Computerbeveiliging - Hoe je bad guys buiten de deur houdt

Cybersecurity: "The people centric approach"

13-01-2023, 00:02 door Anoniem, 15 reacties
Dit zou een betere benadering zijn om zowel bedrijven als personen die met computers werken beter te beschermen.
A "people-centric approach" could be the key to dramatically boosting a business's cybersecurity, experts in the field explained this week.
U leest het allemaal in
https://interestingengineering.com/innovation/cyber-security-experts-recommend-people-centric-approach-to-protect-your-business

Dus als ik het goed begrijp:
men dient op elke medewerker afzonderlijk te letten. Scheer ze niet allemaal over één kam.
Maar kijk naar welke cyber-risico's een persoon in zijn of haar specifieke functie en werkzaamheden achter de computer loopt met zijn of haar specifieke kennis en ervaring, en haak hier als cybersecurity-specialist vervolgens op in
door een ieder goed op aanwezige threats te wijzen, en zodoende iedere persoon er alerter op te maken of speciale securitymaatregelen toe te voegen. Eens?

En misschien wat off topic maar voor een aantal forumleden vermoedelijk ook interessant:
Toen ik de woorden "people centric" las, maakte ik een associatie met het bedrijf Centric.
(dat heb ik nu eenmaal. Ik associeer er altijd maar op los. Soms komt er wat zinnigs uit en soms niet)
Maar het lijkt er dus op dat ook daar bij Centric is gekeken naar persoonlijke security threats, maar dan anders.
Arnoud Engelfriet heeft er een paar maanden geleden al over geschreven:
https://blog.iusmentis.com/2022/10/24/justitie-dreigt-naar-rechter-te-stappen-na-terugkeer-sanderink-bij-centric/
En ook Agconnect somt op wat er allemaal is gebeurd:
https://www.agconnect.nl/artikel/terugblik-2022-het-jaar-van-centrics-val-en-verlossing
Het komt hier op neer:
de Ondernemingskamer heeft Sanderink uiteindelijk "wegens ongeschiktheid om het bedrijf verder te leiden" o.i.d. eruit gezet. Afgelopen jaar begin november heeft Sanderink het bedrijf Centric dus weer verlaten.
En op 2 januari j.l.i is hij zoals dat heet gelukkig getrouwd met zijn Rian.

En nu maar hopen dat iedereen veilig is.
Reacties (15)
13-01-2023, 13:25 door Anoniem
Zullen we toch eerst de poblematiek, waarom we steeds weer deze discussies moeten voeren,
onder ogen moeten willen zien. Re: https://www.eff.org/wp/behind-the-one-way-mirror

Dit vanwege de steeds schrijnender wordende druk op anonimiteit en ook privacy van ons als individu.
En dat is al hemelschreiend, vooral de laatste paar jaar gaat het holled bergafwaarts.

Als men op de infrastructuur niet gehouden wordt aan minimale veiligheidseisen en deze niet implementeren kan of wil,
moet er gehandhaafd worden.
Dus alles neerhalen wat niet aan deze veiligheidseisen voldoet.

Slechte heelmeesters maken stinkende wonden, ergo een bijzonder onveilige infrastructuur vol van cybercrime.

In het andere geval komen we nooit van de huidige chaos af. Nu is het een free for all.
All your data is/belong to us is al te lang leidinggevend geweest. Met welk recht?

Dit is geen foeteren, dit is niet iets niets-toevoegends, zoals main stream trollen en desinfo-bestrijders altijd willen beweren;

Deze conformisten werken juist ten dienste van de chaos-bevorderaars als big tech, big commerce en de daarmee in bed liggende en voortwoekerende overheidsontsporing.

Dit raakt dus de kern van de zaak. Als ieder z'n zaakjes up to date op orde moet houden,
bijv van een deugdelijke CSP moet voorzien, moet dat zo.

