Zodra het IT is, is het voor de politie als snel 'lastig'. Voor de rest van de wereld niet...
Zou de politie na 1 januari nou ook elke dag die 8 ton boete krijgen wegens het niet fatsoenlijk beveiligen van persoonsgegevens?

Tja, gebruiksvriendelijkheid en gemak gaat boven privacy en veiligheid. Super handig trouwens bij de corrupte politie, gelijk alle gegevens bij de hand, super!

Voor het zakelijke deel moet je inloggen dus dat maakt het allemaal heeel veilig natuurlijk, zeker als er een optie bestaat om ingelogd te blijven.

Gewoon verdedigen en doorgaan Helma Huizing.

Hadden die "experts" geen inside informatie over hoe het ingericht is dan?
Die was zelfs hier op security.nl te lezen...

Eerder is al bekend gemaakt dat elke handeling van een agent wordt geregistreerd, waarmee ze dus verantwoordelijk kunnen worden gehouden op het moment dat ze gegevens inzien waar ze misschien geen noodzaak voor hebben op dat moment. Een systeem wat in de zorg al langer gebruikt wordt (ook voor andere systemen dan het EPD). Dus inzicht is er wel degelijk en het risico van ongewenst inzien weegt wel op tegen de voordelen die behaald kunnen worden imo.

Verder is het gebruikers van containers op een device heel normaal in BYOD wereld, dus ook daar zie ik geen grote problemen. Wat ik zie is vooral weer een hoop geroep in de media wat gepareerd moet worden door de nationale politie. Een dialoogje tussen partijen zou dan wel eens op zijn plek zijn (en nee, dat betekent niet alles qua design/development op straat gooien, we gaan bepaalde mensen niet slimmer maken dan nodig). ;p

Byod was de grote belofte bij bedrijven. Met een cloud benadering. Nooit iets negatiefs over gehoord anders dan de complexiteit van alle verschillende apparaten.

Nu draaien we het om en geven 1 standaard apparaat dat ook privé gebruikt mag worden. Nu zou het ineens onveilig zijn. Dat kan juist zijn maar dan moeten we byod geheel afschaffen.

Hoe veilig Knox en linux is weet ik niet. Selinux wordt als veilig gezien want open source en onveilig want van de NSA. Meer zekerheid is wel gewenst.
Op zich goed dat ze (politie) gedetailleerde auditing aan de server kant hebben. Hoe dat ingezet wordt is een andere vraag.

Dus als 1 of 2 agenten zijn bezweken daarom is de hele politie corrupt?
Je hoeft niets te bagatelliseren hoor, maar wat een overtrokken reactie zeg.

Elke app moet persoonlijk worden gemaakt. Zodat te zien is welke agent wat raadpleegt. En gebruik vanaf een andere telefoon.een ongebruikelijke lokatie en zoekopdrachten buiten werkuren zouden dan een alarm moeten doen afgaan van misbruik.

Monitor de polite (bigger brother watching big brother)

Misschien is de meer dan verdrievoudiging van onterechte hechtenis tussen 2004 en 2014 (cijfers CBS) wat minder overtrokken?


Probleem is dat dit pas een honest broker is als de gegevens alleen onder controle staan van een organisatie die niet door dezelfde mensen betaald wordt als de politie zelf. Anders keurt de slager zijn eigen vlees.


Het oude argument. De eerste reden dat dit geen hout snijdt is dat de georganiseerde misdaad die mensen kan betalen om de code te lezen en begrijpen ook uitstekend in staat is mensen te betalen die de code kunnen reverse engineeren. Kennis van de code wordt daarmee dus een privilege voor de makers en de criminelen. Voor het overige staat controle alleen door de voorstanders gelijk aan geen controle. Overigens staan de lekken van de containers op nummer 4 in de OWASP Mobile Top 10 van beveiligingsfouten (https://owasp.org/index.php/Mobile_Top_10_2014-M4).


