Interview met Ernst Oud. Social engineering Digitaal rechercheren bij de NMa Your organizational knowledge base. Magazine voor Informatiemanagement

Transcriptie

1 Magazine voor Informatiemanagement Interview met Ernst Oud Social engineering Digitaal rechercheren bij de NMa Your organizational knowledge base Jaargang 11 - Editie 1 Vol. 31 Mei 2012

2 INHOUDSOPGAVE In deze uitgave Ernst Oud.ego Magazine sprak met Ernst Oud over informatiebeveiliging, terwijl de rest van Nederland al bijna aan het kerstdiner zat. Ernst Oud heeft een goede kijk op dit vakgebied door meerdere jaren ervaring in tal van functies binnen het Information Management vakgebied. Eén van deze functies is de functie welke Ernst op dit moment vervuld als ISO (Information Security Officer) bij Kerncentrale Borssele. Met nadruk dient gezegd te worden dat de uitspraken binnen dit interview zijn gedaan op persoonlijke titel en niet vanuit zijn functie bij deze kerncentrale of één van de andere functies welke Ernst heeft vervuld of momenteel vervult. Social engineering Vandaag de dag maakt haast ieder bedrijf gebruik van informatie technologie (IT). Deze IT is kwetsbaar voor verschillende bedreigingen. Een organisatie kan de beste beveiligingstechnologieën aanschaffen en hun mensen zo goed mogelijk trainen, maar ze blijven zo sterk als de zwakste schakel: de mens. Pagina 16 Artikelen Columns Does your organizational knowledge base really matter? Social engineering ediscovery in het mededingingsrecht: doeltreffend genoeg of kan het (nog) beter? Digitaal rechercheren bij de NMa In mergers & acquisitions: don t ignore it! Internet op zwart? De (on)macht van de content industrie Sociale isolatie Interviews 4 Ernst Oud, Information Security Officer bij kerncentrale Borssele Afgestudeerden 41.ego Weblog Oud IM ers aan het woord Afgestudeerden (juni april 2012) Is het post-pc tijdperk aangebroken? Acqhiring: de nieuwe vorm van recruitment Drs. Ouke Arts MMC Drs. Gerard Cillessen Drs. Pim Jörg PAGINA 4

3 Wil je een onderwerp terugzien in de.ego? Twitter mee! Follow us on #verder Voor u ligt dan eindelijk de eerste uitgave van het.ego magazine van jaargang 11. Met een grotendeels nieuwe redactie, ondergetekende als nieuwe hoofdredacteur en een nieuw design willen wij u een mooie reeks magazines aan gaan leveren van het niveau dat u gewend bent van onze voorgangers. Vol goede moed trappen wij dan ook af met deze interessante en mooi vormgegeven eerste editie. In deze editie vindt u onder andere een artikel over beveiligingstechniek. Zoals bekend, is die zo zwak als de zwakste schakel: de mens. Joost van Beijsterveld beschrijft hoe bedrijven zich moeten wapenen tegen social engineering. Ook hebben we een erg leuk interview over beveiliging met Ernst Oud, Information Security Officer bij Kerncentrale Borssele. Oud.ego bekenden Bas en Emile vroegen hem naar zijn persoonlijke ervaringen met informatiebeveiliging door de jaren heen. In een ander artikel vertelt Martin Goossen ons over zijn visie op knowledge management. Hij gaat in op de vraag wat een kennisbank er binnen een organisatie toe doet. Verder twee artikelen met daarin een interessante discussie omtrent ediscovery bij de Nederlandse Mededingingsautoriteit, een artikel over het belang van IT bij fusies en overnames en twee frisse columns tussendoor om het lekker luchtig te houden. Veel plezier bij het lezen van deze 31e editie van het.ego magazine. Een editie waar we trots op zijn, op naar de COLOFON Het semi-wetenschappelijke magazine.ego is een uitgave van studievereniging Asset SBIT in samenwerking met alumnivereniging EKSBIT. Asset SBIT is de Tilburgse vereniging voor studenten Information Management en andere geïnteresseerden in dit vakgebied. Het magazine wordt verspreid onder alle leden van Asset SBIT en de alumnivereniging EKSBIT, de medewerkers van het departement Information Systems and Management aan Tilburg University en geïnteresseerden uit het bedrijfsleven. Redactieadres Asset SBIT Kamer E116 t.a.v. redactie.ego Postbus LE Tilburg [t] [f] [e] ego@asset-sbit.nl [i] Redactie Jeroen Bekkers Xander Bordeaux Gieljan Everaert Carlijn Frins Toine van den Hurk Stijn IJzermans Mark Musters Gertjan Scholten Grafisch Ontwerp SBIT DsK. Vormgeving Wouter van Ooijen Bart Ottenheim Rodney Dekkers Druk Orangebook, Tilburg Oplage 600 exemplaren Copyright Voor overname van (delen van) artikelen dient schriftelijk toestemming te worden gevraagd aan de redactie. In de artikelen gedane uitspraken vallen onder de verantwoordelijkheid van de desbetreffende auteurs.

4 Ernst Oud.ego Magazine sprak met Ernst Oud over informatiebeveiliging, terwijl de rest van Nederland al bijna aan het kerstdiner zat. Ernst Oud heeft een goede kijk op dit vakgebied door meerdere jaren ervaring in tal van functies binnen het Information Management vakgebied. Eén van deze functies is de functie welke Ernst op dit moment vervuld als ISO (Information Security Officer) bij Kerncentrale Borssele. Met nadruk dient gezegd te worden dat de uitspraken binnen dit interview zijn gedaan op persoonlijke titel en niet vanuit zijn functie bij deze kerncentrale of één van de andere functies welke Ernst heeft vervuld of momenteel vervult. Smartphones zijn in meerdere opzichten gevaarlijke apparaatjes

5 INTERVIEW MET ERNST OUD Door: Emile Bons en Bas van Steen Wij vroegen Ernst naar de huidige stand van de informatiebeveiliging binnen Nederland en organisaties binnen Nederland. Ernst geeft aan dat het over het algemeen prima geregeld is met de informatiebeveiliging maar dat Nederland zeker geen koploper is op het gebied van informatiebeveiliging. Desalniettemin loopt Nederland in de pas in vergelijking met andere West-Europese landen zoals Frankrijk en Duitsland. Volgens Oud lopen landen die te maken hebben gehad met terrorisme, zoals Engeland (IRA) en Duitsland (RAF), vooral voorop met informatiebeveiliging. Deze positie van Nederland neemt niet weg dat dit artikel al bijna gevuld had kunnen worden met boeiende anekdotes over de informatiebeveiliging binnen organisaties waarin Ernst Oud actief is geweest. Ernst Oud startte zijn carrière na de HTS bij Philips. Ernst vertelt ons dat Philips een tijd lang één van de koplopers was in de computertechniek maar deze koppositie na een aantal jaren heeft verloren. Ernst maakte bij Philips gebruik van een draagbare computer van Toshiba. Hij zag dat dit de toekomst van computers was en wilde hier bij zijn, zo besloot hij bij Toshiba te gaan werken. In die tijd had Defensie een flink aantal van die draagbare computers en daar raakten er ook steeds meer van verloren. Een van de vragen waarmee ze naar mij kwamen was: hoe kunnen we voorkomen dat men de data kan misbruiken op het moment dat ze de beschikking krijgen over zo n computer? Zo kwam Ernst in contact met Crypsys; een kleine organisatie die zich specialiseerde in de encryptie van gegevens, alwaar hij zijn carrière voortzette. In het verdere verloop van zijn carrière raakte Ernst ook betrokken bij de uitbreiding van de consultancy afdeling van het computer-uitwijkcentrum van Getronics in Lelystad. Ernst vertelt ons dat een dergelijk uitwijkcentrum in de huidige tijd voor steeds minder organisaties een goede oplossing is. In de loop der jaren is de informatievoorziening voor veel organisaties steeds belangrijker geworden. Daardoor moeten hun informatiesystemen zo goed als continu beschikbaar zijn. Dit is met een uitwijkcentrum toch vaak lastig te bewerkstelligen, omdat het vaak niet mogelijk is om een informatiesysteem eenvoudig binnen enkele uren op een andere fysieke locatie operationeel te hebben. Verder werkte Ernst enkele jaren voor Urenco, een organisatie gespecialiseerd in het verrijken van uranium. Dit proces van het verrijken van uranium is altijd een staatsgeheim geweest en heeft destijds voor politieke onrust gezorgd bij het lekken daarvan. Vanuit deze functie is Ernst overgestapt naar Deloitte en daarna naar Microsoft om, sinds 2008, vanuit zijn eigen onderneming actief te zijn. Eigenlijk, zo stelt Ernst, is het vakgebied van informatiebeveiliging al zo oud als de weg naar Rome ; het principe van informatiebeveiliging bestond al ver voor het ontstaan van informatiesystemen. Wat dat betreft, zo stelt hij, is de beveiliging van een informatiesysteem nog steeds te vergelijken met de beveiliging van een burcht waarbij er aan de ene kant wachttorens en bewakers zijn en aan de andere kant indringers die moeilijk de gracht over komen. Wat wel verschilt, zo licht Ernst toe, is het feit dat informatie steeds compacter is geworden, niet meer fysiek hoeft worden weggenomen en er ook digitaal kan worden ingebroken. Veel waardevolle informatie ligt tegenwoordig bij elkaar, het is vergelijkbaar met een schatkamer van vroeger. Als indringers eenmaal binnen zijn, is het eenvoudig om grotere hoeveelheden data te vergaren. Het enige probleem met de indringers van nu is dat deze heel eenvoudig over dezelfde middelen kunnen beschikken als de middelen waarover de organisatie beschikt die zichzelf poogt te wapenen tegen deze indringers. Het is voor een indringer kinderlijk eenvoudig om antivirus software te kopen voor ongeveer 100 euro om daarmee te zien hoe hij zijn malware moet schrijven om onopgemerkt te blijven. Bovendien, zo geeft hij aan, is het met de veelzijdigheid aan platforms en apparaten waarop informatiesystemen actief zijn veel lastiger geworden om informatiebeveiliging efficiënt toe te passen. Hierbij haalt Ernst een quote aan van Bill Gates: de functionaliteit van een informatiesysteem zal het altijd blijven winnen van de beveiliging van deze systemen. Waar wij eigenlijk over wilden spreken met Ernst is de ultieme vraag: wanneer kun je stellen dat een informatiesysteem veilig is? Ernst geeft aan dat het relatief eenvoudig is om te bepalen wanneer een 5

