Hygiëne vinden we normaal en leren we al in groep één van het primair onderwijs. Op een gegeven moment krijgen kinderen een eigen huissleutel en o wee, als ze dan vergeten de deur op slot te doen. Later volg je eerste verkeersexamen op de fiets. Maar leren goed met wachtwoorden om te gaan? Dat leert de juf of meester je niet - terwijl iedereen een smartphone heeft en een computer gebruikt en toegang tot internet heeft. En iedereen dus wachtwoorden en pincodes heeft. Iedereen. Dat is gek, heel gek.
Expliciet
Om het expliciet te zeggen: het kennen van online-veiligheidsregels hoort bij de absolute basis van onderwijs. Ik noem dit de cybersecurity essentials. Hieronder versta ik:
-
Voor elk account een uniek niet te raden wachtwoord
-
Gebruik tweestapsverificatie waar mogelijk
-
Gebruik een wachtwoordmanager
-
Herken phishingmails en weet een legitieme webadres of e-mail te herkennen
-
Doorzie pogingen van oplichting
-
Maak backups
-
Syncen met Google Drive / iCloud / Microsoft Onedrive / Dropbox is geen backup
Dit zijn de absolute basisregels. Een beginnetje zogezegd. Hoeveel van deze regels kun jij afvinken? Er is een redelijk kans dat dit er nul zijn, en maar weinigen kunnen ze alle zeven afvinken. Deze bijdrage is niet geschreven om de basisregels bij te brengen, maar om het onder aandacht te plaatsen dat we fout bezig zijn.
Genoemde regels moeten gewoon een onderdeel van primair onderwijs zijn, net als lezen, schrijven, rekenen en aardrijkskunde. En zo moeilijk is het niet. Maar omdat wij de digitale-hygiënevaardigheden als volwassenen niet beheersen, zijn we niet in staat onze kinderen - en ouders - te beschermen. En dat moet veranderen. Als we dit nu goed doen in de basis, dan zal de volgende generatie een stuk veiliger opgroeien.
Wat ik met de onderste regel van de cybersecurity essentials bedoel? Dat een iCloud- of Google Drive-sync geen backup is. Als je per ongeluk ransomware activeert op je computer, dan versleutel je onbedoeld alle bestanden op je computer. Als deze synchroniseren met bijvoorbeeld Dropbox, dan worden de bestanden in je Dropbox dus ook gewoon versleuteld. En dat is maar een voorbeeld.
Als iemand toegang krijgt tot je computer, dan kan deze ook alle bestanden verwijderen of ontoegankelijk maken. Hetzelfde geldt bij het maken van backups op een externe harde schijf. Als er ingebroken wordt, of je huis brandt af, dan ben je alsnog al je data kwijt.
Motivatie
Maar hoe moet het nu verder met 'ons'? Wij gaan niet meer naar school. Hoe gaan wij van cybersecurity essentials een gewoonte maken? Dat is nog best lastig, zeker als je de opsomming herkent, maar er niet naar handelt. Dan kun je jezelf afvragen: waarom doe ik het niet?
Dat komt omdat weten iets anders is dan doen. Om ons gedrag te veranderen en nieuwe gewoontes aan te leren, is er meer nodig. Namelijk motivatie. Als je al een keer bent opgelicht, zal dit je motivatie enorm helpen. Maar veel mensen erkennen het gevaar nog niet. In het verleden heb ik een keer mazzel gehad. Ik vond het rijden met een autogordel beperkend aanvoelen. Ook het hebben van een airbag stond niet hoog op mijn wensenlijstje. Totdat ik een keer achter een collega reed ergens op een dijk in Ter Aar. Een vrachtwagen met oplegger moest ergens langs de dijk zijn en tijdens het kijken naar de huisnummers reed hij ineens midden op de weg. Mijn collega kon geen kant op en kwam frontaal in botsing. Met grote schrik stopte ik mijn auto om te hulp te schieten en ik zag mijn collega uitstappen en aan zijn bloedende neus voelen. Dat was het enige wat hij had terwijl zijn auto helemaal in puin lag. Hij had zijn gordel om en had airbags. Dit was in de jaren negentig. Pas toen kwam het besef dat als ik voor had gereden, ik er niet met een bloedneus vanaf was gekomen.
