Microsoft publiceert twee keer per jaar een Security Intelligence Report (SIR). Gisteren introduceerden we de 14e editie.
http://www.microsoft.com/security/sir/default.aspx
Jaren geleden haalde computer beveiliging en cyber-aanvallen op organisaties, overheden of financiële instellingen nauwelijks het algemene nieuws. Vandaag komen we tijdens het 'surfen' over internet bijna onvermijdelijk de berichten tegen over de nieuwste onderneming die slachtoffer is geworden van een cyber-aanval. Maar dit kan de verkeerde indruk wekken. Cybercriminelen vallen zeker niet alleen de grote ondernemingen aan. Ze gaan waar het geld is en benutten infrastructuur die beschikbaar is en consumenten besteden meer tijd online dan ooit.
Editie 14 van het Security Intelligence Rapport kijkt naar het belang van het gebruiken van een up-to-date antivirus programma. Het onderzoek toonde aan dat het wereldwijd gemiddeld ruim vijf keer waarschijnlijker is dat een computer 'geïnfecteerd' wordt indien er geen antivirus wordt gebruikt.
New data analyzed by Microsoft reveals the magnitude of the additional risk that such computers and their users face: in the second half of 2012, computers that did not have real-time antimalware protection were more than 5 times as likely to be infected with malware and potentially unwanted software as computers that did have protection.
De aantal vormen van 'Malware' is enorm toegenomen sinds de jaren '90. In 1991 waren er ongeveer 1.000 typen malware bekend. In 2001 was dit ongeveer 60.000. Nu kan 'malware' zich dynamisch veranderen om een nieuwe vorm te genereren.
De trend in het door de Microsoft Malicious Software Removal Tool (MSRT) gevonden aantal malware op computers in Nederland is onder het wereldwijde gemiddelde en ook nog verder dalende.
The MSRT detected malware on 2.6 of every 1,000 computers scanned in the Netherlands in 4Q12 (a CCM score of 2.6, compared to the 4Q12 worldwide average CCM of 6.0).
Goede antivirus software op de computer is één van de belangrijkste beschermingen tegen malware.
An antivirus or antimalware product that offers real-time protection is one of the most crucial defenses a computer user has against these and other malware distribution tactics.
Het nieuwe SIR onderzoek toont echter aan dat in de tweede helft van 2012 (juli - december 2012) 24% van de computers wereldwijd geen adequate of actuele malware op de computer aan had staan.
Unfortunately, many computers are not protected by real- time antimalware software, either because no such software has been installed, because it has expired, or because it has been disabled intentionally by the user or secretly by malware.
(…)
On average, about 24 percent of computers scanned by the MSRT each month in 2H12 were not running real-time antimalware software or were running out- of-date antimalware software at the time they were scanned .
Naast het hebben van adequate anti-virus software is ook het zoveel mogelijk gebruiken van de meest recente versies van software van invloed.
Computers running Windows 8 had the highest rate of protection, with just 8.1 percent of computers running the 32-bit edition and 7.0 percent of computers running the 64-bit edition lacking up-to-date real-time protection. Windows 8 includes real-time antimalware and antispyware protection by default, which is likely a significant factor in the reduced number of Windows 8 computers not running security software; previous releases of Windows did not include real- time antimalware software by default.
Adequate bescherming tegen malware is met de recente Distributed Denial of Service (DDoS) aanvallen in Nederland ook erg actueel.
Een DDoS aanval op een website of internet service maakt vaak gebruik van met malware geïnfecteerde computers. Zonder dat de eigenaar van zo’n computer er dan iets van merkt of weet, kan die computer deelnemen aan een DDoS aanval op een organisatie.
Het Nederlands Cyber Security Center (NCSC) omschrijft het bijvoorbeeld zo:
DoS-aanvallen kunnen ook door middel van botnets worden uitgevoerd. Een botnet bestaat uit een groot aantal besmette computers en servers waarmee een kwaadwillende vrij gemakkelijk, vanuit één centraal punt, opdracht kan geven voor het doen van een DDoS-aanval. https://www.ncsc.nl/dienstverlening/expertise-advies/kennisdeling/factsheets/factsheet-continuiteit-van-online-diensten.html
Het NCSC geeft in haar “Factsheet Continuïteit van onlinediensten” een aantal adviezen aan organisaties om zich voor te bereiden of verdedigen tegen een DDoS aanval.
Advies 1: Stel een baseline vast en monitor uw infrastructuur
Advies 2: Instrueer de communicatie adviseur van uw organisatie.
Advies 3: Maak gebruik van de diensten van uw provider.
Advies 4: Informeer naar de aanpak (weerstand en repressie maatregelen) van uw ISP bij DoS-aanvallen en check de contractuele afspraken hierover.
Advies 5: Denk na over de incident response en fail-over scenario’s van de onlinediensten.
Advies 6: Implementeer de voorgestelde (mitigerende) maatregelen aan het einde van deze factsheet.
Het NCSC geeft ook een overzicht van mogelijke maatregelen tegen Denial of Service aanvallen. De cijfers in het nieuwe Security Intelligence Report tonen weer aan dat maatregelen nemen inderdaad belangrijk is. En dat ook dit bij onszelf kan beginnen.
Naast de NCSC adviezen aan organisaties, zijn dit de basis adviezen uit het SIR editie 14 waar we per computer zelf iets aan kunnen doen:
- Gebruik legale software
- Gebruik anti-virus software
- Gebruik de meest actuele versies van software
Hiermee bereikt u veel om te voorkomen dat u bijvoorbeeld ongemerkt bijdraagt aan de DDoS op organisaties. Dit zijn ook adviezen die de Nederlandse Vereniging van Banken (NVB) noemt in haar ‘checklist veilig internetbankieren’
Gisteren een email ontvangen van een nogal vrijgevig ingestelde Albert Lawrence:
ALBERT LAWRENCE SOLICITORS.
2 Whit More Gardens
London, NW10 5HH
Tell: +44-704-570-8695
Fax: 44-87-1247-2209
Als ik mag aannemen dat het adres “Whit More Gardens” eigenlijk de “Whitmore Gardens” in Londen is, dan is het adres en het huis snel gevonden op Bing Maps. En er staat al iemand voor de deur van wat waarschijnlijk dat adres is, iemand die er als een agent uitziet...(Overigens is het zeer waarschijnlijk dat de persoon of personen op dit adres niets te maken hebben met de email).