6 informatiesysteem veilig is: dit is het geval wanneer het restrisico aanvaardbaar is. Daarbij nemen wij in ogenschouw dat het restrisico niets anders is dan het niet door de beveiligingsmaatregelen afgedekte risico vermenigvuldigd met de kans van optreden. Natuurlijk, zo geeft Ernst aan, is het niet altijd eenvoudig om vast te stellen wat dat restrisico is en hoe groot de kans is dat dit restrisico optreedt. Tevens is het van belang dat het toetsen van dit risico en het bepalen van de beveiligingsmaatregelen niet door één en dezelfde persoon binnen de organisatie uitgevoerd moet worden. Zo komt het vaak voor dat de ICT-manager zelf bepaalt of het restrisico aanvaardbaar is, waar hij eigenlijk de gebruikersorganisatie zou moeten vragen om aan te geven of dit het geval is. Het voorbeeld van de manager die zelf bepaalt dat bij het mislukken van de dagelijkse back-up de maatregel van het onderzoeken en de volgende dag opnieuw proberen voldoende zou zijn is hierin sprekend. Eigenlijk zou deze manager te rade moeten gaan bij de proceseigenaar of het aanvaardbaar is om van deze back-up een dag te kunnen missen. Het lastige met dit risico is dat het vaak wel te becijferen is, maar dat de ervaring van het risico door de burger of eindgebruiker vaak verschilt met datgene wat becijferd is. Denk hierbij aan het risico dat een kerncentrale lekt versus het risico dat je met je auto een ongeluk hebt; het eerste is wel als een kleiner risico becijferd, maar wordt vaak als groter ervaren. Uiteindelijk is het de ervaring van de gebruiker of burger die daarin het meeste telt. Tegelijkertijd is risico niet per definitie negatief. Sprekend is hierin de oude reclame van de Staatsloterij waarbij men sprak van het grootste risico om miljonair te worden, zo stelt Ernst. Een wereld zonder risico is volgens Ernst ook niet de meest spannende wereld. Immers, het bepalen en (al dan niet bewust) nemen van dit risico maakt het maken van keuzes interessant. Het vervelende aan het vakgebied van informatiebeveiliging vindt Ernst dat maatregelen vaak als een soort van pleister worden toegepast. Het gebeurt nog veel te weinig, in mijn ogen, dat het gehele denkproces achter informatiebeveiliging wordt meegenomen wanneer het gaat om het vaststellen of inrichten van een bedrijfsproces. Het vakgebied van informatiebeveiliging is volgens hem nog onderbelicht binnen het vakgebied van Informatie Management. Bedrijven realiseren zich volgens Ernst te weinig wat de informatie waarover zij beschikken waard is voor kwaadwillenden. Ook werknemers, die vaak de zwakste schakel zijn in het proces, beseffen niet wat de waarde van de data op een USB stick kan zijn. Oud trekt hierbij graag het vergelijk met een diamant. Als de USB stick een diamant was dan zou iedereen hem uit het zicht houden en veilig in zijn binnenzak bewaren. Helaas is dit bij een USB stick niet zo, terwijl de inhoud ervan van grotere waarde kan zijn. Een andere misrekening waar Ernst voor waarschuwt is de zogenaamde stepping stone functie die bedrijven kunnen spelen. Het bedrijf realiseert zich dan te weinig dat de informatie die zij heeft door kwaadwillenden gebruikt kan worden om bij een ander te gebruiken. Om het principe te verduidelijken geeft hij het voorbeeld van een bedrijf dat tokens maakt. Deze tokens worden gebruikt voor toegangscontrole bij diverse organisaties. Op een moment werd er bij het bedrijf dat de tokens maakt ingebroken. Hier werd niet veel aandacht aan besteed, er was niets van waarde weg. Twee maanden later bleek dat er informatie over de werking van de token was gestolen en deze werd gebruikt bij een inbraak bij een vliegtuigbouwer. We vragen Ernst Oud naar opkomende risico s. Hij houdt lachend zijn smartphone in de lucht. Dit zijn in meerdere opzichten gevaarlijke apparaatjes aldus Ernst. De ontwikkeling gaat zo hard, dat is niet bij te houden. Hiervoor geldt zeker dat functies boven veiligheid gaan. Op een gemiddelde desktop, draait nog wel iets dat malware tegengaat. Maar op zo n apparaatje draait helemaal niets om de gebruiker te beschermen zegt Ernst. Je kan als gebruiker enkel software uit een market of store downloaden. Maar Google kan natuurlijk nooit apps goed controleren. Je weet niet wat voor kwaadwillende code erin zit en, als het al bekend wordt, is het vaak al te laat. Volgens Ernst is het verwonderlijk dat banken massaal apps uitbrengen om elektronisch te bankieren. Hackers zijn volgens hem massaal de aandacht op Windows aan het verminderen en richten zich inmiddels meer op Android. We vragen hem over zijn visie op het moderne cloud computing. Ook dit is volgens Ernst niet echt nieuw. Uitbesteden doen we volgens hem al heel lang. Als je het ziet in de Deming cirkel, zegt hij, besteed je enkel het eerste kwart, plan, uit. De overige 75% 6

