image

Ophef in Groot-Brittannië over politici die wachtwoorden delen

maandag 4 december 2017, 12:06 door Redactie, 20 reacties

In Groot-Brittannië is ophef ontstaan over verschillende politici die wachtwoorden tot hun computer en e-mailaccount met hun medewerkers delen. Aanleiding is een tweet van parlementslid Nadine Dorries. "Mijn medewerkers loggen elke dag met mijn inloggevens op mijn computer in. Ook stagiaires van uitwisselingsprogramma's."

Aanleiding voor de tweet is de ontdekking van pornografie op de overheidscomputer van een andere Britse politicus en de claim dat hij het materiaal zelf heeft gedownload. Volgens Dorries kan er door het delen van wachtwoorden door politici niet worden gezegd dat de politicus in kwestie het materiaal zelf heeft gedownload. Ook andere parlementsleden laten weten dat ze, vanwege het grote aantal e-mails dat binnenkomt, hun wachtwoord met hun medewerkers delen.

Critici hekelen echter het feit dat de politici zo makkelijk hun wachtwoord delen en stellen dat dit niet noodzakelijk is voor medewerkers die bijvoorbeeld e-mails moeten beantwoorden. Daarnaast verbiedt het beveiligingsbeleid van het Britse parlement ook het delen van wachtwoorden (pdf). Dorries laat in een reactie op alle commotie weten dat er op haar computer geen overheidsdocumenten staan en het alleen om een gedeeld e-mailaccount gaat.

Reacties (20)
04-12-2017, 12:54 door Anoniem
Volgens Dorries kan er door het delen van wachtwoorden door politici niet worden gezegd dat de politicus in kwestie het materiaal zelf heeft gedownload. Ook andere parlementsleden laten weten dat ze, vanwege het grote aantal e-mails dat binnenkomt, hun wachtwoord met hun medewerkers delen.

Open mouth, insert foot.

Het is duidelijk dat ze de materie waar het om gaat goed snappen.
En (deze) politici nemen ondertussen wel heel gemakkelijk allerhande sleepnet, filter en privacy schendende wetgevingen aan. :-)
Allemaal onder het mom de veiligheid van land en vlok te beschermen. (KP, terrorisme, copyright)

Dan nu maar eens groot onderzoek uitvoeren naar de veiligheidsrisico's die (deze) politici hun land en volk toe gebracht hebben.
En deze keer graag met verstrekkende maatregelen, ipv allen maar een tikje op de vingers.

Deze "dames en heren" behoren het goede voorbeeld te geven.

Dus ik zou zeggen, lekker een aparte download-verbinding met de buurt kopen en gezamelijk gebruiken. Dan ben je blijkbaar onschuldig van enig vergrijpen. (In de UK) :-)
04-12-2017, 12:58 door Anoniem
Alsof dat hier in Nederland niet gebeurd bij de overheid. :')
Het vervelende is dat als er stront aan de knikker is, de betreffende politici makkelijk kunnen zeggen dat zij het niet gedaan hebben omdat anderen hun inloggegevens ook weten en gebruiken. Drie keer raden wie dan het bokje is.....
04-12-2017, 13:57 door Anoniem
Het wordt tijd voor een nieuw stukje biometrie-beveiliging.

De persoon die toegang wil hebben tot een systeem moet zich identificeren middels biometrie. Minimaal een oog of een vinger.
Verder moet het systeem continue controleren dat de persoon die inlogt, ook de persoon is die het systeem gebruikt. Hiervoor moet het systeem continue contact hebben met de ogen (of oog) die lezen.
Wordt de verbinding met de ogen verbroken, dan lockt het scherm. Waarna er weer biometrie gebruikt moet worden om in te loggen.

Dit voorkomt het "delen" van accounts met andere medewerkers. In ieder geval niet zonder ook lichaamsdelen te "delen" met die pesoon. (Heeft er nog iemand een mes...)
04-12-2017, 14:43 door Anoniem
Ik zou persoonlijk toegang tot het systeem verkrijgen met een goede 2FA authenticatie. Vervolgens een continous validation oplossing obv keystroke dynamics of Face ID oid.

