image

Britse toezichthouder: websites moet privédata beter beveiligen

vrijdag 23 september 2016, 13:30 door Redactie, 3 reacties

Bedrijven die persoonsgegevens opslaan en verwerken moeten die data beter beschermen, zodat hackers er niet bij kunnen. Dat zegt de Britse privacytoezichthouder ICO in een reactie op het massale datalek bij Yahoo waar in 2014 de gegevens van minstens 500 miljoen gebruikers werden gestolen.

Naar aanleiding van het incident zal de ICO ook vragen aan Yahoo met betrekking tot de databescherming stellen. Hoewel de details van de hack nog niet bekend zijn, laat het incident wel zien dat bedrijven persoonlijke gegevens beter moeten beschermen, stelt de toezichthouder. "De persoonlijke informatie van mensen moet veilig zijn opgeslagen achter slot en grendel en de sleutel moet onmogelijk door hackers kunnen worden gevonden", aldus Elizabeth Denham, hoofd van de Information Commissioner's Office (ICO).

Reacties (3)
23-09-2016, 13:47 door Anoniem
...maar niet té goed anders kan de opvolger van het TEMPORA systeem van GCHQ er niet meer bij ;)
23-09-2016, 13:56 door Power2All
Tja, dat krijg je als administrators zichzelf als "professioneel" neerzetten, en blijkbaar de meest gangbare exploits toelaten omdat er geen correcte filters toegepast worden op webservers, helaas zie ik deze dingen veel vuldig zien gebeuren bij mensen die denken dat hun systeem configuratie veilig is, maar helaas zo lek is als een mandje.

Jailen, filters per request toepassen, firewallen, interne/externe netwerk configuratie om database volledig intern alleen toegankelijk te maken, etc...
Dit zijn standaard toepassingen die horen toegepast te worden, maar helaas bij 99% van de providers onbekend terein is, zelfs bij mensen die net van hun hoge opleiding vandaan komen, hebben weinig tot geen ervaring in beveiligen.

Best wel sneu dus.
24-09-2016, 15:14 door Anoniem
Beste Power2All,

Precies de spijker op de kop geslagen. Alleen technische IT heeft de zaakjes een beetje redelijk op orde. Een tweede jaars examentje met XSS onveiligheidjes zoeken, is helaas niet voldoende. Inline script, extern script zonder SRI hash, Onveilige dhcpd configuraties.

Excessieve server header info proliferatie, onveiligheid uit te lezen via een eenvoudig publiek Dazzlepod IP scannetje, Retirable code, brakke en kwetsbare en verouderde plug-ins. Onvoldoende server versus client validatie en ga zo maar door.

Ik zie zelf op de Hoge School IT opleidingen, wat ze aan beveiliging krijgen, summier is het en beslist onvoldoende.

Een appje voor mobiel gebruik ontwerpen, die eenvoudig werkt op een tablet geschikt voor licht dementerende ouderen en dat soort grappen, daar worden ze op getraind en voor opgeleid.

Dat is wat de graaier vraagt. Helaas gaat de commercialiteit boven alles tegenwoordig.

Hou jij ze dom, hou ik ze arm, net als vroeger.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.