RPA

Voor RPA geldt gedeeltelijk hetzelfde. Het bestaat eigenlijk ook al jaren. Je zou kunnen stellen dat batchfiles in de tijd van MS-DOS (ik leerde het meer dan 25 jaar geleden al kennen) een soort hetzelfde zijn.

Menig systeembeheerder heeft zijn werk al die jaren veel gemakkelijker gemaakt door het maken van een batchfiles, kleine bestandjes waarin één of meerdere opdrachten achter elkaar werden gezet.

Zo was het bijvoorbeeld mogelijk om met één commando:

• een bestandje op te halen van een andere computer; 
• deze aan het einde van een ander bestand te plakken;
• dit nieuwe bestand vervolgens een andere naam te geven; en
• deze in een bepaalde directory te zetten.

Normaal zou een systeembeheerder hiervoor meerdere opdrachten in moeten voeren (verbinding starten, inloggen met een gebruikersnaam en wachtwoord, bestandsnamen invoeren, kopieeropdrachten uitvoeren, etc.) maar dit alles kon nu met slechts één commando worden gestart.

Fijn hieraan was dat dit kon zonder dat je echt een computerprogramma hoefde te maken. Je maakte gewoon een tekst-bestandje met daarin de commando’s achter elkaar. Het was zelfs mogelijk om hierin voorwaardelijk acties te laten kiezen op basis van waardes. De zogenaamde ‘ALS-DAN’ routines (voorbeeld: IF %day%==Zondag THEN backup).

Hebben we systeembeheerders dan al jaren te veel betaald? Persoonlijk vind ik natuurlijk van niet ;-). Een systeembeheerder is geen systeembeheerder omdat hij een muisklik kan zetten, maar vooral omdat hij weet wáár hij op welk moment moet klikken. Bij Batchfiles is het vooral de truc om precies te weten welk commando je op welke manier kunt gebruiken en in welke volgorde je deze ‘gereedschappen’ gebruikt. Batchfiles bestaan overigens nog steeds en worden nog veel (door ICT-ers) gebruikt.

Hoe is RPA dan anders dan wat ICT-ers kunnen en doen?

Er zijn een aantal ontwikkelingen die ervoor zorgen dat ‘slim automatiseren’ voor steeds meer mensen beschikbaar komt.

Voorheen moest je alle nodige commando’s met hun mogelijkheden goed kennen om koppelingen te kunnen maken. Ook was het voor ingewikkeldere koppelingen nodig om een programmeertaal te kennen waarmee je vaak veel dieper (en op de achtergrond) in de gegevens van een programma kunt wroeten. Wanneer je bijvoorbeeld in een uren-pakket uren in wilt voeren, dan ga je binnen het programma naar het scherm om uren in te voeren, en daar klik je op de juiste vakjes en vul je de uren in. Vanuit een programmeertaal kun je de onderliggende database openen en opdrachten geven om direct gegevens op te zoeken of aan te passen. Een programmeertaal is dus in feite een gereedschap om een computer dingen te laten doen. Programmeertalen bestaan al sinds het ontstaan van computers. Die moesten immers geprogrammeerd worden. Het goed leren kennen van zo’n programmeertaal kost alleen maanden, zo niet jaren.

Gereedschap is handzamer

Een belangrijke ontwikkeling is dat het programmeren van een computer tegenwoordig niet meer altijd vereist dat je een complexe set met commando’s uit je hoofd moet leren. De ‘gereedschapsset’ om dit aan te sturen is uitgebreid met manieren om bijvoorbeeld gewoon op het scherm aan te wijzen welke informatie je wilt gebruiken.

Ook hoef je niet meer een complete programmeertaal te installeren, maar is het soms voldoende om een browser-plugin te installeren (zie bijvoorbeeld https://ui.vision).

Integratie is verbeterd

Wanneer je gegevens uit een applicatie wilt lezen, was je voorheen vaak beperkt om deze informatie rechtstreeks uit de database te moeten halen, wanneer dat überhaupt mogelijk was. Doordat technieken als Optical Character Recognition (OCR, tekstherkenning) verbeteren kun je soms ook gewoon toe met het uitlezen vanaf een scherm. De applicatie hoeft dan niet aangepast te worden, maar een bestaande applicatie kun je ‘uitlezen’ vanaf het scherm.

Deze twee ontwikkelingen maken RPA bereikbaar voor een veel grotere groep dan alleen ICT-ers. In feite kan iedereen (in theorie) betrekkelijk snel en eenvoudig processen automatiseren (of robotiseren zoals dat nu heet).

Voorbeelden van gebruik

Allereerst is het belangrijk om te zeggen dat het aantal mogelijkheden gigantisch is. In dit blog staan vast net niet die voorbeelden die op jou van toepassing zijn. Wellicht geeft het wel een beetje een beeld wat zou kunnen en triggert het om zelf na te denken over RPA.

Weersvoorspelling overnemen
Misschien begint voor jou als medewerker van een ijsfabriek de dag wel met het invoeren van de weersvoorspelling van de komende 5 dagen. Je gaat naar de website van buienradar, bladert naar de 5-daagse voorspelling en klopt de cijfers vanaf deze pagina over in een Excel-document (of in een ERP- of productieplannings-pakket). Dit zou RPA heel makkelijk voor jou over kunnen nemen.

Aanmaken van klanten of leveranciers in ERP pakket
Wanneer je gebruik maakt van bijvoorbeeld een workflow met een formulier voor nieuwe klanten, maar dit niet in jouw ERP-pakket zit, zul je de gegevens hierop wellicht moeten overtypen. Dit overtypen en aanmaken van een klant in het ERP-pakket zou typisch een taak kunnen zijn die RPA van jou overneemt.

