Interessante paradigmashift:

Gebruikers zijn een kwetsbaarheid, niet een beveiligingsmiddel.

Wel erg kort door de bocht !
Volgens mij is een beveiliging een zaak van ons allemaal !
Het heeft inderdaad geen zijn om ze uit te leggen wat
rootkits ed. zijn. Maar mensen zijn wel verantwoordelijk
voor hun eigen gedrag (creditcard informatie, pincode,
password; het wordt allemaal zomaar gegeven). Als ze echt
"alleen hun werk zouden willen doen", dan zou het
beveiligingsprobleem een stuk minder zijn maar een hoop
ellende wordt juist veroorzaakt doordat ze gaan lopen
'klooien' en daar ben ik als systeembeheerder echt niet
verantwoordelijk voor!

Ik trek altijd de vergelijking door naar auto's:

Als bestuurder van een auto wil ik er gewoon in kunnen rijden. Als de auto
kapot is gaat ie naar de garage om gemaakt te worden omdat ik er niets
van af weet en er ook niets over wil weten.

Maarrrrr: ik weet wel dat er op tijd benzine in moet, dat ik oliepeil en
bandenspanning in de gaten moet houden en dat de verkeersregels zijn.

De eindgebruiker (bestuurder/computergebruiker) heeft dus wel degelijk
verantwoordelijkheid in het gebruik van de auto/computer.

Tijd om het computerbewijs in te voeren dus!

Wat een vreselijk ongenuanceerde technologische benadering
van Security!

Ronduit stuitend, 10 jaar lang was IT Security een ICT
vraagstuk.
Als je de Infosecurity beurs bezocht hebt zul je gezien
hebben dat velen nog dromen van die periode: Firewalls,
VPN's, Virusscanner, spamfiltertjes.
But a Fool-with-a-tool-is-still-a-fool!

Lekkere experts halen we in huis die deze onzin verkopen!
Anno 2006 is security een MANGEMENT vraagstuk en is de
EXPERT een adviseur en niet meer dan dat. Worden RvB,
geconfronteerd met vraagstukken als Basel2 en SOX dat veel
verder gaat dan TOOLTJES!
Om de gebruikers hierin te laten participeren en
bewustwording te creëeren , maar ook draagvlak te krijgen
voor wijzigingen in de gadgetzieke werknemer, zul je ze
bewust moeten maken van gevaren.
Een op PDA kan meer bevatten dan agenda data
Een USB stick is leuk-voor-thuis.. etc.

Dus een training is beslist een GOED idee!


-- schrijver is sinds 1995 werkzaam in de ICT --

"Beveiliging is de taak van de systeembeheerder of
automatiseringsafdeling, niet de gebruiker."
Beveiliging is de taak van de eigenaar, of dat nou om informatie of over
een gebouw gaat.

Als je je gebruikers traint en geen onredelijke dingen vraagt (iedere week
een ander password dat uit veertien tekens moet bestaan waarvan
tenminste vijf geen letters of cijfers), ben je al een heel eind.

Door alleen op de techniek te vertrouwen voor je beveiliging, sla je de
sterkste schakel over. Gebruikers (mensen) zijn in staat om snel op
veranderende situaties in te spelen. Door ze te vertellen wat een normale
situatie is _en_ ze te vertellen wat ze in een afwijkende situatie (social
engineering anyone?) moeten doen, kunnen ze een waardevolle bijdrage
leveren aan de beveiliging.

Wie heeft bedacht om de persoon die deze mening over
beveiliging heeft een expert te noemen?
Een echte expert richt zich namelijk op beperking van het
probleem, niet het ontzien met een overtuiging dat het
standaard geen nut heeft om het probleem te beperken.

It's the end of the world as we know it, and I feel fine.

Gebruikers willen hun werk doen... Jezus... wat is dat voor
zwak excuus? Bij hun werk hoort het dat ze op hun hoede
zijn. Wie te lui is om op beveiliging te letten verdient het
niet om een salaris te krijgen voor z'n werkzaamheden. Weg
met de zwakste schakel. Al eeuwen moeten de machinisten
onder ons zorgen voor het zwakke klootjesvolk. Laat ze nu
eindelijk maar eens creperen. De wereld is er toch voor de
mensen? Laten we de muizen dan eindelijk eens verdrinken
alsjeblieft.

De reacties van de experts zijn voorspelbaar. Sophos gebruikt gebruiker
educatie als standaard advies als ze niet in staat zijn het probleem zelf op
te lossen. Martin Overton is de enige met echte praktijkervaring en hij heeft
dus gewoon gelijk, gebruikers zijn niet zodanig opvoedbaar dat ze
problemen uit de weg gaan. Techniek moet zoveel mogelijk worden
ingezet om beveiliging inherent te maken.

