AIVD keurt beveiligde usb-stick goed voor overheidsgebruik
De Nederlandse Algemene Inlichtingen en Veiligheidsdienst (AIVD) heeft voor de derde keer een beveiligde usb-stick goedgekeurd voor de bescherming van bijzondere informatie bij de overheid. Het gaat om de datAshur Pro, een met pincode beveiligde usb-stick ontwikkeld door het Britse iStorage.
Dat laat het Almeerse bedrijf E-quipment, leverancier van de usb-stick, aan Security.NL weten. De keuring van de usb-stick werd uitgevoerd door het Nationaal Bureau voor Verbindingsbeveiliging (NBV) van de AIVD. Voordat een beveiligingsproduct goedgekeurd kan worden voor de bescherming van bijzondere informatie, wordt het eerst geëvalueerd door het NBV. In het algemeen krijgt de organisatie hiervoor de opdracht wanneer één of meerdere ministeries dat product willen inzetten voor hun informatiebeveiliging.
De criteria die het NBV hanteert hangen in de eerste plaats af van de rubricering van de bijzondere informatie die de apparatuur moet kunnen verwerken. Deze rubricering is een graadmeter voor de beveiliging die de informatie eist. De overheid hanteert vier rubriceringen: 'Departementaal Vertrouwelijk', 'Staatsgeheim Confidentieel', 'Staatsgeheim Geheim' en 'Staatsgeheim Zeer Geheim'. Naarmate de informatie hoger is gerubriceerd worden de evaluatiecriteria die het NBV hanteert strenger.
De datAshur Pro is goedgekeurd voor overheidsinformatie met de rubricering Departementaal Vertrouwelijk. Het is pas de derde usb-stick die dit stempel krijgt. Zes jaar geleden werd de Ironkey Basic door de AIVD goedgekeurd en daarvoor de Kobil mIDentity Basic. Ook deze twee usb-sticks mogen alleen worden gebruikt voor de beveiliging van informatie op het niveau Departementaal Vertrouwelijk. Op de overzichtspagina van de AIVD staan geen usb-sticks voor informatie met hogere niveaus vermeld.
Reacties (35)
Even off-topic:
Binnenkort krijgt de AIVD ook nog wat meer bevoegdheden (het massaal afluisteren van burgers).
Maar het zou ook zo maar kunnen gebeuren dat u op een dag uw belastingaangifte niet meer kunt opsturen en ondertekenen, omdat Digid niet meer blijkt te werken.
Er staat ons mogelijk wat vuurwerk te wachten...
https://tweakers.net/nieuws/131285/mozilla-is-gevraagd-certificaatautoriteit-nederlandse-staat-niet-te-vertrouwen.html
Binnenkort krijgt de AIVD ook nog wat meer bevoegdheden (het massaal afluisteren van burgers).
Maar het zou ook zo maar kunnen gebeuren dat u op een dag uw belastingaangifte niet meer kunt opsturen en ondertekenen, omdat Digid niet meer blijkt te werken.
Er staat ons mogelijk wat vuurwerk te wachten...
https://tweakers.net/nieuws/131285/mozilla-is-gevraagd-certificaatautoriteit-nederlandse-staat-niet-te-vertrouwen.html
30-10-2017, 16:14 door
abj61
Dit valt niet tegen :
The datAshur Pro operates straight out of the box, does not require any software or drivers to be installed and is compatible with Windows, Mac, Linux, Chrome, Android, Thin Clients and embedded systems. The datAshur Pro delivers drag and drop encryption, plug and play simplicity and can be used with any software.
ik zou alleen nooit encryptie software gebruiken waarvan de complete source code openbaar is .
Rip-off van de al vele jaren beschikbare beveiligde flash keys van Apricorn: https://www.apricorn.com/aegis-secure-key-3z
Jammer dat de AIVD toch niet zo goed op de hoogte is, maar het verbaast niet echt ;)
Jammer dat de AIVD toch niet zo goed op de hoogte is, maar het verbaast niet echt ;)
Goedgekeurde AIVD backdoor? Ik vertrouw wel op een gewone USB stick met Veracrypt encryptie.
