Tenzij je met je politieauto een voortvluchtige crimineel van de weg wilt duwen en dat mooie systeem een ingreep doet. Dan kun je zomaar met je hoofd tegen het dashboard van je dienstauto knallen, want zo’n ingreep is nogal abrupt (Volkswagen daarover: Een remingreep van City Emergency Braking is geen comfortabele ervaring. Het abrupte karakter is speciaal ‘ingebouwd’ om de Volkswagen Touareg-bestuurder ervan te weerhouden om in stadsverkeer altijd en uitsluitend op het assistentie-systeem te vertrouwen.) Niemand bij de politie had om dat systeem gevraagd, het werd standaard door Volkswagen ingebouwd. Nu moeten 300 noodhulpauto’s (voorheen: politieauto) terug naar de garage om het weer uit te bouwen, zo schreef het AD eind augustus*.
Wat een geweldige beveiligingsmaatregel lijkt, hoeft dat niet altijd en overal te zijn. Dat geldt ook bij computers. Zo kan ik mij voorstellen dat het in een ziekenhuis niet per se handig is als bepaalde werkplekken zich automatisch vergrendelen, iets wat in een kantooromgeving toch als een goede maatregel geldt (voor die medewerkers die -L wel eens vergeten). Nee, op bijvoorbeeld een intensive care-afdeling moet het personeel altijd direct zicht op bepaalde monitoren hebben – vertraging door een screensaver kan daar levensbedreigend zijn.
Zo’n vaart zal het in onze kantoren zelden lopen. Maar toch: het zou met niet verbazen als we ook hier sommige beveiligingsmaatregelen hebben geïmplementeerd die averechts werken. Ik heb het dan niet over nuttige maatregelen die als ‘lastig’ worden ervaren, maar over maatregelen die zélf een bedreiging kunnen vormen.
Ik zal een riskant voorbeeld geven. Riskant, omdat het over een onderwerp gaat waarover bepaald geen consensus bestaat: wachtwoorden. Vaak is ergens in het wachtwoordbeleid vastgelegd dat eindgebruikers na een x aantal dagen “hun wachtwoord” moeten wijzigen. Dat moet nog een maatregel zijn uit de tijd dat eindgebruikers één wachtwoord hadden en het aannemelijk was dat dat wachtwoord vroeg of laat zou uitlekken, bijvoorbeeld omdat veel mensen het destijds op een geeltje noteerden en dat onder hun toetsenbord plakten. Tegenwoordig heeft iedereen tig wachtwoorden en we rammen er al jarenlang in dat je wachtwoord iets heel persoonlijks is waar je navenant mee moet omgaan. De eis om wachtwoorden te wijzigen kan dan, in combinatie met de noodzaak om complexe wachtwoorden te verzinnen, averechts werken doordat je het op een snel toegankelijke manier moet opschrijven omdat je niet telkens een nieuw, complex wachtwoord kunt onthouden, en dat dus keer tig. Overigens staat in de toch wel gezaghebbende internationale norm ISO27002 niets over het verplicht wijzigen van wachtwoorden (behalve als het om initiële wachtwoorden gaat, maar dat is dan ook weer logisch). In de BIR, de Baseline Informatiebeveiliging Rijksdienst, is wél weer een maximale geldigheidsduur van drie maanden opgenomen. Zoals ik al zei: er is geen consensus.
Ik ben benieuwd van welke beveiligingsmaatregelen jij als gebruiker vindt dat ze de beveiliging geen goed doen. Wellicht kan een goed onderbouwd verhaal tot een wijziging in het beleid leiden en kunnen we zo samen de informatiebeveiliging weer een beetje versterken.
