image

AIVD keurt tweede USB-stick voor overheid goed

maandag 19 september 2011, 11:42 door Redactie, 17 reacties

De Nederlandse Algemene Inlichtingen en Veiligheidsdienst (AIVD) heeft een tweede USB-stick goedgekeurd voor de beveiliging van vertrouwelijke overheidsgegevens. Het gaat om de Ironkey Basic, die net als de eerder goedgekeurde Kobil mIDentity Basic, mobiele gegevens op het niveau Departementaal Vertrouwelijk mag beveiligen.

In totaal heeft de AIVD slechts twee apparaten voor 'externe media beveiliging' goedgekeurd. Een van de kernactiviteiten van AIVD is producten op beveiligingswaarde te evalueren ten behoeve van Rijksoverheden, waarbij zij aangeeft dat deze producten voldoen aan de beveiliging van informatie op een bepaald rubriceringsniveau.

Reacties (17)
19-09-2011, 12:03 door Anoniem
Meer informatie over deze usbkey kun je vinden op www.grc.com, onder de service tab, optie security now, episode 135.
19-09-2011, 12:18 door Anoniem
Is de basic version wel afdoende, of zo men beter voor de enterprise edition kunnen kiezen - voor een vergelijking, zie dit datasheet: https://www.ironkey.com/files/datasheets/ironkey-basic-s200.pdf

Onderstaande functionaliteit lijkt mij toch zeer geschikt voor het beschermen van vertrouwelijke informatie (denk bijvoorbeeld aan medewerkers die weg gaan, en hun USB stick niet inleveren, aan het vernietigen van gegevens op gestolen sticks, en aan het opsporen van gestolen sticks) :

-Remote Terminate for Lost or Stolen Drives
-Access Control and Revocation
-User Activity and Event Tracking
-Device Recovery and Recommissioning
-Managed Remotely over the Internet
-Enforceable Security Policies
-RSA SecurID®, CRYPTOCard, One-time Password
-Automatic Antivirus Scanning
-Web Privacy and Identity Protection

"Het gaat om de Ironkey Basic, die net als de eerder goedgekeurde Kobil mIDentity Basic, mobiele gegevens op het niveau Departementaal Vertrouwelijk mag beveiligen."

En hoe zit dat bij informatie die 'geheimer' is dan departementaal vertrouwelijk ? Mag men daarvoor ook het basic model van de stick gebruiken ?

"There aren't any special (positive) enforcement limitations like with some secure ?ash drives, the password just needs to be at least four characters long and you don't need to punch in any special characters or uppercase characters." *)

Ik ben benieuwd of de stick beperkingen heeft op het aantal pogingen om het password te raden, en of passwords zoals '0000' en '1234' zijn toegestaan ?

*) Bron: http://www.net-security.org/review.php?id=216
19-09-2011, 13:03 door Anoniem
Door Anoniem: "Het gaat om de Ironkey Basic, die net als de eerder goedgekeurde Kobil mIDentity Basic, mobiele gegevens op het niveau Departementaal Vertrouwelijk mag beveiligen."

En hoe zit dat bij informatie die 'geheimer' is dan departementaal vertrouwelijk ? Mag men daarvoor ook het basic model van de stick gebruiken ?

Voor geheimere informatie is er volgens mij nog geen stick goedgekeurd. Misschien dat ze juist de enterprise editie goed gaan keuren voor bepaalde vormen van geheimere informatie.

