image

Werknemers creatief in omzeilen IT-beveiliging op werkvloer

zondag 20 april 2014, 09:33 door Redactie, 11 reacties

Werknemers blijken zeer creatief te zijn in het omzeilen van de IT-beveiliging op de werkvloer, maar veroorzaken daardoor allerlei kwetsbaarheden en openen systemen voor aanvallers. Dat blijkt uit onderzoek van Ross Koppel, professor sociologie aan de Universiteit van Pennsylvania.

Samen met Jim Blythe van de Universiteit van Zuid-Californië en Sean Smith van het Dartmouth College onderzocht Koppel wat mensen precies doen als ze tijdens hun werk de veiligheidsregels van IT-experts niet opvolgen. De onderzoekers ontdekten dat het omzeilen van deze veiligheidsregels de norm is geworden. Het onderzoek van Koppel richtte zich vooral op werknemers in de gezondheidszorg die de regels omzeilen, zoals artsen en verpleegsters.

In veel gevallen zijn de veiligheidsregels, bijvoorbeeld voor wachtwoorden, zo omslachtig en belastend dat werknemers manieren vinden om hun werk toch gewoon uit te kunnen voeren. Aan de hand van verschillende interviews zagen de onderzoekers allerlei irrationele beveiligingsmaatregelen en de oplossingen waarmee het personeel vervolgens dit omzeilde, zoals het delen van wachtwoorden en negeren van veiligheidswaarschuwingen. In totaal ontdekten de onderzoekers "talloze" kwetsbaarheden die door inflexibele en onlogische veiligheidseisen worden geïntroduceerd.

Wachtwoord

Het gaat bijvoorbeeld om het wijzigen van het wachtwoord elke 90 dagen. In de Defensie-industrie bleken werknemers hun helpdesk te bellen en te vertellen dat ze hun wachtwoord vergeten waren. Daardoor werd het wachtwoord gereset, maar ook de limiet van 90 dagen. Zodoende konden gebruikers hun oude wachtwoord steeds opnieuw blijven gebruiken.

Om automatisch uitloggen van het systeem te voorkomen als ze even van hun werkplek weg waren, plaatsten werknemers plastic bekertjes over de detector die juist moest detecteren als ze opstonden. Daardoor dacht het systeem de werknemer nog gewoon achter zijn computer zat en werd hij niet uitgelogd.

Een arts die de regels van het ziekenhuis wilde omzeilen wat betreft het meenemen van medische afbeeldingen bleek screenshots van de afbeeldingen te maken dat hij vervolgens onversleuteld via e-mail verstuurde. Een ander voorbeeld is van een manager die een niet vertrouwd SSL-certificaat voor de bedrijfsserver gebruikte. Gebruikers werden vervolgens getraind om waarschuwingen over ongeldige SSL-certificaten te negeren.

Reacties (11)
20-04-2014, 09:51 door Anoniem
Tja,als mensen elke week hun sleutels moeten vervangen van de auto en ze eerst alle deuren open moeten maken, de motorkap en de kofferbak, alle vloermatten eruit en dan weer erin om te kunnen starten.....

Schijnbaar is dat heel normaal om te vragen aan gebruikers...
Je wachtwoord moet minimaal 300 karakters lang zijn, elke week vernieuwd worden, mag niet overeenkomen met de afgelopen 6 miljoen wachtwoorden...

Nou, dan hoef je geen professor te zijn om te begrijpen dat dit niet gaat werken...

Oja, het alarmnummer is vervangen door 0118 999 881 999 119 7253 ... Beter uitziende ambulance medewerkers, snellere responstijden....

Ik zeg maar zo... als mensen echt vinden dat een IT manager geen verstand hoeft te hebben van IT maar dat een HBO+ diploma of minor in IT (US) voldoende is, krijg je dit soort oplossingen...
Waarom is een wachtwoord vernieuwen zo belangrijk? Als je zegt "als iemand een bruteforce doet, is die na zoveel tijd te achterhalen" is mijn antwoord: hoe komt het dan dat #1 er iemand een bruteforce kan doen #2 dat niemand dit opmerkt #3 niemand dit stopt #4 er geen middelen zijn om dit achteraf te limiteren.#5 als het een belangrijke omgeving is, hoe kan iemand van de buitenkant er uberhaupt bij?
Enz enz.
20-04-2014, 10:00 door Anoniem
En wat ga je er aan doen? "Strenger controleren", "harder aanpakken", en meer van zulk opsteltiaans geneuzel?