7 interview met ernst oud Kerncentrale Borssele moet je nog wel zelf doen. Hij zegt dat dit makkelijker gezegd is dan gedaan. Je kan als auditor moeilijk naar Amazon.com (een van de grootste aanbieders van cloud oplossingen, red.) toegaan en vragen waar je data staat. Waarschijnlijk krijg je wel antwoord waar het regulier is, maar niet wanneer er onderhoud is. Volgens Ernst zijn er dan ook veel Nederlandse bedrijven die hier onbewust de wet mee overtreden. Bepaalde persoonsgegevens mogen niet zonder toestemming van justitie worden opgeslagen buiten Europees grondgebied. Wanneer een data center in onderhoud is worden de gegevens tijdelijk opgeslagen in een ander gedeelte van de cloud, dit hoeft niet perse binnen Europa te zijn. Ernst kwam in het vizier van de.ego redactie doordat hij betrokken is bij de informatiebeveiliging van de kerncentrale in Borssele. Het mooie van een kerncentrale is dat het goed tot de verbeelding spreekt, een dergelijke centrale is wel het laatste waar je een lek in de beveiliging wilt hebben. Volgens Ernst is een kerncentrale niet heel spannend, in feite is het volgens hem vergelijkbaar met andere organisaties in de procesindustrie. Er zijn volgens hem op de Maasvlakte bedrijven die een hoger risico hebben. De kerncentrale is gebouwd eind jaren 60. In die tijd was alles nog overzichtelijk met kasten met printplaten en relais. Er is sinds die tijd veel gedigitaliseerd, maar er is vanaf het begin goed rekening gehouden met de veiligheid. Zo zijn er binnen de centrale maar weinig systemen die in verbinding staan met de buitenwereld. Hij is dan ook niet bang dat mensen met slechte bedoelingen erin slagen om bijvoorbeeld de sturing van de reactorstaven direct te bedienen. Maar, zegt hij, ook hier geldt dat de mens een zwakke schakel is in het geheel. Hij is meer bezorgd over het feit dat de systemen die wel met de buitenwereld in verbinding staan zouden worden overgenomen; en deze vervolgens foutieve informatie gaven. Informatie die medewerkers verkeerd laat handelen. Dit is getest 1 en de onderliggende processen blijken dusdanig goed in elkaar te zitten dat ook dit niet tot ongewenste situaties kan leiden. In het algemeen kan volgens Ernst gesteld worden dat er momenteel nog niet altijd even goed met informatiebeveiliging wordt omgegaan. Om dit kracht bij te zetten vertelt hij een verhaal over een grote retail organisatie. Hij had de opdracht om de informatiebeveiliging in kaart te brengen. Al snel bleek dat de hele bevoorrading van filialen werd geregeld door een oude Compaq computer met daarop een programma dat specifiek voor een 286 processor was geschreven. De computer verzamelde alle data van de kassa s van de filialen en zorgde voor bevoorrading. Volgens hem werd de computer op dat moment ongeveer al 20 jaar niet meer gemaakt. Uit navraag van Ernst bleek, dat als de computer het zou begeven, er na ongeveer vier dagen niets meer verkocht kon worden. Het bedrijf verweerde zich met een planning dat er over drie maanden een nieuw systeem zou draaien. Hier had Oud de nodige vraagtekens bij. Voor de verduidelijking heeft hij eenzelfde 286 voor enkele euro s via Marktplaats gekocht en deze bij de oplevering van het rapport cadeau gedaan. Zoals de traditie betaamd hebben we Ernst gevraagd naar wat hij de toekomstige informatiemanager wil meegeven. Hier is Ernst zeer duidelijk over: er moet meer aandacht aan informatiebeveiliging worden besteed; vanaf het ontwerpen van processen moet informatiebeveiliging worden meegenomen. Het is niet verstandig om achteraf experts er na te laten kijken, je moet deze vooraf al mee laten denken. Dit is volgens hem beter en vaak uiteindelijk ook goedkoper. Als afsluiter geeft hij mee dat de eindgebruiker op de hoogte van de risico s moet zijn, zodat hij kan bepalen of hij zich prettig voelt bij het restrisico. 1 Het rapport is te vinden op 7

8 Soms hou je alle opties open Soms weet je direct waar je aan de slag wilt Kom verder op werkenbijpwc.nl Tijdens je studie heb je een schat aan kennis opgedaan, je bent ambitieus en nu wil je aan de slag. Bij ons kun je al je kwaliteiten volop ontwikkelen. Je ideeën zijn meer dan welkom Ook wij zijn ambitieus. We willen op de gebieden Audit & Assurance, Tax & Human Resource Services, Advisory en Compliance Services de beste oplossingen bedenken voor onze klanten. Dat kan alleen als onze mensen verschillende invalshoeken hebben. Dus maakt het minder uit wat je gestudeerd hebt. Het gaat om je ideeën. Blijf je ontwikkelen Je krijgt op dag één een coach, werkt samen in teams met inspirerende collega s en volgt opleidingen. Zo ontdek je waar je kracht ligt. Je kunt switchen tussen sectoren, bijvoorbeeld tussen beursgenoteerde ondernemingen en de overheid. Je kunt ook van PwC-vestiging veranderen, binnen Nederland of over de grens. Pak de ruimte die je krijgt Je gaat bij ons aan de slag in een open kennisorganisatie. We werken met passie en een gezonde dosis lef; zijn open, integer en eerlijk. Het gaat er bij ons informeel aan toe. Je initiatieven zijn welkom. Je start je carrière vliegend, ontwikkelt je volop en haalt het beste in jezelf naar boven. Want daar worden onze klanten, wij én jij beter van PricewaterhouseCoopers B.V. (KvK ) Alle rechten voorbehouden.

9 Does your organizational knowledge base really matter? Martin C. Goossen As swiftly as it appeared in the end of the previous century, as quickly as it disappeared only several years later: knowledge management. Its rapid rise and subsequent waning is probably related to a lack of strong fundamental principles, thereby making it the next management fad in the fields of innovation, human resources, and information management. Nevertheless, it has reinvigorated practitioners and academics interest in the role of knowledge for innovation. And it raised once more the question: in the end, does the organizational knowledge base really matter? Yes! About the author Martin Goossen is currently a Ph.D. candidate at the Strategy Department of HEC Paris, a French business school near Versailles. In 2010 he graduated from Tilburg University with a master s degree in Information Management after having studied finance and management in the Netherlands and the UK. 9

10 The issues with knowledge management Knowledge management comprises all organizational practices related to the creation, absorption, distribution, dispersion, application, retrieval and maintenance of knowledge. It ranges from employee training by senior colleagues to writing detailed manuals for standard operating procedures. To express the importance of knowledge for competition and performance, Nonaka et al. (1992) reconceptualized the firm as a combination of three different layers (see Figure 1). Originally the organizational structure with its divisions, functions, and operations is captured by the business-system layer whereas the project-team layer outlines how employees interact and are allocated to particular projects. Both of these structures draw upon the fuzzy knowledge base layer that includes and makes available all knowledge present in the organization. A major issue contributing to the reduced interest in knowledge management is its intangible nature. The relevance of knowledge management processes for product and process innovation have been identified via interviews with people in the field, but are often hard to observe. The intangible nature of knowledge management makes it impossible to set clear measurable objectives and apply management-by-numbers, which immediately reduces managerial interest and resource allocation. Besides, the social and tacit nature of knowledge suggests that organizations have hardly any means to influence and guide knowledge sharing and application. For example, Nonaka s well-known SECI model describing four modes of knowledge conversion (socialization, externalization, combination, internalization) gives managers very few handles to steer and manage organizational knowledge. Making knowledge assets and flows visible This article s main objective is to assess the claims made by knowledge management, but knowledge assets and flows need to be made tangible in order to do so. Therefore we turn to the semiconductor industry where knowledge is visible via patenting activities. Since its initiation in the 1950s, the semiconductor industry has been characterized by high R&D intensity, strong patent protection, and rapid product development based upon technological innovation. Patents are in fact externalized knowledge with a detailed description of a technological invention, though inventors generally agree that the patent is merely a part of the skills and know-how used to create the invention. Nevertheless, patents have two characteristics used to observe knowledge: classification and citations. Project-system layer Collaboration among project teams to promote knowledge creation Teams are loosely-coupled around organizational vision Team members form a hyper network across business-systems High accessibility to knowledge-base by individual members Dynamic knowledge cycle continuously creates, exploits and accumulates organizational knowledge Business-system layer Knowledge-base layer Organizational vision, culture, databases, etc. Figure 1: The knowledge-creating company (Nonaka et al., 1992) 10

11 Does your organizational knowledge base really matter? Figure 2: Knowledge base layer of Texas Instruments ( , simplified) Take for instance Texas Instruments patent describing tablet computers. It is among others classified in category 380 telephonic communications. Because of that, we can assume that the firm has at least some knowledge of telephonic communications. Similarly, patents also have citations: references to other technologies that the inventors have drawn upon to develop the novel technology. For instance, this patent cites the older patents and which fall both in category 704 data processing. This means that the inventors have used data processing knowledge to create this new technology as well. The knowledge base layer of a semiconductor firm becomes visible if all recent patents of a firm are pooled together. Figure 2 shows a simplified version of the knowledge base of Texas Instruments during 1998 till The nodes represent the different types of technological knowledge (based on the patent classes) and are sized by the number of times Texas Instruments has drawn upon this particular of knowledge for its R&D activities. The links between the nodes represent the knowledge flows (if different types of knowledge are combined in new innovations) and the weight indicates to what extent these types of knowledge are combined. For instance, it is obvious that technology classes 438 ( semiconductor manufacturing ) and 375 ( pulse communications ) are important, but not combined for new inventions. Knowledge diversity is displayed in this picture by the number and size of the different nodes. Knowledge integration is visualized via the presence and strength of linkages between the nodes. Learning can be envisioned by comparing two knowledge base snapshots of the same firm at different moments in time to see which nodes (types of knowledge) have been added. The value of knowledge management: diversity and dynamics After visualizing the knowledge base layer, we can assess the value of knowledge diversity for innovation. On the one hand, proponents have argued that heterogeneity stimulates creativity. When R&D staff can draw upon a variety of technologies and materials, it increases the probability of solving technological challenges and developing new products. On the other hand, too much diversity may harm the productivity of inventors because of confusion and cooperation difficulties. More diversity in expertise and know-how make more options available, but might make it harder to select and pursue the most successful ones. Resolving these two opposing arguments is obviously necessary to create effective knowledge management policies. The semiconductor industry reveals that firms with a larger diversity in their organizational knowledge base have on average fewer but higher quality technological innovations. Knowledge base homogeneity leads to more focused R&D, which aids inventors in quickly identifying new applications for the same knowledge. But then again, novel technologies developed by a firm with more diverse expertise are of a higher quality: they are more often copied by or incorporated in the products of competitors in the industry. Heterogeneity of knowledge provides more 11

