image

Autoriteit Persoonsgegevens waarschuwt kabinet voor privacyrisico's cloudbeleid

maandag 14 november 2022, 11:53 door Redactie, 28 reacties

De Autoriteit Persoonsgegevens heeft het kabinet gewaarschuwd voor de grote privacyrisico's van het aangekondigde cloudbeleid en adviseert maatregelen te nemen. Eind augustus presenteerde staatssecretaris Van Huffelen van Digitalisering nieuw cloudbeleid. Daarmee wil zij zorgen dat overheidsinstanties gebruik mogen maken van commerciële clouddiensten.

Daardoor mag informatie over Nederlanders bij bijvoorbeeld Amerikaanse bedrijven als Amazon, Google of Microsoft worden opgeslagen. Volgens de Autoriteit Persoonsgegevens (AP) brengt het nieuwe cloudbeleid grote privacyrisico’s met zich mee en zijn deze risico's onvoldoende door het kabinet in kaart gebracht. De toezichthouder wil dat het kabinet hier nu mee aan de slag gaat in de verdere uitwerking van het beleid.

"De overheid beschikt over een gigantische hoeveelheid data over ons allemaal", zegt AP-voorzitter Aleid Wolfsen. "Hoeveel jij verdient, je burgerservicenummer, je bankrekeningnummer en nog veel meer. Die gegevens moeten niet in verkeerde handen vallen. Als je die niet op eigen servers opslaat, maar op die van een bedrijf, moet je zeker weten dat ze veilig zijn. Er hangt dus veel af van een goede uitwerking en naleving van dit cloudbeleid. Daar maak ik me zorgen over."

Volgens Wolfsen moet privacy leidend zijn bij de vraag of informatie over burgers mag worden opgeslagen bij een bedrijf. "Als je niet goed onderzoekt welke risico’s er zijn, kun je ook geen maatregelen nemen om die risico’s te weg te nemen." Het kabinet moet vooral oog hebben voor de risico's van het opslaan van persoonsgegevens in landen buiten Europa, waar de Algemene verordening gegevensbescherming (AVG) niet geldt.

Wanneer de overheid persoonsgegevens opslaat op servers van een bedrijf buiten de Europese Unie moet de overheid nagaan of de bescherming van persoonsgegevens ten minste op hetzelfde niveau ligt als binnen de EU. Dat is niet altijd het geval. Zo kunnen bijvoorbeeld Amerikaanse inlichtingendiensten persoonsgegevens van Nederlanders opvragen bij Amerikaanse bedrijven. Zelfs als de servers van die bedrijven in Europa staan.

"Daardoor kunnen die diensten jou bijvoorbeeld onterecht in verband brengen met terrorisme of fraude, waardoor je de VS en andere landen niet meer binnenkomt", zegt Wolfsen. De privacytoezichthouder merkt op dat de overheid bij cloudaanbieders uit landen waar persoonsgegevens minder goed worden beschermd, zoals de VS, van tevoren goed de risico’s in kaart moet brengen, en maatregelen moet nemen om te zorgen dat die gegevens veilig zijn.

Volgens de Autoriteit Persoonsgegevens is de opslag van gegevens bij een Europees bedrijf qua privacy nu de beste keuze. Aangezien de meeste cloudaanbieders Amerikaans zijn, zou het kabinet Europese alternatieven moeten stimuleren, aldus de AP. De Privacytoezichthouder heeft van Huffelen een brief gestuurd waarin het de zorgen uit en verschillende aanbevelingen doet (pdf).

Reacties (28)
14-11-2022, 12:00 door Anoniem
Het kabinet heeft niks met privacy.
Wel met mensen in de gaten houden en met digi-drammen.
14-11-2022, 12:11 door Anoniem
We worden dus met ons allen onder de digi-bus gegegooid.

Negeren en afkoppelen alstublieft.
U weet zelf wel wat goed of slecht voor u is.
14-11-2022, 12:12 door Erik van Straten
Het risico dat vertrouwelijke informatie (waaronder persoonsgegevens) in handen van cybercriminelen valt, neemt hand over hand toe, vooral naarmate de verzamelingen groter worden - ook als je MFA vereist.

Reden: de meeste vormen van MFA zijn niet phishingbestendig, en de vormen die daar deels tegen beschermen, zijn "gedoe", kosten geld en zijn vaak te omzeilen met downgrade attacks.
14-11-2022, 12:12 door Anoniem
Niet alleen nu moet de cloudprovider voldoen aan de AVG. Maar zeker ook in de toekomst als je er vast aan zit door vendor lock-in.
14-11-2022, 13:56 door Anoniem
Eind augustus presenteerde staatssecretaris Van Huffelen van Digitalisering nieuw cloudbeleid. Daarmee wil zij zorgen dat overheidsinstanties gebruik mogen maken van commerciële clouddiensten.

