tag:blogger.com,1999:blog-40602640542214346602024-02-06T22:27:38.383-08:00Theo Pouw en TP Programma Management bvWeblog van Theo Pouw beschrijft gebeurtenissen in zijn professionele leven en achtergronden daarvan.
REACTIES NAAR: POUW236@GMAIL.COMTheo Pouwhttp://www.blogger.com/profile/05577489781658914267noreply@blogger.comBlogger201125tag:blogger.com,1999:blog-4060264054221434660.post-77787980112329900762014-09-16T07:48:00.002-07:002014-09-16T07:48:55.780-07:00Kringbijeenkomst Risk managementIn een bijeenkomst van de Kring Risk Management van het AG (november 2013) kwam interessante kennis langs.
De inleider houdt blijkbaar van Nassim Taleb met zijn black swans: de wereld is niet stabiel en er zijn altijd restrisico's. Zijn boek The Black Swan kwam uit in 2007. De titel van het boek slaat op de 'zwarte zwanen': gebeurtenissen met een enorme impact die we, ondanks al onze kennis, niet konden voorspellen. Taleb noemt behalve de financiële crash ook de aanslag op 11 september 2001. Jos Berkemeijer zegt, dat je volgens Taleb moet inzetten op positieve black swans. En Jos bedoelt bijvoorbeeld zijn eigen stokpaardje: goudbeleggingen.
Leuke tips om daarna via het web wat meer te weten komen over de bedoelde schrijvers. Hij noemt Daniel Kahneman. Beslissen kan op twee manieren : vanuit emotie of vanuit ratio. Informatie over Kahneman via wikipedia leert: Hij toont een aantal systematische fouten aan, die mensen maken. Ze schatten kansen verkeerd in; daar zit een bepaalde bias in. Mensen wennen aan een bepaald referentieniveau zoals de waarde van hun huis; een schoksgewijze wijziging van het referentieniveau doet pijn. Loss aversion, een bekende bias bij mensen. Status quo bias, als mensen keuzes moeten maken, hebben bekende alternatieven eerder de voorkeur. Conjunction fallacy; mensen overschatten de kans op een specifiek geval. Overschatting van eigen kracht.
<blockquote></blockquote>
De inleider doet een testje met 10 schattingen. Om de zaal bewust te maken van de betrekkelijkheid van hun eigen oordelingsvermogen. Veel van de zaken die hij vroeg, waren mij bekend: sociale ontwikkelingen, trends in de zorg, mondiale financiele verwikkelingen. Ik had ook wel een idee of het betreffende probleem een grote of een kleine omvang had. En toch zat ik er vaak naast en leerde een wijze les: als je wilt scoren moet je grote intervallen nemen! Ik maakte vaak keuzes om de omvang van een probleem te schatten en bleek er dan toch naast te zitten. Als je het interval een grootte-orde groter inschat, zit je vaak wél goed.
<blockquote></blockquote>
Twee goede sprekers volgden:
Thomas Pistorius werkt bij een pensioenfonds. Hij wil eerst een stuk theorie doen en daarna schakelen hoe je handelt in de praktijk.
Kuhn schrijft dat je paradigma's hebt in de wetenschap. Zo is het bij actuarissen vaak een paradigma, dat je statistiek gewoon kunt gebruiken. Maar dat is dus niet altijd waar. In een dobbelsteenmodel kan het zeker. En in een statistiek met sterftetabellen kan het ook redelijk, omdat het theoretische model dicht bij de werkelijkheid zit. Maar er zijn ook situaties waar het model (vereenvoudigde weergave van de werkelijkheid) ver blijkt af te wijken van de werkelijkheid.
Dat vond ik een absolute eye-opener. Want bijvoorbeeld de financiele crisis van 2008 heeft geleerd, dat gebruikte modellen te ver af zaten van de werkelijkheid.
<blockquote></blockquote>
Ook hij leest Taleb, maar liever nog Knight, Keynes, McCloskey, Von Misek en Hayek.
Risico is statistiek en daarnaast heb je onzekerheid. Onzekerheid heb je altijd bij economische vraagstukken. Zonder onzekerheid is er geen winst, want de economische theorie zegt immers, dat je geen winst kunt maken bij volledige concurrentie. (Een bekende bias is dat mensen niet houden van onzekerheid: Ellsberg heeft twee urnen. 1 half met rode en witte ballen. 1 met rode en witte ballen. Mensen kiezen het liefst uit urn 2. Getallen geven schijnzekerheid.)
McCloskey zegt: als die analisten allemaal zo goed zijn, waarom zijn ze dan niet rijk?
En dat is een oude wijsheid, die al langer geldt voor beleggingsanalisten en andere middelmatige figuren bij banken, die jou willen adviseren!
<blockquote></blockquote>
Keynes spreekt van radicale onzekerheid: we just don't know.
Het gedrag kan dan tweeerlei zijn: 1. Twijfel en afwachten. 2. Irrationeel optimistisch/ animal spirits. Een uitspraak van Keynes die mij aanspreekt en die ik wel heb geciteerd: Better roughly right than exactly wrong. Waarmee hij verstokte rekenmeesters terecht wees.
Kortom: goede en interessante kennis aangereikt gekregen.Theo Pouwhttp://www.blogger.com/profile/05577489781658914267noreply@blogger.com0tag:blogger.com,1999:blog-4060264054221434660.post-92218240762682775332014-08-05T00:19:00.000-07:002014-08-05T00:19:05.464-07:00Zorg en ICT in Jaarbeurs
25 maart 2014 was weer de jaarlijkse beurs van Zorg & ICT.<blockquote></blockquote>
Algemene indrukken: Iets rustiger dan vorige jaren. Vorige jaren was er blijkbaar in de zorg grote behoefte om zich te orienteren op investeringen in ICT. Ik denk, dat de kaarten nu zijn geschud. Ziekenhuizen en andere partijen hebben hun keuzes gemaakt voor een Ziekenhuis Informatiesysteem (ZIS) of aangaande patientendossiers en gegevensuitwisseling. Er wordt nu trouwens gesproken over EPD/ECD, waarbij de laatste drie letters erbij zijn gekomen. Die staan voor elektronisch client dossier; dat is meer van toepassing voor verpleeghuizen en dergelijke. Er zijn geen grotere partijen, die presentaties geven in het seminarprogramma. Er zijn wel kleinere spelers, die overigens volle sessies trekken, want net als ik willen de mensen iets horen en niet doelloos wat rondlopen op de grote beursvloeren. <blockquote></blockquote>
Er zijn ook nieuwe trends: e-health (hype) en bigdata (zal doorzetten). Bij het eerste wordt allerlei elektronica/ gadgets op en in het lijf gepositioneerd om je toestand voortdurend te monitoren. Volgens mij is dat in het huidige tijdsgewricht een nutteloze hype. Wat wel toekomst heeft is Big Data. Hoewel de kreet nu te pas en te onpas wordt gebruikt, is het verbluffend welke nuttige informatie met goede technologie te destilleren is uit de meest diffuse dataverzamelingen. (Verschillende applicaties, verschillende gegevensdragers en apparaten, verschillende branches.) Behalve superieure technologie zijn hiervoor echter volgens mij ook zeer intelligente onderzoekers nodig en dat lijkt mij de zwakke plek in deze ontwikkeling.
<blockquote></blockquote>
In Zorgmagazines vind je overzichten van de keuzes, die gemaakt zijn voor Zissen. Vorig jaar was het rustig nu kun je spreken van een doorbraak. De kaarten zijn geschud. Sommige gevestigde leveranciers verliezen flink en nieuwe zijn doorgebroken. Een leverancier als Chipsoft handhaaft zich in al dat geweld; die hebben blijkbaar met goede produkten en ondersteuning vertrouwen bij de klanten.
<blockquote></blockquote>
Ik was bij een presentatie van IBM. Zij inventariseren netjes alle kansen in de zorg zonder iets te zeggen over de techniek die ze daarvoor kunnen aanreiken. Ongetwijfeld hebben ze krachtige zoekmachines, maar welke interface heb je dan om onderzoekers te helpen hun vraag te formuleren of hun opdracht aan de zoekmachines te geven? Typisch een grote speler, die onvoldoende in de materie en in het vakgebied zit om echt zinvolle toepassingen aan te bieden.
<blockquote></blockquote>
De Zorg zal in de komende jaren een formidabel toepassingsgebied blijven voor ICT. Maar alleen zinvolle toepassingen zullen het redden. Wat dat betreft is het goed, dat de krappe budgetten een rem blijven op het investeren in fantasieprojecten.Theo Pouwhttp://www.blogger.com/profile/05577489781658914267noreply@blogger.com0tag:blogger.com,1999:blog-4060264054221434660.post-70173086272592325322014-07-19T11:11:00.001-07:002014-07-19T11:11:16.565-07:00Een ideale wereld bij Tegenlicht
Het tv-programma Tegenlicht zond in december 2013 een programma uit over technische mogelijkheden. Sprak mij aan. De technologische mogelijkheden zijn zodanig, dat in de toekomst niemand nog gebrek zal hebben aan schoon water, energie, voedsel en shelter. Althans volgens sommige toekomstdenkers.
Het is vooral gestoeld op de afnemende kosten van zonne-energie (de wet van Moore werkt hier door, elk jaar worden de cellen twee keer kleiner, twee keer efficienter en twee keer goedkoper).
<blockquote></blockquote>
Er is een voorbeeld van een Noor die in Dubai zoet water maakt uit zeewater en die daar graan verbouwt. Zo kunnen grote woestijnstreken bewoonbaar worden gemaakt. Het lijkt allemaal te mooi om waar te zijn.
<blockquote></blockquote><blockquote></blockquote>
Nog een geweldige constatering: Door de kracht van ICT wordt crowd sourcing gefaciliteerd. Dat wil zeggen, dat grote groepen mensen worden gemobiliseerd die met zijn allen bergen werk kunnen verzetten. Twee voorbeelden worden uitgewerkt: Jack Andraka vindt op zijn veertiende een krachtige en goedkope manier om bepaalde kankersoorten vroegtijdig te diagnosticeren. Hij maakt gebruik van allerlei gezoek op internet (wikipedia e.a.). En op basis daarvan komt hij met zijn revolutionaire ontdekkingen. Intussen is hij natuurlijk wel opgenomen in het establishment van de wetenschappelijk wereld. Ander voorbeeld: Astronomen moeten gigantische hoeveelheden opnamen van extraterrestrische hemellichamen onderzoeken. Ze laten zich helpen door leken. Zo vond een Nederlandse vrouw een lichaam, dat zich dichtbij een verre zon bevond. Sindsdien heet dat hemellichaam ' Hanny's voorwerp'!
<blockquote><blockquote></blockquote></blockquote>
Verder was er een Nederlandse ondernemer in Geldermalsen, die explosief groeit met het produceren van 3d-printers. Hij zegt, dat distributiekosten wereldwijd worden geelimineerd. Want je mailt alleen de specs en de tekeningen van een voorwerp. Dat voorwerp wordt dan ter plaatse geproduceerd door een 3d printer. Ik vraag me steeds af in hoeverre je zo echte omvangrijke voorwerpen kan produceren. Print je alleen de vorm? En in hoeverre kun je de interne mechanieken op die manier produceren?
<blockquote><blockquote></blockquote></blockquote>
Een grote MAAR wordt niet belicht: Dit is weer een verhaal van techneuten, die het licht zien. Technologie is een belangrijke driver, maar er zijn factoren die doorslaggevender zijn, namelijk het menselijk handelen. Er zijn bijvoorbeeld groeperingen, die geen boodschap hebben aan technologische vooruitgang, maar liever terug willen naar de middeleeuwen en de toen heersende machtsverhoudingen. Islamfundamentalisten met name. Maar die er niet voor schromen om daarvoor technische verworvenhedent te misbruiken.
Theo Pouwhttp://www.blogger.com/profile/05577489781658914267noreply@blogger.com0tag:blogger.com,1999:blog-4060264054221434660.post-58226642504962570592014-06-17T07:25:00.000-07:002014-06-17T07:25:44.169-07:00Geavanceerde trojans
Door Stuxnet was er de afgelopen jaren belangstelling voor geavanceerde trojans, malware die zich in kleine stapjes en zeer gericht installeert op computers. Van Stuxnet wordt aangenomen dat het door buitenlandse geheime diensten werd ontwikkeld om de atoomprojecten van Iran te saboteren. In onderstaand, al wat ouder, artikel van Tweakersnet wordt geschreven over nieuwere varianten van zulke trojans.
<blockquote></blockquote>
Ik heb de vragen en antwoorden bij het artikel gelezen en ben wel onder de indruk van het niveau van de discussie. Goed Nederlands taalgebruik, duidelijk veel kennis en inzicht in de materie, maar ook kennis van internationale verhoudingen en de spionage-affaires uit de Koude Oorlogs-tijd. Het niveau van deze discussie steekt schril af tegen het niveau van veel andere discussies op internet, bijvoorbeeld over de euro-problemen of immigratie-zaken.
<blockquote></blockquote>
Een paar wetenswaardigheden uit de discussies.
Er wordt opgemerkt, dat de ontdekking van het virus in het Midden-Oosten lang heeft geduurd, omdat de antivirus-industrie daar minder 'honeypots' heeft staan. Blijkbaar worden honeypots ingezet om virussen te ontdekken.