Door Anoniem: ik zou alleen nooit encryptie software gebruiken waarvan de complete source code openbaar is .
Volgens mij begrijp jij niet helemaal hoe het werkt. Open Source zorgt ervoor dat de code nagekeken kan worden. Closed source software zou ik, zeker bij encryptie, juist niet vertrouwen.
30-10-2017, 18:32 door
karma4
Door Anoniem:
Volgens mij begrijp jij niet helemaal hoe het werkt. Open Source zorgt ervoor dat de code nagekeken kan worden. Closed source software zou ik, zeker bij encryptie, juist niet vertrouwen.
Iets wat iedereen theoretisch zou kunnen maar niemand doet tenzij je naar misbruik mogelijkheden op zoek bent...Volgens mij begrijp jij niet helemaal hoe het werkt. Open Source zorgt ervoor dat de code nagekeken kan worden. Closed source software zou ik, zeker bij encryptie, juist niet vertrouwen.
Leg maar uit wat daar veilig aan is.
Door karma4:
Leg maar uit wat daar veilig aan is.
Door Anoniem:
Volgens mij begrijp jij niet helemaal hoe het werkt. Open Source zorgt ervoor dat de code nagekeken kan worden. Closed source software zou ik, zeker bij encryptie, juist niet vertrouwen.
Iets wat iedereen theoretisch zou kunnen maar niemand doet tenzij je naar misbruik mogelijkheden op zoek bent...Volgens mij begrijp jij niet helemaal hoe het werkt. Open Source zorgt ervoor dat de code nagekeken kan worden. Closed source software zou ik, zeker bij encryptie, juist niet vertrouwen.
Leg maar uit wat daar veilig aan is.
Simpel: die misbruik mogelijkheden worden dan niet gevonden. Hoe denk je dat het gaat met closed source encryptie? Hoe denk je dat het zit met achterdeurtjes die daar worden ingebouwd? Hoe veilig is dat?
Door Anoniem: Goedgekeurde AIVD backdoor? Ik vertrouw wel op een gewone USB stick met Veracrypt encryptie.
Dit gaat niet eens over gebruik door consumenten. Heb je überhaupt meer dan de eerste drie woorden van de titel gelezen, alvorens met deze alu-hoedjes opmerking te komen? :|Door karma4:
Leg maar uit wat daar veilig aan is.
Ongegrond argument. Ten eerste heeft het wel degelijk nut, zie de audits van VeraCrypt bijvoorbeeld. Ten tweede ontleent encryptie zijn kracht niet aan de obscuriteit van de implementatie; zelfs met de source code van VeraCrypt erbij, kan ik geen VC containers openen zonder alsnog de key te moeten bemachtigen.Door Anoniem:
Volgens mij begrijp jij niet helemaal hoe het werkt. Open Source zorgt ervoor dat de code nagekeken kan worden. Closed source software zou ik, zeker bij encryptie, juist niet vertrouwen.
Iets wat iedereen theoretisch zou kunnen maar niemand doet tenzij je naar misbruik mogelijkheden op zoek bent...Volgens mij begrijp jij niet helemaal hoe het werkt. Open Source zorgt ervoor dat de code nagekeken kan worden. Closed source software zou ik, zeker bij encryptie, juist niet vertrouwen.
Leg maar uit wat daar veilig aan is.
Blijft de vraag over; is er wel een usb stick met een hogere klasse beschikbaar. Is deze te geheim om te noemen? Zoeken ze er nog naar of is deze zoek?
Ik gebruik deze USB memory stick al een poosje.
Werkt heel erg prettig.
Geeft me ook een goed gevoel dat evt persoonlijke gegevens goed beschermd zijn.
Je hebt al sneller persoonlijke gegevens bij je dan je zou verwachten. Ook persoonlijke gegevens van derden. Denk maar aan de contracten of voorstellen, concepten, persoonlijke notities, etc die toch nog even thuis aangepast moeten worden. Of...... verzin maar je eigen use case.
