vrijdag 24 februari 2017

Verkiezingen

Op 15 maart mogen we naar de stembus. Hoeveel aandacht zouden de politieke partijen schenken aan informatiebeveiliging en privacy? Ik heb de meeste verkiezingsprogramma’s tegen het licht gehouden en ik moet zeggen: de onderwerpen krijgen – zij het lang niet overal – aardig wat aandacht. Overigens nooit onder de noemer ‘informatiebeveiliging’; meestal gebruiken ze iets met ‘cyber’ erin. Ik beschrijf wat ik gevonden heb in een volgorde zonder persoonlijke voorkeur.

Het is een langere blog dan gebruikelijk. Daar zijn twee oorzaken voor: er doen maar liefst 28 partijen mee aan de Tweede Kamerverkiezingen en ik wil niemand tekort doen. Voor de gehaaste lezer wil ik wel alvast verklappen welke thema’s in meerdere programma’s terugkomen. Veel partijen zetten in op onderwijs, enerzijds om mensen weerbaar te maken, anderzijds om meer specialisten te kweken. Een vaak gehoorde wens is het versterken van de Autoriteit Persoonsgegevens, onze privacy-waakhond. Privacy krijgt trouwens vaker en meer aandacht dan cybersecurity, dat soms nadrukkelijk in een militaire context wordt gezien. Privacy by design kwam ook een paar keer langs: niet achteraf tegen privacy aanlopen, maar het bewust in producten en diensten inbouwen. Nogal wat partijen vinden dat de overheid de privacy van burgers moet beschermen en die slechts onder strikte voorwaarden mag schenden, hoewel andere partijen juist vinden dat minder privacy in ruil voor meer veiligheid ook moet kunnen. Politie en justitie moeten volgens diverse partijen worden versterkt om cybercrime het hoofd te bieden.

Het CDA rept van de noodzaak om een forse inhaalslag te maken op het gebied van cybersecurity en verwijst daarbij naar de “donkere hoeken van het internet” waar criminelen vrijelijk hun gang kunnen gaan. De partij wil ruimere hack- en tapbevoegdheden voor politie en justitie. Bij deze instanties moet ook extra capaciteit en deskundigheid terechtkomen. Wraakporno moet strafbaar gesteld worden. En er moeten nieuwe wetten komen die online burgers en hun persoonlijke informatie beter beschermen.

In het programma van de PvdA komt éénmaal het woord cyberterreur voor. De partij wil nieuwe technologie toepassen om criminelen te bestrijden en ze wil investeren in de opleiding en kennis van politieagenten. Over privacy heeft deze partij een uitgebreidere mening genoteerd. Gepleit wordt voor verantwoorde omgang met big data, zowel bij overheid als bedrijfsleven. Dat houdt in dat je er gebruik van moet maken ten behoeve van bijvoorbeeld opsporing, gezondheidszorg en onderwijs, maar dat je daarbij “de risico’s voor privacy en dataveiligheid” niet uit het oog mag verliezen.

De VVD wil cybercrime opsporen, strenger bestraffen en voorkomen. Dat willen ze bereiken met voorlichting over veilig internetgebruik en het inzetten van gespecialiseerde teams van politie en justitie en in nauwe samenwerking met banken en bedrijven. Daarnaast wil de partij het aantal cyberprofessionals bij Defensie uitbreiden. Zij moeten voorkomen dat Nederland wordt platgelegd met een cyberaanval door criminelen, terroristen of vijandige landen. Om de privacy te beschermen wil de VVD technische garanties en heldere regels. Zo moet al bij de bouw van systemen en databases de privacy-impact duidelijk zijn. Voor criminaliteits- en terrorismebestrijding mag de privacy “bij gerichte opsporingsactiviteiten” geschonden worden.

Bij D66 vond ik alleen informatie over privacy. De overheid mag van hen niet zomaar informatie over “haar inwoners” verzamelen. Er zijn maatregelen nodig om mensen te beschermen tegen buitensporige inmenging in hun privéleven, juist als de mensen zeggen dat ze niets te verbergen hebben. Privacybescherming door de overheid verdient volgens deze partij “meer ambitie en urgentie”.

Ook de SP vindt privacy belangrijk. Zij wil de Autoriteit Persoonsgegevens versterken zodat die “beter kan optreden wanneer de privacy van mensen in het geding is”. De AIVD mag niet ongericht gegevens over burgers verzamelen. Overheden en bedrijven mogen persoonsgegevens alleen met uitdrukkelijke toestemming van de betrokkene doorgeven. De jeugd moet zich bewust worden van de risico’s van het internet en daartoe wil de partij investeren in lerarenopleidingen en docentennascholing. E-mails, persoonlijke berichten en andere privécommunicatie op het internet moeten dezelfde (grondwettelijke) bescherming krijgen als de papieren post nu heeft.

