Schneier: Eigen veiligheid geen taak van gebruiker
Beveiligingsexperts en bedrijven hebben al gauw de neiging om thuisgebruikers de schuld te geven omdat ze hun systemen niet patchen, slechte wachtwoorden kiezen en in phishingaanvallen trappen. Volgens beveiligingsgoeroe Bruce Schneier is het zinloos om je op deze groep te richten, aangezien ze altijd een voorname bron van beveiligingsproblemen zijn en zullen blijven. Mensen doen vaak niet de dingen die ze zouden moeten doen, zoals het vervangen van de olie, bezoeken van de tandarts of het vervangen van de batterijen in hun rookmelder.
"Waarom? Omdat mensen leren uit ervaring. Als iets meteen pijn doet, zoals het aanraken van een hete kachel of het aaien van een wilde tijger, dan leren ze dat snel genoeg af. Als iemand vergeet de olie te vervangen, een patch te installeren of een slecht wachtwoord kiest, maakt dit niets uit. Geen feedback, geen geleerde les."
Ondanks tips voor mensen om na elke 5000 kilometer hun olie te vervangen of het maken van veilige wachtwoorden, zijn de gevolgen als men de adviezen negeert niet meteen voelbaar. En dat maakt beveiliging een belemmering voor de gebruiker. Het is een terugkerend obstakel dat het gebruik van bijvoorbeeld de computer in de weg zit. "Het zit in onze natuur om terugkerende obstakels te verwijderen. Als de gevolgen van het omzeilen van de beveiliging niet duidelijk zijn, zullen mensen dit natuurlijk doen," aldus Schneier.
User Account Control
Als voorbeeld noemt hij Microsoft's User Account Control (UAC) in Windows Vista. De pop-ups verschijnen zo vaak en negeren ervan heeft zelden kwalijke gevolgen, waardoor mensen ze negeren. "Dit betekent niet dat het onderwijzen van gebruikers waardeloos is. Onderwijs vormt een belangrijk onderdeel van elk zakelijk beveiligingsprogramma. En hoe meer mensen thuis beveiligingsdreigingen en hacker tactieken begrijpen, hoe veiliger hun systemen zullen zijn, maar we moeten ook de beperkingen van educatie erkennen."
Volgens Schneier is de oplossing om veiligere systemen te ontwerpen die van onopgevoede gebruikers uitgaan, en voorkomen dat gebruikers hun instellingen kunnen wijzigen. "Of nog beter, de beveiliging helemaal uit hun handen nemen."
Het beschuldigen van gebruikers levert bedrijven echter geld op, zoals Britse banken die geld besparen door slachtoffers van pinpasfraude de schuld te geven of telecomaanbieders die klanten rekeningen sturen als hun betaalkaart is gestolen en misbruikt. "Het juridische systeem moet de zakelijk problemen oplossen, maar systeemontwerpers moeten aan de technische problemen werken. Ze moeten accepteren dat security systemen die van de gebruiker verwachten dat hij het juiste doet, gedoemd zijn om te falen."
Hij heeft nu wel gelijk. Het is een uitgebreide omschrijving van de drie punten over leren van fouten.
1) Iemand die niet leert van zijn eigen fouten is dom.
2) Iemand die leert van zijn eigen fouten is slim.
3) Iemand die leert van andermans fouten is wijs.
Er zijn natuurlijk altijd domme mensen die constant besmet raken. Daarnaast zijn er heel veel slimme mensen die maatregelen nemen als ze eenmaal besmet zijn geraakt geweest. Er zijn echter weinig wijze mensen die maatregelen nemen voordat hen de problemen overkomen.
Peter
(Bruce weet mij al jarenlang te verbazen..... ;) )
In zoverre heeft hij helemaal gelijk. Beveiliging is idealiter iets waar de eindgebruiker niets aan hoeft te doen, en ook niets van merkt. Of dat in de praktijk haalbaar is, is een heel andere zaak, natuurlijk...
Dit lijkt meer een politieke uitspraak als een van een beveiligingsgoeroe.
Dit is komt zo'n beetje neer op het plan wat ik een tijdje geleden ergens gelezen heb, om mensen verplicht hun systeem te laten installeren en beheren door een overheidsinstantie, zonder deze installatie en spyware kom je het internet gewoon niet op.
Ik had van Schneier meer een ander perspectief verwacht zodat zelfs 'domme' gebruikers in staat stelt veiliger te werken.
De beveiliging van je huis is (grotendeels) je eigen verantwoordelijkheid, even als sloten op je fiets hebben e.d. Maar er zijn wel keurmerken om te zien welke sloten goed zijn en niet en je kan de politie een controle laten uitvoeren
Veiligheid van je auto vinden we de verantwoordelijkheid van de fabrikant. Daar zijn nog veel strengere normen en testen waar ze aan moeten voldoen. Als een auto slecht uit de test komt, wordt hij niet meer gekocht. De fabrikant kan zelfs boetes krijgen als er bij ongelukken blijkt dat ze een slecht product hebben geleverd.
Als je dit doortrekt naar de software zouden veel grote bedrijven die tonnen schade hebben geleden door een inferieur product (stel ik nu even he voor dit verhaal en ik verwijs *niet* naar M$ (ok, niet direct)) de leverancier al lang aansprakelijk hebben gesteld. Waarom gebeurt dat niet? Waarom geen kwaliteitseisen van overheden?
Wat KwukDuck stelt is nog iets extremer, maar software minder gebruiksvriendelijk maken ten faveure van veiligere software mag wat mij betreft. De gebruiker er minder verantwoodelijk voor *hoeven* laten zijn vind ik een terechte. En ja, Bruce weet mij ook regelmatig te verbazen, met name omdat hij door een bepaalde stellingname wel weer de discussie los krijgt, of in ieder geval lost probeert te krijgen.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
