Het Nieuwe Werken - Lekken in cyberspace

In de Justitiële Verkenning ‘Veiligheid in Cyberspace’ van begin maart wordt in het artikel ‘Het lekken van geheimen in Cyberspace’ van J.H. Maat beschreven welke gevolgen ontstaan voor de veilige omgang met vertrouwelijke informatie bij Het Nieuwe Werken. Allereerst legt hij uit hoe rubricering van informatie werkt.

Mooi daarin is het foutief rubriceren van informatie dat leidt tot lekken. Onterecht niet-gerubriceerde informatie wordt onvoldoende beveiligd en is onbedoeld kwetsbaar voor lekken. Te hoog gerubriceerde informatie wordt onterecht te zwaar beveiligd waardoor het ‘te vertrouwelijk’ wordt en daarmee aantrekkelijker om te lekken. Maat geeft aan dat geschat wordt dat 50% - 95% van de informatie onjuist is gerubriceerd   (Lemstra e.a., 2005, p.26-27;Curtin, 2011, p.20).

Bedenk daarbij dat het classificeren van data (rubriceren) zo ongeveer de moeilijkste opgave is binnen security. Vind maar eens een eigenaar die zich eigenaar voelt (en er naar handelt). Vervolgens moet je hem ook nog eens een uitspraak laten doen over de waarde van de informatie. Nee, die classificatie en BIV-coderingen bedenkt de IT-afdeling wel!

Verderop in het artikel van Maat staat aangegeven dat er drie problemen zijn die ten grondslag liggen aan het lekken van vertrouwelijke informatie:

·         Het volume aan vertrouwelijke informatie: er wordt steeds meer informatie digitaal opgeslagen.

·         De toegang tot vertrouwelijke informatie: autorisatie van informatiesystemen blijft een probleem voor veel organisaties.

·         De mobiliteit van vertrouwelijke informatie: verhoogde capaciteit van gegevensdragers en een sterke toename van email en internetgebruik spelen hierbij een rol.

Deze drie basisproblemen zijn volgens Maat eveneens karakteristiek voor Het Nieuwe Werken. En daar sluit ik me volledig bij aan! 


Tijdsonfahankelijk en plaatsonafhankelijk informatieverwerken brengt met zich mee dat organisaties sterk moeten vertrouwen op de kwaliteiten van hun medewerkers. Die moeten in staat zijn om zelfstandig bewust keuzes te maken bij het verwerken van vertrouwelijke informatie buiten kantoorlocaties en buiten kantoortijden. Kortom, ze zullen individueel ‘risicomanagement op de werkplek’ moeten kunnen uitvoeren.

Dit heb ik al beschreven in mijn blogpost ‘Security en Het Nieuwe Werken’.  

Mag vertrouwelijke informatie überhaupt buiten de deur komen? Of maken we gebruik van encrypted USB-sticks om informatie veilig buiten de organisatiegrenzen te kunnen vervoeren? Je ziet dit overigens vaak gebeuren. Er vindt geen classificatie of rubricering van data plaats, maar het transport naar een onveilige locatie wordt beveiligd door gebruik te maken van encrypted USB-sticks. Dat die (vertrouwelijke) informatie vervolgens op een onveilige locatie (Starbucks, thuis, …) op een onveilig systeem (thuis-pc, privé tablet, …) wordt verwerkt, daar wordt aan voorbij gegaan. Kortom, de juiste afweging wordt niet gemaakt in mijn ogen!

Maat geeft verder aan dat ‘veilig faciliteren' mogelijk is. Het opzetten van een private cloud en toepassing van Virtual Desktop Infrastructure kunnen hierbij een positieve rol spelen. Een allesbepalende factor in Het Nieuwe Werken blijft de aandacht voor risico’s bij de medewerkers zelf. Maat geeft dit eveneens aan. Hij spreekt wel over de ‘practical drift’ waarbij de aandacht en de discipline kunnen verslappen en er risicovolle situaties ontstaan. 