Want marktwerking is altijd en overal zaligmakend, of het straatje waar VVD en DD6 in vastgeroest zitten?

De oplossing van de minister is om organisaties die pertinent zeker geen rekening (kunnen of mogen) houden met Europese en Nederlandse wetgeving toe te staan die data te hosten. Wat kan er mis gaan.
Ipv een eigen cloud binnen Nederland of Europa hiervoor op te zetten.
Een cloud waarvan de overheid bij voorkeur grootaandeelhouder in is. Dan heb je (als minister) wat in de soep te brokkelen.

Hadden we niet ooit al zoiets (enkele decennia terug).
Een of ander rekencentrum ...
14-11-2022, 14:04 door Anoniem
ach in Nederland moet het kind met het badwater mee en wordt de put pas gedempt als het kalf verdronken is en gaat de schuur pas op slot als het paar al foetsie is en de benadeelde? 'oeps' 'sorry' 'ja kijk wisten we niet' etc. etc. etc. mensen die dat opportunistische patroon nog niet herkennen in de Nederlandse politiek, die zijn, in mijn visie, niet volwassen genoeg om te stemmen. wij Hollandsche boeren zouden onze eigen moeder nog verkopen als we er op zouden verdienen!
14-11-2022, 14:13 door Anoniem
Door Anoniem:
Eind augustus presenteerde staatssecretaris Van Huffelen van Digitalisering nieuw cloudbeleid. Daarmee wil zij zorgen dat overheidsinstanties gebruik mogen maken van commerciële clouddiensten.

Want marktwerking is altijd en overal zaligmakend, of het straatje waar VVD en DD6 in vastgeroest zitten?


Marktwering ja, net als alle zorgverzekeraars waar we ons nu bont en blauw aan betalen om de hoge salarissen van bestuur/aandeelhouders etc van te betalen. Het Ziekenfonds was een stuk beter!
14-11-2022, 14:18 door Anoniem
Door Erik van Straten: Het risico dat vertrouwelijke informatie (waaronder persoonsgegevens) in handen van cybercriminelen valt, neemt hand over hand toe, vooral naarmate de verzamelingen groter worden - ook als je MFA vereist.

Reden: de meeste vormen van MFA zijn niet phishingbestendig, en de vormen die daar deels tegen beschermen, zijn "gedoe", kosten geld en zijn vaak te omzeilen met downgrade attacks.
Ik weet niet of je bekend bent met FIDO, want FIDO is niet te omzeilen door phishing aanvallen omdat de 2FA URL in de key is mee versleuteld. Ook al biedt je een FIDO sleutel aan bij bijvoorbeeld een 2fa fatique aanval dan nog laat deze je niet op de fake site inloggen omdat de url niet overeenkomt.
Er is een nieuwe versie van de MS Authenticator die nu een extra scherm toont waar je akkoord moet geven op het inloggen. In dat scherm zie je de locatie waar je inlogt maar of dat echt gaat helpen tegen zaken als fatique aanvallen vraag ik me af. Van FIDO weet ik in ieder geval dat dit, tot op heden, de enige phishing bestandige MFA variant is.
Nadeel ervan is wel dat medewerkers dit in de vorm van iets fysieks bij zich moeten dragen, dat kan een usb sleutel zijn maar dat kan ook een identiteitskaart zijn waarin een NFC chip verwerkt zit. Ik heb al een kaart gezien die met biometrie werkt, net zoals de nieuwe Yubikey en die van Feitian. Nog een stukje veiliger dus.
14-11-2022, 16:11 door Anoniem
Nadeel ervan is wel dat medewerkers dit in de vorm van iets fysieks bij zich moeten dragen,
Nadeel is dat mensen fouten maken en deze uitgebuit kunnen worden, en dat dit gaat gebeuren weet ik nu al zeker
en wat ik ook doe om mijn gegevens af te schermen het zijn andere die ze voor mij op straat gooien. Vergeet niet
dat ook cloud server gehackt kan worden. Daarbij vind ik dat een staatssecretaris, minister of ambtenaar verstand
moet hebben waar hij over gaat.