Attn: Sir / Madam,
I am Albert Lawrence, a legal practitioner based in United Kingdom, I feel quite safe dealing with you in this business proposition, although this medium (Internet) has been greatly abused, I chose to reach you through it because it still remains the fastest, surest and most secured medium of communication and I urge you to treat it with the seriousness it deserves.
Best interessant, een jurist die email gericht aan een willekeurige “Sir/Madam” vervolgens wel nog het “most secured medium of communication” acht. En mij dan ook nog vraagt hem en zijn email zo serieus mogelijk te behandelen.
I am the personal attorney to Robert Fitzpatrick, an American who was a consultant with Shell UK LTD here in London, who shall be referred to as my client. Unfortunately my client lost his life on Boeing Egypt Air Flight 990, which crashed into the Atlantic Ocean on October 31st, 1999 (news.bbc.co.uk/1/hi/world/americas/502503.stm) and left no clear beneficiary as Next of Kin except some vital documents related to the deposit still with me.
Aha, Mr Robert Fitzpatrick. Naast het smakeloze misbruik van de naam van een blijkbaar daadwerkelijk overleden passagier van die betreffende vlucht, is het ook bijzonder om die naam te (her)gebruiken voor diverse vergelijkbare emails.
Zo was de nalatenschap van Fitzpatrick blijkbaar eerder al in handen van ene “David Well Solicitors”. Het verdere verloop van de email laat zich wel redelijk raden:
All efforts by me to trace his Next of Kin proved abortive because he did not make any will prior to his death. Since then I have made several inquiries to locate any of my late clients extended relatives and this has proved unsuccessful. After my several unsuccessful attempts to locate any member of his family hence I contacted you.
I am contacting you to assist in claiming the money left behind by my client before they get confiscated or declared unclaimed by the security company where this huge deposit was deposited. Particularly, the finance company where the deceased had the said fund valued at USD 11 million dollars has issued me a notice to provide the next of kin.
Consequent upon this, my idea is that we can have a deal/agreement and I am going to do this legally with your name as the bona fide beneficiary of the amount in question as I have all legal document to back our claim, i seek your consent to present you as the next of kin to the deceased so that the proceeds of this account valued at $11 Million US dollars can be paid to your account abroad, note that 40% of this money will be for you, in respect to the provision of a foreign account and 50% for me, 10% will be used for the reimbursement of any expenditure we may incur in the cause of the transaction.
I guarantee that this will be executed under a legitimate arrangement that will protect you from any breach of the law, all I need from you is your utmost collaboration and sincerity for us to thrive in this deal. Get back to me if you are ready to assist me.
Yours Sincerely
Albert Lawrence.(Esq).
Overigens ook best vervelend als je vervolgens echt Albert Lawrence heet en een jurist bent. Weliswaar in Anchorage, Alaska en niet in Londen, maar toch…
Vanwege de oorsprong van dit soort emails heet het wel “Nigerian Scam”, maar officieler betreft het een “Advance Fee Fraud”, en die naam vat ook samen waar het om te doen is bij dit soort emails. De Albert Lawrence versie is overigens internationaal al bekend.
Vorige week maandag 15 oktober had ik de gelegenheid tijdens een Cyber Security workshop in Amsterdam een internationaal gezelschap toe te spreken.
Materiaal van de sessies staat online: http://www.enisa.europa.eu/activities/Resilience-and-CIIP/workshops-1/2012/eu-us-open-workshop
En omdat er verslaglegging zou plaatsvinden, had ik de tekst voor mijn verhaal al redelijk expliciet uitgeschreven. De tekst was een combinatie van “eigen werk” en eerdere publicaties van/bij Microsoft.
Thank you for the opportunity to talk to you today.
My name is Hans Bos and I am the National Technology Officer for Microsoft in The Netherlands.
The National Technology Officers at Microsoft strategically connect the opportunities offered by new and advanced technology to challenges in society, and also more operationally in using new and advanced products and services at an organizational level.
Last week my collegue Matt Thomlinson, from our Trustworthy Computing initiative, participated in the Budapest Conference on Cyberspace 2012 and also spoke at the Atlantic Council’s evening event entitled “Toward a Secure Cyber-Future: Building a Public-Private Partnership for Cybersecurity Norms.” During both events, Microsoft stressed the importance of public-private partnership at the international level and the need to ensure that the private sector had a voice in the key discussions occurring around confidence-building measures and cybersecurity norms.
And Adrianne Hall, also from the Microsoft Trustworthy Computing group spoke at the RSA Europe conference last week. Adrienne talked to some pragmatic next steps in security:
- Stay informed
- Embrace standards, best practices and transparency
- Weigh the risks and rewards in the context of your org and biz requirements
Tomorrow The Netherlands retired four star general Berlijn is talking to the conference on Cybersecurity in Amsterdam. An interview in the leading Dutch Newspaper this weekend had the title “War against Hackers”. I think it’s proof we are on a pattern of increased awareness of cybersecurity, and we are addressing the issue head on.
As a National Technology Officer, I often work to the broader national agenda of The Netherlands, the effects of policies, products, services and strategies on the national level rather than global or the EU.
Rather than only repeating or emphasizing the broad commitment of Microsoft to cybersecurity, I want to add some context to a national level.
For example last week it was announced by the ITU that The Netherlands is again in the top 10 of the ICT Development index. In fact we’re at place 6, up 1 from 7 last year. The Netherlands is #11 on the World Economic Forum Networked Readiness, and #5 for all up Global Competitiveness.
To those active in the ICT industry in The Netherlands, this did not come as a surprise. For years we have worked in the relative comfort of knowing that the distribution and access to the digital infrastructure is at the top of the class. For citizens, for the public sector and private sector.
This has also been repeatedly visible in the reports by our national bureau of statistics, the CBS.
In their 2012 report on the 2011 data, the bureau for statistics stated that 94% of the households in The Netherlands have access to the internet. And for example close to 80% of the internet users in The Netherlands buy digital or physical goods via the internet.