Een bijkomende maatregel bestaat in de klokkenluidersregeling waar anoniem misstanden kunnen worden gemeld. Een goede klokkenluiderregeling kan het minder aantrekkelijk maken om misstanden te lekken naar de buitenwereld. Toepassing van het vierogen-principe draagt bij aan een betere classificatie van data.

Zelf ben ik van mening dat het monitoren van gebruikersgedrag een goede maatregel is. Dit moet natuurlijk goed overlegd worden met de medewerkers (OR, privacy, CBP, ‘Goed werken in netwerken’, …). Maar het stelt de organisatie in staat om op basis van terugkoppeling via managers of teamleiders een open gesprek te voeren over verantwoord risicobewust gedrag, gecombineerd met alle voordelen van Het Nieuwe Werken. 


Hierdoor maak je gebruik van een van de basisprincipes van Het Nieuwe Werken: verantwoordelijkheid bij de medewerker. Dat is mooi, dan sla je als Security Officer twee vliegen in één klap: je verdeelt de verantwoordelijkheid voor security organisatiebreed en je maakt aanspraak op afdelingsbudgetten om security bekostigd te krijgen.

Blijf alert! De volgende blogposts wijd ik aan enkele andere artikelen uit de Justitiële Verkenning ‘Veiligheid in Cyberspace’. Geef je op om per email op de hoogte gehouden te worden of volg de blog door je aan te melden in de rechterkolom.

Ik ben overigens zeer benieuwd welke mening jijzelf hebt over security binnen Het Nieuwe Werken! Reageer! Alvast bedankt. 

BYOD artikelen, het lezen waard!

Bring Your Own Device zet de IT-afdeling onder druk. Omarmen en dan van alles verbieden? Of helemaal links laten liggen en laten gebeuren?

Onderstaand enkele artikelen die je helpen bij de keuze.

Verschijningsvormen van BYOD 

Aandachtspunten BYOD op een rij

Android maakt BYOD niet makkelijker

Iedere organisatie zijn eigen app-store

Is BYOD bij jou in de organisatie aan de orde? Volgens mij moet je dan snel beslissen wat je doet: omarmen of verbieden. Het is afwegen van belangen tussen die van de organisatie en die van de individuele medewerker.

Veel leesplezier!

Apps die jouw informatie versturen zonder je toestemming!

Gisteren berichtte ik nog over een onderzoek van de Sunday Times waarin apps vertrouwelijke informatie bleken te versturen naar India en China. Vandaag zijn verschillende organisaties in de Verenigde Staten aangeklaagd voor het distribueren van dit soort apps. Het betreft Facebook, Apple, Twitter, Yelp en 14 andere organisaties. Dit bericht geeft aan dat het ecosysteem rondom appstores onder het vergrootglas ligt. Ik ben ervan overtuigd dat app-whitelists een goede maatregel zijn om dit probleem te adresseren.

De Australische Department of Defence (Intelligence & Security) heeft in 2011 een top 35 maatregelen opgesteld waarmee een groot aantal cyberaanvallen op Australische overheidsinstellingen zijn tegen gehouden. Sterker nog, met de top vier maatregelen zijn in 2010 meer dan 80% van de aanvallen tegengehouden. De top vier maatregelen bestaat uit:

• Patchen van operating systems.
• Patchen van applicaties.
• Beperken van admin rechten.
• Toepassen van applicatie-whitelists.

Als een maatregel als applicatie-whitelists goed werkt in een Windows-omgeving, is het dan een goede maatregel voor smartphones?

Android stelt aardig wat eisen aan de gebruiker als het gaat om security. Apple daarentegen veel minder. Bij Android wordt een gebruiker gevraagd bewust in te stemmen met het toewijzen van allerlei rechten aan nieuwe apps. Dit kan echter doorslaan in het toekennen van teveel rechten. En daar kunnen kwaadaardige apps misbruik van maken zonder dat gebruikers dat door hebben.  

