image

Schneier: Eigen veiligheid geen taak van gebruiker

vrijdag 13 maart 2009, 10:31 door Redactie, 6 reacties

Beveiligingsexperts en bedrijven hebben al gauw de neiging om thuisgebruikers de schuld te geven omdat ze hun systemen niet patchen, slechte wachtwoorden kiezen en in phishingaanvallen trappen. Volgens beveiligingsgoeroe Bruce Schneier is het zinloos om je op deze groep te richten, aangezien ze altijd een voorname bron van beveiligingsproblemen zijn en zullen blijven. Mensen doen vaak niet de dingen die ze zouden moeten doen, zoals het vervangen van de olie, bezoeken van de tandarts of het vervangen van de batterijen in hun rookmelder.

"Waarom? Omdat mensen leren uit ervaring. Als iets meteen pijn doet, zoals het aanraken van een hete kachel of het aaien van een wilde tijger, dan leren ze dat snel genoeg af. Als iemand vergeet de olie te vervangen, een patch te installeren of een slecht wachtwoord kiest, maakt dit niets uit. Geen feedback, geen geleerde les."

Ondanks tips voor mensen om na elke 5000 kilometer hun olie te vervangen of het maken van veilige wachtwoorden, zijn de gevolgen als men de adviezen negeert niet meteen voelbaar. En dat maakt beveiliging een belemmering voor de gebruiker. Het is een terugkerend obstakel dat het gebruik van bijvoorbeeld de computer in de weg zit. "Het zit in onze natuur om terugkerende obstakels te verwijderen. Als de gevolgen van het omzeilen van de beveiliging niet duidelijk zijn, zullen mensen dit natuurlijk doen," aldus Schneier.

User Account Control
Als voorbeeld noemt hij Microsoft's User Account Control (UAC) in Windows Vista. De pop-ups verschijnen zo vaak en negeren ervan heeft zelden kwalijke gevolgen, waardoor mensen ze negeren. "Dit betekent niet dat het onderwijzen van gebruikers waardeloos is. Onderwijs vormt een belangrijk onderdeel van elk zakelijk beveiligingsprogramma. En hoe meer mensen thuis beveiligingsdreigingen en hacker tactieken begrijpen, hoe veiliger hun systemen zullen zijn, maar we moeten ook de beperkingen van educatie erkennen."

Volgens
Schneier is de oplossing om veiligere systemen te ontwerpen die van onopgevoede gebruikers uitgaan, en voorkomen dat gebruikers hun instellingen kunnen wijzigen. "Of nog beter, de beveiliging helemaal uit hun handen nemen."

Het beschuldigen van gebruikers levert bedrijven echter geld op, zoals Britse banken die geld besparen door slachtoffers van pinpasfraude de schuld te geven of telecomaanbieders die klanten rekeningen sturen als hun betaalkaart is gestolen en misbruikt. "Het juridische systeem moet de zakelijk problemen oplossen, maar systeemontwerpers moeten aan de technische problemen werken. Ze moeten accepteren dat security systemen die van de gebruiker verwachten dat hij het juiste doet, gedoemd zijn om te falen."

Reacties (6)
13-03-2009, 11:01 door Anoniem
Och, meneer Schneier heeft ook weer wat 'nieuws' te melden...
13-03-2009, 11:48 door Anoniem
Door AnoniemOch, meneer Schneier heeft ook weer wat 'nieuws' te melden...

Hij heeft nu wel gelijk. Het is een uitgebreide omschrijving van de drie punten over leren van fouten.

1) Iemand die niet leert van zijn eigen fouten is dom.
2) Iemand die leert van zijn eigen fouten is slim.
3) Iemand die leert van andermans fouten is wijs.

Er zijn natuurlijk altijd domme mensen die constant besmet raken. Daarnaast zijn er heel veel slimme mensen die maatregelen nemen als ze eenmaal besmet zijn geraakt geweest. Er zijn echter weinig wijze mensen die maatregelen nemen voordat hen de problemen overkomen.

Peter
13-03-2009, 12:04 door Anoniem
Dus, de 'bestuurder' is NIET verantwoordelijk !?

(Bruce weet mij al jarenlang te verbazen..... ;) )
13-03-2009, 12:15 door Anoniem
OK, maar wat hij aangeeft, is dat het ook dom is om aan te nemen dat alle gebruikers evenveel leren over beveiliging. Als security experts ervan uitgaan dat gebruikers volledig opvoedbaar zijn, op dit gebied, zijn die experts weer dom. Als je miljoenen mensen hebt die iets moeten leren (bijv. internet gebruikers), weet je zeker dat dit nooit volledig zal lukken. En dus blijven de problemen bestaan.
In zoverre heeft hij helemaal gelijk. Beveiliging is idealiter iets waar de eindgebruiker niets aan hoeft te doen, en ook niets van merkt. Of dat in de praktijk haalbaar is, is een heel andere zaak, natuurlijk...
13-03-2009, 14:08 door KwukDuck
Het spijt me zeer, normaal ben ik het helemaal met deze man eens, maar mensen hun verantwoordelijkheid over zichzelf ontnemen?
Dit lijkt meer een politieke uitspraak als een van een beveiligingsgoeroe.

Dit is komt zo'n beetje neer op het plan wat ik een tijdje geleden ergens gelezen heb, om mensen verplicht hun systeem te laten installeren en beheren door een overheidsinstantie, zonder deze installatie en spyware kom je het internet gewoon niet op.

Ik had van Schneier meer een ander perspectief verwacht zodat zelfs 'domme' gebruikers in staat stelt veiliger te werken.
13-03-2009, 15:39 door Kukel
Wat mij betreft is het dubbel... Laat ik wat andere voorbeelden noemen

De beveiliging van je huis is (grotendeels) je eigen verantwoordelijkheid, even als sloten op je fiets hebben e.d. Maar er zijn wel keurmerken om te zien welke sloten goed zijn en niet en je kan de politie een controle laten uitvoeren

Veiligheid van je auto vinden we de verantwoordelijkheid van de fabrikant. Daar zijn nog veel strengere normen en testen waar ze aan moeten voldoen. Als een auto slecht uit de test komt, wordt hij niet meer gekocht. De fabrikant kan zelfs boetes krijgen als er bij ongelukken blijkt dat ze een slecht product hebben geleverd.

Als je dit doortrekt naar de software zouden veel grote bedrijven die tonnen schade hebben geleden door een inferieur product (stel ik nu even he voor dit verhaal en ik verwijs *niet* naar M$ (ok, niet direct)) de leverancier al lang aansprakelijk hebben gesteld. Waarom gebeurt dat niet? Waarom geen kwaliteitseisen van overheden?

Wat KwukDuck stelt is nog iets extremer, maar software minder gebruiksvriendelijk maken ten faveure van veiligere software mag wat mij betreft. De gebruiker er minder verantwoodelijk voor *hoeven* laten zijn vind ik een terechte. En ja, Bruce weet mij ook regelmatig te verbazen, met name omdat hij door een bepaalde stellingname wel weer de discussie los krijgt, of in ieder geval lost probeert te krijgen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.