Security breach McKinsey - email adresses exposed after unauthorized entry of mail system service provider

Last week McKinsey send a note to users from which email information was exposed due to unauthorized entry into the system of their email service provider.

Important information from McKinsey Quarterly


We have been informed by our e-mail service provider, Epsilon, that your e-mail address was exposed by unauthorized entry into their system. Epsilon sends e-mails on our behalf to McKinsey Quarterly users who have opted to receive e-mail communications from us.


We have been assured by Epsilon that the only information that was obtained was your first name, last name and e-mail address and that the files that were accessed did not include any other information. We are actively working to confirm this. We do not store any credit card numbers, social security numbers, or other personally identifiable information of our users, so we can assure you that no such information was accessed.


Please note, it is possible you may receive spam e-mail messages as a result. We want to urge you to be cautious when opening links or attachments from unknown third parties. Also know that McKinsey Quarterly will not send you e-mails asking for your credit card number, social security number or other personally identifiable information. So if you are ever asked for this information, you can be confident it is not from McKinsey.


We regret this has taken place and apologize for any inconvenience this may have caused you. We take your privacy very seriously, and we will continue to work diligently to protect your personal information.

McKinsey & Company

Nice little note from McKinsey, but makes you wonder or a little worried. I'm not the man who is worried lightly when it comes to security. Technology is becoming better every day, people are the biggest threath to security and security breaches will be there no matter what measures taken. Fact.

I do admire this gesture of openess by McKinsey. There was a problem and we are sorry is basicaly the message. We will take action to be sure your privacy is secure is what they tell you.

Some uncertainty stays behind. It gets into your head. Although there seems to be no harm done, no important information leaked, but security is all about fear and trust.

Met het hoofd in de wolken en de voetjes van de vloer

ICT~Office. SaaS en Cloud seminar.

Afgelopen week (11 mrt 2010) heb ik het Seminar van ICT~Office bezocht waar het platform werd gegund aan twee grote spelers uit de wereld van de IT - Google en Microsoft. Voor Google was Erik de Muinck Keizer aanwezig. Microsoft had Peter de Haas afgevaardigd.
De ontwikkeling van SaaS en het begrip Cloud meer algemeen werd door de analist Jeffrey Mann vanuit Gartner 'perspectief' belicht.

Alle drie de sessies waren de moeite van het bekijken zeker waard, maar één issue is bij me rondblijven zingen tijdens de afgelopen dagen.

Security.

De vraag of bedrijven hun informatie aan de Cloud kunnen toevertrouwen is een altijd terugkerend onderwerp. De grote jongens die een rol spelen in Battle Zone Cloud (Microsoft, Google, Cisco en IBM - Jeffrey Mann, Gartner) nemen dit uitermate serieus als essentiële basis van hun proposities. Hoewel het vertrouwen vanuit de markt nog niet eindeloos is, lijkt het vertrouwen in de grondhouding van deze leveranciers ten aanzien van het onderwerp wel te groeien.

Opvallend.

Opvallend echter is dat Google licht laconiek omging met het issue. Toen het publiek daar Erik de Muinck Keizer op aansprak en refereerde naar het China incident van begin dit jaar startte hij zijn verweer wel door te zeggen dat hij die indruk niet had willen wekken en dat Google dit zeer serieus neemt. Echter in de toelichting hanteerde hij dezelfde argumenten als eerder in zijn betoog.

Bunker en bezemkast

Google heeft in de wereld een enorme capaciteit aan rekencentra staan. Deze voldoen aan zeer zware eisen. Een veel aangehaald certificaat de laatste tijd is de SAS70 certificering en dan wel de Type II.
De trajecten om te komen tot deze certificering zijn niet flauw en veel van de processen en maatregelen die getroffen zijn om deze certificering te bereiken worden niet zomaar openbaar gemaakt. Google hanteert hierin een heel gesloten beleid, zo merkt ook Gartner op. Ze laten niet eenvoudig in hun keuken kijken en dat beleid wordt ook meerdere malen door Erik de Muinck Keizer tijdens zijn verhaal en ook later in zijn toelichting expliciet vermeld.
Eén van de argumenten die wordt aangehaald is dat dit te maken heeft met het risico dat daarmee de certificering kan vervallen. Nu werp ik me niet als expert op als het gaat om de beveiliging en de exploitatie van rekencentra in het algemeen en SAS70 certificerings trajecten in het bijzonder. Wel ben ik al een aantal maal op bezoek geweest in zo'n bunker. Enfin. Prima dat Google dit beleid hanteert en voorzichtig is met de wijze waarop ze hun rekencentra en de beveiliging daarvan hebben ingericht. Ik heb daar geen moeite mee.
Minder plezierig voel ik me echter bij het gebruik van deze SAS70 certificering in een presentatie om te benadrukken dat een onpremise installatie van een applicatie nooit hetzelfde security niveau kan bereiken als een enterprise cloud oplossing vanuit een bunker. Eerlijk gezegd verwacht ik niet anders.
Als dan bovendien Google ook nog klaagt dat ze zich in negatieve zin in de picture spelen als er zich eens een keer een security incident voordoet, dat de pers daar massaal op springt. Wat verwacht je dan? Maar het wordt wel licht irritant indien je dan naar alle security incidenten op de zoemende pizzadozen in de bezemkast van de gemiddelde MKB'er of zelfs enterprise onderneming wijst. Nee, de pers maakt daar veel minder geluid over. Het incident op die schaal is echter in geen enkele verhouding met een security breach bij één van de ondernemingen die graag als megavendor in de Cloud Battle Zone gepositioneerd wordt door Gartner.

