DHS: Digitale veiligheid te afhankelijk van eindgebruiker
Digitale veiligheid is op het moment nog te afhankelijk van de eindgebruiker en dat moet veranderen, zo stelt Jeanette Manfra, staatssecretaris voor cybersecurity en communicatie van het Amerikaanse ministerie van Binnenlandse Veiligheid (DHS). Manfra sprak onlangs in Dublin over de strategie die het DHS toepast om nationale cybersecurity-incidenten tegen te gaan en de vitale infrastructuur te beschermen.
Het gaat dan om zaken als het implementeren van 'secure by design', waarbij er al tijdens het ontwerp van systemen rekening met veiligheid wordt gehouden, het inschakelen van ethische hackers en risicomanagement. Ook ging Manfra in op de rol die eindgebruikers spelen als het om digitale veiligheid gaat. "We kunnen voor security gewoonweg niet volledig afhankelijk zijn van de eindgebruiker zoals nu het geval is", liet ze tegenover Silicon Republic weten.
Volgens de staatssecretaris is er de opvatting dat gebruikers allerlei extra maatregelen moeten nemen om veilig te zijn. "Maar als gebruikers dat niet doen, dan is de rest van het systeem kwetsbaar", aldus Manfra. "Er is zoveel dat je moet weten en stappen die genomen moeten worden en we proberen het publieke bewustzijn te vergroten door te zeggen dat mensen moeten patchen, geen zwakke wachtwoorden moeten gebruiken en moeten stoppen met Windows XP. Maar ik denk ook dat er net zoveel aandacht moet komen voor de onderliggende zaken en er meer naar veilig programmeren moet worden gekeken."
De overheden (ook de Amerikaanse) geven hiervoor het " goede" voorbeeld:
- Verzwakken encryptie
- Monitoren en verzamelen van massa's gegevens van burgers en bedrijven. Binnenlands en buitenlands.
- Zichzelf ontzien bij de eisen die ze aan anderen op willen leggen. (Hoeveel machines gebruiken nog verouderde software/OSen bij de Amerikaanse overheid)
etc, etc.
Ik zou zeggen: begin eerst eens bij jezelf.
Ik zou zeggen: begin eerst eens bij jezelf.
Je hebt helemaal gelijk, het lijkt het echte leven wel, alles (ook veiligheid) begint bij jezelf
Dat zal wel een mooie droom blijven, zolang een kleine groep belanghebbenden een ander beeld voor ogen staat.
Dus even veilig voor de overheid als voor de eindgebruiker, even veilig voor het grote techno bedrijf als voor de eindgebruiker. Geloof maar niet dat men hieraan zal gaan werken!
Nu is de situatie zo dat een groep van ingewijden zich goed veilig weet te stellen
en een hele grote groep eindgebruikers op flinke beveiligingsachterstand is gezet.
De achtergronden, waarom deze situatie zo is komen te liggen, zijn niet zo relevant.
Het botte feit dat het zo ligt is dat zeker wel.
Ik zie de discrepantie alleen maar toenemen, mooie woorden van bewindslieden en commercie ten spijt.
Als een groot deel van de sector buiten technische IT en beveiligingsdeskundigen zich NIET afdoende weten te beveiligen,
komt het nooit goed.
Of DHS dat verschil gaat aanpakken, ik betwijfel het ten zeerste. Ik denk dat het eerder nog erger zal worden,
zeer zeker ook ten gevolge van de steeds verder toenemende mono-cultuur online
en het feit dat letterlijk alles tot op essentiële hoogte 'geborkt' is (hardware, software).
Het mooiste zou zijn de eindgebruiker weer opnieuw in slaap te kunnen sussen met allerlei maatregelen,
dit terwijl de onderliggende massa surveillance structuren zonder noemenswaardige haperingen in stand kunnen worden gehouden (op de onderste lagen van de structuur)
Waarom wil Google anders een eigen Titan chip, die byte voor byte precies checkt,
of dat werkelijk geladen wordt wat geladen moet worden.
“Life is wasted on the living.” [individual]
? Douglas Adams, The Restaurant at the End of the Universe
Het zou me niet verbazen dat "meer internetveiligheid" gaat uitpakken als "minder internetvrijheid".
- Verzwakken encryptie
- Monitoren en verzamelen van massa's gegevens van burgers en bedrijven. Binnenlands en buitenlands.
- Zichzelf ontzien bij de eisen die ze aan anderen op willen leggen. (Hoeveel machines gebruiken nog verouderde software/OSen bij de Amerikaanse overheid)
etc, etc.
zij die alles van u moeten weten ,hebben veel zelf te verbergen danwel te camoufleren!!!
[/url] In maart a.s. moet dus de website developer van ons onvolprezen www.security.nl de certificering hebben aangepast.
Kijk dit onderhuids gedoe, dat bedoel ik nu. Nu nog de achtergronden ervan duidelijk krijgen.
luntrus
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Information Security Officer (2fte)
Een uitdagende rol waarbij jij, op basis van security, de vertaalslag maakt tussen business en IT en direct bijdraagt aan de veiligheid van informatie binnen de gemeente Almere. Dat is in een notendop waar jij als Information Security Officer mee bezig bent. Interesse gewekt? Door groei van de organisatie zijn we op zoek naar twee nieuwe collega’s.
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
