Schneier: Eigen veiligheid geen taak van gebruiker
Beveiligingsexperts en bedrijven hebben al gauw de neiging om thuisgebruikers de schuld te geven omdat ze hun systemen niet patchen, slechte wachtwoorden kiezen en in phishingaanvallen trappen. Volgens beveiligingsgoeroe Bruce Schneier is het zinloos om je op deze groep te richten, aangezien ze altijd een voorname bron van beveiligingsproblemen zijn en zullen blijven. Mensen doen vaak niet de dingen die ze zouden moeten doen, zoals het vervangen van de olie, bezoeken van de tandarts of het vervangen van de batterijen in hun rookmelder.
"Waarom? Omdat mensen leren uit ervaring. Als iets meteen pijn doet, zoals het aanraken van een hete kachel of het aaien van een wilde tijger, dan leren ze dat snel genoeg af. Als iemand vergeet de olie te vervangen, een patch te installeren of een slecht wachtwoord kiest, maakt dit niets uit. Geen feedback, geen geleerde les."
Ondanks tips voor mensen om na elke 5000 kilometer hun olie te vervangen of het maken van veilige wachtwoorden, zijn de gevolgen als men de adviezen negeert niet meteen voelbaar. En dat maakt beveiliging een belemmering voor de gebruiker. Het is een terugkerend obstakel dat het gebruik van bijvoorbeeld de computer in de weg zit. "Het zit in onze natuur om terugkerende obstakels te verwijderen. Als de gevolgen van het omzeilen van de beveiliging niet duidelijk zijn, zullen mensen dit natuurlijk doen," aldus Schneier.
User Account Control
Als voorbeeld noemt hij Microsoft's User Account Control (UAC) in Windows Vista. De pop-ups verschijnen zo vaak en negeren ervan heeft zelden kwalijke gevolgen, waardoor mensen ze negeren. "Dit betekent niet dat het onderwijzen van gebruikers waardeloos is. Onderwijs vormt een belangrijk onderdeel van elk zakelijk beveiligingsprogramma. En hoe meer mensen thuis beveiligingsdreigingen en hacker tactieken begrijpen, hoe veiliger hun systemen zullen zijn, maar we moeten ook de beperkingen van educatie erkennen."
Volgens Schneier is de oplossing om veiligere systemen te ontwerpen die van onopgevoede gebruikers uitgaan, en voorkomen dat gebruikers hun instellingen kunnen wijzigen. "Of nog beter, de beveiliging helemaal uit hun handen nemen."
Het beschuldigen van gebruikers levert bedrijven echter geld op, zoals Britse banken die geld besparen door slachtoffers van pinpasfraude de schuld te geven of telecomaanbieders die klanten rekeningen sturen als hun betaalkaart is gestolen en misbruikt. "Het juridische systeem moet de zakelijk problemen oplossen, maar systeemontwerpers moeten aan de technische problemen werken. Ze moeten accepteren dat security systemen die van de gebruiker verwachten dat hij het juiste doet, gedoemd zijn om te falen."
Hij heeft nu wel gelijk. Het is een uitgebreide omschrijving van de drie punten over leren van fouten.
1) Iemand die niet leert van zijn eigen fouten is dom.
2) Iemand die leert van zijn eigen fouten is slim.
3) Iemand die leert van andermans fouten is wijs.
Er zijn natuurlijk altijd domme mensen die constant besmet raken. Daarnaast zijn er heel veel slimme mensen die maatregelen nemen als ze eenmaal besmet zijn geraakt geweest. Er zijn echter weinig wijze mensen die maatregelen nemen voordat hen de problemen overkomen.
Peter
(Bruce weet mij al jarenlang te verbazen..... ;) )
In zoverre heeft hij helemaal gelijk. Beveiliging is idealiter iets waar de eindgebruiker niets aan hoeft te doen, en ook niets van merkt. Of dat in de praktijk haalbaar is, is een heel andere zaak, natuurlijk...
Dit lijkt meer een politieke uitspraak als een van een beveiligingsgoeroe.
Dit is komt zo'n beetje neer op het plan wat ik een tijdje geleden ergens gelezen heb, om mensen verplicht hun systeem te laten installeren en beheren door een overheidsinstantie, zonder deze installatie en spyware kom je het internet gewoon niet op.
Ik had van Schneier meer een ander perspectief verwacht zodat zelfs 'domme' gebruikers in staat stelt veiliger te werken.
De beveiliging van je huis is (grotendeels) je eigen verantwoordelijkheid, even als sloten op je fiets hebben e.d. Maar er zijn wel keurmerken om te zien welke sloten goed zijn en niet en je kan de politie een controle laten uitvoeren
Veiligheid van je auto vinden we de verantwoordelijkheid van de fabrikant. Daar zijn nog veel strengere normen en testen waar ze aan moeten voldoen. Als een auto slecht uit de test komt, wordt hij niet meer gekocht. De fabrikant kan zelfs boetes krijgen als er bij ongelukken blijkt dat ze een slecht product hebben geleverd.
Als je dit doortrekt naar de software zouden veel grote bedrijven die tonnen schade hebben geleden door een inferieur product (stel ik nu even he voor dit verhaal en ik verwijs *niet* naar M$ (ok, niet direct)) de leverancier al lang aansprakelijk hebben gesteld. Waarom gebeurt dat niet? Waarom geen kwaliteitseisen van overheden?
Wat KwukDuck stelt is nog iets extremer, maar software minder gebruiksvriendelijk maken ten faveure van veiligere software mag wat mij betreft. De gebruiker er minder verantwoodelijk voor *hoeven* laten zijn vind ik een terechte. En ja, Bruce weet mij ook regelmatig te verbazen, met name omdat hij door een bepaalde stellingname wel weer de discussie los krijgt, of in ieder geval lost probeert te krijgen.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime
Ben jij er klaar voor om de leiding te nemen in het bevorderen van de regionale samen-werking in de strijd tegen gedigitaliseerde criminaliteit en cybercrime? Samen met collega's, politie en regionale en landelijke partners? Dan is de dynamische rol van Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime bij het Regionaal Samenwerkingsverband Integrale Veiligheid (RSIV) jouw op het lijf geschreven!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.