De Kerstman heeft zijn supply chain geoptimaliseerd, maar worstelt nu met de complexe douaneprocessen en hoge invoerrechten

Brief van de Kerstman: problemen met de douane

De Kerstman kijkt nerveus rond in zijn moderne kantoor in de Rotterdamse haven. Zijn elfjes worstelen met de groeiende stapels papier op hun bureaus. Nog een paar weken tot Kerst en hij staat op het randje van een burn-out. Hij vervloekt de dag dat hij adviesbureau McChristmas in de arm heeft genomen. Het is allemaal hun schuld.

“Verplaats het logistieke centrum van de Noordpool naar gebieden dichter bij klanten”, luidde hun advies. “En bespaar op productiekosten door outsourcing aan de goedkoopste producenten in de wereld.” Het klonk als een goed advies, omdat een tekort aan mankracht op de Noordpool problemen dreigde op te leveren.

Geen oog voor details

Maar invoerrechten, exportcontroles, ingewikkelde douaneprocedures en onaangekondigde inspecties – al dat gedoe had het adviesbureau niet voorzien. In ieder geval niet in de managementsamenvatting die hij had gelezen. Had hij toch het hele rapport moeten doornemen? Hoe dan ook, de schade was al geschied.

Voorgaande jaren had hij zich nooit om dit soort zaken hoeven te bekommeren. Hij kon elke ochtend uitslapen en hoefde alleen zijn elfjes aan te sporen. Een paar dagen hard werken eind december was eigenlijk het enige dat hij hoefde te doen. Douaneproblematiek speelde nooit een rol, want de Noordpool lag toch in internationale wateren? Maar sinds de optimalisatie van de supply chain afgelopen zomer zit hij alleen nog maar op kantoor in een poging alle administratieve ellende op te lossen.

Zelfs de Kerstman zoekt online hulp

Zo kan het niet langer doorgaan, denkt de Kerstman terwijl een zachte ‘ping’ verraadt dat hij een nieuw bericht heeft ontvangen. Antwoord van AEB. Eindelijk. Toen hij online naar hulp zocht voor zijn problemen, was hij op deze softwareleverancier gestuit. Het leidde tot een kort mailtje met vragen over digitalisering en automatisering van douaneprocessen.

Zouden ze al zijn vragen hebben beantwoord? De Kerstman bekijkt de mail en doorzoekt de vele bijlagen. Hij ontdekt een document met antwoorden op elke vraag die hij had gesteld. Hij begint meteen met lezen.

  

Beste Kerstman,

Allereerst dank voor uw interesse. We geven normaal gesproken geen advies over douanezaken, maar hebben natuurlijk wel alle kennis in huis en maken voor u graag een uitzondering. Hieronder vindt u onze antwoorden op uw vragen.

1.            Ik heb mijn productie uitbesteed aan producenten uit de hele wereld. Omdat het allemaal om cadeaus gaat, hoef ik toch geen invoerrechten te betalen? 

Helaas zien de Nederlandse en Europese douaneautoriteiten dat anders, zoals u al heeft gemerkt. Al die producenten zijn nu toeleveranciers en waarschijnlijk beschouwen de autoriteiten u – mede gezien de omvang van uw activiteiten – als zakenman. Natuurlijk kunt u hen uitleggen dat u de Kerstman bent en een speciale behandeling verdient, maar daarvoor bestaat geen juridische basis.

2.            Ik ontvang alle zendingen vanuit de hele wereld hier in Rotterdam en mijn team moet alles inklaren. Op Kerstavond gaat vervolgens het merendeel weer terug de grens over naar kinderen over de hele wereld. Wat omslachtig. Kan dat niet simpeler?

Natuurlijk kan dat simpeler. Probeer een entrepotvergunning te krijgen voor het logistieke centrum in Rotterdam. Alle cadeaus die daar liggen, hoeven alleen te worden ingeklaard als ze het entrepot verlaten. Als ze echter meteen weer de EU verlaten, is dat dus niet nodig. Helaas is de tijd om nu nog een entrepotvergunning te regelen wel wat kort.

