Author Archives: Johan Vermij

Voorstel WOZ Openbaar is schending Privacy

Posted on by

In de Metro van 1 maart las ik een artikel waarin de D66 Kamerleden Wassila Hachchi en Kees Verhoeven voorstellen om de WOZ gegevens openbaar te maken.  “Het is voor gemeenten belangrijk transparant te zijn, terwijl het voor woningeigenaren handig is zelf te checken hoe die waarde tot stand is gekomen. Je kunt bijvoorbeeld kijken hoe het bij de buren zit. Nu kom je daar alleen achter door er eens beleefd op een verjaardagsfeestje naar te vragen.” Dit lijkt sympathiek en handig, maar ik vraag me af in hoeverre deze politici de impact van hun voorstel overzien.

Foto WFA/Metro

De WOZ informatie wordt al jaren gebruikt door de belastingdienst, makelaars en banken. Voor potentiële kopers is het natuurlijk handig om zelf even na te kunnen kijken hoeveel hun droomhuis waard is. De site Kadasterdata springt daar al handig op in en biedt deze informatie tegen betaling. Hoewel dit ook al op een glijdende schaal zit, wordt het pas echt gevaarlijk als de WOZ gegevens in de categorie ‘Open Data’ gaan vallen zoals de kamerleden voorstellen. In een eerder artikel schreef ik;

Vanuit de Europese Commissie, De Nederlandse Overheid en de lokale overheden wordt er vol ingezet op Open Data: Gemeenten en overheden moeten hun informatie beschikbaar stellen voor andere partijen. Op deze wijze kan miljarden bespaard worden. Volgens het EPSI Platform zelfs 27 Miljard. Maar om welke informatie gaat het dan? De plek van de lantaarnpalen in uw gemeente, de WOZ waarde van uw woning (zoals in het eerder genoemde voorbeeld van Kadasterdata), demografische gegevens, kwaliteitsmetingen enzovoorts. Dit alles gelukkig wel onder bepaalde voorwaarden. Welke informatie wel en niet? Blijkbaar de informatie uit het basisregister kadaster wel. Gaat de informatie uit het Handelsregister ook openbaar worden?

Financiële gegevens ervaren we vaak toch wel een beetje als privé. Ik heb ook wel eens een collega gevraagd wat hij precies verdiende. Je wordt toch een beetje vreemd aangekeken. Dat vraag je toch niet! Behalve dat het ‘not done’ is om naar de financiële situatie van je buren of collega’s te vragen vraag ik me sterk af of informatie als de WOZ waarde ook niet in de categorie privacy gevoelige gegevens hoort te vallen en het CBP hier toezicht op moet uitoefenen.

Want hoewel sec gezien de WOZ waarde gaat over de waarde van objecten ontstaat er met het openstellen van de WOZ gegevens een nieuwe bron met gegevens die aan personen gekoppeld kunnen worden. En daar wordt het eng! Nu is het zo dat Makelaars en banken deze gegevens kunnen opvragen t.b.v. het verstrekken van een hypotheek. Ook particulieren kunnen dit doen, maar nog wel met een drempel: Betalen voor de gegevens. Bij het volledig openstellen van de data vervalt deze drempel. Een slimme crimineel doet wat aan datamodulatie en legt het bestand naast de telefoongids en weet precies welke persoon eigenaar van het huis is en de waarde daarvan. Met een beetje Funda rekenen we de maandlasten uit. Een beetje verder frunniken weten we via LinkedIn wat voor baan die persoon heeft en via Salarisindicatie hoeveel die ongeveer verdiend. Reken maar uit wat er nog aan besteedbaar maandinkomen is. Is iemand chantabel? Of moet hij wel veel overhouden en is er wat te halen voor het dievengilde?

WOZ Open Data is een eerste bron. Hoeveel zullen er volgen? De crimineel van morgen begint zijn dag achter de PC. Informatiebronnen combineren en modelleren. Hij doet aan profiling. Op basis van de beschikbare datamodellen creëert hij het meest lucratieve slachtoffer profiel en voor het donker wordt heeft hij de route uitgestippeld die hem het meest oplevert!

Aan de andere kant: Wat doet de overheid met deze informatie? Natuurlijk beschikt de gemeente en de belastingdienst al over deze informatie. Ze wordt immers daar bepaald om de gemeente heffingen te waarderen. Maart wanneer bijvoorbeeld de politie aan dezelfde datamodulatie gaat doen als de crimineel zit je met een tikkeltje zware hypotheek misschien direct in het verdachtenbankje als het om fraudezaken gaat.

Om deze redenen valt de waarde van mijn woning voor mij ook in de categorie privacy gevoelige informatie, en dat deze data niet publiek toegankelijk mag worden. Wel kan deze onder bepaalde voorwaarden raadpleegbaar zijn door gespecificeerde afnemers, net als bij bijvoorbeeld de basisregistratie Persoonsgegevens. Daar zijn landelijk zo’n 900 afnemers van de gegevens die aan strikte voorwaarden moeten voldoen om over deze gegevens te kunnen beschikken. Dit alles staat onder toezicht van het CBP. Wat mij betreft dus ook de WOZ gegevens onder dat toezicht.

Elke politieke partij een CTO

Posted on by

“Het wordt allemaal wel heel complex.” Ik hoor dit steeds vaker om mij heen. Voor veel mensen is de technologische ontwikkeling niet meer bij te houden. Hoe groter het bedrijf, hoe complexer de IT infrastructuur wordt. Er is bijna geen beroep meer te bedenken waar de informatie technologie niet zijn intrede gemaakt heeft. Alles digitaliseert.

En kijk dan eens naar de overheid die in feite honderden producten aan miljoenen klanten verkoopt. Zelfs een lokale overheid als, bijvoorbeeld, de gemeente Ede heeft al bijna 100.000 klanten. Het maakt eigenlijk niet uit of je bij een gemeente digitaal een verhuizing door geeft of bij Bol een boek besteld. Het is een digitale transactie waarbij bijvoorbeeld persoonsgegevens over de lijn gaan. De systemen worden zo complex en we stellen ook nog eens zoveel eisen aan beveiliging en privacy dat de benodigde infrastructuur al snel behoorlijk ingewikkeld wordt. En al helemaal als we complexe nieuwe dingen gaan doen als het EPD of OV Chipkaart en bijvoorbeeld de invoering van de Basisregistraties. We zien zelfs mogelijkheden om nog verder te gaan. Binnen de overheid wordt enthousiast gekeken naar Open Data principes waarin data gedeeld kan worden en door andere (ook commerciële-) partijen gekoppeld en gecombineerd kan worden tot een nieuw product. De vraag is of we met ons allen de impact van Open Data op onze privacy en de ‘beveiligbaarheid’ van onze gegevens kunnen overzien.