This high level of availability of the basic needs to ‘get online’, access to a computer and availability internet, is not always immediately visible in the “real” or “physical” world. Rather it is taken for granted and often in conversations compared to utility services and even sometimes referred to as a ‘basic need’.
Until, as occurred last week and this weekend, an incident happens. Or at least, the announcement of a possible threat to the stability of some internet services. This announcement makes the eight o’clock news, and most of the media.
It was made to appear as if the well known group ‘Anonymous’ made credible threats to part of the internet services available in The Netherlands. The cause for the attack was claimed to be the judicial actions against the Pirate Bay. The targets included ISP’s, government websites, and anti-Piracy agencies. Including ISP’s that in fact have been opposing the legal decision, actions, and the imposed requirements for ISPs following the Pirate Bay decision.
It turned out that this threat was not quite real, but the action of a lone young individual unaware of the impact of his actions.
The level of attention this news received, is related to the level of adoption and dependency of consumer digital services.
Take for example Telebanking, checking your account, transfer money, make payments, this is a service that has wide spread use in The Netherlands and across all age groups.
As stated, in the Netherlands, we’ve been at the top of virtually all ICT lists for the last years. On adoption in private sector, in public sector, and the availability of ICT technology and services to citizens.
The Netherlands was often early to accept the potential of digital technology, quick to design and develop services and implementations, and with the wide availability of a bandwidth and computers, ultimately also a high adoption of these digital services.
Discussions were abundant about moving more government services to internet, more control infrastructures to the internet, more online databases, more open data, more, more, more …
We considered ourselves efficient and effective in the adoption of ICT.
But what we may not always have realized is how this wide adoption of services also made us vulnerable. Sure, experts were busy putting cyber security on the agenda. But there were many meetings in which participants expressed their view that the security business and experts were “overselling” and using Fear, Uncertainty and Doubt as a strategy.
To be honest, maybe somewhat similar to some of the current reactions to the privacy debate, outside of the circle of experts and stakeholders.
Scott Charney, the Corporate Vice President to the Trustworthy Computing group probably had his concerns about this ‘unawareness’ of vulnerability already years ago. He stated “It’s not just that software runs the power grid, the global financial system, and the armed forces around the world, but that the fabric of society is connected through email, browsing, social networking, search, and web applications.”
Suggesting that software, digitization, information flows have become completely interconnected. Many interdependencies have arisen. And in most ways this is a very positive development.
In other ways, and what had been obvious to experts in the field, this is a risk.
A risk that became acutely visible in The Netherlands on the morning of August 29 2011.
That day Cert-Bund, the CERT of Germany, called GovCERT, the government CERT for The Netherlands. Cert-Bund notified GovCERT that it had information that Diginotar, a leading Certificate Authority in The Netherlands, had been issueing fraudulent certificates for well known public websites.
This triggered a period of intense cooperation. Cooperation between public and private sector. It was a period were previously designed crisis management processes and institutions were put to the test. Were important decision were made on facts, authority, but also on trust, and often within very short periods of time. At the time I had the professional opportunity to join the effort to address and mitigate the incident, first hand at the National Crisis Center in The Netherlands.
The incident called for an inventory and investigation into the use of digital certificates issued by DigiNotar as this Certificate Authority was used by the Dutch government for its services to the public, but also for server to server, and many automated processes.
After the scale of impact became clear on the night of Friday September 2nd, most of the affected processes were quickly and efficiently identified by the government during the weekend. However some dependencies only turned up after several days. The end view was that the incident in its worst-case could have severely impacted society and economy in The Netherlands. And not so much for the risk to citizen / government communication, but more so for the server to server communication.
The domains the government identified where disruptions would cause the most impact included
- Processes in the chain of justice from officers in the field, to court orders
- Processes in public sector including access to key base administrations and all public e-services
- The welfare system for payments and verifications
In answer to questions from the media, the responsible minister advised users that wanted to be certain of secure communication with the government to use pen and paper. This is not to single out an individual statement. Rather it is a testimony to the stress of the moment, and even more so of the general thinking about ICT, the digitization of the economy and society. Not everybody had realized that over the years, the top position on most of the international ICT statistics, had its consequences. In benefits, in scale, in complexity, and also in risks.
To emphasize, the actions taken by the people responsible for managing the incident have been thoroughly evaluated by several (independent and government) organizations, and all concluded that the right actions were taken. And that these actions had minimized the possible significant impact of the breach in security and trust.
The Netherlands compiled its existing programs, initiatives, it planned initiatives and strategies, and we are now quite proud of our public and private cooperative model of the National Cyber Security Center.
At Microsoft, maybe we can say we experienced something similar in 2002. When we experienced a wake up call ourselves.
A wake up call that was then documented in a memo by Bill Gates. It addressed the need for focus on ‘trustworthy computing’ at Microsoft and across the whole ICT industry.
We increasingly realized that there were consequences to the success of ICT, to the adoption of digital technology and the internet. And one of the key issues was that people should feel justified in ‘trusting’ the use of their computing.
The Trustworthy Computing group (TwC) was founded and recently celebrated its 10 years of existence. The TwC does not make or sell products. Their role is to influence and do security, privacy and reliability work both inside and outside the company.
A few progress points to highlight are:
- The Security Development Lifecycle, a process for baking security in to code, an approach that more and more companies are adopting and adapting to meet their own specific needs
- Expansion of global capability for malware detection
- The Security Intelligence Report, published last week in its 13th edition.
- Founding member of the Cloud Security Alliance
- The expansion of our security response center to encompass cloud services so that customers receive up to date information on any threats at play
- And we’ve seen challenges such as the rise of hactivism which has contributed to cyber security increasingly being a political and broader societal concern.
What has remained constant over the years is the evolution, sophistication and the pervasiveness of cyber attacks in our daily professional and personal lives.
Solutions will require action on many fronts.
For example, organizations themselves are taking action. The Microsoft IT organization has one of the worlds largest infrastructures and IT deployments, it protects 190,000 end users and 8 global datacenters, with a focus on business enablement, risk management, and operational and technical excellence using the same security fundamentals and technology innovations that we deliver to our customers in our platforms, solutions, and services.