“Het briefgeheim van de 21e eeuw”, zo noemt GroenLinks dat. Ook deze partij noemt expliciet privacy by design (al noemen ze het zelf niet zo). De overheid moet toezien “op een veilig en privacy-vriendelijk ontwerp van apparaten die met het internet verbonden zijn en op bescherming van persoonsgegevens die via het internet der dingen worden verzameld.” Bovendien moeten persoonsgegevens in Nederland worden opgeslagen en wil ook deze partij de Autoriteit Persoonsgegevens versterken. Over cybersecurity zeggen ze alleen dat het internet moet worden beschermd tegen misbruik en criminaliteit en dat de overheid daarin moet investeren. Diezelfde overheid moet eisen stellen aan bedrijven en organisaties.

De derde partij die privacy by design voorstaat, is de Partij voor de Dieren. Ze willen dat bedrijven en overheden verplicht worden om datalekken te melden (maar dat is al zo). De partij wil allerlei regels, die de privacy aantasten,
afschaffen: de bewaarplicht voor telefoon- en internetgegevens, het doorgeven van passagiersgegevens aan de VS, vingerafdrukken in reisdocumenten. Het woord ‘cybersecurity’ komt bij de PvdD alleen in beeld wanneer ze uitleggen dat je dat niet bereikt met het schenden van grondrechten.

De SGP vindt ‘cyberveiligheid’ van het allergrootste belang omdat we steeds afhankelijker worden van kwetsbare systemen. De partij wil daar extra geld voor uittrekken. Privacy mag van hen de noodzakelijke veiligheidsmaatregelen niet doorkruisen, al wordt het recht op bescherming van ons privéleven “tegen een al te opdringerige overheid, ‘nieuwsgierige’ bedrijven en anderen die in willen breken in andermans doen en laten” erkend. Het onderwijs moet onze ‘mediawijsheid’ bevorderen, bijvoorbeeld als het gaat om het online zetten van onze persoonlijke gegevens. De overheid moet haar websites beter beveiligen en persoonlijke gegevens alleen opslaan als dat noodzakelijk is. “Dat geldt in het bijzonder voor de bescherming van persoonsgegevens via DigiD”, voegt de partij hieraan toe, maar dat snap ik niet.

De ChristenUnie ageert tegen de stelling “ik heb niets te verbergen” omdat behoefte aan privacy inherent is aan het ‘mens-zijn’. De partij wil de kansen van big data benutten, maar wijst nadrukkelijk op de risico’s die hieraan kleven.  De overheid moet een expertisecentrum inrichten waar burgers en bedrijven terecht kunnen met vragen over (big) data en privacybescherming en de Autoriteit Persoonsgegevens moet de bevoegdheid en de middelen krijgen om gegevensverwerking en analysemethoden van de overheid te controleren. Start-ups in de cybersecuritysector wil deze partij fiscaal stimuleren.

Bij 50PLUS vindt men dat privacy gewaarborgd moet zijn. Het “ongelimiteerd nagaan van de gangen van burgers door de overheid, veelal met een beroep op veiligheid” kan op een kritische houding van deze partij rekenen.

Bij de PVV en GeenPeil heb ik de termen cyber, security, veiligheid, privacy en informatiebeveiliging niet gevonden.
Inmiddels zijn we bij de wat minder bekende en/of nieuwe partijen aanbeland. Maar dat wil niet zeggen dat het daar stil is als het over informatiebeveiliging en privacy gaat. Integendeel zelfs: sommige van deze partijen hebben uitgebreide standpunten op deze terreinen beschreven.

DENK wil bijvoorbeeld een versterkte aanpak van cybercrime omdat “men” verwacht dat de helft van alle misdaden in 2021 cybercrimes zijn. De partij zet vooral in op weerbaarheid. Hierin past ook een versterking van de Autoriteit Persoonsgegevens. Het onderwijs moet meer cybersecurityspecialisten afleveren en er moeten strenge minimum standaarden voor iedere gegevensverwerker komen.

Ook Nieuwe Wegen zet in op het snel inlopen van de achterstand op het gebied van cybercrime omdat dit voor criminelen de groeimarkt van de toekomst vormt. Er moeten meer specialisten bij politie en Openbaar Ministerie komen en Nederland moet investeren in cyberoorlogvoering.

Voor Nederland (partijnaam) wil eveneens meer geld voor cyberwarfare, maar ook voor speciale eenheden en robotisering. Daarnaast willen ze “meer aandacht” voor de bestrijding van cybercrime en de privacy “zoveel mogelijk waarborgen”.