Open Data Collage by Reekx

Adjiedj BakasVorige week werd het nieuwste boek van Trendwatcher Adjiedj Bakas over het Einde van de Privacy gepresenteerd. Bij de presentatie stelde de heer Tjin-a-Tsoi, directeur van het NFI dat nu al 50% van alle criminaliteit een Cyber component heeft. In plaats van meer blauw op straat moet er meer blauw op het internet schrijft Bakas in zijn boek. Over de rol van de overheid schrijft Bakas ondermeer;

“Internetveiligheid en privacyschendingen zullen de komende jaren belangrijke kwesties worden voor de overheid. Zij bevindt zich daarbij in een spagaat, want enerzijds verwachten burgers van de overheid dat die hun veiligheid garandeert, ook op het internet, en anderzijds is diezelfde overheid het zwarte schaap wat privacyschendingen betreft. Dat laatste is ook geen wonder, want de overheid beschikt over veel gevoelige informatie van burgers, en de regels omtrent de toegang tot die informatie zullen de komende jaren duidelijk vastgesteld moeten worden.”

De uitspraak in van de Hoge Raad in de Runescape zaak eerder deze week geeft ook te denken. Door gebrekkige wetgeving op het gebied van digitaal eigendom duurt het meer dan 3 jaar voordat er een definitieve uitspraak is in –eigenlijk maar een- klein vergrijp. En dit is maar een eerste voorbeeld van een serie wetten die nog achter lopen op ons digitale tijdperk. Voormalig tweede kamerlid Ed Anker geeft aan dat hij bij de debatten over de beveiligingschips wel eens opgemerkt heeft dat de overheid altijd een paar jaar lijkt achter te lopen. Een rondgang langs verschillende politieke partijen leert dat de meeste partijen echter vinden dat ze er ‘bovenop zitten’ maar dat ze vaak wel twijfels hebben over de deskundigheid op lokaal niveau.

De wet en regelgeving, en zeker het strafrecht is nog niet 2.0 ready. Discussies over de digitale vrijheid als SOPA, PIPA en ACTA (anti piraterij wetgeving) worden nu gekaapt door anarchisten als Anonymous bij gebrek aan visie en kennis in de politiek.

Op allerlei vlak speelt de ICT een grote rol die alleen nog maar groter wordt en in de komende jaren zal ook de politiek belangrijke keuzes moeten maken. En wetten. En het wordt steeds complexer. Mogen wij van de landelijke, provinciale en lokale politici verwachten dat zij de impact van de keuzes kunnen overzien als zelfs de beste IT architecten er al niet uitkomen?

Jawel. Dat mogen wij. In de politiek worden keuzes gemaakt die ons hele leven, onze samenleving beïnvloedden. Juist met het oog op deze aspecten is wordt het steeds belangrijker dat juist de politici de technologie gaan snappen, dat partijen over de IT impact van de voorstellen in hun partijprogramma gaan nadenken. Het is de hoogste tijd dat de politieke partijen een CTO, een Chief Technology Officer gaan aanstellen die dit in het snotje gaat houden.

Uitspraak Hoge Raad in de Runescape zaak

Posted on by

(English Summary Below)

Op dit blog probeer ik zo nu en dan mijn gedachten over privacy, cyber criminaliteit en de toekomst van het internet weer te geven. Dat beperkt zich vaak tot de grote opvallende dingen, maar deze keer wil ik toch een pietepeuterig dingetje er uit lichten, namelijk de uitspraak van de Hoge Raad in de Runescape zaak.

In de periode 2006-2009 heb ik veel geblogd over virtuele werelden en in 2008 speelde deze zaak, die in de blogosphere nogal wat aandacht trok, waarbij een stel pubers een 13 jarige jongen bedreigden en een aantal virtuele items uit het spel Runescape buitmaakten. Op 21 oktober 2008 deed het gerechtshof in Leeuwarden een uitspraak waar ik op mijn oude blog een artikeltje aan wijdde. Vandaag heeft de Hoge Raad een uitspraak in deze zaak gedaan. De uitspraak is geen verassing, maar een bekrachtiging van de uitspraak in 2008;

“Virtueel amulet en masker in het online spel Runescape kunnen worden aangemerkt als ‘goed’ in de zin van art. 310 Sr en zijn vatbaar voor diefstal. “

De Hoge Raad heeft nu dus bevestigd dat virtuele goederen, zoals die in computerspellen en virtuele werelden hetzelfde bejegend dienen te worden als materiële bezittingen. De uitspraak is nu definitief, maar de interessante discussie begint nu pas. Hieruit volgt dat je dus met een virtuele, digitale identiteit bezit kunt opbouwen en wordt de vraag actueel wat er met deze bezittingen gebeurd na je dood. Kunnen ze onderdeel uitmaken van een erfenis? Aan wie vervalt het eigendom? Gaat de waarde van het virtuele bezit meetellen voor de bepaling van de hoogte van alimentatie? Dezelfde vragen gelden in min of meerdere mate voor blogs, voor Facebook profielen.

Wat zou moeten volgen uit deze uitspraak is dat veel wetgeving herzien moet worden, gemoderniseerd moet worden om bezit en intellectueel eigendom en de bescherming van digitale identiteit. Deze vragen speelden 4 jaar geleden ook al, maar helaas is de wetgeving nog steeds niet klaar voor in toenemende mate digitaal geëngageerde wereld.

English:

Today the Dutch Supreme Court confirmed a 2008 ruling of a lower court in the Runescape Case. Back in 2008 this was quite a controversial trial as it was the first ruling which declared virtual goods as on the same level as material goods. On my old Mindblizzard blog I discussed the 2008 ruling (in English). The case was about two teenagers who coerced a13 year old in order to gain an amulet and talisman in the Runescape game. Now, 3.5 years later the Supreme Court has confirmed this is actual theft.

Almost 4 years ago I was blogging virtual worlds on the MindBlizzard, and now, on this blog it’s about privacy and security. To me, this case has a little bit of both. With this ruling virtual goods will be protected under law, but it raises a whole new discussion. Apparently one can create a virtual identity and acquire posessions with this identity. But what happens after you die? Can someone inherit the goods, or the represented value? Will the value be taken into account for instance in determining the height of alimony? The same counts more or less for blogs and Facebook accounts. 

Today’s ruling is almost 4 years after the original verdict, yet the laws haven’t changed yet and the discussion needs to continue as it asks for a revision of many laws on intellectual  property and the protection of the digital identity. The law still is not ready for today’s world of growing digital engagement.

Het einde van de Privacy

Posted on by

Vrijdag 27 februari werd bij het Nederlands Forensisch Instituut (NFI) het nieuwste boek van Trendwachter Adjiedj Bakas gepresenteerd met de titel “Het Einde van de Privacy

Adjiedj BakasDat is natuurlijk een onderwerp dat ons aanspreekt. Het boek van Bakas moeten we niet lezen als een roadmap voor IT vernieuwing en voert geen diepgaande analyse uit over de problemen in de IT maar is een lekker vlot lezend boek waarin diverse trends geschetst worden waar we wel iets mee moeten.

Het is geen inhoudelijk boek wat de Security specialisten of het Nationaal Cyber Security Centrum (NCSC) als bijbel gaan hanteren, maar toch denk ik dat het boek in het komende jaar een belangrijke plek kan innemen in de discussie over security omdat het het onderwerp verheft boven het technische geneuzel van de IT afdeling en het van een abstracte academische discussie omlaag haalt naar een praktische discussie die op elke management tafel gevoerd zou moeten worden.