Het is toch een lachertje als je ziet wat voor minsters wij bijvoorbeeld op defensie hebben hebben of hebben gehad.
Ik zie dit als vriendjespolitiek en ze gingen er van uit dat er toch geen oorlog meer kwam.
14-11-2022, 16:56 door Anoniem
wanneer je dure eieren in een mandje legt, wordt dat mandje erg interessant.
wanneer je heel veel eieren in een mandje legt, wordt dat mandje erg interessant.
wanneer je AL je eieren in een mandje in de wolken legt bij een bedrijf wat onder controle van de VS staat zijn kippen uitgestorven.
14-11-2022, 17:06 door Anoniem
Ik snap niet waar het vertrouwen in die wolkenaanbieders vandaan komt. Het zijn bedrijven die keer op keer aantonen dat hun datahonger niet te stillen is, en iedereen blijft ze maar braaf voeren met (bedrijfs) data.
14-11-2022, 17:22 door Anoniem
Door Anoniem:
Door Anoniem:
Eind augustus presenteerde staatssecretaris Van Huffelen van Digitalisering nieuw cloudbeleid. Daarmee wil zij zorgen dat overheidsinstanties gebruik mogen maken van commerciële clouddiensten.

Want marktwerking is altijd en overal zaligmakend, of het straatje waar VVD en DD6 in vastgeroest zitten?


Marktwering ja, net als alle zorgverzekeraars waar we ons nu bont en blauw aan betalen om de hoge salarissen van bestuur/aandeelhouders etc van te betalen. Het Ziekenfonds was een stuk beter!

De ziektekosten stijgen niet daardoor: de winsten op zorgverzekeringen zijn niet zo hoog omdat men met elkaar concurreert om de scherpste prijs.
Als we weer een ziekenfonds zouden hebben zouden de wachtlijsten nog meer stijgen en je een beperking in vergoedingen moeten instellen.
De kosten van zorgverzekeringen stijgen zo omdat er medisch steeds meer kan en we een enorm toenemende aantal ouderen,met allerlei ziektes(diabetes,hart-en vaatziekten,dementie) krijgen.
Kortom: we worden te oud!!
Op onze totale begroting is het aandeel gezondheodszorg al bijna 1/3.
Kortom dit kan niet zo doorgaan.
Volgt U de discussies a.u.b. voor een genuanceerd begrip!!
14-11-2022, 17:45 door Erik van Straten
Door Anoniem:
Door Erik van Straten: Het risico dat vertrouwelijke informatie (waaronder persoonsgegevens) in handen van cybercriminelen valt, neemt hand over hand toe, vooral naarmate de verzamelingen groter worden - ook als je MFA vereist.

Reden: de meeste vormen van MFA zijn niet phishingbestendig, en de vormen die daar deels tegen beschermen, zijn "gedoe", kosten geld en zijn vaak te omzeilen met downgrade attacks.
Ik weet niet of je bekend bent met FIDO,
Jazeker!

Door Anoniem: want FIDO is niet te omzeilen door phishing aanvallen omdat de 2FA URL in de key is mee versleuteld.
Niet de URL, maar een domeinnaam wordt (onversleuteld) opgeslagen bij de "credentials" (in feite een private key) voor elk account.

Die domeinnaam in de FIDO2 hardware key (of passkey) is in de eerste plaats bedoeld om de juiste credentials in de key op te zoeken. Bij een website met afwijkende domeinnaam (zoals gooogle.com) zal de key geen credentials kunnen vinden.

Een risico zijn dan downgrade attacks: die nepwebsite kan liegen dat er een beveilingsprobleem is met de public key opgeslagen op de server, of met hun processen daarvoor, of met jouw FIDO2 key zelf en dat je daarom op alternatieve wijze in moet loggen, bijvoorbeeld MFA via SMS, een tijdelijke code uit een authenticator app of met een "rescue code".

Als die mogelijkheid bestaat (wat vaak het geval is), kan WebAuthn worden omzeild.

Als je alle zwakkere MFA alternatieven uitzet (voor zover dat kan bij jouw accounts, de meeste cloud-providers willen jouw telefoonnummer weten), ontkom je er niet aan om minstens twee verschillende keys per account te registreren (om te voorkomen dat je buitengesloten raakt bij het verlies of defectraken van jouw enige FIDO2 key). Een nadeel is dan dat je niet kunt inloggen als je niet minstens één van die keys bij je hebt. Sterke authenticatie is niet gebruiksvriendelijk.

Maar er zijn ook omstandigheden waarbij WebAuthn zelf "gephished" kan worden. Als er interesse voor bestaat kan ik daar een "in depth" bijdrage over schrijven (dat kan niet zonder in de details te duiken).

Door Anoniem: Ook al biedt je een FIDO sleutel aan bij bijvoorbeeld een 2fa fatique aanval dan nog laat deze je niet op de fake site inloggen omdat de url niet overeenkomt.
Ik ken minstens twee scenario's waarbij dit toch kan (die niets met MFA fatigue te maken hebben). Die zul je niet bij huis, tuin en keuken aanvallen tegenkomen, maar potentieel wel bij targeted attacks waarbij er voor cybercriminelen veel te halen valt.