12 alternatives to inventors, who eventually develop more widely applicable innovations after a careful evaluation. The opposing outcomes for quality and quantity hint at a trade-off given time and resource constraints. Drawing upon a single type of technological knowledge requires less time and resources, but reduces the number of options to apply it in novel ways. Conversely, including multiple experts on different types of techniques provides a larger number of potential solutions, but analyzing and evaluating each option is more time-consuming. Besides the composition of the organizational knowledge base, the dynamics of this knowledge base over time also matter. Referring to Figure 2, organizations can change the composition (the number and size of the nodes) of the knowledge base via learning new knowledge as well as the structure (the presence and size of the links) via knowledge integration. Constraints in a firm require executives to choose between exploiting present skills and expertise via recombination and exploring new technologies via learning and experimentation. While integration of present knowledge seems more efficient than learning new knowledge, it is unlikely that organizations in high-tech industries can survive without the latter. Nevertheless, the results of this study indicate that integration increases both the quantity and quality of innovations whereas learning actually has a negative impact on the number of innovations. Learning is expected to reduce the number of inventions because developing new knowledge is a time and resource intensive process involving practice and experimentation by all employees. Moreover, novel knowledge may not be immediately applicable in the firm s R&D processes. Surprisingly, learning has no direct relationship with the quality of technological inventions in the semiconductor industry. In contrast, combining the present knowledge resources in novel ways is an effective method for improving firm innovative performance. Since the know-how and skills are already present within the firm, R&D staff can efficiently collaborate to create new solutions that build upon this diverse technological knowledge. Simultaneously, recombining technological expertise and skills in which the firm has a proven track record improves the quality of technological inventions. The results regarding knowledge learning, diversity and integration for technological innovation should be interpreted carefully. In fact, firms pass through a continuous cycle: learning new knowledge brings diversity within the organization and knowledge diversity allows for more integration. By fine-tuning the degrees of learning, + Quantity of innovations Quantity of innovations Technological learning Knowledge diversity Knowledge integration - Selective recruitment - Employee training - Basic research - Technological expertise - R&D experience - Skills and know-how - Project structure - Team composition - Job rotation Figure 3: Relationships within and between the knowledge base layer and firm technological innovation executives can influence the degree of knowledge diversity to optimize the quality/quantity trade-off. At the same time they should also consider the effects of the projectteam layer upon realizing knowledge recombination opportunities. Finally, past research on absorptive capacity has shown that there is a feedback loop from knowledge diversity to learning. Figure 3 summarizes the outcomes of this study as a process scheme. Practical applications This research provides two practical applications for knowledge managers: performance measurement and benchmarking. First, by transforming knowledge management from a fuzzy and intangible towards an observable and measurable process, managers can 12 I. Nonaka, N. Konno, K. Tokuoka, and T. Kawamura (1992). Hypertext organization for accelerating organizational knowledge creation. Diamond Harvard Business, August-September

13 Does your organizational knowledge base really matter? ATI techonologies Xilinx National Semiconduct $ 1.4 bln $ 1.7 bln $ 2.1 bln Quantity of innovation Quality of innovation Annual revenue R&D expenditure Technological learning Knowledge diversity Knowledge integration Figure 4: B enchmark of three semiconduc tor firms in (compared to overall industr y) track the per formance of their knowledge management knowledge management practices of these competitors strategies over time. Par ticularly in innovation intensive largely differ: all of them have a relatively diverse industr ies, like semiconductors, managers should develop knowledge base, but Xilinx is more active in recombining and implement a knowledge management strateg y w ith different types of exper tise while ATI fails to learn a set of practices and a number of clear objectives. new skills and knowledge. There is a substantial Regular evaluation of the effectiveness of this strateg y is difference in the number and quantity of technological facilitated by knowledge measures that indicate strategic innovations created by these three firms: ATI is clearly per formance. M oreover, if organizations can find proxies underper forming and where National Semiconductor for knowledge assets and knowledge dynamics, managers had the largest number of inventions, the inventions by can develop scorecards that help in steer ing knowledge Xilinx are of a much higher quality. Benchmarking the management practices more effectively. organizational knowledge of one company w ith the main A second relevant outcome of this study is related to competitors is useful because it predicts the strength of competitor analysis. In par ticular industr ies, like the technolog y and product based competition in the near semiconductor industr y, the organizational knowledge future. base is also v isible for outsiders (v ia patents, government records, publications, etc.) and measures similar to the Never theless, much work remains to be done. One ones in this study can be used to compare knowledge major area for fur ther investigation is related to the management per formance of competitors. Figure 4, determinants of knowledge diversity, learning and for instance, shows an exemplar benchmark of ATI integration. Whereas we know that par ticular practices Technologies, Xilinx and National Semiconductor, three stimulate or inhibit knowledge creation, diffusion and medium-sized semiconductor firms, in the year application, the relative effectiveness of these practices is Besides their size and relative R&D expenditure, the still unknown. Conclusion Knowledge management is in decline. Par tially justified by creating unrealistic expectations regarding its contr ibutions to firm per formance, par tially because it failed to mater ialize into a clear set of manager ial practices related to par ticular outcomes. For that reason this ar ticle per formed a study to test some of the most prominent claims of knowledge management. It shows how knowledge diversity, learning and technological recombination have different effect upon the quantity and quality of a firm s inventions. M oreover, by making knowledge base composition and dynamics quantifiable, managers are prov ided w ith a set of per formance measures that can guide the internal knowledge management strateg y. Similar metr ics may facilitate competitor benchmarking by corporate executives concerned about the firm innovative per formance. 13

14 2011 KPMG N.V., alle rechten voorbehouden. Scriptietip # 3: EEN INHOUDS- OPGAVE IS HET HALVE WERK Bepaal eerst het raamwerk van je scriptie, dan heb je houvast bij het schrijven. Kijk voor meer tips op facebook.com/kpmgscriptiecoach. Of beter nog: schrijf je scriptie bij KPMG.

15 Internet op zwart? De (on)macht van de contentindustrie Door: Ronald Leenes COLUMN Ergens begrijp ik het wel, neem Homeland. Deze spraakmakende Amerikaanse TV serie is een paar weken geleden van start gegaan op BNN. Ik las er pas later over in de krant en heb daardoor aflevering 1 gemist. De serie wordt niet alleen op TV uitgezonden, maar is ook via BNN- gemist tot een aantal dagen na uitzending online te bekijken. In het geval van Homeland, was de eerste aflevering zelfs voor uitzending al online bij BNN te bekijken. Ik had de serie ook van TV kunnen opnemen. Hij is niet beschikbaar via de itunes store (ook niet in de VS) en Bol.com verkoopt hem niet. Volgens The Pirate Bay is hij wel, ook Nederlands ondertiteld, beschikbaar via BitTorrent. Wat te doen? Waarom is er niets mis met opnemen van de uitzending of bekijken via Uitzending gemist, maar klinkt het hel en verdoemenis als je dezelfde aflevering via BitTorrent verkrijgt? Natuurlijk snap ik de content industrie ook wel. Iemand zal voor het aanbod moeten betalen, maar wat de industrie momenteel in stelling brengt om haar belangen te beschermen, zowel in de VS als in Nederland, mist elke proportie. Wat is er aan de hand? De makers van intellectuele werken hebben onder meer het exclusieve recht op openbaarmaking en het exclusieve recht op verveelvoudiging. Met andere woorden, zij bepalen of en onder welke voorwaarden hun werk wordt verspreid. Wanneer content zonder toestemming online wordt aangeboden kunnen ze derhalve eisen dat het werk wordt verwijderd. Dit gebeurt via een zogenaamd notice-and-takedown bevel. De hosting provider zal aan een dergelijk verzoek moeten voldoen. Recent heeft de Haagse rechter in een zaak tussen de Stichting Brein, Ziggo en XS4ALL bepaald dat deze laatsten de toegang tot The Pirate Bay site moeten blokkeren. Ziggo en XS4ALL hosten zelf geen onrechtmatige content, maar zijn slechts een doorgeefluik ( mere conduit ) van informatie. Mere conduits werden tot voor kort niet verantwoordelijk gehouden voor de informatie die ze doorlaten. Internet Service Providers (ISP s) mogen zich net als postbodes niet inlaten met de informatie die ze bezorgen. Dat is maar goed ook. De zege van Brein zet dit echter op z n kop; ISP s worden gedwongen om als politie op te treden in het verkeer dat via hun faciliteiten loopt. Dat is een onwenselijke stap richting censuur. Nog zorgelijker zijn twee wetsvoorstellen die in de VS in voorbereiding waren. De Stop Online Piracy Act (SOPA) en de tegenhanger in de Senaat (Protect IP). Het notice-and-take-down regime wordt hierin verder uitgehold: service providers moeten (nog) actiever maatregelen nemen die voorkomen dat hun gebruikers onrechtmatige content uploaden. ISPs kunnen worden gedwongen om de toegang tot buitenlandse websites die illegale content aanbieden te blokkeren (net zoals door Brein gevorderd in het geval van Ziggo en XS4ALL). Verder moeten zoekmachines, de links naar deze buitenlandse websites die illegale content aanbieden, filteren uit de zoekresultaten. Ook kunnen betaalbedrijven, zoals PayPal, worden gedwongen geen betalingen meer te verrichten aan buitenlandse sites die illegale content aanbieden. Dit alles op basis van claims door rechthebbenden die weinig tot geen bewijs hoeven te leveren van de onrechtmatigheid van het aanbod, of van de schade die ze daardoor lijden. De grote internet bedrijven, zoals Google (inclusief YouTube), Facebook, Twitter en Yahoo zijn uiteraard niet blij met deze voorstellen. SOPA betekent dat iedere blog post, iedere video en iedere afbeelding door de hosters moet worden gecontroleerd. Dat is bijna onmogelijk en verstikt het internet. Service providers zullen erg voorzichtig worden en censuur ligt op de loer. Een ieder kan claimen dat er onrechtmatige of belastende informatie wordt gehost in de hoop dat de aanbieders het verwijderen. Een brede coalitie met juristen, mensenrechtenactivisten, tot en met de Amerikaanse president heeft zich tegen SOPA gevormd. Google en consorten hebben daarom overwogen om het internet eind januari een dag op zwart te zetten om het protest kracht bij te zetten. Zijn dit soort ontwikkelingen het einde van het internet zoals we dat kennen, of is het meer een achterhoede gevecht van de industrie dat ze gaat verliezen? Het wordt tijd dat de contentindustrie de bakens verzet: niet verbieden, maar online diensten leveren tegen fatsoenlijke prijzen. Ik wil helemaal niet knoeien met BitTorrent, ik wil gemakkelijk en snel toegang tot content (via mijn ipad). Het lijkt echter wel alsof de contentindustrie niet door heeft dat we willen kijken en luisteren, in plaats van stad en land aflopen om een veel te dure DVD te kopen. De Amerikaanse itunes store laat zien dat het ook anders kan: een TV aflevering, zonder reclame, kost daar $1.99 ( 1,56). Nu Homeland nog in het (Nederlandse) assortiment opnemen. 15

