image

Schneier: decryptiebevel Opstelten is slecht idee

donderdag 15 november 2012, 12:07 door Redactie, 12 reacties

Het verplichten van mensen om hun encryptiesleutels aan de overheid af te staan is geen goed idee, dat zegt de bekende beveiligingsgoeroe Bruce Schneier tegenover Security.nl. Schneier, die Chief Security Technology Officer bij BT is, was recentelijk in Nederland en Security.nl had een gesprek met hem over security, encryptie en Bring Your Own Device (BYOD).

Onlangs liet minister Opstelten van Veiligheid en Justitie weten dat hij 'verdachten in (onder andere) kinderpornozaken' wil verplichten om medewerking te verlenen bij het toegankelijk maken van gegevens op hun computer die met het gebruik van encryptie zijn versleuteld.

Schneier ziet een herhaling van de 'Cryptowars' die in het midden van de jaren 1990 in de Verenigde Staten plaatsvonden. Toen wilde de Amerikaanse overheid ook toegang tot versleutelde gegevens kunnen hebben. "Datzelfde argument, dat de overheid je informatie moet hebben. Het is verkeerd, het is geen goed idee", aldus de CSTO van BT.

In de VS werd het plan uiteindelijk afgeblazen. "Het ging niet door omdat het een slecht idee is." Als de wetgeving in Nederland wordt aangenomen ziet Schneier geen heil in technische oplossingen, zoals verborgen partities of de plausible deniability optie van een versleutelingsprogramma zoals TrueCrypt. "Ze maken het dan tegen de wet om het te omzeilen. Dus de enige oplossing is dat je dan probeert de wet te veranderen."

Schneier zelf weet niet wat hij in dit geval zou doen. "Je vraagt me in feite of ik dan de wet zou breken. Het breken van de wet is niet zomaar iets. Dat baseer je niet op een hypothetische veronderstelling."

Beveiliging
Zelf doet hij geen speciale dingen om zijn systeem te beveiligen. "Ik doe dezelfde dingen als de rest. Ik versleutel mijn harde schijf. Ik bewaar veel data op externe schijven omdat ik veel reis. Het is geen hogere wiskunde. Je moet gewoon de basis in orde hebben. Het zijn de eenvoudige dingen die je moet doen, maar veel mensen doen die niet, en met name bedrijven."

Encryptie is bijvoorbeeld iets waar bedrijven en organisaties steken laten vallen. "Het inschakelen van volledige schijfversleuteling zou een 'no-brainer' moeten zijn, maar de meeste mensen hebben het niet ingeschakeld."

Bring Your Own Device
Schneier denkt dat mensen security relatief eenvoudiger zien dan het in werkelijkheid is. 'Je maakt het gewoon veilig, wat is het probleem', is een veel gehoorde opmerking, zo laat hij weten. Een perceptie die niet kopt. "Het wordt als te eenvoudig waargenomen." Dat geldt niet voor BYOD, waar veel bedrijven zich zorgen om maken. Ook Schneier noemt BYOD een probleem. "Maar dat zijn zoveel dingen. De voordelen van BYOD zijn zo aantrekkelijk dat het zal gebeuren. Ja het is een beveiligingsprobleem, maar dat zal het niet stoppen omdat het zo'n goed idee is."

Schneier kreeg van een BT een laptop, maar gebruikt die nooit. "Ik gebruik mijn eigen laptop, ik wil de bedrijfslaptop niet gebruiken, dat is gewoon onnozel. Ik heb een betere. Je gebruikt je eigen laptop, je eigen telefoon. Dat is de toekomst. Natuurlijk zijn er beveiligingslekken, maar die zitten in alles."