Door Anoniem: Er is een nieuwe versie van de MS Authenticator die nu een extra scherm toont waar je akkoord moet geven op het inloggen. In dat scherm zie je de locatie waar je inlogt maar of dat echt gaat helpen tegen zaken als fatique aanvallen vraag ik me af.
Misschien een klein beetje tegen "MFA fatigue" aanvallen, waarschijnlijk helpt de nieuwe "number matching" feature daar beter tegen. Echter geen van allen voorkómen dat iemand zelf diens credentials invult op een "evil proxy" website.

Door Anoniem: Van FIDO weet ik in ieder geval dat dit, tot op heden, de enige phishing bestandige MFA variant is.
WebAuthn is, in de praktijk, niet altijd "unphishable". Hoe meer mensen ergens toegang tot hebben, hoe groter de kans dat iemand in een geraffineerde aanval trapt. We moeten m.i. niet dezelfde fout maken als bij oudere vormen van MFA (en allerlei andere deels werkende beveiligingsmaatregelen), namelijk roepen dat je volstrekt veilig bent als je X gebruikt.

Door Anoniem: Nadeel ervan is wel dat medewerkers dit in de vorm van iets fysieks bij zich moeten dragen, dat kan een usb sleutel zijn maar dat kan ook een identiteitskaart zijn waarin een NFC chip verwerkt zit. Ik heb al een kaart gezien die met biometrie werkt, net zoals de nieuwe Yubikey en die van Feitian. Nog een stukje veiliger dus.
Die maatregelen zouden kunnen helpen tegen het risico van in verkeerde handen vallen van zo'n hardware key. Echter, één dreiging verkleinen kun je "veiliger" noemen, maar aan een oplossing zoals van Microsoft tegen MFA fatigue heb je niets bij phishing aanvallen (en die nemen natuurlijk toe zodra je een andere aanvalsroute blokkeert).

Andere nadelen van Yubikeys zijn dat het aantal accounts dat je erop kunt opslaan, beperkt is, en het fysieke gedoe met bij je dragen (en niet kwijtraken). Een back-up key in een kluis is wenselijk, maar die heb je -hopelijk- weer niet altijd bij je (het alternatief is een zwakkere vorm van MFA met als risico een downgrade attack).
14-11-2022, 17:51 door karma4
Door Anoniem: Het kabinet heeft niks met privacy.
Wel met mensen in de gaten houden en met digi-drammen.
Privacy activisten hebben niets met sociaal gedrag enkel met het tegen / anti anderen drammen.
Ongefundeerd is elke uitspraak waar.
14-11-2022, 17:52 door karma4
Klein probleempje de AP als overheid zit zelf met alle cloudafhankelijkheden en heeft eigen IT niet op orde.
14-11-2022, 19:21 door Anoniem
Door Erik van Straten:
Door Anoniem:
Door Erik van Straten: Het risico dat vertrouwelijke informatie (waaronder persoonsgegevens) in handen van cybercriminelen valt, neemt hand over hand toe, vooral naarmate de verzamelingen groter worden - ook als je MFA vereist.

Reden: de meeste vormen van MFA zijn niet phishingbestendig, en de vormen die daar deels tegen beschermen, zijn "gedoe", kosten geld en zijn vaak te omzeilen met downgrade attacks.
Ik weet niet of je bekend bent met FIDO,
Jazeker!

Door Anoniem: want FIDO is niet te omzeilen door phishing aanvallen omdat de 2FA URL in de key is mee versleuteld.
Niet de URL, maar een domeinnaam wordt (onversleuteld) opgeslagen bij de "credentials" (in feite een private key) voor elk account.

Die domeinnaam in de FIDO2 hardware key (of passkey) is in de eerste plaats bedoeld om de juiste credentials in de key op te zoeken. Bij een website met afwijkende domeinnaam (zoals gooogle.com) zal de key geen credentials kunnen vinden.

Een risico zijn dan downgrade attacks: die nepwebsite kan liegen dat er een beveilingsprobleem is met de public key opgeslagen op de server, of met hun processen daarvoor, of met jouw FIDO2 key zelf en dat je daarom op alternatieve wijze in moet loggen, bijvoorbeeld MFA via SMS, een tijdelijke code uit een authenticator app of met een "rescue code".

Als die mogelijkheid bestaat (wat vaak het geval is), kan WebAuthn worden omzeild.

Als je alle zwakkere MFA alternatieven uitzet (voor zover dat kan bij jouw accounts, de meeste cloud-providers willen jouw telefoonnummer weten), ontkom je er niet aan om minstens twee verschillende keys per account te registreren (om te voorkomen dat je buitengesloten raakt bij het verlies of defectraken van jouw enige FIDO2 key). Een nadeel is dan dat je niet kunt inloggen als je niet minstens één van die keys bij je hebt. Sterke authenticatie is niet gebruiksvriendelijk.