In een onderzoek bij standaard Android smartpones is gebleken dat het permissiemodel door verschillende modellen niet op de juiste manier is geimplementeerd. En daar kunnen kwaadaardige apps vrij eenvoudig misbruik van maken. Gebruikersinformatie wissen, SMS-berichten versturen of ongevraagd gesprekken opnemen behoren tot de mogelijkheden.

App-whitelists bieden hier een goede uitkomst hoewel ze natuurlijk de vrijheid beperken die je de gebruikers bij Bring Your Own Device wilt geven. Een oplossing die hierbij helpt is het afschermen van bepaalde API's zodat alleen goedgekeurde applicaties worden toegelaten. Daarnaast zouden bepaalde apps en signatures van ontwikkelaars op een blacklist gezet kunnen worden. 

Het toepassen van app-whitelists is niet eenvoudig, maar er zijn goede resultaten mee behaald in de Windows-omgeving. Gelukkig ontwikkelen verschillende security vendors betere anti-malware oplossingen voor mobiele apparaten waar ook whitelists tot de mogelijkheden behoren.

Speelt Bring Your Own Device bij jou in de organisatie? Bespreek dit dan vanaf het begin met de gebruikers. Zoek naar de juiste balans tussen individuele gebruikerservaring (onbeperkte functionaliteit) en goede beveiliging (o.a. app-whitelists). Gebruikers zijn in mijn ogen echt aan te spreken op de verantwoordelijkheid die ze hebben bij het verwerken van vertrouwelijke bedrijfsinformatie. Zeker als ze dat doen op hun eigen apparatuur, in hun eigen omgeving en via een provider die ze zelf hebben gekozen.

Ga niet uit van de standaard security van smartphones!

Met meer dan twintig jaar ervaring op het snijvlak van IT en organisatie verbaas ik me elke dag weer over de staat van security binnen organisaties. BYOD brengt de IT-afdeling in verwarring waardoor de rem erop gaat. Security speelt daarbij een belangrijke rol. Dat is terecht, maar het gesprek met de gebruikers moet wel gevoerd worden!

Je data is écht veilig

De Sunday Times heeft 70 apps voor smartphones onderzocht op het verzenden van vertrouwelijke informatie. Door gebruik te maken van  ‘MiddleMan’ is gebleken dat 21 apps vertrouwelijke data verzonden (telefoonnummer, emailadressen, locatiegegevens, smartphone-ID, …). We kijken er natuurlijk niet van op dat gebruikers achteloos de voorwaarden accepteren. Maar de bepalingen voor het verzamelen van allerlei informatie zijn veelal onderin weggestopt door de producent/leverancier van de apps.

Verzamelen van de data is nog tot daar aan toe. Maar de voorwaarden maken niet duidelijk waar die data naartoe gezonden wordt. De Sunday Times geeft aan dat de data onder andere naar China en India gestuurd worden. De European Data Protection Directive geeft aan dat vertrouwelijke data niet naar landen buiten de Europese economische grenzen gestuurd mogen worden. Tenzij die landen er een ‘vergelijkbare’ wet-/regelgeving met betrekking tot privacy  op na houden. Dit geldt tot op de dag van vandaag niet voor China en India.

In mijn vorige blog schreef ik over de immense hoeveelheid apps die er te downloaden zijn in de appstore.

Vijfhonderdvijfentachtigduizend!

Daarbij wees ik ook op de gevaren voor het gehele ecosysteem van appstores die door Enisa in kaart gebracht zijn (meer dan 65 risico’s).

We weten dus nu van 21 apps dat er vertrouwelijke data verzameld wordt, waarvan enkele data naar China en India sturen. Dat brengt de totale blinde vlek op 584.979 apps en 64 risico’s die we nog niet helder hebben.

Kortom, Bring Your Own Device is een echte uitdaging voor de IT-afdeling, het security team, de juristen en HR binnen jouw organisatie!

Ik wil je echter ook wijzen op de positieve kant van dit verhaal. 

