Expert: beste digitale beveiliging is analoog
Om de digitale systemen van de Verenigde Staten te beschermen moeten er meer analoge systemen worden gebruikt, zo heeft de vicevoorzitter van de Amerikaanse denktank Rand laten weten. Richard Danzig wees naar klokkenluider Edward Snowden. "Hij is niet uniek, maar wat opvalt is dat we door jaren heen heel veel mensen hebben gehad die hetzelfde deden, maar niemand heeft 1,7 miljoen documenten gestolen."
Volgens Danzig was dit mogelijk door de concentratie van documenten. Digitale systemen mogen dan ongekende mogelijkheden bieden, ze zorgen ook voor grotere onzekerheid merkte hij op. Als oplossing stelde Danzig voor om menselijke aspecten aan de beveiliging van digitale systemen toe te voegen. "Koppel je systemen met iets dat analoog is, fysiek of menselijk, zodat als het systeem digitaal wordt gecompromitteerd er een tweede barrière is waar door heen moet worden gegaan", vertelde de Rand-topman.
"Als er iets belangrijks is wil ik niet alleen digitale input, maar ook een menselijke of secondaire overweging." Hij voegde toe dat analoge systemen als controle voor computersystemen kunnen dienen. Daarnaast zou het handig voor organisaties zijn om een "Plan B" te hebben, waarbij er een "non-cyber alternatief" is om systemen te laten draaien als het netwerk is gecompromitteerd. Op zo'n manier worden aanvallers gedwongen om rekening met een systeem buiten het netwerk te houden.
Evolutie
Danzig vergeleek de evolutie van informatietechnologie op het politieke en militaire landschap met de impact van het buskruit in de dertiende eeuw. "Al die veranderingen vonden gedurende twee eeuwen plaats", merkte hij op. "De informatierevolutie nam enkele decennia in beslag. Is het verrassend dat we achterlopen met ons begrip hierover?" Volgens Danzig is cybersecurity een zeer onbekend terrein voor beleidsmakers. De meeste politici zijn opgegroeid in een wereld waar cybersecurity geen rol speelde. Als het gaat om internet en IT omschrijft hij deze politici als "digitale immigranten", wat zou verklaren waarom ze zoveel moeite met het onderwerp hebben.
Kijk maar hoe dat vroeger ging met abonnee TV kanalen of scrambling van communicatie van bijvoorbeeld politie.
Iedere beginner kon dat kraken. Kom daar nu nog maar eens om.
Een high secure netwerk compromitteren kan naar mijn mening niet aan de orde zijn, immers zo'n systeem mag al helemaal niet aan internet hangen. Of je moet hele speciale maatregelen treffen.
Voor alle andere netwerken moet je wel een alternatief ontwikkelen, kijk maar naar Sony die in een klap in de digitale middeleeuwen terechtkwam....
We moeten vooral doorgaan met cloud en Big Data, way to go ICT'ers..
.
Kijk maar hoe dat vroeger ging met abonnee TV kanalen of scrambling van communicatie van bijvoorbeeld politie.
Iedere beginner kon dat kraken. Kom daar nu nog maar eens om.
Of slaan jouw voorbeelden op iets anders dan Richard Danzig bedoelt?
Dat klinkt niet persé naar scramblen, controle is een ander mechaniek dan onleesbaar maken. Maar goed Danzig zal met wat voorbeelden moeten komen zodat het duidelijk wordt.
Kijk maar hoe dat vroeger ging met abonnee TV kanalen of scrambling van communicatie van bijvoorbeeld politie.
Iedere beginner kon dat kraken. Kom daar nu nog maar eens om.
Hangt er van af. De eerste crux zit 'm in de zinsnede: Analoog, fysiek of menselijk. Al naar gelang wat de meeste beveiliging oplevert. De tweede, aansluitende, crux zit 'm dat "1,7 miljoen documenten". Met een conservatieve schatting van 1 A4tje per document (5 gram per A4tje) weegt dat 85 ton (!). Een diefstal van papier op die schaal is weinig praktisch, maar het past wel op een enkele USB stick.
Overigens gaat dit niet gebeuren, want te duur... Te meer daar de schade van de meeste datalekken niet op de organisaties verhaald wordt of kan worden (denk maar aan identiteitsdiefstal) en dus een external cost is.
En voor heel veel andere systemen is het juist van belang (voor die systemen dan) dat het aan Internet hangt. Denk aan kenteken registraties.
Analoog beveiligen als extra maatregel is juist heel effectief. Maar denk dan ook bij analoog aan een schakelaar of een stekker.
Tuurlijk kan dat. Maar fysieke toegang is wel gemakkelijker te controleren. Ga jij er vanuit dat je overal kan komen met je USB stick en andere gegevensdragers ? Natuurlijk kan er sprake zijn van slechte of geen fysieke beveiliging. Maar dat is niet anders in het digitale domein ;)
het is iets wat het oog kan lezen maar een digitaal oog niet zomaar kan berekenen.
zo zijn er nog veel meer mogelijkheden.
het probleem van alles aan elkaar koppelen is dat een single point of failure totale compromitering betekent.
anders gezegd, wanneer alle patientgegevens van alle nederlanders aan 1 database hangen is met 1 inbraak 17 miljoen mensen hun gegevens op straat te vinden. wanneer deze gegevens in een kast staan in een ziekenhuis, samen met andere mensen die met de letter B beginnen die de afgelopen 12 maanden in een ziekenhuis gelegen hebben is de kans dat er 17 miljoen mensen last gaan krijgen als een inbreker een map mee neemt uit een metalen kast nihiel.
die gegevens zijn nog steeds beschikbaar maar een analoge bar zit er tussen. een medewerker moet het doorfaxen.
de digitale voetafdruk is relatief laag, alleen iemand die de faxlijn aftapt of iets dergelijks heeft toegang.
geef mij maar een ziekenhuis die mijn map in een metalen kast heeft en niet op een microsoft mysql server heeft staan die ook nog een prehistorische versie van proxyserver draait op een al 8 jaar niet meer ondersteunde versie van small-business-server van microsoft draait en aan internet hangt en ook nog eens mailserver speelt. zonder updates natuurlijk want het systeem mag nooit plat gaan.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