Directeur NFIEr is bijna geen enkel terrein in onze samenleving wat niet door IT geraakt wordt. Steeds meer systemen worden aan elkaar gekoppeld en onze privacy – zoals we het nu kennen – staat op het spel. Bakas stelt dat we het begrip privacy gaan herdefiniëren, wat onderschreven wordt door de heer Tjing a Tjoy, directeur van het NFI. Leo Habers, Reasonnet

Daarnaast zal er niet meer blauw op straat komen, maar blauw op het net. 50% van alle criminaliteit nu heeft al een ‘cyber’ aspect, een digitale component. Directeur Leo Habers van het IT bedrijf ReasonNet zegt na een korte aarzeling dat hij ook de mening toegedaan is dat alles te hacken is.

Hoewel ICT het fundament onder deze veranderingen is gaat het ook om hoe wij met elkaar omgaan en elkaars privacy respecteren. Meerdere columns in het boek van Bakas belichten deze kant van de medaille, waaronder de column van Henk Jan Smits. Bakas beticht hem er van de privacy van vele onschuldige deelnemers van het programma Idols om zeep gebracht te hebben.

Gebruik het boek niet als beleidsdocument voor de IT agenda van de komende 5 jaar, maar ik raad zeker aan het boek wel te gebruiken om de thema’s op de agenda te krijgen.

Het boek zelf is verkrijgbaar bij (oa) Bol.com voor 22,50 EUR.

Foto’s M. Oosterbaan, HeerO

Opening NCSC, een Cyber Delta Plan

Posted on by

Vorige week donderdag opende minister Ivo Opstelten met een spectaculaire lasershow het nieuwe Nationaal Cyber Security Centrum, het NCSC. De opening vondt plaats in het World Forum in Den Haag met een aantal plenaire sessies en diverse workshops.

Vlak voor de lunch sloot Melissa Hathaway het ochtendeel af met een verassend techniekloze lezing. Ondanks dat ze haar speech op handgeschreven kladjes voor zich had en geen gebruik maakte van de beamer wist ze de aandacht goed vast te houden, wat natuurlijk een prestatie an sich is.

Melissa Hathaway was security adviseur bij zowel de regering Bush als de regering Obama en gaf een korte overview van de geschiedenis van het internet. Met de opening van het NCSC ziet ze dat Nederland weer een leidende positie in Europa kan gaan innemen. En dat is nodig. Er komt een golf van cyberterrorisme op ons af. Er zijn nu al meer dan 67.000 nieuwe malware bedreigingen per dag. En het zal alleen maar erger worden.

20120116-100208.jpg

Met een verwijzing naar de Watersnoodramp in 1953 en het daaropvolgende Delta Plan riep ze op om ook tot een Delta Plan te komen voor de bestrijding van Cybercrime. Hierin moeten we al onze kennis en kunde bundelen. Om dit goed te doen geeft ze het advies om Disney in te huren. Eén van de belangrijkste must do’s is het creeëren van Awareness. De boodschap moet gecommuniceerd worden, en wie kan dit beter doen dan deze filmstudio. Naast Awareness moeten we ook onze strategie durven aanpassen onderweg. Cyberterroristen zijn inventief. De aanvalsstrategie moet dan ook voortduren evolueren. Een derde aandachtspunt is de resourcing van de strategie. Zorg dat er voldoende middelen zijn om die strategie daadkrachtig uit te voeren.. Een vierde aadachtspunt volgens Hathaway is wendbaarheid. ‘Remain Agile’ en tenslotte is het nodig dat we onze ‘stem vinden’ Lange tijd hebben we in Nederland een beetje achter de rest aan gehobbeld, maar met het NCSC hebben we de kans om weer een lichtend voorbeeld te worden in Europa. We moeten onze kennis uitdragen en Europa voorgaan.

Cyberoorlog – Gaaaap!

Posted on by

In mijn vorige artikel over het einde van de email refereerde ik aan het trendrapport van McAfee. Een bepaalde zinsnede uit het rapport viel me op:

Will this be the Year of Cyberwar, or merely a showcase of offensive cyberweapons and their potential? While we certainly hope it’s only the latter, the situation’s growth during recent years makes an eventual cyberwar nearly inevitable

Een snelle tweet leverde wel wat verschillende reacties op, variërend van “Gaaaaaaaaap” tot “Ik hoop dat ze dan genoeg professionals hebben om het op te lossen” Ik schrok zelf nogal van de eerste reactie want de impact kan immens zijn.

De impact van een cyberoorlog
Vooropgesteld dat alles te hacken is de kans groot dat een cyberoorlog verwoestend is. In een samenleving waarin steeds meer systemen aan elkaar gekoppeld worden én aan het internet kan de impact van een georganiseerde cyberaanval catastrofaal zijn, wereldomvattend.

In de afgelopen jaren hebben we genoeg voorbeelden gezien om – als we impact op ons laten inwerken – de dag van de cyberoorlog met vrees en beven tegemoet te zien. In de afgelopen jaren waren het gerichte, individuele aanvallen die aangetoond hebben dat de veiligheid niet alleen bij onwetende particuliere pc eigenaren ligt maar dat inderdaad alles te hacken is. Deze week berichtte NU nog over een nieuwe hack waarmee via printers op netwerken ingebroken kon worden. Maar ook gevangenisdeuren , banken , beurzen , logistieke systemen, waterkrachtcentrales, kerncentrales, wapenfabrikanten , watervoorziening en verwarmingssystemen zijn niet veilig, om maar een paar voorbeelden te noemen.

Bijna alle netwerken zijn op één of andere wijze gekoppeld aan het internet; omdat wij graag online verzekeringen willen afsluiten of onze bankzaken willen regelen, of omdat de werknemers ook graag thuis willen werken. Maar al te vaak zijn de bedrijfswerken nog één grote verzamelbak. Kun je bij één ding, dan kun je vaak bij alles. Netwerkzonering kan een heleboel schade voorkomen, maar zeker niet alles.

De genoemde aanvallen tonen aan dat het kan. Wanneer de aanvallen gecoördineerd worden kan de infrastructuur van een land lamgelegd worden. Een grote gecoördineerde aanval op bedrijven waarbij massaal de bedrijfsgeheimen wordt gelekt kan rampzalige gevolgen hebben voor de economie, want in feite is onze economie op geheimen gebaseerd: Ik kan iets, of ik weet is wat jij niet weet en daarom huur je mij in. Met die kennis maken we de producten die we verkopen.

De kans op een cyberoorlog
Als ik zo het rapport van McAfee lees dan is een cyberoorlog bijna onvermijdelijk. Ik onderschrijf die mening. De vraag is niet meer of, maar wanneer en door wie. In het rapport schrijft MacAfee:

“According to reports, the use of cyberweapons in the revolution in Libya was considered but didn’t happen because no one wanted to be the first to open Pandora’s box”

Als we naar de ‘wie’ kijken dan beseffen landen vaak wel dat de wereld tegenwoordig zo verbonden is met elkaar dat de kans op oorlogen wel afneemt. Kijk maar naar de Eurocrisis: We kunnen een land als Griekenland niet zomaar afschrijven want de gevolgen werken wereldwijd door. De grootste dreiging voor een cyberoorlog komt uit kleinere groeperingen.

