Blog Paul Overbeek

Deze blog is ook te lezen op pauloverbeek.blogspot.com
Uw reactie is daar ook welkom!

Januari 2011: Generatie “Lek Lust”

Salami
Mijn opa is van de generatie die een leven lang werkte en woonde bij dezelfde baas. Loyaliteit was vanzelfsprekend: hij kon geen kant op. Mijn vader had al meer vrijheid. Maar als het slecht ging met de baas, dan ging het ook slecht met hem. Zolang het geld binnenkwam, was hij loyaal.

Mijn generatie heeft nog meer ruimte. We hebben een stevige sociale structuur waar, buiten werktijd, onze loyaliteit ligt. Met het Nieuwe Werken kunnen we dag en nacht aan de bak voor de baas, en tevens de contacten met onze vrienden onderhouden. Het wordt normaal dat privé en zakelijk door elkaar lopen.

De nieuwe generatie neemt met Twitter, MSN en de steeds slimmere PDA’s hun sociale netwerk mee het bedrijf in. Hun loyaliteit ligt nog meer bij het sociale netwerk.

Met die verschuivende loyaliteit is het lekken van bedrijfsinformatie stoer geworden. Weg met de werkgever, lang leve het sociale netwerk. Klokkenluiders zijn de helden van vandaag. Wikileaks, Cables, wie volgt? Want dat dit een trend is, staat vast.

Techniek kan de risico’s van leklustige medewerkers inperken. Allereerst: maak een extra schil tussen gebruiker en gegevens. Bijvoorbeeld met Terminalserver of Citrix. De gebruiker kan 1 scherm per keer ‘stelen’, en geen kwart-miljoen complete bestanden. Vervolgens: bescherm massa-opslag met encryptie. Denk voor de database bijvoorbeeld aan SQL-server of Oracle. Resultaat: aan de gebruikerskant is er alleen toegang ‘per scherm’. Aan de beheerderskant zijn de gegevens en de datastromen versleuteld. Dit doodt 99% van de klikspaanbacteriën.

Van lekken komt overstromen, wacht niet op de springvloed. De vijand rammelt niet meer buiten aan de poorten van de ICT-infrastructuur van ons bedrijf. De vijand is al lang binnen. De vijand, dat zijn we zelf.

November 2010: Gevaar onder de Kerstboom

Salami
Gezellig. De boom staat al, de lichtjes branden weer. Glaasje er bij, voeten op tafel. Nee, mij kan niets gebeuren. Natuurlijk staat er een emmer water naast de boom. Voor als de boom in de fik vliegt. Ik heb al lang geen echte kaarsen meer, maar die emmer, die hoort er bij. Verder heb ik, voor de zekerheid, een brandblusser paraat. En de kinderen dragen, gelijk de familie Von Trapp in The Sound of Music, kleding gemaakt van oude branddekens.

Uit onderzoek van een voormalige staatsbank blijkt dat het MKB bedrijfsrisico’s consequent te laag inschat. Dit betreft vooral risico’s van brand, langdurige ziekte, wanbetaling en ICT-risico’s.

Is dat bij u ook zo? Stelt u zich uw worst case scenario voor. Waar ligt u wakker van? Neem bijvoorbeeld de frauderende controller. Of het faliekant mislukken van de invoering van een nieuw informatiesysteem. Het faillissement van uw grootste klant is ook een leuke. En het uitbranden van een dataruimte. Zou uw bedrijf dan na drie maanden nog bestaan? Zijn er voldoende buffers? Is er een alternatieve werkwijze? Die drie maanden is een praktijkwaarde: als er in 3 maanden niets te improviseren is, lukt dat ook in een jaar niet.

Mijn onder-de-boom opdracht aan u is: verzin uw drie ergste nachtmerries. Deze risico’s vormen uw Top Drie voor uw risicomanagement voor 2011. Deze risico’s pakt u aan. En over een half jaar verzint u weer nieuwe hoofdpijnscenario’s.

Nee, ik heb geen echte boom, maar zo’n saai brandveilig namaak-exemplaar. Vroeger noemden we dat een kunstboom. Maar ja, ‘kunst’ is een linkse hobby en dat mag niet meer. Dus ik noem dezelfde boom nu ‘duurzaam’. Probleem opgelost. Fijne feestdagen en een veilig 2011.

