geheel terecht, als jij de verantwoordelijkheid op je neemt
met vertrouwelijke gegevens van anderen rond te gaan zeulen,
moet je ook de consequenties aanvaarden als je ze je af laat
nemen.

je moet die dingen gewoon zwaar over beveiligen

"Van getroffen werknemers wordt een jaar lang de afschriften
gemonitord, hoewel VeriSign denkt dat het om een gewone inbraak gaat
en de inbrekers het niet om de persoonsgegevens te doen was."

Wat voor afschriften worden er gemonitord, en door wie ? Ongeacht of
mijn persoonsgegevens zijn gestolen, laat ik mijn bankafschriften -als het
daarover gaat- nimmer monitoren door mijn werkgever. Of heb ik iets
verkeerd begrepen.

Dus, Iceyoung, jij vindt dat, ondanks dat het bedrijf
voldoende mogelijkheden biedt om gegevens beveiligd en
versleuteld te vervoeren, de werknemer niets te wijten valt?
Of de techniek nu voldoende werkt of niet is hier niet het
probleem: deze werknemer heeft tegen het beleid en de regels
in, gegevens onbeveiligd vervoerd.
Er wordt in het artikel niet gerept over de bij VeriSign
gebruikte technologieen om gegevens te beveiligen. Ik ben
het met je eens dat veel op internet aangeboden tools niet
afdoende zijn, maar zonder meer informatie valt niet te
zeggen hoe velig de gegevens bij VeriSign zijn.
Zoals je terecht opmerkt is dat ook niet belangrijk in dit
geval: het gaat om juridische aansprakelijkheid.

- Joris

Interessante test. Ook al heb ik deze nooit zelf uitgevoerd vermoed ik dat
je gelijk hebt. Wietse Venema heeft in 'Forensic Discovery' een passende
term hiervoor gebruikt, en wel: 'the order of volatility'. Hetgeen in groffe
lijnen betekend dat digitale informatie extreem moeilijk te verwijderen is.

Als die Verisign medewerker een contract getekend heeft waarin staat
dat hij akkoord gaat met ontslag wanneer hij onverhoopt vertrouwelijke
informatie verliest, lijkt het me dat hij geen spreekwoordelijke poot meer
heeft.

I stand corrected ;-)

@Iceyoung

zou je wat meer kunnen uitwijden over je testresultaten? Dit
klinkt interessant, maar als je niet met bewijzen komt,
geloof ik je niet.

Ik gebruik een zelfgeschreven script om vertrouwelijke
bestanden te encrypten. De encyptieengine is GnuPG 1.4.7
(met AES256), de sleutellengte van de bestanden is tussen de
90 en de 110 tekens lang. De sleutels worden opgeslagen in
een sleutelbestand, dat is gecodeerd met een sleutel van
1024 tekens. Deze laatste sleutel staat op een usb-stick en
is gecodeerd met mijn eigen publieke PGP-sleutel. Je hebt
dus altijd én de betreffende USB-stick én mijn private
PGP-sleutel én de passphrase daarvan nodig om die bestanden
te openen. De niet ge-encrypteerde versie van het bestand
wordt verwijderd door Eraser (incl. alternate data stream),
met de Guttman methode (35 keer overschreven, verschillende
patronen etc.) Elke nacht gaat Eraser ook mijn vrije ruimte
te lijf. Eens in de week doet ook het programma sdelete dat,
als een extra zekerheid.

Als het waar is wat jij zegt, zou het dus kunnen zijn dat
deze hele methode (die volgens mij best veilig is als je
computer niet is gecompromitteerd), niet veilig genoeg is??

Overigens ben ik van mening dat VeriSign er zeker goed aan
doet om de bewuste persoon te ontslaan. VeriSign is een
bekend bedrijf dat gespecialiseerd is in data beveiliging.
Wanneer medewerkers op zo een manier tegen de voorschriften
in gaan, is het niet meer dan terecht dat ze ontslagen worden.

Dat dit onslag ook deels politiek te verklaren is, denk ik
ook wel. Het verliezen van gevoelige data is een klap voor
de reputatie, het zonder consequenties laten zijn voor de
betrokken medewerker terwijl bekend is dat deze de
veiligheidsprotocollen zwaar heeft overtreden, is niet te
verkopen.