Iemand zegt, dat voortdurende monitoring van verkeer nodig is, omdat bijvoorbeeld het versturen van screendumps zou moeten opvallen. Een ander zegt weer, dat je die screendumps goed kunt compressen, zodat ze juist niet opvallen. Monitoren is wel een methode die al langer wordt geadviseerd. Voortdurend monitoren tegenover een bepaalde benchmark of een ijkpunt van normaal geacht verkeer. Het vooraanstaande Fox IT stelt bijvoorbeeld: 'Je moet je niet afvragen of je slachtoffer zult worden van cyberinbraak. De vraag is alleen wanneer.' Dus o.a. Monitoring is absoluut noodzakelijk.
Dit wordt wel het nieuwe soort oorlogsvoering. Recent werd ontdekt, dat installaties van waterbedrijven besmet waren en dat pompen van Rijkswaterstaat gemakkelijk te kraken waren; daarmee kan een vijand dus gigantische schade aanrichten in een ander land.
Het virus bestaat uit diverse modules en opgemerkt wordt, dat je keyloggers bijvoorbeeld gewoon kant en klaar kunt downloaden.
<blockquote></blockquote>
Quote Tweakersnet:<blockquote></blockquote>
Nieuwe geavanceerde trojan duikt op in het Midden-Oosten
Door Wout Funnekotter, dinsdag 29 mei 2012 08:25
Submitter: JvH, views: 7.961<blockquote></blockquote>
Beveiligingsbedrijf Kaspersky Labs heeft een nieuw stuk malware ontdekt dat het gemunt heeft op computers in het Midden-Oosten. Het Trojaanse paard, dat Worm.32.Flame gedoopt is, zou geavanceerder zijn dan de Stuxnet- en Duqu-trojans
Flame is vooral gericht op computers in het Midden-Oosten, zo schrijft Kaspersky Labs in een faq over de nieuwe trojan. Gebieden waar de trojan momenteel actief is, zijn onder andere Iran, Israel, Palestina, Sudan, Syrië, Libanon, Saudi Arabië en Egypte.
De trojan lijkt volgens onderzoekers niet bedoeld om een specifiek soort computer aan te vallen, zoals bijvoorbeeld bij Stuxnet het geval was, dat het voorzien had op scada-systemen. Flame lijkt meer bedoeld voor algemene spionage. De trojan nestelt zich in een Windows-systeem via verschillende exploits en houdt daarna bij wat gebruikers doen.
Flame is van variabele grootte omdat het opgebouwd is uit verschillende modules. Die losse modules hebben specifieke functies, zoals het registreren van toetsaanslagen, het maken van schermafbeeldingen, het opnemen van audio en het onderscheppen van netwerkverkeer. Met alle modules actief neemt de malware ongeveer 20MB in beslag. Flame bestaat niet uit een enkele executable maar verspreidt zichzelf over verschillende dll-bestanden die bij het starten van de computer ingeladen worden.
De verzamelde gegevens worden via beveiligde ssl-verbindingen naar diverse control and command-servers verstuurd. Hoeveel er hiervan operationeel zijn is nog niet bekend. Vanaf deze servers kan de trojan ook beheerd worden; het is mogelijk om de trojan van afstand te repliceren maar ook van een systeem te verwijderen.
Flame heeft, afgezien van de exploits die het gebruikt om zich te installeren, technisch gezien weinig overeenkomsten met Stuxnet en Duqu, twee stuks malware die vorig jaar veel in het nieuws waren. De beveiligingsonderzoekers gaan er dan ook van uit dat Flame los van Stuxnet en Duqu ontwikkeld is. Het bedrijf vermoedt dat de ontwikkeling van de trojan, vanwege zijn grote omvang en uitgebreide mogelijkheden, door een land gesponsord is.
<blockquote></blockquote>Theo Pouwhttp://www.blogger.com/profile/05577489781658914267noreply@blogger.com0tag:blogger.com,1999:blog-4060264054221434660.post-35750263368803802082014-05-07T00:53:00.000-07:002014-05-07T00:53:04.759-07:00Een professor in “Design, Management and Innovation”
Rick Maes heeft zich sedert enige tijd met zijn Academy for Informationmanagement gevestigd in het voormalige Weesper Badhuis in Amsterdam. Op 28 januari 2014 was er een lezing van Richard Buchanan (Professor of Design, Management and Innovation).
<blockquote></blockquote>
Hij stelt, dat in de 20ste eeuw Commercialisering en Industrialisering een grote vlucht namen en dat er sprake was van 'grand design'. Ik interpreteer, dat hij daarmee bedoelt het ontwerpen van de massa-produktie en de massa-processen.
<blockquote></blockquote>
Rond 1960 werd de nieuwe vraag hoe je het beste met alle nieuwe machines (computers) de interactie kunt organiseren. Eerst was er de 'prompt' op het computerscherm, dat wil zeggen een vinkje waarachter je een commando kon intikken. Later werd het scherm visueel met sturing door aanraken van het scherm. Ook stemherkenning werd een mogelijkheid.
<blockquote></blockquote>
Als intermezzo laat hij inschatten welk deel van het nationaal produkt bestaat uit services. Dat blijkt 70 procent voor de VS, 68 procent voor Europa en 65 procent voor Europa. Overal dus bijna even hoog. Het essentiele element van services is coproduktie. Dat wil zeggen, dat de klant betrokken is bij het produktieproces. Zijn punt hierin is, dat interactie belangrijk is. En dat design daar dus rekening mee moet houden.
<blockquote></blockquote>
Hij vertelt, dat studenten van hem ontwerpen hadden gemaakt voor grote gemeentesystemen in Amerika. Het waren prachtige en logische ontwerpen, maar in de wandelgangen kregen ze te horen: “ Dat doen we nou eenmaal hier niet zo.” Zijn les daaruit was, dat Management, Organisatie en Cultuur in het ontwerp moeten worden meegenomen. Mijn gevoel was: De zoveelste techneut die de Eureka belevenis heeft, dat change management nodig is. En het ergste is, dat hij denkt dat hij de eerste is, die dat ontdekt....
<blockquote></blockquote>
Andere skills zijn gewenst bij ontwerp. Hij onderkent volgens mij een aantal ontwikkelingen in de richting van empowerment van de uiteindelijke afnemer. Van produkt gaat het naar service. De klant is betrokken bij het maakproces. Van Sales gaat het naar marketing. (Van produkt pushen naar het vervullen van de behoefte.) In een bepaald stadium kunnen sales en marketing overbodig worden. Dat laatste vond ik een leuke conclusie. Veel mensen zoeken immers via rijkelijke internetinformatie hun weg voor hun aankopen en laten zich niet leiden door verkooppraatjes en verleidelijke dagblad- en televisiereclames. 'People need info and how to understand'.
<blockquote></blockquote>
Hij noemt als voorbeeld van het belang van design, dat Apple ' keeps the intellectual property of how to design'. Verder design en produktie uitbesteden. Ik vind het een slecht voorbeeld, waar het betrekken van de klant betreft, want Steve Jobs stelde, dat de klant helemaal niet wist wat hij nodig had. Maar een goed voorbeeld in die zin, dat Apple de highlevel design principes beheerst en dat de rest van het produktieproces daar automatisch uit volgt. Zelf moest ik eraan denken, dat Toyota ingenieurs ooit inkopende Amerikanen observeerden om te zien wat en hoe ze hun auto's moesten inladen. Dat is dus wel een skill om te weten te komen, wat klanten nodig hebben. En deze kennis dan te gebruiken voor je design.
<blockquote></blockquote>
Volgens hem moet Design in the executive suite. (Zoals in de jaren negentig het credo was dat de de CIO in de boardroom moest. Later werd de afkorting CIO gepariodeerd tot Career is Over.....)
Maar goed, was is dan Design op dat niveau? Het is “facilitering van de strategische discussie”.
In gewone woorden interpreteer ik, dat op boardniveau strategisch wordt nagedacht, welke klanten, produkten en markten je wilt betreden. Uitgaande van de ontwikkelingen in technologie (Apple) en en de behoeften van mensen (Toyota). Zo geformuleerd begrijp ik zijn stelling van Design op boardniveau.<blockquote></blockquote>
Altijd interessant om Amerikaanse academici te horen praten. Een kwalitatief hoog beschouwingsniveau is dan altijd gegarandeerd.Theo Pouwhttp://www.blogger.com/profile/05577489781658914267noreply@blogger.com0tag:blogger.com,1999:blog-4060264054221434660.post-91840655575718769582014-04-14T07:42:00.000-07:002014-04-14T07:42:06.037-07:00Cybercrime
In maart 2014 zocht Neelie Kroes de publiciteit vanuit haar Europese commissariaat, dat de ICT-ontwikkeling in Europa stimuleert. Citaat:
<blockquote></blockquote>
<i>Eurocommissaris Kroes constateert dat de relatie tussen technologie en democratie de
afgelopen tijd is beschadigd door de diverse afluisterschandalen. Ook het toenemend aantal cyberaanvallen baart haar zorgen. Als voorbeeld wijst ze op Deutsche Telekom; het telecomen ict-concern registreert elke dag zo'n 800.000 aanvallen op zijn netwerken, dat zijn er bijna tien per seconde, dag in dag uit. Volgens Kroes hebben 93 procent van de grote bedrijven inmiddels minimaal een keer last gehad van een cyberaanval; bij kleine bedrijven is dat driekwart. 'Hier moet een einde aan komen. Die schandalen en aanvallen hebben een negatieve invloed op de samenleving en de economie. 'Het schaadt het vertrouwen en reputaties. Daarnaast kost het oplossen van incidenten handenvol geld, zeker als het bedrijfskritische ict-infrastructuren betreft. In welke sector een bedrijf of instelling ook opereert, online beveiliging moet onderdeel zijn van het business model. Het moet net zo gewoon worden als het op slot doen van de voordeur als je weggaat.'
Zwakste schakel Europa moet in Kroes' ogen uit haar comfortzone komen, waarbij landen behoren te zorgen voor een beter beveiligde ict-infrastructuur en betere beveiligingsdiensten. 'Zeker nu het in de Macaw volgende fase van internet om data en verbindingen draait: cloud computing, big data en het internet of things. Betrouwbaarheid en vertrouwen zijn voorwaarde voor het succes van de nieuwe digitale wereld.'
Kroes kondigt aan dat er vanuit haar portefeuille Digitale agenda in samenspraak met juristen uit de EU-lidstaten wordt gewerkt aan wetgeving die 'bescherming biedt maar niet mag leiden tot protectionisme. Het internet heeft juist succes omdat het grenzeloos is.' Deze richtlijn wordt naar verwachting dit jaar van kracht en vereist dat bedrijven en overheden zelf verantwoordelijkheid nemen voor het beschermen van gegevens waarmee ze werken. 'Een vrijwillige aanpak is niet meer voldoende. Zwakke wetgeving op dit vlak is een gevaar voor de economie.'
</i>Einde citaat. <blockquote></blockquote>
Een goed initatief van haar. Reacties op haar stuk waren deels negatief. Iemand vond het beschamend, dat zij de vergelijking durfde te trekken met 9-11, omdat daar duizenden slachtoffers te betreuren waren. Deze briefschrijver realiseert zich niet, dat cybercriminelen zeer kritische infrastructuur zouden kunnen verwoesten met grote aantallen slachtoffers tot gevolg. Er zijn voorbeelden, dat hackers doordrongen in de besturing van sluizen bijvoorbeeld. Als deze mensen door sabotage op de deltawerken erin zouden slagen om een watersnoodramp te creeren, is de vergelijking met 9-11 plotseling wel zeer toepasselijk!
<blockquote></blockquote>
7 augustus 2013 schreef ik een blog over de Amerikaanse aanpak in deze. Zij breiden hun dedicated workforce uit van 800 naar 4000 medewerkers. Een groep om nationale infrastructuur van electriciteit te beschermen, een deel voor militaire aanvallen en een deel voor bescherming van de militaire structuren. Amerika loopt dus voor. Intussen blijven er berichten komen van situaties, dat malware wordt ontdekt, waarbij steeds weer de verdenking opduikt, dat Chinezen op grote schaal aan deze cyberoorlogsvoering doen.Theo Pouwhttp://www.blogger.com/profile/05577489781658914267noreply@blogger.com0tag:blogger.com,1999:blog-4060264054221434660.post-76897888068240423832014-03-13T13:11:00.000-07:002014-03-13T13:11:36.207-07:00Toekomst Pensioenen
Financial Assets (recruitment firma) organiseerde 10 december 2013 weer een seminar in het Bomencentrum van Hans Blokzijl te Baarn. Gastheer Anno Bousema krijgt vanuit zijn netwerk altijd een grote groep deskundigen bij elkaar. Er waren 3 sprekers, die daarna door een challenger werden bevraagd.
Theo Kocken is een pensioendeskundige, die verbonden is aan de VU en blijkbaar bekend is van Radar. Verder is hij bekend van bureau Cardano, een adiesbureau voor pensioenfondsen, waarvan ik al eens een hele goede spreker hoorde. (Joeri Potters van Cardano sprak over Behavioural Economics en ik schreef daarover op mijn weblog op 15 oktober 2013.) In het Pensioenakkoord wordt gewerkt aan FTK1 en FTK2. Kocken vindt dat doormodderen. Er moet een metamorfose komen.
