Tag archieven: veiligheid

Codes zijn nooit veilig

Mahsro Je kent dat wel. Sta je voor de pinautomaat, ben je ineens de code vergeten. Of je inlogcode voor je pc op het werk. Niets aan de hand, maar de paniek slaat wel toe als je ook vergeten bent waar je die codes had opgeschreven.
Erger is het als je het bankpasje kwijt blijkt te zijn of je het papiertje met je codes niet meer kan vinden. Daar voel je je dan toch erg ongemakkelijk bij, maar met hulp van de bank of de afdeling systeembeheer op je werk, is het vaak snel weer geregeld.

Van zulke paniek heeft niet iedereen last. Ook Amerikaanse presidenten blijken gewoon mensen te zijn en raken wel eens een code kwijt. Menigeen zal gniffelen bij het bericht dat ze regelmatig de code kwijt waren, waarmee ze een
nucleaire aanval konden starten. Het overkwam Jimmy Carter, die natuurlijk de code niet uit zijn hoofd wist en het kaartje met de code naar de stomerij had laten brengen. Ronald Reagan verloor dat kaartje toen hij overhaast werd afgevoerd, nadat er een aanslag op hem was gepleegd. Het overkwam Bill Clinton ook, alleen vermeldt de historie niet welk excuus hij had.
En heeft de wereld iets van paniek gemerkt? Niet dus.

Codes zijn er om veiligheid te waarborgen. Het voorbeeld van de Amerikaanse presidenten toont aan dat de wereldvrede het best beveiligd is als ze hun nucleaire code vergeten. Het bewijst tegelijkertijd dat codes nooit veilig zijn, om de simpele reden dat je ze kunt vergeten.

Het vergeten gaat sneller dan mensen zich kunnen herinneren. Er is te veel om te onthouden. Wat codes betreft is dat zo erg geworden dat je gerust kunt spreken van het mahsro-effect. Een term die ik
bij elkaar fantaseerde in 2006 en tot mijn stomme verbazing navolging kreeg in Nederlandse en Belgische media.
Mahsro staat voor “Mijn Arme Harde Schijf Raakt Overbelast”. Meer dan een zes of zeven codes schijnt een normaal mens niet te kunnen onthouden. Amerikaanse presidenten hebben zoveel aan hun hoofd, dat een code makkelijk kwijt raakt. Geen nood, want ze hebben een legertje assistenten die codes bewaren of ze vervangen wanneer dat nodig is.

Voor ons is er nog geen persoonlijke assistent die op een handige wijze alle codes onthoudt en oproept wanneer we ze nodig hebben. De vraag rijst dan: hebben we werkelijk zoveel codes nodig, om een beetje veilig door de reële en digitale wereld te bewegen? Of is er een sluitende oplossing te verzinnen om het met minder codes te doen?

Wachtwoord als poortwachter

Wachtwoord De overheid verzoekt u dringend deze week uw wachtwoord te wisselen. Bij voorkeur door uw veel te eenvoudige wachtwoord te veranderen in een heel erg moeilijke. Zo gezegd, zo gedaan. Mijn oude wachtwoord was dus ‘eenvoudig’. Via de optie ‘wijzig uw wachtwoord’, heb ik dat nu veranderd in ‘heelergmoeilijk’. Aan elkaar, want spaties in een wachtwoord lukt niet.

Deze week is er de Wachtwoord Wissel Week. Een campagne die uitstekend past in de opvattingen die overheid en bedrijfsleven hebben over ‘eigen verantwoordelijkheid’. Dat is namelijk uw verantwoordelijkheid. In een vrije samenleving gaat de overheid dat natuurlijk niet van u overnemen. In een vrije markt blijft het bedrijfsleven evenzeer van uw verantwoordelijkheid af. In dit geval betekent het dat u zelf verantwoordelijk bent voor de veiligheid van uw computer en software.

U heeft er misschien wel eens van gehoord dat er van die rakkers zijn, die het op uw digitale gegevens hebben voorzien. Willen ze uw e-mail, internetbank of Digidale accounts overnemen, proberen ze uw wachtwoorden te kapen. Daar hebben ze listige programmaatjes voor en je kunt er donder op zeggen dat iedereen die Jansen heet en die naam ook als wachtwoord heeft, inmiddels flink gehackt, misbruikt en bestolen is. De slimmeriken die dachten met Janssen een sterkere beveiliging te hebben, zijn ook bedrogen uitgekomen. Zelfs het geniale ‘nesnaJ’ is niet voldoende om boeven buiten uw digitale territorium te houden.