Het is spijtig dat je de bezwaren van security deskundigen tot nu toe gemist hebt. Bij dezen een aanzet. Zie OWASP Mobile Top 10 (https://owasp.org/index.php/OWASP_Mobile_Security_Project#Top_Ten_Mobile_Risks).


De meeste bedrijfsinformatie op BYOD is niet carriere en sociaal leven beperkend. Maar ik beperk me hier tot het feit dat in sommige beroepen je zelfs niet aangenomen wordt als je ten onrechte met de politie in aanraking bent gekomen, maar dit niet is afgesloten met een sepotcode 00 (BEWEZEN onschuldig). De gevoeligheid van de data en de machtsongelijkheid van de partijen in totaal (een aanvaring van een individu met de overheid is het krachtsverschil tussen een voetganger en een tientonner) is reden genoeg om hier vele malen zwaarder regels voor te hebben.


Vergeet het geld niet. Al zeg ik er daar wel bij dat, hoewel ik niet enthousiast ben over de wildgroei aan bevoegdheden en afbraak van rechtsbescherming, ik dan weer wel vind dat de politie ruimhartig met budget bedeeld moet worden. Per slot van rekening is het nodig van ze te eisen dat ze heel veel ballen tegelijk in de lucht houden.

Er is meer aan de hand dan 3 of 4 corrupte agenten. De screening is achterwege gelaten waardoor de zwakke broeders binnengelaten zijn. Systeemfout? Of zijn er bewust gaten geslagen? In dat kader moet deze beslissing om nieuwe kwetsbaarheden te introduceren worden gezien.

Ja natuurlijk is er "bewust gekozen om agenten de telefoon ook privé te laten gebruiken". Maar dat is geen redelijke verklaring. Wat zijn dan die "bewuste" redenen en overwegingen?

Kan een van de zogenaamde "experts" mij vertellen
1. wat het verschil is (veiligheid) tussen een mobiele telefoon van de baas met een app en een desktopprogramma?
2. waar was iedereen met zijn mening toen de politie jaren geleden een BlackBerry in gebruik nam?
3. heeft iemand van de criticasters al een agent op een verjaardag met een BlackBerrie van de politie gezien?

Het is ronduit gezwets als men begint over 'apps die een veiligheidsrisico veroorzaken op een Samsungs'.
De reguliere apps staan op een ander deel van de telefoon.
Daar kun je niet met een prikbord naartoe of vandaan komen.
Data knippen/kopiëren en plakken tussen de twee containers is niet mogelijk.
De meeste agenten gebruiken de telefoon niet privé
1. omdat de baas niet ALLES van je hoeft te weten
2. omdat de telefoon niets nieuws biedt tov je eigen telefoon

Iedereen die tot dusver heeft gereageerd mag even 2 keer achter zn oren krabben. Wat een hoop onzin. Als je iets leest in de media en zeker bij het Algemeen Dagblad en de Telegraaf, neem het dan met een korrel zout. Stel je bent een IT-er, of niet, is er wel eens iets in het nieuws verschenen over het bedrijf waar jij werkt? Hoeveel daar van was/is waar?

"BEWUST GEKOZEN om agenten de telefoon ook privé te laten gebruiken" wat een BS.

Het wordt tijd dat we zakelijk en privee gebruik zoveel als mogelijk scheiden.
Wanneer gaat "oom agent" met het dienst pistool en een karton of twee patronen de schietbaan op om in vorm te blijven?

Komkommertijd lijkt me.........ik zie veel mening maar weinig feiten.

Bij welke van de m1-m10 staat het dan? M1 is weak serverside controls, zegt niets over het toestel.
Ik heb Virtualisatie (VMware Citrix Docker Selinux-confinement) nog nooit ergens bij een top gezien als vulnerability. Niet dat het niet te hacken is. Het wordt juist als maatregel gezien voor betere security.
De BYOD hype (ondertoon van mijn opmerking) is een kostengedreven iets vanuit top managers. Dan hoeft men niets meer voor apparatuur te betalen. Dat mag de werknemer doen. De variatie gebrek en grip op wat er speelt werkt juist averechts op kosten. Virtuele machines zijn dan een uitweg voor thuiswerk.