Maar dit specifieke probleem met betrekking tot email, serieus.. Je kunt al meer dan een decenia personen machtigen tot je mailbox, zonder al teveel problemen. En ook al heb je anderen toegang gegeven tot je machine, je bent zelf verantwoordelijk voor het apparaat. Bij twijfel of het de politicus zelf is of zijn/haar stagiar, straf delen door twee...
04-12-2017, 15:00 door Anoniem
Ach, onze (ex-)ministers versturen werkmail via Gmail en houden in de Kamer vol dat dat moet kunnen, en dat niemand zich ongerust hoeft te maken. Dat hadden ze schijnbaar van Hillary geleerd, die daar menig succes mee boekte. Nou ja, totdat het uit kwam dan.
04-12-2017, 15:51 door Anoniem
Of MP Nadine Dorries snapte niet waar ze het over had, of ze kwam opzettelijk met een fout excuus. Wat zou er in het hoofd van een MP om gaan als die een verdachte collega vrij wenst te pleiten door een beroep te doen op een algemeen foute houding?
04-12-2017, 16:23 door Briolet
Het is ook een illusie dat een brief aan een politicus altijd door hem persoonlijk gelezen wordt. In de tijd dat alles nog met brieven ging, waren het ook medewerkers en assistenten die als eerste de post openden en lazen. Zij filterden de post en gaven alleen dat wat belangrijk leek door aan de uitvoerend politicus.

Ik kan me voorstellen dat ze nu ook alle medewerkers toegang tot hun PC en e-mail account wilt geven. Mijn zakelijke PC draait ook altijd onder een user account waar iedereen het WW van kent en bij mijn zakelijke mail kan komen. Het is meer een gedeelde PC dan een voor privé zaken. Je medewerkers moet je gewoon kunnen vertrouwen. Zo niet dan had je ze al lang moeten ontslaan.
04-12-2017, 17:01 door Anoniem
Door Briolet: Mijn zakelijke PC draait ook altijd onder een user account waar iedereen het WW van kent en bij mijn zakelijke mail kan komen. Het is meer een gedeelde PC dan een voor privé zaken. Je medewerkers moet je gewoon kunnen vertrouwen. Zo niet dan had je ze al lang moeten ontslaan.

Daarom ben jij (of in dit geval de politicus) verantwoordelijk voor de porno (KP?) die op de PC gevonden is. Ongeacht of de medewerker het erop gezet heeft of niet.

Jouw PC. Jouw verantwoordelijkheid. "The buck stops here".
Of als dat vertrouwen er niet is, geen WW delen.
En zeker geen kul uitvluchten bedenken als het toch uitkomt.

Simpel toch.
04-12-2017, 17:06 door Anoniem
Door Briolet: Ik kan me voorstellen dat ze nu ook alle medewerkers toegang tot hun PC en e-mail account wilt geven. Mijn zakelijke PC draait ook altijd onder een user account waar iedereen het WW van kent en bij mijn zakelijke mail kan komen. Het is meer een gedeelde PC dan een voor privé zaken. Je medewerkers moet je gewoon kunnen vertrouwen. Zo niet dan had je ze al lang moeten ontslaan.
Het gaat niet alleen over wantrouwen in de zin van aannemen van kwade wil. Als een medewerker van een politicus een keer in een moment van verveling tegen beter weten in porno heeft bekeken kan die politicus daarover in opspraak raken. Als die medewerker alleen een eigen account had kunnen gebruiken was duidelijk geweest hoe de vork in de steel zat.

In dit geval komt daar nog eens bij dat het beveiligingsbeleid van het Britse parlement wachtwoorden delen uitdrukkelijk verbiedt.