Oktober 2010: De Dag-des-Oordeels is nabij

Salami
Kent U de film ‘De Lift’ nog? De lift-logica leidt daarin een eigen leven en keert zich tegen de passagiers. De lift stort zich in vrije val naar beneden, of schiet als een raket omhoog. Passagiers worden bij het verlaten van de lift van kruin tot teen doormidden gehakt. En monteurs in de liftschacht worden met razend geweld geplet. Die tijden breken aan. De dag-des-oordeels wordt een feit door een nieuwe generatie kwaadaardige software.

Deze vervloekte virussen vreten zich in in de computers voor procesautomatisering. Het zijn de computers die industriële installaties, fabrieken, en kerncentrales in toom houden. Die in ziekenhuizen worden gebruikt voor open-hart operaties. Of die zorgen dat Nederland niet onder water komt te staan. Deze Industrial Control Systems (ICS of SCADA) zorgen voor veiligheid in geautomatiseerde processen, maar zijn zelf nauwelijks beveiligd.

De nieuwe generatie industrievirussen neemt de Windows-omgeving als transportmiddel. Deze omgeving blijft ongemoeid. Maar zodra het virus een ontwikkelomgeving voor industrie-software bereikt, dan vreet het virus zich in. De volgende keer dat er software wordt overgebracht naar de productie-omgeving, de fabriek dus, lift het virus mee. En dan begint de misère.

Indiase satelliet stuurloos in de ruimte, operatiekamers in ziekenhuis in Hoorn dicht, beveiliging Iraanse nucleaire installatie uitgeschakeld: het zijn maar enkele voorbeelden die blinde paniek in de beveiligingswereld hebben veroorzaakt. Deze nachtmerrie raakt aan de kern van ons bestaan: onze eigen veiligheid.
In ‘De Lift’ ziet de programmeur als laatste uitweg zijn geesteskind, de lift-computer, ‘dood’ te schieten. De lift valt daarop stil. Bij de meeste toepassingen zullen de processen echter op hol slaan. Onvoorstelbare rampen tekenen deze angstdroom zwart. Maar blijft ú rustig slapen. Wij, ICT-ers, waken. Toch?

September 2010: Internet aan het lijntje

Salami
Grimlachen. Ergens moet je lachen, maar eigenlijk is het treurig. Als de economische faculteit een lege portemonnee blijkt te hebben. Of als de doktor verslaafd is aan pillen. En als de faculteit Bouwkunde in gebouw de Brandende Fakkel blijkt te zitten. Die knappe koppen die daar zitten weten het in theorie zo goed, maar bakken er in de praktijk niks van.

Een petitie van zulke geleerden is daarom bij mij bij voorbaat verdacht. De overheid wil strafbare feiten op het Internet sneller kunnen aanpakken. Die petitie is tegen, want men is bang voor censuur en de inperking van vrije meningsuiting.

Voorbeelden van strafbare feiten: de buurjongen zet een ‘over-de-schutting’-foto van uw zonnende dochter ongevraagd op zijn Hyves-pagina. Een verward puber-brein roept op tot een knokpartij tussen voetbalfans. Of Mister Clean Hands wordt aan de Internet-schandpaal genageld zonder enige grond. Snel ingrijpen, anders is het kwaad al geschied. Het voorstel is, buiten de rechter om, websites, blogs, maar ook persoonlijke pagina’s op Facebook en Hyves af te kunnen sluiten.

Toetsing bij de rechter kan nog steeds maar is dan achteraf. Maar zonder tijdsdruk en zorgvuldig. Juist op een snel medium als het Internet is snelheid gewenst, lijkt mij. Better be safe than sorry. We zoeken de nieuwe balans tussen de vrijheid van het individu versus de veiligheid van velen.

Tot de hooggeleerde petitie-tekenaars zou ik willen zeggen: gebruik je titels voor onderwerpen waar je verstand van hebt. Wees geen wistenschapper. Neem jezelf en het Internet serieus. Of roep voortaan alleen wat over het weer en voetbal, want daar heeft iedereen verstand van.

24 september 2010: Salami

Salami
Wie mist nou één plakje salami van een hele worst? Dat dacht een programmeur al in 1975 toen hij met een afrondingsprobleempje zat in een programma voor het berekenen van spaarrente. Hij hield steeds enkele centen over, per transactie. Of het nou was omdat hij zijn opdrachtgever niet wilde teleurstellen, of de hang naar avontuur en geld, hij besloot die afrondingen over te maken naar zijn eigen rekening. Zijn winst was bijna 380.000$. Onze Italiaanse held liep tegen de lamp toen hij wilde cashen en het abnormale aantal stortingen opviel.