Maar er zijn ook omstandigheden waarbij WebAuthn zelf "gephished" kan worden. Als er interesse voor bestaat kan ik daar een "in depth" bijdrage over schrijven (dat kan niet zonder in de details te duiken).

Door Anoniem: Ook al biedt je een FIDO sleutel aan bij bijvoorbeeld een 2fa fatique aanval dan nog laat deze je niet op de fake site inloggen omdat de url niet overeenkomt.
Ik ken minstens twee scenario's waarbij dit toch kan (die niets met MFA fatigue te maken hebben). Die zul je niet bij huis, tuin en keuken aanvallen tegenkomen, maar potentieel wel bij targeted attacks waarbij er voor cybercriminelen veel te halen valt.

Door Anoniem: Er is een nieuwe versie van de MS Authenticator die nu een extra scherm toont waar je akkoord moet geven op het inloggen. In dat scherm zie je de locatie waar je inlogt maar of dat echt gaat helpen tegen zaken als fatique aanvallen vraag ik me af.
Misschien een klein beetje tegen "MFA fatigue" aanvallen, waarschijnlijk helpt de nieuwe "number matching" feature daar beter tegen. Echter geen van allen voorkómen dat iemand zelf diens credentials invult op een "evil proxy" website.

Door Anoniem: Van FIDO weet ik in ieder geval dat dit, tot op heden, de enige phishing bestandige MFA variant is.
WebAuthn is, in de praktijk, niet altijd "unphishable". Hoe meer mensen ergens toegang tot hebben, hoe groter de kans dat iemand in een geraffineerde aanval trapt. We moeten m.i. niet dezelfde fout maken als bij oudere vormen van MFA (en allerlei andere deels werkende beveiligingsmaatregelen), namelijk roepen dat je volstrekt veilig bent als je X gebruikt.

Door Anoniem: Nadeel ervan is wel dat medewerkers dit in de vorm van iets fysieks bij zich moeten dragen, dat kan een usb sleutel zijn maar dat kan ook een identiteitskaart zijn waarin een NFC chip verwerkt zit. Ik heb al een kaart gezien die met biometrie werkt, net zoals de nieuwe Yubikey en die van Feitian. Nog een stukje veiliger dus.
Die maatregelen zouden kunnen helpen tegen het risico van in verkeerde handen vallen van zo'n hardware key. Echter, één dreiging verkleinen kun je "veiliger" noemen, maar aan een oplossing zoals van Microsoft tegen MFA fatigue heb je niets bij phishing aanvallen (en die nemen natuurlijk toe zodra je een andere aanvalsroute blokkeert).

Andere nadelen van Yubikeys zijn dat het aantal accounts dat je erop kunt opslaan, beperkt is, en het fysieke gedoe met bij je dragen (en niet kwijtraken). Een back-up key in een kluis is wenselijk, maar die heb je -hopelijk- weer niet altijd bij je (het alternatief is een zwakkere vorm van MFA met als risico een downgrade attack).


Wat is dan een alternatief (nog betere ) beveiliging dan een YubiKey?
Toch via sms met een prepaid nooit eerder gebruikte simkaart?
14-11-2022, 20:57 door Anoniem
Door karma4:
Door Anoniem: Het kabinet heeft niks met privacy.
Wel met mensen in de gaten houden en met digi-drammen.
Privacy activisten hebben niets met sociaal gedrag enkel met het tegen / anti anderen drammen.
Ongefundeerd is elke uitspraak waar.

Zoals deze: Omdat iemand zijn privacy waardert is hij meteen a-sociaal. Ook dat is ongefundeerd
14-11-2022, 21:06 door Anoniem
Door karma4: Klein probleempje de AP als overheid zit zelf met alle cloudafhankelijkheden en heeft eigen IT niet op orde.

Want het AP is ook verantwoordelijk voor het \opzetten van cloudoplossingen? Is dat onderdeel van haar taakomschrijving?
Kun je het betreffende hoofdstuk of paragraaf hiervoor citeren svp.

Of is dat misschien toch een taak van het het betreffende ministerie.
Net zoals het faciliteren van een Nederlandse of Europese cloudoplossing een taak van het kabinet en het EC is.

Of moet het AP dat ook meteen maar allemaal regelen? Waarom hebben we dan nog een kabinet en EC.
Als die toch niets doen behalve alle burgers als crimineel bestempelen, dan moeten die taken misschien wel overgeheveld worden naar het AP en haar Europese variant.

