Computerbeveiliging - Hoe je bad guys buiten de deur houdt

PF verliest onbeveiligde Harde Schijf

21-12-2017, 22:14 door [Account Verwijderd], 5 reacties
Alle 25.000 panelleden die op deze harde schijf stonden zouden inmiddels al een e-mail hebben gekregen van de Patiëntenfederatie Nederland. De harde schijf was - volgens de eerste berichten - niet beveiligd.

Meer is te lezen op dit stuk:
https://www.patientenfederatie.nl/nieuws/harde-schijf-met-persoonsgegevens-mogelijk-ontvreemd
https://www.patientenfederatie.nl/algemeen/mogelijke-vragen-en-antwoorden

en op Tweakers:
https://tweakers.net/nieuws/133219/patientenfederatie-nederland-verliest-externe-harde-schijf-met-data-25000-leden.html

De Autoriteit Persoonsgegevens is inmiddels geïnformeerd over het #datalek.
Reacties (5)
22-12-2017, 02:06 door Anoniem
Na doorlezen van vragen/antwoorden op hun site:
Er zijn hier eigenlijk maar 2 dingen van belang:

1. Zijn gegevens op de twee verloren schijven wel of niet encrypted en
2. zijn ze daarbij ook alleen toegankelijk met een veilig en geheim wachtwoord?
.......minstens 15 karakters, met de nodige complexiteit, en een sterk encryptie-algoritme, zodat het ook door apparatuur van krakers niet snel is te achterhalen.


Wazige praatjes over het goed op orde hebben van de ICT doen er weinig toe,
de interpretatie daarvan is niet voor iedereen gelijk, en kunnen soms ver uiteenlopen.
22-12-2017, 08:43 door Anoniem
Om de nietaflatende slordigheid, geklungel en incompetentie mbt data eens en voor altijd te stoppen lijkt het mij nodig dat medewerkers en leidinggevenden PERSOONLIJK aansprakelijk moeten zijn met het gevolg van straffen die aan personen gegeven worden (en niet aan organizaties dus). Deze straffen moeten ook gevangenisstraf zijn.

Tot nu toe is alles teveel vrijblijvend.
22-12-2017, 08:54 door Tha Cleaner - Bijgewerkt: 22-12-2017, 08:56
Door Anoniem: Wazige praatjes over het goed op orde hebben van de ICT doen er weinig toe,
de interpretatie daarvan is niet voor iedereen gelijk, en kunnen soms ver uiteenlopen.

Conclusie zou eigenlijk moeten zijn dat ICT niet goed geregeld is/was.

Mede omdat er nergens gesproken is/wordt over waarom de data op deze harddisk was opgeslagen (procedure / technische limitatie) of over encryptie.
22-12-2017, 10:49 door PietdeVries - Bijgewerkt: 22-12-2017, 10:55
Door Anoniem: Om de nietaflatende slordigheid, geklungel en incompetentie mbt data eens en voor altijd te stoppen lijkt het mij nodig dat medewerkers en leidinggevenden PERSOONLIJK aansprakelijk moeten zijn met het gevolg van straffen die aan personen gegeven worden (en niet aan organizaties dus). Deze straffen moeten ook gevangenisstraf zijn.

Tot nu toe is alles teveel vrijblijvend.

JA! Lijkt me een goed plan! Maar... durf jij dan nog de data van twee van jouw belangrijkste klanten, Apple & Google (ik noem maar wat) te bewerken? Of een appje schrijven dat door een kleine typo in de source code een Facebook-pc laat vastlopen (of 10.000 Facebook pc's - hoe groot is de schade van een foute patch op 100.000 werkstations)? Een kleine bit-flip in de firewall rules van een multinational?

Want een enkel foutje en deze bedrijven, die honderden miljarden waard zijn, lopen schade op die ze op jou persoonlijk gaan verhalen. En met dat sumiere inkomen van je moet je voor een miljoen euro schade al 25 jaar werken, laat staan voor een miljard.

Lijkt persoonlijk aansprakelijk zijn voor schade je nog steeds zo'n goed idee?
22-12-2017, 11:18 door Krakatau
4. Kan ik mijn gegevens nu nog wel veilig toevertrouwen aan de Patiëntenfederatie?
Ja, dat kunt u. Het gaat hier om een eenmalig incident. De Patientenfederatie hecht erg veel waarde aan de bescherming van de privacy en hamert altijd op bescherming van gegevens, ook bij anderen. Onze ICT is goed op orde. Dit hebben we in 2016 laten onderzoeken. Dit voorval had niet mogen gebeuren. We vinden het erg vervelend wat er is gebeurd.

Precies dat zei men voorafgaand aan dit incident. Desondanks blijkt nu dat er privacygevoelige gegevens onversleuteld op een onbeheerd achtergebleven harde schijf hebben gestaan. Toch kunt u uw gegevens nu en in de toekomst veilig toevertrouwen aan de Patiëntenfederatie. Stelt men. Nou nee, bedankt.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.