Salamizwendel is het afromen van kleine bedragen. Populair is het zenden van valse facturen voor een laag bedrag, pakweg onder de 50 Euro. Deze worden toch niet gecontroleerd. Zorg voor een vage omschrijving of zorg dat de factuur aannemelijk is. Zo zijn duizenden bedrijven de dupe geworden van valse facturen, zogenaamd van de Kamers van Koophandel. Al die plakjes salami vormden samen een flinke worst van 1.4 miljoen Euro.

In België is een oplichtersbende opgerold die het nog subtieler aanpakte. Met een Trojaans Paard werd een veel gebruikt betaalprogramma geïnfecteerd. Ja, met SaaS hoef je dat maar één keer te doen. Zodra een groot aantal transacties klaar stond, werden er een paar kleintjes toegevoegd. Het Trojaanse Paard maakte valse transacties aan die onder een half procent van de echte transacties bleven. Dat kan lang duren voordat je dat ziet.

Salamizwendel: alertheid helpt, maar niet altijd. Wat nog belangrijker is, is om vaste patronen in je controle te vermijden. Zorg dat je ook, steekproefsgewijs, op de kleintjes blijft letten.

Als Salamizwendel door een Nederlander was uitgevonden, hoe zou het dan geheten hebben? Kaasschaaf-kreditering? Of Kruimeltjes-broodroof?

11 augustus 2010: Cookiemonster

Cookiemonster
Neelie Kroes heeft er een bijnaam bij: het Cookiemonster, met een knipoog naar het koekjes-verslindende poppetje uit Sesamstraat. Als Eurocommissaris voor ICT en Telecom wil ze het ongevraagd plaatsen van cookies aan banden leggen.

Cookies zijn tamelijk onschuldige bestandjes die een website op jouw computer zet. Bij een volgend bezoek weet de website dan wat je eerder hebt gedaan. Een soort boekenlegger voor websites. Maar doordat via die cookies een profiel van je interesses wordt opgebouwd, ontstaat een flinke deuk in je privacy.

Websites knoeien op jouw computer. Door cookies te plaatsen, door zichzelf op te dringen in de lijst vertrouwde websites. Ja, zelf door programma’s te draaien op jouw computer. Een moderne browser waarschuwt je gelukkig voor dit soort narigheid.

Hoe wordt het straks? Je bent geland op een nieuwe website. Uhh, wel binnen Europa anders geldt de Wet van Neelie niet. Dan komt er een vraag van de Neelie-compliant website: “Mag ik een cookie plaatsen?”. Als je bevestigend antwoordt, dan komt de vraag van je eigen browser: “Mag hij een cookie plaatsen?”. Dat worden schermpjes die de gebruiker geïrriteerd wegklikt. Het principe is wel goed, maar Neelie gaat zo de veiligheid niet verhogen. Nee, de alertheid van de consument wordt door die dubbele windowtjes effectief bestreden. Gooien we daar dan een Postbus-51 campagne tegen aan?

Wat dan wel? Heel simpel: zorg dat je goed weet wie een cookie plaatst, en maak deze verantwoordelijk voor misbruik of schade. Dan sla je twee vliegen in 1 klap: de anonimiteit van de plaatser wordt opgeheven, en deze zal zich wel twee keer bedenken voordat hij narigheid uithaalt. Dat is een beter recept tegen rare koekenbakkers.

5 juli 2010: Lachen met spionnen

afluisteren
Veilig vanuit je luie stoel mensen afluisteren. Ook onze eigen spionnendienst AIVD maakt er graag gebruik van. Ruim 1000 nummers worden jaarlijks in de gaten gehouden.

Dat luistervinken is aan strenge regels onderhevig. Zo wordt u verplicht geïnformeerd als u bent afgetapt. Na afloop natuurlijk. Maar daar zitten de heren spionnen niet op te wachten. Je zou maar slapende honden wakker maken.