Bedankt voor de goede suggestie.
K4 begint eindelijk het nut van het AP\ in te zien. :-)
14-11-2022, 21:34 door Anoniem
De overheden kunnen al moeilijk opboksen tegen de machtspositie van de big-tech, dus dan lijkt het toch vrij onlogisch je er alsnog meer afhankelijk en chanteerbaar door te maken.

Maar ja...een burger brein werkt kennelijk anders....
14-11-2022, 22:59 door Anoniem

De ziektekosten stijgen niet daardoor: de winsten op zorgverzekeringen zijn niet zo hoog omdat men met elkaar concurreert om de scherpste prijs.
Als we weer een ziekenfonds zouden hebben zouden de wachtlijsten nog meer stijgen en je een beperking in vergoedingen moeten instellen.
De kosten van zorgverzekeringen stijgen zo omdat er medisch steeds meer kan en we een enorm toenemende aantal ouderen,met allerlei ziektes(diabetes,hart-en vaatziekten,dementie) krijgen.
Kortom: we worden te oud!!
Op onze totale begroting is het aandeel gezondheodszorg al bijna 1/3.
Kortom dit kan niet zo doorgaan.
Volgt U de discussies a.u.b. voor een genuanceerd begrip!!

Daar zit ook zeker een kern van waarheid in, maar dat komt omdat je tegenwoordig niet dood meer mag gaan.

- Er word overal van alles uit de kast getrokken, bijvoorbeeld in het verkeer vallen nog steeds te veel doden, dus daar moeten we wat aan doen.
- We moeten als het kan alle ziektes kunnen genezen.
- Euthenasie krijgen is ook een heel traject/ellende om dat voor elkaar te krijgen.

En zo ken ik er nog wel een paar... Ik ben 64, redelijk gezond, maar vind dat mijn leven klaar is, het liefst zou ik vandaag nog Ajuu Paraplu zeggen, maar dat gaat natuurlijk even niet door.
14-11-2022, 23:09 door Erik van Straten
Door Anoniem: Wat is dan een alternatief (nog betere ) beveiliging dan een YubiKey?
Toch via sms met een prepaid nooit eerder gebruikte simkaart?
Dat laatste is zinloos bij "evil proxy" aanvallen (hoe die werken leg ik uit in https://security.nl/posting/773644).

Het grootste risico dat ik zie bij Yubikeys e.d. is dat men vaak ook zonder kan inloggen, wat de kracht ervan totaal teniet doet.

Er zijn veiliger oplossingen denkbaar dan Yubikeys, maar die stuiten al gauw op andere bezwaren. Wat je als inlogger namelijk zeker wilt weten is dat je direct met de juiste server communiceert als je inlogt (en niet met een Attacker in the Middle), maar die directe verbinding heb je niet als de virusscanner op jouw PC of de firewall in jouw bedrijf (of land) aan TLS-inspectie doet (dat zijn namelijk ook -hopelijk goedaardige- AitM's).

Sowieso is een Yubikey (in FIDO2/WebAuthn mode) geheel afhankelijk van hoe betrouwbaar jouw browser (of app) vaststelt dat achter de gegeven domeinnaam daadwerkelijk de bedoelde server zit. Bijvoorbeeld bij een onterecht uitgegeven https servercertificaat kan een nepserver als "evil proxy" optreden naar de echte server - zonder dat jouw Yubikey, jouw browser en jijzelf dat kunnen detecteren. Als er geen TLS-inspectie plaatsvindt, zou je jouw browser zo kunnen dichttimmeren (evt. met een add-on) dat deze slechts certificaten van specifieke uitgevers accepteert en/of geen Domain Validated certificaten.

Een nadeel van Yubikeys, dat je de private keys erin niet kunt back-uppen, is ook een voordeel: je kunt niet middels social engineering worden overgehaald om een kopie van een private key aan een ander te geven (evt. wel de hele Yubikey natuurlijk, er zijn immers ook mensen die hun bankpas en pincode aan nep-bankmedewerkers meegeven). Bij passkeys is het risico groter dat kopiën van private keys in handen van kwaadwillenden vallen.

