Aanvulling om vergeten te worden

Obstakels om te vergeten

Op Europees niveau heeft ENISA haar steentje bijgedragen aan het 'recht om vergeten' te worden. Duidelijkere definities, betere juridische handvatten, wie mag vragen om het wissen, onder welke omstandigheden, ... Dit zijn enkele van de obstakels die ENISA naar voren brengt. 

Het recht om vergeten te worden is onderdeel van de nieuwe Europese richtlijn voor Data Protection Regulation zoals eurocommisaris Viviane Reding dit heeft voorgesteld. Deze richtlijn moet nog door het Europees Parlement worden goedgekeurd. 

ENISA richt het rapport dat u onder bovenstaande link kunt vinden op het terugbrengen van de hoeveelheid persoonlijke data die wordt opgeslagen. Dit zeggen zij naar aanleiding van hun onderzoek naar de impact op de privacy als gevolg van het monitoren en vastleggen van gebruikersgedrag. 

Een van de adviezen van ENISA is de toepassing van encryptie voor opslag en transport van persoonlijke gegevens. Ik juich zo'n advies toe als gebruikers patiëntgegevens in Dropbox op mogen slaan van hun directie!

In mijn vorige blogartikel heb ik al aangegeven dat ik positief sta tegen extra monitoring. Ik heb echter ook aangegeven dat de dialoog met de betrokkenen moet plaatsvinden om een acceptabele grens vast te stellen. Hier heiligt het doel niet alle middelen! 

Ik herhaal daarom: 'voer de dialoog met de gebruikers, stel een acceptabele grens vast en voeg professioneel security information management toe aan het security management binnen de organisatie!'

Veel leesplezier, maar wees kritisch. De malware draait al in stealth mode in je netwerk!

Ik wil ook vergeten worden

DNA vastleggen

Deze week is in Friesland een verdachte aangehouden voor de moord op Marianne Vaatstra. Aan de hand van een DNA-match is een lokale bewoner in hechtenis genomen. De verdachte had meegewerkt aan de vrijwillige afgifte van DNA-materiaal onder enkele duizenden lokale bewoners.

Gisteren betoogde Peter R. de Vries in De Wereld Draait Door dat het praktisch zou zijn dat er een verplichte landelijke DNA-database aangelegd zou worden. Bij rampen en terroristische aanslagen zouden eenvoudig losse armen en benen gelinkt kunnen worden met de gevallen slachtoffers.

In het gesprek was ook juridisch commentator van NRC, Folkert Jensma, aanwezig. Hij gaf aan dat rationeel er geen directe aanleiding was om een verplichte landelijke DNA-database aan te leggen. Het succes op basis van vrijwillige afgifte door lokale bewoners was volgens hem onvoldoende om zo’n grote stap te rechtvaardigen.

Andere argumenten van Jensma waren emotioneel van aard: ‘hij vertrouwt de overheid niet in zo’n gevoelige kwestie’, ‘hij wil niet tot in detail vastgelegd worden, hij wil ook vergeten kunnen worden’.

De Vries gaf aan dat alle mensen van Nederland in de bestanden van de Belastingdienst staan. Alles wat iedereen bezit is al vastgelegd. Daar doet niemand moeilijk over.  

En dat is precies het punt waarom ik het onderwerp in dit blogartikel gekozen heb.

Ik ben geboren toen alle gegegevens over bezit in mijn familie al waren vastgelegd bij de Belastingdienst. Daar heb ik geen moeite mee. Als er gesproken wordt over het praktisch nut van een verplichte landelijke DNA-database raakt dat de essentie van mijn persoonlijke identiteit. Alles wat de wetenschap over de mens heeft kunnen ontdekken wordt herleid naar DNA.

Voor mij is DNA het meest fundamentele en essentiële bewijs van mijn individualiteit. Daarmee is mijn DNA ook een onderdeel van mijn grondrecht op privacy. Het verplicht vastleggen staat daarom erg ver van mijn wens om ‘ook vergeten te kunnen worden’.  

Als security professional ben ik daarnaast ook erg huiverig over de capaciteiten van de overheid om waterdichte borging te realiseren van die opgeslagen DNA-gegevens.

Vanuit mijn vakgebied zie ik de discussie over privacy veelvuldig voorbijkomen. Het monitoren van netwerkverkeer, in feite gebruikersgedrag, mag niet buitenproportioneel zijn. Duidelijk moet zijn welk doel er mee gediend is.

