image

Britse parlementsleden gewaarschuwd voor delen van wachtwoorden

dinsdag 5 december 2017, 12:11 door Redactie, 9 reacties

De Britse toezichthouder ICO heeft parlementsleden gewaarschuwd voor het delen van computerwachtwoorden. Verschillende parlementsleden van de Conservatieven hadden via Twitter aangegeven dat ze wachtwoorden met medewerkers delen. Dit zorgde voor de nodige ophef in Groot-Brittannië en nu heeft ook de ICO zich over de zaak uitgelaten.

De toezichthouder laat via Twitter weten dat er bij de relevante parlementaire autoriteiten vragen zijn gesteld. Daarnaast worden parlementsleden gewezen op hun verplichtingen onder de Britse databeschermingswetgeving om persoonlijke data te beschermen. De ICO linkt naar een document waarin wordt uitgelegd wat voor eisen de databeschermingswetgeving stelt als het om security gaat. Het delen van wachtwoorden is daarnaast in het beveiligingsbeleid van het Britse parlement verboden (pdf).

Image

Reacties (9)
05-12-2017, 12:24 door Anoniem
Super slecht dit.
Iedereen moet een unieke login hebben,. en vervolgens recht krijgen tot datgene waar ze in/mee werken,. niet door gebruikerslogin gegevens te delen...
05-12-2017, 15:00 door Anoniem
Daarom net als met kentekens van auto's
Met deze auto is een overtreding begaan. Betalen of anders de bon laten betalen door degene die de auto op dat tijdstip en plek bestuurde.
Weet u niet wie dat was, dan betaald de eigenaar.

Kijken of ze het dan nog leuk vinden om op deze manier boetes uit te delen..
05-12-2017, 15:40 door karma4
Ik volg de link die de ico gepost zou hebben.
Het komt terecht bij principle 7 wat op de gdpr lijkt.
Wat is er met 1-6 gebeurd?
Volg ik de pdf wat de gebruikersinstructies bevat met onder andere de pasword policies in hfdstuk 7 mis ik het beeld toch voor wat je als werk bij een politicus verwacht.

Dat is het verwerken van Veel inkomende mail als politiek partij aanspreekpunt. Dat is geen privé gebruik.
Als dat soort basisvraagstuk voor data kwalificatie ontbreekt moet je er van uit gaan dat de gebruiker in uitweg uit iets onwerkbaar zoekt. Met andere woorden ik lees falend ict beleid.
05-12-2017, 15:58 door Anoniem
De ICO linkt naar een document waarin wordt uitgelegd wat voor eisen de databeschermingswetgeving stelt als het om security gaat.

Leuk, maar de gemiddelde eindgebruiker haakt af als hij/zij dit moet lezen, laat staan begrijpen.

Bij de "installatie" van een nieuw parlementslid hoort de ICT-afdeling een heldere korte instructie beschikbaar te stellen in taal die de eindgebruiker snapt. Kort, helder, duidelijk. Over wat je wel en niet mag doen. En waar ze terecht kunnen voor vragen of hulp. Met de nadruk erop eerst iets te vragen voordat ze zelf een oplossing bedenken.
Laat ze zo nodig voor de eerste toegang naar de helpdesk toe komen. Dan zien ze een gezicht, en weten ze waar ze moeten zijn. Lekker handig voor later. Of laat de helpdesk er zelf langs gaan.
Klantenbinding. :-)

Een "staff handbook" van 233 pagina's gaat echt niet van voor tot achter door iedereen gelezen worden. Misschien door 1 medewerker van de betreffende politicus. En die moet daarna de rest onderwijzen/ondersteunen. Dan weet je al waar het fout gaat.
06-12-2017, 00:41 door Anoniem
Door Anoniem:
De ICO linkt naar een document waarin wordt uitgelegd wat voor eisen de databeschermingswetgeving stelt als het om security gaat.