Peter
19-09-2011, 13:11 door Anoniem
Als ze dit goedkeuren, waarom staat er dan niet bij dat men daar VERPLICHT autorun moeten uitschakelen

Externe media is levensgevaarlijk, en qua beveiliging totaal onoverzichtelijk
Het is allemaal van een niveau van niks

Logies dat de rootkits hun om de oren vliegt
19-09-2011, 13:12 door Anoniem
Dat gaat ons weer 250 euro per usb sticky kosten...
Niet dat ze die niet achterlaten in huurauto's...
(niet dat ze de beveiliging aan zouden zetten, dat is natuurlijk niet prettig werken)
19-09-2011, 13:21 door cryptomannetje
Door Anoniem: Is de basic version wel afdoende, of zo men beter voor de enterprise edition kunnen kiezen - voor een vergelijking, zie dit datasheet: https://www.ironkey.com/files/datasheets/ironkey-basic-s200.pdf

Onderstaande functionaliteit lijkt mij toch zeer geschikt voor het beschermen van vertrouwelijke informatie (denk bijvoorbeeld aan medewerkers die weg gaan, en hun USB stick niet inleveren, aan het vernietigen van gegevens op gestolen sticks, en aan het opsporen van gestolen sticks) :

-Remote Terminate for Lost or Stolen Drives
-Access Control and Revocation
-User Activity and Event Tracking
-Device Recovery and Recommissioning
-Managed Remotely over the Internet
-Enforceable Security Policies
-RSA SecurID®, CRYPTOCard, One-time Password
-Automatic Antivirus Scanning
-Web Privacy and Identity Protection

"Het gaat om de Ironkey Basic, die net als de eerder goedgekeurde Kobil mIDentity Basic, mobiele gegevens op het niveau Departementaal Vertrouwelijk mag beveiligen."

En hoe zit dat bij informatie die 'geheimer' is dan departementaal vertrouwelijk ? Mag men daarvoor ook het basic model van de stick gebruiken ?

"There aren't any special (positive) enforcement limitations like with some secure ?ash drives, the password just needs to be at least four characters long and you don't need to punch in any special characters or uppercase characters." *)

Ik ben benieuwd of de stick beperkingen heeft op het aantal pogingen om het password te raden, en of passwords zoals '0000' en '1234' zijn toegestaan ?

*) Bron: http://www.net-security.org/review.php?id=216
Goede keus van de AIVD ;-)
Voor zover ik de productlijn van de Ironkey ken, is internettoegang vereist bij zowel de personal als de enterprise versie van de Ironkey. Vanuit het internet komen weer andere dreigingen om de hoek kijken dan het 'lost and found' scenario van de Basic versie. Zo kan je bij de personal bijvoorbeeld een account aanmaken bij Ironkey die dan ook "My Ironkey" heet. Daar kan je je data 'veilig' laten back-uppen en is password retrieval mogelijk. Klinkt mij voor Nederlandse overheidsdata een beetje eng in de oren.
Om op de vraag van anoniem hierboven in te gaan; je kan het aantal pogingen een wachtwoord te raden in stellen op een maximum. Ga je hier overheen dan vernietigt de stick zichzelf of gaat terug in de fabrieksinstellingen met verlies van data (de encryptiesleutel wordt vernietigd). Keuze is instelbaar.
Voor hogere rubriceringen is inderdaad nog geen enkel USB-product beschikbaar volgens de website.
19-09-2011, 13:30 door cryptomannetje
Door Anoniem: Dat gaat ons weer 250 euro per usb sticky kosten...
Niet dat ze die niet achterlaten in huurauto's...
(niet dat ze de beveiliging aan zouden zetten, dat is natuurlijk niet prettig werken)
Heb je hier al eens gekeken: http://www.veiligeusb.nl/shop/?gclid=CKHT08aaqasCFcKIDgodnWhGNg
Veel succes!
19-09-2011, 13:55 door Anoniem
Whahaha wel heel toevallig dat SecureComm ( Distributeur ) dit net aan het portofolio heeft toegevoegd... :-)

Zien zeker kansen bij de overheid...
19-09-2011, 14:09 door Anoniem
Heh he eindelijk. Gebruik zelf de IK Personal al een tijdje. Geeft een pretiig gevoel dat als je hem verliest er niets aan de hand is (behalve dan de aanslag op je portemonnee)
19-09-2011, 14:11 door Anoniem
@ Anoniem 12:18
Ja, je kunt maar tien pogingen doen om password in te voeren. Daarna is het over en uit met de key. Is daarna volledig onbruikbaar.
19-09-2011, 14:16 door Anoniem
@ Cryptomannetje
...
Ga je hier overheen dan vernietigt de stick zichzelf of gaat terug in de fabrieksinstellingen met verlies van data (de encryptiesleutel wordt vernietigd). Keuze is instelbaar.
....