Het Forum voor Democratie houdt het kort op zijn pagina met de titel Internet & Privacy: “waarborgen privacy”.

De Burger Beweging vindt vrijheid “een belangrijk punt” en zegt dat recht op privacy daar een belangrijk onderdeel van is. Ze zijn tegen het voor lange tijd opslaan van “alle telefoongesprekken en email” (telefoongesprekken worden, voor zover mij bekend, niet opgeslagen; alleen de metagegevens (wie belt wanneer waarheen)).

De Vrijzinnige Partij vindt dat de privacy van het individu volledig ondermijnd is en dat mensen weer eigenaar moeten worden van hun eigen domein – inclusief de digitale variant ervan. Niet de overheid moet de burgers in de gaten houden, maar andersom. Daarnaast willen ze “The Dark Web ontsluiten” (snap ik niet, bedoelen ze soms afsluiten?). De overheid moet “hacking, phishing, malware, spyware en ransomeware” (sic) bestrijden. Het internet der dingen is leuk, maar daar horen strikte privacybeschermingseisen bij.

De Piratenpartij is de laatste op mijn lijstje en heeft – niet geheel onverwacht – het nodige te melden op het gebied van security en privacy. Net als DENK voert deze partij aan dat in 2021 de helft van alle criminaliteit online plaatsvindt (maar nu met bronvermelding: het Openbaar Ministerie). Bestrijding van cybercrime moet dan ook  een hoge prioriteit krijgen. Niet alleen moet het Team High Tech Crime van de politie worden versterkt, maar álle agenten moeten op dit terrein worden bijgespijkerd. Deze partij snijdt als enige het thema identiteitsfraude aan. Ze willen meer expertise en betere begeleiding van slachtoffers. Het BSN moet beveiligd worden met tweefactor-authenticatie om misbruik door derden tegen te gaan. De Piratenpartij spreekt zich uit tegen crypto-achterdeurtjes en ook tegen het invoeren van een decryptieverplichting. En ze gaan nog een forse stap verder: er moet een staatssecretaris Gegevensbescherming komen op het nieuwe ministerie van Digitale Infrastructuur. Hij moet, samen met de Autoriteit Persoonsgegevens, over de uitvoering van de Wet Bescherming Persoonsgegevens en de Europese Privacy Richtlijn waken. Het Nationaal Cyber Security Center verhuist naar dit ministerie. En tenslotte moet er volgens deze partij een beloningssysteem komen voor het melden van kwetsbaarheden rondom persoonlijke gegevens bij de overheid.

Zo, dat waren twee pagina’s partijprogramma’s over slechts twee onderwerpen. En nee, ik laat mijn eigen keus niet bepalen door hetgeen hierboven staat. Er zijn genoeg andere thema’s die ook belangrijk zijn.

En in de grote boze buitenwereld …


... verbiedt de EU straks screen scraping, het 'lezen' van een computerscherm door een programma om zo gegevens te vergaren.
https://www.out-law.com/en/articles/2017/february/screen-scraping-to-be-prohibited-under-psd2

... doet deze ransomware voor macOS zich voor als tool om software te kraken.
https://www.helpnetsecurity.com/2017/02/23/macos-ransomware-filecoder/

... kan iedereen voor relatief weinig geld spionagesoftware voor smartphones aanschaffen.
https://motherboard.vice.com/en_us/article/i-tracked-myself-with-dollar170-smartphone-spyware-that-anyone-can-buy

... kun je smartphones gebruiken voor medisch onderzoek op afstand. Het artikel staat gemakshalve niet stil bij het aspect beveiliging.
http://www.telegraph.co.uk/news/2017/02/18/smartphones-become-pocket-doctors-scientists-discover-camera/

... is niet iedere telefoonlader een veilige lader.
http://linkis.com/digitaltrends.com/EsT1o

... kunnen air-gapped computers data lekken via het lampje van de harde schijf.
https://www.security.nl/posting/504870/Malware+steelt+data+van+offline+computer+via+harde+schijflampje

... surveilleert de politie ook op het internet. Maar ze komen je in real life ophalen als daar aanleiding toe is.
https://www.politie.nl/nieuws/2017/februari/22/04-aanhouding-jonge-edammer-door-internetsurveillance.html

... oordeelde de Hoge Raad dat de Belastingdienst geen gebruik mag maken van snelwegcamera's om rittenadministraties te controleren.
https://www.security.nl/posting/505112/Belastingdienst+mag+foto%27s+snelwegcamera%27s+niet+gebruiken
Gepost door op Geen opmerkingen:
Labels: , , , , ,

vrijdag 17 februari 2017

UTM-codes

[De Security (b)log van deze week leent zich niet voor externe publicatie. Daarom deze week hier een nog niet eerder extern gepubliceerde aflevering uit 2016. De rubriek Grote boze buitenwereld komt wél uit de actuele Security (b)log.]