Dit zou voldoende motivatie moeten geven om aan de slag te gaan. Al was het omdat je dan je kinderen en ouders ook kunt helpen. Maar er is nog iets nodig om je aan de cybersecurity essentials te houden: de tools en middelen die je faciliteren in veilig online-gedrag. Ofwel, je moet ook de gelegenheid krijgen het juiste te kunnen doen. Het is niet makkelijk om voor elk account een ander wachtwoord te verzinnen. Je kunt wachtwoorden wel in je browser opslaan, maar naast dat dit minder veilig is, heb je ook wachtwoorden die je niet in de browser toepast. Daarnaast wil je soms ook meer dan alleen een wachtwoord opslaan, of wil je iets dat de wachtwoorden voor je bedenkt. En daar kan een wachtwoordmanager je bij helpen, naast dat dit erg veilig is. Ook voor het herkennen van legitieme links heb je kennis nodig. Die moet ergens vandaan komen.
Het veranderen van gedrag is dus een combinatie van motivatie, weten en de gelegenheid krijgen. Maar het begint allemaal met het onderkennen dat we de cybersecurity essentials nog massaal niet kennen of negeren.
Een begin
Heb je een organisatie met medewerkers? Dan is de kans groot dat je medewerkers de basis in online-veiligheid nog niet voldoende kennen en toepassen. Dat is een probleem, want het maakt je organisatie kwetsbaar. Naar school gaan je medewerkers niet, dus als je er iets aan wilt veranderen, moet je in actie komen. Een awareness-e-learning aanschaffen is niet voldoende, maar wel een begin. Daarbij moet je medewerkers dus ook motiveren en hen de gelegenheid bieden zich aan de cybersecurity essentials te houden. Zo wordt Nederland weer een klein stukje veiliger.
(Nog een kleine pro-tip. Betalen en online-bankieren doe je veilig met de app op je telefoon. Dat is veiliger dan de browser op je computer. Je app zal namelijk altijd de werkelijke rekening en bedrag laten zien, terwijl je in de browser op je computer gefopt kan worden met een nepsite. Ik kan je talloze voorbeelden geven en boeken vullen, maar dat bewaar ik voor een volgend stuk.)
Reacties
Henri,
Het personaliseren van allerlei online diensten middels een account zorgt voor een onachtzaamheid in het gebruik van wachtwoorden, de inspanning versus de waarde is vaak een hele logische afweging als we kijken naar het ontbreken van 2FA. Deze 'awareness' toepassend denk ik dat het aanmelden bij Computable om een reactie te mogen geven van een heel andere waarde is dan de toegang tot mijn bankrekening en uiteraard geldt hetzelfde voor de 70 partner portalen waarvoor ik een account/wachtwoord heb die ik gelukkig niet om de 90 dagen hoef te wijzigen. Oja, wat betreft het bedenken van sterke wachtwoorden die je ook kunt onthouden mis ik nog wat tips.
Betreffende je volgende 2 punten over oplichting mist je verhaal 'body' en moeten we klaarblijkelijk op deel 2 wachten en ik ga daarom nog even op 'mijn handen' zitten.
Je laatste 2 punten kan ik beamen, één-op-één synchronisatie is geen back-up maar er kan wel sprake van zijn als cloud storage iets anders gebruikt wordt. Het gebruik van cloud storage als back-up target waarbij je een ander account gebruikt voor de scheiding van rechten geeft al bescherming tegen ransomware, een read-only voor de gebruiker volstaat om data terug te kunnen zetten zoals we vroeger op diskettes zo'n schuifje hadden die het overschrijven onmogelijk maakte. Heb je toevallig een tip voor goede back-up software?
it is saai
security is saai
wat zou it security dan zijn ?
geeft niks hoor.
pensioen, ook niet interessant.
statistiek, bah
wetenschappelijk onderzoek, neuh
algemene voorwaarden, click ok.
cultuurfilosofische analyse, toch niet jack weer ?
dataclassificatie, later
hoor en wederhoor, gaap
regressietests, niet leuk
riscanalysis, geen zin in
kleine lettertjes, zzzz
Ik werd via LinkedIn erop gewezen dat mijn artikel online stond. Deze had ik voor de kerst al ingeleverd.
