Elke werkdag behandelt Computable een onderwerp waarover lezers kunnen discussiëren. Vandaag over de onmacht van technologie als het aankomt op security. Menselijk gedrag is en blijft de zwakke schakel, waar technologie geen sluitend antwoord op heeft.
Problemen, helpdeskcalls, it-ergernissen, productiviteitsdips en zelfs securityschendingen zijn vaak terug te voeren op gebruikersfouten. Soms maken gebruikers fouten uit onkunde of onwetendheid, soms uit gemakzucht of zelfs onverschilligheid. Ongeacht de oorzaak, menselijk gedrag speelt een grote rol op it-beveiligingsgebied, blijkt uit onderzoek en quizzen van onder meer Cisco en ook Intels beveiligingstak McAfee. Daar valt met technologie niet tegen op te boksen. Wat vind jij?
Zolang de gele briefjes met wachtwoorden nog onder het toetsenbord liggen of aan de monitor hangen valt er met wachtwoorden niet veel te beschermen.
Maar als je er vanuitgaat dat beveiliging is gebaseerd op de concepten bezit en kennis dan kan technologie kan wel degelijk helpen.
Kennis is bijvoorbeeld een wachtwoord, maar dat kan eventueel worden aangevuld met andere kennis in combinatie met gebruikersnaam en eigen wachtwoord. Denk bijvoorbeeld aan 2e, dagelijks wisselend wachtwoord per afdeling.
Daarnaast kun je werken met iets wat iemand persoonlijk bezit. Op basis van persoonlijke / lichamelijke kenmerken (bv vingerprint, irisscan en dergelijke) of een hardwarematige sleutel.
Het sturen van een sms-je met extra controlecode of ouderwets werken met een codelijst (denk aan tancodes van de postbank) kan natuurlijk ook.
Kortom ja ja ja techniek kan wel degelijk helpen. Het lastige is dat dat wel altijd ten koste gaat van de gebruikersvriendelijkheid van het systeem.
Wat mij betreft een van de beste beveiligingsmethoden tegen ongewenste inzage of misbruik van gegevens is nog om de boel niet online te zetten, er geen draden aan te koppelen, geen gebruikers aan te maken en de data in beton te gieten en dan op de bodem van een diepe oceaan op te bergen. En dan natuurlijk geen backup er van te maken!
Hebben we het hier over het concept security, of over de fysieke implementatie van security?
In het eerste geval: een no-brainer, ja het concept security is onafhankelijk van techniek. Het zijn dan vaak niet meer dan non functional requirements die dan later in een techniek moeten worden geïmplementeerd.
In het tweede geval: een no-brainer, nee, de techniek implementeert hier dan namelijk de security.
Onzinnige kop net als bijvoorbeeld ‘Technologie is irrelevant voor veilig autorijden’. De meeste ongelukken worden veroorzaakt door menselijke fouten maar hoe zou dat zijn als de technologie van het remsysteem faalt?
De technologische mogelijkheden bepalen in belangrijke mate het mogelijke securityniveau. Dat de menselijke factor bepalend is voor het werkelijke niveau, is evident.
Want is het niet de mens die steeds sneller en onverantwoordelijker gaat rijden omdat hij toch een “5 sterren auto” heeft?
Technologie is natuurlijk wel degelijk relevant voor de security. Bij security gaat het echter niet alléén om de technologie. Het al-dan-niet veilige gedrag van de mensen en de inrichting van de organisatie/processen rondom security spelen een belangrijke rol. De technologie moet sowieso goed ingericht worden. Maar ook de aller-aller-allerbeste technische security oplossingen zijn waardeloos als ex-medewerkers na hun vertrek nog een jaar lang de mogelijkheid hebben om in te loggen. Als je niets doet aan het bewustzijn van de medewerkers op het gebied van de risico’s en dreigingen waaraan ze bloot staan (op het werk én thuis!) zullen ze onbewust toch een keer op zo’n phishing email klikken, met alle gevolgen van dien. Als je als management toestaat dat er passwords op Post-it plakkertjes op beeldschermen geplakt worden, moet je niet verbaasd zijn dat een cybercrimineel een keer zijn/haar slag slaat. Als je toestaat dat de kroonjuwelen van een bedrijf (sales / marketing plannen, personeelsgegevens, klantenlijsten, productie-planning, bouwtekeningen, R&D rapporten, etc.) ’s avonds op en bureau liggen moet je niet verbaasd zijn als die informatie een keertje “ineens” verdwenen is. 100% security kan nooit gegarandeerd worden. Je kunt wél veel doen om de risico’s te verlagen. Hoeveel bedrijven hebben wel eens getest hoe gevoelig hun personeel is voor phishing emails? Weet uw personeel hie ze die mails kunnen herkennen? Wat is de procedure in uw bedrijf als een phishing mail binnen komt? Wordt die wel geregistreerd? Bewustzijn bij de medewerkers over de waarde van de kroonjuwelen is van levensbelang om te komen tot een juiste cultuur op het gebied van informatiebescherming. Mensen, processen, techniek. Ze zijn alledrie hartstikke relevant! Onderschat de waarde van de eerste twee niet. Cybercriminelen richten zich steeds vaker op uw medewerkers in plaats van op uw computersystemen! Maak die medewerkers daarom weerbaar.
Onwetendheid, onkunde, onverschilligheid en gemakszucht zijn menselijke eigenschappen die inderdaad niet met techniek op te lossen zijn. Andere menselijke eigenschap die ik hier aan toe wil voegen is arrogantie want vraag die bij me opkomt is welke bedoeling Cisco en Intel eigenlijk hebben met hun onderzoek, ze beginnen op Opstelten met zijn ‘ontsleutelplicht’ te lijken als ik overweeg dat beveiliging al eeuwen met techniek opgelost wordt. Sommigen willen dat we ophaalbrug naar beneden doen, hekwerken weghalen en alle deuren van het slot afdoen waardoor onderzoek klinkt als “Your biological and technological distinctiveness will be added to our own. Resistance is futile.” van de Borg.
Idee van Luuk om data in beton te gieten en op bodem van de oceaan te leggen is leuk want dit gaat om het principe van meerlaagse beveiliging, gevoelige data centraliseren en netwerk segmenteren waarna je de gebruikers er gecontroleerd naar toe brengt in plaats andersom lost namelijk al veel uitdagingen op. Maar ja, arrogantie van sommige gebruikers – en scloudklutsers – verhinderd een simpele oplossing terwijl reactie van HK in dat kader sprekend is als ik overweeg dat we wel snelheidsbeperkingen hebben op autowegen maar met duizelingwekkende snelheid over de digitale snelweg hobbelen zonder dat het voertuig (TCP/IP packet) maar enigzins gecontroleerd is. Dezelfde snelheid lijkt Microsoft trouwens op te breken nu ze wederom een groot ‘Trustworthy Computing’ probleem hebben met 10 jaar oude ARP spoofing zwakheid.