Mensen zijn volgens Schneier verschrikkelijk in het beveiligen van hun apparaten, iets wat algemeen bekend is, maar zeker bij BYOD voor problemen kan zorgen. "Dat is de manier waarop de wereld werkt. Dat moet je accepteren." Bedrijven zullen dan ook een zekere mate van onzekerheid moeten accepteren, gaat de CSTO verder. "Of het niet doen, maar je kunt niet van je werknemers verwachten dat ze een uniform dragen en de hele dag van 9 tot 5 achter hun bureau zitten. Je kunt eisen dat werknemers de telefoon en computer van de werkgever moeten gebruiken, maar dan zal niemand in de toekomst voor je willen werken."

Omdat het idee van BYOD zo aantrekkelijk is, zal niemand het vanwege veiligheidsproblemen en risico's weigeren denkt Schneier. "Security-mensen verliezen die discussies. Er zijn veel manieren om er mee om te gaan. Je kiest er gewoon één."

Reacties (12)
15-11-2012, 15:47 door Anoniem
"Onlangs liet minister Opstelten van Veiligheid en Justitie weten dat hij 'verdachten in (onder andere) kinderpornozaken' wil verplichten om medewerking te verlenen bij het toegankelijk maken van gegevens op hun computer"

Wat maakt het uit in wat voor zaak het is. Je bent toch onschuldig tot schuld bewezen wordt ?
15-11-2012, 16:47 door Anoniem
Opstelten spoort niet. Als de Roverheid nou te vertrouwen zou zijn, dan zou er misschien, heel misschien wat voor te zeggen kunnen zijn. De Roverheid maakt keer op keer duidelijk dat ze niet te vertrouwen zijn. Deels omdat ze de wet naar hun hand zetten als het ze zo uit komt, deels omdat de 'medewerkers' doorgaans qua incompetentie hoger scoren dan de gemiddelde 15-jarige scholier.
15-11-2012, 19:38 door Anoniem
Beetje nietszeggend, dit.

Qua BYOD, dat is technisch redelijk elegant op te lossen. Je hebt als niet complete virtual machines, dan toch tenminste virtual environments nodig waartussen je kan schakelen; de ene zit bedrijfsinfo in, de andere je privespul. En dat met alles, niet alleen je laptop. Dat kan je doortrekken dat, zeg, de bedrijfsomgeving "managed" is dwz dat de bedrijfs-IT zeggenschap heeft over wat er in kan, dat ze die remote kunnen wissen en zo verder. Terwijl tegelijkertijd de priveomgeving alleen door jou beheerd kan worden. En het hoeft niet te stoppen bij maar twee omgevingen, natuurlijk.

Qua wetgeving, hoe dommer de wet hoe meer mensen zich er niet aan gaan storen. Slechte wetten zonder draagkracht kun je wel proberen te handhaven, maar dat ga je verliezen. Je bewijst het volk dus ook geen dienst met slechte wetten, en dan moet die wet (en jij ook, wereldvreemde minister) maar het veld ruimen. Want waar hadden we nou ook al weer wetten voor?

Heeft die Schneier toch mooi een kans laten liggen om zoiets zinnigs te zeggen. Doet'ie niet. Jammer.
16-11-2012, 11:08 door Anoniem

Ook Schneier noemt BYOD een probleem. "Maar dat zijn zoveel dingen. De voordelen van BYOD zijn zo aantrekkelijk dat het zal gebeuren. Ja het is een beveiligingsprobleem, maar dat zal het niet stoppen omdat het zo'n goed idee is."


Schneier kreeg van een BT een laptop, maar gebruikt die nooit. "Ik gebruik mijn eigen laptop, ik wil de bedrijfslaptop niet gebruiken, dat is gewoon onnozel. Ik heb een betere

Dus BYOD is een beveiligingsprobleem, maar meneer Scheier doet het zelf ook. Practise what you preach is het eerste wat in mij opkomt in dit geval.
16-11-2012, 14:24 door Anoniem