En het kan ook gewoon. Je hoeft niet een account te delen om het voor elkaar te krijgen. Verschillende mailservers ondersteunen gedeelde mailboxen.
04-12-2017, 19:44 door karma4 - Bijgewerkt: 04-12-2017, 19:45
Je laat je persoonlijke toegang niet door anderen gebruiken ... punt.
Heb je je persoonlijke naam als handelsmerk dan is er de uitdaging om wat voor dat handelsmerk is gescheiden te houden van de persoonlijke zaken. Problem solved.
Dat betekent de berichten in "naam van" door een administratieve groep mogen worden en niet door de persoon zelf gedaan hoeven te worden.
Bekende situatie als "in naam van de koning".
05-12-2017, 09:32 door PietdeVries
Grappig - we roepen allemaal dat het delen van wachtwoorden niet mag (het staat zelfs in de regels!), maar niemand die een oplossing voor het probleem zoekt door de oorzaak aan te passen... Nee, we willen 2FA, liefst met een oog en een vinger (neus mag ook). Maar de eigenlijke reden dat politici hun wachtwoord delen met hun medewerkers? Waarom doen we daar niets aan?

ICT security is te vaak van het dichtzetten. Afsluiten, loggen en controleren. Maar de mensen moeten ook hun werk kunnen doen. En ergens daarboven heeft iemand bedacht dat een policitus 800 mails per dag moet lezen en beantwoorden, en dan ook z'n gewone werk nog moet doen.

Dat gaat dus niet! De oplossing zit niet in 2FA, maar in de werkdruk van de politicus.
05-12-2017, 10:53 door Anoniem
Door PietdeVries: Maar de eigenlijke reden dat politici hun wachtwoord delen met hun medewerkers? Waarom doen we daar niets aan?
[...] De oplossing zit niet in 2FA, maar in de werkdruk van de politicus.

Zoals hierboven ook al aangegeven was, je hoeft geen wachtwoorden te delen om een collega/medewerker te autoriseren voor jouw mailaccount. Dat kan al jaren dmv een gedeelde mailbox of machtigingen.
Dus als de politicus het te druk heeft, dan is dat de oplossing. Zo nodig door ICT in te schakelen zodat die dat voor die politicus regelt.
Maar wat de politicus doet, en met hem/haar hele volksstammen, is het wachtwoord of de wachtwoorden(!) aan een ander geven. want dan is de politcus er van af, en is het een ander zijn probleem.

dat noemen ze ontwetendheid en luiheid. En van een politicus mag je toch verwachten dat ze (de juiste) vragen kunnen stellen.:-)
05-12-2017, 13:13 door Anoniem
Geweldig goed voorbeeld om ergens onderuit te komen.
Als we dit nu met zijn allen gaan doen dan heeft de wetgeving geen poot meer om op te staan...of wel ;)
05-12-2017, 13:37 door Briolet
Door Anoniem: En het kan ook gewoon. Je hoeft niet een account te delen om het voor elkaar te krijgen. Verschillende mailservers ondersteunen gedeelde mailboxen.

Bij mijn meeste mail accounts kan het niet. Zeker niet op onze bedrijfsserver. Ik heb nog even in de settings van GMail gekeken. Daar vind ik inderdaad:

Een e-mailmachtiging instellen
Je kunt toegang tot je Gmail-account verlenen door een gemachtigde toe te voegen. Deze persoon kan berichten voor je lezen, verzenden en verwijderen.

Wat je gemachtigde kan doen
…E-mails verzenden of beantwoorden die aan jou zijn gestuurd. Wanneer ze een bericht verzenden, wordt hun e-mailadres weergegeven als de afzender. De afzender wordt bijvoorbeeld weergegeven als 'verzonden door jansmeets@gmail.com'.
05-12-2017, 14:33 door karma4
Door PietdeVries: ....
Dat gaat dus niet! De oplossing zit niet in 2FA, maar in de werkdruk van de politicus.
Daarom heb ik ook (zie eerder) de aan de polices gerichte mail niet als privé mail geklassificeerd maar als in de naam aan voor de politieke afhandeling. Dan kan je er een administratieve handelingsgroep aan hangen. Het begint met de data kwalificatie niet met de techniek.
05-12-2017, 15:41 door Anoniem
Door karma4: Het begint met de data kwalificatie niet met de techniek.
En ga dat maar aan die politicus uitleggen.
Die snapt al miets van techniek, en dan kom jij aanzetten dat de politicus eerst de "data kwalificatie" van zijn mail en/of mailbox goed moet hebben. Dan ben je die politicus en zijn medewerkers meteen kwijt geraakt.
Wat gaat die politicus dan zeggen: hier zijn mijn acount-gegevens. Succes, nu is het jouw probleem.