Bij het samenstellen van de rubriek Grote boze buitenwereld plak ik de URL's uit de adresbalk van de browser in de tekst. Het valt op dat er soms erg lange URL's tussen staan en als je daar dan beter naar kijkt zie je er bijvoorbeeld "twitter" tussen staan. Hé, wat doet dat daar? Houden ze soms in de gaten waar ik vandaan kom? Tijd voor nader onderzoek.

We hebben hier te maken met zogenaamde UTM-codes, -parameters of -tags (Urchin Traffic Monitor). Ze zijn ontwikkeld door Urchin Software Corporation, dat een gestileerde zee-egel als logo voerde. En '(sea) urchin' betekent inderdaad zee-egel. Het bedrijf werd in 2005 overgenomen door Google en omgedoopt in Google Analytics. Met deze wetenschap komen we al een stuk dichter bij de kern van de zaak.

De 'TM' in UTM verklapt al waar het om gaat: het monitoren van verkeer. UTM-codes geven de maker van een URL antwoord op de vraag hoe de bezoeker op een webpagina is terechtgekomen, en waarom. Het is dus een marketinginstrument. Als je googlet op UTM, dan kom je vooral op sites terecht die uitleggen hoe je de codes optimaal in een marketingcampagne kunt inzetten.

UTM bestaat uit een bescheiden set parameters; het zijn er maar vijf:
  •          utm_source geeft aan waar het verkeer vandaan komt, bijvoorbeeld Google of Twitter;
  •          utm_medium verklapt het type link, bijvoorbeeld cost per click of e-mail;
  •          met utm_campaign kan de eigenaar de naam van zijn marketingcampagne meegeven, bijvoorbeeld sale;
  •          in utm_term kunnen de zoektermen van de gebruiker worden opgenomen;
  •          utm_content bevat speficieke informatie over waar de gebruiker precies op heeft geklikt, bijvoorbeeld op een banner.

Vanuit marketingoogpunt kan ik me goed voorstellen dat dit interessante informatie oplevert: meten is weten. Maar hoe zit het met de privacy? Op de site van de Autoriteit Persoonsgegevens (voorheen College Bescherming Persoonsgegevens) levert de zoekterm 'UTM' niets op, maar ze hebben wel een mening over Google Analytics: "Gebruikt u Google Analytics, dan verwerkt u met analytische cookies persoonsgegevens van uw websitebezoekers." De AP heeft zelfs een gedetailleerde Handleiding privacyvriendelijk instellen van Google Analytics opgesteld. Eerste aandachtspunt daarin is dat je een bewerkersovereenkomst met Google moet sluiten, hetgeen uit de Wet bescherming persoonsgegevens voortvloeit. Dat kost je overigens slechts een paar muisklikken.

Maar goed, dit was even een uitstapje naar tracking cookies. Over UTM-codes in relatie tot beveiliging en privacy is niets te vinden op het web. Toch voelt het niet helemaal comfortabel. Ik wil graag ongezien ergens naar binnen kunnen glippen, zonder dat 'ze' weten waar in vandaan kom. Maar hoe graag wil ik dat? Het betekent dat ik niet meer gewoon op links kan klikken, maar een URL via knippen en plakken naar de adresbalk van de browser moet overbrengen en daar de UTM-codes moet verwijderen (of wijzigen…) alvorens te enteren. Dat gaat 'm niet worden vrees ik. Te bewerkelijk. Maar wacht eens even… als ík hierover nadenk, dan heeft iemand anders dat ook vast wel gedaan. En inderdaad: er zijn UTM-killers beschikbaar als browser-extensie of als service op een website. Als ik URL’s in de blog plak, dan verwijder ik de UTM-codes. Deze keer heb ik ter illustratie ook een paar (onklaar gemaakte) URL’s mét codes geplaatst.

Omdat ik Google niet blind vertrouw als ik iets onaardigs over een Google-activiteit probeer te vinden, heb ik ook gezocht met Bing en Duckduckgo. De verschillen waren niet schokkend, al is het aardig om te zien dat ik met Google niet bij de Autoriteit Persoonsgegevens terechtkwam. Misschien heeft dat er toch mee te maken dat ‘urchin’ ook nog andere betekenissen heeft: kwajongen, bengel, straatjongen.