Automatisch periodiek factureren
Wanneer jouw ERP-pakket geen automatische facturen ondersteunt, zou je RPA kunnen inzetten om periodiek geautomatiseerd facturen te laten versturen en deze ook direct in de boekhouding te plaatsen.

Kanttekeningen RPA

De ontwikkelingen gaan snel, maar dat betekent niet dat iedereen nu simpel en snel alle herhaalde werkzaamheden kan robotiseren/automatiseren en dat dit ook de beste oplossing is.

Ten eerste is het belangrijk om te beseffen dat RPA een prima manier is om tekortkomingen aan de huidige ICT-omgeving aan te pakken. Men kan zonder grote investeringen winst behalen door buiten de bestaande software om zaken te automatiseren. Dit is de kracht, maar ook gelijk de valkuil.

Wanneer je buiten de bestaande software om verbeteringen aanbrengt, wordt de omgeving meer ‘houtje-touwtje’ en worden verdere ontwikkelingen of verbeteringen wellicht minder snel gemaakt. Sterker nog, soms kunnen updates van software of internetpagina’s ervoor zorgen dat het gemaakte RPA-script niet meer goed werkt. Wanneer de RPA-robot (zo heet zo’n script) gegevens op een bepaalde plaats binnen de pagina of het programma verwacht, en dit is na de update verandert, dan werkt het script niet meer. Dit geldt ook voor lay-outs van facturen, etc. Je kunt dus RPA goed inzetten als overbrugging, maar kijk altijd of er mogelijkheden zijn om de systemen in basis te verbeteren.

Een andere kanttekening is dat procesoptimalisatie mogelijk geremd wordt. Een voorbeeld is de vraag die ik enige tijd geleden kreeg: “Kun je zorgen dat in een PDF die digitaal getekend wordt, automatisch op alle pagina’s een paraaf wordt gezet?”

Deze vraag was in het ‘papieren’ tijdperk een zinvolle omdat de paraaf daar op alle pagina’s waarde heeft. Zo is aan te tonen dat de desbetreffende pagina onderdeel was van de overeenkomst die getekend is. Bij digitaal tekenen wordt een PDF als geheel getekend, en is het uithalen of wijzigen van tussenliggende pagina’s niet mogelijk zonder de digitale handtekening ongeldig te maken. Denk dus bij het in kaart brengen van het proces om te verbeteren na, of het proces zelf nog wel optimaal is.

Robots zijn erg zwart-wit. RPA is dus als systeem geschikt wanneer eventuele keuzes of beslissingen zwart-wit zijn. Wanneer er uitzonderingssituaties zijn en zeker wanneer hierbij zaken ‘op gevoel’ spelen, dan kun je deze (vrijwel) niet automatiseren.
Neem een voorbeeld van een klant die te laat betaalt, en waarbij je ‘geautomatiseerd’ een herinnering stuurt. RPA zal geen rekening houden met die bijzondere privésituatie waar de klant in zit en klakkeloos een herinnering sturen.

Zoals met alle automatiseringsslagen kan RPA bepaalde werkzaamheden overbodig maken waardoor functies veranderen of zelfs vervallen. Door het vervallen van eenvoudigere en herhaalde werkzaamheden kunnen medewerkers (die daartoe in staat zijn) wel meer tijd besteden aan complexere en afwisselendere werkzaamheden.

RPA vereist daarnaast dat er personeel is om de ‘robots’ in te richten, te beheren en waar nodig aan te passen. RPA is voor de niet-ICT-er een vrij nieuwe ontwikkeling, dus het is lastig om mensen te vinden die hier jaren ervaring mee hebben. Het is dus al snel nodig om externen in te huren om de eerste resultaten te bereiken en medewerkers op te leiden of om te scholen.

Wanneer een medewerker iets fout doet, dan ziet men dat (als het meezit;-)), stopt men en bedenkt men een andere manier om verder te gaan. Een RPA-script (of robot) zal 24×7 exact zijn fout blijven herhalen. Wanneer je een uitzondering niet goed in kaart hebt, dan loop je dus het risico dat fouten in basis ongezien blijven.

Als laatste gaat het bij implementatie van RPA om veranderingen binnen een organisatie. Dit soort wijzigingen hebben de neiging om niet succesvol te zijn wanneer de medewerkers die erdoor geraakt worden niet volledig achter de wijzigingen staan. Het is dus belangrijk dat deze medewerkers betrokken zijn bij het proces en beseffen dat de veranderingen het doel hebben om hen te helpen.

Al met al best wat kanttekeningen, maar laat dit vooral geen belemmering zijn om te kijken of RPA kan helpen jouw organisatie te verbeteren.

Wil je eenvoudig RPA aan het werk zien?

Wanneer je in 10 minuten wilt zien hoe RPA er ‘in het echt’ uitziet, kun je het volgende filmpje kijken; https://youtu.be/gTwQ1GGw1sc. Hierin is te zien hoe eenvoudig het kan zijn om de eerste stappen te zetten. Er wordt een extensie voor een browser geïnstalleerd (ui.vision) en geautomatiseerd gegevens van een internetpagina gelezen.

Publicatiedatum: 20-05-2021

Waar begint het mee?

Net als bij een huis begint het bij goede muren en een waterdicht dak. Hiervoor zorgt een firewall en goed beveiligd netwerk. Vanuit beveiligingsoogpunt is de deur een potentieel gevaarlijke plaats. Een zwakke plek in de beveiliging. Bij een ICT-netwerk is dat vergelijkbaar met het inlogscherm wat toegang geeft tot de achterliggende systemen. Voor alle toegang tot gevoelige zaken geldt dat het begint met het juist identificeren wie men tegenover zich heeft. Vele jaren was een gebruikersnaam met ter controle een wachtwoord het geëigende middel. Wanneer Geert zich meldt met gkoster en wachtwoord e-niro78 kon het systeem ervan uitgaan dat Geert achter het toetsenbord zat en kreeg hij dus toegang tot de gegevens waar hij bij kon. Probleem is echter dat de hier genoemde Geert niet zo heel creatief was, en mensen die hem kenden met een aantal pogingen wellicht zijn wachtwoord konden raden. Wachtwoorden worden tegenwoordig gezien als een zwakke beveiliging.  Het ‘iets-wat-je-weet’-principe is niet meer voldoende.