3.            Als ik mijn logistiek centrum verplaats naar een land buiten de EU en de cadeaus daarvandaan rechtstreeks lever aan de kinderen in de EU – dan hoef ik toch geen invoerrechten te betalen?

Helaas. Wij vermoeden dat de douaneautoriteiten u zullen behandelen als een e-commerce bedrijf. Dat betekent dat u gewoon invoerrechten moet betalen. Maar goederen met een waarde minder dan € 22 zijn tot 2021 vrij van invoerrechten en omzetbelasting. Maar de vraag is of uw cadeaus – gezien de verlanglijsten van vandaag de dag – zo goedkoop zijn. Bovendien geldt deze uitzondering  niet voor alcohol en tabak. Als de producten een waarde hebben tussen € 22 en € 150 hoeft u geen invoerrechten, maar wel omzetbelasting te betalen.

4.            Deze douanerechten vormen een flinke aanslag op mijn portemonnee. Kunnen we de lasten wat verlichten?

U kunt gebruik maken van handelsverdragen. De EU heeft meer dan veertig handelsverdragen gesloten met honderd landen over de hele wereld. Als u goederen uit deze landen importeert, kunt u daarvan profiteren. U moet dan wel een certificaat van oorsprong kunnen laten zien, maar dat is gezien de omvang van uw stromen het proberen waard. Overigens geldt het omgekeerde ook; als u goederen in de EU produceert, levert dat voordeel op bij export naar landen waarmee de EU bilaterale overeenkomsten heeft gesloten.

5.            Als ik voor mijn kerstleveringen van land naar land reis, moet ik dan voor mijn rendieren en slee ook  overal invoerrechten betalen?

Nee, niet als u tenminste al uw middelen weer compleet mee terug naar Rotterdam neemt. U kunt een Carnet ATA gebruiken voor het transport van professionele hulpmiddelen over de grenzen van de deelnemende landen. Voor uw rendieren moet u echter ook rekening houden met de veterinaire regelgeving in de verschillende landen. Wij zijn geen experts op dit vlak, maar als u uw rendieren maandenlang in quarantaine moet stoppen, kunt u overwegen lokale dieren te gebruiken.

6.            En hoe zit het met exportcontrole? Ga me niet vertellen dat ik daadwerkelijk alle kinderen moet screenen tegen sanctielijsten. 

Zo ver wij weten, screent u alle kinderen toch al op ondeugendheid? Maar inderdaad, er  bestaan veel lijsten voor exportcontrole. Dat hoeft niet tot vertraging te leiden. Er zijn IT-oplossingen die op de achtergrond draaien en alle adressen automatisch screenen.

7.            En mag ik cadeaus geven aan kinderen uit landen die onder embargo staan?

Jazeker. De meeste beperkingen bestaan alleen voor wapens en voor goederen voor tweeërlei gebruik. Ze gelden niet voor humanitaire goederen of voor goederen die de dagelijkse behoefte vervullen. Maar u moet wel scherp blijven. Als een kind uit Noord-Korea vraagt om een raketwerper, moeten bij u de alarmbellen rinkelen. Daarnaast is het goed om scheikundedozen en computeraccessoires te controleren op verboden artikelen. Ook voor het versturen van lekkernijen van de EU naar Rusland gelden beperkingen. Houd de recepten van uw kerstkransjes en banketstaven dus bij de hand en pas ze aan als dat nodig is.

Tot slot: veel succes tijdens deze Kerst. We helpen u graag om uw import- en exportprocessen te optimaliseren, maar we begrijpen het als u zich eerst wilt concentreren op de aankomende leveringen.

Fijne Kerstdagen van uw AEB-team

Teenager’s phone confiscated for TalkTalk cyberattack offenses

By Narinder Purba

A 17-year-old who pleaded guilty to offenses relating to 2015’s TalkTalk cyberattack has had his iPhone confiscated and been sentenced to a 12-month rehabilitation order.

