Steeds meer organisaties krijgen te maken met onregelmatigheden zoals fraude, issues rond integriteit en last but not least cybercriminaliteit. De mens is daarbij vaak de zwakste schakel. Maar tools helpen om deze risico’s te beperken. Met tools worden mensen geholpen, gecontroleerd, getraind of vervangen. Er zijn tools voor gedragsondersteuning en voor technische ondersteuning. De ontwikkeling gaat op beide terreinen erg snel en lijkt technisch nagenoeg onbegrensd. Er zijn wel enkele andere uitdagingen en beperkingen. Het onderzoek naar tooling en de ontwikkeling daarvan biedt interessante mogelijkheden in de hele keten bij het terugdringen van onregelmatigheden: bewustmaking, training, preventie, detectie, toezicht, handhaving, onderzoek, vervolging, sanctie, monitoring en bijsturing.
Continue reading…

Geert Haisma

De ontwikkelingen in de automatisering zorgen ervoor dat bedrijven wereldwijd kunnen profiteren van een snelle technologische vooruitgang. Een enorm voordeel hiervan is dat het flink scheelt in de kosten. Echter, brengt deze vooruitgang ook cybersecurity risico’s met zich mee, waardoor informatiebeveiliging en privacy hoog op de agenda zijn komen te staan van iedere organisatie. Volgens het Verizon Data Breach Investigations Report (DBIR), waarin onderzoek is gedaan naar 3950 datalekken, hebben 86% van de wereldwijde cyberaanvallen een financieel gemotiveerde achtergrond. Deze aanvallen worden uitgevoerd door criminelen die op diverse manieren toegang krijgen tot de digitale infrastructuur van een organisatie. Een dergelijke aanval kan hoog oplopen in de kosten. Heeft u als organisatie uw informatiebeveiliging op orde en zijn uw processen ingericht in een Information Security Management System (ISMS) om dit ook daadwerkelijk op orde te houden? Dan bent u een stuk minder kwetsbaar. Inzicht in de vormen van cybercriminaliteit en de maatregelen om succesvolle aanvallen te voorkomen is tegenwoordig van groot belang. Continue reading…

Hans Timmerman

Huisvredebreuk of woonstschennis is het zonder toestemming en tegen de wil van de eigenaar of gebruiker binnendringen van een woning. Huisvredebreuk is in Nederland een misdrijf dat strafbaar is gesteld in het Wetboek van Strafrecht. Ook computervredebreuk gebruik valt tegenwoordig net als lokaalvredebreuk onder deze categorie overtredingen. Computervredebreuk is het opzettelijk en wederrechtelijk binnendringen in een geautomatiseerd werk of een deel daarvan. We verstaan daaronder het doorbreken van een beveiliging door een technische ingreep met behulp van valse signalen of een valse sleutel of door het aannemen van een valse hoedanigheid. De strafmaat voor dit misdrijf wordt verhoogd als er gegevens worden gestolen, oneigenlijk verwerkingscapaciteit is gebruikt of de inbraak de start van een andere inbraakpoging is. Dus activiteiten als hacken, het overnemen van iemand computer en het installeren van spyware zijn in Nederland verboden en strafbaar.

Continue reading…

Hans Timmerman

De kern van cryptografie is het verbergen of dusdanig versleutelen van te verzenden informatie, dat het voor een afluisteraar (bijna) onmogelijk is om ‘mee te luisteren’. Het woordje ‘bijna’ is de mate van inspanning die de afluisteraar moet doen, om af te leiden wat de oorspronkelijk verzonden informatie was. Met de komst van de computer werd het mogelijk de versleuteling sneller uit te voeren en een groter aantal mogelijke sleutels te gebruiken. Je hebt enerzijds symmetrische versleuteling, waarbij beide eindpunten in het bezit moeten zijn van de sleutel. De uitdaging is om die sleutel veilig bij beide uiteinden te krijgen en te bewaren. Bij asymmetrische versleuteling echter maakt een algoritme tegelijkertijd een publieke en een geheime sleutel aan. Het voordeel is dat de geheime sleutel niet hoeft te worden uitgewisseld, terwijl de publieke sleutel algemeen bekend mag zijn. De twee sleutels zijn aan elkaar gekoppeld. Als iemand jou een bericht stuurt dat met de publieke sleutel is geëncrypt, kun je dat bericht alleen met de privé sleutel decrypten. De veiligheid hangt vanzelfsprekend af van zowel de lengte van de sleutel als de kwaliteit van het algoritme.  Continue reading…

De Europese Commissie is onlangs begonnen met het overleg met de deskundigengroep van de lidstaten inzake duurzame financiering en het platform voor duurzame financiering over de ontwerptekst voor een aanvullende gedelegeerde handeling betreffende bepaalde gas- en nucleaire activiteiten. De EU-taxonomie stuurt en mobiliseert particuliere investeringen in activiteiten die nodig zijn om binnen 30 jaar klimaatneutraal te kunnen worden. De energiemix in Europa verschilt momenteel van lidstaat tot lidstaat. Sommige delen van Europa maken nog steeds intensief gebruik van steenkool, waarbij veel koolstof wordt uitgestoten. De taxonomie omvat energieactiviteiten die de lidstaten in staat stellen om uit verschillende posities naar klimaatneutraliteit te evolueren. De Commissie houdt rekening met zowel het wetenschappelijk advies, de huidige technologische vooruitgang en de uiteenlopende transitieproblemen in de lidstaten. Op basis daarvan is de Commissie van mening dat aardgas en kernenergie de overgang naar een hoofdzakelijk op hernieuwbare energiebronnen gebaseerde toekomst kunnen faciliteren.  Continue reading…