De meeste bedrijfsinformatie op BYOD is niet carriere en sociaal leven beperkend. Maar ik beperk me hier tot het feit dat in sommige beroepen je zelfs niet aangenomen wordt als je ten onrechte met de politie in aanraking bent gekomen, maar dit niet is afgesloten met een sepotcode 00 (BEWEZEN onschuldig). De gevoeligheid van de data en de machtsongelijkheid van de partijen in totaal (een aanvaring van een individu met de overheid is het krachtsverschil tussen een voetganger en een tientonner) is reden genoeg om hier vele malen zwaarder regels voor te hebben..[/quote]
Het zou goed zijn als de techniek en implementatie onafhankelijk en in BESLOTEN (nee niet open) verband geevalueerd zou worden. Het verhaal dat de agent willekeurig rond kan kijken geld voor elke techniek (papier ook) dat het anders en makkelijker is met daarbij dat het gecontroleerd wordt is een normale risico evaluatie.
https://www.owasp.org/index.php/Mobile_Top_10_2014-M4 noemt dat jet het evalueert en maatregelen neemt. containerisatie/vm is een sterke maatregel. Die wordt niet als zwakte genoemd integendeel.

Neem daarbij dat er heel wat dienders buiten rondlopen die niet of niet fatsoenlijk zijn gescreend en die Samsung gaat op een verjaardagsfeestje een leuke rol krijgen. Dat van dat bijhouden wat een diender opvraagt is natuurlijk een leuke opmerkingen maar wie gaat al die log's zitten bekijken en controleren....

Wat is je bron?

spijker, kop. Als iemand beweert dat een keuze bewust gemaakt is, zou het vanzelfsprekend mogen zijn dat je bij die bewering ook een toelichting mag geven... anders is het wel héél makkelijk. "Wij van WC-Eend vinden dat WC-Eend bewuste keuzes maakt."

Wie gaat al die open source code controleren en ook echt verifiëren. Het is net een data - swamp.
Dan heeft analytics op structured data. Logging is structured een normale optie. Machine learning big data analytics en meer is gewoon gangbare technologie en kent geautomatiseerde benaderingen. Ja het vraagt bepaalde denkwijzen maar het is geen handwerk per waargenomen event.

wat is jouw tegenargument?

Denk je nou daadwerkelijk dat agenten: niet OF nauwelijks gescreend worden? Wat voor tegenargument wil je horen?

Mijn tegenargument staat hier boven. Big data analytics is uuitstekend te doen op logfiles. Het is structured data.

Als je naar open source kijkt dan is dat vrijwel onmogelijk door te werken. Code en de achterliggende algoritmes (reverse engineering noodzakelijk) kenmerken zich door het unstructured zijn.

Dat is natuurlijk wel allemaal ontzettend hip, zo'n Samsung telefoon waar je je burgers mee kunt identificeren en controleren, maar diezelfde telefoons mogen en worden dus ook privégebruikt. Goed, die data zit in een "encrypted container", maar malware die buitenom deze container wordt geïnstalleerd kan natuurlijk prima schermopnamen maken, toetsaanslagen aftappen, microfoon beluisteren, foto's maken vanaf het toestel, enzovoorts. Een echt goede blackhat hacker die toegang krijgt tot zo'n toestel (remote of niet remote) kan vast wel een manier vinden waarop de software op het toestel "praat" met deze encrypted container. Dit valt gewoon niet goed te beveiligen, hoe je het ook went of keert. Dit zou gewoon via een dedicated, locked down device moeten gebeuren en niet met een of andere hippe gadget.

Verder zijn er genoeg agenten waar het nu extreem makkelijk voor wordt gemaakt om snel even gegevens op te vragen die ze niet zouden moeten opvragen. Natuurlijk krijg je dan het argument "maar we houden logs bij!". Ja, die heb ik wel vaker gehoord. Ik heb genoeg bedrijven zien "loggen". Maar wie kijkt de logs nou in? Wie begrijpt wat wel en wat géén toegelaten aanvragen zijn? Hier gaan weer zo veel missers gemaakt worden.

