image

Ierse overheid raakt 1000 laptops en usb-sticks kwijt

vrijdag 23 december 2016, 09:59 door Redactie, 5 reacties

De Ierse overheid is sinds de verkiezingen van eind februari dit jaar tenminste 1000 laptops, computers en usb-sticks kwijtgeraakt. Het werkelijke aantal ligt waarschijnlijk veel hoger, aangezien verschillende ministeries de cijfers niet openbaar wilden maken.

De meeste computers en laptops gingen bij het Ierse ministerie van defensie verloren, namelijk 759 machines. 32 laptops en computers werden als gestolen opgegeven. Verder gingen ook 328 usb-sticks, cd's en dvd's verloren. "Het ministerie van Defensie behandelt informatiebeveiliging als een topprioriteit. Alle incidenten met vermist of gestolen materiaal worden uitgebreid onderzocht en kunnen tot disciplinaire maatregelen leiden", aldus een woordvoerster van het ministerie.

Bij andere ministeries die informatie aan de Irish Examiner verstrekten gingen tientallen laptops verloren. Zo gaf het ministerie van Arbeid en Pensioen 42 laptops en computers als vermist op. Volgens het ministerie waren alle laptops versleuteld en deden de verliezen zich vooral voor bij inbraken en tijdens reizen. Of de andere ministeries encryptie op hun vermiste laptops toepasten wordt niet vermeld.

Reacties (5)
23-12-2016, 14:29 door Anoniem
Dit soort zaken komen in Nederland ook regelmatig voor en ik spreek uit ervaring. Inkoppertje natuurlijk..elke ITér weet dat

Een van de knelpunten met bv bepaalde OSén is dat direct de wachtwoorden van lokale accounts direct gewijzigd moeten worden. En dat gebeurt gewoon niet of veels te laat door deels ook praktische problemen omdat laptop gebruikers doorgaans erg mobiel zijn en pas na het aanmelden op het bedrijfsnetwerk kan hier iets aan kan gebeuren.

Wat gelijk weer risk mitigation mbt tot data rechtvaardigt.. je kent het wel data classificatie en daarnaast niet lokaal opslaan. En indien toch (mits toegestaan met inachtnemeng vd wet) minimaal goede encryptie toepassen.

Ik kan niet zeggen bij welke bedrijven dit gebeurt maar dit is echt een vet serieus aandachtspunt. (ik heb het aan den lijve meegemaakt ..hele vrachtwagens die soms door criminelen overvallen werden) Of laptops achterin kofferbakken...

Natuurlijk zijn wachtwoorden niet zalig makend maar het is in ieder geval 1 van risk mitigation maatregelen die je minimaal moet toepassen. En ja bij toegang tot de hardware heb je direct een enorm aandachtspunt.

Disciplinaire maatregelen kunnen preventief werken maar dit is zeker niet zalig makend.

En ja encryptie kan ook compleet niet toereikend zijn als er zich al malware heeft gevestigd op zo'n laptop en naderhand de laptop gestolen wordt...Maar ja je moet wat. Als er iemand een werkbare solution weet zeg het maar...Ja geen data lokaal en encryptie dat weet ik al...maar daar ontkom je soms gewoon niet aan omdat dat een van de functionele eisen kan zijn.

Het grote knelpunt in bedrijven is in feite de keuze voor een commerciele data classificatie levels met availability als uitgangspunt ipv de militaire aanpak.Het begint al op de tekentafel.

Terwijl je in deze tijd mijn inziens beter een conversieslag kan gaan maken naar bijna militaire classificatielevel, Gezien de vele toegenomen bedreigingen.Met alle daaruit voortvloeiende te nemende maatregelen.

Maar er zal ergens altijd water bij de wijn gedaan moeten worden en risico''s geaccepteerd moeten worden.

Trouwens was bij ons de grootste kostenpost niet het stelen van de laptops (en ja dit waren behoorlijke aantallen) maar defecte hardware. Hele kamers vol met defecte laptops. Door deels onjuist gebruik van laptops.

En dit was toch wel enigzins verrassend. En ik praat hier echt over infrastructuren met duizenden (20.000+) machines.
23-12-2016, 14:42 door [Account Verwijderd] - Bijgewerkt: 23-12-2016, 14:44
"Equipment went missing from the Ministry of Defence (MoD) at an average rate of more than one a day"

en:

"Overall, the losses across government are likely to be much higher as a number of departments used legal technicalities to refuse to release the information"

Is het absurd te veronderstellen dat dit ook in Nederland kan gebeuren? Neen. dat is gewoon een nuchter realiteitsscenario.
Je zou departement werknemers, top-ambtenaren en anderen met vergelijkbare functies eigenlijk moeten gaan verbieden portable devices te gebruiken, maar dan wordt de continuïteit wel erg geweld aangedaan.

(toegevoegd: bovenstaande reactie, 14:29 uur werd toegevoegd voor ik het kon lezen)
23-12-2016, 15:30 door Anoniem
Door Anoniem: Dit soort zaken komen in Nederland ook regelmatig voor en ik spreek uit ervaring. Inkoppertje natuurlijk..elke ITér weet dat

Een van de knelpunten met bv bepaalde OSén is dat direct de wachtwoorden van lokale accounts direct gewijzigd moeten worden.
Waarom is dat een OS specifiek probleem en voor welk OS geldt dat dan?

En dat gebeurt gewoon niet of veels te laat door deels ook praktische problemen omdat laptop gebruikers doorgaans erg mobiel zijn en pas na het aanmelden op het bedrijfsnetwerk kan hier iets aan kan gebeuren.
Is dat niet een kwestie van goed interne procedures bij IT?