Desnoods moet het afgedwongen worden door neerhalen bij non-compliant blijken te zijn.
Anders blijft het aanmodderen en huilen met de pet op,

#webproxy
13-01-2023, 13:38 door Erik van Straten
Door Anoniem: Maar kijk naar welke cyber-risico's een persoon in zijn of haar specifieke functie en werkzaamheden achter de computer loopt met zijn of haar specifieke kennis en ervaring, en haak hier als cybersecurity-specialist vervolgens op in door een ieder goed op aanwezige threats te wijzen, en zodoende iedere persoon er alerter op te maken of speciale securitymaatregelen toe te voegen. Eens?
Nee, want dat helpt nauwelijks. Ik ben helemaal klaar met deels stupide adviezen die je op veel te veel plaatsen kunt vinden en die ofwel stompzinnig zijn, half werken, niet begrepen of zelden opgevolgd worden en/of veel ongemakken geven:
• Klik niet zomaar op een link
• "Kijk uit" bij URL-verkorters
• Open geen mails van onbekende afzenders
• Let op taal- en spelfouten
• Reageer niet op spam
• Gebruik MFA
• Koop een Yubikey
• Check of het slotje getoond wordt
• Controleer het certificaat
• Gebruik https://checkjelinkje.nl o.i.d.
• Check of er bekende logo's op een website staan
• Wijzig je wachtwoorden regelmatig
• Wachtwoordcomplexiteitseisen
• Schrijf wachtwoorden nooit op
• Gebruik een virusscanner
• Gebruik een firewall
• Hou je software up-to-date
• Update je router
• Update je smart-home devices
• Apps alleen uit App/Play store
• Geef apps niet "zomaar" permissies
• Check SPF/DKIM/DMARC/ARC/...
• Een bank zal nooit... (tot wel)
• Scherm foto af op paspoortscan
• Hou je BSN geheim
• Log niet in als Administrator
• Gebruik geen public WiFi
• Maak back-ups
• Zet ongebruikte services uit
• etc. etc.

M.i. moet je niet van elke internetter een beveiligings/forensisch/ICT-specialist willen maken (los van dat dit nooit gaat lukken). Het probleem dat internet steeds meer een datagraaiende en criminele puinhoop wordt, moeten we niet op ICT-gebruikers afwentelen; da's symptoombestrijding.
13-01-2023, 13:52 door Anoniem
Door Anoniem: Het probleem dat internet steeds meer een datagraaiende en criminele puinhoop wordt, moeten we niet op ICT-gebruikers afwentelen; da's symptoombestrijding.

Terug naar de besloten omgeving van Compuserve en Hetnet?
13-01-2023, 14:20 door Anoniem
Nou ben ik wel weer te vinden voor een wat betere handhaving.
Net als het wegenverkeersregelement; handhaven dus op de digitale snel- en bijwegen.

Hoor niets meer over een Interwebz-rijbewijs of wordt dat het EU-digi-toegangsbewijs of een EU-QR of zoiets?

Scan maar eens een willekeurige Magenta webwinkel-site hier: http://www.magereport.com
Met dank aan G.-Willem e.a. Bekijk vervolgens de scanresultaten en huiver soms of barst in diepe tranen uit.

Dan bedoel ik, maar dan ook niet hier lezen: -wXw.facebook.com/MageReport/

Laat het over aan de cold reconnaissance website-security-analist en de foutenjager.
Rapporteer aan blokkeringssites.
Maar dwing vervolgens ook de autoriteiten af wat te doen met de verkregen inzichten en bevindingen.

En daar is dan ook actie op te nemen. Ransomware de wereld uit en zo snel mogelijk bijvoorbeeld.
Vaak is dat 'too little en too late" tot er "a point of no return" zal zijn bereikt.