The teenager also had his laptop and hard drive taken away, an order that was decided by Norwich Youth Court in the UK.

The sentence, made on December 13^th, followed a hearing into the data breach, where the boy owned up to his transgression and told magistrates: “I was just showing off to my mates”.

“Your IT skills will always be there – just use them legally in the future.”

Speaking to the youngster, who cannot be named because of his age, Jean Bonnick, chairman of the bench chairman, said: “Your IT skills will always be there – just use them legally in the future.”

The attack, which happened on October 21^st last year, cost the telecom group £42 million.

The outcome saw personal data of over 150,000 customers accessed. Of this, 15,000 people had their financial information compromised.

The boy was charged with seven offenses, two of which were related to the TalkTalk cyberattack.

Investigators also found that he had been targeting other websites, including those belonging to Cambridge University and Manchester University.

Speaking to the court last month, he said of his crimes: “It was a passion – not anymore. I won’t let it happen again. I have grown up.”

The age of the cybercriminal highlights how young fraudsters can be. Statistics released by the UK’s National Crime Agency earlier in the year showed that the average cybercriminal is now just 17, compared to in 2015 when it was 24.

Speaking after the attack in 2015, TalkTalk’s CEO, Dido Harding, described cybercrime as “the crime of our generation”.

http://www.welivesecurity.com/2016/12/14/teenagers-phone-confiscated-talktalk-cyberattack-offenses/?utm_source=feedburner&utm_medium=email&utm_campaign=Feed%3A+eset%2Fblog+%28ESET+Blog%3A+We+Live+Security%29

ESET renforce la protection devant la croissance mondiale du ransomware

Le nouvel ESET Ransomware Shield ajoute des couches de protection supplémentaires à ses produits HOME afin de contrôler activement et de bloquer les menaces

ESET renforce ses défenses contre le ransomware et  ajoute Ransomware Shield, une couche de protection supplémentaire aux technologies de protection existantes (Cloud Malware Protection System, Network Attack Protection and DNA Detections). La fonctionnalité est disponible dès maintenant pour les produits de sécurité ESET HOME pour le système d’exploitation Windows.

La fonctionnalité Ransomware Shield contrôle et évalue toutes les applications exécutées en utilisant l’heuristique comportementale et bloque activement tous les comportements qui ressemblent à du ransomeware. En outre, Ransomeware Shield peut également bloquer des modifications aux fichiers existants (c’est-à-dire leur cryptage).    

Ransomeware Shield est activé par défaut et ne demande aucune intervention de l’utilisateur jusqu’au moment d’une détection. A ce moment, le système demande à l’utilisateur s’il approuve ou refuse une action de blocage.

Le ransomeware est un type de malware particulier qui cible les fichiers des utilisateurs. Le type le plus courant, filecorders, crypte les données et demande une rançon afin de pouvoir y accéder à nouveau. Les principaux vecteurs d’attaque sont les pièces jointes aux mails et les kits d’exploitation.

Vous en saurez plus au sujet de cette fonctionnalité, la nouvelle gamme de produits ESET HOME pour Windows consumer portfolio for Windows , ou les menaces qui nous guettent WeLiveSecurity.com.

Distributed Guessing Attack can ‘compromise Visa cards in just six seconds’

By Narinder Purba

Cybercriminals can compromise Visa credit cards in around six seconds through a so-called Distributed Guessing Attack, according to new research from Newcastle University in the UK.

The study reported that shortcomings in Visa’s payment system could allow cybercriminals to work out the card number, expiry date and security code of a debit or credit card.

Moreover, the fraudulent activity, which sees the criminals make numerous attempts to access payment data via this guessing strategy, is not picked up by Visa or the banks.

“The current online payment system does not detect multiple invalid payment requests from different websites,” explained Mohammed Ali, a PhD student at the university and lead author of the research paper.

“This allows unlimited guesses on each card data field, using up to the allowed number of attempts – typically 10 or 20 guesses – on each website.

