Het is een oud en helaas blijvend euvel: ict-onwetendheid verslaat security. Dit is de discussiestelling die Computable-lezers vandaag krijgen voorgelegd.
De uitzending van tv-programma Zembla op woensdagavond 30 november heeft nieuws gebracht, dat voor ict-kenners tegelijkertijd ook weer geen nieuws is. Wat blijkt? Een Nederlandse werknemer van Europol heeft bestanden mee naar huis genomen, die gekopieerd naar een back-up schijf waarna de kostbare data is uitgelekt. De back-up bleek namelijk open te staan voor toegang van buitenaf.
Het uitlekken van de vertrouwelijke Europol-dossiers, over onder meer de Hofstadgroep, is natuurlijk nieuws. De manier waarop dit is gebeurd, is helaas geen nieuws. Een oude wijsheid luidt: zij die het verleden niet kennen, zijn gedoemd om eerder gemaakte fouten te herhalen. Dit soort lekken zijn namelijk jaren terug al vaak voorgekomen en ook gemeld door diverse media. En het mee-naar-huis-nemen van (topgeheim) werk – tegen de regels in – overkomt zelfs de Amerikaanse inlichtingendienst NSA. Ict-onkunde verslaat security, telkens weer. Wat vind jij?
Het heeft te maken met hoe gemakkelijk je je eigen handelen kunt relateren aan de bedrijfsdoelstelling van de organisatie waarvoor je werkt. In dit geval is het een medewerker die kennelijk weet wat het betekent om gegevens op te slaan op een draagbaar medium én werkt bij een organisatie waar vertrouwelijkheid zeer belangrijk is. Verwijtbaar dus.
Maar als een schoonmaker een vuilniszak buiten de deur zet waar papieren inzitten met vertrouwelijke gegevens is dat hem/haar niet te verwijten. Maar degene die de prullenmand gebruikt ipv de versnipperaar weer wel.
Dus ja, ik denk dat menselijke vermogens security zullen blijven verslaan.
Ik denk niet dat “ict-onkunde” verwijtbaar is zolang we vinden dat je voor ict-gebruik volstrekt onkundig moet mogen zijn.
We staan er zelfs op om “onkundige” software te gebruiken, die met of zonder training volstrekt onmogelijk veilig te gebruiken is.
Dat je dan in een volstrekt onbeveiligbare situatie verzeild raakt weten we al een tijdje. Hier is niet tegenop te automatiseren en toch proberen we het, er bestaat zelfs een hele industrie die het probeert, want iets aan die onkunde bij mens danwel software doen is volstrekt onbespreekbaar, zelfs onbenoembaar.
Ik heb hier geen sympathie voor.
Het valt mij altijd weer op dat dit soort spectaculaire datalekken veroorzaakt worden door medewerkers die gezien hun positie een relatief hoge plaats innemen in de hierarchie, want hoe kan je anders toegang hebben tot gevoelige informatie. (zie het schoolvoorbeeld Hilary “die regels zijn niet op mij van toepassing” Clinton).
Wellicht dat het dan ook eens tijd wordt dat senior managers eens serieus bijgeschoold gaan worden in harde IT skills en Security
Eens met Koos Werkeloos. Te meer omdat we wèl een intrinsiek kunnen bouwen maar het niet doen. “Domme” gebruikers? Misschien…maar dan is de ICT industrie oliedom…
@JasperBakker.
Het komt helaas regelmatig voor dat mijn gesprekspartners (vaak ondernemers c.q. bestuurders) te kennen geven dat zij geen interesse hebben in security. Soms wordt zelfs botweg de mededeling gedaan hier geen interesse in te hebben.
Achterliggende gedachtes? Een paar voorbeelden: het loopt zo’n vaart niet, mij zal het niet overkomen, ik heb wel wat beters te doen, … (N.B. Wat opvalt voor een deel argumenten die ook worden gebruikt door drugsgebruikers en rokers!.
Iets dat dus niet zo maar zonder meer verdwijnt door het creëren van awareness.
Een oud verhaal, maar nog steeds juist: “geen pijn, geen verandering c.q. wil om te veranderen!”.