@Dino: Wat wil je dat ik zeg of schrijf? :-) Overigens ben ik van WC-eend en laat je graag zien hoe het ook leuk kan zijn...
Oudlid: Allereerst pleit ik voor het gebruik van een wachtwoord manager en zakelijk diensten vind ik een single-sign-on best een goed idee. Als iemand dan uit dienst gaat, blokkeert dan ook direct de toegang op diverse gelinkte apps. Met een wachtwoord manager hoef je ook geen wachtwoorden te verzinnen. Mijn standaard practice is overigens drie woorden nemen en die scheiden met een teken. Bijvoorbeeld 1Appel!roos!vier zestien tekens, prima wachtwoord, voldoet aan zo'n beetje alle eisen en is redelijk makkelijk met de hand in te voeren als dat een keer nodig is.
Tweestapsverificatie vind ik een vereiste en het wordt al steeds een stukje makkelijk gemaakt. Maar goede oplichters weten die stap ook prima te omzeilen. Ik vond mijn stukje eigenlijk al te lang en body vergt vaak toch wel iets meer woorden.
Maar goed, dit is weer op inhoud. Ik pleit er echt voor dat deze basis gewoon op school gegeven wordt, samen met een lesje privacy. Je hoeft maar één keer goede content te maken die daarna een beetje bijgehouden wordt met bijvoorbeeld nieuwe voorbeelden van oplichting en daar kun je een heel land een stukje veiliger maken.
Op de werkvloer pleit ik voor DHV-ers. De BHV-er ken je, maar dit is de Digitale Hulpverlener. Een laagdrempelige collega die je helpt met vragen of bijvoorbeeld het gebruiken van een wachtwoordmanager.
Wat betreft tips voor back-up... Tegenwoordig heeft praktisch iedereen Google of Microsoft, daar kun je betaald ook extra diensten aan koppelen. Denk bijvoorbeeld aan backupify. Maar als je niet vast wilt zitten aan nog een abonnement kun je denken aan
www.resilio.com . Ook dit is overigens sync. Zo sync ik de computer van mijn moeder en gebruik ik de standaard Windows 10 drive back-up functies. Zo is mijn moeder beschermt tegen brand en inbreken en kan ik in geval van ransomware gewoon een oudere versie terugzetten. Zakelijk moet je wel twee keer nadenken wat zeker in de cloud zijn restore tijden behoorlijk lang. Bittorent is een prachtig protocol en apart dat niemand er nog een dienst voor ontwikkeld heeft.
Dino heeft de 'Corona Blues' waardoor alles saai en eentonig is. Betreffende je voorbeeld voor een sterk wachtwoord zou je ook nog kunnen variëren met cijfers die pretenderen letters te zijn: 1@pp3l!R00s!V1er. Ik weet niet hoeveel brute rekenkracht nodig is om dit soort sterke wachtwoorden te kraken maar ik weet wel dat je abuis bent aangaande het gebruikersbeheer.
Betreffende de DHV-er hoop ik niet dat de lamme de blinde gaat leiden want het gebruik van een wachtwoord manager is nog niet eens het topje van ijsberg, a fool with a tool als het om tintelende vingers gaat omdat ik al te lang op mijn handen heb gezeten:-)
Betreffende een back-up tool heb ik een (gratis) advies voor bedrijven, laat keus niet aan de gebruiker maar zorg voor een centralisatie en RATIONALISATIE want één van de grootste fouten in de beveiliging is het verlies van data doordat werknemers allerlei bedrijfsinformatie in BYO oplossingen zetten. Wij van WC-eend verkopen natuurlijk graag een enterprise oplossing maar het kan ook goedkoper hoewel de kosten van het toegankelijk houden van data je zomaar $200 miljoen aan bitcoins kan schelen als je het wachtwoord niet meer hebt.