We hebben het dan niet over de Nigerianen die met een door ons zelf gesponsorde “Iedereen een (100 dollar) PC” ons oplichten, ons de bankrekening nummers ontfutselen en de rekeningen leeghalen maar gerichte guerrilla aanvallen.

McAfee beschrijft ondermeer een scenario waarin Hacktivism (het hacken door activistische groeperingen als Anonymous) meer georganiseerd wordt. Veel mensen hebben toch wel sympathie voor Wikileaks en voor Anonymous maar hun methoden zijn verwoestend en anarchistisch. Het meest donkere scenario is het einde van het internet en een wereldwijde economische crisis die erger is dan de huidige schuldencrisis.

De oplossing
Op een eerder artikel kwam de reactie dat het makkelijker is om aan te geven wat er mis gaat dan om antwoorden te geven. Als ik de antwoorden al zou hebben, dan zat ik hier niet meer en was ik permanent op vakantie.

De bron van het probleem is de verouderde infrastructuur. In eerdere blogartikelen heb ik al geschreven dat deze in de jaren 80 ontworpen is door en voor academici en niet berekend is op de huidige wereld. Hier ligt dan mijns inziens ook de sleutel voor de oplossing van het probleem: Redesign the web. Maar dat is omvangrijk. Het gaat dan om een end to end oplossing. Niet alleen software, maar ook hardware en communicatieprotocollen moeten meer tracking en tracing opties krijgen.

Wordt er aan gewerkt? Nou nee. Er zijn initiatieven, maar vooralsnog wordt er gewoon grof geld verdiend aan het misbruik van de huidige infrastructuur. Een internet waarin persoonsgegevens veilig zijn is dodelijk voor de beurswaarde van bijvoorbeeld sociale netwerksites als Facebook.

Het einde van de Email

Posted on by

Begin deze week kwam ik een blogartikel van Eelco van der Wal tegen over het einde van de email. In dit artikel verwees hij naar artikelen van ABC News en Business Insider die begin deze maand meldden dat een grote ICT Dienstverlener, Atos, een verbod heeft ingesteld op het intern gebruik van email. De Business Insider schreef onder meer:

In case big email providers like Microsoft, Google, and Yahoo hadn’t already been scared stiff by recent online communication trends, this news should wake them up.

In de jaren 90 is het gebruik van email geëxplodeerd en liep het gebruik van email destijds ver voor op het gebruik van internet. Al jaren zet email de traditionele postmarkt, de ‘slakkenpost’ onder druk maar de laatste tijd zien we inderdaad dat email als medium zelf onder druk staat. In een survey van Sillicon Alley Insider zien we dat vooral onder jongeren het email gebruik over het laatste jaar gedaald is:

Gaat die trend zich doorzetten? Hoe komt dit en leidt dit tot het einde van email als communicatie medium?

Email is irritant
Email is eigenlijk altijd al een irritant medium geweest. Dit komt in de eerste plaats natuurlijk door de enorme hoeveelheid spam. Volgens de laatste statistieken van antivirusbedrijf Symantech zakt de hoeveelheid spam vorige maand naar het laagste niveau in 3 jaar. Toch is spam nog steeds goed voor een dikke 70% van alle emailverkeer.

Een tweede aspect waar we ons aan ergeren zijn die kennissen van ons die bij ieder mailtje om leesbevestiging vragen of al binnen een dag er achter aan mailen waarom we nog niet geantwoord hebben.

Nog zo iets irritants: Hebt u ook van die collega’s die bij het minste of geringste de neiging hebben om iedereen op de Cc te zetten?
Email is inefficiënt
Naast alle irritaties die email opwekt maken we ook nog eens onhandig gebruik van het medium. Niet alleen zetten we collega’s nodeloos op de Cc (want dan hebben we ze toch geïnformeerd, of hebben we ons zelf in ieder geval ingedekt) maar we voeren hele discussies op de email.

En zo kunnen we de discussie nog even doorvoeren. In deze korte emailwisseling staan er echter 8 versies van de regel “Hoe laat ben jij vanmiddag vrij” op de mailservers. Nu gaat het maar om één regeltje, maar we doen hetzelfde met beleidsdocumenten. Lijvige rapporten van meerdere MB’s vliegen heen en weer tussen collega’s met de vraag of ze het willen reviewen. We sturen het document naar 10 collega’s. Er zijn nu 11 kopieën. Maar liefst drie collega’s reviewen, mailen hun versie rond en er zijn nu al 44 kopieën in omloop.

Email is duur
Voor bedrijven kost het onderhouden en updaten van spamfilters een aardige duit Naast het werk aan de spamfilters zorgt ons inefficiënte rondmailen van documenten er voor dat ook de opslag van email flink in de papieren gaat lopen. Het afschaffen van email kan dan ook vanuit een kostenaspect toegejuicht worden door uw bedrijf.

Genoeg alternatieven
Voor de jongere generatie groeit vooral het gebruik van andere media. Met de smartphone zijn we niet meer gebonden aan SMS-jes van 160 tekens. Bovendien kunnen we allerlei media meesturen met onze berichten en zijn er voor korte berichten alternatieven als Whatsapp om ook gratis berichten te sturen. Voor iets langere berichten gebruiken we tegenwoordig al snel Facebook.

Voor de zakelijke markt komen de alternatieven echter maar langzaam van de grond. Bij diverse bedrijven zijn IM clients als Sametime (IBM) of OCS (Microsoft) beschikbaar, maar wordt er nog maar weinig gebruik van gemaakt. Oplossingen voor het samenwerken aan documenten zijn haast nog minder beschikbaar. De werknemers die het dan efficiënt willen oplossen wijken dan vaak uit naar een publieke service als Google Docs.

Email is gevaarlijk
Door het achterblijven van collaboration mogelijkheden in bedrijven zien we steeds meer documenten naar publieke providers verhuizen, maar ook de zakelijke email verdwijnt steeds vaker naar het publieke domein. In een poging om de kosten voor email zoveel mogelijk te drukken heeft de zakelijke gebruiker vaak maar een krappe 250MB aan opslagruimte en kunnen we geen email ontvangen groter dan 10 MB. En dus wijken we uit naar GMail.

En daarmee komen we bij de grootste bedreiging voor de zakelijke markt: Email wordt vooral onveilig gebruikt! Met name de grote publieke aanbieders als Microsoft, Yahoo en Google zijn regelmatig doelwit van hackers.

