Werknemers creatief in omzeilen IT-beveiliging op werkvloer
Werknemers blijken zeer creatief te zijn in het omzeilen van de IT-beveiliging op de werkvloer, maar veroorzaken daardoor allerlei kwetsbaarheden en openen systemen voor aanvallers. Dat blijkt uit onderzoek van Ross Koppel, professor sociologie aan de Universiteit van Pennsylvania.
Samen met Jim Blythe van de Universiteit van Zuid-Californië en Sean Smith van het Dartmouth College onderzocht Koppel wat mensen precies doen als ze tijdens hun werk de veiligheidsregels van IT-experts niet opvolgen. De onderzoekers ontdekten dat het omzeilen van deze veiligheidsregels de norm is geworden. Het onderzoek van Koppel richtte zich vooral op werknemers in de gezondheidszorg die de regels omzeilen, zoals artsen en verpleegsters.
In veel gevallen zijn de veiligheidsregels, bijvoorbeeld voor wachtwoorden, zo omslachtig en belastend dat werknemers manieren vinden om hun werk toch gewoon uit te kunnen voeren. Aan de hand van verschillende interviews zagen de onderzoekers allerlei irrationele beveiligingsmaatregelen en de oplossingen waarmee het personeel vervolgens dit omzeilde, zoals het delen van wachtwoorden en negeren van veiligheidswaarschuwingen. In totaal ontdekten de onderzoekers "talloze" kwetsbaarheden die door inflexibele en onlogische veiligheidseisen worden geïntroduceerd.
Wachtwoord
Het gaat bijvoorbeeld om het wijzigen van het wachtwoord elke 90 dagen. In de Defensie-industrie bleken werknemers hun helpdesk te bellen en te vertellen dat ze hun wachtwoord vergeten waren. Daardoor werd het wachtwoord gereset, maar ook de limiet van 90 dagen. Zodoende konden gebruikers hun oude wachtwoord steeds opnieuw blijven gebruiken.
Om automatisch uitloggen van het systeem te voorkomen als ze even van hun werkplek weg waren, plaatsten werknemers plastic bekertjes over de detector die juist moest detecteren als ze opstonden. Daardoor dacht het systeem de werknemer nog gewoon achter zijn computer zat en werd hij niet uitgelogd.
Een arts die de regels van het ziekenhuis wilde omzeilen wat betreft het meenemen van medische afbeeldingen bleek screenshots van de afbeeldingen te maken dat hij vervolgens onversleuteld via e-mail verstuurde. Een ander voorbeeld is van een manager die een niet vertrouwd SSL-certificaat voor de bedrijfsserver gebruikte. Gebruikers werden vervolgens getraind om waarschuwingen over ongeldige SSL-certificaten te negeren.
Schijnbaar is dat heel normaal om te vragen aan gebruikers...
Je wachtwoord moet minimaal 300 karakters lang zijn, elke week vernieuwd worden, mag niet overeenkomen met de afgelopen 6 miljoen wachtwoorden...
Nou, dan hoef je geen professor te zijn om te begrijpen dat dit niet gaat werken...
Oja, het alarmnummer is vervangen door 0118 999 881 999 119 7253 ... Beter uitziende ambulance medewerkers, snellere responstijden....
Ik zeg maar zo... als mensen echt vinden dat een IT manager geen verstand hoeft te hebben van IT maar dat een HBO+ diploma of minor in IT (US) voldoende is, krijg je dit soort oplossingen...
Waarom is een wachtwoord vernieuwen zo belangrijk? Als je zegt "als iemand een bruteforce doet, is die na zoveel tijd te achterhalen" is mijn antwoord: hoe komt het dan dat #1 er iemand een bruteforce kan doen #2 dat niemand dit opmerkt #3 niemand dit stopt #4 er geen middelen zijn om dit achteraf te limiteren.#5 als het een belangrijke omgeving is, hoe kan iemand van de buitenkant er uberhaupt bij?
Enz enz.