Interessant dat je wijst op bittorrent, zeker als het gaat om de omgekeerde back-up. Ik zeg namelijk altijd dat je het ontwerp van een back-up in omgekeerde volgorde moet doen en dus moet kijken naar de snelheid van een (gedeeltelijk) herstel van je dienstverlening. Want als je moeder eerst de olifant via jouw door het rietjes moet zuigen om vervolgens één stukje ervan nodig te hebben dan vrees ik dat je veel tijd kwijt bent met het vinden van een bonnetje;-)
Als je benieuwd bent naar mijn ideeën ik heb geen 'Corona Blues' maar zou weleens eens wat nieuwe gezichten willen zien in de dagelijkse videocalls.
Voor de liefhebbers nog wat aanvullende tips rondom een backup.
Ik geef de voorkeur aan een client-server backup oplossing; bijvoorbeeld in de vorm van Urbackup. Deze is ook beschikbaar voor veel voorkomende NAS-en.
Een dergelijke aanpak is wat beter af te schermen tegen malware/ransomware doordat zowel client- als server-kant niet via een standaard Microsoft mechanisme (AD of SMB) te bevragen is.
Er is keuze uit een server component of een appliance. De server-component kan overweg met losse, externe disken.
De appliance is minder flexibel in zijn storage mogelijkheden. Daar staat tegenover dat er gewerkt kan worden met cloud-storage. Bijvoorbeeld in de vorm van WASABI-storage; een Amazon en Azure clone.
Een backup via een Windows-image-backup vindt ik minder handig. Bij een image-herstel actie is een disk vereist met hetzelfde disk-id als die waarmee de backup is gemaakt. Zo niet, dan weigert Windows de restore uit te voeren.
De waarde van een cloud-achtige backup voor Office365 en/of Google Workplace zie ik niet zo. Tenminste niet als je op file niveau een backup maakt van de OST-bestanden.
Hmm, het onderwerp van mijn stuk was niet de back-up, maar de wens om online veiligheid gewoon te maken. Het gaat in feite om risico analyse, mogelijke dreigingen en te nemen maatregelen. Ofwel, allemaal laagjes.
Oudlid: I'm just a (video) call away :-)
“ de wens om online veiligheid gewoon te maken”
“Het gaat in feite om risico analyse, mogelijke dreigingen en te nemen maatregelen”
Ok – dus als de online veiligheid inderdaad gewoon is, is het risico dat je geraakt wordt door malware/ransomware nagenoeg nihil. Waarmee dan ook de dreiging dat je je gegevens kwijtraakt nagenoeg nihil is. En waardoor het nauwelijks de moeite waard is om iets van een backup te regelen. Zoiets ongeveer?
Mijn 5-centen: als prive-persoon kan ik me nog wel vinden in een dergelijke redenatie. Simpelweg omdat ik dan (min-of-meer) de enige ben die geraakt wordt door een calamiteit.
Maar (semi-)zakelijk, waaronder de vele thuiswerkers en ZZP-ers, eigenlijk niet. Tis te zeggen... in alle awareness trainingen wordt steeds gesteld dat ik als gebruiker (lees: datagene wat er gebeurd tussen rugleuning en scherm) het grootste risico ben. En dat het niet de vraag is of je geraakt gaat worden, maar wanneer. Met in het verlengde: en als je geraakt bent een backup eigenlijk het enige redmiddel is (afgezien van losgeld betalen).
Vandaaruit terug redenerend: wat je ook doet - vroeg of laat ben je de sjaak. Immers, als je denkt "online veiligheid gewoon" goed geregeld te hebben verslapt de aandacht... met alle mogelijke risico's en dreigingen van dien... nadenken over een backup is dan een maatregel van de categorie "better-safe-then-sorry". :-)
Hi will.
Nee. Als je alles goed doet kan het nog steeds mis gaan. Je verkleint alleen de kans en mogelijk de impact.
En back-ups zijn veel breder dan criminaliteit. Voorbeeld: Een gebruiker die per ongeluk een grote map zelf wist op zijn computer.
Ik beweer overigens niet dat "de gebruiker" het grootste risico is. Bij SolarWinds Orion was dat ook niet zo. Waar ik voor pleit is dat iedereen zijn gedrag aanpast en dat dit zo normaal wordt dat je dat op school al leert. Gewoon de absolute basis. Best veel mensen weten wel wat er van ze verwacht wordt, maar handelen daar niet naar. Dus alleen maar informatie zenden is niet voldoende.