James Fallows schreef een artikel over het gehackte GMail account van zijn vrouw. Op de vraag aan Google hoe vaak dit nu voorkomt antwoordde Bryant Gehring, Account Recovery Stratagist van Google, dat het ‘slechts’ om ongeveer 1,000 gehackte emailaccounts per dag gaat. In 9 van de 10 gevallen is het alleen maar lastig voor de gebruiker die zijn mail kwijt is, maar spannender wordt het als het gerichte aanvallen betreft. Eerder dit jaar schreef de Washington Post :

Google said Wednesday a hacker in China obtained access to hundreds of Gmail accounts, including those of senior U.S. government officials, military personnel, Chinese political activists and journalists.
The company said it recently detected the security breach and stopped what it described as “a campaign to take users’ passwords and monitor their emails, with the perpetrators apparently using stolen passwords to change peoples’ forwarding and delegating settings.”

Email Trends voor 2012
Zo aan het einde van het jaar is het altijd goed om vooruit te kijken. Hoewel de laatste spam offensieven hun vruchten lijken af te werpen voorspelt McAfee in hun 2012 trendrapport een andere golf van spam via legitieme reclame bureaus:

In this environment, we can expect to see “legal” spam continue to grow at an alarming rate. It is cheaper and less risky to spam individuals from advertising companies than it is to use botnet-infected hosts. This sort of activity, known as snowshoe spamming, has grown so much that at the time of this writing the top 10 most common email subjects include one delivery status notification, one botnetrelated fake-Rolex spam, one confidence scam, and seven subjects associated with snowshoe spam. This sort of traffic will continue to grow at a faster rate than phishing and confidence scams, while botnetrelated spam will continue to decrease as botmasters find better and safer ways to wring money out of their armies of infected computers. It is only a matter of time before most global spam volume comes from badly behaving but “legal” entities.

Is dit dan het einde?
Er zijn maar weinig dingen die voor de eeuwigheid bestemd zijn en ik geloof zeker dat email daar niet bij hoort. We hebben de auto nog als vervoersmiddel, maar de stoomvariant hebben we allang niet meer. Vroeger hadden we naast de gewone post nog het telegram als snel communicatiemiddel, maar tegenwoordig lijkt het alsof dit alleen nog maar door de koningin en ministers gebruikt wordt uit piëteit met tradities. Zo zal email ook een tijdelijke variant zijn.

In 2012 zullen jongeren steeds meer gebruik maken van alternatieve media voor hun conversaties en zullen de bedrijven meer en meer collaboration software inzetten. De neerwaartse trend die Sillicon Alley Insider liet zien zal zich doorzetten.

Uiteindelijk zullen niet de alternatieve media de doodsteek leveren voor de email als communicatiemedium. Hoe hip het ook is om nu te zeggen dat je geen email gebruikt en best zonder kunt zal het uiteindelijk neerkomen op bedrijfseconomisch risicomanagement: Er komt een dag dat de limiet van gekraakte email adressen en gelekte informatie overschreden wordt en het te gevaarlijk wordt om zakelijk email te gebruiken.

In mijn vorige artikel schreef ik dat het internet niet voorbereid is op de huidige web 2.0 functionaliteit omdat het nog op een jaren 80 infrastructuur draait die ontworpen is door en voor academici, een ons kent ons gemeenschap. Voor email geldt hetzelfde: Door deze naïeve ontwerpfout bevat het email als medium te weinig veiligheidskleppen om het onder controle te houden.

Omdat het kan! De Generatie Beta en 10 jaar Web 2.0

Posted on by

Ik kan me nog goed herinneren dat we in de jaren negentig stevig inzetten op Bèta vakken. Met de toenemende automatisering hadden we veel technisch opgeleide mensen nodig. Maar tegenwoordig kiezen leerlingen in het voortgezet onderwijs massaal voor alfavakken. Als één van de oorzaken wordt het vroege keuzemoment genoemd door universitair docent Hanke Korpershoek. Slechts 3% van de meisjes kiest voor een Natuur en Techniek profiel, aldus Korpershoek. Béta vakken zijn uit. Er komt juist een hele Alfageneratie aan.

Zou deze keuze voor alfavakken ook deels bepaald kunnen worden de ontwikkelingen op internet? Het wereldwijde web is in de afgelopen tien jaar sociaal geworden. Websites als Hyves, Facebook en LinkedIn worden sociale netwerk sites genoemd en hebben miljoenen leden. Dit type websites noemen we sinds 2001 Web 2.0. Ook op het internet vinden we dat het weer wat socialer worden, de knuffelbaarheid mag weer terug in de maatschappij en op het net. Om te kunnen overleven in deze samenleving en op het internet moeten wij én onze kinderen juist meer aandacht geven aan onze sociale vaardigheden.

In de samenleving lijkt er minder ruimte voor béta te zijn, maar op het internet is het gemeengoed geworden. Een groot deel van alle nieuwe web 2.0 toepassingen zit nog in bèta. Dat wil zeggen: De toepassingen zijn nog niet klaar. Er kunnen bugs in zitten, we zijn nog aan het expirimenteren met nieuwe functionaliteit enzovoorts.  Het kan ook betekenen: Het is nog niet helemaal veilig, maar dat nemen we op de koop toe.

In onze drang naar nieuwe mogelijkheden proberen we steeds sneller iets nieuws uit. Overal en nergens laat je weer wat van je gegevens achter. We migreren van de ene site naar de andere site op zoek naar nieuwe functionaliteit en overal schrijven we ons in en vullen ons profiel met prive informatie.

Nu lijkt dit allemaal nog vrij onschuldig, maar hoe langer hoe meer systemen worden aan elkaar gekoppeld. Google Streetview werkt aan het ‘inlezen’ van huisnummers, gezichtsherkennings-software wordt steeds beter en steeds toegankelijker en het wordt ook steeds makkelijker om financiële gegevens van mensen op te vragen. Energiemaatschappijen en waterbedrijven koppelen hun netwerken aan het internet en ga zo maar door.

Een blik in de portomonnee

Neem bijvoorbeeld de website www.kadasterdata.nl Niets moeilijks aan. Je vult de postcode en het huisnummer in en je ziet de hoogte van de hypotheek die op dat huis ligt. Voor de koper is dat best handig. Hoe meer overwaarde er in zit, hoe scherper je waarschijnlijk kunt onderhandelen. Je weet dan tot hoe ver de verkoper kan zakken.

Maar wacht even.

Wilt u wel dat ik weet hoeveel hypotheek u heeft? Als ik kan constateren dat uw hypotheek te hoog is voor het salaris dat u verdiend? Ik kan tenslotte op LinkedIn zien welke functie u uitoefent en ik kan daar een salaris indicatie aan koppelen. U moet dus wel ergens zwart iets bijverdienen om dit te kunnen betalen. Wordt u daarmee niet chantabel?

De wetten van Beckstrom

Er worden steeds meer informatiebronnen aan elkaar gekoppeld. Of het nu gaat om het Elektronisch Patiënten Dossier (EPD), de Basisregistraties, of alle sites waarop u direct met uw Facebook account kunt inloggen. En hoe meer systemen we aan elkaar koppelen, hoe eenvoudiger het wordt om uw hele hebben en houden in kaart te brengen en er met uw identiteit vandoor te gaan.