Dus nee, ik heb niet zomaar een veiliger alternatief. Waar het mij vooral om gaat is de bewustwording dat niks 100% veilig is, en dat bij een grote buit elke medewerker zou moeten weten wat de risico's zijn en hoe daarmee om te gaan. Maar dat is meestal een illusie, en daarom is het onderbrengen van gegevens met grote waarde voor cybercriminelen op een plek die ook voor cybercriminelen toegankelijk is (public cloud), een slecht idee waar we spijt van gaan krijgen (zie o.a. Medibank in Australië).
15-11-2022, 05:57 door Anoniem
Door Anoniem: Ik snap niet waar het vertrouwen in die wolkenaanbieders vandaan komt. Het zijn bedrijven die keer op keer aantonen dat hun datahonger niet te stillen is, en iedereen blijft ze maar braaf voeren met (bedrijfs) data.
Het gaat niet om vertrouwen, het gaat om geld.
Waarschijnlijk goedkoper dan het zelf doen. En onze privacy is blijkbaar minder belangrijk.
15-11-2022, 08:16 door spatieman
je zou haast zeggen dat Mr van puffelen een deal met ,kuch grote data grinders gemaakt heeft hiervoor.
15-11-2022, 08:38 door Anoniem
privacy of niet. ik denk dat we als EU meer moeten toezien dat data van de burgers binnen de EU blijft en dat partijen als de VS, China of welk land dan ook geen toegang kan krijgen tot deze data. Ook als de bedrijven niet in de EU gevestigd zijn.
De EU moet meer doen voor Europese onafhankelijkheid en minder speel bal worden van machten als China VS en ook Rusland.
15-11-2022, 12:59 door Anoniem
Door Anoniem: privacy of niet. ik denk dat we als EU meer moeten toezien dat data van de burgers binnen de EU blijft en dat partijen als de VS, China of welk land dan ook geen toegang kan krijgen tot deze data. Ook als de bedrijven niet in de EU gevestigd zijn.
De EU moet meer doen voor Europese onafhankelijkheid en minder speel bal worden van machten als China VS en ook Rusland.

Hopelijk is de huidige energie crisis een wakeup-call voor de EU. Maar ik heb er een zwaar hoofd in dat ze er van leren.
Het doorgeslagen Neo-Liberaal denken zit daar teveel voor in de weg. Dat blijkt wel.

Alles is aan de markt uitverkocht. En zolang het goed gaat is iedereen in jubelstemming en kan er nog wel wat meer naar de markt afgeschoven worden. Maar zodra het slecht gaat schrikt iedereen van de prijzen die ze dan opeens moeten betalen. Want daar hadden ze nooit rekening mee gehouden.

Waarom heeft de EU geen eigen gasbronnen in de Noordzee e.d.
Of anders ingezet op meer kernenergie of zon, wind, en water energie?
Waarom is de EU niet zelfvoorzienend in haar primaire behoeften?

Waarom was iedereen zo afhankelijk van die gek in Rusland? Of nu weer Quatar voor vloeibaar gas.

En specifiek Nederland: Waarom is het Groningse gas de afgelopen decennia verkocht aan het buitenland, ipv bewaard voor een regenachtige dag (zoals nu)?


Regeren is vooruitzien. Bv herkennen dat er ook (7) slechte jaren kunnen komen.
Conclusie: er wordt niet geregeerd, maar paniekerig gereageerd.

Waar is al dat lange termijn denken waar staatslieden zo om bekend staan?
Hoe lang geleden is het dat we echte staatslieden hadden, ipv beroepspolitici.
16-11-2022, 09:25 door EersteEnigeEchte M.J. - EEEMJ - Bijgewerkt: 16-11-2022, 09:27
Door Erik van Straten:
Door Anoniem: Wat is dan een alternatief (nog betere ) beveiliging dan een YubiKey?
Toch via sms met een prepaid nooit eerder gebruikte simkaart?
Dat laatste is zinloos bij "evil proxy" aanvallen (hoe die werken leg ik uit in https://security.nl/posting/773644).

Het grootste risico dat ik zie bij Yubikeys e.d. (...)

Er zijn veiliger oplossingen denkbaar dan Yubikeys, maar die stuiten al gauw op andere bezwaren. (...)

Sowieso is een Yubikey (in FIDO2/WebAuthn mode) geheel afhankelijk van hoe betrouwbaar jouw browser (of app) vaststelt dat achter de gegeven domeinnaam daadwerkelijk de bedoelde server zit. (...)

Dus nee, ik heb niet zomaar een veiliger alternatief. Waar het mij vooral om gaat is de bewustwording dat niks 100% veilig is, en dat bij een grote buit elke medewerker zou moeten weten wat de risico's zijn en hoe daarmee om te gaan. Maar dat is meestal een illusie, en daarom is het onderbrengen van gegevens met grote waarde voor cybercriminelen op een plek die ook voor cybercriminelen toegankelijk is (public cloud), een slecht idee waar we spijt van gaan krijgen (zie o.a. Medibank in Australië).

Mee eens. Het probleem valt pas goed waar te nemen, te analyseren en op te lossen wanneer we gaan erkennen dat dit in essentie niet een technisch probleem is, maar een sociaal, politiek, economisch en uiteindelijk psychisch probleem.