Ouders geven kinderen hun eerste mobieltje zonder realisatie wat daar bij komt kijken omdat ze het zelf vaak ook niet weten en toepassen. Het gaat ook niet vanzelf. Zoals Oudlid ook stelt: Een tool is niet voldoende en dat gaat zeker op voor een wachtwoord manager. Verkeerde toepassing daarvan maakt het probleem alleen maar groter.
Henri,
Je hebt aangaande de discussie nu een leuke vijver waarin steeds meer WC-eenden gaan zwemmen want uiteindelijk gaat informatiebeveiliging vooral om de zorg voor data. Uiteraard is je moeder belangrijk maar betreffende gesprekspartners denk ik meer aan organisaties, de rechtspersonen die wettelijke verplichtingen hebben. En wij van WC-eend hebben niet alleen een gesprek aan de keukentafel maar ook aan directietafels en daaruit komt naar voren dat veel organisaties wel weten wat er van ze verwacht wordt, maar handelen ze er niet naar.
Ik denk dat ik je toch maar niet bel, ik zoek namelijk gesprekspartners die het gesprek met de Nederlandse organisaties aangaan omdat de Autoriteit Persoonsgegevens stelt dat je een back-up oplossing zodanig in moet richten dat je aan verzoeken tot verwijdering van gegevens kunt voldoen. En als dat technisch niet mogelijk is dan moet je als organisatie bijhouden welke gegevens na een herstel alsnog verwijderd moeten worden. De vraag of je hieraan kunt voldoen als je onveranderlijk kralen blijft rijgen met puntoplossingen is namelijk geen IT vraagstuk.
Eens met Henry, GBV (Human intelligence) gebruiken is altijd belangrijk. Een vergaand voorbeeld. Ten tijde van de Cuba-crisisgekte in 1962 heeft de Russische onderzeeër commandant Vasily Arkhipov juist gereageerd op de druk door de marine van USA. De laatsten hadden niet door dat de Russen met nucleaire wapens tussen hun doorvoeren, de eerste had geen verbinding meer met de basis. (Zie https://en.wikipedia.org/wiki/Vasily_Arkhipov_(vice_admiral)).
Het idee van DHV-ers ondersteun ik. Die hadden we in de jaren negentig bij mijn toenmalige werkgever. We noemden hen decentrale beheerders en sommigen hadden ook plaatsvervangers. Het was een win-win voor gebruikers en beheerders.
@Jaap: Thanks. Grappig dat je over die Cuba crisis schrijft. In een andere context had ik over RYAN ( https://en.wikipedia.org/wiki/RYAN ) wat geschreven en Oleg Gordievsky en hoe die ook een belangrijke rol heeft gespeeld in het voorkomen van een nuclear war. Ik ben gek op dat soort verhalen.
@Oulid: haha, leuke observatie; allemaal WC-eenden.
Weer een datalake vol wc eenden..
gevaar loert, ook onder de randen waar het vuil zich ophoopt
denk hierom en daarom
en daarvoor heb ik voor u dittem en dattem.
op werk straks laagdrempelige-collega-driven security policy.
straks op school AVG les, waar elke ochtend de telefoons door de leraar worden ingenomen.
Blijven ze er tenminste ff van af en leren ze gelijk hoe security en privacy in de praktijk werken.
En wat moet je met je GBV als security specialisten bittorent adviseren.
Oja Dino, het gevaar loert onder het wateroppervlak want niet alleen de snoek vreet kleine WC-eendjes. Hoewel data lakes een prima oplossing zijn voor ruwe en open data om daar met een rietje nieuwe inzichten uit te zuigen is er ook de 'gesloten' data. Externe factoren zoals wet- en regelgeving bepalen grotendeels de data governance in deze vijver die om ouderwetse kantoorautomatisering gaat waar nog een fysieke DHV-er rond waggelt om wat te kwaken over wachtwoord managers. En wij van WC-eend adviseren in dit schrijven dus niet de digitale transformatie van een verandering in toegangsprotocollen tot data, de inzet van AI met chatbots of analyses van machine gegenereerde data.