De wetten van voormalig National Cyber Security Agency directeur Beckstrom zijn hierop van toepassing:

  1. Netwerken worden meer en meer gekoppeld
  2. Alles is te hacken
  3. Al het volgende volgt uit het voorgaande

Laat u wet 1 en 2 nog even op u inwerken en vult u dan zelf wet 3 in.

Welke impact heeft dit op u?

Simpel toch?

Alles is te hacken. En het wordt ook steeds gemakkelijker. Door steeds meer informatiebronnen te koppelen heeft de hacker steeds meer informatie die hij kan gebruiken. Er is dan ook een enorme toename te zien in het aantal identiteitsdiefstallen.

Ondertussen willen wij als consument steeds makkelijker onze zaakjes regelen. We willen onze auto kunnen bedienen met de iPhone, onze bankzaken mobiel regelen en zoveel mogelijk zaken met de gemeente en de overheid digitaal afhandelen. Omdat het kan.

In 2002 publiceerde Howard F Lipson een studie naar cybercriminaliteit.

attack-sophistication-v-intruder-technical-knowledge

(Bron Howard F. Lipson,  Tracking and Tracing Cyber-Attacks: Technical Challenges and Global Policy Issues. 2002)

Op dit plaatje laat hij zien dat de cyberaanvallen steeds gecompliceerder worden en de benodigde kennis daarvoor steeds minder is. In het begin van het internet tijdperk werden de PC’s beheerd door rare wezens diep in de kelders van het kantoor: De systeembeheerders, of de Morlocks zoals Neil Stephenson ze noemt naar analogie van de “Time Machine” van Wells in zijn essay “In the Beginning was the Commandline” . Dit waren nog eens echte nerds die in hun slaap machinetaal spraken. Zij zorgden dat u overal bij kon waar u bij mocht komen en geen andere dingen kon doen. Zij bepaalden wat binnen kwam en wat niet. Ook de hackers uit die dagen waren hoog opgeleide heren die heel wat in hun mars hadden. Nu zijn er wereldwijd miljarden onopgeleide systeembeheerders, namelijk wij consumenten, die als beheerders van ons thuisnetwerk zonder enige kennis van zaken de deur wagenwijd openzetten voor de hackers, die tegenwoordig ook niet meer zo slim zijn maar programmaatjes hebben die alles voor hen regelt.

En dit alles was nog voordat web 2.0 goed en wel losbrandde!

Hoewel het concept van dit type beheer natuurlijk vreselijk achterhaald is, is de trend zorgelijk: Het gebruiksgemak van computers is zo verbeterd dat wij inderdaad niet meer alles hoeven te weten om ons eigen systeem te runnen en er mee te doen wat we maar willen. Omdat het kan.

Web 2.0

Sinds 2001 leven we in de wereld van Web 2.0 en zijn sociale netwerksites als paddestoelen uit de grond gerezen. Wij delen met z’n allen miljoenen foto’s per dag en al onze wedervaringen op Facebook –en in afnemende mate Hyves. Al deze data is eenvoudig bij elkaar te sprokkelen door de juiste tools te gebruiken. Met alles wat we zelf delen is er meer informatie bij elkaar te sprokkelen op Sociale Netwerk sites dan wat er van feitelijk van ons in bijvoorbeeld de Gemeentelijke Basis Administratie staat en de kwaadwillende hacker kan op basis van deze –door u zelf gepubliceerde –gegevens  vrij makkelijk uw wachtwoorden achterhalen en uw email misbruiken. Het is schrikbarend hoeveel mensen nog een of andere vorm van hun geboortedatum of huwelijksdatum als wachtwoord gebruiken, of die van de kinderen.

Internet Security.

En het gaat mis. Sterker nog, het gaat steeds vaker mis omdat het internet zelf geen enkel afweer mechanisme heeft tegen kwaadaardig gebruik. In de jaren 80 is het internet opgezet als samenwerkingsplatform tussen academici, een kleine community van mensen die elkaar kenden en vertrouwden. Er was geen noodzaak om in de architectuur met kwaadwillende gebruikers rekening te houden, zo blijkt ook uit de studie van Lipson.

Internet Security is dan een illusie. Het bestaat gewoon niet. Alle maatregelen die we nemen om onze websites te beveiligen zijn tot op zekere hoogte cosmetisch op basis van Beckstrom’s Wet nummer 2: Alles is te hacken. En ook bijna alles wordt gehackt, ook omdat het gewoon kan.

Rat Race

In 2011 zijn we de illusie van veiligheid door Certificaten kwijtgeraakt na de val van DigiNotar. Nu komt de val van SSL encryptie. Ook SSL is tegenwoordig vrij eenvoudig te kraken. De oplossing is vrij eenvoudig: Van 64 bits encryptie stappen we over naar 128 bits encryptie. Bedrijven geven miljoenen Euro’s uit aan grotere processorcapaciteit om dit te kunnen ondersteunen, maar over een paar maanden zit die rekenkracht in een laptop van 1.200 Euro en loopt de eerste de beste huis-, tuin- en keukenhacker er mee de winkel uit en kunnen we opnieuw beginnen. Veranderingen in Security gaan ziet over ‘zwaarder’,’beter’, ‘sneller’ maar vooral over ‘anders’, zoniet, dan maken we ons zelf alleen maar gek en doen we aan kapitaalsvernietiging.

Web 2.0 in Beta.

In het afgelopen decennium hebben we op het web 2.0 honderden sites gezien die uit béta tevoorschijn zijn gekomen. Facebook, Twitter, LinkedIn, ze zijn allemaal mainstream ‘commodities’ geworden. Na tien jaar is web 2.0 een groot succes te noemen.

De grap dat Web 2.0 helemaal niet bestaat is al minstens even oud. Er is geen nieuwe versie van het internet gekomen, het oude is niet offline gehaald. En toch is het geen grap. De infrastructuur is nog steeds dezelfde als die in 1980, zonder de broodnodigde security maatregelen omdat het ontworpen is voor een veilige, academische wereld waarin men elkaar vertrouwd.

Michael Sutton van beveiligingsbedrijf ZScaler Research voorspeld dat hackers zich in 2012 meer op hardware dan op software zullen richten waarbij hij opmerkt dat Hardware bedrijven zeker 10 jaar achter lopen op security gebied ten opzichte van de software industrie.

Open Data

Vanuit de Europese Commissie, De Nederlandse Overheid en de lokale overheden wordt er vol ingezet op Open Data: Gemeenten en overheden moeten hun informatie beschikbaar stellen voor andere partijen. Op deze wijze kan miljarden bespaard worden. Volgens het EPSI Platform zelfs 27 Miljard. Maar om welke informatie gaat het dan? De plek van de lantaarnpalen in uw gemeente, de WOZ waarde van uw woning (zoals in het eerder genoemde voorbeeld van Kadasterdata), demografische gegevens, kwaliteitsmetingen enzovoorts. Dit alles gelukkig wel onder bepaalde voorwaarden. Welke informatie wel en niet? Blijkbaar de informatie uit het basisregister kadaster wel. Gaat de informatie uit het Handelsregister ook openbaar worden?