We are quite transparent about the actions we take, and many documents and testimonials are available from Microsoft’s IT department.
It is not only our own digital security that we are concerned about, and protecting. For example I am sure you are well aware of the actions taken by our Digital Crime Unit in fighting botnets.
And you may also be aware of our Security Intelligence Reports. Published last week in its 13th edition. It includes Worldwide + Regional Threat Assessment, Guidance for mitigating, and Risk indicators.
The report provides insight into the current threat landscape – - intelligence that you can use to defend your organization and the crown jewels of our digital economy - data.
Edition 13 covers the first half of this year and contains detailed analysis of threat trends, and mitigations to cope with them, both globally and in detail across 105 regions.
We looked at exploits in the latest Security Incident Report to see what trends we saw. Often exploits reflect the focus or research areas of those developing malware. For years, the Operating System was the focus. Then, we started to see the focus move up the stack to applications.
So, the question we asked – are we seeing that focus now move to the web technologies?
The answer clearly was “yes.’
Looking at exploits, we found that the Top Exploits were dominated by HTML and Java exploits. In terms of prevalence of actual exploits detected in the period, HTML and Java exploits were detected 6X as often as OS exploits. 7 of the top 10 exploit families were Java or HTML exploits.
So, with these indicators, the data and trends indicate that the malware ecosystem is focusing increasingly on web-related technologies, the very technologies used to implement or consume many cloud services, the technology also used in many smart networked environments.
Recently we also published our findings on infections that make it very early into a supply chain. The attacker ecosystem has not only moved up in the technology stack, but is also looking at supply chains and vertical industry processes.
The learning from 10 years of trustworthy Computing, international cooperation, our partners, and more, we have worked into a Reference Architecture for Smart Energy.
Electricity is considered a critical component of modern society because its failure or outage quickly affects commerce, transportation, and even basic survival.
Security considerations are of utmost concern for the transformation of the current utility network to a Smart Energy Ecosystem because of the mission critical nature of the grid and generation infrastructure.
Regulatory authorities and the industries themselves have intensified their focus on security due to the increased complexity of computing environments and the growing sophistication
of attacks that seem to occur almost daily. Concerns have been heightened due to several high profile events demonstrating system breach and, in some cases, improper and unauthorized operation of control systems.
As might be expected due to the importance of utilities to functioning economies and even the very social fabric enabling human life, national governments consider their country’s energy assets as critical infrastructure that must be guarded like their very lands and resources. As such, they are taking bold, significant steps to ensure that utilities amplify their attention to security. National regulatory initiatives require concerted attention to the following three types of security:
- Physical security
- Operational Security
- Cyber security
In the past, the utility’s control of field equipment was channeled through closed, proprietary communication infrastructures. While secure, the closed system may have served to shut out innovative opportunities that would improve operating efficiencies.
The smart grid movement could be described as working to change that. Now, utilities are using open and standards-based infrastructures to control their devices. While openness and interconnection offer great benefit to businesses and users alike, they also enable those who would seek to disrupt their operation, for whatever reason, with even greater opportunity to access networks and devices.
Open systems enable a greater data-driven understanding of what is occurring on an energy infrastructure. Each new innovation has come with a bolt-on, add-on type of security measure.
That may be a bit like building a house of glass – the views are great from the inside but everyone on the outside might also endeavor to take a look.
An option is to mount blinds, a superficial barrier detracting from the original design and deflecting only glancing attacks.
The implementation of security measures must be considered holistically across the entire system and throughout that system’s entire lifecycle, from inception through adaptation/implementation and even to disablement.
Microsoft continues to work with partners to reduce utility industry specific vulnerabilities.
Based on this strategy of working cooperatively with industry, partners and governments, but also more than that, using on our actual experiences here in The Netherlands, Microsoft presents a evolutionary curve for cyber security policy and partnership.
In this curve Public-Private partnership models are recommended for Risk and Resiliency at the national level. And for governance, norms (standards), and harmonization at the international level.
I think The Netherlands will remain at the top position in many ICT related lists for some time to come. We have a very good appreciation of the benefits this brings us, and a better understanding of the challenges going forward in maintaining a trustworthy digital infrastructure in The Netherlands.
We may not only be one of the best in class, we are eager to teach and share our learning as well.
Tagxedo geeft een “wordle” overzicht van de nieuwe Troonrede:
http://www.tagxedo.com/app.html
Wel leuk, niet bijzonder nuttig. 
De tekst van de troonrede: Tekst Troonrede.pdf of http://troonrede.nl/ of http://www.prinsjesdag2012.nl/
Deze week ben ik in Kopenhagen. In een hotel waar volgens “facebook statistieken” 423 mensen zijn geweest (“were here”) , en slechts 20 daarvan het ‘liken’ (“like this”)…
Hoe je het wendt of keert, 20 van de 423 klinkt volgens mij niet goed (genoeg). Met wat vroege slapeloze vrije tijd, lees ik een online artikel op de website van de Volkskrant:
Nederland doet het op economisch gebied slechter dan de meeste andere landen in Europa. Dat blijkt uit een vandaag verschenen rapport van Eurostat (.pdf). Daarin is dus het mislukken van de onderhandelingen over de bezuinigingen nog niet eens meegenomen. Het gemiddelde begrotingstekort van de eurolanden is 4,1 procent, terwijl Nederland 4,7 procent scoort.
bron: http://www.volkskrant.nl/vk/nl/9824/De-zoektocht-naar-miljarden/article/detail/3244957/2012/04/23/Het-ontslag-van-het-kabinet-Rutte-van-minuut-tot-minuut.dhtml
Ook dat klinkt niet goed. Maar misschien is dit nog wel te wenden en keren? Als eerste redmiddel grijpen we natuurlijk de statistiek zelf :-). De Eurostat bron erbij gehaald, en “spelen met Excel”:
“Slechter dan de meeste landen in Europa”, klopt voor 2011 in absolute zin. Met -4,7% overheidstekort als percentage van het bruto binnenlands product (bbp) staan we op de 12e plek van de 27 landen. 15 landen doen het wat deze statistiek betreft beter (15 landen hebben een lager overheidstekort ten opzichte van het bbp dan Nederland).