#obserwator
13-01-2023, 19:06 door Anoniem
Door Erik van Straten:
Door Anoniem: Maar kijk naar welke cyber-risico's een persoon in zijn of haar specifieke functie en werkzaamheden achter de computer loopt met zijn of haar specifieke kennis en ervaring, en haak hier als cybersecurity-specialist vervolgens op in door een ieder goed op aanwezige threats te wijzen, en zodoende iedere persoon er alerter op te maken of speciale securitymaatregelen toe te voegen. Eens?
Nee, want dat helpt nauwelijks. Ik ben helemaal klaar met deels stupide adviezen die je op veel te veel plaatsen kunt vinden en die ofwel stompzinnig zijn, half werken, niet begrepen of zelden opgevolgd worden en/of veel ongemakken geven:
• Klik niet zomaar op een link
• "Kijk uit" bij URL-verkorters
• Open geen mails van onbekende afzenders
• Let op taal- en spelfouten
• Reageer niet op spam
• Gebruik MFA
• Koop een Yubikey
• Check of het slotje getoond wordt
• Controleer het certificaat
• Gebruik https://checkjelinkje.nl o.i.d.
• Check of er bekende logo's op een website staan
• Wijzig je wachtwoorden regelmatig
• Wachtwoordcomplexiteitseisen
• Schrijf wachtwoorden nooit op
• Gebruik een virusscanner
• Gebruik een firewall
• Hou je software up-to-date
• Update je router
• Update je smart-home devices
• Apps alleen uit App/Play store
• Geef apps niet "zomaar" permissies
• Check SPF/DKIM/DMARC/ARC/...
• Een bank zal nooit... (tot wel)
• Scherm foto af op paspoortscan
• Hou je BSN geheim
• Log niet in als Administrator
• Gebruik geen public WiFi
• Maak back-ups
• Zet ongebruikte services uit
• etc. etc.

M.i. moet je niet van elke internetter een beveiligings/forensisch/ICT-specialist willen maken (los van dat dit nooit gaat lukken). Het probleem dat internet steeds meer een datagraaiende en criminele puinhoop wordt, moeten we niet op ICT-gebruikers afwentelen; da's symptoombestrijding.
Nee geen cyberspecialist, maar wel goed op de hoogte zijn van welke voor de hand liggende fouten (met potentieel veel kans op ernstige gevolgen) ze zouden kunnen maken in hun specifieke job en omgeving.

En vergeet niet dat afschrikking er ook deel van uit dient te maken.
Zowel cyber-criminelen, als potentiële slachtoffers die (te vaak) ontoelaatbaar handelen, moeten goed begrijpen
dat er in een professionele omgeving harde sancties tegenover staan, die hen ook echt zullen raken.
Zodat iedereen eerst wel 3x nadenkt alvorens een stomme fout met ernstige gevolgen voor het bedrijf te maken,
en cybercriminelen het meestal wel uit hun hoofd laten om cybercrime te plegen.
Dus ook: strenge wetten tegen cybercrime, en een pakkans die de meeste cybercriminelen afschrikt.

Dit gecombineerd met de smart-block-chain, en de cyberwereld ziet er heel anders uit.
13-01-2023, 20:55 door Anoniem
Bijvoorbeeld de Spin browser op Android met een paar blokkerende extensies.

Niet allemaal de run-of-the-mill Google open settings met third party tracking all sorts.

Digitale herbewapening hard nodig.
15-01-2023, 14:30 door Anoniem
Door Anoniem: Bijvoorbeeld de Spin browser op Android met een paar blokkerende extensies.

Niet allemaal de run-of-the-mill Google open settings met third party tracking all sorts.

Digitale herbewapening hard nodig.

Juist omdat professionele systemen steeds betrouwbaarder worden (zowel qua hardware als qua software)
heeft het daar op een gegeven moment méér zin om gebruikers van deze systemen attent te maken op fouten die ze
zelf maken. Vandaar dit accent op de "people centric approach". Oftewel: pak (mogelijke) fouten van de gebruiker aan
door ze er op attent te maken, en er zonodig gepaste sancties op te zetten, (hetzij reperatoir of hetzij punitief)
15-01-2023, 17:52 door Anoniem
Was de laatste Windows Defender update ook 'punitatief' bedoeld?

#obserwator
15-01-2023, 18:47 door Anoniem
Door Anoniem: Nee geen cyberspecialist, maar wel goed op de hoogte zijn van welke voor de hand liggende fouten (met potentieel veel kans op ernstige gevolgen) ze zouden kunnen maken in hun specifieke job en omgeving.
Ik ben bang dat een heleboel wat jij voor de hand vindt liggen alleen voor de hand ligt vanuit voldoende vermogen om de techniek te begrijpen. Er zijn mensen die werkelijk geen ene donder bevatten van de abstracte processen die in computers en computernetwerken plaatsvinden. Niet omdat ze hun best niet doen, maar omdat ze een brein hebben dat dat soort dingen simpelweg niet kan begrijpen. En dan liggen dingen die voor jou een wijd open deur zijn helemaal niet voor de hand.