Voor de kerst werd duidelijk dat de Amerikaanse kamer van koophandel gekraakt is waardoor de (vermoedelijk Chinese) aanvallers toegang hadden tot gegevens van miljoenen klanten.  Hoe erg is dit? Wat kan een kwaadwillende hacker met deze data? Heel veel. Als de hackers weten wie bij de grote bedrijven tekenbevoegd is, en tot welk bedrag en ze kunnen de identiteit van deze mensen stelen, dan kunnen zij uit hun naam contracten afsluiten en het geld wegsluizen.

Een nieuw internet.

De beveiligingsrisico’s komen we op alle niveaus tegen. Op software gebied worden de nodige maatregelen genomen. In het totaal zal dit onvoldoende zijn. Als we op deze manier doorgaan gaat de kant het schip keren en zal het internet ophouden te bestaan omdat de risico’s voor onze maatschappij, zowel op privacy als economisch gebied te groot worden.

Met name door software leveranciers wordt er veel geïnvesteerd in het beveiligen van systemen. Bij de inrichting van de bedrijfsnetwerken wordt er ook steeds beter nagedacht over de beveiliging. Ook overheden nemen daarin hun verantwoordelijkheid aan de hand van richtlijnen als NORA en GEMMA. Op 19 december publiceerde IBM een top 5 van de trends die ze voor de komende jaren zien. Eén daarvan is dat we in 2017 geen wachtwoorden meer nodig zullen hebben maar alles op basis van biometrische authenticatie zal geregeld worden. Hiermee wordt een groot beveiligingsrisico weggenomen: Onze eigen luiheid om goede wachtwoorden te kiezen.

We zien de aandacht voor beveiliging groeien op alle niveaus: Hardwarematig, softwarematig maar ook op gebruikersniveau. Ik ben bang dat dit echter niet voldoende is. Het blijven variaties op een thema. Het wordt zwaarder, robuuster, maar niet anders. De verdere koppeling van systemen gaat door en de manier waarop informatie uitgewisseld wordt, de communicatie protocollen, blijft hetzelfde.

Door biometrische toegangscontrole mogen we dan misschien tegen onze eigen luiheid in bescherming genomen worden, maar hoe meer DNA banken gekoppeld worden op de huidige infrastructuur met de huidige communicatieprotocollen hoe eenvoudiger het voor de hacker wordt om ook over deze informatie te beschikken.

Doorgaan op dezelfde weg, meer maatregelen en zwaardere encryptie is niet het antwoord op het beveiligingsvraagstuk maar uitstel van executie. Het moet vooral anders. Pas dan hebben we echt web 2.0.

En nu verder

Moeten we nu ons massaal terugtrekken van internet? Moeten we Open Data wel willen? Moeten Security Officers overal op de rem trappen? Nee, dat kunnen we niet maken. We gaan verder, niet omdat het kan, maar omdat we er over nagedacht hebben. Bewust keuzes maken in wat we wel en niet kunnen delen.

De Security en Privacy Dieptepunten van 2011

Posted on by

In de afgelopen maanden even wat weinig geblogd. Een nieuwe baan vreet toch altijd meer energie dan je vooraf denkt. Maar goed, ondertussen is het jaar wel weer voorbijgevlogen. En wat een bewogen jaar is het geweest op Security gebied. Te veel om allemaal op te noemen.

Brenno de Winter alias de Big Wobber, Journalist van het Jaar 2011Er is zoveel gebeurd op Security en Privacy gebied dat het volledig terecht is dat Brenno de Winter, alias ‘the Big Wobber’ deze maand verkozen is tot Journalist van het jaar. Aan de ene kant is het triest dat dit gebeurd is: ‘Dit land is zo lek als een mandje en de overheden nemen het niet zo serieus met onze privacy’. Aan de andere kant is het natuurlijk ontzettend positief dat het onderwerp nu zo ontzettend in de spotlights staat. Het is niet meer een niche thema voor IT Nerds of academisch geleuter: Het is de realiteit en de mainstream media aandacht die er nu voor het thema is kan er alleen maar toe leiden dat bedrijven en overheden beter gaan nadenken over de grenzen van privacy en hun maatregelen gaan nemen om de security te verbeteren.

Gisteren was ik in Ede bij de opnamen voor het jaaroverzicht van Ede TV, waar Brenno als één van de gasten aan tafel zat om het jaar van commentaar te voorzien. Als persoonlijk hoogtepunt noemde hij vooral het sepot  in de OV Chipzaak;

“Op 5 september 2011 besloot het Openbaar Ministerie de strafzaak tegen Brenno de Winter voor het reizen op gehackte chipkaarten te seponeren”

Het sepot mag natuurlijk nooit een vrijbrief worden om voor eigen voordeel te hacken maar het is een enorme winst in het onderzoek naar security issues. Strikt genomen is bijna elke poging die je onderneemt om te onderzoeken of iets slecht beveiligd is een criminele daad, tenzij je vooraf toestemming hebt. Helaas denken nog steeds veel bedrijven dat het wel goed zit met hun security en zullen ze ook niet snel meewerken aan een penetratietest of security scan.

In de meeste gevallen is het risico dan voor het bedrijf. Wordt men dan toch kwaadwillend gehacked dan is er enorme schade. In een aantal gevallen staat echter de privacy van veel mensen op het spel en dan is het goed dat het sepot er nu ligt:

“Soms weegt het journalistieke belang van het tonen van een misstand –het falen van de OV-chipkaart – zwaarder dan het strafrecht. Er was geen andere weg om dit te tonen. Een goed journalist heeft als taak om misstanden te tonen.”

DigiNotarEen ander hoogtepunt, of eigenlijk dieptepunt, was natuurlijk het failliet van de CA (Certification Authority) DigiNotar. Niet alleen het bedrijf zelf is er aan onderdoor gegaan maar de positie van de CA’s staat onder druk. Vertrouwen is een belangrijk begrip als het om IT gaat. Dit vertrouwen wordt gegeven door de uitgifte van certificaten waarin aangegeven wordt dat je op het internet zaken doet met een bonafide partij. Er zijn steeds meer partijen die onderzoeken of zij een CA voor personen kunnen worden, zoals bijvoorbeeld het Kadaster en de ABN Amro. Is deze persoon echt wie hij zegt dat hij is? Klopt zijn CV op monsterboard of op LinkedIn. Dit is een interessante ontwikkeling, maar als je als CA gecertificeerde persoonsgegevens gaat bijhouden wordt je hacking target nummer één.

Een derde dieptepunt is het lekken van de Miljoenennota 2012 op prinsjesdag 2011. Hoewel er geen man overboord is en er geen staatsgeheimen geopenbaard zijn of echt nieuwe dingen gelekt is het wel een teken aan de wand hoe slordig we zijn in het beveiligen van onze gegevens.

En nu op naar 2012. Een jaar waarin we nog veel opzienbarende lekken zullen tegenkomen.

De wet flexibel werken 2013

Posted on by

Jaja, over twee jaar zitten we allemaal in de flex.

Werknemers krijgen vanaf 2013 het recht op flexibele arbeidstijden als het aan regeringspartij CDA en oppositiepartij GroenLinks ligt.