En in de grote boze buitenwereld …

... kijkt men met belangstelling hoe het nu verder gaat bij ons.
https://tweakers.net/nieuws/121277/belastingdienst-start-interne-onderzoeken-naar-mogelijk-beveiligingslek.html
hxxps://tweakers.net/nieuws/121277/belastingdienst-start-interne-onderzoeken-naar-mogelijk-beveiligingslek.html?utm_source=dlvr.it&utm_medium=twitter

... bezorgt de cloud ons nogal wat schaduw-IT waar we niet blij mee zijn.
https://businessinsights.bitdefender.com/shadow-it-cloud-security

... is de NASA een voorbeeld van een organisatie met veel schaduw-IT.
http://www.networkworld.com/article/3167609/security/nasa-has-a-shadow-it-problem.html

... doen veel bedrijven het bij gebrek aan security-kennis wat rustiger aan met hun cloud-adoptie.
https://securingtomorrow.mcafee.com/business/cloud-security/cloud-ubiquity-coming-not-yet
hxxps://securingtomorrow.mcafee.com/business/cloud-security/cloud-ubiquity-coming-not-yet/?utm_content=sf56029221&utm_source=twitter&utm_campaign=Enterprise#sf56029221

... kun je advertenties op Google ook al niet meer vertrouwen.
http://www.zdnet.com/article/malicious-google-ad-pointed-millions-to-fake-windows-support-scam/

... heb je straks meer zicht op door wie een bedrijf jouw gegevens laat verwerken.
https://ictrecht.nl/ictrecht/toestemming-voor-het-inschakelen-van-subbewerkers-onder-de-avg
hxxps://ictrecht.nl/ictrecht/toestemming-voor-het-inschakelen-van-subbewerkers-onder-de-avg/?utm_content=buffer9a2f5&utm_medium=social&utm_source=twitter.com&utm_campaign=buffer

... helpt DMARC tegen spam en phishing.
https://www.helpnetsecurity.com/2017/02/16/cybersecurity-dmarc/

... heeft de Veilige E-mail Coalitie nog allerlei andere standaarden in de aanbieding.
https://www.security.nl/posting/502301/Overheid+en+bedrijven+lanceren+coalitie+voor+veilig+e-mailen

... loopt je privacy gevaar bij de Amerikaanse grens.
https://medium.freecodecamp.com/ill-never-bring-my-phone-on-an-international-flight-again-neither-should-you-e9289cde0e5f#.4r4k1bvtg

... bedenken mensen allerlei trucs om onder de gretige ogen van de Amerikaanse grensbewaking uit te komen.
https://boingboing.net/2017/02/12/how-to-cross-a-us-or-other-b.html

... heeft je iPhone heel wat privacy-instellingen.
https://www.mijnonlineidentiteit.nl/privacy-instellingen-iphone-handleiding/

... hackte de dertienjarige Sem uit Warnsveld zijn school. Dankzij een docent die zijn computer onbeheerd achterliet. Vergrendel je computer!
http://www.omroepgelderland.nl/nieuws/2127831/Sem-13-hackt-eigen-school-Ik-zou-nu-namens-de-leraar-berichten-kunnen-sturen

... doet de Nationale Ombudsman onderzoek naar Mijn Overheid en de Berichtenbox.
https://www.security.nl/posting/503941/Nationale+Ombudsman+start+onderzoek+naar+MijnOverheid

... hebben IT-securitymanagers maar weinig in de melk te brokkelen.
http://cio.nl/security/97038-it-securitymanager-heeft-geen-enkele-autoriteit



Gepost door op Geen opmerkingen:
Labels: , , , , ,

vrijdag 10 februari 2017

Crisis


Op een koude winterdag wilde de auto van mijn vrouw niet starten. Accu leeg. Dat leek gemakkelijk op te lossen: we hebben startkabels en nóg een auto. Ik bracht die andere auto in positie, wilde de startkabels aansluiten en zag dat de auto’s nét niet handig genoeg ten opzichte van elkaar stonden. Auto 2 moest dus nog een tikkie worden verplaatst, waarna de kabels comfortabel konden worden aangesloten. Klaar voor de start. Alleen… doordat auto 2 een paar keer was gestart en er niet echt mee was gereden, was zijn accu inmiddels ook leeg. Daar sta je dan.  De rijkdom van twee neus-aan-neus geparkeerde auto’s en toch een plotseling zeer ingeperkte mobiliteit.