@iceyoung

Gestolen worden uit je auto is toch gewoon verliezen.
Volgens Van Dale:
ver·lie·zen (ov.ww.)
3 niet meer beschikken over => iets erbij inschieten,
kwijtraken

@Door Iceyoung op dinsdag 07 augustus 2007 11:40

Ik gebruik geen word :), maar open office. Ik maak geen
gebruik van de reserve-kopie functies. Toch zal ik daar nog
even goed naar kijken. Ik zal eens een wat uitgebreidere
controle doen dan ik tot nu toe heb gedaan.

Internetten doe ik vrijwel altijd vanuit een virtuele
machine naar een proxy in eigen beheer (SSH). Zodoende is
het internetverkeer niet gemakkelijk rechtstreeks aan mijn
computer te koppelen. Omdat het in een virtuele machine
draait, is er weinig risico dat eventuele malware (hoewel
onwaarschijnlijk) bij mijn bestanden kan komen.


maar om terug te komen op mijn oorspronkelijke vraag: welke
programma's heb je getest en wat waren je bevindingen?

Hoewel ik het eens ben met je betoog, gaat het niet op voor
een Amerikaans bedrijf. Daar heb je geen bescherming zoals
in Nederland. Ontslag kan je gewoon krijgen, redenen hoeven
er niet te zijn.

De bekende kartonnen doos verhalen zal je wel kennen.

Vandaag de dag hoeven er geen gegevens op laptops te staan;
er zijn talloze manieren om comfortabel op afstand te
werken. Als het bedrijf dat niet geregeld heeft, is het zelf
verantwoordelijk voor de situatie waarin gevoelige info op
laptops kan staan.
Daarnaast: wie vandaag de dag een laptop in z'n auto laat
liggen, is de laatste 10 jaar niet meer onder z'n steen
vandaan geweest.
Zoveel dommigheid dat het haast niet kan. Maar zou er dan
nog een andere oorzaak kunnen zijn?

"Verliezen is dus ook een relatief begrip. Gestolen worden uit je auto is
geen verliezen. Waaronder valt het als je onder bedreiging van een
wapen je laptop moet afgeven ???"

Hem wordt niet verweten dat de laptop is gestolen, maar dat hij niet
heeft gehandeld overeenkomstig afgesproken. Als de afspraak is dat de
laptop niet zichtbaar in een auto achtergelaten mag worden, en hij dit
toch doet, schendt hij de regels - ongeacht of er daarna een diefstal
plaats vindt.

"Het gaat hier alleen maar om politieke veiligheid, het afschermen van
juridische aansprakelijkheid, dit gaat helemaal niet over technische
veiligheid !!!!!!!!"

Het gaat niet slechts om juridische aansprakelijkheid. Beveiliging is niet
alleen technisch, maar is ook gerelateerd aan het gedrag van de
medewerkers. Indien medewerkers hier niet goed mee om gaan dan
ontstaan er beveiligingsrisico's.

Hierom worden afspraken gemaakt over wat voor gedrag wel/niet
acceptabel is (acceptable use policy), en eventueel kunnen hier sancties
aan worden gekoppeld. Preventief gezien werd dergelijk beleid wel, om
te voorkomen dat anderen soortgelijk gedrag vertonen.

Bij KPN lopen ook mensen met een vodafone abonnement rond en
Pepsi medewerkers drinken ook Coca Cola. Dus dat zegt niet
zoveel.

Maar dat tie ontslagen is verrast me niets. VeriSign wordt
nu eenmaal gerund door juristen dus die bekijken het
zakelijk zwart wit..
'je hebt destijds een hadtekening gezet onder formulier X,
waarmee je dus akkoord ga met blablabla... dus je mag
vertrekken'

In the letter, VeriSign offers to provide a free one year
subscription to the Equifax Credit Watch Gold with 3-in-1
Monitoring (retail value $155.40) to those potentially
affected. Other than that, they recomend that current and
former employees place a "fraud alert" on their credit file.
[
http://wizbangblog.com/content/2007/08/02/laptop-theft-leaves-verisign-employees-data-exposed.php
]

Het is een service die ze commercieel in de markt zetten die
verdachte transacties kan detecteren. handig voor Amerikanen
die zo'n beetje alles met een CC kopen en dus honderden
transacties per maand zullen hebben.

doelde meer op het 'eat your own dogfood' fenomeen.