De AIVD geeft ruiterlijk toe dat ze deze notificatieplicht aan het achterwerk afsmeert. De woordvoerder van de AIVD is een waarlijke stand-up comedian als hij aangeeft dat ‘afgeluisterde mensen vaak onvindbaar zijn’. Als je ze niet kan vinden, dan bel je ze toch even. Je hebt het nummer! Ook is de AIVD van mening dat deze informatieplicht achterhaald is. Burgers kunnen namelijk een inzageverzoek doen. Bij dat laatste schoot ik gierend van het lachen uit mijn luie stoel onder het bureau: een crimineel gaat vragen of-ie wordt getapt! Ik zie dat helemaal voor me: een loket bij de AIVD met een rij wachtende criminelen. Onderling wordt er geanimeerd gesproken over gepleegde misdrijven, waarbij de successen natuurlijk flink worden aangedikt. Mopperende klanten: word ik nou nog niet afgetapt, ik heb er recht op! En dan snoeven over hoe link ze zijn geweest. De AIVD verdedigt zich dan: ‘het verloop onder de dubbel-O’s is wat hoog’. Of een grapje: ‘voor u is de eerste maand gratis, hoor’.

Spioneren en privacy gaan niet goed samen. Zo heeft het telefoniebedrijf O2, what’s in a name, in Duitsland een hilarische fout gemaakt. Criminelen en anderen die in de gaten werden gehouden door justitie waren aangenaam verrast toen ze de factuur van hun telefoon te zien kregen. Daar stonden namelijk keurig de afgetapte gesprekken op vermeld.

12 mei 2010: Privacy is PET

teddy beer
Een knuffelbeertje, zo komt-ie over. Jacob Kohnstamm is van het College Bescherming Persoonsgegevens. Als Facebook onze privé-gegevens rondstrooit, dan bromt onze Jacob ze toe: foei! Als de politie ons rijgedrag te lang bewaart, dan spreekt het CBP. Medische dossiers rondpompen in EPD’s – luistert naar Jacob. Als Jacob spreekt, dan luistert iedereen. Nou ja, een beetje.

Dus, luister mee. Jacob vindt dat het met de privacy beter kan. Het moet zelfs PET. PET staat voor Privacy Enhancing Technology. Het idee is heel simpel. In plaats van bang te zijn voor IT zetten we IT juist in ter bescherming van privacy. Er zijn drie eenvoudige principes. Allereerst worden de privacy-gevoelige gegevens losgeknipt van de identiteit. Vergelijkbaar met de auto. Op je nummerplaat staat niet ‘Pietje Puk’, maar een kenteken. En alleen als er een aanleiding is, dan wordt het kenteken gekoppeld aan de persoon.

Het tweede principe is dat een gebruiker alleen die gegevens ziet, die in zijn rol van belang zijn. De doktersassistent ziet wel uw afspraak-gegevens, maar niet of u voor uw druiper of uw linkerknie komt. De dokter ziet dat wel. En het derde principe is dat je persoonsgegevens beheersbaar maakt. Bij eerste opname, gebruik, doorgifte en verwijdering: een life-cycle voor persoonsgegevens. Een slim idee dat in Europa is overgenomen als Privacy by Design

Het CBP vindt het tijd voor een andere koers. Een verschuiving van voorlichting naar handhaving. Dat vraagt echter een ander soort mensen en werkwijze bij het CBP. We hebben een privacywaakhond nodig, maar van de privacypoedel maak je nog geen privacypitbull. Het CBP wil zwaardere middelen voor handhaving: geloofwaardige boetes en flinke celstraffen. Maar daar wil de Tweede Kamer voorlopig niet aan. Dus blijft het CBP wat het is: een tandeloze teddybeer.

22 april 2010: Sambal bij

Sambal bij
Een geestdriftig ambtenaar op het Chinese ministerie voor Interne Veiligheid redigeert een recept voor een lekkere loempia(verwijst naar Taiwan): “Pak een ijzeren(verwijst naar Mao) rijstkom. Voor een hemelse (verwijst naar de Tiananmen-opstand) smaak de rijst mengen met verse lama(verwijst naar leider van vrij Tibet).”

Google heeft ruzie met China. China eist zelf-censuur. Wij, het beschaafde westen, meten China de maat en spreken er schande van. Maar is zelf-censuur niet ook een teken van beschaving? Rekening houden met je omgeving. Het respecteren van nog open wonden. Ja, ook voor een heel volk. Want wat doe je als een volk de waarheid, jouw waarheid, nog niet aan kan?

Censuur is overal, ook bij ons. Slavenhandel, plundering van koloniën, pedo-paters, Sebrenica-slachting en buitenechtelijke prinsenkinderen waren collectieve open zenuwen. Niet over praten.

