Door Anoniem: Door Anoniem: Te moeilijk vinden? Ik moet kennelijk mijn verwachtingspatroon voor Nederlanders naar beneden bijstellen.
Blijkbaar ben je jong en heb je weinig om je heen gekeken in het leven ?
Of wil je alleen maar een tikje subtiel roepen dat je zelf zo slim bent ?
Tip (serieus) : *kijk* om je heen in de wereld, tussen gewone mensen en niet alleen hoog opgeleide nerdvriendjes.
Als je ooit op een plek (wilt) komen waarin je echt beslissingen neemt over (security) beleid en maatregelen dan helpt het enorm als je een realistisch beeld hebt van de werkelijkheid en van wat je wel (en niet) kunt verwachten van je constituency .
Vanaf de zij-lijn roepen dat de hele wereld te dom is om het goed te doen geeft je misschien een warm gevoel, maar je blijft dan echt aan die zij-lijn staan.
Je geeft advies dat jezelf beter eerst kunt gebruiken als je er uberhaubt in gelooft. Ik iedergeval niet.
Over realisme gesproken.
Ik ben in de 20+ jaar vaker tegen beveiliging risicos aangelopen bij de hoger opgeleiden en tech savy mensen dan bij een niet tech savy. Als je erover nadenkt ook niet zo verwonderlijk gezien een gebruiker die geen beep geeft om techniek ook niet zo snel gaat sleutelen aan dingen waar ze eigenlijk vanaf moeten blijven.
Je kent ze vast wel de mensen die denken dat ze er verstandig aan doen om hun registers op te schonen zodat hun systeem sneller wordt. Of het verstandig vinden een apparaat te jailbreaken zonder er echt verstand te hebben van de gebruikte exploit en de gevolgen voor de apparatuur veiligheid. De gene die denken dat het verstandig is om een third party plugin te koppelen aan hun site zonder de inhoud van genoemde plugin te snappen of uberhaubt na te gaan of de ontwikelaar wel netjes werkt.
En dat ten overstaande van bijvoorbeeld een gepensioneerde leraar frans die niet verder komt dan op een verkeede link te klikken of te trappen in social engineering. Wie denk je dat er meer meewerkt met disaster recovery en wie IT professionals de minste tijd en geld kost om schade van in te perken dagelijks?
En er zitten echt wel ook goede tussen maar de hoeveelheid mensen die denken verstand ergens van te hebben versus er verstand van hebben daar zit een enorm verschil in. Geef mij maar elk moment van de dag digitbeten dan mensen die slim genoeg zijn om een gevaar voor zichzelf en andere te vormen maar niet slim genoeg om dat te erkennen en te voorkomen.
En er is werkelijk niks mis mee te roepen dat je ergens meer expertise in hebt of zoals je het zegt slim bent. Je moet alleen weten waneer het te zeggen tegen kritiek kunnen openstaan voor andere denkwijzes mits er logica in zit en goede argumenten worden gepresenteerd. Ik heb gewerkt in grote internatonale projectgroepen van onder andere IETF en als ik een ding kan meegeven is dat als je je niet assertief opstelt je nergens komt als je werkt met beleidsmakers. Die geven echt nul om subtiliteit enkel cold hard data en hele goede argumenten waarom jou data echt klopt. Want hun tijd is kostbaar heel kostbaar.
Leeftijd noemen echt als argument dat iemand niet genoeg ervaring heeft om een eigen mening te vormen zonder enige verdere kennis over die gene is ronduit kortzichtig. Noem maar een goed argument waaruit blijkt dat leeftijd de beslissende factor is om serieus genomen te worden qua mening conclussie of data.
Zal je een voorbeeldje van het tegendeel geven Chernobyl. Daar dachten ze ook dat leeftijd en rang de doorslaggevende factor was als het ging om goede beslissingen maken. Terwijl als er geluisterd zou zijn naar de jongere en lagere rangen we waarschijnlijk nooit die ramp hadden gehad.