Nieuwe technieken zoals gezichtsherkenning, tijd veranderende toegangscodes en vingerafdrukken worden tegenwoordig ook veel gebruikt in beveiliging. Dus een ‘iets-wat-je-hebt’ in combinatie met ‘iets-wat-je-weet’. Soms wordt het ‘iets-wat-je-hebt’-principe zelfs leidend. Telefoons worden ge-unlocked met alleen een vingerafdruk of gezichtsscan. Het ingewikkelde van de ‘iets-wat-je-hebt’-gedachte is echter dat als jij het hebt, iemand anders het wellicht ook kan hebben, of te pakken kan krijgen. Of men kan doen of men het heeft. Neem bijvoorbeeld een e-mailadres. Wanneer jij een e-mail van jouwkennis@hetnet.nl krijgt, ga je er wellicht van uit dat deze mail van jouw kennis komt. Of dat whatsappje wat je krijgt van jouw zoon, dochter, vader of moeder die geld nodig heeft. Gelukkig kun je dan altijd nog bellen om te verifiëren of de stem van jouw zoon of dochter wel te horen is (bekijk het artikel van Blik op nieuws inzake WhatsApp-fraude).
Blijkbaar kun je dus ook al niet meer uitgaan van de vertrouwde stem van iemand die jij kent. Met de opkomst van deep fake technieken komt er een nieuwe bedreiging: zie dit artikel van The Verge. Wanneer jij iemand die je kent hoort vragen om informatie (of zelfs ziet), wie ben jij dan om dit te wantrouwen?

Naast het feit dat je de kans op misleiding kunt verkleinen door bij twijfel de ander te bellen, kun je ook hier eventueel terugvallen op ‘iets-wat-je-weet’. Stel de ander vragen waarvan de kans klein is dat anderen die weten. Dingen die in-persoon een keer zijn besproken of op een andere manier niet door anderen op te zoeken. En dan komen we dus weer terug bij het aloude principe van wachtwoorden…

Een heel veilig wachtwoord wat niet bij anderen bekend is, is in theorie een hele goede bescherming.

Probleem is alleen dat de meeste wachtwoorden niet veilig zijn. Een wachtwoord moet namelijk in een systeem worden opgeslagen om later te controleren of het wachtwoord juist is ingevoerd. Voor de veiligheid worden wachtwoorden over het algemeen niet leesbaar opgeslagen, maar worden ze versleuteld op een manier die niet omgekeerd kan worden. De enige manier om een wachtwoord te controleren is deze opnieuw versleutelen en controleren of de uitkomst overeen komt.

Wel kun je natuurlijk de wachtwoorden en de versleutelde wachtwoorden in een database opslaan. Dit heeft men op de website Hashes.org gedaan. Daar staat een mooie te downloaden database met meer dan 3,5 miljard ‘gekraakte’ wachtwoorden. Wanneer iemand dus een versleutelde wachtwoordenlijst van een computersysteem weet te downloaden (zoals jaarlijks helaas bij vele grote websites gebeurt) kan men dan eenvoudig het originele wachtwoord vinden.

Het is dus de bedoeling dat een wachtwoord niet uit bestaande woorden bestaat. Om dat te voorkomen kennen veel systemen de mogelijkheid om ‘wachtwoordcomplexiteit’ in te schakelen. Men moet dan minimaal een hoofdletter, kleine letter, cijfer en als het tegenzit ook nog een speciaal teken invoeren.

Met uitzondering van een beperkte groep creatieve geesten blijkt men in de praktijk vaak terug te vallen op een paar standaard  ‘complexiteiten’:

• Vervang een paar letters door cijfers :  Passw0rd   (e door 3, i door 1, etc.)
• Voeg één of twee cijfers toe : Passw0rd1
• Vervang een letter door een speciaal teken : P@ssw0rd1
• Voeg eventueel nog een uitroepteken toe : P@ssw0rd1!

Veilig!! (zou je misschien zeggen)… Helaas. Zoals hieronder te zien is, is dit wachtwoord ook al te vinden in de database.

Deze ‘bekende’ trucjes worden door hackers natuurlijk allemaal gebruikt. Ze hebben de bestaande woorden versleuteld, en gaan daarna verder door op alle woorden de bekende trucjes uit te voeren. Er moet dus voorkomen worden dat bekende woorden of combinaties (eventueel misvormd door de bekende trucjes) gebruikt worden.

Minstens net zo belangrijk is het echter dat een wachtwoord lang genoeg is. In het stukje ‘let’s crunch the numbers hieronder maak ik inzichtelijk dat een wachtwoord van 8 karakters bestaande uit hoofdletters, kleine letters, cijfers en speciale tekens in een fractie van seconden gehacked zou kunnen worden. Een wachtwoord van 20 tekens, alleen bestaande uit kleine en hoofdletters (dus zonder complexiteit) zou met dezelfde machine meer dan 2 miljard jaar kosten. Size does matter!

Een veilig en toch goed te onthouden wachtwoord bestaat uit meerdere niet-samenhangende woorden of een variatie daarop, en heeft een lengte van minimaal 15 tekens. Wanneer jouw wachtwoord hieraan voldoet, dan heb je een hele goede eerste drempel opgeworpen. Een wachtzin als ‘visslagroomcake:)’ zou bijvoorbeeld veilig kunnen zijn, en toch goed te onthouden. Een ‘Dorpeltuinplaats-trap’ is net zo onlogisch en dus ook veilig.

