Schneier: decryptiebevel Opstelten is slecht idee
Het verplichten van mensen om hun encryptiesleutels aan de overheid af te staan is geen goed idee, dat zegt de bekende beveiligingsgoeroe Bruce Schneier tegenover Security.nl. Schneier, die Chief Security Technology Officer bij BT is, was recentelijk in Nederland en Security.nl had een gesprek met hem over security, encryptie en Bring Your Own Device (BYOD).
Onlangs liet minister Opstelten van Veiligheid en Justitie weten dat hij 'verdachten in (onder andere) kinderpornozaken' wil verplichten om medewerking te verlenen bij het toegankelijk maken van gegevens op hun computer die met het gebruik van encryptie zijn versleuteld.
Schneier ziet een herhaling van de 'Cryptowars' die in het midden van de jaren 1990 in de Verenigde Staten plaatsvonden. Toen wilde de Amerikaanse overheid ook toegang tot versleutelde gegevens kunnen hebben. "Datzelfde argument, dat de overheid je informatie moet hebben. Het is verkeerd, het is geen goed idee", aldus de CSTO van BT.
In de VS werd het plan uiteindelijk afgeblazen. "Het ging niet door omdat het een slecht idee is." Als de wetgeving in Nederland wordt aangenomen ziet Schneier geen heil in technische oplossingen, zoals verborgen partities of de plausible deniability optie van een versleutelingsprogramma zoals TrueCrypt. "Ze maken het dan tegen de wet om het te omzeilen. Dus de enige oplossing is dat je dan probeert de wet te veranderen."
Schneier zelf weet niet wat hij in dit geval zou doen. "Je vraagt me in feite of ik dan de wet zou breken. Het breken van de wet is niet zomaar iets. Dat baseer je niet op een hypothetische veronderstelling."
Beveiliging
Zelf doet hij geen speciale dingen om zijn systeem te beveiligen. "Ik doe dezelfde dingen als de rest. Ik versleutel mijn harde schijf. Ik bewaar veel data op externe schijven omdat ik veel reis. Het is geen hogere wiskunde. Je moet gewoon de basis in orde hebben. Het zijn de eenvoudige dingen die je moet doen, maar veel mensen doen die niet, en met name bedrijven."
Encryptie is bijvoorbeeld iets waar bedrijven en organisaties steken laten vallen. "Het inschakelen van volledige schijfversleuteling zou een 'no-brainer' moeten zijn, maar de meeste mensen hebben het niet ingeschakeld."
Bring Your Own Device
Schneier denkt dat mensen security relatief eenvoudiger zien dan het in werkelijkheid is. 'Je maakt het gewoon veilig, wat is het probleem', is een veel gehoorde opmerking, zo laat hij weten. Een perceptie die niet kopt. "Het wordt als te eenvoudig waargenomen." Dat geldt niet voor BYOD, waar veel bedrijven zich zorgen om maken. Ook Schneier noemt BYOD een probleem. "Maar dat zijn zoveel dingen. De voordelen van BYOD zijn zo aantrekkelijk dat het zal gebeuren. Ja het is een beveiligingsprobleem, maar dat zal het niet stoppen omdat het zo'n goed idee is."
Schneier kreeg van een BT een laptop, maar gebruikt die nooit. "Ik gebruik mijn eigen laptop, ik wil de bedrijfslaptop niet gebruiken, dat is gewoon onnozel. Ik heb een betere. Je gebruikt je eigen laptop, je eigen telefoon. Dat is de toekomst. Natuurlijk zijn er beveiligingslekken, maar die zitten in alles."
Mensen zijn volgens Schneier verschrikkelijk in het beveiligen van hun apparaten, iets wat algemeen bekend is, maar zeker bij BYOD voor problemen kan zorgen. "Dat is de manier waarop de wereld werkt. Dat moet je accepteren." Bedrijven zullen dan ook een zekere mate van onzekerheid moeten accepteren, gaat de CSTO verder. "Of het niet doen, maar je kunt niet van je werknemers verwachten dat ze een uniform dragen en de hele dag van 9 tot 5 achter hun bureau zitten. Je kunt eisen dat werknemers de telefoon en computer van de werkgever moeten gebruiken, maar dan zal niemand in de toekomst voor je willen werken."