16 Social engineering Joost van Beijsterveld

17 Social engineering Vandaag de dag maakt haast ieder bedrijf gebruik van informatie technologie (IT). Deze IT is kwetsbaar voor verschillende bedreigingen. Een organisatie kan de beste beveiligingstechnologieën aanschaffen en hun mensen zo goed mogelijk trainen, maar ze blijven zo sterk als de zwakste schakel: de mens. Misbruik maken van deze zwakke schakel heet ook wel social engineering. De vraag is hoe bedrijven zich kunnen beschermen tegen de dreiging van dit fenomeen, genaamd social engineering. Information gathering Development of relationship Exploitation of relationship Execution to achieve objective Figuur 1: De social engineering aanvalcyclus In de literatuur zijn er diverse definities van social engineering te vinden. Wat echter in iedere definitie terugkomt, is dat het een slimme manipulatie is van de menselijke neiging om anderen te vertrouwen. Kevin Mitnick (2005), een van de meest vooraanstaande personen op het gebied van social engineering, definieert het begrip als volgt: Social engineering is het gebruikmaken van manipulatie, beïnvloeding en misleiding, om een betrouwbaar persoon binnen een organisatie te laten voldoen aan een verzoek. Dit verzoek betreft vaak het loslaten van informatie of een bepaalde actie uit te voeren in het voordeel van de aanvaller. Volgens onderzoek van Gartner bestaat social engineering (SE) uit vier stappen, zoals te zien is in figuur 1. Allereerst verzamelt een social engineer zoveel mogelijk (globale) informatie door verschillende technieken toe te passen. Voorbeelden van methodes die de social engineer gebruikt zijn zich voordoen als iemand anders, afval doorzoeken, achter iemand een deur met toegangsbeveiliging binnenlopen, afluisteren, phishing etc. De informatie die zo verzameld wordt is vaak nog onschuldig. Nadat de informatie verzameld is, ontwikkelt de social engineer een relatie met een insider, om hier vervolgens misbruik van te maken. De laatste stap voor de social engineer is om op basis van de verzamelde informatie zijn einddoel te bereiken, zoals het achterhalen van geheime informatie. Attack type Short con Attack Deceptive relationship Influence techniques Long con Physical attack Combination attack Social attack Soc. psyc. vulnerabilities Figuur 2: Conceptueel model 17

18 De aanval van een social engineer is schematisch weergegeven in het conceptueel model van figuur 2. Zoals te zien, bestaat een aanval uit een enkelvoudig of meervoudig contact tussen aanvaller en doelwit. De aanval zelf is een fysieke, sociale of combinatieaanval, waarbij een bepaald type aanval hoort (bijvoorbeeld je voordoen als iemand anders). Bij deze aanval wordt vervolgens misbruik van de mens gemaakt door deze te misleiden. De motieven van een social engineer Door de motieven van een social engineer te weten, kun je je beter beschermen tegen social engineering. Social engineers hebben zowel goedaardige als kwaadaardige motieven. Alleen de kwaadaardige motieven zijn een bedreiging voor een organisatie en dus van belang. Er zijn in totaal een viertal kwaadaardige motieven: Economisch motief: De social engineer streeft naar financieel gewin. Politiek motief: De aanvaller gelooft heilig in zijn doel en is bereid alles te doen dit doel na te streven. Sociaal motief: Respect of macht verkrijgen. Dit hoeft niet perse schadelijk te zijn. Wraak: Het hoofddoel van een aanvaller met dit motief is om schade aan te richten. De bedreiging In de literatuur zijn er veel voorbeelden te vinden van geslaagde social engineering aanvallen. Een voorbeeld hiervan is de aanval op de ABN AMRO bank te Antwerpen: Drie jaar geleden wist een oudere man de sympathie van vrouwelijke medewerkers van de diamantopslag van ABN Amro in Antwerpen op te wekken, door als succesvol zakenman regelmatig langs te komen, zich als grote klant voor te doen en regelmatig een doos chocolaatjes mee te nemen. Het was goedkope chocola, vertelt Nickerson, maar met dergelijke presentjes roep je al snel een losse, informele sfeer op. Na verloop van tijd wist de man genoeg vertrouwen op te wekken om ook buiten kantoortijden toegang tot het gebouw te krijgen. Op een zeker moment verdween de man weer uit beeld, samen met karaten aan diamant. (Schneider 2007) Over de auteur: Joost van Beijsterveld volgt momenteel de master Information Management aan de Universiteit van Tilburg. Zijn bachelor thesis over Social engineering is beloond met de best paper award. Daarnaast is Joost oud-voorzitter van de.ego Weblog. Uit de literatuur kan worden opgemaakt dat SE een echte bedreiging vormt voor bedrijven. Deze bedreiging heeft een tweetal succesfactoren, namelijk de zwakke menselijke schakel en de relatieve eenvoudigheid om het uit te voeren. Wat betreft de zwakke menselijke schakel is het de vraag waarom de mens zo zwak is. Wat uit diverse onderzoeken naar voren komt is dat de mens er niets aan kan doen dat hij vatbaar is voor social engineering. Dit komt omdat de mens op veel situaties automatisch reageert. Zo luisteren mensen naar gezag en willen zij over het algemeen graag aardig gevonden worden. Van deze menselijke zwakheden maakt een social engineer gretig misbruik, door deze mensen te bespelen met de zogenaamde weapons of influence (Cialdini, 2001). Volgens Workman (2007) worden mensen die snel anderen vertrouwen, autoriteit gehoorzamen of denken dat social engineering hun niet overkomt, eerder slachtoffer van social engineering dan mensen die de desbetreffende eigenschap niet bezitten. Onderzoek heeft overigens aangetoond dat bovenstaande zaken niets met intelligentie te maken hebben. Niet alleen is de mens een zwakke schakel, daarnaast is social engineering relatief simpel om uit te voeren. Veel organisaties focussen hun informatiebeveiliging vaak volledig op technische en fysieke beveiliging. Hierdoor creëren bedrijven de illusie dat ze veilig zijn, maar het tegenovergestelde is waar. Hoe moeilijker een bedrijf technisch te hacken is, hoe sneller een hacker overstapt op social engineering. Hierbij komt nog eens dat het fenomeen social engineering erg onderbelicht is en veel mensen niet eens weten dat het bestaat. Daarnaast neemt social engineering weinig kosten en lage risico s met zich mee en zijn de benodigde skills voor social engineering eenvoudig om te leren. Belangrijk om te vermelden is dat de relatieve eenvoud van social engineering de laatste jaren alleen maar versterkt is door de opkomst van social media. Op deze social media staat veel persoonlijke informatie die nu nog makkelijker te verkrijgen is door social engineers. Het risico van social engineering Het is erg lastig voor een bedrijf de risico s te meten, aangezien één kwetsbare medewerker de gehele organisatie kwetsbaar maakt en veel social engineering aanvallen vaak onopgemerkt blijven. Uit de literatuur 18

