NSA-medewerker aangeklaagd voor versturen geheime informatie via privémail
In de Verenigde Staten is een zestigjarige medewerker van de Amerikaanse geheime dienst NSA aangeklaagd voor het versturen van vertrouwelijke informatie via zijn eigen persoonlijke e-mailadres naar het zakelijke e-mailadres van een ander persoon. Voor zijn werk had de man toegang tot vertrouwelijke informatie met betrekking tot de nationale defensie van de VS. Deze informatie is geclassificeerd als "Top Secret", "Secret" en "Vertrouwelijk".
Alleen personen met de juiste veiligheidsmachtiging hebben geautoriseerde toegang tot dergelijke informatie. Alle vertrouwelijke informatie moet daarnaast op de juiste manier worden opgeslagen. Volgens de aanklacht verstuurde de NSA-medewerker tussen februari 2018 en juni 2020 dertien keer vertrouwelijke informatie naar een persoon die niet gerechtigd was om het te ontvangen.
Voor het versturen van de "Top Secret" en "Secret" informatie gebruikte de NSA-medewerker zijn eigen persoonlijke e-mailadres. De ontvanger van de informatie, die werkzaam was voor een niet nader genoemd bedrijf, beschikte van april 2016 tot juni 2019 wel over een veiligheidsmachtiging om Top Secret-informatie in te zien. Van juli 2019 tot januari 2021 werkte deze persoon voor een ander bedrijf en was niet geautoriseerd om deze informatie te ontvangen of in te zien.
Volgens de aanklacht waren het persoonlijke e-mailadres van de NSA-medewerker en het zakelijke e-mailadres van de ontvanger geen geautoriseerde opslaglocatie voor vertrouwelijke defensie-informatie. De NSA-medewerker is dertien keer aangeklaagd voor het opzettelijk versturen van nationale defensie-informatie en dertien keer aangeklaagd voor het opzettelijk opslaan van nationale defensie-informatie. Mocht hij schuldig worden bevonden kan de man voor elke aanklacht een gevangenisstraf van maximaal 10 jaar krijgen.
Dit is een document uit 2014. Daarnaast slaat het nergens op om geheime informatie offline te versturen. Welke extra veiligheid zou dit bieden t.o.v. een goed versleutelde connectie? Het introduceert alleen maar problemen op gebied van key management (want hoe gaat die encryptiesleutel uitgewisseld worden?), performance ("Hoi Jan, het document heb je over 3 dagen hoor"), verlies van de SDkaart, kosten van aanschaf en vervoer van de SD kaart etc. In mijn optiek een volstrekt onpraktisch en achterhaald advies, dat slechts voor een zeer beperkte niche bruikbaar is.
Euh waarom, als je top secret toegangs rechten hebt moet je gewoon een login krijgen met beveiligde verbinding in desnoods een speciale ruimte om deze documenten onder je eigen account te kunnen lezen. En anders is het niet top secret blijkbaar.
Maar blijkbaar kan je bij de NSA gewoon alles op een usb stick zetten en komen ze er jaren later pas achter.
De procedures zijn veiliger dan de daadwerkelijke beveiliiging.
Dit is een document uit 2014. Daarnaast slaat het nergens op om geheime informatie offline te versturen. Welke extra veiligheid zou dit bieden t.o.v. een goed versleutelde connectie? Het introduceert alleen maar problemen op gebied van key management (want hoe gaat die encryptiesleutel uitgewisseld worden?), performance ("Hoi Jan, het document heb je over 3 dagen hoor"), verlies van de SDkaart, kosten van aanschaf en vervoer van de SD kaart etc. In mijn optiek een volstrekt onpraktisch en achterhaald advies, dat slechts voor een zeer beperkte niche bruikbaar is.
Een van de redenen om geheime informatie sterk te verselutelen en beschikbaar te stellen op een offline medium (zie artikel 3.9) zoals MicroSD is dat je via het verzenden via de reguliere post het verzamelen van metadata kunt voorkomen.
Een van de redenen om geheime informatie sterk te verselutelen en beschikbaar te stellen op een offline medium (zie artikel 3.9) zoals MicroSD is dat je via het verzenden via de reguliere post het verzamelen van metadata kunt voorkomen.
Dus niet via e-mail dan ;-0
En dan dien je een offline verzend verzoek in met wat en met wie je het wil delen, zodat je een encryptie key in je portal krijgt waarmee je het kan versleutelen. Deze key wordt gegenereerd bij de nsa met een key die aan de ontvanger is gekoppeld en die alleen de juiste ontvanger zou moeten hebben.
Dan kan je het ook gewoon op een rol wc papier kunnen printen
Een van de redenen om geheime informatie sterk te verselutelen en beschikbaar te stellen op een offline medium (zie artikel 3.9) zoals MicroSD is dat je via het verzenden via de reguliere post het verzamelen van metadata kunt voorkomen.
En als je het dan simpeler wil doen, maak een centrale microSD en andere media punt; Waar je de data op kan halen bij het verlaten van het pand en men weet waar het naartoe gaat.
Hoe moelijk kan het zijn, zeker gezien de budgetten die rondgaan
Dit is een document uit 2014. Daarnaast slaat het nergens op om geheime informatie offline te versturen. Welke extra veiligheid zou dit bieden t.o.v. een goed versleutelde connectie? Het introduceert alleen maar problemen op gebied van key management (want hoe gaat die encryptiesleutel uitgewisseld worden?), performance ("Hoi Jan, het document heb je over 3 dagen hoor"), verlies van de SDkaart, kosten van aanschaf en vervoer van de SD kaart etc. In mijn optiek een volstrekt onpraktisch en achterhaald advies, dat slechts voor een zeer beperkte niche bruikbaar is.
Een van de redenen om geheime informatie sterk te verselutelen en beschikbaar te stellen op een offline medium (zie artikel 3.9) zoals MicroSD is dat je via het verzenden via de reguliere post het verzamelen van metadata kunt voorkomen.
Never underestimate the bandwidth of a Rubik's cube, zie https://twitter.com/Snowden/status/726870446394716160
Dit is een document uit 2014. Daarnaast slaat het nergens op om geheime informatie offline te versturen. Welke extra veiligheid zou dit bieden t.o.v. een goed versleutelde connectie? Het introduceert alleen maar problemen op gebied van key management (want hoe gaat die encryptiesleutel uitgewisseld worden?), performance ("Hoi Jan, het document heb je over 3 dagen hoor"), verlies van de SDkaart, kosten van aanschaf en vervoer van de SD kaart etc. In mijn optiek een volstrekt onpraktisch en achterhaald advies, dat slechts voor een zeer beperkte niche bruikbaar is.
Een van de redenen om geheime informatie sterk te verselutelen en beschikbaar te stellen op een offline medium (zie artikel 3.9) zoals MicroSD is dat je via het verzenden via de reguliere post het verzamelen van metadata kunt voorkomen.
En dan staat er een adres op. Metadata dus. Hoe wil je dat pareren? Je wisselt het ene "probleem" in voor het andere.
De zender kan anoniem blijven. De ontvanger kun je algemeen houden bijvoorbeeld alleen het bedrijf, organisatie, instelling etc.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.