Als je het nu eens op het niveau van de gebruiker probeert:
"Meneer/mevrouw de politicus, ipv dat u uw login-gegevens met anderen deelt, vertelt u de ICT-afdeling wie er allemaal bij uw mail of delen van uw mail moeten kunnen. Zij gaan dat dan voor u regelen. Zonder dat u daarvoor uw medewerkers uw login-gegevens hoeft te geven. Dat voorkomt dat er dingen in uw naam gebeuren, waar u niet van gedient bent."

De politicus opgelucht (hoeft het niet zelf te regelen), en de ICT afdeling blij (want geen gedeelde account-gegevens).

Behandel ze maar als kleine kinderen, dat werkt het beste.
05-12-2017, 23:45 door [Account Verwijderd]
Door Anoniem: Alsof dat hier in Nederland niet gebeurd bij de overheid. :')
Het vervelende is dat als er stront aan de knikker is, de betreffende politici makkelijk kunnen zeggen dat zij het niet gedaan hebben omdat anderen hun inloggegevens ook weten en gebruiken. Drie keer raden wie dan het bokje is.....

Of het alleen iets met overheid, politici en/of ambtenaren te maken heeft dat wachtwoorden delen....

De stokpaardjes zijn weer in galop hoor!

Ook op ander gebied dan IT waar security ook van belang is wordt gebruik gemaakt van wachtwoorden. Inbraakmeldininstallaties bijvoorbeeld. Vraag maar eens aan medewerkers van bedrijven die deze installaties servicen hoe vaak zij horen dat voor het gemak toegangs PIN's worden gedeeld met anderen... Je kijkt raar op!

Ik heb het als beheerder ook meegemaakt. PIN gewist van uit functie getreden medewerker en de dag erna kwam de klacht van een ander dat hij niet meer binnen kon omdat "code het ineens niet meer deed" en enkele dagen daarna nog zo'n "meneertje gemakzucht" met hetzelfde probleem.
06-12-2017, 17:49 door Tim..Boersma
Als up and coming security officer vindt ik het geen pprobleem als wachtwoorden worden gedeeld zoals mensen maar awareness hebben als ze het doen. ik denk dat dat de beste manier is om te handelen
07-12-2017, 11:30 door [Account Verwijderd]
Door Tim..Boersma: Als up and coming security officer vindt ik het geen pprobleem als wachtwoorden worden gedeeld zoals mensen maar awareness hebben als ze het doen. ik denk dat dat de beste manier is om te handelen

Mensen die zich bewust zijn van de risico's van het delen van wachtwoorden of PIN's om toegang te krijgen tot digitale systemen... doen dat absoluut nooit, aangezien dat een zeer ongewenste mist veroorzaakt indien door een gedeeld gebruik van deze strikt persoonlijke gegevens er activiteiten hebben plaats gevonden die in strijd zijn met het beoogde veiligheidsprotocol en daardoor een doelgerichte ingebrekestelling of aanwijzing van mogelijke verdachten vrijwel onmogelijk maakt.
Dus wat je nu precies tracht recht te praten met je stellingname ontgaat me totaal.
07-12-2017, 18:53 door karma4
Door Anoniem: ....
"Meneer/mevrouw de politicus, ipv dat u uw login-gegevens met anderen deelt, vertelt u de ICT-afdeling wie er allemaal bij uw mail of delen van uw mail moeten kunnen. Zij gaan dat dan voor u regelen. ....
Prima, zoiets hoort dan in dat intake gebeuren te zitten.
Ik heb het niet gezien jij wel?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.