Vroeger was alles beter zegt Jaap van Belkum en aangezien ik 30 jaar geleden mijn haar (euh veren) nog had kan ik dat beamen. Vroeger was IT (zonder C van communicatie) vooral nog lekker overzichtelijk omdat elke applicatie zijn eigen servers had. En ja, gebruikers werden toen nog ondersteund door applicatiebeheerders die dagelijks een halve marathon liepen omdat de dataoverdracht nog grotendeels met diskettes ging zoals de back-up nog op tapes ging die één keer per week in een koffer naar het CUC gebracht werden. En 2 keer per jaar gingen we er zelf heen om de uitwijk te testen, was bij wet namelijk verplicht.
@Henri / Oudlid
wanneer je synct met een versioning filesystem kan syncen dan een backup vervangen, wat denken jullie?
Vooral als je het aantal versies hooog zet.
Jan,
Het nadeel van versioning bij ransomware en drive sync is dat de restore dan vaak niet geautomatiseerd is en op "per bestand" basis plaatsvindt. Ofwel; de restore schaalt niet.
Maar wellicht dat dit door de tijd heen verbeterd is.
En ransomware is 1 scenario. Je moet dan ook goed kijken wat er gebeurt bij verwijderen.
Oude mopperduikeend, bedoel je dat de kleitablet toch beter was, voor dan wel na het bakken? Dertig jaar geleden waren er ook fysieke (van FO tot IR) en logische netwerken, vaak deels naast elkaar. Van de protectionistische (KPN) datacommunicatie overbruggingswetgeving had de gebruiker meestal geen idee. Lang niet iedereen wist welke kabels bij welke toepassingen / data / apparaten hoorden, of waar bepaalde data, toepassingen, printers, enz. zich bevonden. Niet iedereen wist hoe zieltogende mini- en mainframe industrieën vooral bezig waren om hun bubble met eigen protocollen, interfaces en dataformaten nog even vrij te houden van concurrenten. WC-eend en Glorix gingen niet samen.
De gebruiker van nu is meestal opgegroeid met computers, is hoger opgeleid, kan nu veel meer zelf opzoeken op het internet / intranet en dus heel veel ICT-vaardiger. Maar veel is ook hetzelfde gebleven door dezelfde politieke en economische motieven en menselijke zwakheden. Knellende applicaties in eigen rekencentra, zijn vaak vervangen door knellende applicaties in een cloud. Kijk naar de toeslagenaffaire. En geheime profileer programma’s maakten dit nog erger. Bijna geen gebruiker durfde dat aan te kaarten. Het ging ten slotte om de kleren van de keizerlijke familie. Het politiseerde OM frustreert nog steeds het onderzoek.
De bomen in het bos van de gedigitaliseerde organisatie, zijn vaak niet goed te ontwaren. De virtuele werkelijkheid en virtuele onwerkelijkheid lijken zoveel op elkaar. Voor gebruikers en voor hun managers blijft meegroeien met de ICT lastig.
Jan,
Let even op mijn opmerking over de 'read-only' met het schuifje op de diskette, als een gemaakte kopie aangepast kan worden dan biedt versioning geen bescherming. Versioning is vooral bedoeld om terug te gaan in de tijd en dat is dan ook één van de problemen met ransomware. Want je productie verlies is het aantal dagen dat je terug gaat in tijd maal het aantal FTE's. En niet alleen in de gedigitaliseerde papierstroom van orders en bonnetjes binnen de gebruikelijke administratieve automatisering kan de schade flink oplopen, ik heb heb namelijk ook onderzoeken een jaar vertraging op zien lopen en daarmee miljoenen zien verdampen.
Om als WC-eend toch wat te zeggen over verandering in toegangsprotocollen wijs ik op het feit dat - mede in veel juridisch-fiscale processen - data vaak één keer geschreven mag worden en daarna nooit meer gewijzigd. Dit proces kun je aanvullen met metadata van een foutdetectiecode zodat je gedurende de gehele lifecycle kan garanderen dat data één-op-één gelijk is toen deze geschreven werd. Ik neem aan dat je genoeg fantasie hebt wat je aangaande de AVG nog meer met deze metadata kunt doen want de meeste back-up oplossingen kennen een database die het terug vinden van data vergemakkelijken terwijl deze optie veelal mist bij een sync.