Hoe maak ik dit werkbaar binnen mijn organisatie?

Voor een deel is het een kwestie van ruilen. Mensen hoeven niet meer een complex wachtwoord te gebruiken wanneer ze een lang (en onbekend) wachtwoord gebruiken. En wat is dan lang? Tegenwoordig roep ik dat men eigenlijk een wachtwoord van minimaal 15 tekens zou moeten gebruiken. In feite heb je het dan over een wachtzin, waarbij een paar onsamenhangende woorden een prima combinatie zijn.

Om te voorkomen dat men per dag vaak het langere wachtwoord in moeten voeren is het aan te raden om gebruik te maken van Single Sign On (SSO). Hierbij meldt de medewerker zich éénmaal aan in de ochtend met zijn ‘lange’ wachtwoord en is het openen van een ander systeem enkel ‘doorklikken’. Wanneer men zuinig is op zijn wachtwoord (dus niet deelt of opschrijft) dan lijkt een langere geldigheid (bijvoorbeeld van een half jaar) ook acceptabel. Door gebruik te maken van password-auditor-software (zoals bijvoorbeeld Specops) kunnen wachtwoorden getoetst worden op bijvoorbeeld voorkomen in woordenlijsten en opvolgende toetsen op het toetsenbord (qwert).

Uiteraard blijft de combinatie van ‘iets wat je weet’ (wachtwoord) en ‘iets wat je hebt’ (telefoon, SMS, etc.) ook een ijzersterke combinatie. Aangezien hier tegenwoordig ook goede en betaalbare varianten voor te krijgen zijn, is er eigenlijk geen reden om dit niet in te stellen. Om terug te komen op de vraag C0mPl3x of n13t? Doe maar niet. Ga liever voor lengte…

Let’s crunch the numbers

Ik werk bij een accountantskantoor dus een stukje met cijfers kan natuurlijk niet ontbreken. Hieronder de berekening waarom een lang wachtwoord beter is:

Zoals al beschreven kan een computer dus brute-force wachtwoorden versleutelen door alle combinaties van karakters te proberen. Daar wordt hij niet moe van en hij zeurt ook niet. Is dan geen enkel wachtwoord veilig? Gelukkig wel. Een computer zal middels brute force alle mogelijkheden moeten proberen. En dat voor alle karakters:

• 26 kleine letters  (a-z)
• 26 hoofdletter (A-Z)
• 10 cijfers (0-9)
• 25 Symbolen: (spatie) ! ” # $ % & ‘ ( ) * + , – . / : ; < = > ? @ [ \ ]

Dat geeft al 87 tekens. De wiskundige formule om het aantal mogelijkheden te berekenen is dan:

87^[lengte] (87 tot de macht [lengte])
Dus een wachtwoord van 1 teken = 87^1 = 87 mogelijkheden
Een wachtwoord van 2 tekens is 87^2 = 7569 mogelijkheden (87×87)
Een wachtwoord van 3 tekens is 87^3 = 658.603 mogelijkheden (87x87x87)
Een wachtwoord van 4 tekens is 87^4 = 57.289.761 mogelijkheden (87x87x87x87)
Een wachtwoord van 5 tekens is 87^5 = 4.984.209.207 mogelijkheden (etc…)
…
Een wachtwoord van 10 tekens is 87^10 = 24.842.341.419.143.568.849 mogelijkheden.

Je ziet dat het aantal enorm hard groeit met ieder karakter dat een wachtwoord langer wordt. Om die reden geldt voor wachtwoorden eigenlijk altijd de volgende regel:

Langer = Beter

Let wel op! De kans dat bekende woorden en zinnetjes al versleuteld zijn is natuurlijk heel groot. ‘Automatiseringafdeling’ is een lang woord, maar ook bekend, net als ‘Hastalavistababy’ en daarmee met het oog op de wachtwoordlijsten dus niet veilig. Dat brengt de tweede belangrijke regel voor wachtwoorden:

Onbekender = Beter

Een lang onbekend wachtwoord is dus veilig. Om het voor jezelf eenvoudig te maken om te onthouden kun je een combinatie van niet-bij-elkaar horende woorden gebruiken. Een wachtwoord als ‘visslagroomcake:)’ is lang (17 tekens) en niet logisch en dus een veilig wachtwoord. Daarnaast is het nog betrekkelijk eenvoudig om te onthouden. Mocht je helemaal onvoorspelbaar willen zijn, dan kun je van een zin alle eerste of eerste twee letters pakken. Van de zin ‘Ik heb een hekel aan het bedenken van lange wachtwoorden’ kun je zo ‘Iheeeheaahebevalawa’ maken. Mooi lang en mega-onbekend. Geen complexiteit, maar dat is in deze gevallen absoluut niet nodig. Ook zonder complexiteit (alleen hoofd- en kleine letters) is het voor de snelste supercomputer een bijna onmogelijke taak om dit wachtwoord te kraken.

Het systeem doet er bij een wachtwoord van 20 tekens met alleen hoofd- en kleine letters middels brute force ongeveer 2.319.147.174 jaar over:
(5220/200.000.000.000.000.000)/60/60/24/365,25  *0,7  (het wachtwoord begint met een hoofletter I, dus voor de 37e letter (a-z en dan A-J)  is heeft het systeem het wachtwoord geraden) Hierbij ben ik er voor het gemak even van uitgegaan dat een wachtwoord in één stap berekend is, terwijl hier in de praktijk meerdere berekeningen voor nodig zijn.