Een hulpdienst optrommelen, was de eerste gedachte. Dat zou zeventig euro kosten, zei de app. En dan heb je eenmalig één auto aan de praat. Een Chinees spreekwoord schoot door mijn hoofd: “Geef een man een vis en hij heeft eten voor één dag. Leer een man vissen en hij heeft eten voor heel zijn leven.” Ik moest zo’n kastje hebben, een jumpstarter. Nu was het zondagmiddag vier uur, maar de dichtstbijzijnde bouwmarkt was nog een uur open én verkocht die dingen. Ik fietste erheen en scoorde het laatste exemplaar. Dankzij de aardige kassajuffrouw kreeg ik ook nog eens twintig procent korting, ondanks dat ik de daarvoor vereiste actiebon niet op zak had.

Het werkte. We waren weer automobiel, zelfs dubbel uitgevoerd. Die winter zouden we nog vaker gebruikmaken van onze jumpstarter, vooral omdat de ene auto doorgaans slechts korte stukken aflegt en de andere zelden wordt gebruikt. Daarbij bleek trouwens dat die tweede toch niet zo happig was op de jumpstarter – hij werd liever door de andere auto gevoed.

Je hebt een bepaalde functionaliteit nodig. Uit capaciteitsoverwegingen heb je besloten om die functionaliteit te verdelen over twee systemen. Omdat je daarnaast oog voor beschikbaarheidseisen hebt, zijn deze systemen zodanig gedimensioneerd dat ze elkaars taken kunnen overnemen indien er een mocht uitvallen. En je beschikt over beheertooling waarmee je een falend systeem weer aan de praat kunt krijgen (de startkabels). Met deze opstelling kom je een heel eind.

De veronderstelling daarbij is dat op enig moment slechts één systeem tegelijk de geest zal geven. Is dat een impliciete of expliciete veronderstelling? Het kan je wel degelijk overkomen dat het uitwijksysteem eveneens niets meer doet. Als je die mogelijkheid impliciet hebt uitgesloten (“Mij kan niets meer gebeuren, ik heb een backup-systeem!”), dan sta je raar te kijken als het tóch gebeurt. Je kunt er maar beter vooraf over nadenken en dan besluiten dat je vooraf geen maatregelen neemt voor deze uitzonderlijke situatie, bijvoorbeeld omdat die maatregelen erg kostbaar zouden zijn (een derde systeem?). Of je besluit dat het systeem zó belangrijk is dat extra maatregelen toch te verantwoorden zijn. Misschien werk je bij de NASA en hangen er mensenlevens van af.

Verkeer je echter niet in die riante positie, dan zul je min of meer moeten improviseren als de dubbele pech toeslaat. Dan moet je misschien de hulp van een leverancier inroepen (de Wegenwacht), of je moet investeren in middelen waarmee je de problemen alsnog zelf kunt verhelpen (de jumpstarter).

Nadat de ellende linksom of rechtsom is verholpen, is het van belang om te evalueren wat er aan de hand was en daar conclusies aan te verbinden. Je moet je de vraag stellen of het waarschijnlijk is dat de foutsituatie zich vaker zal voordoen. Als het antwoord daarop ja luidt, dan zul je maatregelen moeten treffen: groot onderhoud of zelfs vervanging van een of beide systemen. In het voorbeeld van de auto’s betekent dit dat één of beide accu’s moeten worden vervangen.

Momenteel doen beide auto’s het, ondanks de winterse omstandigheden. We zouden ervoor kunnen kiezen om het nog even aan te kijken. Maar iets knaagt in mij: never waste a good crisis.

En in de grote boze buitenwereld …

 ... eist Google van app-ontwikkelaars dat zij zich aan het privacybeleid van Google Play houden én dat zij zelf een privacybeleid hebben.

... gaat Nederland zijn positie als wereldkampioen tappen verstevigen.
http://www.volkskrant.nl/economie/banken-gaan-namen-bij-iban-nummers-checken-om-misverstanden-te-voorkomen~a4459840

... verscheen maar weer eens een verhaal over permissies in Android. Omdat het zo belangrijk is dat iedereen begrijpt wat die permissies betekenen.
https://blog.kaspersky.com/android-permissions-guide/14014/

... zijn tientallen iPhone-apps niet goed beveiligd.
https://hotforsecurity.bitdefender.com/blog/76-popular-iphone-apps-found-wide-open-to-data-interception-attacks-17656.html

... heeft een moderne kruisvaarder een leger van telefoon-bots gebouwd om Windows support scammers het leven zuur te maken.
https://www.businessinsider.nl/telecom-guy-uses-bots-to-foil-microsoft-support-scammers-2017-2/

... loopt er een andere kruistocht tegen hosting-bedrijven die dark websites met kinderporno herbergen.
https://www.grahamcluley.com/anonymous-hacker-took-10000-dark-web-child-abuse-sites/