Die keuze heb ik op mijn IK personal niet. De stick maakt gebruik van FlashTrash technologie na 10 foutieve passwords (als je echter na 9 pogingen stopt en hem uit de pc/laptop haalt, dan staat de teller weer op 0). Hij wordt volledig onbuikbaar. Je kan hem nog wel als leuke sleutelhanger gebruiken.
19-09-2011, 15:49 door spatieman
h,
morgen dus weer gekraakt..
net als de digiD
19-09-2011, 16:23 door cryptomannetje
Door spatieman: h,
morgen dus weer gekraakt..
net als de digiD
Who dares wins......waar ken ik dat ook al weer van?
19-09-2011, 22:58 door [Account Verwijderd]
[Verwijderd]
20-09-2011, 08:30 door Anoniem
Ik denk dat het goed is e.e.a. in perspectief te zien. De twee producten (met specifieke aanduiding wbt soft/firmware) zijn hier terug te vinden https://www.aivd.nl/organisatie/eenheden/nationaal-bureau/artikel/goedgekeurde/
Het toegestane rubriceringsniveau 'Departementaal Vertrouwelijk' is op 'Ongerubriceerd' na het laagste rubriceringsniveau binnen de Nederlandse overheid. Het betreft dus zeker geen staatsgeheimen. Het is dan ook niet toegestaan om Stg Confi, Stg Geheim of Stg Zeer Geheim informatie middels deze sticks te verwerken. Kortom het niveau van interne stukken waarbij de staatveiligheid absoluut niet in het gedrang komt.
De aanname dat er producten op de markt komen die in ontwikkeling zijn voor een hoger rubriceringsniveau is een onjuiste aanname (althans op dit moment) zie: https://www.aivd.nl/organisatie/eenheden/nationaal-bureau/artikel/producten-evaluatie/ en https://www.aivd.nl/organisatie/eenheden/nationaal-bureau/artikel/producten/.
Peli
20-09-2011, 10:07 door PeterB
Kan iemand mij uitleggen waarom men bij de ministeries met vertrouwelijke data op USB sticks aan de wandel moet überhaupt ? Is gecentraliseerde opslag op een secure server niet een betere en meer controleerbare manier van data delen ?

Additioneel is het pad wat data volgt wanneer het op een usb stick staat niet te volgen.
JE weet nooit wie er allemaal die stick kunnen aansluiten en de data kunnen inlezen.

Ongeacht het veiligheidsniveau van de stick zelf is een stick op zich al een uiterst risicovol ding waar beslist geen persoonlijke data van anderen dan van de houder ervan op mogen staan.
21-09-2011, 13:06 door cryptomannetje
Door PeterB: Kan iemand mij uitleggen waarom men bij de ministeries met vertrouwelijke data op USB sticks aan de wandel moet überhaupt ? Is gecentraliseerde opslag op een secure server niet een betere en meer controleerbare manier van data delen ?

Additioneel is het pad wat data volgt wanneer het op een usb stick staat niet te volgen.
JE weet nooit wie er allemaal die stick kunnen aansluiten en de data kunnen inlezen.

Ongeacht het veiligheidsniveau van de stick zelf is een stick op zich al een uiterst risicovol ding waar beslist geen persoonlijke data van anderen dan van de houder ervan op mogen staan.

Beste Peter,
hoe denk jij die centraal opgeslagen gevoelige data op een veilige wijze bij de eindgebruiker te krijgen? Thin clients en VPN's zijn niet allemaal zo veilig als ze er uitzien. Plus je hebt er weer een computer/werkstation voor nodig om überhaupt de data tot je te krijgen. Bij een veilige USB-stick heb je die altijd bij je.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.