In vergelijking; Een wachtwoord van 8 tekens MET speciale tekens en cijfers is met dezelfde berekening in slechts 12 milliseconden al berekend. Size does matter…

Publicatiedatum: 15-01-2021

RPA

Voor RPA geldt gedeeltelijk hetzelfde. Het bestaat eigenlijk ook al jaren. Je zou kunnen stellen dat batchfiles in de tijd van MS-DOS (ik leerde het meer dan 25 jaar geleden al kennen) een soort hetzelfde zijn.

Menig systeembeheerder heeft zijn werk al die jaren veel gemakkelijker gemaakt door het maken van een batchfiles, kleine bestandjes waarin één of meerdere opdrachten achter elkaar werden gezet.

Zo was het bijvoorbeeld mogelijk om met één commando:

• een bestandje op te halen van een andere computer; 
• deze aan het einde van een ander bestand te plakken;
• dit nieuwe bestand vervolgens een andere naam te geven; en
• deze in een bepaalde directory te zetten.

Normaal zou een systeembeheerder hiervoor meerdere opdrachten in moeten voeren (verbinding starten, inloggen met een gebruikersnaam en wachtwoord, bestandsnamen invoeren, kopieeropdrachten uitvoeren, etc.) maar dit alles kon nu met slechts één commando worden gestart.

Fijn hieraan was dat dit kon zonder dat je echt een computerprogramma hoefde te maken. Je maakte gewoon een tekst-bestandje met daarin de commando’s achter elkaar. Het was zelfs mogelijk om hierin voorwaardelijk acties te laten kiezen op basis van waardes. De zogenaamde ‘ALS-DAN’ routines (voorbeeld: IF %day%==Zondag THEN backup).

Hebben we systeembeheerders dan al jaren te veel betaald? Persoonlijk vind ik natuurlijk van niet ;-). Een systeembeheerder is geen systeembeheerder omdat hij een muisklik kan zetten, maar vooral omdat hij weet wáár hij op welk moment moet klikken. Bij Batchfiles is het vooral de truc om precies te weten welk commando je op welke manier kunt gebruiken en in welke volgorde je deze ‘gereedschappen’ gebruikt. Batchfiles bestaan overigens nog steeds en worden nog veel (door ICT-ers) gebruikt.

Systemen up-to-date

Zorg er daarnaast voor dat alle systemen up-to-date zijn. Dit betekent bijvoorbeeld dat van het besturingssysteem op gebruikte computers en laptops alle updates zijn geïnstalleerd. Dit geldt ook voor updates op firewalls en op andere apparatuur die voor thuiswerken wordt gebruikt.

Zorg ervoor dat ook op thuiswerksystemen een bijgewerkte virusscanner draait. Deze draait uiteraard naast de beveiligingssystemen op de ICT-omgeving van kantoor of cloud. Wees je ervan bewust dat niet alle virusscanners even betrouwbaar zijn en de kans is reëel dat men voor thuis geen of een gratis virusscanner gebruikt. Er zijn geluiden die aangeven dat deze niet altijd een passende functionaliteit hebben, neem bijvoorbeeld dit artikel van de Consumentenbond. Gratis virusscanners kennen wel de functionaliteit om een scan te doen op een computer. Vaak ontbreekt wel de functionaliteit om op de achtergrond een infectie te voorkomen. Gratis is dus vaak meer ‘passief’ dan ‘actief’.

Soms is het mogelijk om in een VPN-systeem aan te geven dat de computer die verbinding maakt alleen mag verbinden zolang updates en een goede virusscanner zijn geïnstalleerd. Het kan een overweging zijn om dit in te schakelen.

Een alternatief is om thuisgebruikers een virusscannerlicentie op kosten van (en naar keuze van) het bedrijf aan te bieden.

Over videobellen, videovergaderen en veiligheid

Een andere ontwikkeling die in de Corona-crisis een vlucht heeft genomen is videobellen en videovergaderen. Deze manier van communiceren wordt door velen als persoonlijk ervaren en ook non-verbale communicatie komt beter over. Het is daarnaast mogelijk om het scherm of bestanden te delen waardoor je nog eenvoudiger communiceert.
Aan deze nieuwe manier van communiceren zitten echter ook wat risico’s.

Zorg ervoor dat je de nieuwste versie van videobel-software gebruikt. Met regelmaat worden zwakke plekken in software ontdekt. Deze worden in nieuwere versies vaak opgelost.

Let op dat videogesprekken opgenomen kunnen worden. Zo is het in bijvoorbeeld Zoom mogelijk om het gesprek en de chats op te nemen. Ook is het op andere manieren natuurlijk mogelijk om een videogesprek op te nemen. De meest eenvoudige is om (buiten beeld) met een telefoon of camera gesprekken op te nemen. Een videogesprek is dus niet geschikt voor alle soorten overleg.

Zorg ervoor dat onbevoegden niet zomaar in videogesprekken kunnen inbreken. Hiervoor zijn een aantal mogelijkheden;