Mocht ik de USB stick verliezen/kwijt raken/gestolen worden, dan ben ik in ieder geval niet kwetsbaar tav de AVG. Hoeveel beter kan/moet een encrypted USB memory nog worden ihkv de AVG dan eentje die door de AIVD/NBV is gecertificeerd. Het verlies van memorystick met persoonlijke data moet wel bij de Autoriteit P worden gemeld, het verlies van deze encrypted memorystick hoeft helemaal niet te worden gemeld.
Ik denk dat elke organisatie voor relatief weinig geld dit soort risico's kan mitigeren. Dus geef personeel (en juist ook directeuren;-)) dit speeltje. Het ontzorgt echt.
Enne. Nee, ik heb geen zakelijke banden met datashur of de verkopende partijen.
Doe er je voordeel mee.
Werkt heel erg prettig.
Geeft me ook een goed gevoel dat evt persoonlijke gegevens goed beschermd zijn.
Je hebt al sneller persoonlijke gegevens bij je dan je zou verwachten. Ook persoonlijke gegevens van derden. Denk maar aan de contracten of voorstellen, concepten, persoonlijke notities, etc die toch nog even thuis aangepast moeten worden. Of...... verzin maar je eigen use case.
Mocht ik de USB stick verliezen/kwijt raken/gestolen worden, dan ben ik in ieder geval niet kwetsbaar tav de AVG. Hoeveel beter kan/moet een encrypted USB memory nog worden ihkv de AVG dan eentje die door de AIVD/NBV is gecertificeerd. Het verlies van memorystick met persoonlijke data moet wel bij de Autoriteit P worden gemeld, het verlies van deze encrypted memorystick hoeft helemaal niet te worden gemeld.
Ik denk dat elke organisatie voor relatief weinig geld dit soort risico's kan mitigeren. Dus geef personeel (en juist ook directeuren;-)) dit speeltje. Het ontzorgt echt.
Enne. Nee, ik heb geen zakelijke banden met datashur of de verkopende partijen.
Doe er je voordeel mee.
Door Anoniem: Even off-topic:
Binnenkort krijgt de AIVD ook nog wat meer bevoegdheden (het massaal afluisteren van burgers).
Maar het zou ook zo maar kunnen gebeuren dat u op een dag uw belastingaangifte niet meer kunt opsturen en ondertekenen, omdat Digid niet meer blijkt te werken.
Er staat ons mogelijk wat vuurwerk te wachten...
https://tweakers.net/nieuws/131285/mozilla-is-gevraagd-certificaatautoriteit-nederlandse-staat-niet-te-vertrouwen.html
Binnenkort krijgt de AIVD ook nog wat meer bevoegdheden (het massaal afluisteren van burgers).
Maar het zou ook zo maar kunnen gebeuren dat u op een dag uw belastingaangifte niet meer kunt opsturen en ondertekenen, omdat Digid niet meer blijkt te werken.
Er staat ons mogelijk wat vuurwerk te wachten...
https://tweakers.net/nieuws/131285/mozilla-is-gevraagd-certificaatautoriteit-nederlandse-staat-niet-te-vertrouwen.html
Wat een fijne reactie, ik doe ook even mee:
Privacy, de cyber, Anonymous, JFK files, Trump etc. etc.
Door Anoniem: ik zou alleen nooit encryptie software gebruiken waarvan de complete source code openbaar is .
Open source is juist DE voorwaarde om encryptie te kunnen vertrouwen. Er kunnen dan audits worden uitgevoerd, anders niet!Door Anoniem: Rip-off van de al vele jaren beschikbare beveiligde flash keys van Apricorn: https://www.apricorn.com/aegis-secure-key-3zJammer dat de AIVD toch niet zo goed op de hoogte is, maar het verbaast niet echt ;)
Heeft niets met het niet op de hoogte zijn van de NBV te maken. De NBV onderzoekt alleen producten als daar een aanvraag voor wordt gedaan door een potentiële gebruiker. Dat daar mensen zitten die echt wel weten hoe de security van een product te evalueren blijkt wel uit het feit dat deze stick alleen voor Dep.V informatie gebruikt mag worden. Volgens de NBV is het simpelweg niet veilig genoeg om te gebruiken voor hogere classificaties. (of het is niet onderzocht omdat er niet om gevraagd is en het onderzoek behoorlijk wat tijd kost).Door Anoniem: Blijft de vraag over; is er wel een usb stick met een hogere klasse beschikbaar. Is deze te geheim om te noemen? Zoeken ze er nog naar of is deze zoek?
