Voordat ik op het onderwerp van mijn column van vandaag kom, wil ik eerst deze observatie vermelden.
Vanmorgen ontving ik mijn nieuwe OV-chipcard. Netjes op een begeleidend schrijven geplakt, met een toelichting in de bijsluiter. In de brief staat vermeld dat ik deze OV chipcard op termijn overal in het het openbaar vervoer kan gebruiken. Ook staat er dat ik steeds maar één OV chipcard tegelijk bij mij moet dragen, omdat het systeem het anders niet meer snapt. In de toelichting staat aangegeven dat de verschillende OV-aanbieders hun eigen chipkaarten uitdelen. Het wordt mij op het hart gedrukt voorlopig slechts de OV chipcard op de lijn van de aanbieder van de betreffende card te gebruiken.
Dat wordt wel lastig bij samengestelde reizen, met trein en bus, of met trein en trein naar Noord-Nederland, als je maar één OV chipcard bij je mag hebben!
Vanochtend stond in De Pers (30 oktober 2007, voorpagina) een interessante waarschuwing over ontwikkelingen rond de OV chipcard en bluetooth telefoons. Wat is nu het geval? Het bluetooth protocol valt buiten de reclamebeperkingen die voor spam gelden. En de RFID signalen die een OV chipcard afgeeft zijn goed te detecteren. Door de informatie die deze signalen met zich meebrengen ("hier loopt een OV-gebruiker") te combineren is reclame op maat mogelijk. Bijvoorbeeld een bluetooth bericht op de mobiele telefoongebruikers in het bezit van een OV chipcard op station Bloemendaal, met de boodschap dat de saucijzenbroodjes vandaag half geld zijn.
Je hebt geen Big Brother nodig om gevolgd te worden - we doen het onszelf aan!
Waarom was het ook alweer dat wij de Big Brother Award 2007 hebben gewonnen?
dinsdag 30 oktober 2007
woensdag 24 oktober 2007
Bedrijven moeten gegevens opslaan....
Als de overheid ze dit verteld krijgt de uitdrukking "met de hakken in het zand" een totaal nieuwe dimensie! Maar wel beschouwd slaan bedrijven al veel gegevens op. Belastinggegevens moeten minstens 7 jaar worden bewaard. Internet en telecommunicatie verkeersgegevens worden 18 maanden opgeslagen. En wat dichter bij huis, de logbestanden op mailservers en fileservers worden net zo lang bewaard tot ze worden overschreven.
Het is meer de schrik dat de bedrijven iets moeten wat ze mogelijk geld gaat kosten als ze het (niet) doen, dan echte onwil. Want de meeste bedrijven en instanties die hun interne processen enigzins op orde hebben doen al aan opslag van gegevens. Volgens het COBIT model hebben ze behoefte aan kwaliteitseisen, financiele eisen en beveiligingseisen. Die zijn te vertalen in een aantal kwaliteitscriteria: effectiviteit, efficiency, vertrouwelijkheid, integriteit, beschikbaarheid, naleving en betrouwbaarheid.
Op basis van deze criteria is het wel mogelijk de eisen op te stellen van de gegevens die bedrijven moeten vastleggen, terwijl dit bedrijfsmatig verantwoord is. Aan de andere kant, waarom zouden ze dat doen? In goed nederlands: "Wat hep ik eran?". Daar hebben ze een punt. Want kosten en baten moeten in verhouding zijn en de bedrijfsvoering gaat voor. Natuurlijk mag het beheer van de opslag (en de gegevens) geen extra inspanning kosten. En de gegevens mogen niet "lekken", omdat dit grote gevolgen kan hebben op forensisch, juridisch en privacy gebied.
Aan de andere kant zitten er ook voordelen aan. Doordat een bedrijf volgens de richtlijnen gegevens vastlegt wordt de kans op een huiszoeking verkleint en wordt slechts een beperkt capaciteitsbeslag gevraagd bij een forensisch onderzoek. Het inrichten van het opslagproces helpt ook bij het nakomen van compliancy wetgeving. En uiteindelijk kan RIVEO gebruikt worden voor de bescherming van de eer en goede naam.