19 Social engineering Company aspects Vulnerable aspects Strategy Value & Development - Good market position - Colliding political opinion Structure Processes & Organization - Size of the company - Division in physical locations - The way the company works - Employee information (who, what and where) Culture Leadership & Basic values - Revenge because of resignation - Informal culture - Not involved because of poor HRM People Competences & Development - New employees - Important knowledge available - Good development and storage of development - People are sensitive to manipulation Assets IT, Money & Facilities - Advanced security measures - Presence of financial resources - Presence of different communication tools Results Products & Output - Political sensitive product - Interesting services Figuur 3: Het kwetsbare bedrijfsprofiel (Janssen 2005) wordt duidelijk dat iedere organisatie kwetsbaar is voor SE. De vraag is echter hoe kwetsbaar. Janssen (2005) heeft een kwetsbaar bedrijfsprofiel opgesteld wat te zien is in figuur 3. Als één van de kwetsbare factoren (rechter kolom) aanwezig of groot is binnen een bedrijf, loopt het een verhoogd risico om slachtoffer te worden van social engineering. Een groot bedrijf loopt bijvoorbeeld een groter risico dan een klein bedrijf waar iedereen elkaar kent. Je bedrijf wapenen tegen social engineering Zoals gezegd loopt ieder bedrijf het risico slachtoffer te worden van social engineering. Door tegenmaatregelen te nemen, kan het risico worden gereduceerd naar een aanvaardbaar niveau. Nohlberg (2008) heeft een model opgesteld, genaamd The Cycle of Deception (figuur 4). De zwarte punt staat voor het doel van de social engineer. De binnenste cirkel stelt de acties van het slachtoffer voor, de middelste cirkel die van de verdediger en de buitenste cirkel die van de aanvaller. De gedachte is dat minstens één van de stappen in de verdedigingscirkel (midden) goed genoeg is, waardoor de aanval zal mislukken. Het gaat er dus om je verdediging sterk genoeg te maken. Er is echter geen sleuteloplossing waarmee je social engineering tegengaat. Wel zijn er een hoop tips and tricks zoals het direct ontzeggen van toegang tot het systeem als een medewerker is ontslagen. Het nadeel van deze tips and tricks is dat deze op den duur bekend raken en een social engineer hier omheen gaat werken. Daarnaast creëer je op deze manier weer de illusie dat men denkt goed beschermd te zijn. Het gaat er dus uiteindelijk om een oplossing voor de lange termijn te vinden. Uit de literatuur komen twee algemene maatregelen naar voren om de beveiliging tegen social engineering te verbeteren. 19

20 Advertise Social engineering De eerste is training en beveiligingsbewustzijn. Gebruikers moeten zich ervan bewust zijn wat een social engineer is en hoe hij te werk gaat. Om dit te bereiken moeten gebruikers getraind worden in het kennen en toepassen van de richtlijnen en procedures met betrekking tot beveiliging. Deze training moet niet in de klas plaatsvinden, maar door zogenaamde penetratietesten, waarbij een goedaardige social engineer een social engineering aanval uitvoert. Op deze manier ervaren de medewerkers wat social engineering is en hoe ze zich hiertegen kunnen wapenen. Dit trainen is een continu proces. Men moet er constant aan herinnert worden dat social engineers bestaan en wat ze kunnen veroorzaken. Aangezien het iets is wat niet iedere dag voorkomt, denkt men al snel dat het gevaar geweken is, maar dit ligt altijd op de loer. Mann (2008) vindt dat er naast het creëren van bewustzijn en training ook nog systemische maatregelen moeten worden doorgevoerd. Deze maatregelen dienen als een tweede schil, mocht de eerste (menselijke) schil toch doorbroken zijn. Beveiligingsbeleid (security policy) is de tweede algemene maatregel tegen social engineering. Dit zijn duidelijke instructies die dienen als richtlijn voor medewerkers om informatie te beschermen. Het is belangrijk dat deze richtlijnen in overeenstemming met het personeel tot stand komen, zij gaan er immers mee werken. Daarnaast moet het beleid door het hoger management worden gesteund, moet het voor iedereen begrijpelijk beschreven staan en moet duidelijk zijn waarom het belangrijk is dat men het nastreeft. Het beveiligingsbeleid kan niet in steen worden geschreven, maar vereist continu aanpassingen. Naarmate de tijd vordert, doen zich nieuwe kwetsbaarheden voor waarop het beveiligingsbeleid afgestemd moet worden. Zo is er een nieuwe kwetsbaarheid ontstaan door de komst van social media, waarop het beveiligingsbeleid moet worden aangepast. Dit gebeurt door afspraken te maken over het gebruik van dit nieuwe medium. Tot slot moet het beveiligingsbeleid ook worden aangepast als er zich een incident heeft voorgedaan, zodat dit incident zich niet herhaalt. Recruit & Cloak Evolve/Regress Recover Respond Ignore Accept & Regress Evolve/ Execute Detect Submit Deter Plan Expose Socialize Figuur 4: The cycle of deception (NohlBerg, 2008) Protect Map & Bond Gebruikte referenties in dit artikel: - Cialdini, R. (2001). Influence. Allyn & Bacon, p. - Janssen, D. (2005). Social engineering: de menselijke schakel in informatiebeveiliging, Radbout Universiteit. - Nohlberg, M. (2008). Securing information assets: Understanding, Measuring and Protecting against Social Engineering Attack, DSV Report Series, No Mann, I. (2008). Hacking the Human Social Engineering Techniques and Security Countermeasures. Gower Publishing, p. - Workman, M. (2007). Gaining Access with Social Engineering: An Empirical Study of the Threat, Information Security Journal: A Global Perspective, Vol. 16, No. 6,

21 Sociale isolatie COLUMN Vorige week woensdag stond ik op de loopband in de sportschool uit te kijken over het plein ervoor. Dat plein, en dus ook mijn sportschool, ligt midden in het centrum en op woensdagmiddag is het daar behoorlijk druk. Terwijl ik aan mijn conditie werk kan ik dan lekker mensen kijken. Wat me opvalt, is dat steeds meer mensen, vooral jongeren die in een groepje of duo door de stad lopen, niet alleen aandacht hebben voor elkaar en de omgeving. Sterker nog, hun aandacht is helemaal niet bij hun gezelschap of de winkels op het plein. Ze worden volledig in beslag genomen door hun telefoon. Ik vind het een raar gezicht: zo n duo dat gebroederlijk of gezusterlijk zwijgend op hun telefoons loopt te kijken. Waarom ga je dan met een vriendin naar de stad? Waarom ga je dan überhaupt naar de stad? Ik verstuur ook wel eens berichtjes of ik bel terwijl ik in de stad loop, maar dan ben ik vaak alleen. Bovendien doe ik dat maar even, of het gesprek gaat over iets dat ik in de stad nodig heb, zoals een cadeautje voor iemand. En zelfs daar geneer ik me dan een beetje voor. Want, wie weet, bots ik wel tegen iemand op of snijd ik iemand de pas af. Dat vind ik onbeleefd. Maar misschien ben ik wel ouderwets, is dit iets van een andere generatie, zoals oudere mensen dat altijd zo mooi zeggen. Toch vind ik het jammer als dat zo is. Niet alleen omdat ik het een raar gezicht vind, al die mensen die rondlopen en alleen gefocust zijn op hun telefoon, maar je raakt er ook oog voor je omgeving mee kwijt. Letterlijk en figuurlijk. Als ik niet-op-mijn-telefoon-kijkend van mijn werk naar huis fiets, moet ik tegenwoordig regelmatig uitkijken voor twee of soms voor drie fietsers, omdat de mensen voor me niet twee handen aan het stuur en hun blik op de weg hebben, maar één hand aan de mobiel en hun blik op het scherm. Zij zijn compleet ergens anders, sociaal geïsoleerd, terwijl ik ze probeer te ontwijken en ondertussen niet onder een auto, bus of vrachtwagen wil rijden. Ze rijden niet weg bij een groen verkeerslicht of slingeren over het fietspad omdat ze toch echt twee handen nodig hebben om te Whatsappen. Er is al een tijd veel aandacht voor de veiligheid van sociale media. Dan gaat het meestal om het privacybeleid van Facebook of Google, maar door mobiel internet komt zelfs de verkeersveiligheid in het geding. Laatst hoorde ik op de radio dat een meisje in Amerika zich dood had gereden terwijl ze zat te Facebooken in de auto. Kort voordat ze het ongeluk veroorzaakte, stuurde ze nog de wereld in dat ze het kort ging houden omdat Facebooken in de auto veel te gevaarlijk is. Gelukkig had ze dus wel enig besef, maar kwam het voor haarzelf te laat. In Nederland is handheld bellen en smsen in de auto verboden en aanverwanten daarvan, zoals Facebooken en Whatsappen, dus ook. Verkeerskundigen zijn van mening dat bellen in de auto helemaal verboden moet worden omdat het de aandacht van de weg houdt. Maar ik vraag me af of dat wel te handhaven is. Voor veel mensen is de telefoon zo n essentieel verlengstuk geworden dat ze niet meer een paar minuten zonder kunnen, laat staan een lange autorit. Ik vind het bovendien idioot dat mensen liever met anderen op afstand bezig zijn of met wat zich virtueel afspeelt, dan wat er om hen heen gebeurt en met wie ze op dat moment zijn. Daar hoort je aandacht volgens mij te zijn. Prima, als je in je eentje ergens rustig zit en met je telefoon speelt. Maar in het verkeer moet je aandacht op de weg en je medeweggebruikers zijn gericht, niet bij je virtuele vrienden die op dat moment misschien wel onder een tram lopen. Hoe zou je je voelen als dat gebeurt? Voel je je dan schuldig? Bén je dan schuldig? Kun je het jezelf ooit vergeven? Of ga je diezelfde avond nog gezellig met je lief op de bank tv kijken? Jij naar een voetbalwedstrijd op de good old tv, zij naar een film op de tablet. Dat vind ik ook zo n armoedige ontwikkeling. Willen we echt zo individueel en egoïstisch zijn dat je naast elkaar op de bank gaat zitten, maar naar een ander tv-programma gaat kijken, allebei met een koptelefoon op het hoofd? Ik wil me niet opsluiten in een ik-wereld, waarin anderen een bijzaak zijn of hoogstens digitaal entertainment. Wat is de kwaliteit daarvan? Waar gaan we naartoe? Wat is nu echt belangrijk? Echt belangrijk zijn voor mij toch de mensen om me heen en mijn eigen veiligheid. Het hier en nu is waar het om gaat, de tastbare sociale omgeving. Dus niet spelen met je mobiel of tablet op de fiets of in gezelschap. Is dat zo veel gevraagd? Over de auteur: Bregje Bakx heeft een blog over dingen die haar verwonderen in het dagelijks leven. Deze column is een bewerking van één van haar blogartikelen. Door: Bregje Bakx 21