... moeten vluchtelingen en visumaanvragers uit zeven moslimlanden wellicht hun wachtwoorden van social media-accounts gaan afstaan aan de Amerikaanse immigratiedienst.
https://arstechnica.com/tech-policy/2017/02/us-visitors-may-have-to-reveal-social-media-passwords-to-enter-country/

... is het handig als ouders weten welke gevaren hun kinderen lopen in de online wereld. Zoals sexting.
http://www.bureaujeugdenmedia.nl/ouders-moeten-weten-sexting/

... heeft F-Secure een spannend reclamefilmpje gemaakt (dat ik hier opneem omdat het ons iets leert).
https://www.youtube.com/watch?v=0_ZfuMlNJk8

... deed Rusland pogingen om Nederland te hacken.
Gepost door op 1 opmerking:
Labels: , , , , , ,

vrijdag 3 februari 2017

Datamining

Need to know wordt van oudsher beschouwd als het leidende principe bij het inrichten van het beveiligingsaspect vertrouwelijkheid. Het is een heel eenvoudig principe: je mag alleen die data benaderen die je nodig hebt om je werk te kunnen doen. Een gemeenteambtenaar die bouwvergunningen beoordeelt hoeft geen inzage te hebben in de parkeerbonnen die de aanvrager heeft vergaard. Een vracht-afhandelaar op Schiphol hoeft niet te weten welke passagiers in het vliegtuig zitten waarmee zijn container wordt vervoerd. En de treinconducteur hoeft niet te weten welk bedrijf mijn business card betaalt. Zo simpel is dat.

Althans, in de oude wereld. Maar hoe zit dat in de wereld van de big data? Er is dan sprake van een grote bak gegevens waar slimme analisten informatie van proberen te maken. Je weet dat er een speld in de hooiberg zit, maar hoe vind je die? Waarschijnlijk weten die analisten van tevoren niet welke informatie ze met die gegevens kunnen maken. Ze proberen verbanden tussen gegevens te vinden die je met het blote oog niet ziet. Ze ontwikkelen algoritmes die deze verbanden kunnen leggen.

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Intermezzo
Het verschil tussen data, gegevens en informatie laat zich gemakkelijk uitleggen aan de hand van een voorbeeld. In ’27 april’ vormen de pixels op je beeldscherm of de inkt op het papier waarop je dit leest de data. Jouw interpretatie van die data als datum maken er gegevens van. En als je die datum in de Nederlandse context plaatst en weet dat we dan Koningsdag vieren, dan spreken we van informatie. Helaas is data in het Nederlands ook de meervoudsvorm van datum.
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -

Dat je vooraf niet weet wat je gaat vinden hoeft nog niet te betekenen dat er zomaar in het wilde weg wordt gezocht. Datamining is gebaseerd op wetenschappelijke technieken zoals beslisbomen, neurale netwerken, rule induction en meer. Het is belangrijk om vooraf een hypothese op te stellen en je resultaten daaraan te toetsen.

Datamining is gebaseerd op statistiek. Een gevleugelde uitdrukking luidt: geen grotere leugen dan statistiek. Daarmee wordt bedoeld dat het gemakkelijk is om statistiek zó uit te leggen dat iedereen denkt dat je gelijk hebt. Een bekend voorbeeld hiervan vinden we aan de roulettetafel. De wetten van de statistiek dicteren dat alle getallen een precies even grote kans hebben om aan de beurt te komen. Nogal wat mensen verbinden daar de conclusie aan dat als de negen al een hele poos niet is gevallen, de kans steeds groter wordt dat dit getal binnenkort aan de beurt komt; anders klopt die statistische wet immers niet meer, zo redeneren ze. Daarbij vergeten ze gemakshalve dat statistiek geen geheugen heeft. Bij iedere trekking staat de teller weer op nul en hebben alle nummers dezelfde kans. Casino’s spelen overigens handig in op dit sentiment door boven de tafel een x-aantal laatst gevallen nummers weer te geven. Als je datamining bedrijft is kennis van statistiek onontbeerlijk. Anders ga je dingen geloven die niet kloppen. Overigens speelt de kwaliteit van de data ook een belangrijke rol. Hoe betrouwbaar zijn ze, zijn ze ontdubbeld, actueel, correct en plausibel?