“Secondly, different websites ask for different variations in the card data fields to validate an online purchase.”

The result is that with all the information that is then gathered, fraudsters can piece together, “like a jigsaw”, all the details needed to commit fraud.

“So even starting with no details at all other than the first six digits a hacker can obtain the three essential pieces of information to make an online purchase within as little as six seconds,” Ali concluded.

It has been suggested that this technique may have been used in the attack on Tesco Bank, although this has not been officially confirmed by the bank or investigators.

In terms of what can be done to thwart this kind of malicious activity, according to Dr. Martin Emms, co-author of the study and a research associate at Newcastle University, “sadly, there’s no magic bullet”.

“But we can all take simple steps to minimize the impact if we do find ourselves the victim of a hack,” he added.

“For example, use just one card for online payments and keep the spending limit on that account as low as possible. If it’s a bank card then keep ready funds to a minimum and transfer over money as you need it.”

http://www.welivesecurity.com/2016/12/13/distributed-guessing-attack-can-compromise-visa-cards-just-six-seconds/?utm_source=feedburner&utm_medium=email&utm_campaign=Feed%3A+eset%2Fblog+%28ESET+Blog%3A+We+Live+Security%29

US-CERT warns Netgear routers can be easily exploited

By Graham Cluley posted 

It has not been a good year for the internet of things, security-wise.

We’ve seen a series of IoT-based DDoS attacks cause widespread disruption of major websites, the release of urgent firmware patches and forced recall of vulnerable webcams, and European internet users have their internet access torn away after their routers were exploited.

And despite our attempts to encourage users and manufacturers to take greater care over router security, it’s clear that many are turning a blind eye to the problem. If you need any greater illustration of that, consider ESET’s own research which determined that at least 15% of all home routers used weak passwords and 20% have open telnet ports.

Now, there’s a new threat.

The United States Computer Emergency Readiness Team (US-CERT) has issued a warning that multiple Netgear routers contain a serious vulnerability that allows a remote unauthenticated attacker to execute arbitrary commands with root privileges on affected routers.

Netgear R7000, firmware version 1.0.7.2_1.1.93 and possibly earlier, and R6400, firmware version 1.0.1.12_1.0.11 and possibly earlier, contain an arbitrary command injection vulnerability. By convincing a user to visit a specially crafted web site, a remote unauthenticated attacker may execute arbitrary commands with root privileges on affected routers. A LAN-based attacker may do the same by issuing a direct request, e.g. by visiting:

http://<router_IP>/cgi-bin/;COMMAND

An exploit leveraging this vulnerability has been publicly disclosed by a researcher calling themselves Acew0rm, who claims he informed Netgear of the issue on August 25th.

AceW0rm has now released a video of what he describes as the “pretty bad” exploit, seemingly in an attempt to encourage a prompt fix.

The flaw is truly trivial to exploit, and is reported to have been confirmed in Netgear’s R7000 and R6400 models. The R8000 router, running firmware version 1.0.3.4_1.1.2, is also thought to be vulnerable.

US-CERT doesn’t mince its words when it comes to its advice for consumers who own vulnerable devices:

Users who have the option of doing so should strongly consider discontinuing use of affected devices until a fix is made available.

That seems reasonable advice when you consider just how easily an attacker could trick an unsuspecting internet user into clicking on a boobytrapped link to compromise their router. And, as there are millions of vulnerable routers connected to the internet, this is clearly a serious problem.

Netgear says it is aware of the security issue, and is working on releasing a firmware update that fixes the command injection vulnerability “as quickly as possible.”

Mindful that many users would prefer to have a fix sooner rather than later, Netgear is offering beta versions of the firmware update to users who want to apply it.