Schneier kreeg van een BT een laptop, maar gebruikt die nooit. "Ik gebruik mijn eigen laptop, ik wil de bedrijfslaptop niet gebruiken, dat is gewoon onnozel. Ik heb een betere
Dus BYOD is een beveiligingsprobleem, maar meneer Scheier doet het zelf ook. Practise what you preach is het eerste wat in mij opkomt in dit geval.[/quote]Jij gaat er blijkbaar van uit dat meneer Schneier zijn beveiliging niet of slechter regelt dan zijn bedrijf doet. Ik doe hetzelfde als mijnheer Schneier, ondermeer omdat ik zo weinig mogelijk in de onveilige bedrijfsomgeving wil werken.
16-11-2012, 15:11 door fvandillen
Zeer slecht idee dit. Zet alleen maar aan tot mensen die manieren gaan toepassen tot plausible deniability.
16-11-2012, 16:06 door Anoniem
Jij gaat er blijkbaar van uit dat meneer Schneier zijn beveiliging niet of slechter regelt dan zijn bedrijf doet. Ik doe hetzelfde als mijnheer Schneier, ondermeer omdat ik zo weinig mogelijk in de onveilige bedrijfsomgeving wil werken.
Als de bedrijfsomgeving onveilig is dan lijkt me dat de CSTO zich inzet om die veiliger te maken. Op deze manier geef je aan dat het ok is om beveiligingsmaatregelen ingesteld door het bedrijf te omzeilen, want als de CSTO het doet...
16-11-2012, 17:15 door Security Scene Team
die ivo heeft alleen maar slechte plannen.. ten koste van ons!
16-11-2012, 22:10 door Anoniem
Het verplichten van mensen om hun encryptiesleutels aan de overheid af te staan is geen goed idee

en wie gaat ons dat zowiezo verplichten de overheid haha
28-11-2012, 16:14 door dutchfish
Ik vraag me dan serieus af waar we staan met encrypted verbindingen, c.q. tunnels en VPN verbindingen?

Vallen deze dan onder dezelfde wetgeving?

En hoe zit het dan met media bescherming, welke ook van deze encryptie gebruik maakt?

Of bijvoorbeeld de software encryptie voor activatie?

Kunnen deze dan allemaal door de rechtelijke macht worden opgeëist?

Sorry, dat het me allemaal even duizelt......
03-12-2012, 22:12 door Eric-Jan H te D
Dit idee is vooral slecht, omdat het rechtsongelijkheid ten aanzien van delicten impliceert. Zowel
qua inhoud als vorm.

INHOUD
bv. wordt de financiële crimineel ook verplicht.

VORM
bv wordt de belastingontduiker gedwongen zijn nummerrekening in Zwitserland prijs te geven.

Daarnaast is het natuurlijk een flagrante schending van het principe dat een verdachte niet aan
zijn eigen veroordeling hoeft mee te werken.
20-12-2012, 22:54 door Anoniem
Ik ben akkoord dat Scheier hard en veel werkt, maar vraag me af hoeveel hij rechtstreeks en echt voor zijn werkgever werkt.
Public relations voor BT niet te na gesproken.
Dan is die laptop en toegang tot het bedrijfsnetwerk niet zo heel belangrijk. En iemand als Scheier heeft -door zijn kennis van security- wel genoeg body om zijn eigen security op te zetten.

Voor de anderen onder ons: Schneiere bewijst ons absoluut geen dienst.
- Ik ga niet om de 2-3 jaar zelf een nieuwe laptop kopen omdat mijn werkgever me een basismodel met klein schermpje gegeven heeft en ik 's avonds mijn werk af wil hebben. Me voorzien van degelijk materiaal om te werken is de taak van mijn werkgever. Een metser krijgt een goed truweel van zijn baas, gaat dat niet zelf kopen.
- Als de (wat oudere) mensen die wel voldoende geld hebben om zelf het betere IT-materiaal te kopen daarin zo ver gaan als Schneier, hoe moeten de jongere en wat minder bemiddelde mensen dan nog aan werk geraken?

Niet goed bezig Schneier!
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.