust van de risico's van 'onbekende vrienden' op social media.

 

Gepost door op Geen opmerkingen:
Labels: , , , , ,
Abonneren op: Posts (Atom)