ENISA: mensen nog steeds zwakste schakel in security
Mensen zijn nog steeds de zwakste schakel als het om IT security gaat, dat stelt Udo Helmbrecht, directeur van het Europees agentschap voor netwerk- en informatiebeveiliging (ENISA). Helmbrecht reageerde op onthulling van de Duitse autoriteiten dat botnets 16 miljoen inloggegevens hadden gestolen.
Bij het onderzoek naar verschillende botnets werden de gestolen gebruikersnamen en wachtwoorden ontdekt. De data was gestolen vanaf met malware besmette computers die onderdeel van een botnet waren. "De diefstal van de wachtwoorden laat het belang zien om betere wachtwoorden te maken. Het laat ook zien dat netwerken van gekaapte computers, de zogeheten botnets, essentieel voor criminele activiteiten en fraude zijn", aldus de ENISA-directeur.
Mensen
Helmbrecht stelt dat de menselijke factor nog steeds de zwakste schakel is. "Het gaat niet om technologie. Mensen zijn hier het beveiligingsprobleem. Bedrijven moeten nog beter worden in het onderwijzen en 'patchen' van hun personeel. Dit geldt met name voor het MKB." Volgens Helmbrecht hebben kleine- en middenbedrijven over het algemeen een gebrek aan de vaardigheden, kennissen, mensen en middelen om in IT security te investeren.
De ENISA-directeur vindt dat banken, overheidsdiensten en alle serviceproviders sterkere en voldoende lange wachtwoorden moeten afdwingen. "Het moet niet mogelijk zijn om een zwak wachtwoord te kiezen om toegang tot private of publieke diensten te krijgen." Ook moeten publieke autoriteiten beter worden in het onderwijzen van mensen hoe ze wachtwoorden moeten samenstellen.
Helmbrecht gaar er aan voorbij dat een veilig wachtwoord weinig bescherming biedt als een computer met malware geïnfecteerd is geraakt, zoals in het geval van de 16 miljoen gestolen wachtwoorden. Dat neemt niet weg dat veilige wachtwoorden een belangrijke beveiligingsmaatregel zijn.
TheYOSH
https://www.schneier.com/blog/archives/2013/03/security_awaren_1.html
En inderdaad, Udo mist even dat bij botnets er nu vaak keyloggers actief zijn, en dan kun je een 56karakter wachtwoord hebben, zal je weinig goeds brengen.
Ik geloof best dat ook een organisatie als ENISA overtuigd is dat alles veel simpeler zou zijn als er geen mensen bestonden.
Maar mensen bestempelen als zwakste schakel motiveert diezelfde mensen niet bepaald om veiliger gedrag te vertonen: ze zijn daar immers toch niet toe in staat volgens ENISA, dus laat de techniek het maar oplossen.
Gek dat zo? simpel stukje psychologie, dat Seneca ook al kende ("behandel iemand als een dief en hij zal je bestelen") bij ENISA maar niet door wil dringen.
Overigens neem ik aan dat ook ENISA, net als iedereen die dit soort "zwakste schakel" uitspraken doet, met "de mens" vooral "de anderen" bedoelt? Ik heb nog maar zelden gelezen dat iemand in beveiligingsland zichzelf als de zwakste schakel bestempelt. Jammer want iemand moet hem toch zijn. Wie is er nou in denial hier?
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Chief Information Security Officer
Utrecht heeft jou nodig! Als Chief Information Security Officer speel jij een cruciale rol in de bescherming van de digitale informatie van de gemeente Utrecht. Als geen ander weet jij welke dreigingen er zijn en kun je deze vertalen naar risico's die de gemeente en haar inwoners lopen. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