Het is denk ik verwant aan wat ik als middelbare scholier opmerkte bij wiskunde: er waren heel wat leerlingen die dachten dat ze om wiskunde te begrijpen de juiste vuistregels moesten leren. Alleen hadden ze (op het VWO) te maken met het werkelijk moeten begrijpen van de stof. Maar die mensen begrepen zelfs niet wat ik onder begrijpen versta, en ik weet niet of ik dat uit kan leggen.

En vergeet niet dat afschrikking er ook deel van uit dient te maken.
Dat gaat totaal niet helpen als het stukloopt op het vermogen dingen te begrijpen die nodig zijn om het goed te doen. Je brengt mensen dan alleen maar in een situatie dat ze worden afgeschrikt door iets waar ze totaal geen grip op hebben, dat ze niet weten te voorkomen, zodat het voor hun neerkomt op het uitdelen van arbitraire straffen. Zo maak je mensen bang.

Zowel cyber-criminelen, als potentiële slachtoffers die (te vaak) ontoelaatbaar handelen, moeten goed begrijpen
dat er in een professionele omgeving harde sancties tegenover staan, die hen ook echt zullen raken.
Zodat iedereen eerst wel 3x nadenkt alvorens een stomme fout met ernstige gevolgen voor het bedrijf te maken,
Als je mensen bang maakt gaan ze niet beter maar slechter nadenken, en juist dingen impulsiever en ondoordachter doen. Dan bereik je exact het tegenovergestelde van wat je wilt bereiken.
en cybercriminelen het meestal wel uit hun hoofd laten om cybercrime te plegen.
Want criminelen maken altijd nuchtere, rationele afwegingen tussen de verwachte opbrengst en het risico. Alleen valt dat vies tegen.

Ik ben jaren geleden eens in een discussie hierover beland, en mensen die geloofden in hard straffen konden onderzoek aandragen wat zou aantonen dat het werkte, terwijl mensen die niet in hard straffen geloofden ook onderzoek aan konden dragen. Ik werd toen nieuwsgierig naar wat daar eigenlijk aan de hand was, hoe konden de conclusies zo lijnrecht tegenover elkaar staan in verschillende onderzoeken? Ik was niet de enige die zich dat afvroeg en er was een analyse van die onderzoeken gedaan. Wat bleek? De onderzoeken die lieten zien dat hard straffen de misdaad verlaagden waren allemaal onderzoeken naar criminaliteitscijfers voor en na het verharden of versoepelen van de aanpak, terwijl onderzoeken die lieten zien dat hard straffen niets oplevert niet naar dergelijke veranderingen keken maar verschillende jurisdicties vergeleken, waar de aanpak nagenoeg altijd rond de tijd van het onderzoek gelijk bleef.

Wat laat dat zien? Dat harder of juist milder straffen, als het wordt ingevoerd, kort na de invoering een effect heeft, maar dat effect is er alleen als er iets verandert, het is er niet als er geen verandering is. Met andere woorden: het is niet meer dan een tijdelijk effect, een reactie op de verandering die weer wegebt.

Als afschrikking zou werken zou het effect niet tijdelijk zijn.

Dit gecombineerd met de smart-block-chain, en de cyberwereld ziet er heel anders uit.
Weet je waarom blockchain zo'n enorme hype is geworden? Omdat mensen de techniek ervan totaal niet begrijpen.
15-01-2023, 23:30 door Erik van Straten
Door Anoniem:
Door Anoniem: Zodat iedereen eerst wel 3x nadenkt alvorens een stomme fout met ernstige gevolgen voor het bedrijf te maken,
Als je mensen bang maakt gaan ze niet beter maar slechter nadenken, en juist dingen impulsiever en ondoordachter doen.
Daarnaast, als je ze bang hebt gemaakt, en ze hebben in een onachtzaam moment macro's in een fout document uitgevoerd of hun zakelijke ID en wachtwoord op een phishingsite ingevoerd, moet je niet gek opkijken als zij dat niet meteen melden of een ander van de gevolgschade proberen te beschuldigen.

