Britse toezichthouder: websites moet privédata beter beveiligen
Bedrijven die persoonsgegevens opslaan en verwerken moeten die data beter beschermen, zodat hackers er niet bij kunnen. Dat zegt de Britse privacytoezichthouder ICO in een reactie op het massale datalek bij Yahoo waar in 2014 de gegevens van minstens 500 miljoen gebruikers werden gestolen.
Naar aanleiding van het incident zal de ICO ook vragen aan Yahoo met betrekking tot de databescherming stellen. Hoewel de details van de hack nog niet bekend zijn, laat het incident wel zien dat bedrijven persoonlijke gegevens beter moeten beschermen, stelt de toezichthouder. "De persoonlijke informatie van mensen moet veilig zijn opgeslagen achter slot en grendel en de sleutel moet onmogelijk door hackers kunnen worden gevonden", aldus Elizabeth Denham, hoofd van de Information Commissioner's Office (ICO).
Jailen, filters per request toepassen, firewallen, interne/externe netwerk configuratie om database volledig intern alleen toegankelijk te maken, etc...
Dit zijn standaard toepassingen die horen toegepast te worden, maar helaas bij 99% van de providers onbekend terein is, zelfs bij mensen die net van hun hoge opleiding vandaan komen, hebben weinig tot geen ervaring in beveiligen.
Best wel sneu dus.
Precies de spijker op de kop geslagen. Alleen technische IT heeft de zaakjes een beetje redelijk op orde. Een tweede jaars examentje met XSS onveiligheidjes zoeken, is helaas niet voldoende. Inline script, extern script zonder SRI hash, Onveilige dhcpd configuraties.
Excessieve server header info proliferatie, onveiligheid uit te lezen via een eenvoudig publiek Dazzlepod IP scannetje, Retirable code, brakke en kwetsbare en verouderde plug-ins. Onvoldoende server versus client validatie en ga zo maar door.
Ik zie zelf op de Hoge School IT opleidingen, wat ze aan beveiliging krijgen, summier is het en beslist onvoldoende.
Een appje voor mobiel gebruik ontwerpen, die eenvoudig werkt op een tablet geschikt voor licht dementerende ouderen en dat soort grappen, daar worden ze op getraind en voor opgeleid.
Dat is wat de graaier vraagt. Helaas gaat de commercialiteit boven alles tegenwoordig.
Hou jij ze dom, hou ik ze arm, net als vroeger.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