Omdat het idee van BYOD zo aantrekkelijk is, zal niemand het vanwege veiligheidsproblemen en risico's weigeren denkt Schneier. "Security-mensen verliezen die discussies. Er zijn veel manieren om er mee om te gaan. Je kiest er gewoon één."
Wat maakt het uit in wat voor zaak het is. Je bent toch onschuldig tot schuld bewezen wordt ?
Qua BYOD, dat is technisch redelijk elegant op te lossen. Je hebt als niet complete virtual machines, dan toch tenminste virtual environments nodig waartussen je kan schakelen; de ene zit bedrijfsinfo in, de andere je privespul. En dat met alles, niet alleen je laptop. Dat kan je doortrekken dat, zeg, de bedrijfsomgeving "managed" is dwz dat de bedrijfs-IT zeggenschap heeft over wat er in kan, dat ze die remote kunnen wissen en zo verder. Terwijl tegelijkertijd de priveomgeving alleen door jou beheerd kan worden. En het hoeft niet te stoppen bij maar twee omgevingen, natuurlijk.
Qua wetgeving, hoe dommer de wet hoe meer mensen zich er niet aan gaan storen. Slechte wetten zonder draagkracht kun je wel proberen te handhaven, maar dat ga je verliezen. Je bewijst het volk dus ook geen dienst met slechte wetten, en dan moet die wet (en jij ook, wereldvreemde minister) maar het veld ruimen. Want waar hadden we nou ook al weer wetten voor?
Heeft die Schneier toch mooi een kans laten liggen om zoiets zinnigs te zeggen. Doet'ie niet. Jammer.
Ook Schneier noemt BYOD een probleem. "Maar dat zijn zoveel dingen. De voordelen van BYOD zijn zo aantrekkelijk dat het zal gebeuren. Ja het is een beveiligingsprobleem, maar dat zal het niet stoppen omdat het zo'n goed idee is."
Schneier kreeg van een BT een laptop, maar gebruikt die nooit. "Ik gebruik mijn eigen laptop, ik wil de bedrijfslaptop niet gebruiken, dat is gewoon onnozel. Ik heb een betere
Dus BYOD is een beveiligingsprobleem, maar meneer Scheier doet het zelf ook. Practise what you preach is het eerste wat in mij opkomt in dit geval.
Schneier kreeg van een BT een laptop, maar gebruikt die nooit. "Ik gebruik mijn eigen laptop, ik wil de bedrijfslaptop niet gebruiken, dat is gewoon onnozel. Ik heb een betere
en wie gaat ons dat zowiezo verplichten de overheid haha
Vallen deze dan onder dezelfde wetgeving?
En hoe zit het dan met media bescherming, welke ook van deze encryptie gebruik maakt?
Of bijvoorbeeld de software encryptie voor activatie?
Kunnen deze dan allemaal door de rechtelijke macht worden opgeëist?
Sorry, dat het me allemaal even duizelt......
qua inhoud als vorm.
INHOUD
bv. wordt de financiële crimineel ook verplicht.
VORM
bv wordt de belastingontduiker gedwongen zijn nummerrekening in Zwitserland prijs te geven.
Daarnaast is het natuurlijk een flagrante schending van het principe dat een verdachte niet aan
zijn eigen veroordeling hoeft mee te werken.
Public relations voor BT niet te na gesproken.
Dan is die laptop en toegang tot het bedrijfsnetwerk niet zo heel belangrijk. En iemand als Scheier heeft -door zijn kennis van security- wel genoeg body om zijn eigen security op te zetten.
Voor de anderen onder ons: Schneiere bewijst ons absoluut geen dienst.
- Ik ga niet om de 2-3 jaar zelf een nieuwe laptop kopen omdat mijn werkgever me een basismodel met klein schermpje gegeven heeft en ik 's avonds mijn werk af wil hebben. Me voorzien van degelijk materiaal om te werken is de taak van mijn werkgever. Een metser krijgt een goed truweel van zijn baas, gaat dat niet zelf kopen.
- Als de (wat oudere) mensen die wel voldoende geld hebben om zelf het betere IT-materiaal te kopen daarin zo ver gaan als Schneier, hoe moeten de jongere en wat minder bemiddelde mensen dan nog aan werk geraken?
Niet goed bezig Schneier!
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