De
Wachtwoord Wissel Week is een van de initiatieven die de overheid onderneemt om burgers op te voeden tot veilig digitaal verkeer. Op een speciale website kunt u uw digivaardigheid bijspijkeren. De bewustwordingscampagne wordt mede ondersteund door partners als de NVB (Nederlandse Vereniging van Banken) en Microsoft.
Fraaie samenwerking. De overheid is bekend van digitale miskleunen met de Digid. Microsoft is wereldberoemd om het achteraf dichten van lekken in hun producten en de digitale veiligheid van de Nederlandse banken werd doorgeprikt in het televisieprogramma Reporter.

U begrijpt nu ook waarom de veiligheid van uw digitale existentie uw verantwoordelijkheid is. Overheid en bedrijfsleven hebben daar geen enkel benul van. En leveren dus onveilige producten. Als u uw wachtwoord wisselt, knappen die producten daar een stuk van op!

Anoniem melden zorgincidenten

Anatomische les Rembrandt In onze training “Zorg veilig voor een veilige zorg”, staat vandaag centraal het bekende gezegde ‘van je fouten kun je leren’. Wie weet welk obstakel daarbij een hindernis kan zijn?
Fouten maken is menselijk? Klopt, maar dat is nog niet de valkuil die mensen verhindert ervan te leren. Iemand nog een idee? Juist! Mensen geven niet makkelijk een fout toe.

Dat wordt de komende week een stuk makkelijker. Van 27 september tot en met 3 oktober wordt de
Nationale Meldweek Patiëntveiligheid gehouden. Zorgmedewerkers kunnen, volledig anoniem, incidenten melden. Het doel van de project is lering te trekken van situaties, waarvan men denkt: dat had beter gekund. Voorkomen is natuurlijk beter dan genezen.

Of de duvel ermee speelt, komt de week net op het moment dat twee incidenten de actualiteit hebben gehaald. Minister Klink
stelt een onderzoek in naar de dood van een jongen, die overleed na een prik tegen de mazelen, bof en difterie.
Het Scheper Ziekenhuis in Emmen heeft brieven gestuurd naar patiënten die zijn overleden na een complexe maagverkleining. In de brief werd meegedeeld dat het ziekenhuis dit soort ingrepen niet meer in het aanbod zal houden.

Elke zorginstelling heeft veiligheidsinstructies, protocollen voor foutmeldingen en klachtenprocedures voor cliënten. Daarbovenop komt er nu toch die Nationale Meldweek. In opdracht van het ministerie van VWS,
georganiseerd door IQ healthcare, UMC St Radboud, 14 eerstelijns beroepsorganisaties, en het eerstelijnsprogramma ‘Zorg voor Veilig’.

Voldoen de interne protocollen en de meldingsprocedures dan niet? Je mag er toch op rekenen dat medewerkers hun werkzaamheden, inclusief eventuele fouten, keurig rapporteren. En als medewerkers zelf hun conclusies niet trekken na gemaakte fouten, mag je er ook op rekenen dat leidinggevenden en managers hun maatregelen treffen. Tot aan het ontslaan van incompetente medewerkers toe.

Dat is iets te ideaal gesteld. Fouten toegeven is voor niemand leuk. Voor de medewerker niet, die misschien een pittig functioneringsgesprek staat te wachten. Voor leidinggevenden en managers ook niet, want het betekent de erkenning van een misschien rammelende organisatie en personeelsbeleid.
In een tijd waarin naast personeelstekorten en budgetkortingen wegens wanprestaties, ook nog flink bezuinigd moet worden, nodig je mensen en organisaties uit meer hun succesverhalen te melden, dan hun tekortkomingen.

Dus is een weekje anoniem melden een zinnige bijdrage de patiëntenveiligheid te vergroten? Mij lijkt het eerder een extra kostenpost op de al zo zwaar belaste zorgbegroting. Als er toch geld over is voor zit soort zaken, waarom dat dan niet besteed aan verlichting van de werkdruk, vergroten van kennis en verbeteren van technieken en procedures?
Ongelukken voorkom je er nooit helemaal mee, maar je werk rustig en goed geconcentreerd kunnen doen, levert minder incidenten op, dan het zoveelste protocol of vernieuwde gedragscode die na zo’n meldweek uit de bus zal rollen.

De kost gaat voor de bezuiniging uit

De kost gaat voor de bezuiniging Even een praktijkgevalletje maakbaarheid. Eentje uit de welbekende cirkelgang: probleem, idee, proefje, oplossing werkt maar half, er moet geld bij, dat kan niet. Nettoresultaat: geen oplossing en weggegooid geld. Logisch dat voorstanders van bezuinigingen niet geloven in het argument dat je juist op innovaties niet moet bezuinigen.