The company is also keen to emphasise that “being pro-active rather than re-active to emerging security issues is fundamental”, and urges anyone who uncovers a security issue in its products to make contact via security@netgear.com.

http://www.welivesecurity.com/2016/12/13/us-cert-warns-netgear-routers-can-easily-exploited/?utm_source=feedburner&utm_medium=email&utm_campaign=Feed%3A+eset%2Fblog+%28ESET+Blog%3A+We+Live+Security%29

Why combining technology with standards could combat fraud

By Miguel Ángel Mendoza

Fraud is still on the increase due to the use of new technologies, causing losses to both users and companies. In an effort to avoid this, new controls and security technologies are being developed, including the modifying of paradigms to understand the current cybercrime topology.

One of the most interesting is the combining of EMV chip card technology and the PCI standard which defines the minimum data security requirements that need to be met by any organization that transmits, processes or stores payment card data. So it involves complying with standards while adopting technology.

When combating fraud related to new technologies, the baseline is to understand that, currently, the purpose of cybercrime is financial gain, which is the main reason it continues to increase. Using organized, specialized groups, cybercriminals have begun to run companies, even with models and business plans of their own.

In this context, different sectors may be affected, but it is without a doubt the financial sector that has proven most profitable for attackers. When organizations and users’ assets are to be affected, fraud has been a method frequently used by attackers, especially fraud related to the banking system’s credit and debit cards.

Bank card fraud – a highly profitable business for cybercriminals

Card fraud involves unauthorized activities using the three main types of card: debit, credit and prepay. Unfortunately, there is a range of threats and different methods by which attackers can carry out their activities effectively. For example, security loopholes in organizations, theft or loss of cards, skimming, social engineering, phishing attacks and the development and propagation of malicious codes, for example PoS (Point of Sale).

This swath of options has made obtaining users’ financial data in order to defraud them its main aim. A recently published study illustrated the problem of fraud, with over two thousand data breaches confirmed during 2015, and around four billion cases of stolen data recorded since 2013. This leads to the conclusion that credentials and users’ card data around the world have been compromised.

In parallel, the black market in data about consumers has matured to the point where it is difficult to distinguish it from a legitimate economy. As a result, recent years have increasingly seen initiatives to increase and improve protection levels within organizations that use financial data, from standards that define good practice to migration to new, securely designed technologies. In a similar vein, the application of security practices by users, in an attempt to mitigate fraud.

In this context, security plays a very important role in mitigating current threats, because exposing users’ data puts them at risk, while organizations can suffer damage to their image and reputation.

Now let’s see why combining technology with standards could combat fraud.

PCI+EMV: Protection based on authentication and data control

So, how does combining a standard with a technology combat fraud?

Transactions involving bank cards are widely used around the world and, although new methods of transactions are starting to be seen, it will be some years before we can begin to use other large-scale payment methods, such as mobile wallets and cryptocurrencies. So it is essential to use security technology alongside bank cards.

In this respect, there are two elements that, combined, help increase card data security and, as a result, reduce fraud. Firstly, security applied to EMV chip (Europay MasterCard VISA) technology, which uses secret cryptographic keys to make it difficult to clone cards and carry out fraudulent operations at points of sale.

This is a type of authentication for the point of sale terminal which works when the card is physically present. Because plastic cards have an integrated chip, the data resides there and this guarantees that the cards are real and not a clone.

Secondly, security standards such as PCI give companies access to adequate security controls so that the data on customers’ cards is protected throughout the transaction process. It was designed bearing in mind the possibility that when the card is inserted into the trader’s system, the holder’s confidential data might be transmitted or stored on their network without any type of protection, which means that it is vulnerable.

This is the point at which the PCI norms define protection elements for the point of sale device and additional security controls, such as updates and security patches in the systems, intrusion detection, access management, secure software development, education, and awareness training for employees, amongst other types of measure.

So the combination of security tools, user good practice, education about security, and having a protection strategy, enable us to use the technology more securely and, in this specific case, to reduce the probability of fraud.

http://www.welivesecurity.com/2016/12/12/combining-technology-standards-combat-fraud/?utm_source=feedburner&utm_medium=email&utm_campaign=Feed%3A+eset%2Fblog+%28ESET+Blog%3A+We+Live+Security%29