• Maak voor een bijeenkomst altijd een nieuwe link. Soms is het mogelijk om een vergaderlink meerdere keren te gebruiken. Dit wordt niet aangeraden.
• Kies geen ‘raadbare’ namen voor een vergaderlink. In een aantal gevallen is het mogelijk om zelf de naam van een vergaderlink te bepalen. Het is niet verstandig om hier zelf een ‘raadbare’ naam voor te kiezen. Het kan in een aantal gevallen voor anderen dan mogelijk zijn om de vergadering in te komen.
• Deel een vergaderlink niet openbaar, maar verstuur deze persoonlijk aan degenen die uitgenodigd worden. Regelmatig is een vergaderlink alléén al voldoende om een bijeenkomst binnen te komen. Deel deze niet en kijk uit met bijvoorbeeld screenshots of foto’s die je deelt omdat hier mogelijk de link op staat.
• Gebruik altijd een wachtwoord of pincode om toegang tot een vergadering te beveiligen. Hier staat veiligheid haaks op gemak, maar de kleine moeite om een wachtwoord in te voeren staat niet in verhouding tot een onbevoegde die toegang krijgt tot een vergadering. Het is niet altijd nodig om het wachtwoord weer in te voegen wanneer gebruik wordt gemaakt van een vergaderlink.
• Maak waar mogelijk gebruik van een ‘wachtkamer’ waar men voor de meeting in terecht komt. Het is vervolgens nodig om de bezoeker vanuit de wachtruimte toe te laten tot de vergadering. Het is op die manier dus mogelijk om de toegang door onbevoegden te beperken.
• Sluit de toegang tot een vergadering af nadat deze is begonnen. Het is in sommige gevallen mogelijk om toegang tot een vergadering af te sluiten. Door dit na bijvoorbeeld 10 minuten te doen wordt voorkomen dat daarna nog (on)bevoegden toegang krijgen. Dit kan gelijk voor medewerkers een stok achter de deur zijn om tijdig aan te sluiten.

Ook tijdens een vergadering zijn er een aantal maatregelen die genomen kunnen worden om de kans op misbruik of ongewenste activiteiten te beperken.

• Schakel scherm delen uit voor degenen die geen scherm hoeven te delen.
• Wees voorzichtig met het accepteren van bestanden via chat of bestandsdelen. Het is mogelijk om op die manier virussen te delen. Accepteer dus alleen een bestand wanneer de afzender en inhoud ervan helemaal bekend zijn.

Gebruik waar mogelijk een betaalde versie. Soms wordt door leveranciers een ‘gratis’ videoconferentieplatform aangeboden. Over het algemeen geldt dat ‘gratis’ niet bestaat en dat de gegevens van de gebruiker mogelijk verhandeld worden. Door een betaalde versie te gebruiken worden de risico’s hierop verkleind.

Gebruik – wanneer je moet registreren – een nieuw wachtwoord wat niet lijkt op andere wachtwoorden die je gebruikt. Mochten jouw gegevens lekken, dan kunnen de hackers jouw gegevens niet gebruiken om andere systemen in te komen. Gebruik waar mogelijk een wachtwoordkluis om complexe wachtwoorden te genereren en op te slaan.

Gemak versus Veiligheid

Zoals al eerder beschreven, zie mijn blog over databescherming, geldt ook hier dat gemak vaak haaks staat op veiligheid. Een aantal van bovenstaande maatregelen gaan ten koste van het gemak, maar leiden zeker tot extra veiligheid. Maak altijd de juiste afweging tussen deze twee.

Publicatiedatum: 29-05-2020

Prognose met verschillende scenario’s

Drie weken vooruitkijken, zoals het kabinet doet, is best kort voor een ondernemer. Als je de koers wilt aanpassen en bijvoorbeeld extra financiering nodig hebt, zul je iets verder vooruit moeten kijken. Maak dus een goede prognose (resultaat- en balansprognose) en baseer je beleid hierop.

Het is ook sterk om een aantal varianten te maken. Bijvoorbeeld volledige sluiting tot eind mei, 20% omzetverlies en gelijkblijvende kosten etc. Op die manier kun je als kapitein vooruitkijken en met een gerust gevoel de koers bepalen voor de (nabije) toekomst.

Aandacht voor liquiditeit

Een prognose wordt vaak resultaatgericht opgesteld. Wat wordt de winst dit jaar en varen we nog op koers in relatie tot de prognose? Op het moment dat het echt mis gaat, in het geval van een faillissement bijvoorbeeld, ligt dat primair vaak niet aan een slecht resultaat maar aan het feit dat het geld op is!

Dus naast een prognose van resultaat en balansposities is ook een liquiditeitsprognose voor sommige ondernemingen nu van essentieel belang. Op het moment dat je een rekening verstuurt is dat vandaag omzet, maar het is belangrijker om te weten wanneer het geld binnen gaat komen…

Maak dus (hoe eenvoudig en simpel ook) een liquiditeitsprognose, houd hierbij ook weer rekening met verschillende scenario’s. Wij hebben de beschikking over diverse mogelijkheden, simpel en uitgebreid, en helpen hierbij graag.

Tot slot, de overheid heeft een uitgebreid steunpakket aan maatregelen opgezet. Dit pakket is ook nog wekelijks aan wijzigingen onderhevig. Een overzicht van de diverse steunmaatregelen vind je op onze website. Onze collega’s helpen je er ook graag mee in deze bijzondere tijd.

Publicatiedatum: 24-04-2020

“Ik heb hier een USB-stick van de klant gekregen. Kan ik deze gewoon in mijn computer stoppen?”

USB-sticks zijn een erg goed voorbeeld van gemak. Via een USB-stick kun je snel gegevens overzetten. Om dit mogelijk te maken worden verschillende USB-apparaten standaard door een computer vertrouwd. Hiermee vormen ze automatisch een risico.
Een USB-stick kan naast bestanden ook een computervirus bevatten die door de computer vanzelf wordt opgestart. Daarnaast kan een USB-stick zich voordoen als een toetsenbord waarop nagedaan wordt dat een hacker razendsnel en foutloos dié commando’s intikt die nodig zijn om de beveiliging van een computer te kraken.
Als het dus meezit begint jouw ICT-er over de maatregelen die zijn genomen om te voorkomen dat de omgeving middels een gevaarlijke USB-stick gehackt wordt. De beste maatregel is natuurlijk de toegang tot USB helemaal uit te schakelen. Hiermee wordt ook het risico op verlies van een USB-stick met daarop gevoelige gegevens verkleind. Bij BonsenReuling wordt er bijvoorbeeld gestuurd op het gebruik van BRTransfer, een online bestandskluis die vanaf zowel de klant, als vanuit BonsenReuling benaderbaar is.