Om werken, zorgtaken en scholing beter te combineren, moet personeel ook meer te zeggen krijgen over de werkplek. Zo moet bijvoorbeeld thuiswerken meer mogelijk worden.

Tweede Kamerlid Ineke van Gent van GroenLinks en haar CDA-collega Eddy van Hijum dienen vrijdag een initiatiefwet hierover in. De twee hadden eind vorig jaar al aangekondigd met hun ‘Wet flexibel werken’ te komen.

Bron: Nu.nl

Maar vergeten we niet wat?

Het Nieuwe Werken (HNW) is de laatste jaren sterk in opkomst. Iedereen wil wel eens de file overslaan en thuiswerken. Iedereen heeft nu toch zo’n té kek tablet speeltje waarmee je op elke plek kunt werken. Als werkgever lijk je er al niet meer bij te horen als je dit niet kunt faciliteren. Er zitten echter wel een paar haken en ogen aan..

De Nieuwe Flexwerkgever.

De werkgever lijkt op het eerste gezicht veel baat bij Het Nieuwe Werken te hebben. Er is een betere spreiding van mensen op de werkvloer. Er kan dus bezuinigd worden op huisvestingskosten. Daarnaast maken de medewerkers minder kilometers, dus CO2 neutraal komt in beeld. Lekker maatschappelijk verantwoord. Met de geweldige flixigheid van de medewerkers kunnen de openingstijden ook flink omhooggeschroefd worden. Bovendien zorgen de medewerkers voor hun eigen werkstation en is de business case dus op alle fronten snel gemaakt.

De Nieuwe Flexwerker.

De relax flex werknemer is eindelijk verlost van de loodzware, ouderwetse laptops of trage desktops. Hij beschikt nu over de laatste technologie. Alles werkt lekker snel en dus heeft de flexwerker hier zijn eerste winst te pakken: Een werkstation waar hij zich prettig bij voelt en hem productiever maakt. Het tweede grote voordeel dat voor het oprapen ligt is dat hij de file kan vermijden en dus meer tijd over houdt om met zijn gezin door te brengen. Eindelijk weer eens de kinderen naar bed brengen of tijd om een avondje uit te gaan met vrienden.

De nieuwe flex manager

Voor de ‘man in the middle’, de manager vraagt deze ontwikkeling een enorme omschakeling. Waar de medewerker altijd op kantoor was en je kon kijken of hij wel iets deed gaat hij nu buiten het zichtsveld aan het werk. Van de manager vraagt dit om een omschakeling van controle naar vertrouwen. Op grond van de Business Case kunnen we hem overtuigen dat deze aanpak beter is, maar het vraagt ook weldegelijk om totaal andere management skills. De vraag is of uw managers die skills in huis hebben, of wordt het chaos?

De nieuwe flexvoorwaarden

Voordat je er erg in hebt ga je als medewerker de prijs betalen. Je bent nu office manager geworden van een van de vele nevenvestigingen. Nadat je de baas de eerste besparing hebt opgeleverd door zelf een coole laptop aan te schaffen betaal jij ook nog eens de huisvestingskosten, de stroom, de stookkosten en de koffie en thee. Als we niet uitkijken ben je zelf ook arbo verantwoordelijk en is het je eigen schuld als je uitvalt met RSI of rugklachten. Het nieuwe werken vraagt om een intensief proces in vernieuwing van arbeidsvoorwaarden.

Het nieuwe security beleid

Ook voor de werkgever zit er een donkere kant aan het flex werken. ‘Now is the time to score’ voor veel bedrijven. Als we nu niet mee gaan, dan vallen we af in de race en staan we op achterstand ten opzichte van de concurrentie. Op voornoemde argumenten is de Business Case eenvoudig, maar door de lokroep van de mobile syrens zien we al snel een aantal randvoorwaarden over het hoofd.

Ik zie bij veel bedrijven een behoorlijk goed dichtgetimmerd bedrijfsnetwerk. Vaak ook met behoorlijk ingerichtte thuiswerk voorzieningen als VPN of Citrix oplossingen. Tegelijkertijd moet ik constateren dat dezelfde bedrijfsnetwerken zo lek als een mandje zijn doordat er allerlei workarounds zijn toegepast om maar iphones en ipads toegang te kunnen geven tot de belangrijke gegevens. Adviezen van architecten worden vaak genegeerd omdat de directeur nu eenmaal met zijn gadget er bij wil.

Het resultaat is een enorme toename in beveiligingsincidenten in het laatste jaar. Voordat je als bedrijf echt klaar bent voor flexibel werken moet er aan een aantal voorwaarden voldaan worden, zoals netwerk zonering en dataclassificatie. Als bedrijf moet je bepalen welke data echt belangrijk en privacy gevoelig is en het netwerk moet zo ingedeeld zijn dat belangrijke informatie niet zomaar naar buiten kan. De financiële administratie of het beheer van patenten mag niet in hetzelfde netwerk segment staan als een document server met productflyers die we even snel bij een klant downloaden en laten zien. Voor veel bedrijven betekent dit hoge kosten om achterstallig onderhoud in te halen. Juist die bedrijven waar geklaagd wordt over een achtergebleven IT voorziening zijn geneigd om nu snel een inhaalslag te maken en alles open te zetten voor mobile access.

Daarnaast zullen er de nodige maatregelen getroffen moeten worden om te voorkomen dat er meegegluurd wordt of geheime informatie de deur uit gaat. Daarbij komen intrusion detection en data loss prevention oplossingen om de hoek kijken. Toch ook weer een investering die we niet uit de weg moeten gaan.

Terminus a Quo.

In de afgelopen jaren heb ik regelmatig van de snelle mobile jongens te horen gekregen dat we niet zo moeten zeuren over security. Het houdt de innovatie alleen maar tegen. Integendeel, het is het begin van innovatie. Wanneer de zaak op orde is kan er verder gebouwd worden. Als we nu proberen met een snelle mobile oplossing een voorsprong op de concurrentie te nemen staan we straks achteraan in de rij bij het UWV. Als de noodzakelijke voorbereidingen overgeslagen wordt bestaat het risico dat uw patenten, uw bedrijfs ‘kennis’ kapitaal of de gegevens van uw klanten volgende week in de Telegraaf staan of met een glimlach in Azie gebruikt worden.

Flexibel ontslagrecht.

Er zijn een aantal zaken die hoog op de agenda van de bedrijfsvoering staan. Natuurlijk is kostenbesparing een hot item en flexibel werken is daarin een eerste oplossing. Waarschijnlijk staat Business Continuity Mangement (BCM) ook hoog op de agenda evenals mobile en ETL processen. Vaak worden ze als losse speerpunten gepresenteerd, maar er is een onderlinge samenhang waarop ik in een van de volgende artikelen op in wil gaan. De crux zit hem namelijk in de flexibele organisatie die snel kan schakelen en dus voor elke klus de beste man tegen het voordeligste tarief kan inzetten. In de flexibele IT architectuur waarbij het werk locatie onafhankelijk gedaan kan worden is dus geen vaste medewerker meer nodig maar wordty op freelance basis wereldwijd ingehuurd.