Het is een overheidsproject. Dan weet je wel hoe laat het is. Dit soort ontwikkelingen zijn een ernstige inbreuk op onze privacy. En privacy is één van de belangrijkste fundamenten van onze menselijke beschaving.

Ik raad IEDEREEN aan om zich NIET te laten identificeren via dit soort apparaten. Als/zodra dit soort apparaten in mijn gemeente in gebruik zullen worden genomen, zal ik zeker mijn beklag doen.

Die 'beveiliging', is een grap Prx. Er wordt hier heel veel misbruik van gemaakt. Pas als er stront aan de knikker is ("hoe kom je aan die gegevens?!") wordt er in de logging gekeken en daar komt dan inderdaad uit naar voren dat Pietje Puk de gegevens heeft ingezien van buurvrouw Bep Bakker. Dit systeem werkt reactief en niet proactief. Uitzondering daar gelaten voor bekende Nederlanders, hier wordt vaak nauwkeurig bijgehouden wie welke gegevens opvraagt.

Hetzelfde zal gebeuren voor deze Samsung telefoons. Er gaat misbruik van gemaakt worden. Het gaat gekraakt worden. En we gaan het waarschijnlijk nooit horen. Of het is een "incident". Of het wordt in de doofpot gestopt. Of het wordt uit de database verwijderd.

Mijn mond valt echt open van dit soort berichten.

Toffe toverwoorden. Je hebt vast een groot netwerk met hele 'coole' mensen. Je hebt helaas weinig kaas gegeten van de feitelijke techniek. Met 'big data analytics' zul je nauwelijks misbruik en waarschijnlijk nooit corruptie kunnen detecteren. Die 'big data analytics' gaan echt niet die extra query op jou database detecteren die niet gemaakt had moeten worden. Want die 'big data analytics' tool van jou begrijpt helemaal niet dat jij geen gegevens van je ex-vriendin zou mogen opzoeken gedurende werktijd. Die tool detecteert ook niet dat een corrupte agent een paar extra queries loslaat op die concurrerende narcotica-producenten. Het enige dat die tool gaat detecteren is dat een agent om 3:49 's nachts 1349 aanvragen heeft verwerkt omdat het toestel geïnfecteerd was met targetted hacking software.

Verdiep je eens een big-data analytics en de achterliggende techniek. Je uitspraken gaan volledig tegen wat haalbaar is in.
Het mooiste verhaal. http://www.forbes.com/sites/kashmirhill/2012/02/16/how-target-figured-out-a-teen-girl-was-pregnant-before-her-father-did/ Wonderlijk genoeg is het zelfde bedrijf later de fout in gegaan met een hack op de pos terminals. Niet dat het niet gedetecteerd werd, maar omdat niet op de detectie gereageerd werd. http://www.bloomberg.com/bw/articles/2014-03-13/target-missed-alarms-in-epic-hack-of-credit-card-data

Het detecteren ofwel toepassen van predictive analytics is niets nieuws. Of het nu retail voor promotie van de verkoop of het herkennen van mogelijk fraude maakt niet echt veel uit. Je kunt dan verrassend veel herkennen omdat mensen voorspelbare wezens zijn. De werkelijke vraag of het verantwoordelijke management bij de politie ook zo denkt en overeenkomstig handelt. (zie punt 5 hierboven).

Zo'n uitschieter als buiten werktijd om te veel aanvragen is eenvoudig te voorkomen. Opvragingen alleen mogelijk tijdens werktijd. Ook agenten moeten de tijden kenbaar maken en staan ergens in het syteem. Heb je meteen een prachtig aanknopingspunt als de android/Linux sandbox een fout vertoont. Het is de strategy met honeypots en rerouting DDOS.
Om je daarin te verdiepen heb je geen coole vriendjes nodig. Het is cyber-security interesse wat je moet hebben.

Ik vermoed zoiets:
http://www.nu.nl/algemeen/607303/agenten-probeerden-dossier-van-persie-in-te-zien.html

Andere Anoniem.