Als "ernstige gevolgen voor het bedrijf" veroorzaakt worden door bijvoorbeeld onachtzaamheid, onwetendheid of haastige spoed van één medewerker, is dat inderdaad een stomme fout - doch van de beveiligers van organisatie waar die medewerker werkzaam is.

Beveiligers die vinden dat iedereen zich in hun denkwereld moet leren en kunnen verplaatsen (in plaats van andersom), vooral als zij denken dat mensen dan onfeilbaar worden (net als zij), maken de zaken van kwaad tot erger. Gisteravond kwam ik nog zo'n kwast tegen in https://tweakers.net/nieuws/205604/persoonsgegevens-en-bankrekeningnummers-60000-belgen-worden-online-aangeboden.html?showReaction=18353166#r_18353166. Bizar.
16-01-2023, 06:31 door Anoniem
Dan moet het onderwijs zich dat zich eerst maar eens flink aantrekken.
Beter om mensen te leren zodanig om te gaan met de techniek,
dat ze niet gelijk door (cyber-)criminelen kunnen worden 'leeggetrokken' bij een onachtzaamheid.

Waarom is de ene figuur een jazz-virtuoos en leraar rekenkunde en de ander een schilderende taalkundige?
Beiden zullen zich online weerbaar genoeg moeten kunnen bewegen en IT moet daarbij helpen.

We zijn inmiddels op een punt beland, waar het "oude normaal" wordt bestreden als desinformatie of erger (extremisme).
Daarnaast dat het "abnormale" overal als normaal moet gaan gelden op straffe van individuele uitsluiting of erger.

Willen we dat met z'n allen of willen dat slechts diegenen, die ons willen uitbuiten tot op het bot? (soms letterlijk).

Draai niet om de hete brij heen, maar benoem de erger wordende chaos, zoals die wordt geschapen.

Nu wordt ik slechts door het systeem opgevoed als goede belastingbetaler,
op wiens konto alle kwaad in de wereld moet worden afgewenteld.

Het is mijn schuld (met te weinig inzicht beweert men dan) dat ik "digitaal genaaid" wordt en dat steeds ernstiger.

Ik wil best meehelpen om daar vanaf te komen. Vertel ons eerst maar eens hoe dat moet?
16-01-2023, 07:46 door Anoniem
Door Erik van Straten:
Door Anoniem: Als je mensen bang maakt gaan ze niet beter maar slechter nadenken, en juist dingen impulsiever en ondoordachter doen.
Daarnaast, als je ze bang hebt gemaakt, en ze hebben in een onachtzaam moment macro's in een fout document uitgevoerd of hun zakelijke ID en wachtwoord op een phishingsite ingevoerd, moet je niet gek opkijken als zij dat niet meteen melden of een ander van de gevolgschade proberen te beschuldigen.
En ook dat is nog lang niet het hele verhaal. Toen ik als computerprogrammeur werkte was duidelijk dat "gebruikers" (wat ik eigenlijk een rotwoord vind) die een probleem meldden vaak een beschrijving gaven van de handelingen die ze gedaan hadden die binnen die applicatie pertinent onmogelijk was, of dat ze overtuigd waren iets te hebben ingevuld maar aantoonbaar iets anders hadden ingevuld. Dat was niet omdat ze logen, slordig waren of anderszins onbetrouwbaar waren, het is simpelweg niet zo dat het menselijke brein de precisie van een computer heeft. Dat heeft het niet in wat we doen en niet in wat we ons herinneren. Eenmaal verdacht op het verschijnsel begon ik mezelf op precies dat soort fouten te betrappen als ik niet de automatiseerder maar de gebruiker van een applicatie was. Het is me heel recent nog een keer gebeurd, met een niet heel ernstige maar wel vervelende consequentie, en ik zou hebben gezworen dat ik echt de juiste waarde had ingevuld. Alleen was er echt een verkeerde waarde ingevoerd, ben ik toch echt degene die dat gedaan heeft.