Praat je ook veel tegen muren kerel? Jezus christus "een
management zaak" wat wil je managen? Tegen all je
applicaties zeggen dat ze maar geen b0fs en format string
vulns moeten hebben? Je ARP protocol "managen" door het te
zeggen dat het voortaan z'n replies maar moet
authentificeren? Brainstormen met de kernel om geen
ongeautorizeerde code uit te voeren? Kom op, doe niet zo
achterlijk. Computers zijn en bljiven een technisch
apparaat, waar gebruikers gewoon te achterlijk voor zijn om
vertrouwd te worden, ja hoor, zeg maar dat ze hun documenten
moeten scannen, ja hoor zeg maar dat ze hun USB sticks niet
naar huis mogen nemen, FOEI STOUTE WERKNEMER! >.>

Denk je nou echt dat ze niks beters te doen hebben? Het
scannen vertraagd de boel, thuis werken is soms even lekker
makkelijk,etc. Mensen staan niet constant bij risicos stil,
zoals dat in het dagelijks leven ook is, anders waren er
immers geen verkeersongelukken meer he?

Dus om je even uit je "risk assesment damage control
security management" droom (of wat voor mooie terment ze
daar ook aan geven om indruk te maken op leken) te halen, je
gaat echt geen security problemen stoppen met wat
gebullshit, wat powerpoint presentaties en een mooi
organigram. Nee, beter kijk je naar de oorzaken ... of
wacht, dat doe je niet want dan ben je "out-of-bussiness"
he? Precies, de hele security industry is een lachertje, en
weet je waarom? Omdat ze gewoon te lam zijn om iets te doen,
omdat ze zichzelf dan uit de business halen.

En waar dient die afsluitingszin "-- schrijver is sinds 1995
werkzaam in de ICT --" voor? Om ons te "overtuigen" met een
"autoriteits"argument? Pffft, ALS SINDS 1995! Nou dat wilt
wat zeggen, sommige mensen zijn al decennia bezig met hun
baan en bakken er nog geen fluit van.....


Maar natuurlijk, weet je wat, laten we het menselijk ras zo
selecteren dat er alleen nog sterken overblijven en de
zwakke verzuipen! Weet je wie daar ook fan van was, een
zeker mannetje met een klein snorretje die in 1933 in een
zekere streek genaamd "bavaria" aan de macht kwam en goed
speeches kon houden >.>

En natuurlijk is de wereld er voor de mensen, hoe zouden we
ook anders kunnen denken? Behalve dan dat de mens pas in de
laatste seconde van de geschiedenis van onze planeet
verscheen en niks anders heeft gedaan dan hem naar de kanker
te helpen .....

Inderdaad ... je werk doen ... DAAR heb je die computer
natuurlijk niet voor gekregen :-)

Hoewel ik hem niet helemaal gelijk geef, want ik denk dat
enige vorm van awareness bij gebruikers wel een must is,
heeft hij natuurlijk wel een punt.

Jij houd je toch ook niet bezig met het beveiligen van het
kantoor waar je in werkt ? En als je niet in een ruimte kan
komen waar je wel moet zijn ga je ook zorgen dat je die
rechten wel krijgt.

Zo is het met desktop's ook. De gebruiker moet zich zo
min mogelijk bezig houden met de beveiliging ervan, en
als hij voor zijn werk bepaalde dingen moet kunnen doen,
moet hij daar de rechten voor krijgen, of daar moet een
andere oplossing voor komen.