Dat er extra monitoring plaats moet vinden staat als een paal boven water. Bij data loss prevention trajecten schakel ik echter direct de Ondernemingsraad in om de dialoog over nut en noodzaak van het vastleggen van gegevens op te starten. Je staat als organisatie buitenspel als die dialoog te laat wordt opgestart.

De tools om intensief en indringend te monitoren zijn beschikbaar. Als security professional zie ik daar de voordelen positief van in. Echter, de vraag is en blijft iedere keer hoever je bereid bent te gaan om privacy op te rekken. 

Ik ben bang dat verplichte instemming met het vastleggen van al het gebruikersgedrag een te grote stap voorwaarts is. Net als de landelijke verplichte DNA-database.  

Kortom, voer de dialoog met je gebruikers. Start de discussie met de OR. Verken de grenzen van het acceptabele en vul je security management systeem ook aan met professioneel ‘security information management’.

Blijf alert! Cybercriminelen houden je in de gaten. Nee sterker nog, de malware draait al in stealth mode in je netwerk!

Waar haalt u uw Cyber Security kennis vandaan?

Het aantal cyberaanvallen neemt intensief toe. Ze vormen voor iedere organisatie een probleem. De schade als gevolg van cyberaanvallen neemt verschillende vormen aan: omzet- & winstdaling, diefstal van intellectuele eigendommen, hoge kosten (boetes en herstelwerkzaamheden) en aantasting van de concurrentiepositie.

Deze week opende Minister Opstelten de site Alert Online om het bewustzijn ten aanzien van cyber security te vergroten. De site opende maandag 12 november met een aantal beginnersfouten (cookiewetgeving, auteursrechten, ..). Maar dat is ze vergeven. Feit is dat de site van start is en er waardevolle tips en handreikingen worden gegeven.

Om goed voorbereid te zijn op cyberaanvallen zullen organisaties echter een vergaande integrale aanpak moeten hanteren. Mensen, processen en technologie vormen één dimensie. Preventie, detectie en respons de tweede dimensie. Die aanpak moet procesmatig aangepakt worden (Plan–Do–Check–Act). Het is een aanpak die opgebouwd is rondom security intelligence en vraagt om ondersteuning door hoogwaardige cyber security specialisten.

De vraag is echter waar de benodigde kennis te halen is?

In de Verenigde Staten is in 2011 het National Initiative for Cybersecurity Education (NICE) van start gegaan. Dit is een programma met afspraken tussen overheid en opleidingsinstituten om naar schatting 30.000 cyber security specialisten op te leiden in de komende jaren. Momenteel betreft het een volwassen programma dat bestaat uit:

·        Een curriculum met opleidingen.

·        Job descriptions.

·        Richtlijnen voor opwaarderen van de cyber security workforce binnen organisaties.

·        Maturity scans.

Als de Verenigde Staten 30.000 specialisten nodig hebben, betekent dat de vraag in Nederland verhoudingsgewijs 1500 hoogwaardig opgeleide specialisten bedraagt. Op nationaal niveau bestaat de Nationale Cyber Security Research Agenda. Via intensief onderzoek moet kennis ontwikkeld worden voor het opleiden van cyber security specialisten op een breed scala onderwerpen. Ondanks dat er een Nationale Cyber Security Research Agenda bestaat ben ik van mening dat die 1500 specialisten de komende jaren niet in die grote getale aan de Nederlandse opleidingen zullen afstuderen.

Bedenk nog even dat volgens het Verizon Data Breach Investigation Report 2012 meer dan 50% van de onderzochte bedrijven enkele maanden nodig heeft om te ontdekken dat ze geïnfecteerd zijn.

Tel daarbij op dat Advanced Persistent Threats doelgericht en vasthoudend onder de radar bezig zijn om waardevolle informatie te verzamelen in uw netwerk.

De nationale initiatieven zijn goed maar de resultaten laten op zich wachten (begrijpelijk).

Kortom, u moet op zoek naar de juiste kennis en ervaring om een intensieve aanpak op poten te zetten tegen cybercriminaliteit.  Die kennis en ervaring is momenteel alleen voorradig bij security experts en vendoren. 

Mijn advies is dan ook: Ontwikkel met uw security partner een gedeelde ambitie voor een gedeeld probleem.