Er komt geen flistersysteem. Niet te verwarren met het flitsersysteem dat wel geld oplevert. De Flister
is een technisch hulpmiddel om hulpdiensten vloeiender door het verkeer te krijgen. Het zou de veiligheid vergroten, het zou tijd schelen en patiënten worden comfortabeler door ambulances vervoerd. Drie mooie punten, waarvan de eerste twee misschien wel geld op kan leveren.

Eerst die veiligheid. Omdat ook de gewone automobilist comfortabel en veilig over de weg wil zoeven, zijn auto’s beter geïsoleerd. Nadeel: ze horen de sirenes van de hulpdiensten slechter. Je kunt je voorstellen dat een automobilist zich rot schrikt als een gillende sirene ineens pal achter hem zit. Dat verhoogt de veiligheid niet.
Dan de tijd: Hulpdiensten moeten daarom behoedzamer door het verkeer rijden. Of zich er doorheen slingeren. Natuurlijk pakt zo’n zwaailicht dan soms een stoepje mee of schuurt langs de vangrail. Waarmee genoeg is gezegd over het comfort van die patiënt in de ambulance.

De oplossing is dan niet de autofabrikanten verbieden goed geïsoleerde wagens te maken of van de autobezitters te eisen dat ze in weer en wind met de ramen open rijden. Verbieden houden we niet van en kost meer geld aan regeltjes controleren.
Maar dan is er gelukkig een genie die met de Flister komt. Een apparaatje dat een signaal uitzendt “op de specifieke FM-radiobanden van autoradio's van voertuigen die zich binnen 200 meter van het hulpvoertuig bevinden. Binnen hondersten van seconden wordt op de FM-band een akoestisch drietonig signaal uitgezonden. Zo zal dus een audio-attentie-signaal voor de bestuurder in de auto hoorbaar zijn en een tekstbericht op het radiodisplay worden weergegeven. Ook als men luistert naar een CD zal deze onderbroken worden”.

Dat kan het producerend bedrijf wel mooi zeggen, maar werkt het ook? Nee,
zegt staatssecretaris Bijleveld. Uit de proef blijkt dat de beoogde doelen niet zijn gehaald. Bovendien wordt het signaal ook opgepikt door radio’s in huizen van omwonenden. En de overheid loopt het risico dat radiozenders een vergoeding eisen, elke keer als hun signaal wordt weggedrukt door een of andere hulpdienst. Dat kost geld en dat moeten in tijden van bezuinigingen niet willen.

In een brief aan de Tweede Kamer legt de staatssecretaris
het nog eens uit (pdf!). Bij de proef werd nauwelijks positief effect gemeten. Bij de KLPD (Korps Landelijke Politiediensten) toonde de proef wel wat succes, maar de KLPD heeft maar beperkt aan de proef meegedaan.
Als het signaal beter wordt gericht, zullen omwonenden minder last hebben, maar dat gaat wat geld kosten en bovendien is daar nog het probleem van de etherfrequentie, waar de omroepen toch goed voor betaald hebben. Dus zegt de staatssecretaris: “Mede gezien de kosten die mogelijk aan het medegebruik van de FM-omroepband zijn verbonden vind ik, zeker in deze tijden van bezuinigingen, het niet verantwoord om over te gaan tot vergunningsverlening om het systeem Flister officieel te mogen voeren”.

Nou moet je natuurlijk op tijd op de rem trappen als er ongelukken dreigen. De overheid heeft al ellende genoeg van geldverslindende ITC-systemen en campagnes voor veiligheid en rampenbewustzijn, waar de burger zich maar weinig van aan lijkt te trekken. Sinds een mager mea culpa van Balkenende, heet dat tegenwoordig ‘lessons learned’. Dat past Bijleveld nu toe.

Geen dure middelen, die amper effect hebben. Zelfs als zou het signaal goed aankomen, dan werkt het nieuwe systeem soms net zo goed als de bekende sirenes, ook al zijn die inmiddels al 5 decibel harder afgesteld. Bij een druk kruispunt rijdt de Utrechtse brandweer zich toch vast (bron: AD) . De dienstdoende brandweerman weet hoe dat komt. De automobilisten weten niet goed wat te doen. Het mooiste zou zijn als ze de brandweer middendoor laten passeren. U begrijpt nu waarom er verkeersborden zijn verschenen, waarop die instructie staat aangegeven.

Voordat Bijleveld concludeerde dat de proef eigenlijk is mislukt, beweerde de projectleider van het experiment het tegenovergestelde en vond het tijd worden voor een veel
grotere proef. Een woordvoerder van Ambulancezorg Nederland vindt dat het project door moet gaan. Hij hoopt dat de Tweede Kamer de staatssecretaris weet te corrigeren. Het CDA-kamerlid De Rouwe wil dat debat graag aangaan.