Het domme van deze discussie, en volgens mij ook de oorzaak
dat de discussie nooit ophoudt, is dat iedereen denkt in
termen van of-of en niet en-en.
Gebruikers en software kunnen juist allebei een zwakke
schakel zijn. Om internet-leed te voorkomen, moet je dus aan
beide schakels werken. Dus certificeringen voor de
veiligheid van software (en dan bedoel ik geen NT-doos die
zonder netwerkverbinding 'veilig' verklaard wordt). Maar ook
opvoeding van gebruikers. Een serie korte Postbus 51-spotjes
misschien die iets roepen over een firewall, malware enz.
Niet te moeilijk maar in elk geval een bepaald bewustzijn
proberen te kweken.
Criminaliteit roei je niet uit, dat zit al duizenden jaren
in de mens en zal niet volgend jaar verdwenen zijn (is
trouwens nogal subjectief, wie vindt Piet Heyn een held en
wie vindt hem een crimineel?). Het is zaak mensen bewust te
maken dat er op internet geen (verkeers)politie is enz.
Laat kinderen op school leren hoe ze met internet moeten
omgaan, in plaats van ouders hun kinderen te laten bespieden
wanneer ze zitten te chatten (hebben kinderen dan geen recht
op privacy?).
En natuurlijk houd je incidenten, 100% bestaat niet.
Hoe bereik je de mensen?
Niet via deze site in elk geval. De doorsnee-gebruiker, die
niets weet over veiligheid of het misschien niet boeit, komt
niet op sites als deze, waar techneuten en ander gespuis
zich ophouden.
Zo'n waarschuwing om geen IE te gebruiken, zou niet alleen
op http://www.waarschuwingsdienst.nl moeten staan, maar op de
voorpagina van de telegraaf desnoods. Dán zien de mensen het
en misschien dringt het na een keer of wat door...:)
Er is wel een kwalijke kant aan de zaak. En dat is dat
sommige leveranciers bewust kiezen voor onveilige
standaardinstellingen, omwille van compatibiliteit en
gebruiksgemak. Zelfs in tijden dat computer-criminaliteit al
een serieus probleem vormt.
Dáár zouden overheden misschien wat harder tegen moeten
optreden.

Heel jammer om
informatiebeveiliging te beperken tot de IT beheer club. Tuurlijk is het
goed als we veel technische beveiliging hebben die de gebruikers niet
hindert. Maar techniek kan NOOIT elke vorm van menselijk falen
voorkomen en gebruikers moeten leren omgaan met vertrouwelijke
gegevens ongeacht de vorm van verspreiding (papier, electronisch, etc.).

Meer dan summiere voorlichting draagt nauwelijks bij aan een betere
veiligheid. De kosten van meer voorlichting (tijd) zijn hoger dan de
opbrengst (meer veiligheid). Uiteraard ga je daarbij uit van een al
aanwezig technische beveiliging.

@Constant:
Beveiliging is nooit 100%, en dat kan derhale niet een doelstelling zijn.
Beveiling is niet het doel, het doel is de organisatie goed te laten draaien.
Je moet je richten op een goede kosten/baten afweging.

Al eeuwen moeten de machinisten
onder ons zorgen voor het zwakke klootjesvolk.Laat ze nu
eindelijk maar eens creperen.De wereld is er toch voor de mensen?
Laten we de muizen dan eindelijk eens verdrinken alsjeblieft.
Deze uiterst rechtse opvatting,kan ik niet plaatsen.En zeker hier niet.
Hoever moet je gezonken zijn met deze zieke gedachte.
Totaal geen respect voor de mensheid,en om even aan te geven
hoe fout zulke opmerkingen zijn, wil ik je er aan herinneren
dat dit al eens 6 miljoen doden koste !

Geachte redactie,
t.a.v. bericht “beveiligingslessen zinloos voor gebruikers” tref ik ook aan de
berichten, o.a.: Windows CE extreem kwetsbaar, hackers stelen 400.000
van bank, bescherming windows kernel snel gekraakt, office zo lekt als
een mandje, haxdoor maakt duizenden slachtoffers, beveiligingssoftware
veroorzaakt veel problemen, enz, enz,.
Conclusie “beveiligingslessen zinloos”is m.i. onjuist.

Advies:
1. beschouw de pc als een openbare plaats;
2. installeer ALLEEN HET MINIMALE NOODZAKELIJKE; des te
meer geinstalleerd, des te groter de mogelijk om slachtoffer te worden
(toch??).
met vriendelijke groet

Het doel moet volgens mij zijn dat de grote massa bewust
raakt van de gevaren van internet, en van de mogelijkheden
zelf aan z'n eigen veiligheid bij te kunnen dragen. Net
zoals iedereen dat je je huis goed op slot moet kunnen doen
en dat door rood rijden gevaarlijk kan zijn. Mensen moeten
bekend zijn met de gevaren. Ik verwacht dat in de toekomst
verzekeringsmaatschappijen steeds meer beveiligings(bewijs)
zullen opeisen wanneer klanten digitale inbraakschade
claimen. Dus ook vanuit die hoek verwacht ik dat de druk zal
toenemen. Overigens kan veilige software een hoop
gebruikersfouten opvangen.