Nope, er zijn geen USB sticks die gebruikt mogen worden voor een hogere classificatie dan Dep.V. (Als je Confi info mee wilt nemen dan moet je een complete stg.confi laptop met bijvoorbeeld LUNA of Hidden Safedisk gebruiken)
"Departementaal Vertrouwelijk" niet echt indrukwekkend, kan je net zo goed een veracrypt/truecrypt container gebruiken. Bij "Confidentieel" begint pas het echte werk.
Door Anoniem:
Door Anoniem: ik zou alleen nooit encryptie software gebruiken waarvan de complete source code openbaar is .
Open source is juist DE voorwaarde om encryptie te kunnen vertrouwen. Er kunnen dan audits worden uitgevoerd, anders niet!Dat is zeker waar voor 99% van de gebruikers en bedrijven.
In deze situatie is het te verwachten dat AIVD/NBV de source/design onder NDA gekregen hebben, en er zitten daar zeker mensen met de capaciteit om een serieuze audit te doen ,als de daar de opdracht (en dus de tijd) voor krijgen.
In die omstandigheid is keuze voor een closed product m.i. zeker niet slechter dan een open source waarvan de controle bestaat uit "maar iedereen _kan_ het bekijken ! "
Het is _ook_ zo dat heel weinig van de opensource eyeballs echt een security audit kunnen (/willen, tijd hebben voor) uitvoeren - een botte backdoor 'if user=admin_hidden then priv_lvl = 0 ziet iedereen wel, maar de lastigste security bugs/backdoors weten maar weinig mensen te vinden. Zelfs met source.
(roept U maar - wie van de gpg/verycrypt/truecrypt gebruikers hier heeft ooit langer dan 4 uur uberhaupt naar de sources _gekeken_ ? )
Door Anoniem: Even off-topic:
Binnenkort krijgt de AIVD ook nog wat meer bevoegdheden (het massaal afluisteren van burgers).
Maar het zou ook zo maar kunnen gebeuren dat u op een dag uw belastingaangifte niet meer kunt opsturen en ondertekenen, omdat Digid niet meer blijkt te werken.
Er staat ons mogelijk wat vuurwerk te wachten...
https://tweakers.net/nieuws/131285/mozilla-is-gevraagd-certificaatautoriteit-nederlandse-staat-niet-te-vertrouwen.html
Binnenkort krijgt de AIVD ook nog wat meer bevoegdheden (het massaal afluisteren van burgers).
Maar het zou ook zo maar kunnen gebeuren dat u op een dag uw belastingaangifte niet meer kunt opsturen en ondertekenen, omdat Digid niet meer blijkt te werken.
Er staat ons mogelijk wat vuurwerk te wachten...
https://tweakers.net/nieuws/131285/mozilla-is-gevraagd-certificaatautoriteit-nederlandse-staat-niet-te-vertrouwen.html
Shakespeare quote :
I can call spirits from the vasty deep.
Why, so can I, or so can any man;
But will they come when you do call for them?
Dit soort tickets inschieten heeft nét wat meer kans op gehoor, maar ik betwijfel of het gaat gebeuren.
De root store zit vol met certificaten die potentieel of feitelijk onder controle van een overheid staan, en gewoonlijk een overheid met ruime interceptiebevoegdheden.
Door Anoniem: "Departementaal Vertrouwelijk" niet echt indrukwekkend, kan je net zo goed een veracrypt/truecrypt container gebruiken. Bij "Confidentieel" begint pas het echte werk.
Zo te zien heeft deze stick als _groot_ voordeel dat de encryptie 'vanzelf' gaat en geforceerd wordt door de stick.