Ha ha, die is gek. Het werk komt eerst. Als het werk niet gedaan kan worden heeft de beveiliging ook gefaald. Knoop die maar in je zakdoek. Wat niet wil zeggen dat er niet beveiligd moet worden of dat informatielekken wel zou mogen. Maar dan wel zo dat het goed in de workflow past. Dus geen draconische maatregelen van het type "zo, dit zal wel veilig genoeg zijn", waarbij dus even compleet vergeten wordt dat er ook nog gewerkt moet worden. Beveiligingstypes moeten beter leren nadenken, in plaats van door te gaan met het aloude chicken waving en cargo culting. Wat dat betreft is beveiliging nog steeds veelteveel een soort modern shamanisme. Met cowboyhoeden, dat dan weer wel.
20-04-2014, 10:17 door tarunjj
Moraal van het verhaal: veiligheid is goed, maar houdt het werkbaar.
20-04-2014, 10:24 door Anoniem
Het is het eeuwige comprimis tussen "veilig" en "handig". Veel maatregelen worden genomen omdat men denkt dat het goed is voor de beveiliging, maar voor werknemers is het vaak een dusdanige irritatie dat ze het proberen te omzeilen. Dat gebeurt al zolang als er sloten zijn; mensen doen deuren waar ze vaak doorheen moeten niet op slot, ookal weten ze dat er dan foute personen doorheen zouden kunnen.

Dat het uberhaupt omzeilt kan worden geeft ook aan hoe naief de beveiligers vaak zijn; je kunt iets niet beveiligen door tegen mensen te zeggen dat ze geen onveilige dingen moeten doen. Mijn regel is daarom eenvoudig: wat niet mag, dat moet niet kunnen. Net als in een firewall; je begint met een regel die al het verkeer blokkeert, en daarin ga je regels maken die datgene wat wel mag mogelijk maakt.
20-04-2014, 10:41 door Anoniem
Inderdaad, en leg niet _op_, maar _uit_. Begrip voor de noodzaak van maatregelen verhoogt de medewerking van de mensen aan die maatregelen.
20-04-2014, 11:08 door [Account Verwijderd] - Bijgewerkt: 20-04-2014, 11:16
[Verwijderd]
20-04-2014, 11:37 door Anoniem
Een Tweede Kamervoorzitter..............Men had deze miljoenen kunnen besparen door vakmensen te vragen een voorverkenning te doen.

Men had gewoon moeten zeggen " je wil toch niet dat terroristen zomaar naar binnen kunnen, of mensen met kinderpron en je hebt toch niets te verbergen?"..

(dat zeggen ze namelijk ook altijd tegen ons burgers)
20-04-2014, 15:12 door Anoniem
Door Peter V.:
Werknemers creatief in omzeilen IT-beveiliging op werkvloer

Toen wij in opleiding beveiliging zaten, werd ons verteld dat dit soort dingen te voorkomen zijn.

Regel1: Voordat je een beveiliging introduceert (of dat nu een eenvoudig slot is of een ICT-security maatregel), ga je eerst met iedereen die er mee te maken krijgt om de tafel zitten en je bespreekt het met iedereen. Je stelt de vraag: "wat vinden jullie hiervan? Dit en dit willen wij invoeren".

Regel2: als het personeel deze security niet zien zitten (om wat voor reden dan ook) dan is het dom het toch te introduceren. Zij moeten er immers mee werken. Introduceer je het toch tegen de wil van het personeel in, dan is het gevolg dat deze (dure) beveiliging wordt genegeerd, en dat je veel geld kwijt bent voor een waardeloos geworden systeem.

Regel3: als het personeel (van hoog tot laag) akkoord gaat, kun je een aantal goed gekeurde "beveiligingen" bekijken welke ingevoerd kunnen worden.

Waar ging het in Nederland fout?

Een Tweede Kamervoorzitter (iemand van de VVD) bepaalde plots dat een peperduur sluizensysteem voor de beveiliging moest komen in de Tweede Kamer. Maar de Kamerleden waren op dat moment in reces (vakantie). Toen ze terugkwamen en de boel overal zagen afgesloten, protesteerde men hevig tegen deze nieuwe "beveiligingsmaatregel". Het gevolg: het sluizensysteem werkte niet, en er was zeer veel geld (ettelijke miljoenen) over de balk gesmeten. Men had deze miljoenen kunnen besparen door vakmensen te vragen een voorverkenning te doen.


Weer de VVD die mensen dwingt criminele handelingen te gaan ondernemen.
Hoe durft die club voor en van criminelen zich überhaupt een vrijheids-partij te noemen??

In mijn ogen is de VVD nog altijd een opvang plek en thuishaven voor politieke criminelen,
Hoe kan eene Fred Teeven nou ooit een staatsecretaris voor veiligheid geworden zijn, als hij in z'n verleden werkzaam als een of andere chef van de douane 2000 kilo ingevoerde cocaine uit het oog het laten verliezen wat daardoor gewoon op onze straten terecht is gekomen???
Een grote schande dat zulk soort zaken ook niet vermeld staan op zijn wikipedia-pagina!! hoogste tijd voor een update.

Ik sta er ook niet vreemd van op te kijken dat het blauwe oog van hem ook een cocaine relateerde achtergrond blijkt te hebben.
20-04-2014, 19:12 door Anoniem
Tegenwoordig lijkt dit wel een spannende uitdaging voor medewerkers.
21-04-2014, 10:59 door Anoniem
Oud nieuws, was al in October 2013 gepubliceerd in Security & Privacy.
22-04-2014, 13:29 door Anoniem
Dit klinkt bekent: medewerkers maken meestal een goede trade-off tussen het werk gedaan krijgen en beveiling: <https://www.schneier.com/blog/archives/2013/03/getting_securit.html>
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.