De kosten van malware bedroegen iets van 70 miljard dollar
in alleen al Amerika, in 2005. Ik betwijfel of voorlichting
dan echt duurder is. Zeker als je ziet dat digitale
criminaliteit toeneemt en professioneler wordt en dus
waarschijnlijk steeds meer schade zal veroorzaken.
Maar als er cijfers zijn die mijn mening onderuithalen, zie
ik ze graag :)

Ik zal u helpen deze opvatting te plaatsen - inderdaad: je
moet ver gezonken zijn met deze zieke gedachte... maar dat
is precies het probleem: de wereld is er voor de mensen en
door de mensen, en het is altijd zo geweest dat een kleine
minderheid voor een meerderheid de problemen heeft moeten
oplossen ... daar is niks mis mee: deze pioniers effenen de
weg voor de rest, maar halen zelf ook nog eens heel wat
bevrediging uit hun het ontdekken en bouwen. Echter, het
stadium is bereikt waarop we kunnen stellen dat de
meerderheid inmiddels ZO verzadigd is dat men nauwelijks
doorheeft dat men de machinist enerzijds alle werkelijke
shit wil laten opvangen (men wil een computers met 'do what
I mean' knoppen, en vooral GEEN eigen verantwoordelijkheid
when the shit hits the van, en anderzijds vergeet men dat
diezelfde machinist ook maar een mens is, en op een bepaald
moment uit zelfbehoud implodeert. En dan? Wat dan? 6 miljoen
doden of de hele mensheid voorgoed aan gort.... ik denk dat
het laatste vele malen erger zou zijn. Er is inmiddels zo
ongelovelijk veel gemaakt waarmee deze blinde, rillende
gilmassa (de lafhartige massaconsumptie-kudde) zichzelf zou
moeten kunnen leren helpen, maar toch vertikt men het om
werkelijke verantwoordelijkheid te nemen.

Pas op de dag dat er niet meer naar de machinekamer geroepen
kan worden: Scotty! Beam us out of here! Dan pas zal men
doorhebben dat het misschien zo z'n meerwaarde had gehad om
IETS van de basics van miracleworking op te pikken, in
plaats van voor de pc te blijven zitten rukken.

Living in oblivion.

En ik betwijfel het dat de gedachte om de mensheid eens een
stukje verder over die drempel te helpen, door de machine
gewoon ouderwets te saboteren (klompen, remember?) nou zo
een extreem rechtse gedachte is.

Al die mensen komen steeds maar aandacht te kort, maar in
plaats van een oplossing voor het probleem roepen ze liever
moord en brand .... wel aandacht willen, maar niks willen
bijdragen en niks te bieden hebben? Zelfs als entertainment
is het inmiddels niet verheffend meer.

Als je de mensen in dit laatste stadium echt nog wilt helpen
kun je proberen of ze nog wakker schrikken bij de melding:
You want security? I poisoned your tea! Maar echt, de
meesten hebben het niet eens meer door als je hun hele
zolderkamer leegrooft en telkens dezelfde zooi (in remix)
aan hen terugverkoopt.

Wat is de ,mens nog waard zonder bewustzijn en zonder geheugen?

Laten we hopen dat er niet al te veel echte slechterikken
rondlopen, want het wordt progressively worse....

Gelukkig noem je er zelf al bij dat de mensheid het meest
begint te lijken op een tooltje waarmee je een planeet
praktisch in no-time kunt opheffen, want wat je vergeet wel
een klein detail te melden over de episode van de man die de
treinen op tijd deed rijden, en een variant op brood en
spelen bood die het publiek ook nog eens verse zeep &
lampekappen kon opleveren:

Er wordt altijd geroepen: dat mag NOOIT MEER GEBEUREN.
Wat gebeurde er? Hitler kwam niet van de ene op de andere
dag koud op ons dak vallen - met name toen hij een mislukte
staatsgreep pleegde had 'er bij de mensen al een belletje
moeten gaan rinkelen,... nee, wat deed men: foei Hitler! Dat
mag niet! En als je gepakt wordt als je iets doet wat niet
mag, krijg je straf. Ga jij maar een tijdje in de gevangenis
zitten nadenken over je fouten! Je moet immers wel volgens
de regels spelen!!!

En ja hoor, Hitler is niet zomaar een heethoofd.... hij
neemt in de gevangenis de tijd om zijn gedachten op een
rijtje te zetten en er een boek van te maken, zodat iedereen
een beetje meer inzicht kan krijgen in de figuur die straks
weer op de samenleving wordt losgelaten.

Wat doet men? Goedzo Hitler! Als je volgens de regels speelt
kun je zorgen dat een democratie democratisch wordt
opgeheven. Hier jongen, jij hebt de macht, en we weten dat
we op je kunnen vertrouwen, aangezien je je ideeen zo netjes
hebt toegelicht.

