Britse parlementsleden gewaarschuwd voor delen van wachtwoorden
De Britse toezichthouder ICO heeft parlementsleden gewaarschuwd voor het delen van computerwachtwoorden. Verschillende parlementsleden van de Conservatieven hadden via Twitter aangegeven dat ze wachtwoorden met medewerkers delen. Dit zorgde voor de nodige ophef in Groot-Brittannië en nu heeft ook de ICO zich over de zaak uitgelaten.
De toezichthouder laat via Twitter weten dat er bij de relevante parlementaire autoriteiten vragen zijn gesteld. Daarnaast worden parlementsleden gewezen op hun verplichtingen onder de Britse databeschermingswetgeving om persoonlijke data te beschermen. De ICO linkt naar een document waarin wordt uitgelegd wat voor eisen de databeschermingswetgeving stelt als het om security gaat. Het delen van wachtwoorden is daarnaast in het beveiligingsbeleid van het Britse parlement verboden (pdf).
Iedereen moet een unieke login hebben,. en vervolgens recht krijgen tot datgene waar ze in/mee werken,. niet door gebruikerslogin gegevens te delen...
Met deze auto is een overtreding begaan. Betalen of anders de bon laten betalen door degene die de auto op dat tijdstip en plek bestuurde.
Weet u niet wie dat was, dan betaald de eigenaar.
Kijken of ze het dan nog leuk vinden om op deze manier boetes uit te delen..
Het komt terecht bij principle 7 wat op de gdpr lijkt.
Wat is er met 1-6 gebeurd?
Volg ik de pdf wat de gebruikersinstructies bevat met onder andere de pasword policies in hfdstuk 7 mis ik het beeld toch voor wat je als werk bij een politicus verwacht.
Dat is het verwerken van Veel inkomende mail als politiek partij aanspreekpunt. Dat is geen privé gebruik.
Als dat soort basisvraagstuk voor data kwalificatie ontbreekt moet je er van uit gaan dat de gebruiker in uitweg uit iets onwerkbaar zoekt. Met andere woorden ik lees falend ict beleid.
Leuk, maar de gemiddelde eindgebruiker haakt af als hij/zij dit moet lezen, laat staan begrijpen.
Bij de "installatie" van een nieuw parlementslid hoort de ICT-afdeling een heldere korte instructie beschikbaar te stellen in taal die de eindgebruiker snapt. Kort, helder, duidelijk. Over wat je wel en niet mag doen. En waar ze terecht kunnen voor vragen of hulp. Met de nadruk erop eerst iets te vragen voordat ze zelf een oplossing bedenken.
Laat ze zo nodig voor de eerste toegang naar de helpdesk toe komen. Dan zien ze een gezicht, en weten ze waar ze moeten zijn. Lekker handig voor later. Of laat de helpdesk er zelf langs gaan.
Klantenbinding. :-)
Een "staff handbook" van 233 pagina's gaat echt niet van voor tot achter door iedereen gelezen worden. Misschien door 1 medewerker van de betreffende politicus. En die moet daarna de rest onderwijzen/ondersteunen. Dan weet je al waar het fout gaat.
Leuk, maar de gemiddelde eindgebruiker haakt af als hij/zij dit moet lezen, laat staan begrijpen.
Iedereen moet een unieke login hebben,. en vervolgens recht krijgen tot datgene waar ze in/mee werken,. niet door gebruikerslogin gegevens te delen...
En mail moet te herleiden zijn tot een afzender,
Zou toch een beetje pijnlijk zijn als Potus@whitehouse.gov vraag om de nucs te deployen omdat een disgrunted medewerker in bezit was van het password.
Men zou gebruik moeten maken van multi-factor authenticatie, zodat men geen wachtwoorden *kan* delen. De toezichthouder behoort de beheerders van de systemen waar de parlementsleden gebruik van maken aan te spreken.
Immers wil je toch ook niet dat kwaadwillenden iets kunnen met credentials, die zijn gestolen van parlementsleden ?
Tja, het moet dan ook geen probleem van de gebruiker zijn. Credentials delen moet nutteloos zijn.
En waarom geen security control framework, waarmee je technisch afdwingt dat men zich aan deze regels houdt ? Immers wordt na implementatie van multi-factor authenticatie, als control, het delen van wachtwoorden nutteloos. Het stelen van wachtwoorden heeft dan ook veel minder zin.
Je blind staren op security awareness, zonder te kijken naar goede security controls, en het neerleggen van alle verantwoordelijkheid bij de gebruiker, is echt een recipe for failure.
Tja, net als werkgevers die het leuk vinden om een werknemer op de vingers te tikken voor overtredigen van de security policy.
Zonder na te denken bij de vraag hoe je die policy technisch afdwingt, zodat de gebruiker de fout helemaal niet kan maken. Overigens is primair de werkgever verantwoordelijk voor gemaakte fouten door werknemers.
Indien je parlementsleden een boete laat betalen, en dan weer over gaat tot de orde van de dag, dan snap je werkelijk niets van een goed IT security beleid.
De werkgever is (mede) verantwoordelijk voor een situatie waarin werknemers credentials kunnen delen, en waarbij derden met gestolen credentials in kunnen loggen op de IT systemen. Immers is dat heel gemakkelijk te voorkomen.
Je blind staren op security awareness, zonder te kijken naar goede security controls, en het neerleggen van alle verantwoordelijkheid bij de gebruiker, is echt een recipe for failure.
Een politicus heeft niet voor niets een staf die werkzaamheden voor hem uitvoeren.
Dat een facilitaire dienst zich als werkgever opstelt richting de politicus is een schending van de politieke onafhankelijkheid.
Nu nog nerds die die uitdaging gaan oplossen.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Information Security Officer (2fte)
Een uitdagende rol waarbij jij, op basis van security, de vertaalslag maakt tussen business en IT en direct bijdraagt aan de veiligheid van informatie binnen de gemeente Almere. Dat is in een notendop waar jij als Information Security Officer mee bezig bent. Interesse gewekt? Door groei van de organisatie zijn we op zoek naar twee nieuwe collega’s.
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