Een wending en kering: de overheidsuitgaven in 2011 als percentage van het bbp.
Zeven landen van de 27 hebben hogere overheidsuitgaven dan Nederland ten opzichte van het bruto binnenlands product (bbp): Oostenrijk, Slovenië, Zweden, België, Finland, Frankrijk en Denemarken. Op deze statistiek doen we het (nog) “slechter dan de meeste landen in Europa”.
Probeer ik nog een andere wending en kering: Nederland ten opzichte van de landen in Europa qua “overheidsschuld als percentage van het bbp” in 2011.
Hier doen we het minder “slechter dan de meeste landen in Europa”. We staan met 65,2% op nummer 14 van de 27, eigenlijk in “het midden van Europa”.
Hmm. Toch maar eens “economics for dummies” lezen, want met statistiek krijg ik geen andere wending of kering dan de Volkskrant “Nederland doet het op economisch gebied slechter dan de meeste andere landen in Europa”.
Onder voorbehoud van een typefout, en op basis van de Eurostat cijfers.
Uit de FY12Q3 financiële resultaten:
In een grafiek is het “makkelijker”:
En met een liniaire trendline is het ook “leuker”:
Onderstaande is een samenvatting van een sessie vorige week tijdens HIMSS 2012 in Las Vegas.
HIMSS 2012 - Identiteit, Security, Privacy en innovatie in zorg
A CASE OF IDENTITY
"My dear fellow," said Sherlock Holmes as we sat on either side of the fire in his lodgings at Baker Street, "life is infinitely stranger than anything which the mind of man could invent.
Eén van de beroemde verhalen over Sherlock Holmes is "A Case of Identity". De eerste zin in dat verhaal is een verwijzing dat "life is infinitely stranger than anything which the mind of man could invent." In de praktijk gebeuren vele opvallende, rare, verrassende zaken die we niet zomaar zouden hebben kunnen bedenken. Dat de Nederlandse praktijk qua identiteit, veiligheid en privacy in de zorg soms echt 'merkwaardiger' is dan je zou verwachten is actueel en onder meer terug te vinden in een column van Youp van 't Hek.
Het andere thema, Innovatie, gaat qua technologie zo snel, dat ook daar opvallende, rare, verrassende zaken mee kunnen gebeuren die niet vooraf zijn bedacht of die we niet hadden zien aankomen. Zoals een programma manager, werkzaam bij Microsoft, die in zijn kelder samen met jongeren uit zijn buurt een nucleaire fusie reactor bouwt. Op basis van algemeen beschikbare informatie en materialen.
Verrassende nieuwe diensten en producten verwachten we van de combinatie van 'smart devices', 'cloud services' en 'natural user interfaces'. Slimme telefoons, mobiele computers, en veel meer vormen van 'smart devices' zijn verbonden met diensten uit 'de cloud'. Interactie tussen mensen en die diensten verloopt op een steeds 'natuurlijkere' manier. Met gebaren, spraak en aanraken. En met diensten die anticiperen, intelligent ondersteunen, en 'context' gevoelig begrijpen hoe ze de gebruiker (de eigenaar) het best kunnen helpen.
BILL CROUNSE
HIMSS 2012, Zondag 19 februari
“Technology can do amazing things. “
Microsoft’s Dr. Bill Crounse gaf voorbeelden van hoe dit soort ontwikkelingen een plek krijgen in de zorg. Bij slimmer samenwerken en communiceren, bij 'tele-medicine', en bijvoorbeeld bij revalidatie. Technologie kan inderdaad verbazingwekkende nieuwe mogelijkheden creëren. Mogelijkheden waar soms een paradigma verandering voor nodig is, waar een 'groot denkraam' voor nodig is zou Marten Toonder kunnen zeggen.
Er zijn altijd meerdere manieren om naar iets te kijken. Iedereen heeft zijn of haar eigen blik op de wereld, en interpretatie van de waarde. Privacy is een subjectief begrip, een concept dat open staat voor individuele perceptie en waardering. En de waardering van privacy is vaak ook nog 'context' afhankelijk. Mijn beeld van privacy is waarschijnlijk anders dan die van u, uw beeld van privacy is waarschijnlijk weer anders dan die van uw buurvrouw. Een goed vertrekpunt is dan om bij nieuwe producten en diensten, de gebruiker/eigenaar zoveel mogelijk controle te geven over instellingen van zijn of haar privacy.
MICROSOFT TRUSTWORTHY COMPUTING
Security, Reliability, Business Practices, and Privacy:
Customers will be empowered
to control the collection, use, and distribution of their personal information.
Veiligheid, betrouwbaarheid en het beleid van een aanbieder van (digitale) diensten zijn voorwaarden, anders verliest de gebruiker alsnog het nut van zijn/haar eigen instellingen en raakt informatie of toegang buiten de eigen controle.
Veel van de nieuwe mogelijkheden rond 'smart devices', 'cloud services' en 'natural user interfaces' zullen de thema's identiteit, veiligheid en privacy raken. We praten met elkaar over de percepties en interpretaties:
- Wat mag wel, wat mag niet.
- Wat kan en mag, maar willen we niet.
- Wat kan en willen we, maar mag niet.
Als gedeeld inzicht met betrekking tot nieuwe technische mogelijkheden, is het vrijwel altijd zo dat wat mág of móet (op basis van wet- en regelgeving) achter loopt op wat technisch kán en wat we als individu of maatschappij wíllen.
LUCIEN ENGELEN
HIMSS 2012, Zondag 19 februari
“Voor sommige zaken heb je een schroevendraaier nodig. Voor andere zaken een hamer, of een schaar. ”
Om een goede balans te vinden tussen wat kan, mag en wat we willen is dialoog nodig. In het geval van nieuwe technologie in de zorg bijvoorbeeld tussen patiënt, aanbieder van technologie, zorgverlener, belangen organisaties en overheid. In ieder geval moeten we in beweging komen om de nieuwe mogelijkheden de juiste richting en ruimte te geven.