@Henri / Oudlid
bedankt voor jullie inzicht, daar moet ik in de workflow van backups en syncs nog eens kontroleren.
Bij mij gaat het om het register van registerkassa's, in Oostenrijk verplicht maar vaak moeizaam te beveiligen vanwege te weinig basale ICT-kennis van de gebruikers, steekwoorden automatisch en monkeyproof.
Als oude WC-eend met meer dan jaar 30 ervaring stel ik enkel dat de integriteit en validiteit van datasets niet zo twijfelachtig is als correctheid van de vastgelegde informatie door twee of meer partijen bevestigd is en daarna zodanig opgeslagen wordt dat deze niet meer gewijzigd kan worden. Als je dat met een kleitablet bedoeld dan moet je mijn reactie op de vraag van Jan lezen.
Wij van WC-eend kennen de details van de problematiek waar Jan mee te maken heeft niet maar we nemen aan dat het om hetzelfde principe van integriteit en validiteit zal gaan, de integriteit van het proces zal bepaald worden door een register van input en output en de validiteit van opslag hierin wordt meestal door fiscale wetgeving opgelegd omdat overheid de vijfde penning wil hebben. Overwegende dat je door streepjescode op de producten ook gelijk je voorraad bij kan houden begrijp ik wel de uitdaging van Jan met de 'Edge storage' in een POS-systeem.
Jan, technische back-up oplossingen voor elektronische registerkassa’s en POS zijn er in vele soorten. De vraag is of een technische oplossing aan de juiste, in dezen de Oostenrijkse, wetgeving voldoet. Dit is de Gesamte Rechtsvorschrift für Registrierkassensicherheitsverordnung (RKSV) en aanverwante wetgeving. Daar hebben Nederlandse ICT-ers en WC-eenden geen verstand van. Als het kassasysteem voldoet aan de wet- en regelgeving voor de doelgroep, dan zal deze een back-up bestand kunnen genereren die aan de wet- en regelgeving voldoet; zonder wettelijk vereiste integriteit geen validiteit. Waar de back-up mag worden opgeslagen, hoe vaak, hoe lang en waaraan de beveiliging van de back-up moet voldoen, dat staat ook in de Oostenrijkse wetgeving (deels voortkomend uit de EU richtlijnen). Datzelfde geldt ook voor het moeten kunnen verwerken van een origineel back-up bestand om de compleetheid (volgens de wet) te kunnen verifiëren met behulp van bijv. een eindemaandfactuur en eindejaarfactuur.
Gooi ik een stukje brood in de vijver.....
“Het nadeel van versioning bij ransomware en drive sync is dat de restore dan vaak niet geautomatiseerd is en op "per bestand" basis plaatsvindt. Ofwel; de restore schaalt niet.”
“data vaak één keer geschreven mogen worden en daarna nooit meer gewijzigd.”
“zodanig opgeslagen wordt dat deze niet meer gewijzigd kan worden”
“de uitdaging van Jan met de 'Edge storage' in een POS-systeem”
“Waar de back-up mag worden opgeslagen, hoe vaak, hoe lang en waaraan de beveiliging van de back-up moet voldoen”
Zolang systemen voorzien zijn van een Windows-, Linux- of MAC-smaakje kun je met een client-server backup aanpak uit de voeten. Vanuit de Open Source wereld heeft Urbackup een aantal fraaie mogelijkheden.
Zoek je het meer in betaalde mogelijkheden, kijk dan eens naar Acronis, MSP360 of Ahsay.
Van deze 3 gaat Acronis het verst met zijn notaris backup en aantonen dat opgeslagen gegegevens niet meer gewijzigd zijn.
Alle genoemde tools zijn schaalbaar; zowel backup als restore.
Hallo Jaap,
een die de situatie kent. Wat hier stoort is, dat de kleine ondernemers een systeem voorgeschreven kregen dat in zichzelf te komplex is voor de doelgroep.
Ook al voldoet het kassasysteem aan de wet moet de eigenaar een aantal handelingen doen die hem/haar vreemd zijn.
Na enkele jaren blijkt dat men zelf geen backup maakt, dat moet automatisch.