Hoeveel er tot nu toe in is geïnvesteerd, heb ik helaas niet kunnen vinden. Omdat ervaring leert dat niet alle investeringen zich ook uitbetalen, valt er wat voor de beslissing van Bijleveld te zeggen. Maar telt de mening van de professionals dan niet?
Het hoeft niets meer te kosten. Bijleveld kan ook tegen het toeleverende bedrijf zeggen: u heeft een ondeugdelijk speeltje geleverd. U draait maar op voor de kosten om het goed werkend te krijgen. Wij hebben een oplossing besteld, niet een probleem.
Een overheid die de mond vol heeft van verantwoordelijkheden, moet zichzelf eens innoveren. De verantwoordelijkheid leggen waar die hoort. Wedden dat dat heel wat geld scheelt?

Een waterdichte pc

Een waterdichte pc U hebt natuurlijk al lang alle veiligheidsmaatregelen genomen om gezond en schadevrij uw pc te gebruiken. U neemt deel aan het internetverkeer, zonder last te hebben van virussen, inbrekers en computercrashes.

U ligt dan ook niet wakker van alweer een lek in Windows. U heeft er geen last van, u hebt een waterdichte pc. Voor de honderdduizendste keer, wordt er weer een dreigingsalarm afgegeven.
Dat producenten van besturingsprogramma’s en allerlei software niet in staat zijn veilige spulletjes te leveren, is wel irritant. Je bent min of meer verplicht aanvullende software te kopen, die je tegen je tegen virussen en ander ongemak beschermt. Dat is echter geen garantie tegen ellende, omdat de beveiligers continu achter de feiten lijken te lopen. Het verhaal van het verdronken kalf en de te dempen put.

Ook de overheid heeft er last van. Erg jammer als een programma, waar de gegevens van heel de bevolking mee wordt bijgehouden, zo lek als een mandje blijkt te zijn.
In Amerika wil president Obama de providers verplichten veiligheidslekken te dichten. In Nederland ligt er een wetsvoorstel om de providers te verplichten de lekken te melden. Logisch dat de overheid de verantwoordelijkheid bij de itc-bedrijven legt. Itc-projecten bij de overheid, leveren al een leuke bijdrage aan begrotingstekorten (spit verder bij Binnenlandse Zaken). Zou de overheid zelf volledig de veiligheid opdraaien, dan wordt het onbetaalbaar.

De providers zijn met beide wetsvoorstellen niet tevreden. Zo willen providers in Nederland niet dat hun meldingen van datalekken worden geopenbaard. Begrijpelijk, want dat is slechte reclame. De consument zou zomaar kunnen overstappen naar een provider , die de zaakjes beter voor elkaar heeft.

Zo
nu en dan vraag ik me af, waarom pc- en internetgebruik tot ellende voor de gebruikers (overheden en individuele burgers) moet leiden. Het is blijkbaar onmogelijk volledig veilige software en netwerken te leveren.
Dat is begrijpelijk omdat het om een relatief jonge technologie gaat. Technische hoogstandjes die al veel langer meegaan, zijn in de loop der jaren stukken veiliger geworden, maar toch crasht er nog wel eens vliegtuig en zijn ongelukken in het verkeer nog steeds van alle dag.
Aan de andere kant: veel van die ongelukken worden de gebruikers verweten. Menselijke foutjes. Het zou dus niet aan de techniek liggen.

Dat verschijnsel zie je nu ook bij computertechnologie. Gaat er iets fout, dan wordt de gebruiker verweten een te makkelijk te kraken wachtwoord verzonnen te hebben of dat hij/zij zich onvoldoende beschermd heeft tegen virus- en hackaanvallen.
Maar je verlangt van een autobezitter toch ook niet meer dan een rijbewijs, voldoende rijvaardigheid en oplettendheid in het verkeer? Moet de autobezitter dan ook nog op kosten worden gejaagd door zijn auto van gewapend beton te voorzien om zich beschermd te weten tegen aanvallen van weggebruikers die bewust op alle verkeersdeelnemers inrijden?

De wetsvoorstellen van de Amerikaanse en Nederlandse overheid mogen nog wat haken en ogen hebben, het is een stapje in de goede richting. De beste oplossing zou misschien zijn om leveranciers van alle ict-producten verantwoordelijk te stellen voor alle schade die hun materiaal veroorzaakt.

Wormen en maden

Wormen en maden Het wordt steeds drukker op het internet. Ondanks het gekrioel aan data, blijft het een bron van inspiratie. Helaas zijn is er ook wat irritatie.