Het is meer de schrik dat de bedrijven iets moeten wat ze mogelijk geld gaat kosten als ze het (niet) doen, dan echte onwil. Want de meeste bedrijven en instanties die hun interne processen enigzins op orde hebben doen al aan opslag van gegevens. Volgens het COBIT model hebben ze behoefte aan kwaliteitseisen, financiele eisen en beveiligingseisen. Die zijn te vertalen in een aantal kwaliteitscriteria: effectiviteit, efficiency, vertrouwelijkheid, integriteit, beschikbaarheid, naleving en betrouwbaarheid.
Op basis van deze criteria is het wel mogelijk de eisen op te stellen van de gegevens die bedrijven moeten vastleggen, terwijl dit bedrijfsmatig verantwoord is. Aan de andere kant, waarom zouden ze dat doen? In goed nederlands: "Wat hep ik eran?". Daar hebben ze een punt. Want kosten en baten moeten in verhouding zijn en de bedrijfsvoering gaat voor. Natuurlijk mag het beheer van de opslag (en de gegevens) geen extra inspanning kosten. En de gegevens mogen niet "lekken", omdat dit grote gevolgen kan hebben op forensisch, juridisch en privacy gebied.
Aan de andere kant zitten er ook voordelen aan. Doordat een bedrijf volgens de richtlijnen gegevens vastlegt wordt de kans op een huiszoeking verkleint en wordt slechts een beperkt capaciteitsbeslag gevraagd bij een forensisch onderzoek. Het inrichten van het opslagproces helpt ook bij het nakomen van compliancy wetgeving. En uiteindelijk kan RIVEO gebruikt worden voor de bescherming van de eer en goede naam.
dinsdag 9 oktober 2007
Ze mogen alles van mij weten ... of toch niet?
Je kent ze wel, die mensen die vinden dat ze geen privacy nodig hebben, omdat ze toch geen geheimen hebben. Maar als je vraagt of je een foto van ze mag maken in hun blootje en die dan aan de hele straat uitdelen dan is dat toch anders. Dat zijn ook de mensen die thuis wel gordijnen voor de ramen hebben hangen.
Eigenlijk hebben deze mensen ergens wel gelijk, maar ze drukken zich wat ongelukkig uit. Privacy is een complex begrip, een samenstel van begrippen, definities en gevoelens die op allerlei manieren met elkaar verbonden zijn. Daarom is er eigenlijk nog geen goede beschrijving van opgesteld: het is met privacy steeds afhankelijk van de situatie.
In 1890 kwamen Samuel Warren en Louis Brandeis al tot de conclusie dat privacy iets ongrijpbaars is, dat ongeveer viel te omschrijven als "The right to be let alone".
Bij de meeste discussies waar privacy onderwerp van gesprek is wordt vaak langs elkaar heen gesproken. Door te focussen op de aan privacy gerelateerde problemen is het mogelijk ze te bespreken in plaats van te vermijden of te vereenvoudigen. Uiteindelijk blijkt dan dat het argument "Ik heb niets te verbergen" geen geheimen heeft.
Eigenlijk hebben deze mensen ergens wel gelijk, maar ze drukken zich wat ongelukkig uit. Privacy is een complex begrip, een samenstel van begrippen, definities en gevoelens die op allerlei manieren met elkaar verbonden zijn. Daarom is er eigenlijk nog geen goede beschrijving van opgesteld: het is met privacy steeds afhankelijk van de situatie.
In 1890 kwamen Samuel Warren en Louis Brandeis al tot de conclusie dat privacy iets ongrijpbaars is, dat ongeveer viel te omschrijven als "The right to be let alone".
Bij de meeste discussies waar privacy onderwerp van gesprek is wordt vaak langs elkaar heen gesproken. Door te focussen op de aan privacy gerelateerde problemen is het mogelijk ze te bespreken in plaats van te vermijden of te vereenvoudigen. Uiteindelijk blijkt dan dat het argument "Ik heb niets te verbergen" geen geheimen heeft.
vrijdag 5 oktober 2007
Een normale afwijking?
Wat is normaal en wat een afwijking? Dat is de vraag die ik mijzelf stel bij mijn onderzoek. Want niet alle gegevens hoeven altijd te worden opgeslagen. Maar er zijn situaties denkbaar dat gegevens die normaal niet worden bewaard, opeens afwijkend zijn van normaal en toch moeten worden opgeslagen. De kunst is te definiëren wanneer gegevens normaal zijn en wanneer zij deel uitmaken van een afwijking.