Het zwijgen achter de muren van een land wordt doorkruist door een grenzeloos internet. Zijn er grenzen nodig aan het Internet? Wie bepaalt die grenzen? En als iets in Nederland nou wel geheim is, en daarbuiten niet… Of andersom? O, geprezen Internet, U bent welkom in mijn huis, maar alleen als U zich aan mijn regels houdt. Misschien vindt u die regels onzin, maar het zijn mijn regels.

Wat ik zou doen? Van dreiging naar kans! Ontwikkel een censuur-server waarmee de klant, China of welk land dan ook, zelf de filtering in kan stellen. Maar wacht eens even, hoe zat dat ook al weer met dat opstandje in Iran? Was dat niet dankzij die fantastische firewalls snel onderdrukt? Wat de een verwerpt als censuur, is core business voor de ander. Het is een recept met veel troebel water.

1 april 2010: Dikke Vinger

Dikke vingers
Makkelijk geld verdienen, en toch niet strafbaar. Altijd al oplichter willen worden? Lees dan verder.

Dan zijn we nu onder elkaar. Je anticipeert op veel gemaakte tiepfouten en verschreivingen. En op mensen die namen van websites gokken. Vervolgens registreer je die websites. Bijvoorbeeld belastingsdienst.nl, arifrance.nl, haives.nl, mcafie.nl, utube. Iohone is ook een mooie.

Vervolgens breng je deze websites met gespeculeerde domeinnamen in de lucht. Vanaf dat moment wacht je gewoon af. In de tussentijd verschuif je je aandacht naar vakantie, mooie auto’s, leuke vrouwen of waar je interesse maar ligt. Het geld stroomt namelijk met bakken binnen. Dit Squatteren maakt gebruik van een service voor adverteerders van syndicaten als Google.

Google plaatst de advertenties of links op veel-bekeken websites. Onze squatte-sites lijken wel echt maar staan bol met gesponsorde links en advertenties Ads by Google. De adverteerder betaalt aan Google per klik. En Google betaalt een deel weer terug aan de eigenaar van de website. Die squatter-sites fungeren als een stofzuiger voor advertenties. Iedere bezoeker wordt in een draaikolk van links gezogen. Voor iedere klik op een link of advertentie betaalt de adverteerder 20 cent aan Google. En hiervan gaat 10 cent naar ons. Hoe lager de ‘dikke vinger’-afstand, hoe waarschijnlijker de typefout. De afstand tussen Iphone en Iohone is bijvoorbeeld 1, omdat de ‘o’ en ‘p’ naast elkaar op het toetsenbord zitten. Maar ook tyfepout is snel getypt. En zo verzinnen we domeinnamen. Registratie kost een paar Euro per stuk. Kaskraken-met-typefouten is big business. Google verdient hier 500 miljoen dollar per jaar mee. Dit heet het ‘Dikke Vinger’-verdienmodel. Omdat het anticipeert op typefouten. En natuurlijk omdat je wel een hele dikke vinger opsteekt naar adverteerders en alle internetters.

2009: Tijd is een relatief begrip

Klokje thuis
Ik ben de afgelopen week flink lichter geworden.
wielerwedstrijd
Financieel dan. De AEX stortte zich neerwaarts gelijk een achtbaan met hoogtevrees. En, ik heb het “life” gevolgd. Nou ja, wat is “life” eigenlijk? Ik heb naar een handjevol verschillende bronnen gekeken, en bij geen enkele kon ik nou zien welke er echt ‘bij’ was. Teletekst geeft tenminste de tijd er bij. Dan weet je zeker dat je achterloopt. De beurs let kennelijk niet zo op de tijd. Op www.aex.nl, van de beurs himself, loop je ook achter, maar hoeveel? Dat blijkt nog te variëren ook tot een minuut of tien. Waar kan je nog meer kijken? Www.fd.nl loopt maar een minuutje achter. Op www.alex.nlworden per definitie standen van een kwartier geleden door gegeven. Ik heb het gefascineerd gevolgd. Het lijkt wel een wielrenwedstrijd. Als je op drie schermen naast elkaar de Aex volgt, van drie verschillende bronnen dan zie je de achterstand van de ene slinken ten opzichte van de ander. Echt inhalen doen ze niet. Er is geen winnaar, maar je blijft als gewone particulier de verliezer.

RFID met chip

11 januari: Gratis Open Vervoer?

Duitse hackers hebben de Mifare-chip gekraakt. Deze wordt ook gebruikt in de OV-kaart, die later dit jaar ingevoerd had moeten worden. De drie hackers hebben een erkende reputatie, en ik vind de bewijzen die ze laten zien overtuigend. Helemaal klaar is hun karwei nog niet, maar dat is een kwestie van tijd.