Technisch solide encryptie is ongeveer _nooit_ het probleem. Afdwingen dat die goed gebruikt wordt, altijd, en daar waar nodig , _dat_ is moeilijk.
Door Anoniem: Ik gebruik deze USB memory stick al een poosje.
Werkt heel erg prettig.
Werkt heel erg prettig.
Je zit er vast wel goed mee, en qua 'cover your ass' zeker .
Maar om toch een beetje twijfel te zaaien - is de versie die jij hebt dezelfde hardware/firmware release als degene die de AIVD/NBV gecertificeerd heeft ?
Ik denk niet meteen aan backdoors, maar gewoonlijk zijn dit soort certificaties alleen strikt geldig voor de _exacte_ versie die ze geëvalueerd hebben.
Fijn dat deze stick eindelijk goed door het traject is gekomen. Vorig jaar sprak ik de directeur van dit bedrijf op de Haagse Security Delta en hij vertelde me toen dat ze ermee bezig waren.
Er zullen "nooit" sticks komen met een hogere rubricering dan Dep. Vertrouwelijk om de eenvoudige reden dat die informatie mogelijk over 50 tot 100 jaar nog steeds relevant en dus nog gerubriceerd is.
Computerkracht tegen die tijd lacht mogelijk over de encryptie van nu en dat risico wil je niet lopen met een verloren USB-stick. Hoewel AES256 heel goed is kun je dus niets met die vercijfering qua garantie van vertrouwelijkheid over 50-100 jaar.
Een NBV-evaluatie roept in ieder geval iets over het feit dat de stick doet wat die moet doen zonder (onacceptabele) zwakheden in de implementatie voor het gevraagde inzetniveau, in dit geval Departementaal Vertrouwelijk.
Er zullen "nooit" sticks komen met een hogere rubricering dan Dep. Vertrouwelijk om de eenvoudige reden dat die informatie mogelijk over 50 tot 100 jaar nog steeds relevant en dus nog gerubriceerd is.
Computerkracht tegen die tijd lacht mogelijk over de encryptie van nu en dat risico wil je niet lopen met een verloren USB-stick. Hoewel AES256 heel goed is kun je dus niets met die vercijfering qua garantie van vertrouwelijkheid over 50-100 jaar.
Een NBV-evaluatie roept in ieder geval iets over het feit dat de stick doet wat die moet doen zonder (onacceptabele) zwakheden in de implementatie voor het gevraagde inzetniveau, in dit geval Departementaal Vertrouwelijk.
Door Anoniem: Rip-off van de al vele jaren beschikbare beveiligde flash keys van Apricorn: https://www.apricorn.com/aegis-secure-key-3z
Jammer dat de AIVD toch niet zo goed op de hoogte is, maar het verbaast niet echt ;)
Jammer dat de AIVD toch niet zo goed op de hoogte is, maar het verbaast niet echt ;)
Heb je hier een bron van?
Door Anoniem:
Mocht ik de USB stick verliezen/kwijt raken/gestolen worden, dan ben ik in ieder geval niet kwetsbaar tav de AVG. Hoeveel beter kan/moet een encrypted USB memory nog worden ihkv de AVG dan eentje die door de AIVD/NBV is gecertificeerd. Het verlies van memorystick met persoonlijke data moet wel bij de Autoriteit P worden gemeld, het verlies van deze encrypted memorystick hoeft helemaal niet te worden gemeld.
Ik denk dat elke organisatie voor relatief weinig geld dit soort risico's kan mitigeren. Dus geef personeel (en juist ook directeuren;-)) dit speeltje. Het ontzorgt echt.
Mocht ik de USB stick verliezen/kwijt raken/gestolen worden, dan ben ik in ieder geval niet kwetsbaar tav de AVG. Hoeveel beter kan/moet een encrypted USB memory nog worden ihkv de AVG dan eentje die door de AIVD/NBV is gecertificeerd. Het verlies van memorystick met persoonlijke data moet wel bij de Autoriteit P worden gemeld, het verlies van deze encrypted memorystick hoeft helemaal niet te worden gemeld.