Hij stelt dat alles in het nadeel van de jongeren werkt: Jeugdwerkloosheid, huizenprijzen, overheidsschuld en collectieve pensioenen. Hij verwijst naar John Nash, omdat die met speltheorie aantoonde, dat een partij een andere partij een eerlijk verdelingsvoorstel (fair proposal) moet doen; en dat anders die andere partij het voorstel niet accepteert. Volgens mij is zijn punt, dat de jongeren in ons pensioensysteem unfair worden behandeld en dat ben ik met hem eens. Oudere generaties hebben een relatief riante deal, de jongere generaties komen er in de toekomst bekaaid vanaf.
<blockquote></blockquote>
Blijkbaar stelt het FTK twee varianten voor: nominaal en reeel. Hij wil een tussenvorm: Eerst 40 jaar iets opbouwen (reeel) en dan een individuele pot overhevelen en die in annuiteiten toekennen. Hij noemt dat een duaal stelsel. Hij verwijst naar Laurie Santos: underpromise and overdeliver. Hij bedoelt daarmee, dat je aanvankelijk conservatief toezeggingen doet en dat dan later makkelijk waarmaakt cq overtreft. (In onderzoek van Laurie Santos gaan twee mannen bananen aanbieden bij een aap. De eerste man biedt altijd 1 banaan aan; als de aap komt geeft hij 2 bananen. De tweede man biedt altijd 3 bananen aan, maar als de aap komt, geeft hij er maar 2. Het blijkt, dat de apen uiteindelijk een voorkeur hebben voor de eerste man. Hoewel dus beide mannen uiteindelijk 2 bananen geven, is er een voorkeur voor de man van 'underpromise and overdeliver'.) Het is in beleggingstheorie ook al lang bekend, dat mensen winsten gemakkelijk inboeken, maar verliezen heel moeilijk accepteren. Met verlies verkopen van aandelen of van je huis bijvoorbeeld is psychologisch een zware stap.
<blockquote></blockquote>
De tweede spreker is Dick Boeijen van PGGM. Hij brengt het gedachtengoed van Tamerus (defined ambition i.p.v. defined benefit of defined contribution). Hij zoekt een synthese tussen al die binaire modellen.<blockquote></blockquote>
Ja tegen: collectief beleggen, verplichtstelling, doelsparen, delen van risico's (lang/kort leven, arbeidsongeschiktheid).<blockquote></blockquote>
Nee tegen: onbedoelde overdrachten, progressieve premie, complexiteit.<blockquote></blockquote>
Leren van de transparantie van Defined Contribution. Hardere garanties. Behoud het risicodelen tussen generaties. Overgaan naar degressieve opbouw.
<blockquote></blockquote>
De derde spreker is Willem Noordman van de FNV. Het is niet verrassend, dat hij voorstander is van Collectief en Verplicht. De status quo dus.
Bij rigoureuze wijziging van het systeem moeten wel de consequenties worden uitgelegd. Typisch vakbond: vested interests niet aantasten. Hij is TEGEN het hekken weghalen tussen pensioen -huis-zorg en tegen de VPL overgangsregeling. Een standpunt waarop ik maar geen commentaar lever.
<blockquote></blockquote>
De discussie zal nog even voortwoeden. De oude garde verdedigt haar rechten, maar het systeem wat zij voorstaan is financieel niet houdbaar en nadelig voor jongere generaties. Je doet er m.i. verstandig aan om zelf je zaken te regelen en weg te blijven van grote collectiviteiten.Theo Pouwhttp://www.blogger.com/profile/05577489781658914267noreply@blogger.com0tag:blogger.com,1999:blog-4060264054221434660.post-73364575564538516092014-02-14T06:22:00.000-08:002014-02-14T06:22:24.970-08:00Soester Duinen en schadeactuariaat
28 oktober 2013 was er een jubileumbijeenkomst van de sectie Astin van het Actuarieel Instituut. Volgens mij betekent de afkorting oorspronkelijk Actuarial Studies in Nonlife Insurance. Ooit was actuariaat voorbehouden aan levenverzekeraars, maar dat is allang niet meer zo. Vandaag wordt het 50-jarig jubileum gevierd van deze sectie.
<blockquote></blockquote>
De voorzitter beschrijft een trend van Demandbased pricing naar Riskbased pricing van schadeverzekeringen. En om dat te kunnen doen moet je natuurlijk wel flink rekenen. En dat doen actuarissen. Het bedrijf met de meeste data en dat daar ook nog het beste mee kan werken, wordt de winnaar. Het rekenwerk is ook de basis voor retentiemanagement, de winstgevende klanten vasthouden.
<blockquote></blockquote>
Henk Kriek vertelde uitgebreid over de historie van Astin. In zijn relaas zie je het belang van schadeactuariaat in de loop der jaren groeien.
<blockquote></blockquote>
Daarna volgden twee sprekers, die in opdracht van het Verbond van Verzekeraars onderzoek deden.
Zij stelden een Definitie van schadevrije jaren voor. Vroeger werden daarvoor blijkbaar teveel verschillende begrippen gehanteerd, hetgeen consistentie en vergelijkbaarheid natuurlijk verstoort. Zij opperen, dat hun begrippen ook kunnen worden toegepast in andere verbanden dan autoverzekering. Wat bijvoorbeeld te denken van een bonus voor gezond eten en leven?
<blockquote></blockquote>
Het derde verhaal werd gehouden door consultant Ricardo Plan en een universiteitsmedewerker, Katrien Antonio. Dat ging mij boven de pet. Niet de oude driehoeken, maar een benadering met veel computerkracht. Ik begrijp, dat je door enorme computerkracht minder hoeft te benaderen, maar gewoon alle beschikbare gevallen meerekent. Zij rekenen aan IBNR, RBNS, RBNR en Microlevel loss reserve.
<blockquote></blockquote>
Ik kreeg de indruk, dat het Levenactuariaat is uitgekauwd. De vraag is steeds meer naar Riskmanagement. Volgens mij is daarvoor ook een grote affiniteit met de business nodig. Het is de uitdaging om die mee te kunnen brengen.Theo Pouwhttp://www.blogger.com/profile/05577489781658914267noreply@blogger.com0tag:blogger.com,1999:blog-4060264054221434660.post-61539060943723820922014-01-20T12:08:00.000-08:002014-01-20T12:08:36.135-08:00De Nederlandse Verzekeraar 2023Op 5 juni 2013 organiseerde de executive search firma van Anno Bousema (vroeger directeur van het Actuarieel Instituur) in Het Groene Paviljoen van het bomencentrum in Baarn een symposium over de toekomst van verzekeraars. Een groot deel van het netwerk van Anno was aanwezig, actuarissen en beleidsmakers van verzekeraars, pensioenfondsen en consultancies.
Anno refereert in zijn inleiding aan de rode en blauwe oceaan van Kim en Mauborgne van Insead.
Ik kende die theorieën niet, maar heb ze intussen via internet onderzocht. 'Rood' betekent een volle markt, veel aanbieders, veel concurrentie. 'Blauw' duidt op een open markt, veel kansen en waar concurrentie niet relevant is. Kortom de verzadigde markten versus de grazige groene weiden. Wie wil daar niet van dromen. De vraag is of verzekeraars zulke perspectieven hebben.
<blockquote></blockquote>
Er waren 3 speed speeches. Tom Kliphuis, ex NN executive, Theo Berg riskmanager van Delta Lloyd en Jan Huug Lobregts, PWC. Daarna was het woord aan een challenger, in dit geval de bekende, goed gebekte actuaris Jan van Donselaar.
<blockquote></blockquote>
De eerste denkt aan mogelijkheden tot innovatie en hoe je steeds weer terugvalt in de oude sleur; hanteert als excuus de voortdurende regeldruk en implementeren daarvan.
Kijkt vanuit verleden naar heden en toekomst.
Hij ziet geen blue oceans. Wel als de verplichtstelling van pensioenfondsen wegvalt. Bij arbeidsmigratie en pensioenen kunnen verzekeraars expertise in langetermijn-beleggen inbrengen. (Volgens hem dan. Ik zou eerder denken aan de organisatie van het pensioencontract.)
<blockquote></blockquote>
Theo Berg is directer, geen excuus van regeldruk bijvoorbeeld. Banken doen het gewoon simpel en klanten willen dat ook. Die willen 7*24 op internet en willen het makkelijk en snel zonder veel plichtpleging en data-invoer. De business Leven geeft al jarenlang 18 procent daling te zien; banksparen daarentegen kende in 2011 een groei van 39 procent.
Leer leven met al die veranderingen, innoveer, probeer, ook als kost dat veel geld. Hij behandelt een paar drijvers achter de verandering:<blockquote></blockquote>
-demografische en geopolitieke verschuivingen<blockquote></blockquote>
-techniek nieuw, online, on demand, entertain me<blockquote></blockquote>
-distributie: winner takes it all<blockquote></blockquote>
-klimaat: andere risicoos<blockquote></blockquote>
-verzekeringstrends: in Australie is alles individueel, geen collectiviteiten.<blockquote></blockquote>
-Andere zaken gaan juist naar de overheid.<blockquote></blockquote>
-Online verzekeren en financieren komt eraan. Continu ermee bezig zijn, 7x24.
<blockquote></blockquote>
Lobregt geeft de bekende doorwrochte analyse van een consultancy. Op vraag van challenger Jan Donselaar, of de groei gezocht moet worden buiten Europa is zijn antwoord Ja.
Alle sociale, economische, technische, environmental en politieke trends passeren op zijn slides.
De populatie in de werkende leeftijd is tig keer zo groot in China en India. Ligt daar markt voor verzekeraars?
Er is een trend om te gaan van BI (business intelligence) naar Big Data. (Store>hypothese> just try..) Gewoon veel data opslaan en er een hypothese op los laten. Probeer maar wat....
<blockquote></blockquote>
Zelf denk ik aan de onmogelijkheid voor de logge, cultuur belaste bedrijven om te veranderen. Want dat zijn de grote verzekeraars. Ze kunnen niet op tegen de lean startups die niet gehinderd door erfenis zonder gedoe de klant benaderen. Ik denk aan mijn eigen ervaring met Tele2 versus KPN.
Alle industrieen hebben fases van groei en rijping, tot de fase waarin hun produkt een commodity is geworden, d.w.z. gemeengoed met minimale winstmarge.
De executive van NN gaf het historische overzicht: In de jaren zestig kenden verzekeraars enorme groei door fusies en door de vruchten van automatisering. Er was grote groei in leven door fiscale facilitering. Nu pushen desintermediatie en internet de ontwikkeling naar commodity, eerst bij schade en nu ook bij leven. De vette tijden komen niet terug. Theo Pouwhttp://www.blogger.com/profile/05577489781658914267noreply@blogger.com0tag:blogger.com,1999:blog-4060264054221434660.post-36588811461968975112014-01-12T02:15:00.000-08:002014-01-12T02:15:18.380-08:00Securitybeurs 30 oktober 2013Deze najaarsbeurs in Utrecht omvat Storage, Linux, Tooling en Security. En in de 8 jaren dat ik er nu heen ga, is Security van een bijprogramma geevolueerd naar het absolute hoofdprogramma. Altijd fascinerend om sprekers te horen, die wat dieper kijken in wat er nu eigenlijk gaande is bij de bedreigingen waarover wordt gesproken.
Het komt nu eigenlijk niet meer voor, dat een gehoorzaal voor het grootste deel leeg is. Het is altijd tjokvol en bij sommige lezingen moet je echt een kwartier eerder komen om zeker te zijn van een plaats. Vooral als er sprekers zijn, die bekend zijn van radio of televisie. Zoals dit jaar de onderzoeksjournalist Brenno de Winter. Ik kon daar nog net een staanplaats achterin bemachtigen. Maar zijn verhaal sprak mij niet aan. Hij klaagde er vooral over, dat overheden op het terrein van security de pot dicht houden en geen inzicht willen geven in wat er mis gaat en welke steken overheden hebben laten vallen. Ze gebruiken daarbij het nationaal belang als argument, maar volgens De Winter kan terrorismebestrijding veel beter als maximale openheid wordt betracht.
De enorme activiteit op het beursterrein is volgens mij ook een indicatie, dat de recessie wijkt. Er is activiteit en er wordt onderzocht waar je moet investeren. Ook de voortdurende verjonging van het beurspubliek wijst op nieuwe tijden en nieuw elan.
<blockquote></blockquote>
Ik wilde graag de Deloitte Hackingcontest bijwonen. Om te zien en te begrijpen, wat hackers eigenlijk doen. Hacken kun je niet leren; ik hoorde al eens een man van Fox IT zeggen, dat al die zogenaamde opleidingen en certificaten onzin zijn. De echte hackers ontwikkelen zichzelf in hun achterkamertje en in interactie met geestverwanten. Deloitte investeert in een groep ethical hackers en doet ook mee aan de CyberLympics..