Voor nieuwe diensten die gebruik maken van 'cloud computing' worden gepercipieerde en realistische uitdagingen genoemd. Eén daarvan is veiligheid, bijvoorbeeld ook als voorwaarde om de privacy te borgen. Want privacy kan niet zonder veiligheid (overigens kan veiligheid wel worden geboden zonder privacy te bieden). Aanbieders van Cloud Computing diensten werken daarom aan het inzichtelijk maken hoe haar systemen en datacenters onrechtmatige toegang trachten te voorkomen. Hier zijn de onafhankelijke verificatie van het hanteren van (beveiligings) standaarden, transparantie inzake data portabiliteit en inzicht in de lokatie van gegevens relevant.
Het Microsoft Office365 Trust Center is een voorbeeld van hoe Microsoft als aanbieder van een cloud dienst transparant is richting gebruikers. Er is informatie te vinden over privacy, beveiliging, standaarden, portabiliteit, en meer.
Microsoft hanteert een structuur met
- eigen beleid en doelstellingen,
- een 'control framework',
- industrie standaarden en reguleringen, en
- operationele procedures.
Deze aanpak geeft ruimte om het eigen 'control framework' als uitgangspunt te nemen en te relateren aan de 'control frameworks' van landen, ondernemingen of sectoren. Dat geeft Microsoft, en daarmee ook onze klanten, een goede basis voor het kunnen voldoen aan voor de eigen operatie relevante wet- en regelgeving.
De structuren zoals nu genoemd voor bijvoorbeeld beveiliging en privacy onderbouwen een vertrouwen in cloud computing. Met voldoende vertrouwen in kwaliteit van beveiliging en privacy zijn ook meer scenario's mogelijk van participatie en samenwerking.
E-PATIENT DAVE
HIMSS 2012, Zondag 19 februari
“Make the most of our time together.“
E-Patient Dave presenteerde tijdens HIMSS 2012 een sterk argument voor meer betrokkenheid van de patient in het zorgproces. Minder óver de patient, en meer mét de patient praten. Cloud diensten, digitale sociale media en steeds meer voorhanden digitale meetinstrumenten voor de persoonlijke gezondheid dragen daaraan bij. Een veilige en vertrouwde informatie infrastructuur voor het delen van de informatie en inzichten is daarbij een voorwaarde.
Weer eens in het kader van spelen met Excel om inzicht te krijgen in getallen en trends. Hieronder een grafiek van de verhouding tussen het Nederland Bruto Binnenlands Product (BBP) en het totaal aan gewerkte uren in de economie. Beide getallen volgens het CBS.
De rol en het belang van algemene productiviteit in de economie is bekend. Een belangrijke actuele dialoog is het effect van ICT op die nationale productiviteit, en dan ook wel in verhouding tot arbeidsparticipatie.
De grafiek geeft de verhouding weer tussen bruto binnenlands product (bbp) en het aantal gewerkte uren. Het is ingedeeld per kwartaal, van Q4 2009 tot en met Q4 2011. Die indeling naar kwartalen veroorzaakt in de grafiek het golvende beeld van de seizoensinvloeden. Het is een te korte periode voor interpretaties, en een te simpele verhouding voor conclusies. Maar toch ‘stiekem’ een lichte onderbouwing dat volgens deze cijfers we in Nederland in 2011 met minder gewerkte uren, meer bbp opleveren dan in 2010...
CBS databronnen:
Achtergronden (boeken)
- The Lights in the Tunnel: Automation, Accelerating Technology and the Economy of the Future
- Race Against The Machine: How the Digital Revolution is Accelerating Innovation, Driving Productivity, and Irreversibly Transforming Employment and the Economy
- Information Technology and Productivity Growth: German Trends and OECD Comparisons
Een “Creatief met Excel/Powerpoint” plaatje:
Bovenstaande grafiek illustreert de “golf” naar de “verzilvering” in onze maatschappij.
Source: Population Division of the Department of Economic and Social Affairs of the United Nations Secretariat,
World Population Prospects: The 2010 Revision, http://esa.un.org/unpd/wpp/index.htm
De omschrijving zegt “Gray seal on the beach near Helgoland, Germany”, maar als je het achtergrond plaatje wil bewaren krijg je een betere omschrijving in de bestandsnaam: “SillySeal_EN-US1199693670.jpg”.
http://www.bing.com/
Gisteravond was er een ‘item’ bij De Wereld Draait Door, waarin werd gesproken over hoe laagdrempelig het nu zou zijn om de OV Chipkaart te misbruiken. Het stralend enthousiasme waarmee die methode werd getoond, en de antwoorden op de vragen van de presentator waren intrigerend.
De kanttekening die Matthijs van Nieuwkerk probeerde te plaatsen in het gesprek, “jullie hoeven dit toch niet te doen?”, veroorzaakte een min of meer glazige blik bij de woordvoerders. Niet doen leek geen enkele overweging te zijn geweest. De houding en antwoorden leken nog het meest op het bekende (sporters, recordbrekers etc) antwoord op de vraag “Waarom doe je dit”: “omdat het kan”. Dit in de context dat de sprekers zelf aangaven dat het illegaal is om te doen, maar deze “kruiswoordpuzzel voor gevorderden” is te leuk om onopgelost te laten.
Dat het technisch kan, konden we constateren. Accepteren we dat dit ook maatschappelijk kan?
Eén van de motivaties van de sprekers (zo niet de kern motivatie) was dat de overheid veel meer naar IT experts had moeten luisteren. Al bij de introductie zou men de overheid hebben gewezen op de zwakheden van het huidige technische systeem. En omdat de overheid niet luisterde, toont men de zwakheden nu in de praktijk aan. Daarbij gaven de sprekers gelijk de cirkel redenering van de eigen argumentatie aan door te stellen dat alle beveiliging uiteindelijk te kraken zou zijn.