Vorige week vond het jaarlijkse Mobile World Congress plaats in Barcelona. Naast allerlei mooie gadgets presenteerde de GSM Association (GSMA) richtlijnen voor ‘Privacy-by-Design’ voor mobiele ontwikkelaars.  De GSMA stelt dat iedere gebruiker privacy op zijn eigen manier beleeft (verwachtingen, behoeften, eisen, bezwaren, …). Daarmee moet op een proactieve manier vanaf het ontstaan van een app rekening gehouden worden.

De GSMA wil de richtlijnen laten adopteren door bijna iedereen in de gehele ecosysteem van de appstores: ontwikkelaars, fabrikanten van apparatuur, leveranciers van platformen en operating systems, mobiele providers, adverteerders en data analytics. Vodafone, Orange en Deutsche Telekom hebben al toegezegd deze richtlijnen te zullen naleven. De verwachting is echter dat Apple, Google, Microsoft en RIM deze richtlijnen niet gemakkelijk zullen adopteren omdat ze soms haaks staan op de business modellen van deze giganten.  

De richtlijnen van GSMA bevatten enkele goede suggesties:

·         Stel apparatuur default in op de beveiliging van privacygevoelige gegevens.
·         Geef gebruikers de controle over herhaling van het gebruik van persoonlijke informatie (niet éénmalig dus).
·         Laat gebruikers instemmen bij updates. Voer geen ‘heimelijke’ updates op de achtergrond uit.  

De vraag is of de veiligheid van (persoonlijke) vertrouwelijke informatie door deze richtlijnen wordt vergroot?

Het ecosysteem rondom de appstores bestaat uit vele individuele ontwikkelaars. Tel daarbij de kans dat de ‘app-giganten’ de richtlijnen zullen adopteren op. Gelet op de grote aantallen apps en de andere risico’s blijft er realistisch gezien een risicovolle situatie over.

De richtlijnen van GSMA dragen sterk positief bij maar ik ben er van overtuigd dat iedere organisatie moet nadenken over de apps die ze toe willen laten op mobiele apparatuur. Het opstellen van een app-whitelist is een realistische overweging.

Ikzelf werk al meer dan 20 jaar op het snijvlak van organisatie en IT. Daarvan richt ik me de laatste 12 jaar op security. 

‘Privacy is een doodgeboren paard’ (NRC Next, 7 maart 2012)

De nieuwe iPad is vandaag aangekondigd en ik besluit te berichten over privacy. Het zijn onvoorstelbare getallen waar Apple ons mee overdonderd: 315 miljoen IOS-apparaten verkocht, waarvan 65 miljoen in het laatste kwartaal van 2011 (Webwereld.nl). Daarbij komt dat er meer dan 585.000 apps in de appstore staan waarvan 200.000 voor de iPad.

Onvoorstelbaar? Ga even zitten!

Er zijn meer dan 25 miljard apps gedownload! Dat is gemiddeld 80 apps per iPhone of iPad!

Ik wil dan toch wijzen op een rapport van ENISA waarin meer dan 65 risico’s in het ecosysteem van de Appstore en Android market zijn geïdentificeerd.  Als organisatie heb je geen controle meer over de aanschaf of ontwikkeling van veilige software. Dat ligt in handen van potentieel 585.000 individuele app-ontwikkelaars, Apple, Google en RIM (BlackBerry). Hoezo, privacy met zoveel iPads, apps en risico’s?  

En dat heb je binnen de muren van je organisatie toegelaten. Erger nog, ook buiten de muren van je organisatie, waar medewerkers onder het genot van een kopje Starbucks koffie vertrouwelijke klant- of patiëntgegevens zitten te verwerken.

Wat moet je dan met de titel van deze blogpost: ‘Privacy is een doodgeboren paard’?

Het artikel gaat in op de geschiedenis van privacy en stelt dat ‘privacy al 200 jaar wordt bedreigd met uitsterven. En zo hoort het!’