1. Ik begrijp dat de boel betaald moet worden en dat reclame ertoe bijdraagt dat ik redelijk goedkoop door het web mag struinen. Maar er is al een tijdje een irritant verschijnsel gaande.
De reclame wordt steeds prominenter in beeld gebracht. Geen pop-upje meer ergens in een hoekje, maar pontificaal over de informatie, die ik eigenlijk wil lezen. Tot nu toe was dat snel op te lossen, want in de rechterbovenhoek van de reclame was snel het kruisje te vinden, waarmee je het weg kon klikken.

Dat moet dan weer irritant zijn geweest voor de reclamemakers. En die zijn vindingrijk, want nu gebeurt het steeds vaker dat het kruisje ergens anders staat en dan ook nog eens zo gekleurd dat het niet onmiddellijk opvalt. Al zoekende met de muis, blijft de reclame voor je ogen dansen. Dat valt niet onder het zo geroemde begrip ‘gebruikersvriendelijkheid’.
Wordt het niet eens tijd dat je bij de Reclamecodecommissie ook klachten kan indienen over hinderlijke, opdringerige reclame?

2. Met regelmaat publiceren beveiligingsfirma’s cijfers over onveilig spul, dat op het wereldwijde web rondspookt. Het gaat niet meer om een paar kritische studenten die een overheidssite belagen. Het gaat om
miljoenen aanvallen van wormen en Trojaanse paarden en ander dierlijk ongerief.
Het opvallende is dat de beveiligers in hun berichtgeving stellen dat een gemiddelde pc-gebruiker er weinig last van heeft. Maar het kan geen kwaad je toch van stevige beveiligingssoftware te voorzien.

Ik heb weinig verstand van wat er allemaal mogelijk is, daarom een vraagje aan de lezers. Is er nou een handjevol nerds bezig die overstelpende hoeveelheid malware rond te sturen? Of zijn er miljoenen internetgebruikers bezig met irritante hobby’s?
En natuurlijk de hamvraag: wat valt er tegen te doen?

Je zou zeggen dat hier een schone taak is weggelegd voor de overheid. Niet te beroerd om de normen en waarden veilig te stellen met wetten, gedragscodes en het in de smiezen houden van het digitale verkeer. Dan zou die overheid toch ook de wormen en maden eruit kunnen plukken?
Nu wil ik niet alles in de schoenen van de overheid schuiven, maar ook de overheid dwingt ons steeds meer de digitale snelweg op en ik vind het niet teveel gevraagd een veilige ruimte te verwachten.

Ik begrijp de haken en ogen die er aan een oplossing zitten. Maar omdat internet toch best te vergelijken valt met welke andere openbare ruimte dan ook, mogen we toch wel meer actie verwachten van de overheid?
En dan bedoel ik niet het lukraak meekoekeloeren in de bestanden van argeloze burgers.

Digid miskleun

Digid miskleun Het begon met een haast ongeloofwaardig artikeltje in de Metro, het eindigde met sussende woorden van staatssecretaris Bijleveld: met de Digid kon de verkeerde persoon de gegevens van een ander lichten.

Het artikeltje in de Metro was om een paar redenen ongeloofwaardig. Het verhaal was dat iemand per ongeluk in de gegevens terecht kwam van iemand met dezelfde achternaam. Dat moet dan ook met dezelfde voornaam of voorletters zijn geweest, ander is het al onmogelijk.
Dan moet ook het wachtwoord hetzelfde zijn geweest en het bizarre was, dat de inlogger juist zijn wachtwoord vergeten was. Door gewoon wat te proberen zat hij plotseling op de verkeerde webpagina.

In
de Metro zegt een woordvoerder van Binnenlandse Zaken dat toeval bestaat, maar dat zoiets nog nooit is voorgekomen. Dat zou Bijleveld later op de dag nader toelichten, maar daar kom ik zo nog op.
Eerst nog een andere ongeloofwaardigheid in het Metro-verhaaltje. De man die per toeval in een ander haar gegevens terecht kwam, zag dat een aangifte die hij een jaar eerder had gedaan ook in de gegevens van die mevrouw stonden. Had het toeval toen ook toegeslagen?

Een tankhouder in Castricum, die in het kader van zijn beroepsuitoefening een aangifte doet van illegaal tanken, komt door louter wat codes te proberen in de gegevens van een mevrouw, elders in het land. Je houdt het niet voor mogelijk.
Tsja, zegt die mevrouw, ik had ook geen uniek wachtwoord. Met andere woorden: die mevrouw heeft ooit een wachtwoord bedacht, dat makkelijk en per toeval door een ander kan worden ingetikt. Eén van de slordigheden waar internetgebruikers vaker voor worden gewaarschuwd.
Het betekent ook dat die tankhouder een jaar eerder hetzelfde, veel te makkelijke wachtwoord gebruikte.