In de “fysieke wereld” zou een dergelijk verloop van waarschuwen en vervolg actie, vrij snel kwalificaties in de richting van chantage en afpersing krijgen. Maar niet in de “digitale wereld”, daar krijgen we een breed platform en complimenten voor doorzettingsvermogen. In het sterk aan te bevelen boek “You Are Not a Gadget” van Jaron Lanier, beschrijft hij deze houding beeldend als “Therefore, we smartest technical people ought to invent ways to attack the innocents, and publicize our results, so that everyone is alerted to the dangers of our superior powers. After all, a clever evil person might come along.” Vervolgens geeft Lanier overigens aan dat deze ideologie (“ideology of violation”) soms ook tot positieve resultaten kan leiden.
Maar niet voordat hij ernstige kanttekeningen plaatst bij het verschil in reactie en houding tussen de digitale en fysieke wereld. Als voorbeeld noemt hij een lezing in 2008 waar onderzoekers aantoonden hoe mobiele telefoons gebruikt konden worden om pacemakers uit te schakelen. Dat verhaal kreeg een relatief positieve bijval, en de publieke en journalistieke reactie was anders dan wanneer de onderzoekers bijvoorbeeld zouden hebben aangetoond een manier te hebben gevonden om onmerkbaar voor de eigenaar ski’s aan te passen zodanig dat deze dodelijk zou verongelukken op de piste.
Ik denk dat we ontwikkelingen in de sfeer van “ideology of violation” vaker als zodanig moeten bespreken en van commentaar voorzien. Nu draait deze wereld mij net iets te gemakkelijk door, “omdat het kan”…
Een oud voorbeeld van publieke private samenwerking: onder verantwoording en uitvoering van de overheid werden de dijken gebouwd. Maar het was een particulier die zijn vinger in de dijk stak om de polder te redden.
http://www.geheugenvannederland.nl/hgvn/webroot/files/File/extra/atlanticworld/atlanticworld5/tentoon2.html
In Juni 2010 verscheen een interessant rapport van de OECD over de economische situatie in Nederland:
Er staan meerdere interessante stellingen, uitspraken en richtingen in dat rapport. Eén van de dingen die mij opviel was de informatie over mobiliteit in Nederland.
The average commuting time in the Netherlands is longer than in other European countries and commuters also spend more time in congestion.
Men stelt dat Nederlanders een langere woon-werk reistijd hebben dan inwoners van andere Europese landen. En óók nog meer tijd doorbrengen in files. De bron van deze data is een onderzoek uit 2005 (!):
In dat “Working Conditions Survey” rapport staat bijvoorbeeld ook een diagram van het Europees gemiddelde in woon-werk verkeer reistijd. Er lijkt een licht verschil te zijn in reistijden (in munten per dag) bij werknemers naar aantal uren werken per week. Bij minder uren per week, ook minder reistijd, een omslagmoment is er blijkbaar wanneer men meer dan 48uur per week werkt. Ik kan me voorstellen dat die groep bijvoorbeeld ondernemers betreft met een eigen (thuis)vestiging.
Interessant om eens na te denken over de oorsprong van het verschil in “unpaid working hours” waar het rapport op pagina 26 een overzicht van geeft. Nederland scoort daarin relatief erg hoog…
De verklaring van de auteurs is leerzaam, en eigenlijk ook zorgwekkend:
Even if somewhat expected, these results are quite striking. While male part-time workers dedicate even less time to unpaid work than male full-time workers (7.2 hours), women working part time appear to use the time saved to carry out unpaid work (volume of hours only taken into consideration, notwithstanding the voluntary character of part-time work, its impact on salary and career development, etc). On average, the unpaid work–paid work ratio is 150% for female part-time workers whereas it stands at 33% for male part-time workers.
Maar weer even terug naar het OECD rapport. Een grafiek toont daar het grote verschil in woon-werk verkeer:
De gemiddelde Nederlander zou dus ongeveer 50 minuten per dag besteden aan reistijd.
En voor een dichtbevolkt land hebben we relatief weinig korte reistijden. Maar zoals OECD zelf ook aangeeft zijn met name de files daar de oorzaak van.
In mijn geval, heb ik een enkele reis woon-kantoor verkeer van ongeveer 200km. Maar mijn won-werk verkeer is gemiddeld 0km. In de auto doe ik mijn voicemails en telefoongesprekken. In de trein mijn emails, en documenten. De OECD licht de mogelijkheden van “het nieuwe werken” eigenlijk niet toe in haar raport. Allee de klassieke “oplossingen” worden Nederland aangedragen:
In the long-term, infrastructure expansion could ease congestion problems. However, strict zoning and planning regulation make it difficult to find land and lengthy to obtain planning permission. Thus, to facilitate the expansion of the infrastructure, strict zoning and planning regulation should be eased. In the short-to-medium term, a more promising reform avenue is to improve the efficiency of infrastructure. Recognising this, a pioneering road pricing scheme covering (nearly) all vehicles and roads in the country has been presented to parliament. Under the scheme, users will pay for each kilometer driven plus potentially a surcharge in bottleneck areas. The government should pursue the implementation of the innovative and forward-looking road pricing system as it is a powerful instrument to reduce congestion and to pursue environmental objectives.
Er is wel een paragraaf met een interessant kopje:
Commuters should have more alternatives
Misschien is mijn interpretatie van de tekst die daarop volgt te beperkt, maar ik zie er weinig uitdaging en echt alternatief in:
In order to secure the maximum benefits from the road pricing scheme, it is important that commuters can adjust their travel. This can be achieved through the promotion of alternative working patterns and a more efficient provision and use of public transport. Currently, public transport is considered to be working at full capacity during rush hours. Hence, the supply of such services should be better aligned with changes in demand. This can be achieved by opening up more for competition and giving private providers of public transport greater possibilities to open new (bus) routes. To ensure that commuters take informed decisions, prices in public transportation should reflect the cost of provision and subsidies should be transparent and clearly defined, notably to reflect the positive externalities of having public transport.