Er zaten 15 hackerteams. Meestal in tweetallen zaten ze achter hun pc. Nadat ze de opdracht hadden gekregen, liep een moderator rond en gaf commentaar op hun vorderingen. Op een groot scherm was de voortgang te zien. Als een team tot op een bepaald niveau is binnengedrongen in het te hacken systeem, dan vinden ze een vlag die ze moeten rapporteren aan het centrale scoringssysteem . Een truc die wel eens wordt toegepast, is dat ze de gevonden vlaggen nog niet rapporteren, maar achter de hand houden. Aan het einde van de contest gaan ze dan opeens al hun vlaggen rapporteren en spuiten dan op het scorebord de andere teams voorbij om onverwacht de leiding te nemen.
Voor hackers zijn er tools beschikbaar, die hun werkzaamheden versnellen. Genoemd worden Backtrack, kali en poortscanners. Er staat voorin de zaal ook een grote container met papierafval. Daarin kunnen hackers ook zoeken naar aanknopingspunten. Dat wordt Dumpster Diving genoemd. Graven in een container om ingangen te vinden. Er werd een voorbeeld getoond, hoe hackers bij het inlogscherm niet userid en wachtwoord opgeven, maar sql injecteren, die in de database de conclusie trekt, dat de gegevens (userid plus wachtwoord) matchen, zodat je binnen mag. Of je vraagt in een systeem het rapport over september op en haalt in plaats daarvan de wachtwoordfile op.
<blockquote></blockquote>
Voor deze contest is een systeem opgezet met daarin een mailclient, webserver e.a.
Teams moeten hun vlaggen rapporteren aan het centrale scoringsysteem, zodat de zaal kan zien hoe de teams het doen. Team rood spoot snel naar 100 resp 200. Andere teams kwamen later op gang.
Een team spoot plotseling naar de 400. Deze hacker won, maar bleek het scoresysteem gehacked te hebben!
Het demonstreerde wel, hoe een hacker denkt. Hij ziet een applicatie niet zoals deze gedacht is voor gebruik. En hij houdt zich ook niet aan de opdracht in de contest om het opgezette systeem te hacken. Hij ziet alleen een doos waaraan je kunt morrelen, respectievelijk kijken waar openingen zitten. Zoals ooit eerder is beschreven, zoekt hij de openingen. Er zijn in de criminele bedrijfstak weer andere specialisten die vervolgens bezien hoe je de openingen kunt misbruiken.
Theo Pouwhttp://www.blogger.com/profile/05577489781658914267noreply@blogger.com0tag:blogger.com,1999:blog-4060264054221434660.post-25188615721077649622013-11-10T11:36:00.000-08:002013-11-10T11:36:22.517-08:00AGIM en Shell-scenarioplanningIn een AGIM-lezing was er een update over scenarioplanning. AGIM alumni (Amsterdams Genootschap van Informatiemanagers) leerden zo'n 20 jaar geleden in hun strategieblokken over de scenarioplanning van Shell. In de jaren '70 had Shell daarmee baanbrekend succes; later werd het een standaardtool voor allerlei bedrijven en instellingen.
Maar binnen Shell is er nog steeds een club, die zich ermee bezig houdt, en het was interessant om te vernemen, hoe het denken binnen Shell verder is geevolueerd. Een vertegenwoordiger van Shell verzorgde een update voor de AGIM-bijeenkomst.
<blockquote>
</blockquote>Met scenarioplanning richt men zich op een planningstermijn van 5 tot 10 jaar. Door methodisch te werken elimineer je de bias, die mensen kunnen hebben. De spreker noemde als voorbeeld, dat in 1977 Ken Olsen van DEC stelde, dat hij geen plaats zag voor computers in huishoudens. Hoewel deze man met de ontwikkeling van de mini-computers van Digital een grensverleggende pionier was, had hij geen idee van de PC-revolutie, die een paar jaar later zou aanvangen. En zelf herinnerde ik me daarbij het voorbeeld van de IBM executive, die kort na de tweede wereldoorlog stelde, dat er wereldwijd maximaal behoefte zou zijn aan 3 computers. En dan te bedenken, dat elke smartphone in 2013 krachtiger is dan de computer die hij zich kon voorstellen...
<blockquote></blockquote>
In het scenarioplanningsproces analyseert men de driving forces, die de toekomst bepalen. Met name driving forces, waarvan het onzeker is hoe ze zich ontwikkelen, worden verder meegenomen in de analyse. Daarna kiest men de twee driving forces, die men het belangrijkste vindt. Dat maakt het namelijk mogelijk om straks de scenarioos in een twee-assen diagram te presenteren.
In subgroepjes werkten de AGIM'ers daarna scenarioos uit voor de onderwerpen 'Toekomst AGIM', 'toekomst EURO' en de 'toekomst van de wereldvoedselvoorziening'. Met leuke resultaten en exercities die wel degelijk het bewustzijn vergroten en het out-of-the-box denken stimuleren.
Dat laatste was in de jaren zeventig al duidelijk de winst die Shell boekte: Toen de oliecrisis uitbrak, waren hun managementteams beter geequipeerd om in hele andere toekomsten te denken dan het business-as-usual tijdperk. De man van Shell bevestigde ook, dat de scenarioplanning duidelijk een tool is voor training en changemanagement in de organisatie.
Samenvattend is dus hun aanpak voor scenarioplanning:<blockquote></blockquote>
1. Definieer de Focal question<blockquote></blockquote>
2. Driving forces inventariseren<blockquote></blockquote>
3. Critical uncertainties definieren<blockquote></blockquote>
4. Bouw het scenario framework<blockquote></blockquote>
Tot slot nog een paar gegevens over de AGIM-club:
In een schoningsactie zijn 120 leden aangeschreven. Circa 80 leden betalen 25 of 50 E.
De begroting over 2012 plant daarmee 4 seminars en gaat uit van 80 betalende leden.
Theo Pouwhttp://www.blogger.com/profile/05577489781658914267noreply@blogger.com0tag:blogger.com,1999:blog-4060264054221434660.post-82249740985702136212013-10-15T03:49:00.001-07:002013-10-15T03:49:51.460-07:00Kringbijeenkomst over RiskmanagementDe kring Risk Management van het Actuarieel Genootschap organiseerde haar eerste bijeenkomst in de zomer van 2013. Er was een zeer grote opkomst. Ik schat wel over de honderd aanwezigen. Er waren 3 sprekers: drs Gertjan Stoker RA van een riskmanagement adviesbureau, econometrist ir Joeri Potters en dr Estelle Jonkergouw, Riskmanager van Achmea. Vooral de tweede spreker vond ik razend interessant met zijn inzichten vanuit Behavioural Economics.
<blockquote></blockquote>
Joeri Potters is van Carsaro, een bureau dat Pensioenfondsen ondersteunt.
Hij werkt vanuit het perspectief van Behavioural Economics (Gedragseconomie).
'Mensen maken altijd dezelfde fouten'.
Een aantal van die fouten worden benoemd en toegelicht.
<blockquote></blockquote>
-<b>ambiguity aversion</b> (http://en.wikipedia.org/wiki/Ambiguity_aversion). Mensen hebben voorkeur voor scenario's met zo weinig mogelijk onbekende factoren.
<blockquote></blockquote>
-<b>attribute substitution.</b> Als een probleem te moeilijk is om op te lossen, bedenk je een model, een simpele voorstelling van de werkelijkheid. Er is een bekende actuaris, Jos Berkemeijer, die al langer ageert tegen het geloof in lineaire modellen. Want je maakt een model op basis van wat je weet, maar juist dat kleine deel, dat je mist, kan een totaal andere uitkomst geven. De financiele crisis van 2008 wordt wel aangevoerd als een voorbeeld van een situatie, waar de modellen totaal gefaald hebben.
(Value at risk bijvoorbeeld werkt niet in extreme situaties.) Realiseer je dus, dat onze modellen fout zijn. Ken de zwakheden van het model in plaats van te pogen het te verbeteren.
De 95 procent die de modellen beschrijven is geen Riskmanagement. Dat is die 5%, die je model buiten beschouwing laat!.
<blockquote></blockquote>
-Meest desastreuze bias: <b>overconfidence.</b> Hij geeft daarvan aansprekende voorbeelden:<blockquote><blockquote></blockquote></blockquote>
Voorbeeld 1 (Svenson, 1981). 93 procent van de mensen schat zichzelf in bij de beste 50 procent van chauffeurs.<blockquote></blockquote>
Voorbeeld 2-Affect heuristic (Slovic, 2002). Er wordt een shortcut gemaakt in het beslissingsproces, beinvloed door gevoel. Zo kan de beurs onstuitbaar stijgen, als het gevoel heerst, dat het alleen maar omhoog kan gaan. 'Going with your gut'.
Bij een positief gevoel worden risico's laag en opbrengsten hoog ingeschat.
<blockquote></blockquote>
-Naast ALM zijn er tegenwoordig ook <b>event scenarioos</b>. Zonder kans erbij. Het aantrekkelijke daarvan lijkt me, dat je uitsluitend mogelijke gebeurtenissen inventariseert. Zonder dat voortijdig geroepen wordt, dat het onvermijdelijk is of onwaarschijnlijk.
<blockquote></blockquote>
Deze benadering vanuit de Behavioural Economics spreekt mij geweldig aan. Teveel laten wij ons momenteel leiden door quasi rationele kwantitatieve benaderingen, die uiteindelijk de wezenlijke problemen niet tackelen.
<blockquote></blockquote>
Ten slotte sprak de Risk Manager van Achmea. Dat vond ik echt een KPMG-aanpak met oneindige factoren en matrixen. Vanuit Visie en Strategie worden Risk Appetite statements afgeleid. En van daaruit weer de KRI's, de kritische risk indicators.
Volgens mij is dit weer een aanpak, die juist de bovengenoemde 5% onbekende risico's mist.
Theo Pouwhttp://www.blogger.com/profile/05577489781658914267noreply@blogger.com0tag:blogger.com,1999:blog-4060264054221434660.post-14231889879587455432013-09-06T05:49:00.000-07:002013-09-06T05:49:24.592-07:00Tweede bericht over de Securitybeurs van november 2012Dit is de tweede posting over de Securitybeurs van november 2012. In deze posting vooral aandacht voor de spreker van Fox IT.
Fox IT is een speler, die zich in een paar jaar tijd in Nederland heeft opgewerkt als de specialist als het gaat om onderzoeken van cybercriminaliteit, computerinbraak, computerfraude.
Het was geen verrassing, dat zij bijvoorbeeld werden gevraagd om te onderzoeken wat er was gebeurd, bij de inbraak van Iraanse hackers bij Diginotar.<blockquote></blockquote>
Fox IT introduceert een nieuw motto:
If you can't prevent it, detect it.<blockquote></blockquote>
En: Het is zeker dat je gehacked wordt, de vraag is alleen wanneer.
Ze verkopen dus niet de illusie, dat ze je volledig kunnen beschermen. Maar ze gaan er vanuit, dat hackers altijd zullen binnendringen, ondanks je preventieve maatregelen. En dat je dus vooral moet inzetten op snelle detectie en beperken van de schade.
Monitoring dus!
Waarbij de formule Kans* gevolg weer opkomt. Zij stellen dus, dat de kans 100 procent is, zodat je je volledig kunt richten op de gevolgen.
De gevolgen vatten zij samen in de kreet CIA: confidentiality/integrity/availability.
Dus de diefstal van gegevens, het onbetrouwbaar worden van je omgeving en het verstoren van de werking van je platformen.
<blockquote></blockquote>
Een paar stellingen:<blockquote></blockquote>
100% preventie is onmogelijk.<blockquote></blockquote>
Er komt van alles binnen in je omgeving.Wat is goed en wat is fout? <blockquote></blockquote>
Als je overal sloten op zet, gaat dat ten koste van produktieverkeer.<blockquote></blockquote>
Geautomatiseerde oplossingen zijn niet effectief. Kennis en gezond verstand zijn cruciaal.
<blockquote></blockquote>
Dus een inbraak snel ontdekken en na deze 'breach' snel optreden.
Zoals elk gerenommeerd adviesbureau hebben zij een aanpak met een pakkende naam: SPICE. (
spullenboel, processen, informatiebronnen, capaciteit, expertise)
Met de laatste twee elementen kan een bureau het beste helpen. Dat is voor een bedrijf moeilijker zelf op te bouwen en te onderhouden.
Fox IT adviseert om de situatie te doordenken, dat je gehacked wordt. Denk erover na wat er gebeurt en wat je gaat doen. Volgens Fox is het beter om hackers in dienst te hebben dan papieren tijgers met allerlei schitterende gecertificeerde titels. Dat is mij uit het hart gegrepen!
Een vraagsteller uit het publiek vraagt welk budget nodig is voor het werken volgens SPICE. Het antwoord luidt “Wat heb je ervoor over?”. Prima antwoord geheel in lijn met de opdracht om ZELF na te denken over gebeurtenissen en gevolgen..
<blockquote></blockquote>
Behalve Fox IT bezocht ik nog de lezing van een Belgische spreker (Johan Loos).
Hij geeft een handig overzicht van definities.
<blockquote></blockquote>
Een vulnerability is een bug, fout of misconfiguratie.<blockquote></blockquote>
Een exploit is een code van de aanvaller om de vulnerability uit te buiten.<blockquote></blockquote>
Payload is de code die na een exploit op een systeem is geinstalleerd.<blockquote></blockquote>
Voorbeelden van cybercrime: website concurrent uitschakelen, credit card info stelen, porno verspreiden, identiteitsdiefstal.