Hoe maak ik dit werkbaar binnen mijn organisatie?

Voor een deel is het een kwestie van ruilen. Mensen hoeven niet meer een complex wachtwoord te gebruiken wanneer ze een lang (en onbekend) wachtwoord gebruiken. En wat is dan lang? Tegenwoordig roep ik dat men eigenlijk een wachtwoord van minimaal 15 tekens zou moeten gebruiken. In feite heb je het dan over een wachtzin, waarbij een paar onsamenhangende woorden een prima combinatie zijn.

Om te voorkomen dat men per dag vaak het langere wachtwoord in moeten voeren is het aan te raden om gebruik te maken van Single Sign On (SSO). Hierbij meldt de medewerker zich éénmaal aan in de ochtend met zijn ‘lange’ wachtwoord en is het openen van een ander systeem enkel ‘doorklikken’. Wanneer men zuinig is op zijn wachtwoord (dus niet deelt of opschrijft) dan lijkt een langere geldigheid (bijvoorbeeld van een half jaar) ook acceptabel. Door gebruik te maken van password-auditor-software (zoals bijvoorbeeld Specops) kunnen wachtwoorden getoetst worden op bijvoorbeeld voorkomen in woordenlijsten en opvolgende toetsen op het toetsenbord (qwert).

Uiteraard blijft de combinatie van ‘iets wat je weet’ (wachtwoord) en ‘iets wat je hebt’ (telefoon, SMS, etc.) ook een ijzersterke combinatie. Aangezien hier tegenwoordig ook goede en betaalbare varianten voor te krijgen zijn, is er eigenlijk geen reden om dit niet in te stellen. Om terug te komen op de vraag C0mPl3x of n13t? Doe maar niet. Ga liever voor lengte…

“Stel dat hier brand uitbreekt, hoe lang duurt het dan voor we weer operationeel zijn?”

Bij deze vraag is het natuurlijk relevant hoeveel systemen ‘on premise’ (ofwel binnen het gebouw zelf) draaien. Indien een organisatie uit meerdere vestigingen of locaties bestaat, dan kan gekozen worden om op een andere locatie (die bij een flinke brand niet getroffen kan worden) een back-up of kopie van de omgeving te hebben. Als jouw ICT-er hier al over heeft nagedacht, vraag dan ook of de gegevens op deze omgeving versleuteld zijn zodat deze bij diefstal niet voor onbevoegden beschikbaar zijn.
Bij organisaties die veel systemen ‘in de cloud’ hebben draaien is de kans op snel herstel veel groter omdat dan de systemen bijvoorbeeld van thuis of een andere locatie ook beschikbaar zijn.

“Zit onze WiFi rechtstreeks op het kantoornetwerk?”

Veel organisaties maken gebruik van een WiFi-netwerk. Vanuit security-oogpunt is WiFi een risico. Het signaal houdt namelijk niet op bij de muren van het gebouw en het protocol van WiFi bevat zwakheden. Men kan buiten jouw kantoorpand dus gebruik proberen te maken van de zwakheden van het protocol en toegang krijgen tot jouw omgeving. Zeker als je gebruik maakt van een vast wachtwoord, waardoor bijvoorbeeld voormalige medewerkers het wachtwoord kunnen weten.

Het is dus aan te raden om een WiFi-verbinding te behandelen alsof deze verbinding ‘voor iedereen’ te gebruiken is en deze dus niet rechtstreeks aan jouw IT-omgeving te koppelen. Sluit WiFi dus op een aparte internetlijn direct naar buiten aan, en laat gebruikers via bijvoorbeeld VPN verbinding maken met het kantoornetwerk. Voor barcodescanners kun je vast een aparte firewall-regel aanmaken waarmee de scanners alleen met de benodigde toegang (poort) naar de juiste server kunnen.

“Voor hoeverre is mijn ICT-omgeving gedocumenteerd?”

Documentatie van een omgeving heeft meerdere doelen. Het eerste doel is het beheersbaar houden van de omgeving. Dit is direct in aansluiting met de vorige vraag. Welke documentatie is beschikbaar als de omgeving onverwijld door een andere persoon beheerd moet worden. Dit kunnen ook procedures zijn die moeten worden gevolgd om bepaalde handelingen uit te voeren.
Een ander doel is het kunnen oplossen van complexe storingen waarbij derden nodig zijn. Het is voor een buitenstaander niet goed mogelijk om mee te denken over een storing als de omgeving niet bekend is. In het meest extreme geval zal een omgeving opnieuw moeten worden opgebouwd. Hierbij kan een goede documentatie ook een belangrijke rol spelen.
In de tussentijd heb ik al veel ICT-ers gesproken. Op de één of andere manier lijkt de liefde voor het documenteren niet in het gemiddelde DNA van een ICT-er te zitten. De kans dat de omgeving dus slecht of niet gedocumenteerd is, is dus vrij groot. Daarnaast wil je als ondernemer ook niet onnodig veel geld uitgeven aan het compleet documenteren van een omgeving als blijkt dat dit in de praktijk maar zelden écht nodig lijkt. Zeker niet omdat documentatie van een omgeving bij iedere wijziging ook moet worden bijgehouden, wat dan ook weer tijd kost.

Het is goed om te beginnen met:

• documenteren van afwijkingen en bijzonderheden in de omgeving
• documenteren van de reactie van de organisatie op calamiteiten (wie moet wat, wanneer doen) waaronder bijvoorbeeld;
  • virusaanval;
  • ransomwareaanval (gijzeling van ICT-omgeving);
  • diefstal/lekken van gegevens (bijv. verloren of gestolen laptop, USB-sticks, etc.);
  • brand of overstroming;
  • etc.

