ENISA: mensen nog steeds zwakste schakel in security
Mensen zijn nog steeds de zwakste schakel als het om IT security gaat, dat stelt Udo Helmbrecht, directeur van het Europees agentschap voor netwerk- en informatiebeveiliging (ENISA). Helmbrecht reageerde op onthulling van de Duitse autoriteiten dat botnets 16 miljoen inloggegevens hadden gestolen.
Bij het onderzoek naar verschillende botnets werden de gestolen gebruikersnamen en wachtwoorden ontdekt. De data was gestolen vanaf met malware besmette computers die onderdeel van een botnet waren. "De diefstal van de wachtwoorden laat het belang zien om betere wachtwoorden te maken. Het laat ook zien dat netwerken van gekaapte computers, de zogeheten botnets, essentieel voor criminele activiteiten en fraude zijn", aldus de ENISA-directeur.
Mensen
Helmbrecht stelt dat de menselijke factor nog steeds de zwakste schakel is. "Het gaat niet om technologie. Mensen zijn hier het beveiligingsprobleem. Bedrijven moeten nog beter worden in het onderwijzen en 'patchen' van hun personeel. Dit geldt met name voor het MKB." Volgens Helmbrecht hebben kleine- en middenbedrijven over het algemeen een gebrek aan de vaardigheden, kennissen, mensen en middelen om in IT security te investeren.
De ENISA-directeur vindt dat banken, overheidsdiensten en alle serviceproviders sterkere en voldoende lange wachtwoorden moeten afdwingen. "Het moet niet mogelijk zijn om een zwak wachtwoord te kiezen om toegang tot private of publieke diensten te krijgen." Ook moeten publieke autoriteiten beter worden in het onderwijzen van mensen hoe ze wachtwoorden moeten samenstellen.
Helmbrecht gaar er aan voorbij dat een veilig wachtwoord weinig bescherming biedt als een computer met malware geïnfecteerd is geraakt, zoals in het geval van de 16 miljoen gestolen wachtwoorden. Dat neemt niet weg dat veilige wachtwoorden een belangrijke beveiligingsmaatregel zijn.
TheYOSH
https://www.schneier.com/blog/archives/2013/03/security_awaren_1.html
En inderdaad, Udo mist even dat bij botnets er nu vaak keyloggers actief zijn, en dan kun je een 56karakter wachtwoord hebben, zal je weinig goeds brengen.
Ik geloof best dat ook een organisatie als ENISA overtuigd is dat alles veel simpeler zou zijn als er geen mensen bestonden.
Maar mensen bestempelen als zwakste schakel motiveert diezelfde mensen niet bepaald om veiliger gedrag te vertonen: ze zijn daar immers toch niet toe in staat volgens ENISA, dus laat de techniek het maar oplossen.
Gek dat zo? simpel stukje psychologie, dat Seneca ook al kende ("behandel iemand als een dief en hij zal je bestelen") bij ENISA maar niet door wil dringen.
Overigens neem ik aan dat ook ENISA, net als iedereen die dit soort "zwakste schakel" uitspraken doet, met "de mens" vooral "de anderen" bedoelt? Ik heb nog maar zelden gelezen dat iemand in beveiligingsland zichzelf als de zwakste schakel bestempelt. Jammer want iemand moet hem toch zijn. Wie is er nou in denial hier?
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.