De wettelijk voorgeschreven vorm van backup (DEP - Data ErfassungsProtokol) moet 1 x per 3 maanden onveranderlijk bewaard worden, dat gaat aan de realiteit voorbij. Een CD/DVD branden is techniek die inmiddels achterhaald is.
Momenteel wordt voor al mijn klanten een volledige backup van de database (dagelijks) en de software (na iedere update) gemaakt, daarmee zou een restore mogelijk moeten zijn.
Omdat dat alles op gewone PC's loopt en voor betroffenen alles te duur is mag je je vragen of de hardware niet een te groot risiko vormt, ik heb een langzaam degenererend systeem gehad waar ook de backups niet meer bruikbaar waren. Je kunt niet alles voor alle klanten kontinu kontroleren, ook niet automatiisch, PC-hardware is geen high-availbility-hardware.
Illustratief is de kontrolle door de balastingdienst, 2 man sterk, wilde met mobieltje de QR-Kode uitlezen voor de kontrole, werkt niet.
20 minuten later realiseert men dat het telefoonsignaal niet door die dikke granieten muren komt.
De bedenker van de RSKV, A-Trust is rijk geworden maar had dan ook hele goede vriendjes in de politiek.
Kort gezegd, het rammelt aan alle kanten waar het de randvoorwaarden betreft, wellicht dat dit nederlandse initiatief daarom in nederland niet ingevoerd is . . . .
Zoals ik het lees stelt RKSV dat elke afzonderlijke contante transactie met inbegrip van de elektronische handtekening moet worden vastgelegd en opgeslagen. Ik vermoed daarom dat de QR-code enkel bedoeld was om de geldigheid van de door A-trust uitgegeven certificaten te controleren. Kortom, is kasregister wie het zegt te zijn zonder password manager van Henri maar met een cryptografische module waarover RKSV eisen stelt als het om de cryptografische algoritmen gaat. Klagen over de 'stempelaar' is een optie maar we hebben het over machine-genereerde data in de edge ter controle van een (fiscaal belastbaar) proces waarin de integriteit steeds vaker door cryprografische modules bepaald wordt. In dit geval de omzetteller waarvan ook het LOGBOEK van de gegevensregistratie gepreserveerd moet worden, bedankt voor u stem op Hugo!
Wij van WC-eend kunnen ook allerlei oplossingen in de vijver gooien maar de preservering van bepaalde data uit de edge is volgens mij wat anders dan een back-up. En als het niks mag kosten dan hoef je deze oude mopper duikeend niet te bellen want dat zijn vaak de klanten die de rekening niet betalen. Mijn eigen kleine WC-eendjes hebben al geleerd dat je een oude kale mopperduik eend niet kunt plukken;-)
Henri,
Met 25 (+1) reacties ben je nummer 1 in Meest besproken maar de discussie ging dan ook alle kanten uit. Van de traditionele kantoorautomatisering met DHV gingen we naar de edge van een omzetteller door de kleitablet die Jan in de vijver gooide. Nu staat bij edge computing veelal niet de gebruiker centraal maar de klant en deze wordt steeds vaker bediend door een machine waar niet alleen cryptografische modules een steeds belangrijkere rol in gaan spelen maar ook de biometrische modules. De vraag is dan ook of we straks nog onze kinderen een eigen huissleutel geven met het risico op verlies. Tenslotte wordt biometrische technologie wereldwijd ingezet in een breed scala aan verticale markten voor fysieke toegangscontrole. Soms met 2FA als ID-beheer voor bezoekers van een voetbalstadion maar vaak volstaat de 'digitale handdruk' als vervanger voor een sleutel.
Het wachten is dus op een volgende stuk, ouderwets met de ZZP-er als DHV-ers of wat meer op de nieuwe digitale realiteit van een chatbot als DHV-er gericht. Ik vrees namelijk dat de traditionele kantoortuinen een voltooid verleden zijn en dat we straks flexibele ontmoetingsplaatsen hebben met een fysiek toegangsbeleid op basis van biometrische templates die veel makkelijker uit te wisselen zijn dan sleutels. Ik zou bijna zelf jouw vervolgverhaal schrijven;-)