Normaal is dat niet zo moeilijk te bepalen, de normaal is de weergave van geconsolideerd standaard niet afwijkend gedrag. Zo wordt de referentiestandaard bepaald. En een afwijking is ongelijk aan die normaal.
Moet nu al het afwijkende van de normaal worden opgeslagen? Dat lijkt mij een onderwerp voor een andere column.
Normaal is dat niet zo moeilijk te bepalen, de normaal is de weergave van geconsolideerd standaard niet afwijkend gedrag. Zo wordt de referentiestandaard bepaald. En een afwijking is ongelijk aan die normaal.
Moet nu al het afwijkende van de normaal worden opgeslagen? Dat lijkt mij een onderwerp voor een andere column.
woensdag 3 oktober 2007
Wat slaan wij op?
De huidige trend bij registratiesystemen is gewoon álles te registreren en op te slaan. Dat gaat goed, zolang je die gegevens niet al te lang hoeft te bewaren. Nu hoeft dat niet bij video-opnames, die mogen meestal maar 24 uur worden bewaard. Maar er zijn ook systemen waar de gegevens 18 maanden of maximaal 2 jaar moeten worden bewaard, zoals de verkeersgegevens van ISP's.
Voor bedrijven die van Internet niet hun core business hebben gemaakt, maar wel iets willen of moeten vastleggen over hun verkeersgegevens (of dat nu intern of extern verkeer betreft) is het een ander verhaal. Waar de ISP's verplicht worden de verkeersgegevens te registreren en te bewaren, hebben andere bedrijven een verschillend belang. Misschien moeten ze het vanwege internationale of nationale regelgeving, zoals HIPAA, SOX, Code Tabaksblatt. Of misschien willen ze het zelf, zoals banken doen.
Toch lopen ze allemaal tegen hetzelfde probleem aan: wat moeten ze registreren om, als er zich een incident voordoet, bruikbare gegevens te kunnen overhandigen aan de opsporingsinstanties. Want ze kunnen niet zomaar van alles registreren en oneindig bewaren. Dit kost teveel opslagruimte en indien de data niet logisch worden opgeborgen is het als zoeken naar een naald in een hooiberg om de gewenste gegevens terug te kunnen vinden. Daar komt bij dat er allerlei regels en wetten zijn die het willekeurig opslaan van gegevens inperken.
Om nu toch in staat te zijn een goede gegevensregistratie op te zetten moeten er wat afwegingen worden gemaakt. Zoals het vaststellen of het juridisch acceptabel is dat de gegevens worden opgeslagen, of de opslag bedrijfskundig voordelen (of in ieder geval geen directe nadelen) heeft, of het privacy-technisch mogelijk is de gegevens op te slaan en niet als minste, of de gegevens een meerwaarde bieden bij het forensisch onderzoek.
Hiertoe zullen wat filters moeten worden gedefineerd, waaraan de te registreren gegevens moeten voldoen om voor opslag in aanmerking te komen. Dat is het startpunt voor een van mijn volgende artikelen.
Voor bedrijven die van Internet niet hun core business hebben gemaakt, maar wel iets willen of moeten vastleggen over hun verkeersgegevens (of dat nu intern of extern verkeer betreft) is het een ander verhaal. Waar de ISP's verplicht worden de verkeersgegevens te registreren en te bewaren, hebben andere bedrijven een verschillend belang. Misschien moeten ze het vanwege internationale of nationale regelgeving, zoals HIPAA, SOX, Code Tabaksblatt. Of misschien willen ze het zelf, zoals banken doen.
Toch lopen ze allemaal tegen hetzelfde probleem aan: wat moeten ze registreren om, als er zich een incident voordoet, bruikbare gegevens te kunnen overhandigen aan de opsporingsinstanties. Want ze kunnen niet zomaar van alles registreren en oneindig bewaren. Dit kost teveel opslagruimte en indien de data niet logisch worden opgeborgen is het als zoeken naar een naald in een hooiberg om de gewenste gegevens terug te kunnen vinden. Daar komt bij dat er allerlei regels en wetten zijn die het willekeurig opslaan van gegevens inperken.