Het oordeel van Gartner

Gartner had de gelegenheid om de derde en laatste sessie op het podium te brengen. Daarin bracht Jeffrey Mann op een ontspannen manier overzicht aan in de battle zone en volwassenheid van de mega vendors volgens de analyse van Gartner. Daarin werd ondermeer Security implementation geduid als 'serious work needed' en is ook de service afspraken (SLA) naar de klant nog niet optimaal. Even later werd door Jeffrey Mann een aantal punten belicht die tot een doomscenario zouden kunnen leiden. Voor Google heeft Gartner een drietal punten in het kader van security en eigenlijk nog meer op het gebied van vertrouwen aangehaald.

• Blocked access to information
• Government regulation
• Privacy and Trust crisis

Oef. Dit zijn serieuze bedreigingen indien je als pure Cloud speler de enterprise markt wil bestormen.

In de herkansing

Tot slot was het aan een panel om haar oordeel te geven en aan het publiek om vragen te stellen. De wijze waarop Erik de Muinck Keizer de opstelling t.a.v. security had overgebracht werd aan de kaak gesteld. Het China incident was daarbij het concrete vraagteken wat geplaatst werd. Een laconieke opstelling en wegwuiven van het probleem was de beschuldiging.
Beide partijen, Google en Microsoft kregen de gelegenheid om uitgebreid toelichting te geven. Helaas herhaalde Erik de Muinck Keizer zijn eerder aangehaald verweer. Een gemiste kans om met de voeten op de vloer te komen.

Het resultaat?

Het resultaat van deze opstelling is dat de indruk van een laconieke opstelling t.a.v. security enkel versterkt werd. Misschien zelfs arrogant ontkent of van de hand werd gewezen.

Tot Slot

Laat ik toch vooral duidelijk stellen dat ik geloof in de intentie die Google en ook de andere leveranciers in het speelveld het onderwerp security uiterst serieus nemen. Dat de ontwikkelingen op dit gebied enorm zijn, maar de aanpak van Google deze dag was niet handig te noemen.

De presentaties zijn door ICT~Office aan de aanwezige bezoekers verzonden. De slidedeck van Peter de Haas is zoals gewoonlijk ook in zijn slideshare te vinden. Die van Google die ontbrak tot nu toe, maar misschien dat deze nog volgt.

Privacy en openbaarheid

Privacy en openbaarheid

Een eerste vinger oefening rondom dit onderwerp. Aanleiding is een vraag die me is gesteld om een artikel te schrijven rondom het spanningsveld tussen privacy en openbaarheid. Een interessant praktijk voorbeeld kwam ik enige tijd geleden tegen rondom de zaak Stoker. Opgelicht! had hier aandacht aan besteed.
Ondanks dat alle zaken rondom dit illuster individu bekend waren bij justitie was het politie korps in Amsterdam niet instaat om deze op het moment waarop dat noodzakelijk was paraat te hebben. Onbegrip bij de aanwezigen en vooral de gedupeerde van deze oplichter. Echter deze 'tekortkoming' is niet zozeer te wijten aan de kennis en vaardigheden van het korps in Amsterdam, maar wel aan de structuur waarin de gegevens over deze zaken zijn opgeslagen. Kan dat dan niet anders. Ja. Technisch is het ongetwijfelt anders in te richten en wel zodanig dat alle systemen die daar toegang toe moet hebben uit kunnen putten.
Waarom is dit dan niet op deze wijze georganiseerd en ingericht? Jaren geleden al las ik een artikel dat er landelijk een database ingericht was waarin gegevens van procesverbalen op landelijk niveau opgeslagen werden. Het artikel was relatief technisch van aard, maar naast deze technische uitleg werd in het artikel ook stilgestaan bij de keerzijde van de centrale databank. De toegang zo werd nadrukkelijk gesteld was goed afgeschermd
Allemaal technische insteek waar aan een aantal maatschappelijke ontwikkelingen en uiteindelijk ook juridische maatregelen aan ten grondslag liggen. Vooral de maatschappelijke reactie op openbaarheid en de concequentie op de pricacy worden regelmatig in het nieuws naar voren gebracht. Denk aan de discussie over de databank die in Engeland voor iedereen beschikbaar is om na te gaan waar in de buurt veroordeelde pedofielen wonen. Een aardige mashup op google maps, maar is het ook maatschappelijk wenselijk om deze privacy grens te overschrijden? De meningen lopen uiteen.