Beide rapporten zijn wat mij betreft interessante “food for thought”. Een basis gedachte is in ieder geval, dat beleidsmakers hopelijk verder en breder nadenken over het nut en de achtergronden van deze statistieken in het licht van de mogelijkheden van Digitale Mobiliteit. In ieder geval zou een nieuw Europees Working Conditions Survey bij de vraagstellingen al rekening moeten houden met de mogelijkheden van Digitale Mobiliteit naast de Fysieke Mobiliteit…
Ik ga de nieuwe puppy even uitlaten, boodschappen doen en weer verder werken. :-)
In “andere tijden” van de cartografie schreef men “Here Be Dragons” in nog niet goed in kaart gebrachte gebieden. In meerdere opzichten geld die term nu ook nog voor het domein ‘interoperabiliteit’. Veel verhalen, veel meningen, veel inzichten. Een aantal ‘ontdekkingsreizigers’ doen verhaal van hun ervaringen en maken het soms dramatischer dan de werkelijkheid.
In de praktijk ervaren we als “digital native” dagelijks ‘ongemerkt’ vele vormen van uitwisseling van informatie en ervaren we ‘gemerkt’ soms een aantal drempels. Software applicaties kennen verschillende middelen om informatie uit te wisselen en interoperabiliteit te bieden. in hoofdlijnen zijn de belangrijkste drie:
- Application Programming Interface (API)
- Protocol
- Formaat
In een vereenvoudigde representatie zou je kunnen zeggen dat de ieder van deze drie middelen een eigen verbijzondering van interoperabiliteit kan bieden:
- API – functionele interoperabiliteit
- Protocol – transactionele interoperabiliteit
- Formaat – informatie interoperabiliteit
Via een API kan een applicatie van extra functionaliteit worden voorzien. Bijvoorbeeld functies die niet door de oorspronkelijke ontwikkelaar/uitgever zijn voorzien. Bekende voorbeelden zijn de APIs van Microsoft Windows en Microsoft Office. Succesvol toegepast door een zeer groot aantal ondernemingen en individuele ontwikkelaars voor eigen toepassingen en uitbreidingen.
Middels een protocol kunnen applicaties synchroon interactief informatie uitwisselen. Bekende voorbeelden zijn HTTP voor uitwisseling van informatie via internet ‘browsers’.
Formaten zijn in feite de representatie van informatie. Voor opslag en/of transport. Bekende voorbeelden zijn het binaire bestandsformaat voor Microsoft Office (de bekende: doc, xls, en ppt bestanden), en HTML voor world wide web pagina’s.
De broncode van een software applicatie kan ook de basis zijn voor het realiseren van interoperabiliteit. Maar de API, protocol en formaat middelen bieden een laagdrempeliger, goedkoper en beheersbaardere mogelijkheid voor interoperabiliteit. Interoperabiliteit via (of afhankelijk van) inzicht en het aanpassen van broncode is de meest kostbare vorm van interoperabiliteit. Je kunt je voorstellen hoe onpraktisch, tijdrovend en foutgevoelig het zou zijn om voor interoperabiliteit tussen web browsers afhankelijk te zijn van de broncode van die browsers.
Voor de API, protocol en formaat geldt een spectrum aan mogelijkheden voor het gebruik van deze middelen. Van volledig voorbehouden aan de eigenaar/ontwikkelaar van de software toepassing (gesloten), of volledig open en zelfs zonder beheer (“free”).
Daartussenin liggen voor interoperabiliteit de meest interessante opties. Voor de meeste API’s (interfaces), protocollen en formaten geldt dat ze gepubliceerd worden in een handleiding, of onder betaalde of gratis licentie worden aangeboden. Een aantal wordt gepubliceerd voor vrij gebruik door iedereen (open of vrije specificatie) zonder dat daar een licentie voor nodig is. En een aantal API’s, protocollen en formaten zijn “open standaard” waardoor er onafhankelijkheid is in de ontwikkeling.
Iedere kolom in het spectrum heeft eigen consequenties, voor- en nadelen. In de praktijk is het niet zo dat één kolom andere verdringt, ze vullen elkaar aan. De gebruiker, ontwikkelaar, en de bedenker van de interface, protocol of het formaat hebben keuzes en afwegingen te maken. Die afwegingen hebben te maken met factoren zoals beschikbaarheid, kwaliteit, functionaliteit, adoptie, gebruik, dynamiek van/in het domein en meer.
Broncode is duidelijk niet de eerste keuze voor het bereiken van interoperabiliteit. Maar broncode is wel in diverse opzichten relevant. Eén blik op dat onderwerp is wat men met de broncode zou willen kunnen. Wederom is daar keuze voor zowel de gebruiker, ontwikkelaar, en de bedenkers van de software toepassing.
Het spectrum voor broncode loopt hier van een behoefte tot het gebruik van het eindresultaat (de software applicatie zelf) tot en met een behoefte om de broncode te mogen aanpassen en door ontwikkelen naar eigen inzicht. Software applicaties die onder een ‘gebruiks recht’ worden aangeboden kunnen ook voorzien worden van een recht op ‘inzage’ of ‘verificatie’ van de broncode. Bij applicaties die onder een ‘hergebruiks recht’ worden aangeboden is het verifiëren en de inzage al mogelijk.
Het participeren in de ontwikkeling van de ‘originele’ broncode is niet per definitie “licentie” of model afhankelijk. Vormen van participatie in ontwikkeling kunnen ingericht worden onafhankelijk van de licentie die van toepassing wordt verklaard op de uiteindelijke code onder een software toepassing.
En let ook op dat voor het aanpassen van functionaliteit in een software toepassing, de eerder genoemde Application Programming Interfaces een “beheerste” manier vormen. Voor het uitbreiden, of aanpassen van functionaliteit in een toepassing is niet per definitie toegang tot de orginele broncode noodzakelijk. Software configuratie, opties en API’s zijn daar eveneens ‘beheersbare’ middelen voor.
DUS…
Waar ik over het algemeen een vrolijke dag van krijg zijn de discussies over gesloten software versus open software. Prima, leuk tijdverdrijf, maar in veel gevallen onderschat men de openheid van veronderstelde ‘gesloten software’ en de geslotenheid van veronderstelde ‘open software’. En het bovenstaande kan voor deskundigen lijken op een ‘over simplificatie’, maar dat gaat vele malen meer op voor veel de inhoud van veel van de ‘versus’ discussies.
Bovenstaande kreeg ik niet goed onder woorden binnen 140 tekens in een reactie op twitter, maar voel je vrij te interacteren :-)
twitter.com/hansbos
Meer posts
Volgende pagina »