Om nu toch in staat te zijn een goede gegevensregistratie op te zetten moeten er wat afwegingen worden gemaakt. Zoals het vaststellen of het juridisch acceptabel is dat de gegevens worden opgeslagen, of de opslag bedrijfskundig voordelen (of in ieder geval geen directe nadelen) heeft, of het privacy-technisch mogelijk is de gegevens op te slaan en niet als minste, of de gegevens een meerwaarde bieden bij het forensisch onderzoek.
Hiertoe zullen wat filters moeten worden gedefineerd, waaraan de te registreren gegevens moeten voldoen om voor opslag in aanmerking te komen. Dat is het startpunt voor een van mijn volgende artikelen.
woensdag 26 september 2007
Bigbrother is er in 2017
Althans, dat lijkt zo te gebeuren op het technische vlak. Lees daarvoor dit artikel. Hier wordt beschreven hoe men over 10 jaar verwacht in staat te zijn op 5 meter afstand alle vingerafdrukken te lezen. En een irisscan uit te voeren.
Dan is de voorgaande discussie over privacy die ik op dit weblog beschreef ook wel overbodig ;-(
Dan is de voorgaande discussie over privacy die ik op dit weblog beschreef ook wel overbodig ;-(
dinsdag 25 september 2007
Camera's en Privacy
Vanmiddag tijdens een presentatie over geavanceerd gebruik van zoekmachines was ik deelnemer in een interessante discussie over privacy, technische hulpmiddelen en waarom dit niet samengaat.
Camera's (de technische hulpmiddelen) worden niet als effectief ervaren, omdat bijvoorbeeld de criminaliteit niet omlaag gaat in de gebieden waar de camera's hangen. Je kunt je natuurlijk afvragen waarom die camera's er dan hangen, of ze wel goed hangen, wat er gebeurt zou zijn als ze er niet zouden hangen, en nog zo het een en ander.
Ironisch genoeg hangen die camera's er zonder dat er echt iets mee gedaan wordt. De gewone burger wordt geregistreerd (privacyschending) terwijl de doelgroep gewoon een petje opzet, de capuchon over zijn hoofd trekt en doorgaat waar hij mee bezig was. Omdat de camera's zo hoog hangen (hufterproof, zoals dat heet) leveren ze geen bruikbare beelden op. Filmen van onderen mag ook niet, ondanks de intrekking van de rechtzaak tegen geenstijl.
Sociale controle werkt toch beter. Projecten met wijkagenten, buurtvaders en stadswachten (vroeger had je ook nog Melkertbanen) werpen wel echte resultaten af. Je kunt je afvragen of de op de stadswachten geprojecteerde rol wel de juiste is, ze hebben geen andere bevoegdheden dan een burger. Maar hulpverlening en sociale controle zijn wel belangrijke factoren in het handhaven van een rustig straatbeeld. Natuurlijk zijn er situaties genoeg denkbaar waarin de min of meer toevallige aanwezigheid van een stel controleurs niet voldoende is. Denk aan treinstations. Hier kan de inzet van surveillancecamera's met intelligente beeldherkenningstechnologie veel betekenen. Dat er iemand "hangt" op een station is, gegeven de storingsgevoeligheid van de NS, redelijk normaal. Maar de software achter de camera kan ook herkennen dat er iemand over een hek klimt, of dat een tas wel erg onbewaakt is achtergelaten.
Gezamenlijk concludeerden wij dat technische hulpmiddelen alleen niet zaligmakend zijn. Samen met de inzet van sociale controle op verschillende handhavingsniveaus wordt het allemaal een stuk leuker.
Camera's (de technische hulpmiddelen) worden niet als effectief ervaren, omdat bijvoorbeeld de criminaliteit niet omlaag gaat in de gebieden waar de camera's hangen. Je kunt je natuurlijk afvragen waarom die camera's er dan hangen, of ze wel goed hangen, wat er gebeurt zou zijn als ze er niet zouden hangen, en nog zo het een en ander.
Ironisch genoeg hangen die camera's er zonder dat er echt iets mee gedaan wordt. De gewone burger wordt geregistreerd (privacyschending) terwijl de doelgroep gewoon een petje opzet, de capuchon over zijn hoofd trekt en doorgaat waar hij mee bezig was. Omdat de camera's zo hoog hangen (hufterproof, zoals dat heet) leveren ze geen bruikbare beelden op. Filmen van onderen mag ook niet, ondanks de intrekking van de rechtzaak tegen geenstijl.