<blockquote></blockquote>
En voorbeelden van wat er kan gebeuren bij een hack:<blockquote></blockquote>
Vulnerabilities kunnen optreden in applicaties (office, adobe), in OS en op de serverside.
<blockquote></blockquote>
Malicious user enters system, creates outbound secure channel, this channel is encrypted and not inspected by firewalls.
<blockquote></blockquote>
Attack vectors: attachment bij mail; server contains executable content; app exploits; downloads; tinyurl; tracking nr bij delivery terwijl je niks besteld hebt.<blockquote></blockquote>
<blockquote></blockquote>
Acties: retrieve passwords; log keystrokes; install backdoor; install botnet; steal cookies; access data; control webcam; control microfoon.
<blockquote></blockquote>
Client side attack: payload maskeren t.o.v. De antivirusscanner; targets browser, adobe, java, office, mediaplayer.<blockquote></blockquote>
<blockquote></blockquote>
Uitsmijter:
<blockquote></blockquote>
Tot mijn stomme verbazing lees ik een paar maanden later in Cloudnews een interview met de ex-directeur van Diginotar die bovenstaande statements en methoden nu hanteert om zich te verkopen als beveiligingsadviseur. Dat zo'n Cloudnews dat met droge ogen plaatst, als de hele wereld weet, dat er bij Diginotar niks van klopte en dat de meest elementaire beveiligingsstappen niet waren gedaan (password makkelijk te vinden, geen updates van software uitgevoerd etc.)Theo Pouwhttp://www.blogger.com/profile/05577489781658914267noreply@blogger.com0tag:blogger.com,1999:blog-4060264054221434660.post-44460550429463974722013-08-07T14:05:00.000-07:002013-08-07T14:05:26.533-07:00Amerikaanse aanpak van cybersecurity
Onderstaand artikel verhaalt, hoe Amerika fors inzet op de bestrijding van cybersecurity. Op internetfora lees ik daarover zeer negatieve en cynische reacties. Die deel ik niet en het valt me op, hoezeer deze internetfora worden beheerst door scheldende, hufterige figuren, die waarschijnlijk nog nooit iets positiefs hebben geproduceerd. Recentelijk is er ook veel ophef over de vermeende spionage-activiteiten van de NSA. De reactie van een Duitse ex-politicus ondersteun ik volledig. Hij merkte op, dat hij de internationale terroristische organisaties als een grotere bedreiging ziet dan de westerse geheime diensten. <blockquote></blockquote>
Uiteraard moeten politie en geheime diensten zich aan de wet houden, maar we moeten ze niet de handen op de rug binden, terwijl misdadigers het internet ten volle uitbuiten om hun business te runnen.
<blockquote></blockquote>
QUOTE<blockquote></blockquote>
<b>Pentagon wil cybersecurityteam fors uitbreiden</b><blockquote></blockquote>
Door Dimitri Reijerman, maandag 28 januari 2013 14:17, views: 9.322<blockquote></blockquote>
Het Amerikaanse ministerie van Defensie is van plan om het militaire cybersecurityteam fors uit te breiden. Binnen enkele jaren wordt de personele bezetting van dat Cyber Command namelijk uitgebreid van 900 naar 4000 medewerkers.<blockquote></blockquote>
Volgens het ministerie van Defensie is uitbreiding van het zogeheten Cyber Command, dat drie jaar geleden is opgericht, hard nodig omdat cyberaanvallen een steeds grotere bedreiging vormen voor de Verenigde Staten en zijn bondgenoten. Het Pentagon erkent echter dat het erg lastig zal worden om de geplande uitbreiding, van 900 naar 4000 personeelsleden in slechts enkele jaren, te laten slagen.<blockquote></blockquote>
Voor het militaire cybersecurityteam is het Pentagon naar eigen zeggen op zoek naar drie soorten personeel: national mission forces die systemen moeten bewaken die het elektriciteitsnet en andere kritieke infrastructruur beheren, combat mission forces die aanvallen op vijandelijke doelen kunnen uitvoeren - al dan niet in het buitenland - en zogenaamde cyber protection forces die de systemen van het Amerikaanse leger moeten beschermen.
De plannen voor de forse uitbreiding moeten nog wel goedgekeurd worden, zo meldt The Washington Post. Ook wordt de vraag gesteld of Cyber Command ooit onder de schaduw van de NSA uit kan komen, een inlichtingenorganisatie met aanzienlijk meer personeel en financiële middelen. De twee organisaties werken al wel nauw met elkaar samen.<blockquote></blockquote>
Cybersecurity is de laatste jaren in de VS steeds hoger op de politieke en militaire agenda komen te staan. Niet alleen zijn de Verenigde Staten steeds vaker doelwit van hackers en 'cyberlegers', ook voert het land zelf een virtuele strijd. Zo zou de VS betrokken zijn bij het omstreden Stuxnet-virus. Deze malware werd ingezet in een poging het Iraanse kernprogramma te ontregelen.
UNQUOTE
Theo Pouwhttp://www.blogger.com/profile/05577489781658914267noreply@blogger.com0tag:blogger.com,1999:blog-4060264054221434660.post-81387528740337861352013-07-13T03:20:00.000-07:002013-07-13T03:20:19.153-07:00ICT in de Zorg
Bij de beurs Zorg&ICT in maart 2013 blijkt, dat elektronische patientendossiers hun opmars voortzetten. Het is ook ondenkbaar, dat zonder dit fenomeen de zorg in Nederland ooit efficienter en effectiever kan worden. De afgelopen jaren heb ik enige keren geblogged over het EPD. Over het onvermijdelijke voortschrijden van deze ontwikkeling en over emotionele weerstanden die het oproept. Er was zelfs een politica in de Eerste Kamer, die oprecht meent, dat informatie-uitwisseling tussen behandelaars gewoon kan door een telefoontje of een briefje. Iemand die geen flauw benul heeft van de massaliteit en de werkdruk in zorgprocessen.
<blockquote></blockquote>
Ik nam kennis van de nieuwste systemen van marktleider Chipsoft voor de automatisering in ziekenhuizen. De EPD' s van ziekenhuizen hebben intussen een indrukwekkende functionaliteit. Hoe dat zich verhoudt tot LSP, het landelijk uitwisselen van patienteninformatie, is mij niet bekend. Het zou wel eens kunnen, dat ziekenhuizen intern heel goed geequipeerd zijn, maar dat het uitwisselen met zorgverleners buiten een ziekenhuis moeilijker is.
<blockquote></blockquote>
Chipsoft is genomineerd voor de innovatieprijs van de genoemde zorgbeurs:
<a href="http://www.zorg-en-ict.nl/nl-NL/Exposant/Beursinformatie/Award.aspx">http://www.zorg-en-ict.nl/nl-NL/Exposant/Beursinformatie/Award.aspx</a>
<blockquote></blockquote>
Ik zag op het net, dat zij niet hebben gewonnen, maar dat ze wel de publieksprijs van de beurs hebben gewonnen. Met de zogenaamde Zorgprofielen krijgt een patient een eigen website voor zijn zorgvragen. De gegevens kan er gegevens over zijn aandoening vastleggen en contact zoeken met lotgenoten. De zorgprofielen zijn naadloos geintegreerd in het zorginformatiesysteem van de zorgverlener.<blockquote></blockquote>
Al langer is er sprake van Personal Health Vaults, zoals aangeboden door onder andere Google en Microsoft. De zorgprofielen lijken daar een beetje op.
EPD' s van zorgverleners hebben als 'nadeel', dat de patient het dossier niet controleert en vaak zelfs geen inzage heeft. Personal Health Vaults hebben als nadeel, dat ze niet direct worden gevoed door de informatie die zorgverleners vastleggen.
De genoemde zorgprofielen zijn weliswaar geintegreerd met het zorginformatiesysteem van de zorgverlener, maar missen weer de directe voeding van andere zorgverleners.
<blockquote></blockquote>
Ik nam op de beurs kennis van de stand van zaken van HL7, de standaardisatie beweging voor zorginformatie en krijg de indruk, dat de standaardisatie ver is voortgeschreden en ook helpt bij het verbeteren van zorgautomatisering. Sta er wel verstand van, hoe ingewikkeld die standaardisatie-organisaties op zeker moment worden. Het duizelt je van de modellen, die worden ontwikkeld.Theo Pouwhttp://www.blogger.com/profile/05577489781658914267noreply@blogger.com0tag:blogger.com,1999:blog-4060264054221434660.post-64248882610413097902013-06-05T05:52:00.000-07:002013-06-05T05:52:11.353-07:00Overheid en ICT mei 2013
Deze beurs bezoek in nu al een jaar of zeven en ik zie er duidelijk een ontwikkeling. Het aanbieden van bouwstenen om met name de lagere overheden goed te equiperen met de juiste hulpmiddelen is een langjarige worsteling. Initiatieven van individuele gemeenten en leveranciers bleken altijd ten dode opgeschreven, omdat ze te weinig schaalgrootte verwierven en niet de functionaliteit brachten waar veel gebruikers achter konden staan. Latere initiatieven vanuit de centrale overheid om deze ontwikkelingen te faciliteren liepen vast in een te theoretische aanpak (van architecten) en het onvermogen om de ontwikkeling en invoering projectmatig succesvol te managen. Uiteindelijk werd gekozen om via het NUP (was het nou Nieuwe Uitvoerings Plan?) een selecte keuze van bouwstenen landelijk te gaan invoeren. Ik schreef er al eens over, dat het een mooie aanpak leek, maar ik proefde nog steeds, dat het te breed was, met nog steeds te weinig focus. Wat er daar exact achter de schermen gebeurd is, weet ik niet, maar volgens mij dreigde dit NUP ook uit te lopen op het zoveelste vastlopende megaproject, ware het niet, dat Gateway-doorlichtingen tijdig hebben bijgestuurd. Dit is althans wat ik als outsider vermoed. Ik heb op deze blog eerder geschreven over de Gateway-methodiek, die op advies van de Algemene Rekenkamer een paar jaar geleden is ingevoerd.<blockquote></blockquote>
Volgens mij hebben die reviews naar voren gebracht, dat de theoretische architecten-aanpak voorbij moet zijn en dat het zaak is om praktisch, hands-on de lagere overheden te gaan helpen om keuzes te maken in de bouwstenen en ze te helpen om deze in hun organisatie te implementeren.
<blockquote></blockquote>
In een workshop van Logius, King en ICTU had de programma-manager een vijftal projectleiders voor de zaal gezet, die stuk voor stuk aspecten van implementatie behandelden. En het waren types, die geen verhalen houden, maar concrete vragen oppikten en ook met concrete handreikingen kwamen. Ik concludeerde, dat dit gebeurd moet zijn door bijsturing vanuit de Gateway-reviews. Na googlesearch vind ik daar wel wat over (http://www.bigwobber.nl/wp-content/uploads/2010/02/Rapportage-NUPgateway-def.pdf). Kritisch rapport van Docters van Leeuwen, dat ik zelf niet zo snel zou kunnen operationaliseren.
<blockquote></blockquote>
(Overigens wordt het regelmatig uitvoeren van Gateway-reviews genoemd als één van de oorzaken, dat overheidsautomatiseringsprojecten wat beter onder controle komen. 'Dit blijkt uit de Jaarrapportage Bedrijfsvoering Rijk die minister Blok van Wonen en Rijksdienst aan de Tweede Kamer heeft gezonden.' Zo meldt Computable in mei 2012.)
<blockquote></blockquote>
Maar hoe dan ook in de workshop stonden klantgerichte, oplossingsgedreven jongelingen, die klaar staan om digimelding, digilevering, stelselcatalogus etc te helpen implementeren. Zij propageren de website STOUT voor alle vragen rondom BRS en het Stelselinformatiepunt STIP.
<blockquote></blockquote>
In een andere workshop had iemand een methode te bieden om de vervuiling van de GBA aan te pakken. Ook dit is een initiatief vanuit ICTU. Met steekproeven hadden ze onderzocht welke risicosignalen er zijn om fouten in de GBA op te sporen. Ik noteerde briefadres 50,6%, administratieve leegstand 45,7%, wel ingeschreven/niet woonachtig 32,8%, overbewoning SVB 17,3 %, studiefinanciering/licht verdacht 14,6%, vertrokken 13,3% en eigenaar 5 jaar overleden 4.2%. Fraude met de GBA en spookburgers vormen een steeds weerkerend probleem. Nu, mei 2013, is een staatssecretaris in politieke problemen vanwege toeslagfraude door groepen Bulgaren.
Hardnekkige problemen, maar wel goed dat ICTU en anderen concrete handreikingen geven om beetje bij beetje deze praktische problemen weg te ruimen.
<blockquote></blockquote>
Kortom, na 7 jaar observeren van deze overheidsautomatisering zie ik wel vooruitgang. Nuttige basisregistraties en werkende koppelingen gaan de kosten en de fraude in de overheidsprocessen terug dringen. <blockquote></blockquote>
Gewoon doorgaan met deze processen, ondanks de waan-van-de-dag interventies vanuit de politiek.Theo Pouwhttp://www.blogger.com/profile/05577489781658914267noreply@blogger.com0tag:blogger.com,1999:blog-4060264054221434660.post-33953881760585744742013-05-11T12:18:00.000-07:002013-05-11T12:18:00.981-07:00November-beurs over Security in de Jaarbeurs<blockquote></blockquote>
Deze beurs bezoek ik elk jaar. Aanvankelijk (2008) voor open source en Linux. Maar daarna steeds meer vanwege de groeiende aandacht voor security. De beurs omvat drie gebieden: Storage, Tooling en Security/ open source. Volgens mij is in toenemende mate Security het belangrijkste onderwerp geworden. Er waren door de jaren altijd uitstekende sprekers, die de achtergronden van de bedreiging diepgaand analyseerden. Ik heb daarvan op deze weblog regelmatig verslag gedaan.