*) http://www.ad.nl/dossier-nieuws/zelfremmende-politieauto-faalt~a5171ef0/
En in de grote boze buitenwereld …
... heeft Yahoo alle inkomende mail van zijn klanten op verzoek van de inlichtingendiensten gescand op specifieke termen.
http://www.reuters.com/article/yahoo-nsa-idUSL2N1CA1C2
... vinden critici dat Yahoo zich had moeten verzetten.
https://theintercept.com/2016/10/04/delete-your-yahoo-account/
... hebben gebruikers last van beveiligingsmoeheid.
http://www.tripwire.com/state-of-security/featured/cybersecurity-is-just-too-much-trouble-for-the-general-public-claims-study/
... is het zinloos om te proberen het gedrag van de gebruiker te beïnvloeden.
https://www.schneier.com/blog/archives/2016/10/security_design.html
... ontving Open Whisper Systems, de maker van de messaging app Signal, een vordering van het Openbaar Ministerie van Virginia om bepaalde gebruikersgegevens aan te leveren. Ze konden echter slechts zeer summiere informatie verstrekken, hetgeen buiten de inlichtingendiensten als positief wordt ervaren.
http://www.reuters.com/article/us-usa-cyber-signal-idUSKCN1241JM
... heeft Open Whisper Systems zich succesvol verzet tegen het gerechtelijk bevel om niets over de vordering naar buiten te brengen.
https://whispersystems.org/bigbrother/eastern-virginia-grand-jury/
... heeft ook de Facebook Messenger nu end-to-end encryptie. Maar je moet het wel iedere keer opnieuw aanzetten.
https://www.hotforsecurity.com/blog/finally-everyone-can-encrypt-their-facebook-conversations-heres-how-16829.html
... moet je oppassen met hulpvragen via bijvoorbeeld WhatsApp.
https://www.fraudehelpdesk.nl/nieuws/hulpvraag-whatsapp-blijkt-oplichting/
... weet een Zwolse coassistent nu ook dat hij geen patiëntengegevens op een privélaptop mag opslaan. De laptop is gestolen waardoor medische gegevens van ruim vijfhonderd patiënten op straat liggen.
http://www.volkskrant.nl/binnenland/patientgegevens-zwols-ziekenhuis-op-straat-na-diefstal-laptop~a4390608/
... hoor je ook bij IoT-devices het default wachtwoord te wijzigen, maar dat is nog niet zo gemakkelijk.
https://krebsonsecurity.com/2016/10/who-makes-the-iot-things-under-attack/
... schetst deze cartoon een heftig beeld van ransomware op het internet der dingen.
http://www.geekculture.com/joyoftech/joyarchives/2340.html
... luistert deze insulinepomp naar onversleutelde commando's.
http://www.theregister.co.uk/2016/10/05/animas_diabetes_pump_flaw/
... gebruiken Mastercardhouders straks geen wachtwoord meer voor online aankopen, maar een vingerafdruk of selfie.
http://www.volkskrant.nl/tech/selfie-of-vingerafdruk-vervangt-pincode-of-wachtwoord~a4389944
... wijzigt deze innovatieve creditcard ieder uur haar beveiligingscode (de CCV-code op de achterkant).
http://www.thememo.com/2016/09/27/oberthur-technologies-societe-generale-groupe-bpce-bank-this-high-tech-card-is-being-rolled-out-by-french-banks-to-eliminate-fraud/
... dient een besmetting met ransomware, waarbij persoonsgegevens betrokken zijn, als datalek te worden beschouwd.
https://www.fraudehelpdesk.nl/nieuws/versleuteling-bestanden-persoonsgegevens-is-datalek/
... hebben de Britten nu ook een NCSC. Gek genoeg ressorteert dat onder inlichtingendienst GCHQ.
https://www.security.nl/posting/487747/Britten+gaan+van+start++met+National+Cyber+Security+Centre
... worden onze login-gegevens straks door ons lichaam naar een apparaat gezonden.
http://www.theregister.co.uk/2016/10/04/login_transmission_through_human_body/
... moet je bij iOS 10 even opletten of je iPhone of iPad met deze nieuwe versie niet meer informatie prijsgeeft dan je op prijs stelt.
https://www.grahamcluley.com/ios-10-privacy-round/
... moet Nederland met spoed werken aan betere digitale veiligheid.
https://www.security.nl/posting/488057/Rapport%3A+cybersecurity+Nederland+met+spoed+versterken
... is er een tool beschikbaar om te controleren of iemand je via de camera en microfoon van je Mac bespiedt.
http://webwereld.nl/security/94522-zo-check-je-of-iemand-je-bespiedt-via-je-webcam
Geen opmerkingen:
Een reactie posten