Ruim vijftien procent van de Nederlandse pensioenfondsen en verzekeraars heeft aangegeven in het afgelopen jaar te maken te hebben gehad met aanzienlijke financiële schade door beveiligingsincidenten en datalekken. Tevens heeft ruim vijf procent van de instellingen in die periode te maken gehad met een geslaagde cyberaanval (ongeautoriseerde toegang). Niet alleen het aantal cyberaanvallen neemt toe, ook de ontwrichtende impact van aanvallen wordt steeds groter. Daarom deelt toezichthouder De Nederlandsche Bank (DNB) voorbeelden voor de beheersing van deze risico’s in Q&A’s en Good Practices. DNB voert ook sectorbrede en individuele onderzoeken uit bij instellingen en zij werkt op onderdelen samen met de financiële sector om de weerbaarheid van instellingen verder te versterken. In de IB-monitor 2021 van DNB treft u hun waarnemingen aan op het gebied van informatiebeveiliging en cyberrisico’s, gebaseerd op toezichtonderzoeken en -uitvragen binnen de Nederlandse financiële sector.  Continue reading…

Hans Timmerman

Voor velen is ‘het internet’ een vaag begrip. Net zoals elektriciteit en water weten velen bij het internet niet waar al die draden, kabels en leidingen uiteindelijk terecht komen. Internet is een echte nutsvoorziening geworden: via je aansluiting heb je informatietechnisch toegang tot de hele wereld. Alle nutsvoorzieningen zijn centralistisch opgezet. Op centrale plaatsen wordt elektriciteit, water of informatie aangeboden en via vertakte netwerken naar individuele gebruikers geleid. Net als radio en tv is er centrale creatie en lokale ontvangst. Onze nutsvoorzieningen zijn nooit ontwikkeld voor lokale creatie. Het zijn ‘afname-punten’. In mijn tuin heb ik een eigen waterput die mij via pomp en aparte leidingen water levert om mijn tuin te sproeien, maar ook mijn wc, wasmachine, vaatwasser, douche en bad van water te voorzien. Hoewel het drinkbaar water is, mag ik dat water nooit terugpompen de officiële drinkwatervoorziening in. Immers het is niet getest en gecertificeerd. Deze eigen bron op 40 meter diepte reduceert echter wel 90% van mijn gebruik van ‘kostbaar’ centraal drinkwater.
Continue reading…

En weer is het prijs. Luchtvaartmaatschappij Transavia krijgt een boete van de Autoriteit Persoonsgegevens (AP), waartegen ze niet in bezwaar gegaan zijn, van 400.000 euro. Slechte beveiliging van persoonsgegevens was de oorzaak. In 2019 kon een hacker in de systemen van Transavia binnendringen, die daarbij toegang had tot systemen waarin hij gegevens van zo’n 25 miljoen mensen had kunnen inzien. Er is evenwel vastgesteld is dat de hacker persoonsgegevens van zo’n 83.000 personen downloadde. De hacker drong in september 2019 binnen in de systemen van Transavia, door twee accounts van de IT-afdeling van het bedrijf te gebruiken. Dat bleek veel te makkelijk te gaan.
Continue reading…

Hans Timmerman

Data verwerken, transporteren en opslaan kost veel elektrische energie; één van de mooiste en hoogste energievormen die we hebben. Die elektriciteit is nodig om al die elektronen in de vele chips te laten bewegen, maar creëert daardoor ook warmte. Een datacenter is dus ook een plaats waar we hoogwaardige elektriciteit verbranden tot weinig bruikbare, laagwaardige warmte. Warmte die we zo snel mogelijk uit dat datacenter moeten afvoeren om de temperatuur van die chips acceptabel te houden. Elektronica houdt namelijk niet van hoge temperaturen, 40 graden is fijn, 70 graden is een serieuze limiet en bij 100 graden zal het substraat het niet lang volhouden. Een datacenter is naast een hoogwaardige informatievoorziening op de keper beschouwd ook een hele grote elektrische verwarming van tientallen megawatt. Maar we kunnen niet zonder datacenters. Zonder data staat onze maatschappij en economie stil.  Continue reading…

Vorige week is het Risk in Focus 2022 rapport gepubliceerd. Organisaties en hun internal auditfuncties zien zich geconfronteerd met een hoog tempo van veranderingen en ongekende onzekerheid. De pandemie heeft de bedrijfsvoering en wijze van werken ingrijpend veranderd, de verhouding tussen vraag en aanbod verstoord en heeft voorheen gezonde bedrijfsmodellen geraakt in een mate die weinigen voor mogelijk hielden. Inmiddels dreigt klimaatverandering dezelfde effecten te hebben. Ieder jaar werken de Europese instituten voor Internal Auditors samen om de belangrijkste risico’s te inventariseren voor het komende kalenderjaar. De resultaten zijn bedoeld als hulpmiddel voor het opstellen van de auditplannen voor 2022 én geven de bestuursorganen goed zicht op welke uitdagingen hen komend jaar te wachten staan.
Continue reading…