Britse parlementsleden gewaarschuwd voor delen van wachtwoorden
De Britse toezichthouder ICO heeft parlementsleden gewaarschuwd voor het delen van computerwachtwoorden. Verschillende parlementsleden van de Conservatieven hadden via Twitter aangegeven dat ze wachtwoorden met medewerkers delen. Dit zorgde voor de nodige ophef in Groot-Brittannië en nu heeft ook de ICO zich over de zaak uitgelaten.
De toezichthouder laat via Twitter weten dat er bij de relevante parlementaire autoriteiten vragen zijn gesteld. Daarnaast worden parlementsleden gewezen op hun verplichtingen onder de Britse databeschermingswetgeving om persoonlijke data te beschermen. De ICO linkt naar een document waarin wordt uitgelegd wat voor eisen de databeschermingswetgeving stelt als het om security gaat. Het delen van wachtwoorden is daarnaast in het beveiligingsbeleid van het Britse parlement verboden (pdf).
Iedereen moet een unieke login hebben,. en vervolgens recht krijgen tot datgene waar ze in/mee werken,. niet door gebruikerslogin gegevens te delen...
Met deze auto is een overtreding begaan. Betalen of anders de bon laten betalen door degene die de auto op dat tijdstip en plek bestuurde.
Weet u niet wie dat was, dan betaald de eigenaar.
Kijken of ze het dan nog leuk vinden om op deze manier boetes uit te delen..
Het komt terecht bij principle 7 wat op de gdpr lijkt.
Wat is er met 1-6 gebeurd?
Volg ik de pdf wat de gebruikersinstructies bevat met onder andere de pasword policies in hfdstuk 7 mis ik het beeld toch voor wat je als werk bij een politicus verwacht.
Dat is het verwerken van Veel inkomende mail als politiek partij aanspreekpunt. Dat is geen privé gebruik.
Als dat soort basisvraagstuk voor data kwalificatie ontbreekt moet je er van uit gaan dat de gebruiker in uitweg uit iets onwerkbaar zoekt. Met andere woorden ik lees falend ict beleid.
Leuk, maar de gemiddelde eindgebruiker haakt af als hij/zij dit moet lezen, laat staan begrijpen.
Bij de "installatie" van een nieuw parlementslid hoort de ICT-afdeling een heldere korte instructie beschikbaar te stellen in taal die de eindgebruiker snapt. Kort, helder, duidelijk. Over wat je wel en niet mag doen. En waar ze terecht kunnen voor vragen of hulp. Met de nadruk erop eerst iets te vragen voordat ze zelf een oplossing bedenken.
Laat ze zo nodig voor de eerste toegang naar de helpdesk toe komen. Dan zien ze een gezicht, en weten ze waar ze moeten zijn. Lekker handig voor later. Of laat de helpdesk er zelf langs gaan.
Klantenbinding. :-)
Een "staff handbook" van 233 pagina's gaat echt niet van voor tot achter door iedereen gelezen worden. Misschien door 1 medewerker van de betreffende politicus. En die moet daarna de rest onderwijzen/ondersteunen. Dan weet je al waar het fout gaat.
Leuk, maar de gemiddelde eindgebruiker haakt af als hij/zij dit moet lezen, laat staan begrijpen.
Iedereen moet een unieke login hebben,. en vervolgens recht krijgen tot datgene waar ze in/mee werken,. niet door gebruikerslogin gegevens te delen...
En mail moet te herleiden zijn tot een afzender,
Zou toch een beetje pijnlijk zijn als Potus@whitehouse.gov vraag om de nucs te deployen omdat een disgrunted medewerker in bezit was van het password.
Men zou gebruik moeten maken van multi-factor authenticatie, zodat men geen wachtwoorden *kan* delen. De toezichthouder behoort de beheerders van de systemen waar de parlementsleden gebruik van maken aan te spreken.
Immers wil je toch ook niet dat kwaadwillenden iets kunnen met credentials, die zijn gestolen van parlementsleden ?
Tja, het moet dan ook geen probleem van de gebruiker zijn. Credentials delen moet nutteloos zijn.
En waarom geen security control framework, waarmee je technisch afdwingt dat men zich aan deze regels houdt ? Immers wordt na implementatie van multi-factor authenticatie, als control, het delen van wachtwoorden nutteloos. Het stelen van wachtwoorden heeft dan ook veel minder zin.
Je blind staren op security awareness, zonder te kijken naar goede security controls, en het neerleggen van alle verantwoordelijkheid bij de gebruiker, is echt een recipe for failure.
Tja, net als werkgevers die het leuk vinden om een werknemer op de vingers te tikken voor overtredigen van de security policy.
Zonder na te denken bij de vraag hoe je die policy technisch afdwingt, zodat de gebruiker de fout helemaal niet kan maken. Overigens is primair de werkgever verantwoordelijk voor gemaakte fouten door werknemers.
Indien je parlementsleden een boete laat betalen, en dan weer over gaat tot de orde van de dag, dan snap je werkelijk niets van een goed IT security beleid.
De werkgever is (mede) verantwoordelijk voor een situatie waarin werknemers credentials kunnen delen, en waarbij derden met gestolen credentials in kunnen loggen op de IT systemen. Immers is dat heel gemakkelijk te voorkomen.
Je blind staren op security awareness, zonder te kijken naar goede security controls, en het neerleggen van alle verantwoordelijkheid bij de gebruiker, is echt een recipe for failure.
Een politicus heeft niet voor niets een staf die werkzaamheden voor hem uitvoeren.
Dat een facilitaire dienst zich als werkgever opstelt richting de politicus is een schending van de politieke onafhankelijkheid.
Nu nog nerds die die uitdaging gaan oplossen.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.