<blockquote></blockquote>
Trends die ik dit jaar waarnam: Het bezoekersaantal blijft explosief stijgen. Diverse lezingen, ook in de grote congreszalen, moesten vóór aanvang de deuren sluiten wegens te grote toeloop. Verder zijn er grote groepen jongeren ( mbo- en hbo-scholieren, schat ik in). Daardoor zie je langzamerhand ook een steeds grotere aanwezigheid van allochtone jongeren. Tenslotte zag ik ook diverse Belgische sprekers. Al eerder nam ik op beurzen over The Cloud waar, dat Belgen heel actief zijn op de technische gebieden van internet en cloud.
<blockquote></blockquote>
Als eerste luisterde ik naar de Belgische spreker Jan Guldentops. Hij had als titel van zijn verhaal 'nihil novi sub solem'. Aangenaam verrast concludeer ik daaruit, dat we te maken hebben met een collega-gymnasiast. Ik vind die mannen altijd uitblinken in analytisch vermogen en brede reflectie, altijd een verademing naast de hypegedreven hijgers.
Hij is een historicus, die in de ICT verzeild is geraakt (in zijn eigen woorden “in de ICT aan lager wal is geraakt”.) Hij ontwikkelde zich als ICT- security onderzoeker, nadat hij in 1996 enorme kwetsbaarheden in het eerste Belgische internet-banking systeem ontdekte. Uit nieuwsgierigheid probeerde hij het systeem binnen te komen en tot zijn verbazing ging dat heel gemakkelijk, waarbij alle systeemvariabelen en toegangssleutels leesbaar te vinden waren.
<blockquote></blockquote>
Zijn betoog komt erop neer, dat vanaf 1997 tot op heden eigenlijk niets is veranderd. Er zijn veel bedreigingen aangetoond en ook allerlei beveiligingstechnieken ontwikkeld, maar de toepassing daarvan wordt schromelijk verwaarloosd. Zijn opsomming:<blockquote></blockquote>
-Single sign on en het managen van rollen wordt nog nergens doorgevoerd.<blockquote></blockquote>
-Ontwikkelaars zetten nog steeds passwords in cleartext in hun toepassingen. (De volgende stap is toepassen van een hasher. De volgende dan een centraal systeem voor beveiliging.)<blockquote></blockquote>
-E-mail is voor velen het belangrijkste communicatiemiddel, maar nog weinigen gebruiken encryptie.<blockquote></blockquote>
-SMTP wordt veel gebruikt, maar hij vindt dat oud en simpel. Volgens hem is de ondertekening van mail de oplossing voor spam.
-Ipv6 en encryptie blijven achter.<blockquote></blockquote>
-De Diginotar-case is van dit alles een bevestiging. Notabene bij een instantie die beveiligingscertificaten uitgeeft voor Nederlandse overheidsdiensten.<blockquote></blockquote>
-Risk assessment wordt niet gedaan.<blockquote></blockquote>
-Stomme no-brainers worden niet gedaan.
<blockquote></blockquote>
Daar komt bij dat door de wet van Moore hackers steeds meer potentieel hebben, bijvoorbeeld om codes te breken en om DDOS aanvallen uit te voeren.
Hij stelt, dat het killerproduct voor beveiliging het gezonde verstand is.
Standaarden moet je niet laten verworden tot papieren tijgers en je moet voortdurend investeren in Awareness.
Vraag voor de cloud om 'legal, real guarantees'. Maar ik vraag me af, of je die kunt krijgen. (In een andere sessie zie ik iemand de patriotact aanhalen. Volgens hem heeft de Amerikaanse overheid niks te maken met allerlei afgegeven garanties en kan zij alle bestanden inzien, die zich op haar grondgebied bevinden en zelfs bestanden die elders zijn, maar die beheerd worden door een Amerikaans bedrijf.)Theo Pouwhttp://www.blogger.com/profile/05577489781658914267noreply@blogger.com0tag:blogger.com,1999:blog-4060264054221434660.post-10187703300488040092013-04-23T00:55:00.001-07:002013-04-23T00:55:24.677-07:00Over softwarehuizen<blockquote></blockquote>
Een oude Cap Gemini theoreticus (Rijsenbrij) schrijft op LinkedIn oktober 2012, dat softwarehuizen niet willen investeren.
En dat daarom in systeemonwikkeling alles maar fout blijft gaan.
Hierbij een quote van zijn verhalen, gevolgd door een reactie daarop en mijn eigen ervaring daarin.
<blockquote></blockquote>
http://www.blogit.nl/de-opkomst-en-ondergang-van-softwarehuizen
<blockquote></blockquote>
QUOTE<blockquote></blockquote>
Veel softwarehuizen noemen zich tegenwoordig informaticabureaus, klinkt chiquer. Op zoek naar omzetvergroting en klantenbinding zijn zij tevens consultancywerkzaamheden gaan verrichten. Dat zogenaamde meedenken is vaak een teken dat er niet concurrerend software kan worden geleverd. In feite probeert het softwarehuis dat te compenseren met iets dat de klant niet echt nodig heeft, althans niet van een softwarehuis. Sommige softwarehuizen maken het zo ‘knus’ dat ze spreken over een gezamenlijke businessomgeving. Het is tegenwoordig modern om alles samen te doen. Van vroeger herinner ik mij nog de melodieuze mantra: ‘De NMB denkt met u mee’. Bij een bank leek dat wellicht nuttig, maar bij een softwarehuis zou ik zeggen: ‘laat maar zien wat je echt kunt en meedenken op mijn kosten stel ik niet echt op prijs’.
Veel grote softwarehuizen lijken op dinosaurussen die door te veel managementlagen en te veel stafafdelingen, niet meer lenig genoeg zijn om moderne ondernemingen adequaat te dienen op IT-gebied. In een slanke onderneming heb je maar een zeer beperkt aantal businessconsultants, architecten en projectleider(s) nodig om de IT te regelen, de rest kan worden geoutsourced. Dat geldt in feite ook voor softwarehuizen.
Er is nog steeds een structureel tekort aan vakbekwame IT’ers, daar helpt geen enkele offshoring iets aan. Het feit dat IT een zeer moeilijk vak is, waarvoor niet iedereen in de wieg is gelegd, wordt helaas nog steeds niet onderkend. In feite heeft de wereld nog steeds behoefte aan vakbekwame IT’ers, niet aan softwarehuizen. IT’ers kunnen zich tegenwoordig zelf aanbieden via websites tegen tarieven die interessanter zijn voor klanten en waarvan zij zelf veel meer kunnen overhouden.
Kunnen softwarehuizen zich nog op tijd heruitvinden? Ik ben bang dat het voor de meeste softwarehuizen al te laat is. In de vette jaren vonden zij het zonde van hun geld om zich te professionaliseren; nu in de magere jaren hebben zij het geld niet meer om volwassen te worden.<blockquote></blockquote>
UNQUOTE<blockquote></blockquote>
Tolido reageert als vertegenwoordiger van Cap Gemini en stelt o.a., dat klanten ook niet bereid zijn om te investeren in een theoretisch verantwoorde benadering met grote investering in architectuur, maar dat klanten vooral bezig zijn om de tarieven van de leveranciers maximaal uit te knijpen.
Inderdaad vind ik Rijsenbrij ook het prototype van de studeerkamergeleerde, de architect die los van de hectiek en dynamiek van business en economie zijn plaatjes tekent.
Maar ik ben het met hem eens, dat softwarehuizen vooral geld willen verdienen en dat de echte vakmensen ondersneeuwen onder commercianten, die meer geinteresseerd zijn in omzet dan in goede oplossingen voor de klant. Althans heb ik dat in mijn 9 jaar bij Cap Gemini en rechtsvoorgangers zo ervaren. In een softwarehuis is er een balans tussen de naar binnen gerichte mensen, die de interne hierarchie organiseren en die klanten kunnen beschouwen als melkkoe, en de vakmensen, die buiten spelen en vol overgave proberen om ICT en bedrijfsvoering bij klanten te verbeteren. Die balans is noodzakelijk, maar als de macht doorslaat naar de eerste groep gaat de klant dat merken en afscheid nemen, zeker in een markt waar andere leveranciers en kwalitatief hoogstaande zzp' ers goed werk leveren bij de klant. Theo Pouwhttp://www.blogger.com/profile/05577489781658914267noreply@blogger.com0tag:blogger.com,1999:blog-4060264054221434660.post-68669138650380986752013-03-12T04:06:00.001-07:002013-03-12T04:06:47.626-07:00Security in de vitale infrastructuur
In november 2012 was weer de beurs Information Security/ Tooling Event/ Storage Expo.
Ik nam een aantal periodieken mee van het Platform voor Informatiebeveiliging.
Daarin las ik een artikel van consultant Luijf van de afdeling Bescherming Vitale Infrastructuur bij TNO.
<blockquote></blockquote>
Er komt steeds meer aandacht voor de Procesindustrie: Energie- en drinkwatervoorziening, wissels en seinen van metro en trein, raffinaderijen, containeroverslag, bagageafhandeling, nucleaire centrales, haveninstallaties, chemische fabrieken.
Minder gauw wordt gedacht aan zaken die niet worden gezien als kernprocessen: besturing van riolering, straatverlichting, pompen/ sluizen/ bruggen, gebouwbeheersing, luchtbehandeling, liften en toegangsbeveiliging.
<blockquote></blockquote>
In mijn eigen ervaring herinner ik mij, dat het Facilitair Bedrijf als ondergeschikt wordt gezien aan de automatisering van de primaire processen in financiele instellingen en andere bedrijven en instellingen. De schrijver van het artikel stelt, dat de bewustwording nog steeds uitermate laag is. De verhalen zijn bekend, dat outsiders bijvoorbeeld de besturing van pompen en sluizen van lagere overheden konden overnemen. En met de overname van vitale infrastructuur van bedrijven en landen kan natuurlijk wel het functioneren daarvan worden lamgelegd. In Amerika werd er al over geschreven hoe het land via deze cyberwar (oorlogsvoering via het internet) ernstig kan worden bedreigd.
<blockquote></blockquote>
Aanvankelijk waren er proprietary systemen voor procesbesturing; bedrijven als Siemens ontwikkelden daarvoor specifieke hardware en software. Dat kan kosten-ineffectief worden genoemd, maar het voordeel is, dat de drempel voor inbraak hoger is. Echter wordt er steeds meer generiek gewerkt, windows, gsm en internet. Efficient en effectief, maar door het generieke karakter ook blootgesteld aan risico. Incidenten die zijn gemeld van inbraken: regeling verwarming Leger des Heils, systemen gemeente Veere, pompen van een zwemparadijs. De toegang was heel simpel, omdat er simpele passwords waren (password 'Veere').
<blockquote></blockquote>
De genoemde auteur en ook andere auteurs in Platform Informatiebeveiliging stellen, dat bewustwording de eerste prioriteit is. De bewustwording van cybercriminaliteit is al gegroeid bij specialistische ICT-afdelingen, maar helaas hebben deze geen notie van kleppen, pompen, motoren, 24/7 operaties. Het beheer daarvan zit bij het Facilitair bedrijf en bij een ver weggestopte technische dienst. Vaak is het beheer uitbesteed bij een externe technische onderhoudsfirma.
<blockquote></blockquote>
Ik citeer een treffende observatie van John Grüter: Awareness is geen rationele maar een emotionele toestand. IT systemen hebben nog steeds een grote afstand tot ons gevoel. Het vervelende is, dat ze wel grote gevolgen kunnen hebben. Deze afstand tussen gevoel en gevolgen is typisch voor veel van de techniek en de organisaties in onze hoog ontwikkelde samenleving. Het is duidelijk dat je lang haar in een knotje moet doen, als je met een cirkelzaag werkt, maar dat je regelmatig je password moet veranderen, is minder logisch voor ons gevoel.
Theo Pouwhttp://www.blogger.com/profile/05577489781658914267noreply@blogger.com0tag:blogger.com,1999:blog-4060264054221434660.post-16763650861471510642013-02-04T00:40:00.000-08:002013-02-04T00:40:37.146-08:00Het falen van grote projectenMomenteel staat het nieuws bol van de berichten over problemen met de hogesnelheidstrein Fyra. Een voorbeeld van falende grote projecten zoals we vaker hebben gezien in de ICT en bij grote infrastructuurprojecten (Betuwelijn, tunnels). Het falen van grote projecten in de ICT wordt volgens mij in de loop der jaren minder. Want klanten en leveranciers leren en worden steeds meer competent om dergelijke grote initiatieven te beheersen.