Hoe is het gegaan: de gebruikte Mifare-chip is een vrij oude, eenvoudige en goedkope chip waarvan er al enkele miljarden in omloop zijn. Je leest het goed. De chip wordt veel gebruikt voor identificatie op afstand (RFID). In de toepassing voor het openbaar vervoer staat er bovendien een ‘vervoersproduct’ (in gewoon Nederlands: abonnement) of een saldo op.

Omdat de chip zo eenvoudig is, is er geen ruimte voor al te geavanceerde crypto. Ik denk dat de leverancier daarom het ontwerp geheim heeft proberen te houden. De hackers hebben daarop de lagen van de chip afgepeld, en het ontwerp blootgelegd. Dat is vooral een probleem voor het OV en niet voor de reiziger. Je kan nu kaarten ‘klonen’, kopiëren dus, waarmee je gratis kan reizen. Je reist dus op de kaart van iemand anders. Als het systeem een beetje slim is, kan het gebruik van een gekloonde kaart achteraf worden ontdekt. En naar de huidige stand van het onderzoek van de hackers, moet je de originele kaart in handen hebben. Tot zover niets bijzonders. Wel bijzonder is dat je er ook saldo bij kan plaatsen. Eindelijk mijn eigen geldmachine.
detail chip


Eerste actie: vervang het woord ‘saldo’ voor niet-voor-geld in te ruilen ‘strippen’, en leg het risico bij de exploitant.

Voor mij zijn de belangrijkste lessen:
- Zorg dat je nooit alleen steunt op een geheim ontwerp
- Detectie en monitoring moet je mee ontwerpen
- Blijf flexibel ten aanzien van de gebruikte techniek
- Zorg dat je –zelf- voldoende kennis in huis of in de buurt hebt

De OV-kaart hoeft misschien nog niet meteen naar de prullenbak. Dat hangt af van het sleutelmanagement en de ‘randomness’ bij de kaartuitgifte. Met een beetje mazzel is het zo dat je de originele kaart in handen moet hebben (gehad) om er saldo bij te plaatsen of te kopiëren. Het hangt ook af van de ingebouwde detectie- en blokkeringsmogelijkheden. En het hangt er ook van af of men het financieel verlies misschien voor lief wil nemen. Er zijn nu toch ook zwartreizigers?

Stel je nou eens voor dat de OV-kaart geen vertraging had opgelopen. Dan was het systeem juist nu in heel Nederland in gebruik. En dan deze kraak… Dan had iedereen nu gratis openbaar vervoer. Eigenlijk komt deze kraak, die onvermijdelijk was, geen moment te laat.

Zie ook video
blackberry

28 juni 2007: Blackberry zwart gemaakt

Paniek in Frankrijk. 's Lands hoogste notabelen verliezen hun belangrijkste statussymbool en speeltje. Het gebruik van de Blackberry is namelijk verboden. Overheidsdienaren tot in de hoogste regionen worden opgevangen in afkick-klinieken, maar het mag niet meer. De Blackberry is namelijk de eenvoudigste manier voor spionage door de VS. Het verkeer loopt namelijk via Amerikaanse en Canadese servers. Het verkeer is gecrypt, maar de sleutels zijn in handen van de Amerikanen.

La baie noire
De Fransen zijn nu bevreesd dat de Amerikanen toegang hebben tot de Franse diplomatieke geheimen. Daar zijn geen James Bond toestanden voor nodig. Daarvoor hoeven ze niet eens voor uit de luie stoel te komen, de geheimen komen gewoon naar je toe.

Hebben de Fransen reden voor concrete zorgen? Volgens eigen zeggen wel: de Fransen zouden zelf zo'n kans niet laten lopen om een al-dan-niet bevriende mogendheid de geheimen te ontfutselen. Sterker: de Franse diplomaten zijn altijd zeer facilitair gebleken in het versterken van de Franse commerciële belangen.