Ik denk dat elke organisatie voor relatief weinig geld dit soort risico's kan mitigeren. Dus geef personeel (en juist ook directeuren;-)) dit speeltje. Het ontzorgt echt.
Nogal een boude uitspraak als je niet zeker weet of de betreffende gebruiker dan ook wel een veilige code heeft ingesteld. Doet dit apparaat moeilijk als je 0000000 of 1234567 of 1122334 gebruikt als code?
01-11-2017, 07:10 door
karma4
Door Anoniem:
Ongegrond argument. Ten eerste heeft het wel degelijk nut, zie de audits van VeraCrypt bijvoorbeeld. Ten tweede ontleent encryptie zijn kracht niet aan de obscuriteit van de implementatie; zelfs met de source code van VeraCrypt erbij, kan ik geen VC containers openen zonder alsnog de key te moeten bemachtigen.
Net zo ongegrond als het geloof dat omdat het open source is her wel veilig zal zijn. Met veracrypt geef je een goed voorbeeld. Het was vrij open ze zijn met de gekopieerde sources die iedereen kon zien verder gegaan. Pas na betaalde verificatie op kwaliteit kwam een hele reeks issues. Ongegrond argument. Ten eerste heeft het wel degelijk nut, zie de audits van VeraCrypt bijvoorbeeld. Ten tweede ontleent encryptie zijn kracht niet aan de obscuriteit van de implementatie; zelfs met de source code van VeraCrypt erbij, kan ik geen VC containers openen zonder alsnog de key te moeten bemachtigen.
Over die issues zouden we nog kunnen discussiëren want veel lijkt aan gangbare progrrammeerstijlen gehangen te zijn en niet zo aan werkelijke functionaliteit en ontwerp.
De obscuriteit van geheimhouding valt of staat met de sleutel. Wil je die ook openbaren omdat het oss is?. De grap van de praktijk is dat dat wel eens gebeurt. Hardcover users passwords in code of waar dan ook.
01-11-2017, 07:19 door
karma4
Door Anoniem: "Departementaal Vertrouwelijk" niet echt indrukwekkend, kan je net zo goed een veracrypt/truecrypt container gebruiken. Bij "Confidentieel" begint pas het echte werk.
Jij hebt meer achtergrond. Je noemt fetelijk de data classificatie schematiek van de overheid.Zover ik het inschat is dat departementaal vertrouwelijk zoiets als: het mag niet op Facebook of naar de krant intern binnen is er geen enkele restrictie. Confidentieel betekent dan dat het intern enkel voor benoemde personen is.
Zou nu alle usb restricties opgeheven worden zodat je overal ook thuis en buiten met gegevens op die stick kan werken? Dat wet ik haast zeker van niet.
Door karma4: Zover ik het inschat is dat departementaal vertrouwelijk zoiets als: het mag niet op Facebook of naar de krant intern binnen is er geen enkele restrictie. Confidentieel betekent dan dat het intern enkel voor benoemde personen is.
Je aannames kloppen niet. De categorieën slaan niet op wie binnen en buiten een organisatie ervan weten maar op wat de reikwijdte en ernst van de schade is als ongeautoriseerden er kennis van nemen.a. Staatsgeheim ZEER GEHEIM (afgekort Stg.ZG)
Indien kennisname door niet geautoriseerden zeer ernstige schade kan toebrengen aan een van de vitale belangen van de Staat of zijn bondgenoten
b. Staatsgeheim GEHEIM (afgekort Stg.G)
Indien kennisname door niet geautoriseerden ernstige schade kan toebrengen aan een van de vitale belangen van de Staat of zijn bondgenoten
c. Staatsgeheim CONFIDENTIEEL (afgekort Stg.C)
Indien kennisname door niet geautoriseerden schade kan toebrengen aan een van de vitale belangen van de Staat of zijn bondgenoten
d. Departementaal VERTROUWELIJK (afgekort Dep.V.).
Indien kennisname door niet geautoriseerden schade kan toebrengen aan de belangen van één of meerdere ministeries.