Wie Hitler de schuld geeft van 6 miljoen doden heeft
blijkbaar niemand verloren tijdens de holocaust. Sterker
nog.... na deze episode in de geschiedenis krijgt het
publiek de middelen in handen om zelf met de hele wereld te
communiceren.... wir haben es nicht gewusst kan nooit meer
een excuus zijn.

Wat is echter de keuze van de massa gebleken op die momenten
dat het er op aan kwam? Terwijl de ene genocide na de andere
plaatsvond, was de rest van de wereld veel te druk bezig met
'centjes verdienen' en vooral met klagen over alle slechte
produkten, brakke software, etc... etc...

Okay, dat mocht NOOIT meer gebeuren, maar in de praktijk zit
het volk dus liever te rukken op p0rn achter een pc die ze
zelf hebben gesaboteerd met alle mal- en spyware die ze met
NEXT-NEXT-NEXT klikken hebben verwelkomd, en is het achteraf
wel steeds 'verschrikkelijk!!!' dat het dus weer onder onze
neus heeft kunnen gebeuren...

Dankzij microchip-technologie kan iedere halve zool
tegenwoordig desnoods door de machine op z'n bureau laten
uitvogelen waar 'ie met z'n luie brein niet meer uitkomt,
maar zelfs dat is teveel werk: stel je voor! Nou willen wij
perrformance monkeys ze natuurlijk graag tegemoet komen, en
heeft de mensheid binnenkort gewoon de mogelijkheid om door
een chip in het hoofd ALLE keuzes voor ze te laten maken
die hen gegarandeerd de meest plezierige ervaring van 'een
mensenleven' zullen opleveren....

Tuurlijk is het leuk om dingen stuk te maken, maar inmiddels
moet een product zichzelf bij levering eigenlijk al geheel
autonoom total-loss maken, en zou de klant het liefst klagen
dat het te veel moeite kost om daar van te genieten en of
dat niet ook automatisch kan, als 'ie niet zoveel te klagen
had over z''n computer die niet meer te bedienen is door
alle conflicterende zooi die er op staat.

Ja, ik geloof er nog altijd in dat je moet blijven proberen
oplossingen te ontwikkelen waardoor de 'gebruikers' echt
weer een stapje geholpen zijn, maar het is natuurlijk wel om
moedeloos van te worden soms.

Kostenberekeningen nemen meestal alle kosten mee, d.w.z. ook de
preventieve security kosten, waaronder software, beheer en educatie. (De
bedragen zijn vaak een schatting, gebaseerd op een schatting, en dan nog
geëxtrapoleerd naar een heel land. Niet erg betrouwbaar.)

http://searchsecurity.techtarget.com/tip/1,289483,sid14_gci956157,00.html

Het doel van de exercitie die security heet is dat het bedrijf, of -nog breder-
het Internet veilig blijft draaien. Dat kun je met diverse middelen doen,
voorlichting is uiteraard nodig, maar dit werkt slechts tot op bepaalde
hoogte. Een van de oorzaken daarvan is dat je niet kan verwachten dat
gebruikers deskundig genoeg zijn of ooit zullen worden om dreigingen te
herkennen en daar adequaat mee om te gaan. Het is daarom beter om
security vanuit de technische benadering (beveiligingssoftware,
organisatorische maatregelen) maximaal te benutten - binnen de grenzen
van een goede kosten/baten verhouding.

De praktijk wijst uit dat het stellen van enkele gedragsregels al een groot
effect heeft. Het effect van opleidingen is zodanig klein (nihil vaak) en de
kosten zo groot dat het al snel geen goede kosten/baten verhouding heeft.
Verspil dus niet je tijd aan verdere educatie als er geen rendement in zit.

Inderdaad, er is dus geen reden niet voor te lichten. Maar
de inhoud van je voorlichting, moet je wel afstemmen op de
groep gebruikers die je wilt bereiken. En teveel technische
info schiet idd het doel voorbij.
Hier weer of-of terwijl je eerder zegt dat voorlichting wel
belangrijk is. Waarom niet allebei? Je moet gebruikers ook
bekend maken met de beveiligingslagen die de organisatie
zelf gebruikt. Als je de gebruiker een beveiligde pc geeft,
waarmee hij met FF + NoScript bladert, dan moet je toch
uitleggen hoe hij bepaalde sites in NoScript moet toestaan
om ze goed te kunnen zien. En dat geldt ook voor overige
beveiligingszaken op de pc. Het heeft even geduurd maar veel
mensen begrijpen inmiddels dat ze een firewall en
virusscanner nodig hebben. Het kan dus wel maar het duurt
misschien langer dan men verwacht of graag zou willen.
Jij kent blijkbaar veel rendementscijfers, jammer dat je die
hier niet geeft.