Zwarte bessen in puree
Onze eigen JP is een fervent Blackberry gebruiker. Zit JP nu in de puree? Ik hoop van niet. TNO heeft een toepassing gemaakt waarmee je wél veilig kan communiceren met de Blackberry. Zie www.tno.nl, maar je moet wel even zoeken, want TNO heeft de site "vernieuwd". De gebruiker heeft een apart token, een trusted device, dat wordt gebruikt om email te versluieren en echtheidskenmerken te berekenen. De email is alleen onbeveiligd aanwezig bij de verzender, bij het intypen, en bij de ontvanger bij het lezen. Mooi exportproduct. Wie heeft eigenlijk de sleutels van dat trusted device?

kabinet koningin

29 mei 2007: Koningin versnippert

Het TV-programma NOVA heeft tussen het vuilnis van het Kabinet der Koningin allerlei gevoelige informatie gevonden. Het hele land staat kortstondig op zijn kop. Op TV verschijnen er verontruste kamerlieden en deskundigen. En JP moet kamervragen beantwoorden. De teneur van de reacties is: de regels zijn er wel, maar ze worden niet nageleefd. En de oplossing is natuurlijk: bewustwording en strengere controle. Iemand stelde zelfs een oud-papier-politie voor.

logo kabinet
Waar ik nou een beetje bang voor ben is dat er op ad hoc basis maatregelen worden getroffen: "O jee, we moeten iets doen aan het veilig afvoeren van oud-papier". Oplossing: al het oud-papier verzamelen en direct vernietigen. Dat is wel leuk voor dít incident, maar het haalt de echte oorzaak niet weg. En volgende keer is er iets met USB-sticks, illegale toegang, verdwaalde bezoekers, zeg het maar. Iedereen die langdurig met een bepaald soort informatie in aanraking komt, wordt blind voor de echte waarde. Vraag maar aan bankmedewerkers die het verschil tussen 76 of 67 miljard echt niet meer zien. Vraag maar aan apothekers hoe vaak recepten bijna fout gaan. Of aan militairen die blind worden voor gevaar.

Als het risico je te groot is, moet je in dit soort situaties niet alleen op het juiste gedrag van "de mens" vertrouwen. Je moet deze zwakke schakel ondersteunen, ofwel met procesborging (classificatie, behandelvoorschriften, uitgave/inname op naam, proces-verbaal van vernietiging) ofwel met technische hulpmiddelen. De mens is zich bewust van zijn eigen beperkingen. Toch?

7 mei 2007: Suske en Wiske en de Sinistere Site

Ik ben een rechtgeaarde Suske en Wiske fan. Natuurlijk vanwege de ijzersterke verhalen en prachtige tekeningen. Maar vooral omdat Suske en Wiske altijd met hun tijd meegaan. De strips vormen met elkaar een prachtig historisch document rond de opkomst van technologie. Zo zie je in de strip rond 1980 de computer verschijnen in het laboratorium van professor Barabas. De telefooncel verdwijnt in de jaren 90 ten gunste van de mobiele telefoon en ook de PC verschijnt op het bureau van Suske. En, heel modern, Wiske laat zich van haar geëmancipeerde kant zien en doet gewoon mee op de PC. Ik voorspel op deze plaats alvast dat Suske en Ipod krijgt en Sidonia straks stuntelt met haar Blackberry.

is het hier wel veilig?
In de strip zitten wel eens ‘blijde boodschappen’. Over het milieu, bijvoorbeeld, over het regenwoud en over onderdrukte volkeren. Maar vandaag is er een hele mooie Suske en Wiske verschenen over informatiebeveiliging: ‘Suske en Wiske en de Sinistere Site’. Deze uitgave gaat over alle leuke dingen maar ook alle gevaren rond het gebruik van Internet. In het verhaal wordt Wiske al surfend naar een andere wereld geflitst. Aan de hand van haar belevenissen worden de gevaren van internet blootgelegd en wordt verteld hoe deze vermeden kunnen worden. Achter in de strip komen tips: hoe je zonder gevaar kunt surfen, waar je op moeten letten bij het chatten en zo.
de sinistere site
Want natuurlijk blijken er zich allerlei griezels te bevinden achter onschuldig ogende namen.

Alle middelbare scholen krijgen deze uitgave. Waarom ik het boek al heb? Omdat de Belgen ons ruim voor waren en deze uitgave al in 2005 hebben verspreid.

Stripfiguren helpen wel vaker bij de bewustwording rond informatiebeveiliging. Zo zet het Ministerie van Justitie Donald Duck in, met, heel toepasselijk, de Zware Jongens in de rol van hacker en informatieterrorist. Kennen jullie nog voorbeelden van stripfiguren die zo worden ingezet?