22 ediscovery in het mededingingsrecht: doeltreffend genoeg of kan het (nog) beter? Sonja Aćimović

23 ediscovery in het mededingingsrecht Door de toenemende digitalisering van data speelt ediscovery een steeds belangrijkere rol binnen het mededingingsrecht. De Nederlandse Mededingingsautoriteit (NMa) heeft als één van de voorlopers binnen de Europese Unie op het gebied van digitaal onderzoek in augustus 2010 haar nieuwe Werkwijze analoog en digitaal rechercheren 1 (Werkwijze) geïntroduceerd. Deze werkwijze heeft de NMa Digitale Werkwijze (Werkwijze 2007) vervangen en is tot stand gekomen na uitvoerige consultatie met diverse marktpartijen, rekening houdende met de praktijkervaringen van de afgelopen jaren en de huidige stand van de techniek. De Werkwijze is in vele opzichten een verbetering vergeleken met de oude versie en is meer gericht op het vinden van de balans tussen het efficiënt onderzoek doen en het waarborgen van de rechten van ondernemingen en natuurlijke personen die het onderwerp zijn van het onderzoek. Ruim een jaar na de invoering blijkt men in de praktijk echter te kampen met een aantal problemen die niet door de vernieuwde Werkwijze ondervangen is. De voornaamste oorzaak ligt in de technische beperkingen van de gebruikte zoekmethode van de NMa. Dit artikel zal zich richten op de geconstateerde knelpunten bij ediscovery door de NMa en zal enkele aanbevelingen doen die de effectiviteit van digitale onderzoeken mogelijk kunnen verhogen. Het begin van ediscovery: verzamelen van data bij een inval Wanneer de NMa een onderneming verdenkt van gedragingen in strijd met het mededingingsrecht, kan zij een inval bij de betreffende onderneming doen om bewijsmateriaal te verzamelen. Die verdenking kan betrekking hebben op mededingingsbeperkende afspraken zoals prijsafspraken, klantverdelingen en/ of exportbelemmeringen, maar ook op misbruik van economische machtspositie of overtreding van concentratietoezicht (o.a. het niet melden van fusies). Een dergelijke inval vindt onaangekondigd plaats, met als doel het veiligstellen van bewijsmateriaal. Daarbij worden o.a. werknemers geïnterviewd (ediscovery-jargon voor ondervragen) en worden de relevante analoge en digitale gegevens verzameld door de NMa. De selectie van de analoge gegevens verloopt vrij eenvoudig: de NMa bekijkt de documenten ter plaatse, maakt een kopie van de stukken die relevant lijken te zijn voor het onderzoek Over de auteur: Mw. Mr. Sonja Aćimović is sinds 2007 werkzaam als advocaat bij De Brauw Blackstone Westbroek in Amsterdam. Zij specialiseert zich in mededingingsrecht, met name op het gebied van concentratiecontrole en kartelonderzoeken. Zij is tevens lid van de Vereniging voor Mededingingsrecht. Dit artikel heeft zij geschreven op persoonlijke titel. Voor reacties en meer informatie is zij bereikbaar via sonja.acimovic@debrauw.com en neemt deze vervolgens mee. De selectie van de digitale gegevens is daarentegen complexer, mede omdat het meestal om grote hoeveelheden data gaat. Bij het verrichten van digitaal onderzoek, ofwel ediscovery, het is de NMa niet toegestaan om een forensic image 3 te maken van de computers om de gekopieerde data vervolgens op hun eigen kantoor te bekijken. Dergelijke zoekacties zijn immers onvoldoende gericht en kunnen leiden tot zogenaamde fishing expeditions waarbij sprake is van een buitensporige zoektocht naar bewijs van een willekeurige overtreding. De selectie van het relevante materiaal gebeurt ter plaatse, doordat de target folders van (mogelijk) betrokken werknemers, zoals hun inbox, sent items en losse documenten, integraal worden gekopieerd naar harde schijven van de NMa. Vervolgens worden op deze dataset zonder voorafgaande indexering de zoektermen van de NMa losgelaten die de selectie 1 Staatscourant nr , 16 augustus Staatscourant 2007, nr Een integrale kopie van het digitaal opslagmedium waardoor ook inzage kan worden verkregen in de digitale bestanden waartoe de gebruiker geen toegang (meer) heeft, zoals verwijderde bestanden, de historie van bestanden (zoals eerdere versies) en de digitale omgeving van bestanden (zoals de status daarvan). 23