Het berichtje werd opgepikt door een Kamerlid. Zoals gebruikelijk controleren Kamerleden de democratie door de krant te lezen. Een SP-kamerlid wilde in het wekelijkse vragenuurtje van staatssecretaris Bijleveld weten, hoe dat toch allemaal mogelijk was.
Ik dacht nog dat Bijleveld duidelijk ging maken dat het Metro-verhaal een verzinsel was, een canard, of een fantasietje van een publiciteitsbeluste tankhouder.

En
dan lezen we dat het wel zes keer per jaar voorkomt!
Dat het in dit geval kon gebeuren, is volgens Bijleveld de schuld van de naïeve mevrouw. Verder laat ze heel alert een bericht op de overheidssite plaatsen, waarin wordt uitgelegd dat gebruikers een ‘
sterk wachtwoord’ moeten gebruiken.
Bijleveld legt tevens uit dat
het dichttimmeren van overheidssites tegen dit soort ongelukjes een kwestie van afweging is tussen gebruiksvriendelijkheid en veiligheid.

Nu is het al gek dat bij het gebruik van de Digid niet om meer verplichte gegevens wordt gevraagd, voor je in kan loggen. Je geboortedatum, je adres, je geslacht, om maar eens wat te noemen. Want dat er meer mensen met dezelfde naam rondlopen is ook bekend. Zo uniek zijn familienamen en zeker voornamen nu ook weer niet.
Nog vreemder is dat bij het de Digid juist je eigen naam moet worden gebruikt. Op andere sites, bijvoorbeeld bij banken, gebruik je je e-mail adres of een zelf te bedenken username. De overheid moet deze techniek maar rap toepassen bij het gebruik van de Digid.

Want het is ondoenlijk dat we allemaal onze naam bij de burgerlijke stand gaan veranderen in een wat uniekere versie, omdat de overheid onze digitale veiligheid niet kan garanderen.
Naamsverandering kost bijna 500 euro, maar je zou het er bijna voor over hebben omdat steeds meer overheidsdiensten op digitaal gaan en door bezuinigingen er straks amper meer een gewoon loket open is. Misschien moet ik er toch eens over nadenken de naam Peter te veranderen in P.J. Cokema. Daar zijn er niet zoveel van.

Dan moet je die nieuwe naam wel weer onthouden. En zoals eerder op dit weblog betoogd: dat leidt alleen maar tot het mahsro-effect.
Mahsro staat voor mijn arme harde schijf raakt overbelast. Een verschijnsel dat op de oude versie van dit blog
werd geïntroduceerd en in het huidige weblog al eens in verband met de Digid werd gebracht en met de beperking van ons geheugen.
Mahsro is de term die
wereldberoemd is gemaakt door een Belgische journalist.

Maar zover hoeft het niet te komen. Zoals hierboven al gezegd: met een paar simpele aanpassingen kan misbruik van de Digid worden voorkomen.

Big Brother waarschuwt voor broertje

Big Brother waarschuwt voor broertje De AIVD (algemene inlichtingen- en veiligheidsdienst) zorgt voor ons aller veiligheid. Dat doet de dienst door ons inlichtingen te verstrekken. Over je kwetsbaarheid, als je een baantje hebt waar ‘gevoelige’ informatie bij aan te pas komt.

De AIVD waarschuwt onder andere voor
digitale spionage. Wel eens een gratis usb-stick gekregen van een zakenrelatie? Zo’n stick kan een paard van troje zijn. Eenmaal op je pc gestoken, zou een of andere veiligheidsdienst ineens toegang tot je digitaliteit kunnen krijgen.

Maar ook zonder allerlei gadgets vinden buitenlandse spionnen je wel. Op het internet, het worldwide web waar zo langzamerhand iedereen in verstrikt is geraakt. Volgens de AIVD zijn digitale netwerken als Hyves, LinkedIn en Facebook sites, waar ze zo personen kunnen vinden die, gezien hun profiel, kandidaten kunnen zijn om nader te bespioneren.

De AIVD waarschuwt nu vooral zakenmensen en wetenschappers voorzichtig te zijn. Ga gerust met je gezicht op Facebook, maar zet er dan niet dat je bij de kerncentrale in Borssele werkt, bijvoorbeeld. En wees achterdochtig als je een gratis laptop krijgt aangeboden.
De AIVD heeft zelf vervelende ervaring genoeg. De waarschuwende brochures heeft de AIVD als pdf-documenten op hun website staan. Volgens Security.nl zijn ze echter een tijdje er van af gehaald, omdat er een foutje in zat, waardoor identiteit en e-mailadressen van AIVD-medewerkers waren te achterhalen. Een foutje waarvan onlangs Google slachtoffer was.