<blockquote></blockquote>
Wat mij opvalt bij de case Fyra zijn de volgende herkenbare zaken:<blockquote></blockquote>
-Journalisten en politici storten zich massaal op de problematiek. Op televisie zie je elke dag woordvoerders van zo'n 6 partijen hun mening verkondigen en eisen stellen.<blockquote></blockquote>
-Uiteraard zijn het atechnische figuren, die geen enkel benul hebben van de complexiteit van grote technische uitdagingen. Zij eisen, dat het probleem binnen een week moet worden opgelost, terwijl ze zouden moeten weten, dat andere hogesnelheidstreinen als Thalys en ICE ook jaren nodig hebben gehad om stabiel te worden.<blockquote></blockquote>
-Sommigen eisen ook doodleuk, dat gestopt moet worden met Fyra en dat er maar een andere trein moet worden gekocht. Een Belgische journalist merkte terecht op, dat je niet zo makkelijk van trein kan wisselen als dat je van auto wisselt. (Belgen zijn toch vaak bedachtzamer dat hun schreeuwende noorderburen.)<blockquote></blockquote>
-Uiteraard wordt er geëist, dat er een parlementaire enquete moet komen. Gelukkig is de meerderheid in de kamer daar niet voor, want ze kunnen hun tijd beter gebruiken.<blockquote></blockquote>
-Een arme staatssecretaris die net een maand is aangetreden, mag al deze onbenullen te woord staan. Ze schreeuwen om directe actie die ze natuurlijk niet kan toezeggen: Het enige dat moet gebeuren is, dat competente techneuten zich erop storten, de problemen analyseren en oplossen. <blockquote></blockquote>
-Ik zag een Italiaanse directeur vertellen, dat ze momenteel bij hun testen geen problemen vinden en dat de trein mechanisch en elektrisch in orde is. Ik denk, dat hij gelijk heeft, maar als techneut onderschat, dat het tijd kost en dat er nog andere zaken zijn die het functioneren verhinderen. De competente techneuten moeten dus ter plekke op het traject naar Brussel uitzoeken wat er dan mis gaat: weersinvloeden of andere factoren op het traject.
<blockquote></blockquote>
Hopelijk wordt de ruimte gecreëerd voor ter zake kundige lieden om hun werk te doen en de problemen op te lossen. Zelf heb ik bij grote projecten ervaren, dat bij grote problemen atechnische bedrijfsdirecties gemakkelijk prooi worden van gladpraters, die indrukwekkende stappenplannen schetsen om het probleem in kaart te brengen en op te lossen. 'Plateauplanning' noemde een groot managementconsultancy-bureau dat. Meestal slepen zij er veel geld uit voor zichzelf zonder het probleem op te lossen. Maar zij verstaan de kunst om directies, journalisten en politici een rad voor ogen te draaien.
<blockquote></blockquote>
In mei 2010 schreef ik over de Gateway-methode om grote projecten vooraf en tijdens de uitvoering te monitoren. De methode komt uit Engeland en is op advies van de Algemene Rekenkamer ingevoerd bij de rijksoverheid in Den Haag. Volgens mij wordt die daar succesvol toegepast, want de Gateway-review op het NUP-programma (beschreven in mijn blog van mei 2010) heeft dat programma in beheersbare banen gehouden. Ik wed, dat zo'n instrument niet is ingepland in het al jaren lopende Fyra-project. Waarschijnlijk is men daar gewoon op de ouderwetse optimistische manier begonnen, want in het begin met alleen grote lijnen ziet alles er prachtig uit. Maar “the devil is in the details” en bij de uiteindelijke implementatie ontmoet je dan de problemen, die daarvoor gemakshalve waren genegeerd.
<blockquote></blockquote>
Laatste nieuws is, dat ook in Denemarken de Fyra-leverancier AnsaldoBreda grote problemen had (jaren vertraging en mankementen in de treinen). De Denen stopten na 40 treinen de verdere levering, maar intussen zijn deze 40 treinen storingsvrij gemaakt. De Nederlandse politici en journalisten hebben intussen hun aandacht verlegd naar het jongste debakel van de SNS-bank.Theo Pouwhttp://www.blogger.com/profile/05577489781658914267noreply@blogger.com0tag:blogger.com,1999:blog-4060264054221434660.post-82928658599731968682013-01-18T02:13:00.002-08:002013-01-18T02:13:51.969-08:00Verkiezing actuaris van het jaarOp 28 september 2012 organiseerde bureau FTE in de Blokhoeve te Nieuwegein de eerste verkiezing van de actuaris van het jaar. In de jury zat o.a. Anno Bousema. De keuze ging tussen twee genomineerde kandidaten. 1 won met 75% van de stemmen.
Het was Jan Tamerus van PGGM, die recentelijk aan de weg timmerde met zijn proefschrift Defined Ambition. Een realistische variant van Defined Benefit en Defined Contribution.
<blockquote></blockquote>
De dag werd met aantrekkelijke inhoudelijke sessies aangekleed: In de ochtend waren er twee workshops en in de middag twee lezingen.
Voor de workshops koos ik de onderwerpen, die gingen over de rol van de actuaris en het gedrag van de actuaris. De andere onderwerpen waren actuarieel technisch en voor mij minder interessant.
<blockquote></blockquote>
Spreker Rajaram belichtte de supply chain of de waardeketen in de financiële dienstverlening. Zijn stelling is, dat in bedrijven vaak geen overzicht is over de gehele keten (met hem eens) en dat de actuaris bij uitstek geschikt is om als ketenregisseur op te treden (heb ik mijn twijfels over). Voor zo'n rol moet je inhoudelijke kennis combineren met management- en communicatieskills, waar de meeste actuarissen vooral drijven op inhoudelijkheid. Zijn onderscheid tussen supplychain en waardeketen was nieuw voor mij; ik zie het meer als synonieme begrippen. Hij legde uit, dat supply chain meer een logistieke benadering is en dat de waardeketen een visie vanuit de aandeelhouder is. Interessant onderscheid! De actuaris zou dus regisseur moeten zijn. Hij ziet bij verzekeraars vaak weerstand bij implementeren van solvency. Omdat niet overal wordt begrepen wat het belang is. De actuaris kan dat dus begeleiden. Hij peilt de stemming in de zaal over solvency. Ook in de zaal is er weerstand tegen (te) veel en te vergaande regelgeving. Iemand vraagt daarop wat de reden is van deze regelgeving. (Antwoord: De verzekeraars hebben er zo'n puinhoop van gemaakt!) Ik gaf de vraagsteller een thumbs up; een prima vraag naar de mensen die in de weerstand schieten.
<blockquote></blockquote>
Tweede workshop (Boon) ging over soft skills. Hij hanteert de kleuren van DISC. Ik kwam weer met 1 dominant en 2 blauw. (Geel en groen scoorden minder. Geen verrassing want ik deed die testen al vele malen.) Ik heb ooit, zomer 2010, een posting geschreven over het profiel van actuarissen: Dat ze enerzijds ambiëren om een invloedrijke en sturende rol te nemen in bedrijven, maar dat ze anderzijds qua karakter en optreden daar ver vandaan lijken te staan. Daarom is het goed, dat de veelal inhoudelijk gedreven actuarissen zich bewust zijn van deze soft skills en zich daarin eventueel verder ontwikkelen.
<blockquote></blockquote>
In de middag was de eerste spreker George Möller: “cijfers moet je niet vertrouwen. Formules zijn populair geworden, omdat je de uitkomst kon beinvloeden. Economie moet weer een morele wetenschap worden, zoals Smith had bedoeld.” Hij promoot zijn boek 'Banking on ethics'.
De ethische problemen in de financiele wereld voert hij terug op een aantal oorzaken:<blockquote></blockquote>
-de afstand tussen produkt en klanten<blockquote></blockquote>
-de abstractheid; men spreekt over abstractheid van markten, het is niet zo concreet als het vinden van een portemonnee<blockquote></blockquote>
-de leverage: fracties van liborpunten leveren enorme winsten op.
<blockquote></blockquote>
Anderzijds stelt hij, dat de financiele sector niet overal de schuld van mag krijgen. Griekenland bijvoorbeeld is geen financiële crisis maar een maatschappelijke crisis. Er wordt ook te snel gesproken over een financiële crisis. Zo is ook het fenomeen Witwassen is op de eerste plaats een maatschappelijk probleem.
En de financiële markten hebben ook verdiensten. Alleen zij hebben Berlusconi weggekregen. En alleen zij hebben het probleem Griekenland op tafel gekregen.
Hij wijst op bedenkelijk rol van overheden. Volgens hem is 40% van de Olympische Spelen in Londen betaald door de Bank of England. Hij stelt dat deze spelen zijn betaald via inflatie, niet door democratische beslissingen maar door inflatie.
<blockquote></blockquote>
Interessante dag. Als dit een jaarlijkse weerkerend fenomeen wordt, zal ik graag van de partij blijven.Theo Pouwhttp://www.blogger.com/profile/05577489781658914267noreply@blogger.com0tag:blogger.com,1999:blog-4060264054221434660.post-74641203657119496072012-12-23T04:11:00.000-08:002012-12-23T04:11:56.537-08:00Een actuaris over goudbeleggingenOp 19 juni 2012 was de Johan de Witt lezing van het Actuarieel Genootschap. Spreker was Jos Berkemeijer AAG over het onderwerp Belegging in Goud.
De kern van zijn betoog was, dat beleggen in goud een absolute must is om je in te dekken tegen risico's, en vooral in de financiele crisis die we sedert 2008 meemaken. Zelf was ik benieuwd naar zijn argumentatie, want ik voel meer voor de filosofie, die de grote belegger Warren Buffett hanteert. Buffett onderscheidt drie categorieën beleggingen. Op de eerste plaats goud en andere goederen die 'niet produktief' zijn. Op de tweede plaats geld en geldpapieren, want die hebben weliswaar koopkracht, maar het blijft fiduciair papier. Op de derde plaats komt de categorie, die blijvende waarde heeft en die produktief is, namelijk onroerend goed, aandelen en bedrijven. Zijn beleggingen richt hij dan ook op de laatste categorie; met dien verstande, dat hij aandelen en bedrijven kiest die hij begrijpt. Daardoor zit hij vooral in de 'oude' economie en heeft heel lang de mogelijkheden van IT en internet laten liggen.
<blockquote></blockquote>
Jos Berkemeijer bouwt zijn betoog gestructureerd op. Hij laat zien hoe diep de crisis is, die de afgelopen jaren is gegroeid. Vervolgens dat de analysemethoden die actuarissen en andere wetenschappers hanteren schijnoplossingen bieden. En tenslotte toont hij, hoe goud al sinds mensenheugenis zich bewezen heeft als een zeer zeker belegging.
Hij toont een vracht aan bewijsvoering en de sheets dragen alle het logo van GSCG (Gold Standard Consulting Group). Daarin zal hij wel actief zijn.
<blockquote></blockquote>
Zijn uiteindelijke advies aan pensioenfondsen is om enkele procenten van de activa aan te houden in goud. Hij geeft het voorbeeld van een Japans pensioenfonds, dat deze stap al heeft gezet. Japan is immers al sedert de jaren negentig in een situatie van nul procent rente. Een situatie waarin het 'westen' ook terecht lijkt te komen. Hij predikt ook, dat actuarissen hierin een actieve rol moeten nemen. Dat sluit wel goed aan bij de voornemens van het AI om meer dominant te worden in de beleidsvorming van financiele instellingen. Men wil af van het predikaat “Piet Verplichting”, de actuaris die alleen maar jaarlijk uitrekent welke verplichtigen het instituut heeft. Hij beperkt zich dus tot de passiefzijde van de balans. Via de tussenstap ALM (asset liability management) zou de actuaris dus ook veel meer invloed moeten zoeken op de beleggingen, de assets van de instelling.
Of de wens van Berkemeijer (in goud gaan beleggen) daarin past, blijft natuurlijk de vraag.
<blockquote></blockquote>
Ik heb me af gevraagd, of zijn advies ook zou kunnen gelden voor particulieren. Maar volgens mij is één van de elf in zijn presentatie genoemde 'disadvantages' voor particulieren een showstopper: Vaulting gold is expensive. (Het bezitten en bewaren van goud is duur.)
En voor particulieren is het niet alleen duur, maar ook gevaarlijk.
Want als je echt in goud wilt beleggen, moet je echt de goudstaven bij je thuis bewaren. Als je dat bewaren overlaat aan een beleggingsinstelling, loop je weer één van de grote risico's van deze tijd.
Het third party risico wordt dan geïntroduceerd, want het kan zijn, dat die bewaarder het goud niet kan leveren, als jij het wilt ophalen of verkopen.
<blockquote></blockquote>
Conclusie: Ik zocht dus naar zijn argumentatie. Want in de beschouwing van Buffett is de zwakte van goud, dat het niet-produktief is en uitsluitend speculatief. De argumentatie van Berkemeijer komt er dus op neer, dat historisch bewezen is, dat goud altijd beter presteert dan de inflatie. Daar is niks tegen in te brengen. Het doet mij denken aan de redeneertrant van de 'chartists', die beleggingen uitsluitend bekijken met historische koersgrafieken.Theo Pouwhttp://www.blogger.com/profile/05577489781658914267noreply@blogger.com0tag:blogger.com,1999:blog-4060264054221434660.post-2921041348722708402012-12-11T11:08:00.000-08:002012-12-11T11:08:01.130-08:00Beursgang FacebookIn de jaren negentig dachten we bij Cap Gemini, dat de wereld door internet heel snel zou veranderen. Dat gebeurt echter niet binnen 1 of 2 jaar. Maar over een langere tijd zie je wel degelijk een spectaculaire verandering zich voltrekken. Op deze blog schreef ik daarover:
Oude en nieuwe economie (18-1-2010), Nieuwe spelers in e-commerce (27-12-2010), Waarde van ICT (19-3-2011).