24 vernauwen. Bepaalde bestanden die duidelijk niet binnen de reikwijdte van het onderzoek vallen, worden er daarna uit gefilterd, zoals foto s, software, e.d. De bestanden die overblijven, worden aangemerkt als origineel binnen de reikwijdte en worden meegenomen door de NMa. Ook de niet doorzoekbare bestanden zoals gescande PDF s, TIFF s, e.d. worden meegenomen door de NMa, maar deze categorie bestanden wordt apart gehouden als mogelijk buiten de reikwijdte. De indexering van de gekopieerde bestanden vindt vervolgens plaats op kantoor van de NMa. Pas nadat de NMa met behulp van de zoektermen de (mogelijk) relevante dataset heeft geselecteerd en gekopieerd, wordt na afloop van het bedrijfsbezoek ter plaatse een overzicht met de gebruikte zoektermen aan de onderneming verstrekt. Daarna ontvangt de onderneming een kopie van de geselecteerde datasets op harde schijven, waarbij tevens een door de NMa ontwikkeld zoekprogramma wordt meegeleverd. De onderneming wordt dan in de gelegenheid gesteld om binnen een termijn van 10 werkdagen gemotiveerd aan te geven welke gegevens onder het legal professional privilege 4 (LPP) vallen en dus niet door de NMa bekeken mogen worden. Ook krijgt de onderneming uit coulance de gelegenheid om binnen deze termijn claims te maken ten aanzien van privé bestanden die zich in de verstrekte datasets bevinden. Deze selectiemethode lijkt op het eerste gezicht doeltreffend genoeg om de NMa en de onderzochte onderneming in staat te stellen de aanwezige data te filteren en te doorzoeken voor mogelijk bewijsmateriaal. Toch loopt men tegen een aantal problemen aan als gevolg waarvan digitaal onderzoek minder effectief is dan het zou kunnen en misschien wel zou moeten zijn. Selectie digitaal zoekmateriaal door de NMa: wat hoort er (niet) bij? Welke gegevens binnen dan wel buiten de reikwijdte van het onderzoek vallen, hangt af van het doel en het voorwerp van het onderzoek. De Werkwijze definieert de in scope gegevens als gegevens en bescheiden die naar hun aard en/of inhoud redelijkerwijs binnen het doel en voorwerp van het onderzoek kunnen vallen. Out of scope data zijn daarentegen gegevens en bescheiden waaronder begrepen privé gegevens en bescheiden, die niet binnen de reikwijdte vallen. De selectie van de data die in dan wel out of scope van het onderzoek vallen, vindt plaats met behulp van één of meer zoekvragen die rechtstreeks verband houden met het doel en voorwerp van het onderzoek. In theorie is deze aanpak van de NMa helder en lijkt het voldoende waarborgen te bieden tegen fishing expeditions. In de praktijk loopt men echter tegen een drietal problemen aan bij het afbakenen van het zoekgebied. Zo zijn het doel en het voorwerp van het onderzoek vaak te ruim geformuleerd. De NMa hanteert vaak een ruimere relevante periode en/of marktdefinitie vergeleken met de Europese Commissie, als gevolg waarvan de omvang van de documenten die binnen de reikwijdte van het onderzoek vallen daarmee onnodig groot wordt. Een ander probleem is dat de gebruikte zoektermen over het algemeen niet specifiek genoeg zijn. Om relevante 4 In Nederland omvat LPP alle correspondentie tussen de onderneming en de advocaat (zowel externe als advocaat in dienstbetrekking) en alle stukken opgesteld door de advocaat. De betreffende documenten mogen buiten het onderzoek worden gelaten vanwege het beroepsgeheim van de advocaat. De Europese Commissie daarentegen rekent de stukken van een advocaat in dienstbetrekking niet tot LPP. 5 Een boolean search is een zoekopdracht waarbij documenten met bepaalde woorden of woordcombinaties worden uitgesloten of waar juist specifiek naar wordt gezocht. De woorden AND, NOT en OR worden hierbij vaak gebruikt, maar ook de tekens als +, - of de aanhalingstekens. 24

25 ediscovery in het mededingingsrecht documenten van key individuals te selecteren, gebruikt de NMa vaak als zoekterm de namen van de betreffende personen. Echter, in geval van persoonsnamen met een dubbele betekenis (zoals Groot, Meer of Loon), levert dat vaak irrelevante zoekresultaten op die geen betrekking hebben op het onderzoek. Hetzelfde geldt voor brede termen als markt, prijs of concurrentie, die snel buiten de context van het onderzoek in vele documenten te vinden zullen zijn. Daarnaast geldt dat de toegepaste zoekmethode niet nauwkeurig genoeg is om een adequate selectie van de gegevens te maken. In de praktijk blijkt dat de NMa bij haar zoekactie een groot aantal zoektermen gebruikt (soms meer dan 100), echter zonder daarbij gebruik te maken van de Boolean search 5. Daarom kan het voorkomen dat de zoekactie veel irrelevante zoekresultaten oplevert, waarbij vaak alleen één van de zoektermen in het document voorkomt. Dat in combinatie met een ruime doel en voorwerp van het onderzoek, alsmede brede zoektermen, kan er toe leiden dat een groot aantal geselecteerde in scope documenten in feite out of scope hoort te zijn. De NMa is zelf ook bewust van dit probleem en heeft dan ook aangekondigd hier binnenkort verandering in te gaan brengen. De vraag rijst dan: wat is wél out of scope? De definitie van out of scope documenten die in de Werkwijze staat opgenomen, verliest in de praktijk aan betekenis door de invulling van het begrip in scope. De onderneming mag in de praktijk namelijk alleen een claim indienen ten aanzien van privé bestanden en niet ten aanzien van bestanden die evident irrelevant zijn voor het onderzoek. Deze aanpak is merkwaardig in het licht van artikel 6 lid 3 j artikel 3 lid 6 van de Werkwijze. Wanneer niet kan worden uitgesloten dat een verzameling documenten naast gegevens die out of scope zijn ook gegevens bevat in scope zijn, de betreffende documenten worden opgenomen in een dataset mogelijk buiten de reikwijdte. Op grond van artikel 6 lid 3 zou de onderneming in de gelegenheid moeten worden gesteld om voor alle gegevens binnen deze dataset gemotiveerd aan te geven out of scope is (inclusief privé bestanden). In de praktijk blijkt echter dat deze claimmogelijkheid voor zowel privé als out of scope alleen bestaat voor niet doorzoekbare bestanden zoals de PDF s en de TIFF s die zich binnen deze dataset bevinden. Voor andere bestanden binnen deze dataset is dat niet mogelijk, en moet men volstaan met een privé claim. Ondanks de mogelijkheid om voor PDF s en TIFF s zowel een privé als out of scope claim in te dienen, rijst toch de vraag of daarbij geen sprake is van een fishing expedition? Deze documenten worden immers niet door de NMa ter plaatse doorzoekbaar gemaakt en worden daar geen zoektermen op losgelaten. Gelet op het grote aantal bestanden waar het vaak om gaat, de gelimiteerde zoekmogelijkheden binnen de software van de NMa en de beperkte deadline van 10 dagen, loopt de onderneming bovendien risico op zelf-incriminatie. Immers, een bestand waar geen out of scope claim voor wordt gemaakt, wordt automatisch aangemerkt als in scope. Ten aanzien van deze bestanden zou dit probleem ondervangen kunnen worden

26 door een uitgestelde in scope selectie door de NMa ten kantore. Pas nadat de PDF s en TIFF s geïndexeerd en doorzocht zijn door de NMa waarna een groot deel van de bestanden automatisch buiten de reikwijdte zou vallen zou de onderneming in de gelegenheid moeten worden gesteld om haar privé en out of scope claims in te dienen. Software NMa: beperkte gebruiksfuncties Zoals reeds gezegd, de software die door de NMa wordt gebruikt en die aan de ondernemingen wordt verschaft om de LPP en de out of scope bestanden te selecteren, is beperkt in zijn mogelijkheden. Zo is het niet mogelijk om zoektermen te gebruiken om de review te vergemakkelijken, maar moet men alle documenten één voor één bekijken en aanvinken. Door het grote aantal documenten is dat een enorme exercitie, waarbij het ook nog vaak genoeg voorkomt dat het programma vastloopt en men opnieuw moet beginnen. Om efficiënt te kunnen zoeken, zetten de ondernemingen de data dan ook vaak over naar eigen computers en maken gebruik van eigen forensische zoekprogramma s. Een ander bijkomend probleem van de software is dat het onduidelijk is hoe om te gaan met geprivilegieerde en privé bestanden. De software heeft drie opties: in scope (die standaard staat aangevinkt), out of scope en LPP. Zoals gezegd, staat LPP voor legal professional privilege. Echter, zowel de handleiding als de help functie van het programma definieert LPP als Legal Privilege & Privé. Dit zou dus betekenen dat ook privé bestanden als LPP aangemerkt zouden moeten worden. Dit is echter niet het ediscovery in het mededingingsrecht Alle data kopiëren kan leiden tot een buitensporige zoektocht naar bewijs van een willekeurige overtreding geval: volgens de NMa dienen privé bestanden toch als out of scope te worden aangemerkt, met daarbij de toelichting dat het om privé bestanden gaat. Aanbevelingen aan de NMa: hoe wordt ediscovery nog doeltreffender De NMa heeft met haar Werkwijze een grote stap gemaakt om ediscovery efficiënter te laten verlopen. Toch leidt de huidige situatie nog steeds tot efficiëntieverlies door de manier hoe er wordt omgegaan met in scope en out of scope data. Dit zou bestreden kunnen worden door de huidige technische beperkingen weg te nemen. Door bijvoorbeeld de geselecteerde data ter plaatse doorzoekbaar te maken en pas erna de zoektermen erop los te laten, zou de eerste eliminatie kunnen plaatsvinden binnen de data die volgens de huidige methode in de ruime verzameling van out of scope documenten belanden (met name de PDF s en TIFF s). Daarnaast zou een herzien zoekprogramma aan efficiëntie bijdragen, waarin de knelpunten ten aanzien van de snelheid en de zoekmogelijkheden (zoals het gebruik van zoektermen en Boolean operators) kunnen worden aangepakt. Verder zouden de ondernemingen meer ruimte moeten krijgen om, al dan niet via het zoekprogramma,claims in te dienen ten aanzien van privé, out of scope en LPP bestanden. Dankzij de huidige stand van techniek zou dat haalbaar moeten zijn. Tot slot verdient het de aanbeveling om de termijn voor het maken van claims naar evenredigheid te koppelen aan de hoeveelheid geselecteerde data. Met deze wijzigingen zou de NMa een nog grotere stap vooruit kunnen maken binnen ediscovery. 26

27