Zorg er dan wel voor dat uw security partner echt goede kennis en praktisch toepasbare ideeën heeft.

Succes met het opzetten van een succesvolle aanpak van cybercriminaliteit!

Let op! Malware draait al in stealth mode in uw netwerk!

In volgende blogberichten zal ik toelichting geven op enkele praktische maatregelen die u kunt nemen. 

Herfstweer, dicht met die deuren

Nu alle zorgplannen van Rutte II van tafel lijken is het echter nog niet gedaan met mijn bezorgdheid over kosten van de huishouding. Net heb ik nog lekker door de natuur gewandeld en genoten van het lekkere weer. Toch ben ik scherp op alles waarop we kunnen besparen. Zo zijn we thuis intensief bezig om de kinderen besef bij te brengen over onnodige kosten voor verwarming en elektricieit.

Het start met vriendelijk vragen om het licht uit te doen op hun kamer, of de deur achter zich dicht te doen. Een beetje ouder onder u weet dat zoiets niet effectief is. Dan komen de zwaardere maatregelen aan de orde. Drie keer deur openlaten betekent vandaag niet op de iPad. En als dat niet werkt gaan we aan het zakgeld sleutelen. En het werkt ook nog!

Het is deze week trouwens ‘week van het geld’, het is dus een prima week om je kinderen besef van kosten bij te brengen. Kijk even op 'week van het geld'.

Waarom begin ik over kosten van energie en deuren die dicht moeten?

Afgelopen vrijdag heeft Homme Bitter op ‘security.nl’ zijn column geschreven over ‘open deuren van DigiNotar’. Natuurlijk wisten we al veel van DigiNotar en hebben velen van u het rapport van Fox IT door zitten spitten. Homme legt echter op eenvoudige wijze uit dat het bij DigiNotar wel over een heleboel open deuren ging. Ik kijk al uit naar het tweede deel van zijn column.

De vraag is natuurlijk hoe dat soort open deuren ontstaan in beveiligingsinfrastructuren? Een beheerder die op eigen initiatief iets openzet? Of ligt hier een andere oorzaak aan ten grondslag?

Bij Diginotar waren vele open deuren niet gedocumenteerd. Voor mij is het dan al snel duidelijk. Gebrek aan kwaliteit van IT-beheer, ontbrekende security awareness en ondoordachte bedrijfsvoering binnen zo’n organisatie. Als security niet een serieus onderdeel is binnen een organisatie krijg je vanzelf open deuren.

Uit eigen ervaring weet ik dat het merendeel van die open deuren het gevolg zijn van snelle projecten, bijbehorende managers en ongeliniteerde dadendrang. De nieuwe services moeten de lucht in, de nieuwe klant moet gisteren aangesloten zijn, …

Natuurlijk ligt er een verantwoordelijkheid voor een security officer om bij ieder project van te voren de eisen t.a.v. security onder de aandacht te brengen. Maar het is niet iedere security officer gegeven om dat in de politieke arena te bevechten. Vooropgesteld natuurlijk dat er in de organisatie een security officer is aangesteld.

Kortom, open deuren als gevolg van een gebrekkig besef van security. Ik denk dan aan een regelrecht gebrek aan risicomanagement. De signalen kennen we wel. Angstige gezichten van directieleden als hun organisatie negatief in de pers komt.

Terug naar mijn kinderen. Bij mij thuis doen de kinderen de deuren nu vaker dicht door het direct gevolg voor hun zakgeld. 

Je hoeft geen gedragswetenschapper te zijn om te weten dat een gemiddeld directielid nerveus wordt als je aan zijn bonus zit. Ik stel voor dat je eens met de firewall beheerder doorneemt hoeveel deuren onbedoeld open staan. Schat eens in hoeveel daarvan het gevolg zijn van snelle projecten, doordrukken en politieke spelletjes.

Gebruik dat getal eens in het volgende gesprek met de directie over security. Laat hem zelf dan aangeven wel deel hij van zijn bonus bereid is in te leveren per open deur! Kijk deze week samen met directieleden ook even op ‘week van het geld’.

Wees wel snel want de malware draait al in stealth mode in je netwerk!

Succes met opvoeden.

Nivelleren in 2012

Nivelleert u al?

Het tweede kabinet Rutte is gisteren twee keer geïnstalleerd. Dat is nog eens een stevig fundament. Dat zullen ze trouwens wel nodig hebben want de weersvoorspellingen zijn onheilspellend. Nivelleren is het credo. Voor de één is het een feestje, voor de ander is het een regelrechte ramp.