Maar hoe moet dat nou met die vertrouwelijkheid? Betekent need to know dat je alle gegevens mag zien omdat je in potentie alle gegevens kunt gebruiken? Volgens mijn uitleg in de eerste alinea luidt het antwoord ja: als data-analist heb je toegang tot alle gegevens nodig om je werk te kunnen doen. ‘Toegang tot gegevens’ is echter iets anders dan ‘inzage in gegevens’. Als de eigenaren van de brongegevens ervoor zorgen dat de gegevens aan alle kwaliteitseisen voldoen, dan hoeft de analist niet in de brongegevens te neuzen, denk ik. Althans, niet massaal. Hij zal allicht in beperkte mate willen kijken ‘of het allemaal wel klopt’. Maar hij hoeft zijn ruime autorisaties zeker niet te gebruiken om gericht naar bepaalde gegevens te zoeken.

Data-analisten moeten een goed ontwikkeld gevoel voor informatiebeveiliging en ethiek hebben. Dat laatste is nodig omdat we hun gedrag niet kunnen beïnvloeden met technische maatregelen (beperkte autorisaties). Daarom moet de analist begrijpen – voelen – wat wel en niet in de haak is. Vastlegging van zijn activiteiten en de bijbehorende (!) log-analyse moeten helpen bij de naleving van de ethische en beveiligingsnormen. Want de vertrouwelijkheid van de gegevens moet linksom of rechtsom geborgd zijn.

En in de grote boze buitenwereld …

... recruteren cybercriminelen medewerkers van organisaties om gemakkelijk gegevens te kunnen stelen.
http://www.darkreading.com/vulnerabilities---threats/how-cybercriminals-turn-employees-into-rogue-insiders/d/d-id/1328018?_mc=sm_dr&hootPostID=158548bbdeb418fa6f90653251f000a0

... komen er uiteindelijk wel boetes voor datalekken.
https://blog.iusmentis.com/2017/02/01/natuurlijk-komen-er-boetes-op-datalekken-aan

... spreekt Mikko Hyppönen over ethiek in de informatiebeveiliging.
https://www.youtube.com/watch?v=-CXD8qSPDHo

... komt er bij het verwerken van de stemmen voor de Tweede Kamerverkiezingen geen computer meer aan te pas. De Kiesraad is daar niet helemaal blij mee.
http://www.rtlnieuws.nl/nederland/politiek/vrees-voor-hackers-kabinet-schrapt-software-stemmen-tellen-volledig-met-de-hand
https://www.security.nl/posting/502316/Kiesraad+bezorgd+over+uitslag+zonder+verkiezingssoftware

... konden de gasten van een Oostenrijks hotel hun kamers niet in omdat het pasjessysteem met ransomware was aangevallen. Het verhaal dat gasten in hun kamers zaten opgesloten is echter een broodje aap.
http://www.volkskrant.nl/buitenland/oostenrijks-hotel-slachtoffer-van-hackers-gasten-kunnen-kamers-niet-in~a4455849
http://www.theverge.com/2017/1/30/14438226/hackers-austrian-hotel-bitcoin-ransom-ransomware

... is je Netgear-router mogelijk lek.
http://www.welivesecurity.com/2017/01/31/password-stealing-security-hole-discovered-many-netgear-routers/

... gebruiken phishers tegenwoordig ook Whatsapp en sms om contact met je te maken. [Dit bericht gaat over de ING, maar de genoemde werkwijzen werken ook bij andere banken en bedrijven.]
https://www.ing.nl/de-ing/veilig-bankieren/belangrijke-mededelingen/phishers_gebruiken_nieuwe_contact-methoden.html

... kun je met één sms-bericht een Samsung Galaxy om zeep helpen.
https://hotforsecurity.bitdefender.com/blog/how-a-single-sms-can-break-your-samsung-galaxy-android-phone-17585.html

... legt deze animatie uit wat het Tor-netwerk is en hoe het werkt.
https://www.youtube.com/watch?v=JWII85UlzKw

... werken veel VPN-apps voor Android, die voor veilige verbindingen moeten zorgen, niet goed.
https://arstechnica.com/security/2017/01/majority-of-android-vpns-cant-be-trusted-to-make-users-more-secure/

... volgt hier maar nog eens een lijstje van tien tips voor het beveiligen van je LinkedIn-account.
https://heimdalsecurity.com/blog/linkedin-security-privacy-essential-guide

... kun je je alvast schrap zetten voor bewegende beveiligingsmeldingen.
https://www.security.nl/posting/502105/%22Mensen+reageren+beter+op+bewegende+waarschuwingen%22

... slaan overheid en bedrijfsleven de handen ineen om veilige e-mail te bevorderen.
https://www.security.nl/posting/502301/Overheid+en+bedrijven+lanceren+coalitie+voor+veilig+e-mailen
Gepost door op Geen opmerkingen:
Labels: , , , , , ,
Abonneren op: Posts (Atom)