Ha ha, die is gek. Het werk komt eerst. Als het werk niet gedaan kan worden heeft de beveiliging ook gefaald. Knoop die maar in je zakdoek. Wat niet wil zeggen dat er niet beveiligd moet worden of dat informatielekken wel zou mogen. Maar dan wel zo dat het goed in de workflow past. Dus geen draconische maatregelen van het type "zo, dit zal wel veilig genoeg zijn", waarbij dus even compleet vergeten wordt dat er ook nog gewerkt moet worden. Beveiligingstypes moeten beter leren nadenken, in plaats van door te gaan met het aloude chicken waving en cargo culting. Wat dat betreft is beveiliging nog steeds veelteveel een soort modern shamanisme. Met cowboyhoeden, dat dan weer wel.
Dat het uberhaupt omzeilt kan worden geeft ook aan hoe naief de beveiligers vaak zijn; je kunt iets niet beveiligen door tegen mensen te zeggen dat ze geen onveilige dingen moeten doen. Mijn regel is daarom eenvoudig: wat niet mag, dat moet niet kunnen. Net als in een firewall; je begint met een regel die al het verkeer blokkeert, en daarin ga je regels maken die datgene wat wel mag mogelijk maakt.
Men had gewoon moeten zeggen " je wil toch niet dat terroristen zomaar naar binnen kunnen, of mensen met kinderpron en je hebt toch niets te verbergen?"..
(dat zeggen ze namelijk ook altijd tegen ons burgers)
Toen wij in opleiding beveiliging zaten, werd ons verteld dat dit soort dingen te voorkomen zijn.
Regel1: Voordat je een beveiliging introduceert (of dat nu een eenvoudig slot is of een ICT-security maatregel), ga je eerst met iedereen die er mee te maken krijgt om de tafel zitten en je bespreekt het met iedereen. Je stelt de vraag: "wat vinden jullie hiervan? Dit en dit willen wij invoeren".
Regel2: als het personeel deze security niet zien zitten (om wat voor reden dan ook) dan is het dom het toch te introduceren. Zij moeten er immers mee werken. Introduceer je het toch tegen de wil van het personeel in, dan is het gevolg dat deze (dure) beveiliging wordt genegeerd, en dat je veel geld kwijt bent voor een waardeloos geworden systeem.
Regel3: als het personeel (van hoog tot laag) akkoord gaat, kun je een aantal goed gekeurde "beveiligingen" bekijken welke ingevoerd kunnen worden.
Waar ging het in Nederland fout?
Een Tweede Kamervoorzitter (iemand van de VVD) bepaalde plots dat een peperduur sluizensysteem voor de beveiliging moest komen in de Tweede Kamer. Maar de Kamerleden waren op dat moment in reces (vakantie). Toen ze terugkwamen en de boel overal zagen afgesloten, protesteerde men hevig tegen deze nieuwe "beveiligingsmaatregel". Het gevolg: het sluizensysteem werkte niet, en er was zeer veel geld (ettelijke miljoenen) over de balk gesmeten. Men had deze miljoenen kunnen besparen door vakmensen te vragen een voorverkenning te doen.
Weer de VVD die mensen dwingt criminele handelingen te gaan ondernemen.
Hoe durft die club voor en van criminelen zich überhaupt een vrijheids-partij te noemen??
In mijn ogen is de VVD nog altijd een opvang plek en thuishaven voor politieke criminelen,
Hoe kan eene Fred Teeven nou ooit een staatsecretaris voor veiligheid geworden zijn, als hij in z'n verleden werkzaam als een of andere chef van de douane 2000 kilo ingevoerde cocaine uit het oog het laten verliezen wat daardoor gewoon op onze straten terecht is gekomen???
Een grote schande dat zulk soort zaken ook niet vermeld staan op zijn wikipedia-pagina!! hoogste tijd voor een update.
Ik sta er ook niet vreemd van op te kijken dat het blauwe oog van hem ook een cocaine relateerde achtergrond blijkt te hebben.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