Een AIVD die zelf niet voorzichtig genoeg is, hoe veilig is die voor onze veiligheid?
Dat informatie over het eigen personeel naar buiten kan, is niet handig maar het geeft aan hoe snel en makkelijk een fout is gemaakt. En dus geen garantie gegeven kan worden dat ook informatie van burgers verkeerd terecht kan komen.
In opdracht van het huidige kabinet verzamelt de AIVD wel erg veel informatie van burgers. Die verzamelwoede in combinatie met technologische tekortkomingen, is reden om er juist terughoudend mee te zijn.
De hoogste politieke baas van de AIVD, minister Ter Horst, heeft net de
Big Brother-award (initiatief van Bits of Freedom) gewonnen. Wegens een al te gemakzuchtige houding betreffende digitale verzameling en opslag van persoonsgegevens.

Tja, met zo’n baas zou de AIVD zelf gewaarschuwd moeten zijn en eerst eens de veiligheid van haar eigen digitaliteit onder de loep moeten nemen.
Overigens krijg ik zo langzamerhand de indruk dat het world wide web beduidend meer riskanter is, dan de real life open ruimte. Ik zou het jammer vinden, maar misschien is het veiliger het internet te slopen en terug te keren naar de analoge waan van de dag?

DSB-geld terug? Dig it

DSB-geld terug? Dig it Nog voor Kerst zullen de meeste DSB-klanten (een deel van) hun geld terugkrijgen, dat nu nog vast staat op betaal- of spaarrekeningen van de gevallen bank uit Wognum.
Da’s mooi op tijd, want de eerste vertraging is al een feit. De aanvragen uit het depositogarantiefonds van de DNB (De Nederlandse Bank) kunnen pas eind deze maand worden gedaan en niet deze week, zoals eerder was aangekondigd.

De tweede vertraging is vandaag aangekondigd. De
DNB waarschuwt: “Let op: als u een schriftelijke aanvraag doet, zal de procedure langer duren en moet u langer wachten op een vergoedingsbesluit
Waarom? Omdat het de bedoeling is met de DigiD de aanvraag te doen. De website die toegang geeft tot de digitale aanvraag wordt binnenkort geopend. Dat zal dus nog voor eind november moeten zijn.

Hoewel steeds meer Nederlanders (ruim 6 miljoen) een DigiD hebben, kan het voorkomen dat “e
r omstandigheden zijn waardoor u niet per computer en DigiD een aanvraag kan indienen”, aldus de DNB. Dat wordt dan een schriftelijk verzoek, maar of de gedupeerde DSB-klant dan nog een prettige Kerst zal hebben?

Er zijn sceptici ten aanzien van het digitaal contact met overheidsinstanties. Er kan natuurlijk iets fout gaan, zonder dat je dat achter de pc in de gaten hebt. Nu valt dat in de praktijk erg mee. De Nationale Ombudsman kreeg in 2008 nog maar
negen klachten. In 2007 waren dat er nog twintig. Niet veel op de 6 miljoen DigiD-houders.
De klachten betreffen vooral “de gebruiksonvriendelijkheid van de DigiD-aanvraagsoftware, het niet-ontvangen van een DigiD-activeringscode en de beperkte hulpverlening van de helpdesk”, constateert de Ombudsman.

Met betrekking tot veiligheid en service heeft de Ombudsman twee klachten nader onderzocht en geconcludeerd dat de overheid tekort schoot. Eén geval betrof de ex van een vrouw die de DigiD misbruikte om haar dwars te zitten. De andere zaak ging over een kwestie van naamsgeving waar de DigiD geen raad mee wist en waadoor de activeringscode te laat bij de eigenaresse aankwam.

Wat de veiligheid betreft:
dagblad Trouw publiceerde begin augustus een artikel, waarin Paul van Brouwershaven, technisch directeur van beveiligingsbedrijf Networking4all, proefondervindelijk had ontdekt dat 80 procent van de overheidssites beroerd omspringen met privacygevoelige gegevens. Formulieren waarmee je digitaal aanvragen kunt doen, zijn slecht beveiligd, waadoor het mogelijk is je burgerservicenummer kwijt te raken aan digitale boeven.
Volgens Paul van Brouwershaven heeft hij zijn bevindingen gemeld bij de overheid, maar heeft deze er nog niets mee gedaan.