Door Anoniem: ik zou alleen nooit encryptie software gebruiken waarvan de complete source code openbaar is .
Sorry, maar dan begrijp je het echt niet ........ Kwaliteit wordt bepaald door de code en niet het geheimhouden van de code.
01-11-2017, 08:50 door
linuxpro
Ik gebruik de 'gewone' versie van die stick al een tijdje en ik moet zeggen dat het erg goed werkt. Geen gedoe met drivers ofzo en admin rechten, stick er in, PINcode en voila, hij wordt als een gewone usb stick gezien. Ideaal. Trek je 'm uit een USB poort dan moet je opnieuw autheniticeren. Er zit een master PIN op waarmee je in 1x alle data vd stick verwijderd. Het ding zit in een stevige metalen behuizing. Kortom, ik ben er erg blij mee en mag 'm tot nu toe bij al mijn opdrachtgevers (linux consultant) gebruiken.
01-11-2017, 08:52 door
linuxpro
Door karma4:
Zover ik het inschat is dat departementaal vertrouwelijk zoiets als: het mag niet op Facebook of naar de krant intern binnen is er geen enkele restrictie. Confidentieel betekent dan dat het intern enkel voor benoemde personen is.
Zou nu alle usb restricties opgeheven worden zodat je overal ook thuis en buiten met gegevens op die stick kan werken? Dat wet ik haast zeker van niet.
Door Anoniem: "Departementaal Vertrouwelijk" niet echt indrukwekkend, kan je net zo goed een veracrypt/truecrypt container gebruiken. Bij "Confidentieel" begint pas het echte werk.
Jij hebt meer achtergrond. Je noemt fetelijk de data classificatie schematiek van de overheid.Zover ik het inschat is dat departementaal vertrouwelijk zoiets als: het mag niet op Facebook of naar de krant intern binnen is er geen enkele restrictie. Confidentieel betekent dan dat het intern enkel voor benoemde personen is.
Zou nu alle usb restricties opgeheven worden zodat je overal ook thuis en buiten met gegevens op die stick kan werken? Dat wet ik haast zeker van niet.
Na vertrouwlijk komt confidentieel, dan geheim en vervolgens top geheim. Dat deze stick t/m vertrouwlijk gebruik mag worden heeft te maken met de richtlijnen voor toegang / opslag van confi en hoger. Confi en hoger moeten oa. gescheiden worden opgeslagen en dat kan je met een USB stick niet voor elkaar krijgen
Door linuxpro: Ik gebruik de 'gewone' versie van die stick al een tijdje en ik moet zeggen dat het erg goed werkt.
Wat is de 'ongewone' versie dan ?
Als in - zijn er herkenbaar verschillende versies van , en wat zou het verschil zijn ?
Leuk he, als er AIVD in de titel staat, slaan jullie allemaal op hol ;-)
Door Anoniem:... Je aannames kloppen niet. De categorieën slaan niet op wie binnen en buiten een organisatie ervan weten maar op wat de reikwijdte en ernst van de schade is als ongeautoriseerden er kennis van nemen.
http://wetten.overheid.nl/BWBR0033507/2013-06-01
Dank je uitstekende link. Het klopt met de door AIVD zelf openbaar (op Facebook? website) gemaakte informatie over de aanpak. Het draait helemaal om (artikel 4 rubricering).http://wetten.overheid.nl/BWBR0033507/2013-06-01
stap 1/ het rubriceren van de data (BIA Business Impact Analyse) waarna je
stap 2/ de CIA (BIV ofwel VIB Veiligheid Integriteit Beschikbaarheid) als minimalen eisen bepaalt
stap 3/ er technische invullingen aan geeft .
kijk even bij bijlage 1 lid3 fysiek beveiliging dan zie je wat "Dep V" betekent, dat is niet veel.
Het enige andere daarna is niet gerubriceerd ofwel zoiets als de aivd site zelf, mag (onder voorwaarden?) openbaar.
Heb ik ergens iets beweerd anders dan deze volgorde?