Sociale controle werkt toch beter. Projecten met wijkagenten, buurtvaders en stadswachten (vroeger had je ook nog Melkertbanen) werpen wel echte resultaten af. Je kunt je afvragen of de op de stadswachten geprojecteerde rol wel de juiste is, ze hebben geen andere bevoegdheden dan een burger. Maar hulpverlening en sociale controle zijn wel belangrijke factoren in het handhaven van een rustig straatbeeld. Natuurlijk zijn er situaties genoeg denkbaar waarin de min of meer toevallige aanwezigheid van een stel controleurs niet voldoende is. Denk aan treinstations. Hier kan de inzet van surveillancecamera's met intelligente beeldherkenningstechnologie veel betekenen. Dat er iemand "hangt" op een station is, gegeven de storingsgevoeligheid van de NS, redelijk normaal. Maar de software achter de camera kan ook herkennen dat er iemand over een hek klimt, of dat een tas wel erg onbewaakt is achtergelaten.
Gezamenlijk concludeerden wij dat technische hulpmiddelen alleen niet zaligmakend zijn. Samen met de inzet van sociale controle op verschillende handhavingsniveaus wordt het allemaal een stuk leuker.
maandag 24 september 2007
Bewaarplicht
Ik verwacht dat binnen afzienbare tijd – enkele jaren – er voor de rijksoverheid een IT governance eis komt. Daarbij komt de politieke druk of eis van het vastleggen van “alle” gegevens. Niet alleen over burgers maar ook van ambtenaren. Of dit nu in het kader van IT governance of uit angst voor een terreurdreiging zal plaatsvinden maakt voor het resultaat niet uit – er zal ongecontroleerd veel informatie worden vastgelegd.
Voor een deel bestaat de eis van het vastleggen van alle gegevens al, zoals de 18 maanden bewaarplicht van telecom gegevens en de bewaarplicht van surfgegevens voor ISP's.
Met de overheid als het goede voorbeeld is het niet ondenkbeeldig dat een informatieverzamelend systeem als eerste bij de rijksoverheid wordt ingezet.
De eisen om verkeersgegevens te registreren en langdurig te bewaren nemen steeds verder toe. Samen met de steeds verdergaande automatisering van bedrijfsprocessen, kun je al snel tot de conclusie komen dat ondanks de grote hoeveelheid opgeslagen data er geen informatie uit te halen valt – er is gewoon teveel opgeslagen data.
Door het opstellen van een regelset of een setje voorwaarden waaraan gegevens en situaties moeten voldoen om wel of niet opgeslagen te worden, kan aan een aantal eisen en wensen tegemoet worden gekomen.
Voor een deel bestaat de eis van het vastleggen van alle gegevens al, zoals de 18 maanden bewaarplicht van telecom gegevens en de bewaarplicht van surfgegevens voor ISP's.
Met de overheid als het goede voorbeeld is het niet ondenkbeeldig dat een informatieverzamelend systeem als eerste bij de rijksoverheid wordt ingezet.
De eisen om verkeersgegevens te registreren en langdurig te bewaren nemen steeds verder toe. Samen met de steeds verdergaande automatisering van bedrijfsprocessen, kun je al snel tot de conclusie komen dat ondanks de grote hoeveelheid opgeslagen data er geen informatie uit te halen valt – er is gewoon teveel opgeslagen data.
Door het opstellen van een regelset of een setje voorwaarden waaraan gegevens en situaties moeten voldoen om wel of niet opgeslagen te worden, kan aan een aantal eisen en wensen tegemoet worden gekomen.
zondag 23 september 2007
Eerste Posting
Voor mijn afstudeeropdracht aan de TIAS Business School Eindhoven, de opleiding tot Master of Information Security Management (MISM), doe ik onderzoek naar regels en richtlijnen voor opslag van gegevens. Dit is een vervolg op het onderzoek naar een Forensisch Informatiesysteem (FIS), zoals is vastgelegd op de blog http://coengertjanmartin.wordpress.com
Ik streef ernaar mijn bevindingen - voor zover mogelijk en praktisch - op dit blog neer te zetten.
Reageren is mogelijk en gewenst.
Gertjan
Ik streef ernaar mijn bevindingen - voor zover mogelijk en praktisch - op dit blog neer te zetten.
Reageren is mogelijk en gewenst.
Gertjan
Abonneren op:
Posts (Atom)