Het draait deze weken om de zorgpremie. Ons vakgebied (security) is vaak vergeleken met een (zorg)verzekeringspremie. Als ik kijk waar de commotie in het land over bestaat trek ik al vlug een vergelijking met mijn eigen professie.

Ik zie veel mensen erg bewust beslissingen nemen over de verzekeraar waar ze zich het komende jaar aan verbinden. Daarbij wordt nauwkeurig gekeken of ze niet te veel betalen voor risico’s die ze niet lopen. Een goede vriend van mij windt zich erg op over kraampakketten die hij kan krijgen. De beste man heeft geen kinderplannen meer met drie koters op de achterbank.  

Wellicht herkent u het elan waarmee dit soort beslissingen besproken worden?

Waar het bij Rutte II helaas aan ontbreekt is een duidelijke visie op de effectiviteit van zorg, het terugdringen van de vraag naar zorg, de efficiëntie van zorg en het verminderen van de kosten van zorg. Kortom, waar individuele inwoners van het land zich druk maken over herverdeling van kosten, ontbreekt leiderschap en visie ten aanzien van de grootste kostenpost in het land.

En nu de parallel met security in de organisaties die ik bezoek.

Ik zou willen dat alle medewerkers van een organisatie zich persoonlijk druk zouden maken over security. Ze zouden bewust ongerust moeten zijn over de veilige omgang met enerzijds klantgegevens, maar anderzijds ook hun eigen gegevens in hun personeelsdossier. Het zou fantastisch zijn als het midden management met hun vuist op tafel de kwaliteit van hun werk (lees ‘veilig omgaan met vertrouwelijke gegevens’) staat te verdedigen. Vuur en passie. Hebt u het laatst nog gezien tijdens het werkoverleg?

Een ander punt is dat security door directies onvoldoende serieus genomen wordt. Daarligt toch echt een uitdagende taak voor de security officer. Maar nee, security bestaat uit een jaarlijkse investering in een nieuwe technische oplossing. Die investering wordt gedaan op basis van een overtuigende account manager van ‘Wij van WC-eend’.

Om dat te begrijpen verwijs ik je naar een goed commentaar van Fred Streefland in de Computable van 5 november j.l. Hij beschrijft het onvermogen van organisaties om te leren van het verleden. Daarbij geeft hij aan dat veel beslissingen in security genomen worden op basis van enthousiaste verhalen van ‘Wij van WC-eend’. Ik onderschrijf zijn mening dat organisatie beslissingen moeten baseren op een goede analyse van de risico’s die ze lopen. Er blijft een geaccepteerd restrisico over, dat niet beveiligd hoeft te worden.

Als je dan als organisatie zover bent dat het risicomanagement goed is ingeregeld komt het er op aan om security management professioneel in te richten. Daar komen visie en leiderschap ten aanzien van de effectiviteit van security, efficiëntie van security en beheersing van de kosten van security weer om de hoek kijken. Staat dat bij u in de organisatie goed op het netvlies van verantwoordelijke directieleden en/of managers?

Denk eens na over de verdeling van kosten voor security. Als security gezien wordt als een IT-gerelateerd onderwerp betalen afdelingen waarschijnlijk naar rato van het aantal IT-diensten dat ze afnemen. 

Daarentegen is het een leuke discussie als afdelingen zouden moeten betalen naar de mate waarin ze risico lopen. HR heeft personeelsdossiers, marketing & sales hebben klantgegevens, R&D heeft intellectuel property, de polisadministratie en zorgafdelingen verwerken veel patiëntgegevens. 

Je kunt natuurlijk ook nivelleren op basis van de omzetten die afdelingen genereren of verwerken. Marketing & sales, productieafdelingen en logistiek kunnen dan zwaarder 'aangeslagen' worden.    

Ik wens Rutte veel succes met de discussies over zorgpremie en koopkrachtplaatjes. Daarnaast zou ik iedere security professional willen aansporen om even over de muren van het eigen werkterrein te kijken. Dring bij directies en midden management aan op een professionele aanpak ten aanzien van security. Geloof vooral alle commerciële blauwe ogen die je de nieuwste vinding komen aanprijzen. Maar blijf bewust van de risico’s die je wilt afdekken.

‘Nee, ik wil geen kraampakket!’.