Leuk, maar de gemiddelde eindgebruiker haakt af als hij/zij dit moet lezen, laat staan begrijpen.
Dat is het slechtste excuus ooit als je er mee in stemt om je aan die regels te zullen houden. En dat is wat een MP doet als die de verantwoordelijkheid op zich neemt om parlementslid te zijn. Maar leuker nog, de regels zijn opgesteld op initiatief van het parlement zelf, wat het eerder schandelijker maakt dat ze de regels niet kennen of toepassen omdat het parlement een instituut is dat het van de regels moet hebben om te mogen en kunnen werken.
06-12-2017, 06:45 door SPer
Door Anoniem: Super slecht dit.
Iedereen moet een unieke login hebben,. en vervolgens recht krijgen tot datgene waar ze in/mee werken,. niet door gebruikerslogin gegevens te delen...

En mail moet te herleiden zijn tot een afzender,

Zou toch een beetje pijnlijk zijn als Potus@whitehouse.gov vraag om de nucs te deployen omdat een disgrunted medewerker in bezit was van het password.
06-12-2017, 12:17 door Anoniem
De Britse toezichthouder ICO heeft parlementsleden gewaarschuwd voor het delen van computerwachtwoorden. Verschillende parlementsleden van de Conservatieven hadden via Twitter aangegeven dat ze wachtwoorden met medewerkers delen.

Men zou gebruik moeten maken van multi-factor authenticatie, zodat men geen wachtwoorden *kan* delen. De toezichthouder behoort de beheerders van de systemen waar de parlementsleden gebruik van maken aan te spreken.

Immers wil je toch ook niet dat kwaadwillenden iets kunnen met credentials, die zijn gestolen van parlementsleden ?

Leuk, maar de gemiddelde eindgebruiker haakt af als hij/zij dit moet lezen, laat staan begrijpen.

Tja, het moet dan ook geen probleem van de gebruiker zijn. Credentials delen moet nutteloos zijn.

Dat is het slechtste excuus ooit als je er mee in stemt om je aan die regels te zullen houden.

En waarom geen security control framework, waarmee je technisch afdwingt dat men zich aan deze regels houdt ? Immers wordt na implementatie van multi-factor authenticatie, als control, het delen van wachtwoorden nutteloos. Het stelen van wachtwoorden heeft dan ook veel minder zin.

Je blind staren op security awareness, zonder te kijken naar goede security controls, en het neerleggen van alle verantwoordelijkheid bij de gebruiker, is echt een recipe for failure.
06-12-2017, 12:23 door Anoniem
Daarom net als met kentekens van auto's Met deze auto is een overtreding begaan. Betalen of anders de bon laten betalen door degene die de auto op dat tijdstip en plek bestuurde. Weet u niet wie dat was, dan betaald de eigenaar.

Tja, net als werkgevers die het leuk vinden om een werknemer op de vingers te tikken voor overtredigen van de security policy.

Zonder na te denken bij de vraag hoe je die policy technisch afdwingt, zodat de gebruiker de fout helemaal niet kan maken. Overigens is primair de werkgever verantwoordelijk voor gemaakte fouten door werknemers.

Indien je parlementsleden een boete laat betalen, en dan weer over gaat tot de orde van de dag, dan snap je werkelijk niets van een goed IT security beleid.

De werkgever is (mede) verantwoordelijk voor een situatie waarin werknemers credentials kunnen delen, en waarbij derden met gestolen credentials in kunnen loggen op de IT systemen. Immers is dat heel gemakkelijk te voorkomen.
06-12-2017, 17:42 door karma4
Door Anoniem: ...

Je blind staren op security awareness, zonder te kijken naar goede security controls, en het neerleggen van alle verantwoordelijkheid bij de gebruiker, is echt een recipe for failure.
De echte faal wordt veroorzaakt door blind te zijn voor de functionele eisen en alleen naar technische trucjes te kijken.

Een politicus heeft niet voor niets een staf die werkzaamheden voor hem uitvoeren.
Dat een facilitaire dienst zich als werkgever opstelt richting de politicus is een schending van de politieke onafhankelijkheid.
Nu nog nerds die die uitdaging gaan oplossen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.