“Worden bij medewerkers rechten ingetrokken wanneer deze niet meer nodig zijn?”

Deze vraag wordt bij veel organisaties met ‘nee’ beantwoord. Dat is niet gek. Wanneer iemand bijvoorbeeld een nieuwe functie krijgt, dan kan iemand met extra rechten zijn nieuwe functie soms niet goed uitvoeren. Het is daarentegen erg onwaarschijnlijk dat iemand te veel rechten heeft voor zijn nieuwe functie. Hierdoor kan de gewenste scheiding van taken binnen een organisatie onder druk komen te staan. Ook is de kans groot dat het te veel aan rechten binnen de organisatie steeds verder groeit doordat men voor nieuwe medewerkers om ‘dezelfde rechten als die-en-die’ vraagt.
Een oplossing kan zijn om te werken met functieprofielen waarbij rechten nooit direct aan een persoon worden gegeven, maar worden uitgedeeld op basis van rollen en functies. Het valt dan veel meer op als een medewerker zijn ‘oude’ functie nog zou behouden.

“Hoe is toegang geregeld voor een (tijdelijke) externe medewerker?”

De accountant komt langs. Of een softwareleverancier. Of een externe beheerder…. Natuurlijk moet die bij gegevens op jouw omgeving. Wat is dan de beste oplossing? Wanneer een externe met regelmaat op bezoek komt, kan het verstandig zijn om hiervoor een apart account te maken. Zo is herleidbaar wat deze persoon heeft gedaan. Een alternatief is een apart extern account wat beperkte rechten heeft en wat alleen ingeschakeld wordt wanneer het account nodig is.
Een softwareleverancier kan het beste onder begeleiding van jouw ICT-er de installatie doen zodat deze gelijk kans heeft om te zien wat de leverancier precies doet.

“Wanneer is onze ICT-omgeving voor het laatst door een externe beoordeeld?”

In analogie met de accountancy is een interessante vraag natuurlijk wanneer de ICT-omgeving voor het laatste door een externe is beoordeeld en van terugkoppeling voorzien.
Heel wat bedrijven stellen zelf hun jaarrekening op, net zoals veel bedrijven hun ICT-omgeving zelf beheren. Een aantal bedrijven (degene die aan bepaalde eisen voldoen) zijn wettelijk verplicht om de jaarrekening te laten controleren door een accountant. Op diezelfde manier zijn bijvoorbeeld organisaties  in de zorg verplicht om te voldoen aan de NEN7510, een certificering voor de betrouwbaarheid van ICT-systemen.
Net zoals er een grote groep bedrijven, die niet controleplichtig is, is de kans groot dat jouw organisatie niet verplicht is om een certificaat voor informatiebeveiliging te hebben. Aan de andere kant moet je wel voldoen aan adequate digitale beveiliging.
Om die reden kan het geen kwaad om af en toe met een externe partij te overleggen over de wijze waarop jouw ICT-omgeving is ingericht. Mogelijk kunnen afspraken gemaakt worden over het ‘doormeten’ van jouw omgeving met speciale software.

Publicatiedatum: 30-01-2020

Waar gaat het vaak mis?

Informatiebeveiliging richt zich op de 3 basisvereisten van een betrouwbaar ICT-systeem:

• Beschikbaarheid (informatie is beschikbaar als het nodig is)
• Integriteit (informatie is juist)
• Vertrouwelijkheid (informatie is alleen beschikbaar voor bevoegden)

In het geval van een datalek is er sprake van een incident m.b.t. de vertrouwelijkheid.

Op dit punt komen we een nare tegenstelling tegen die bij informatiebeveiliging vaak om de hoek komt kijken. Het afschermen van gegevens betekent namelijk vaak dat de toegang bemoeilijkt wordt door extra veiligheidsmaatregelen. Denk aan inloggen met aparte software, complexe wachtwoorden of tokens met wisselende codes, et cetera. Goede beveiliging staat dus regelmatig haaks op gemak.

Datalekken komen soms voort uit de focus op het ‘gemakkelijk’ kunnen delen van informatie (bedoeld voor een selecte groep), of bijvoorbeeld uit een fout of gemakzucht in het configureren van de digitale omgeving. In de dagelijkse praktijk zie ik vaak dat beveiligingsincidenten worden veroorzaakt door keuzes waarbij gemak wordt verkozen boven veiligheid.

Aandacht voor liquiditeit

Een prognose wordt vaak resultaatgericht opgesteld. Wat wordt de winst dit jaar en varen we nog op koers in relatie tot de prognose? Op het moment dat het echt mis gaat, in het geval van een faillissement bijvoorbeeld, ligt dat primair vaak niet aan een slecht resultaat maar aan het feit dat het geld op is!

Dus naast een prognose van resultaat en balansposities is ook een liquiditeitsprognose voor sommige ondernemingen nu van essentieel belang. Op het moment dat je een rekening verstuurt is dat vandaag omzet, maar het is belangrijker om te weten wanneer het geld binnen gaat komen…

Maak dus (hoe eenvoudig en simpel ook) een liquiditeitsprognose, houd hierbij ook weer rekening met verschillende scenario’s. Wij hebben de beschikking over diverse mogelijkheden, simpel en uitgebreid, en helpen hierbij graag.

Tot slot, de overheid heeft een uitgebreid steunpakket aan maatregelen opgezet. Dit pakket is ook nog wekelijks aan wijzigingen onderhevig. Een overzicht van de diverse steunmaatregelen vind je op onze website. Onze collega’s helpen je er ook graag mee in deze bijzondere tijd.

Publicatiedatum: 24-04-2020