Wat gelijk weer risk mitigation mbt tot data rechtvaardigt.. je kent het wel data classificatie en daarnaast niet lokaal opslaan. En indien toch (mits toegestaan met inachtnemeng vd wet) minimaal goede encryptie toepassen.
Laptops kunnen door IT toch op encryptie geconfigureerd worden voordat het naar de gebruiker gaat?
In geval van byod kan er toch op zijn minst de basis eis worden gesteld dat volledige encryptie op een systeem wordt geactiveerd?

Ik kan niet zeggen bij welke bedrijven dit gebeurt maar dit is echt een vet serieus aandachtspunt. (ik heb het aan den lijve meegemaakt ..hele vrachtwagens die soms door criminelen overvallen werden) Of laptops achterin kofferbakken...
Als er geen gevoelige data op die computers stond in die vrachtwagens is dat meer een standaard diefstal/overval probleem.
En een intern probleem, hoe weten die dieven dat een vrachtwagen vol zit met hardware? Of werkte je juist voor hardware leveranciers en verhuurders?

Natuurlijk zijn wachtwoorden niet zalig makend maar het is in ieder geval 1 van risk mitigation maatregelen die je minimaal moet toepassen. En ja bij toegang tot de hardware heb je direct een enorm aandachtspunt.
Kwestie van beleid maken en naleven.

Disciplinaire maatregelen kunnen preventief werken maar dit is zeker niet zalig makend.
Maar het kan al een begin zijn.

En ja encryptie kan ook compleet niet toereikend zijn als er zich al malware heeft gevestigd op zo'n laptop en naderhand de laptop gestolen wordt...Maar ja je moet wat.
Ga (deels) voor systemen waar de kans op malware besmetting velen malen lager ligt omdat die malware er niet is.
Is die er wel dan weet je gelijk wie er ongeveer je vijanden zijn.

Als er iemand een werkbare solution weet zeg het maar...Ja geen data lokaal en encryptie dat weet ik al...maar daar ontkom je soms gewoon niet aan omdat dat een van de functionele eisen kan zijn.
Er is wel een leverancier die het licht heeft gezien en een oplossing heeft voor tal van problemen.
Is hier ook een item over geweest. Kijk zelf maar, gooi het in de groep(spolicy). *

Maar er zal ergens altijd water bij de wijn gedaan moeten worden en risico''s geaccepteerd moeten worden.
Als je nog op 10, 20 30, 40, 50, 60, 70 % veiligheid zit is het onzinnig om 100% na te streven.
Maak van die honderd procent 95% tenzij dat echt onvoldoende is gezien de gevoeligheid van de data waarmee je werkt.

Trouwens was bij ons de grootste kostenpost niet het stelen van de laptops (en ja dit waren behoorlijke aantallen) maar defecte hardware. Hele kamers vol met defecte laptops. Door deels onjuist gebruik van laptops.
Ook daar had die ene leverancier een verassende rekensom op losgelaten. *

En dit was toch wel enigzins verrassend. En ik praat hier echt over infrastructuren met duizenden (20.000+) machines.
Betreffende leverancier heeft een 'wagenpark' van meer dan 100.000 machines, allemaal overgezet op gemotiveerd verzoek van de werknemer en met allerlei voordelen voor dat bedrijf.


* https://www.security.nl/posting/489525/IBM%3A+Mac+goedkoper+in+beheer+dan+Windowscomputer
Mac 'waarheid' koop nooit de eerste revisie van een nieuwe serie, wacht op de tweede revisie ervan.
Ook Apple's kennen mindere hardware series. Al denk ik dat als je als leverancier groot inkoopt de service ook hoger zal zijn.
Blijf wel helder nadenken want ook dat systeem is niet geheel bestand tegen 'dom' gebruik.
En timmer die icloud-functie dicht of gebruik haar niet als het niet hoeft.
Stevige encryptie en meer ingebouwde maatregelen aanwezig, wat er dan nog niet op zit is vast wel aanvullend op de markt te krijgen (stay away van java).
Wat misschien heel goed en motiverend werkt is om bij gebruikers het gevoel van eigendomschap en verantwoordelijkheid te vergroten.
Als men een glimmende macbook in bezit heeft er bij te vertellen dat als die verloren of door stom gedrag (koffie erover heen) defect gaat, men dan voortaan de oudste lelijkste machine in return kan krijgen die er nog op de planken binnen het bedrijf zwerft.
Dan heb je er als it mogelijk meer werk van, maar het sociale aspect rondom een dergelijke visuele status degradatie zal er wellicht voor zorgen dat er beter met spulletjes wordt omgegaan.
23-12-2016, 16:04 door Anoniem
Sommige werkgevers denken dit te kunnen voorkomen door straffen in het vooruitzicht te stellen als je het meld. Daar is goed bij nagedacht, dan zal iedereen keurig komen vertellen wat er werkelijk met het apparaat is gebeurd.
25-12-2016, 15:55 door Anoniem
Door Anoniem: Sommige werkgevers denken dit te kunnen voorkomen door straffen in het vooruitzicht te stellen als je het meld. Daar is goed bij nagedacht, dan zal iedereen keurig komen vertellen wat er werkelijk met het apparaat is gebeurd.

Goed plan! Als we voortaan iedereen beboeten die aangifte doet, zul je de criminaliteit in Nederland eens zien dalen! Dat Van der Steur daar niet aan gedacht heeft zeg...

Lijkt me fijn werken voor zo'n slimme werkgever.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.