Een grote valkuil in het beoordelen van allerlei dingen waar je je (al dan niet professioneel) mee bezig houdt is dat je dat doet op het moment dat je er zelf je volle aandacht bij hebt en het beoordeelt alsof die volle aandacht er altijd is, bij jezelf en bij anderen. Degene waarop we hier reageren, en degene op wie jij op Tweakers reageerde, hebben dat zo te zien niet door. Dit is heel algemeen. Denk alleen al aan alle memo's/e-mails met losse mededelingen die in bedrijven worden rondgestuurd met dingen waarvan de afzenders kennelijk verwachten dat iedereen dat over een jaar nog weet.

Een van de grote beperkingen van de mensheid is dat we in de verste verte niet vanzelf goed begrijpen hoe mensen eigenlijk functioneren, inclusief hoe we zelf functioneren. En dat heeft een grote impact op heel veel dingen, waaronder informatiesystemen en cybersecurity.
16-01-2023, 10:43 door Anoniem
Door Anoniem:
Een grote valkuil in het beoordelen van allerlei dingen waar je je (al dan niet professioneel) mee bezig houdt is dat je dat doet op het moment dat je er zelf je volle aandacht bij hebt en het beoordeelt alsof die volle aandacht er altijd is, bij jezelf en bij anderen. Degene waarop we hier reageren, en degene op wie jij op Tweakers reageerde, hebben dat zo te zien niet door. Dit is heel algemeen. Denk alleen al aan alle memo's/e-mails met losse mededelingen die in bedrijven worden rondgestuurd met dingen waarvan de afzenders kennelijk verwachten dat iedereen dat over een jaar nog weet.
Niet alleen dat (en de andere zaken die je stelt), maar ook het vaak overduidelijke feit dat mensen aanwijzingen en
oplossingen voorstellen die uitgaan van een perfect korte- en lange termijn geheugen wat na believen kan worden
geraadpleegd. En daarbij negeren dat dit geheugen naarmate je ouder wordt steeds slechter wordt, omdat ze dat zelf
(jong persoon zijnde) nog niet hebben meegemaakt en zich dus niet kunnen voorstellen.

Ik had zelf toen ik jong was ook een perfect geheugen. Als er ergens een probleem was wist ik meteen over welke
functie, welk programma, welke file, welke systeemnaam het ging. En wat er in de afgelopen jaren al meer mee was
voorgevallen. Nu, als ik ineens moet oprakelen wat ook weer die cute naam van dat programma'tje was dan schiet
me dat niet meer te binnen en moet ik eerst googlen om te hopen dat die naam in de lijst van resultaten opduikt.
Nu kan ik me ineens voorstellen dat mensen dingen als "grep" ofzo niet kunnen onthouden.

Dit is ook zo'n belangrijke fout in de aanwijzingen die je vaak ziet over hoe je een wachtwoord moet kiezen. En dat
je het steeds maar moet veranderen. Een complex wachtwoord wat ik 25 jaar geleden gekozen heb dat kan ik zo
onthouden, maar als ik het dan van een of andere standaardboekje-pennelikker moet veranderen omdat het al te
lang mijn wachtwoord geweest is dan kan ik dat nieuwe wachtwoord niet meer onthouden.
Oplossingen als "kies een of andere zin en pak dan de 1e letters en verhaspel die volgens deze regels" die geven
goed het onbegrip aan. Ik kan wel een willekeurige zin kiezen maar die weet ik morgen echt niet meer als ik die
ineens weer nodig heb (zeker als dat op stel en sprong moet).
16-01-2023, 12:30 door Erik van Straten
Uitstekende aanvullingen van de Anoniemen om 07:46 en 10:43 hierboven, dank!
16-01-2023, 19:04 door Anoniem
Door Anoniem: Dan moet het onderwijs zich dat zich eerst maar eens flink aantrekken.
Beter om mensen te leren zodanig om te gaan met de techniek,
dat ze niet gelijk door (cyber-)criminelen kunnen worden 'leeggetrokken' bij een onachtzaamheid.
..............
Er blijven zat dingen over, die je na school jezelf nog bij moet brengen als je een echte prof wil worden.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.