Ja, waarschuwen. Dat wel. Een van de
veiligheidsadviezen van de DNB: “Vertrouw geen onbekenden ook al presenteren zij zich met een professioneel uitziende website en maken zij gebruik van bestaande adressen én personen”. Dus zoek eerst uit of je op de echte DNB-site zit.

Logisch dat niet iedereen popelt om aan de DigiD te gaan. Wellicht ook getraumatiseerde DSB-klanten. Je laat je niet één keer piepelen, toch? Dus volg je de oproep van de overheid zelf, voorzichtiger te zijn op internet. Misschien wel zo voorzichtig dat je internet mijdt, als het om belangrijke zaken als je geld gaat. Maar doe je een schriftelijk verzoek, zul je de kerstmaaltijd toch op een andere manier moeten zien te financieren.
Een veilige lening zoeken?

Alweer een zorgalarm.

Alweer een zorgalarm Steeds minder zorginstellingen in Nederland hanteren de code van informatiebeveiliging. Een bericht dat klakkeloos is overgenomen door De Telegraaf en websites voor de beveiligingsbranche en de medische sector.

Het alarm is afgegeven door Niscayah, een bedrijf dat beveiligingsoplossingen verkoopt aan de zorgsector. Dit bedrijf onderzoekt elke twee jaar de beveiliging in de zorg en
constateert nu dat van de 88 respondenten “slechts 23% van de respondenten de code informatiebeveiliging hanteert, t.o.v. 57% in 2007”. De respondenten zijn werkzaam in ziekenhuizen en verpleeghuizen.

Volgens het bedrijf is niet alleen de ict-beveiliging onvoldoende (denk aan het EPD!), 20% van de brandmeldinstallaties zijn niet goedgekeurd, het aantal stroomstoringen neemt toe en de beveiliging tegen inbraak en agressieve indringers, is veelal verouderd.
Nu heeft Niscayah er natuurlijk een commercieel belang bij de zorgsector op de gaten en de lekken te wijzen. Het bedrijf biedt immers de oplossingen? Als je nagaat dat 88 respondenten op zo’n 1845 zorginstellingen wat weinig is, dan lijken de percentages wel mee te vallen. Ter verduidelijking: er zijn in Nederland zo’n 140 ziekenhuizen,ongeveer 342 verpleeghuizen en maar liefst 1363 verzorgingshuizen. De cijfers zijn uit 2004 en 2005 en dus misschien niet helemaal actueel, maar veel zal het niet schelen.

Maar het commerciële bedrijf is niet de enige die maar aan een paar zorginstellingen genoeg heeft om de alarmbel te luiden.
In 2008 meldde het CBP (College Bescherming Persoonsgegevens) dat een onderzoek naar de informatiebeveiliging bij 20 ziekenhuizen, genoeg was voor de IGZ (Inspectie Gezondheidszorg), om alle ziekenhuizen de opdracht te geven een plan van aanpak op te stellen. In 2009 liet de IGZ weten dat bij van de twintig onderzochte ziekenhuizen de boel nog niet op orde hadden en dat van de 72 ziekenhuizen die niet waren onderzocht, er nog eentje was die helemaal geen plan had ingediend.

Nou is een plan van aanpak één ding, de werkelijke uitvoering is weer wat anders.
In 2006 deden 51 ziekenhuizen mee aan een enquête van RTL Nieuws en de Nederlandse Vereniging van Ziekenhuizen (NVZ). Daaruit bleek dat de beveiliging tegen insluipers en diefstal nog beter kon, dan met de 50 miljoen euro aan beveiligingsmaatregelen al was bereikt. De voorzitter van de NVZ deed uiteraard een beroep op de overheid voor een bijdrage in de kosten ter verbetering.Het beveiligingsbedrijf Niscayah stelt dat 76% van haar 88 respondenten vond dat de overheid over de brug moet komen om de veiligheid te verbeteren.
Een zorgbestuurder
in Noord-Holland stelt dat de beveiliging bij de woonzorgcomplexen in zijn regio niet beter zal worden. Het geld ontbreekt.

Tja, dan moet de premie voor de zorgverzekering maar omhoog, zodat particuliere beveiliging in het basispakket kan. De patiënt mag zelf beslissen of hij/zij een eigen bewaker meeneemt naar ziekenhuis of verpleeghuis. Doet de patiënt dat niet, valt het natuurlijk onder eigen risico.
En de beveiliging van de ITC? Een illusie. Want als je de continue berichtgeving leest over lekkende systemen, virus- en phishing aanvallen, dan lijkt het wel of de virtuele criminaliteit vele malen groter is dan de hele beveiligingsindustrie aan kan.