Access control voorkomt misbruik kwaadwillend personeel
Vergeet hackers en virussen, aanvallen door het eigen personeel zijn nog steeds de grootste bedreiging voor bedrijven. Nu kan het gaan om werknemers die per ongeluk bestanden verwijderen of mensen die bewust schade aanrichten. Omdat bedrijven zich in de afgelopen jaren voornamelijk op de externe dreigingen hebben gericht, is men de "insider" vergeten.
Door personeel "digitaal in te metselen" kan een hoop ellende voorkomen worden. Gelegenheid maakt tenslotte de dief. Veel ondernemingen hebben de rechten van het personeel echter niet (goed) gedefinieerd, waardoor werknemers vrij spel hebben.
100% beveiliging bestaat niet, maar door duidelijk af te spreken wie waar, en met welke rechten, ergens toegang toe heeft, wordt mogelijke schade wel beperkt. Onze stelling luidt derhalve: Access control voorkomt misbruik kwaadwillend personeel
juist wordt toegepast, de kans op misbruik wel verkleinen.
Beveiliging. Met andere woorden, wie neem je aan in het
bedrijf? Heeft de persoon een strafblad? Is hij bij de
vorige werkgever ontslagen wegens diefstal of andere
criminaliteit? In de wereld van de Nederlandse
beveiligingsbedrijven en de detalihandel, is er sinds kort
een Black List opgericht: iedereen die met Justitie in
aanraking komt, omdat hij of zij tijdens zijn werk de boel
besteelt, kan niet alleen op ontslag rekenen, maar ook kan
hij of zij niet meer aangenomen worden in dezelfde branche.
Ook de Nederlandse beveiliginsbedrijven hebben sinds kort
een Black List systeem opgebouwd. Wordt een beveiliger
betrapt op criminaliteit, dan kan de persoon in kwestie
nergens meer in de branche in dienst treden.
Ook bij winkelpersoneel is een dergelijk systeem op handen
of wordt al hier en daar toegepast. Van de ruim 700 miljoen
euro dat jaarlijks wordt gestolen uit de winkels, daarvan
is de helft voor rekening van het personeel
Het zal duidelijk zijn dat ook deze branche paal en perk
gaat stellen aan de praktijken van de criminele
winkelbediende...
Dan ben je rijp voor de goot en slapen in kartonnen dozen....
Het is dan zorg om een goede relatie te hebben met de
beheerders van die database......
personeel
(jawel, Enron en zo) ontstond doordat de eigenaren van de
systemen aan het knoeien waren. En de systeemeigenaren zijn
ook degenen die bepalen hoe de toegangsregels moeten werken.
Kwaadwillend personeel kan vooral in de marge knoeien.
Vanuit een kosten/baten afweging is het de vraag of dat door
een echte (RB)AC oplossing te verantwoorden is...
Goed ingericht access control levert vooral een bijdrage aan
bewustwording en hogere kwaliteit van verwerking op. Slecht
ingericht AC blokkeert de effeciviteit van de verwerking.
En nee, we zullen kwaadwillend personeel niet misbruiken.
geweest... Gebruikers mochten alles, tenzij het expliciet
geblokkeerd was. Niet op de laatste plaats vanwege de
omschakeling van Unix en Novell naar Windows in de jaren
1996-2000... Bij die systemen was access control
geimplementeerd in het OS op kernel niveau. Bij Windows was
en IS dat nog steeds niet zo. Die omschakeling naar "alles
mag tenzij ik aangeef dat het niet mag" heeft vele problemen
opgeleverd. Wanneer werd voorgeborduurt op "als je het niet
nodig had, krijg je het ook niet" zouden clients nu een
outgoing firewall hebben ipv een incoming... Immers, als
clients niets engs kunnen doen, en de buitenwereld niet op
het netwerk kan, wat is het dan nog het probleem? Dat in
combinatie met een sterk platform als POSIX is een goede
basis voor AC. Een Windows XP machine kan gewoon een
portscan draaien, sterker nog, de gebruiker kan een
programma installeren, waarmee die dat kan. Tja, wanneer DAT
mag, kan alles.. en malware en hackers en crackers en
scriptkiddies maken daar dankbaar misbruik van.
Bij die systemen was access control
geimplementeerd in het OS op kernel niveau. Bij Windows was
en IS dat nog steeds niet zo.
Hoe kom je daarbij? De NT kernel heeft een zeer uitgebreid
model van object
security met access control lists...
Uhuh De originele NT kernel zoals die in Windows NT 3.51
geimplementeerd was ja. Voordat Microsoft Marketing er kost
wat het kost de Cairo interface in moest douwen.
zorgt dat als er iets mis gaat, het aantal verdachten beperkt is. Natuurlijk is
het niet zaligmakend, en moet het gecombineerd worden met een logging
en controle systeem ( wie heeft wat wanneer gedaan) en gecombineerd
worden met een goede mentaliteit. Maar ik ben al heel wat keertjes blij
geweest met systemen waar ik echt niet in kon en die dus echt vernaggeld
moesten zijn door de eigenaar.. Het voorkomt conflicten, en die zijn weer
een bron van onveiligheid. Plus: je wordt gedwongen goed na te denken
over wie wat waar moet mogen.
voorkomt met name de gelegenheidsdief; de drempel wordt namelijk
verhoogd. De echt kwaadwilligen komen er toch wel in.
bedrijf en voor de veiligheid van de mensen die met de
applikaties moeten werken, dat er een goede access control
list is. Echter in de praktijk lukt dat nauwelijks. Veel
applikaties zijn slecht geschreven, van de paar honderd bij
ons in het ziekenhuis zijn er een groot aantal die vereisen
dat de gebruiker van een applikatie alle rechten heeft in
een directory waar het programma en bestanden staan. Je kunt
dan niet zeggen- niet goed geschreven applikatie, komt er
niet in- vaak zijn het applikaties waar geen alternatief
voorhanden is en die door alle maatregelen van de overheid
verplicht zijn om te gebruken en door alle haast door de
ontwikkelaars in elkaar zijn gezet. Vaak wordt er onder
tijdsdruk geen aandacht besteed aan dit probleem.
beveiligingsbedrijven en de detalihandel, is er sinds kort
een Black List opgericht: iedereen die met Justitie in
aanraking komt, omdat hij of zij tijdens zijn werk de boel
besteelt, kan niet alleen op ontslag rekenen, maar ook kan
hij of zij niet meer aangenomen worden in dezelfde branche.
voorbij laten gaan. Waar is die blacklist, wie beheert dat? Waarom ruikt dit
naar privacy-schending?
Kunt u mij een link doen toekomen naar 1 artikel op het web wat dit
beschrijft?
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.