Hier nog een paar links:
Peter R. de Vries (ANP)

29 april 2007: Tonino-tijd

Joost Tonino is de ongelukkige officier van justitie die zijn oude computer als oud vuil aan de straat zette. Helaas voor hem en voor zijn schuldige en onschuldige klanten bleek het apparaat nog prima te werken en volgestouwd te zijn met de meest gevoelige informatie. Over beschuldigingen van criminele activiteiten, over hele en halve bewijzen, en de meest intieme details van honderden personen. De verbijsterde vinder van de vondeling-PC zocht de publiciteit via onze nationale reallife crimisoap journalist Peter R.. Ergens maar goed, want sinds die tijd zijn er bij Justitie structureel een aantal zaken verbeterd. Toch?

Nou is dit de tijd van Koninginnendag, rommelmarkten en fancy fairs. Voordat u nou uw oude floppies, CDs, DVDs en computers te koop zet: kijk nou even goed of belangrijke informatie echt gewist is.
Overschreven dus.
En nu ik toch bezig ben: kijk eens in de spelonken van uw zolder of bureau of er niet oude gegevensdragers rondslingeren die toch echt netjes moeten worden vernietigd. Tonino-tijd is tijd voor grote schoonmaak onder uw los-rommellende informatie.

Ik ga de komende tijd weer op informatie-jacht op rommelmarkten. Zo leer je nog eens wat over je buren, en over hun werk. Laat me maar weten als jij wat leuks hebt gezien.

19 april 2007: Nora est

Nora staat voor Nederlandse Overheid Referentiearchitectuur. Nora gaat over de ICT binnen de overheid, en gaat over de organisatie van de overheidsprocessen, voorzover die te maken hebben met informatie van burgers, bedrijven en instellingen. Nou ja, "gaat over" is het nou ook weer niet. Nora is eerder een soort vrijwilligerscollectief. Op www.e-overheid.nl/atlas is Nora te bewonderen.

Op een uitpuilende bijeenkomst van PI/GVIB (www.gvib.nl) werden de Nora-principes voor beveiliging besproken. Ik vind de gekozen principes bewonderenswaardig maar helaas incompleet en nauwelijks realistisch. Is dat erg? Voor een architectuur wel. Voor een roadmap minder. Het sterke is namelijk dat de fundamentele vragen wel naar boven komen. Bijvoorbeeld: wie is verantwoordelijk voor (het delen van) welke informatie en services?

Nora is tenminste de 4-de poging om de groeiende ICT-chaos binnen de overheid in te dammen. Thom de Graaf is er nog mee bezig geweest (lees erover in een verhaal van Maarten Hillenaar uit 2004). En daarvoor zagen reeds 3 BIOS-nota's uit de vroege jaren 90 het licht (zie literatuurverkenning ICT en Overheid). Wie de geschiedenis kent, kent de toekomst...

Hora est voor een goede architectuur. Nora heeft potentie en zou een goede architectuur kunnen worden. Het succes van Nora zal volgens mij niet afhangen van de kwaliteit van de architectuur. Het gaat veel meer om het proces en de organisatie van ICT binnen de overheid. Momenteel is de samenwerking alleen op vrijwillige basis. Dat betekent: niet verder dan de eigen portemonnee of het welbegrepen altruïsme ;).

Mijn advies? Natuurlijk doorgaan met het verbeteren van NORA. En parallel een roadmap ontwikkelen, waarlangs de fundamentele vragen worden beantwoord. Ergens langs die roadmap botsen we dan op de organisatie van de ICT binnen de overheid. Dan is Nora in Tora Bora.

16 april 2007: Pompen of verzuipen

Shell had pech met een sofware update voor de kassa’s van zo’n 30 pompstations. De software was ’s nachts geïnstalleerd. Maar bij het weer opengaan van de pompstations in de vroege ochtend, bleek de software niet te werken.
Shell heeft uren nodig gehad om het probleem te herstellen. In de tussentijd kon er geen druppel benzine worden verkocht. Pech voor de klanten, die op zoek moesten naar een andere pomp. Ook pech voor Shell, want deze omzet zijn ze echt kwijt. Zie ook: nu.nl
Ook dit is informatiebeveiliging: zorgen voor continuïteit.

Wat ging er mis? Bij Shell snappen ze het ook niet. Eerder liep het wel goed. En ook deze keer was de procedure voor Testen-Acceptatie-Overdracht (TAO) normaal verlopen. De oplossing: zelfde procedure nogmaals doorlopen, en toen werkte het goed. Waarschijnlijk heeft iemand toch met zijn vingertjes aan de knoppen gezeten bij de upload. Die mag voor straf een week ramen zemen bij de pomp.