Na vertrouwelijk komt confidentieel, dan geheim en vervolgens top geheim. Dat deze stick t/m vertrouwelijk gebruik mag worden heeft te maken met de richtlijnen voor toegang / opslag van confi en hoger. Confi en hoger moeten oa. gescheiden worden opgeslagen en dat kan je met een USB stick niet voor elkaar krijgen
Gezien de lijst van eisen bij confi (bijlage) in die wetten link kan ik dat goed begrijpen.Door Anoniem:
Je zit er vast wel goed mee, en qua 'cover your ass' zeker .
Maar om toch een beetje twijfel te zaaien - is de versie die jij hebt dezelfde hardware/firmware release als degene die de AIVD/NBV gecertificeerd heeft ?
Ik denk niet meteen aan backdoors, maar gewoonlijk zijn dit soort certificaties alleen strikt geldig voor de _exacte_ versie die ze geëvalueerd hebben.
Door Anoniem: Ik gebruik deze USB memory stick al een poosje.
Werkt heel erg prettig.
Werkt heel erg prettig.
Je zit er vast wel goed mee, en qua 'cover your ass' zeker .
Maar om toch een beetje twijfel te zaaien - is de versie die jij hebt dezelfde hardware/firmware release als degene die de AIVD/NBV gecertificeerd heeft ?
Ik denk niet meteen aan backdoors, maar gewoonlijk zijn dit soort certificaties alleen strikt geldig voor de _exacte_ versie die ze geëvalueerd hebben.
Nee, die heb ik niet. Die ga ik wel aanschaffen.
Het gaat mij niet om 'cover my ass'. Ik geef daadwerkelijk om veiligheid.
Als ik dan tegelijk gezeur kan voorkomen, dan doe ik dat gelijk ook even.
Nogal een boude uitspraak als je niet zeker weet of de betreffende gebruiker dan ook wel een veilige code heeft ingesteld. Doet dit apparaat moeilijk als je 0000000 of 1234567 of 1122334 gebruikt als code?
In de handleiding staat het navolgende
------------
PIN requirements: •
Must be between 7-15 digits in length •
Must not contain only repetitive numbers, e.g. (3-3-3-3-3-3-3) •
Must not contain only consecutive numbers, e.g. (1-2-3-4-5-6-7), (7-8-9-0-1-2-3-4), (7-6-5-4-3-2-1)
------------
Dan nog kan een gebruiker foute dingen doen. Daar helpt dan niets tegen.
In ieder geval heeft de DatashurPro ook een automatic erase als je te vaak foute pin invoert. dat beschermd (en dat is de bedoeling) tegen brute force attack.
Door Anoniem: Even off-topic:
Binnenkort krijgt de AIVD ook nog wat meer bevoegdheden (het massaal afluisteren van burgers).
Maar het zou ook zo maar kunnen gebeuren dat u op een dag uw belastingaangifte niet meer kunt opsturen en ondertekenen, omdat Digid niet meer blijkt te werken.
Er staat ons mogelijk wat vuurwerk te wachten...
https://tweakers.net/nieuws/131285/mozilla-is-gevraagd-certificaatautoriteit-nederlandse-staat-niet-te-vertrouwen.html
Binnenkort krijgt de AIVD ook nog wat meer bevoegdheden (het massaal afluisteren van burgers).
Maar het zou ook zo maar kunnen gebeuren dat u op een dag uw belastingaangifte niet meer kunt opsturen en ondertekenen, omdat Digid niet meer blijkt te werken.
Er staat ons mogelijk wat vuurwerk te wachten...
https://tweakers.net/nieuws/131285/mozilla-is-gevraagd-certificaatautoriteit-nederlandse-staat-niet-te-vertrouwen.html
Ja en wellicht ligt er wel sneeuw met pasen.
Man man man.
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Information Security Officer (2fte)
Een uitdagende rol waarbij jij, op basis van security, de vertaalslag maakt tussen business en IT en direct bijdraagt aan de veiligheid van informatie binnen de gemeente Almere. Dat is in een notendop waar jij als Information Security Officer mee bezig bent. Interesse gewekt? Door groei van de organisatie zijn we op zoek naar twee nieuwe collega’s.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