Vandaag is ook de dag van de Big Brother Awards, voor ‘de grofste privacyschenders van het jaar’. Hierin neemt de overheid een groot deel van de genomineerde instanties voor haar rekening. Daarbij komt dat de Europese Unie recent nog met wetsvoorstellen is gekomen voor strengere online privacybescherming. Kortom, het is een onderwerp dat aandacht verdient en ook krijgt.

Privacy is volgens de auteur van het artikel (Lynn Berger) een bedreigde diersoort. De aandacht voor een bedreidge diersoort ontstaat als de bedreiging reëel is. Anders is het de aandacht niet waard. Het speelt geen enkele rol als we onze dagelijkse bezigheden op sociale media neerzetten. Maar als Google op 1 maart de privacyvoorwaarden van al haar individuele producten stroomlijnt stromen de media weer vol met tips, trucs en waarschuwingen.

Privacy is natuurlijk niet een technologie-gebonden issue! Het fotograferen van straten door Google wordt in ieder land anders beleefd. Topless zonnen is in Nederland ook aanvaard, terwijl het in Amerika ondenkbaar is. Daarentegen spreken Amerikanen honderduit over hun salaris en zijn de kaken daarover in Nederland stijf op elkaar gesloten.

Voor de oude Grieken was duidelijk dat deelname aan debat een beter mens van je maakte. Je moest wel deelnemen aan het openbare leven, waardoor je privacy onder druk kwam te staan. Ronddwalen in je eentje kon in de Middeleeuwen een teken van krankzinnigheid zijn.

In de achttiende eeuw is de mens begonnen met het opnieuw erkennen van privacy. Denk aan aparte kamers in de architectuur en stemhokjes. Sindsdien hebben zowel groepen en geloofsgemeenschappen in de samenleving, als koningshuizen zich beklaagd over gebrek aan privacy. Het ‘interview’ werd in Europa gezien als een inbreuk op de privacy, terwijl het ontstond in Amerika waar de hang naar details over het privéleven toenam.

Privacy is altijd ‘tegen’ iets: staatsinvloed of –inmenging, sociale bemoeienis, journalistieke nieuwsgierigheid. Het balanceert op de rand van de steeds veranderende samenleving. Iedere schending van privacy is een ‘ijkmoment’. Privacy gaat over de grens tussen publiek en privé.

OK, mooi dat historisch besef! Maar hoe moet je daar nou mee omgaan?

Je moet er niet voor weglopen. Door de grens op te zoeken, het positief te benaderen en het debat erover te voeren is het voor zowel voor- als tegenstanders duidelijk waar de grens ligt. Het is een discussie binnen jouw organisatie, waar alle controle over aanschaf of ontwikkeling van veilige software weg is gevallen. Dat geldt ook voor de beheersbaarheid van veilige omgang met vertrouwelijke informatie door je collega’s. Zij werken buiten de deur op eigen apparatuur en leggen contact via een, door henzelf gekozen, provider.

Kortom, je zult als CEO, CIO of Security Officer een weg moeten vinden om verloren terrein goed te maken. Volgens mij is het meer dan gerechtvaardigd om de discussie aan te gaan over het monitoren van gebruikersgedrag, lees ‘de veilige omgang met vertrouwelijke informatie buiten de grenzen van de organisatie’. Het historisch besef van privacy, waar het geciteerde artikel een mooie beschrijving van geeft, helpt je bij het aangaan van die discussie.

Het College Bescherming Persoonsgegevens heeft trouwens een goede richtlijn opgesteld voor het monitoren van gebruikersgedrag (internet/email): ‘Goed werken in netwerken’. Daarin staan goede vuistregels. 


Monitoren van gebruikersgedrag is een essentiële component van de beveiliging binnen de organisatie. Dit heb ik ook in de vorige blog post 'Security en Het Nieuwe Werken' aangegeven. 

Lynn Berger is auteur voor o.a. NRC Next. Zij werkt aan een proefschrift over de geschiedenis van privacy aan de Colombia University in New York. Ikzelf werk al meer dan 20 jaar op het snijvlak van organisatie en IT. Daarvan richt ik me de laatste 12 jaar op security.