<blockquote></blockquote>
De beursgang van Facebook in 2012 is weer een voorbeeld van deze veranderingen in de economie.
In de Waarde van ICT schreef ik bijvoorbeeld hoe de waarde van Apple Computers de waarde overtreft van veel klassieke industrieën, die qua produktiefaciliteiten en aantallen medewerkers vele malen groter zijn. In mei 2012 schrijft Der Spiegel over Facebook, dat na de beursgang de waarde van het bedrijf op 105 miljard staat. Meer dan de gezamenlijke waarde van de traditionele Duitse ondernemingen BMW, Deutsche Bank en Adidas... Weliswaar is die beurswaarde in de zomer van 2012 weer vermindert, maar dat doet niks af aan het fenomeen.
<blockquote></blockquote>
In de zomer las ik de biografie van Steve Jobs geschreven door Walter Isaacson. Een persoon, die zoals hij zelf zegt, Technology en Liberal Arts met elkaar wist te verbinden. Hij maakte de apparaten en toepassingen, waarvan de mensen niet wisten, dat ze die nodig hadden. Zo'n bedrijf bewerkt dus een sprongsgewijze verandering door bouwstenen met elkaar te verbinden die in potentie al langer beschikbaar waren. Opvallend was, dat hij een 'closed' filosofie hanteerde. Vanaf de chips tot en met de klantervaring in de winkel wilde hij de keten beheersen. Tegen alle adviezen in begon hij met zijn Apple Stores, omdat hij niet wilde dat een 'shithead' of 'bozo' van een warenhuis zijn Apple op de plank zette naast een Dell of een HP. Hij wilde niet dat mensen uit de 'oude wereld' een spaak in het wiel konden steken.
<blockquote></blockquote>
Ook in mei verscheen het bericht, dat Google de overname van Motorola doorzette. In tegenstelling tot de zojuist genoemde forward integration van Apple Computers is dit dus een backward integration. Steve Jobs zag Google als tegenpool, omdat zij in tegenstelling tot zijn closed filosofie uit gaan van de 'open' filosofie. Jobs heeft lang gevochten tegen het open Android, omdat hij volgens mij niet ten onrechte, dat beschouwde als diefstal van zijn gedachtengoed. Inmiddels verliest Apple qua marktaandeel van Andoid, net zoals het in de vorige eeuw verloor van Microsoft Windows. Vervelend voor Apple, maar volgens mij is 'open' voor de mensheid toch een betere weg dan 'gesloten'.
<blockquote></blockquote>
Google, Apple, Facebook, Amazon en E-bay gaan dus door met hun groei. Zij zijn nog steeds de voorhoede van de e-commerce. Zomer 2012 lees ik op vakantie in een Franse krant, dat de 'grands surfaces' (de grote supermarkten) het afgelopen jaar drie procent hebben verloren op hun non-food omzet, terwijl de omzet van internetondernemingen met vier procent is gestegen. En in Nederlandse steden zie ik overal de pakketdiensten rondrijden, die de internetbestellingen bezorgen. (Is dat nou milieu-gunstig? Tegenover die ritten bespaar je wel de ritten tussen depots en winkels. En de ritten die de consument maakt naar winkels. Maar dat is een ander verhaal.)
<blockquote></blockquote>
Wat nog niet doorzet is de e-bank of e-verzekeraar. Toch lenen zich die daar perfect voor: geen fysiek produkt, alleen digitale produkten zoals overeenkomsten en info. Maar wat heel belangrijk bij deze produkten zijn vertrouwen, betrouwbaarheid en veiligheid. Zolang dat de achilleshiel blijft van het internet, heb je nog bankgebouwen en bankmedewerkers nodig waar je mee kunt praten en die je kunt zien.
Theo Pouwhttp://www.blogger.com/profile/05577489781658914267noreply@blogger.com0tag:blogger.com,1999:blog-4060264054221434660.post-29199310167228710992012-11-27T01:50:00.000-08:002012-11-27T01:50:58.805-08:00Wederwaardigheden van Open SourceOp 28-10-10 schreef ik een posting 'setbacks voor open source' naar aanleiding van het terugdraaien van open source keuzen door de Duitse overheid.
Bij deze nog eens een opsomming van gebeurtenissen. Er blijven tegengestelde bewegingen optreden.
<blockquote></blockquote>
In 2006 werd in de Nederlandse Tweede Kamer de motie Vendrik aangenomen. Open Source moest van overheidswege gestimuleerd worden. Daartoe werd het project OSOSS opgestart, later opgevolgd door het programma NoiV. Ook in andere landen zijn van overheidswege initiatieven geweest om open source te promoten. In Amerika wordt het gezien als een middel voor federale en lagere overheden om hun ICT-kosten te verlagen. In Duitsland en Frankrijk zijn grote overheidsdiensten overgegaan op open software. En in Engeland wordt het door de Tories gezien als het wondermiddel om een open, voor de burger gemakkelijk toegankelijke overheid te bouwen.
<blockquote></blockquote>
Aanleiding voor deze posting is het rapport van de Algemene Rekenkamer over Open Source.
In maart 2011 heeft de Rekenkamer aan de minister gerapporteerd, dat het overgaan op open source maar een minimale kostenbesparing zal opleveren. Wellicht is dat ook de reden, dat het programma NoiV na de zomer 2011 zal stoppen. Voorstanders van open source wijzen erop, dat de focus op (licentie)kosten een veel te beperkte insteek is geweest van de Rekenkamer.
<blockquote></blockquote>
Rolf Zaal betoogt in Automatiseringsgids van maart 2011, dat er een politieke denkfout wordt gemaakt. De politiek denkt bij Open Source aan 'lekker gratis' en de Rekenkamer 'sukkelt daar kritiekloos in mee'. En berekent dat licentiekosten maar 4% van de totale ICT-kosten van het Rijk vertegenwoordigen. Volgens Zaal zit het voordeel van Open Source er vooral in, dat je als gebruiker zelf de verdere koers van de software kunt medebepalen. Je krijgt meer businessfit en komt nooit in een vendor lock-in. Zelf zie ik dat vendors als Microsoft alleen meebewegen als het moet (bijvoorbeeld wanneer ze druk van open software voelen, zoals bij Open Office). En anders is het toch hun eigen winstdoelstelling, die bepaalt welke aanpassingen in software wel of niet gedaan zullen worden. Je ziet aan Windows en Office, dat Microsoft steeds betere produkten levert, maar je moet je inderdaad afvragen, of dat verder gaat, zodra de druk van concurrentie (zoals open source software) wegvalt.
<blockquote></blockquote>
Het lijkt erop, dat open source een nicheprodukt wordt. Voor de liefhebbers en principiëlen. Dat geldt althans voor operating systems en voor officeprodukten. Voor sommige produkten, zoals de browser Firefox en serversoftware zoals Apache, heeft open software juist een sterke positie veroverd. Soms lijkt het, dat instellingen Microsoftplatformen kiezen uit gemakzucht of door handig manoevreren van Microsoft. (Denk bijvoorbeeld aan het feit, dat het Duitse ministerie van Buitenlandse Zaken van open platformen terugconverteert naar Windows. ) Anderzijds worden de produkten van Microsoft steeds beter, zoals ik zelf ervoer met het verkrijgen van Windows 7. Daarom ben ik afgestapt van Linux Ubuntu in mei 2011 toen ik een nieuwe laptop kreeg. Om nu, in november 2012, Ubuntu weer te installeren, omdat Windows na een hersteloperatie helemaal is vastgelopen.
<blockquote></blockquote>
Ben benieuwd, hoe die strijd zich ontwikkelt op de markt van smartphones en tablets. Apple is natuurlijk een fenomenale vernieuwer, maar wel ontzettend van de proprietary software. Apple standaarden worden bijvoorbeeld keihard vastgehouden, zodat Apple via zijn Appstores enorm kan verdienen aan de verkoop van apps. De open standaarden van Android winnen echter snel terrein. Ik houd het erop, dat Apple net als Microsoft bij de pc's zal moeten inbinden. Hoewel het daar nu, november 2012, helemaal nog niet op lijkt. Het begint erop te lijken, dat 'open' en 'proprietary' voorlopig naast elkaar zullen blijven bestaan. Elke optie kan in bepaalde omstandigheden de voorkeur verdienen.Theo Pouwhttp://www.blogger.com/profile/05577489781658914267noreply@blogger.com0tag:blogger.com,1999:blog-4060264054221434660.post-59818542116101717142012-11-09T03:08:00.000-08:002012-11-09T03:08:35.554-08:00Verrassende inzichten in computerbeveiligingOnlangs schreef ik over het Open Overheids Congres op 31 mei 2012. Eén van de inleidende sprekers was Bart Jacobs, hoogleraar Computerbeveiliging aan de Radboud Universiteit. Zijn verhaal vond ik de moeite waard om een aparte posting aan te wijden.
<blockquote></blockquote>
De titel van zijn spreekbeurt was 'open standaarden en security'. Daar kan namelijk een frictie in ervaren worden. Sommigen maken volgens hem ten onrechte het punt, dat security minder sterk is, als hij open is, dat wil zeggen, als er veel informatie bekend is over de aard van de beveiliging. <blockquote></blockquote>
Hij poneert twee stellingen:<blockquote></blockquote>
=Het openlijk publiceren van designs en protocollen draagt bij aan de veiligheid van de beschermde systemen.<blockquote><blockquote></blockquote></blockquote>
=No security through obscurity.<blockquote></blockquote>
Vervolgens illustreert hij dat met “security through obscurity” blunders.
Die van de Nederlandse OV-chip was mij bekend. Studenten van de Radboud toonden aan, dat je de OV-chip kon manipuleren om gratis te reizen. De gebruikte chip is een oud ontwerp uit de jaren negentig (Mifare Classic chip), die volgens Jacobs vol zit met cryptografische stupiditeiten. Ik kan mij herinneren, hoe de verantwoordelijke OV-instanties in het NOS-journaal bleven draaien om te vertellen, dat de OV-kaart betrouwbaar was en zelfs de krakers in de verdachte hoek zetten. Maar dit lijkt me duidelijk weer een voorbeeld van ethisch hacken. De krakers tonen zwaktes aan om de maatschappij daardoor beter te maken. Als ik google op Mifare-chips, dan blijken er toch ruim een miljard te worden gebruikt. Ze worden toegepast voor RFID tags (radiofrequency identification), waarmee je bijvoorbeeld containers op afstand kunt identificeren. Wellicht is het niet handig geweest om die chip ook te kiezen voor toepassingen, waarvan misbruik profijtelijk is, zoals OV-pas en toegangspassen. Er zijn dus aanvullende beveilingsmaatregelen nodig; ik ben er benieuwd naar welke maatregelen dat dan moeten zijn.
Als ander voorbeeld noemt hij GSM. Dat is in het geheim ontwikkeld, maar na uitlekken van algorithmen bleek GSM gemakkelijk af te luisteren. Hij vertelt, dat de opvolger UMTS wél gebaseerd is op open protocollen en standaarden.
<blockquote></blockquote>
Hij introduceert het voor mij onbekende attribuut-georienteerde authenticatie en authorisatie. Voorbeeld: Je moet je ID laten zien om sterke drank te kopen, terwijl alleen de leeftijdscheck daar van belang is. Hij constateert, dat vaak identiteiten worden gebruikt ipv attributen. Dat bedreigt de privacy en gaat in tegen het minimale data vereiste. Andere toepasbare attributen zijn bijvoorbeeld geslacht, beroep, student en postcode.
In het project IRMA (I Reveal My Attributes) wordt gewerkt aan een kaart waarop attributen worden opgeslagen. Issuers kunnen attributen aan de kaart toevoegen.
<blockquote></blockquote>
Argumenten voor open systemen:<blockquote></blockquote>
Snelle detectie en herstel van bugs. Programmeurs produceren betere code als iedereen kan meekijken. Minder risico op backdoors. Meer flexibiliteit: partiële installaties zoals afgeslankte versies; onafhankelijkheid leveranciers voor patches; iedereen kan kwaliteit controleren.<blockquote></blockquote>
Tegen gesloten: vals gevoel van veiligheid; assumptie is dat het verborgene een goed produkt is gefalsificeerd; source lekt toch uit; het verborgene geeft geen gevoel van vertrouwen.
<blockquote></blockquote>
Voor de volledigheid nog even de definitie van 'open' volgens het College Standaardisatie:
Hij vindt dat een cryptografische standaard pas wordt geaccepteerd na een competitie. De organisator is de NIST. (National Institute for Standardisation and Technologies) Voorbeelden zijn AES en SHA-3.
<blockquote></blockquote>
Goed optreden van een academicus met objectieve, diepgaande inzichten over computerbeveiliging.
Theo Pouwhttp://www.blogger.com/profile/05577489781658914267noreply@blogger.com0