De directe oorzaak is dat men probeert om sociale vertrouwensbanden te vervangen door middel van technische controle-mechanismen (MFA, Yubikeys, you name it), terwijl die technische controle-mechanismen:
a) sociale vertrouwensbanden niet volledig kunnen vervangen;
b) nieuwe risico's met zich meebrengen, die nog versterkt worden door grootschaligheid en centralisatie. De financiële winstgevendheid van digitale systemen voor de eigenaren en exploitanten is afhankelijk van die grootschaligheid ("scalability"),

Er is sprake van een (niet openlijk erkende) politieke keuze om prioriteit te geven aan massale surveillance boven sociaal vertrouwen, privacy, vrijheid en veranwoordelijkheid. In de digitalisering zit het programma van autoritaire (aspirant)regimes ingebakken. Om onze democratie en rechtsstaat in enige vorm te kunnen redden, zal ook de digitalisering aangepakt en aan banden gelegd moeten worden.

Onze huidige machthebbers (kabinet-Rutte, VNO-NCW, Raad van State e.d.) zijn volstrekt niet geïnteresseerd in het behoud van democratie of rechtsstaat. Ze beseffen niet eens meer wat democratie en rechtsstaat eigenlijk zijn. Om de plannen voor autoritaire massa-surveillance en social engineering met behulp van digitale systemen (CBDC, EU-ID, OV-chipkaart, allerlei "smart apps" etc. etc.) te kunnen stoppen, is het vermoedelijk noodzakelijk dat veel individuele mensen bewust kiezen voor het creëren van en deelnemen aan sociale verbanden die om deze digitale controle-instrumenten heen werken.

Maar ja, het begint steeds meer te lijken op het organiseren van solidariteit en verzet door gevangenen in een soort groot, digitaal concentratiekamp. Dat is heel moeilijk. Onze machthebbers zijn verblind door hun machtsdromen - zoals zo vaak in de geschiedenis is gebeurd. Alleen beschikken ze nu, met IT, big data, smartphones en QR-codes, over nieuwe, enorm krachtige technologieën die ze inzetten om hun machtsdromen aan anderen op te leggen en de psyche van mensen diep binnen te dringen en te vervormen.

M.J.
16-11-2022, 09:49 door Anoniem
Door Anoniem:
Door Anoniem: Ik snap niet waar het vertrouwen in die wolkenaanbieders vandaan komt. Het zijn bedrijven die keer op keer aantonen dat hun datahonger niet te stillen is, en iedereen blijft ze maar braaf voeren met (bedrijfs) data.
Het gaat niet om vertrouwen, het gaat om geld.
Waarschijnlijk goedkoper dan het zelf doen. En onze privacy is blijkbaar minder belangrijk.

Is helemaal niet goedkoper, BZK en CIO Rijk , daar vergelijken ze cloud zoals socialmedia waar jij juist het product bent qua kosten met publieke cloud diensten voor bedrijven, appels met peren vergelijken. Het is gewoon een push waar waarschijnlijk bepaalde aandeelhouders beter van worden, zal je niet verwonderen als daar ambtenaren bijzitten. Niemand die kijkt naar geopolitiek en vendorlockin, prijzen gaan na migratie alleen maar omhoog je kunt daarna nooit meer zelf in control komen qua kosten etc.
17-11-2022, 12:12 door Anoniem
Het RIJK gaat straks weer op de blaren zitten dankzij CIO Rijk van BZK!!

lees vooral dat cloud-act-memo van een gerenomeerd advocaten kantoor, onderzoek dat ncsc heeft laten uitvoeren:

https://www.ncsc.nl/documenten/publicaties/2022/augustus/16/cloud-act-memo

https://www.ncsc.nl/actueel/weblog/weblog/2022/de-werking-van-de-cloud-act-bij-dataopslag-in-europa

en dan toch als overheid stug doorgaan met publieke cloud.

Je begrijpt dan wel dat dit land niet meer geleid wordt door goede managers, directeuren en top-ambtenaren. Wat je ziet is dat de zgn leiders al jarenlang slapen en zwaar hebben geleund op heel veel (corrigerend) werk van (oude) medewerkers met veel ervaring. Door de vergrijzing nemen deze mensen afscheid en daardoor zie je overal de problemen toenemen bij bedrijven en overheid. Zgn door personeels tekort maar dat hadden de "leiders" ook al 10 jaar gelden moeten zien aankomen, maar die hebben lopen slapen (schiphol goed voorbeeld, NS idem dito).

Alle problemen in Nederland zijn terug te voeren naar veel te veel managers, CIO's , directeuren, HR, die slapen niets doen en vooral geen kennis hebben en vooral met heel veel zijn en heel veel praten en zelf niks doen!

Welterusten!
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.