Maar die werden of niet serieus genomen of de mond gesnoerd. Ongeveer hetzelfde als jij nu doet maar dan iemand met significant minder potentie schade te veroorzaken gelukkig. Misschien de volgende keer vragen waarom de poster zijn verwachtingpatroon denkt naar beneden te stellen als je serieus advies wilt geven in plaats van aan de andere kant van de zij-lijn te gaan roepen.
Nu maar eens hebben over wat CBS heeft gepubliceerd van onder andere mijn belastingcenten.
Ik kan een wachtwoord maken van 16 keer de zelfde letter en dan nog val ik in de categorie langwachtwoord terwijl het werkelijk niks oplevert qua veiligheid onderzoek maar ik tel wel mee met de telling. Hoera voor correct afbakenen van onderzoeksvragen.
Complexiteit van wachtwoorden of gebruik van wachtwoordzinnen is niet meegenomen in de onderzoeken.
Dat is wel een van de meest belangrijke vragen die je kan stellen als we het hebben over basale account veiligheid.
Tweestaps verificatie (2SV/2SA) en twee factor authenticatie (2FV/2FA) zijn zoals zo vaak weer eens op een hoop gegooid terwijl het beveiliging niveau tussen die twee zeer verschilt. Beide onder de umbrella MFA maar als ik er ook maar 1 schermpje na het wachtwoord en gebruikersveld zou hangen met are you sure? dan heb ik een 2SV/2SA gecreeert en ben ik nog steeds niet veiliger dan zonder dat tussenscherm. Terwijl bij 2FV/2FA je er niet zo makkelijk mee wegkomt.
Daarnaast meeste MFA kan nog steeds vanaf het zelfde apparaat en dan schiet je er ook bar weinig mee op of het wordt gestuurd via een eigenljk onveilig medium zoals SMS of email. We hebben het over werkelijke veiligheid hier niet schijnveiligheid.
En het gebruik van de termen alleen al kloppen in de praktijk vaak niet eens voor wat ze gebruikt voor worden en dan heb ik het over de grote tech jongens die constant authenticatie en verificatie met elkaar verwarren.
Het CBS echter gaat nog een stap (of trap) verder door de grafiek twee staps verificatie te noemen maar de conclusie tweetraps verificatie. Niemand gebruikt tweetraps verificatie als term niemand. Welke redactie heeft deze publicatie bij het CBS goedgekeurd? Hoe kun je een term uit je duim zuigen die niemand in de praktijk gebruikt. Het lijks wel een sales marketing afdeling.
Backup maken op een andere computer in plaats van vragen backup bewaren op een ander systeem of medium.
Twee heel verschillende dingen en het eerste heeft zeer weinig van doen met veiligheid.
Antivirus of virusscan in plaats van gewoon antimalware. We hebben het hier niet over gebrukers die een scan only deeppackage analysis draaien wegens kritieke infrastructuur. Als ik aan de gemiddelde gebruiker zou vragen of ze wel eens een virusscan draaien en vervolgens vraag of ze antivirus gebruiken krijg ik waarschijnlijk het antwoord ja dat zei ik toch net i? Die kennen echt het verschil niet en waarom zouden ze.
Bijna niemand draait meer antivirus. De software dat antivirus wordt genoemd tegenwoordig bevat ook anti trojan anti rootkit anti ransomware vaak. Again tenzij je een heel specifieke audit doet zul je nooit van je leven meer in deze tijd enkel antivirus signstures gebruiken. En dat je het onder een umbrella term gooit naar je vraagstellers prima maar leg dan iedergeval uit dat het eigenlijk een andere benaming heeft en zeker zet nooit de verkeerde term in je onderzoeks resultaten. Maar gezien de staps vs traps ben ik niet verbaasd dat CBS ook hier weer de plank compleet mis slaat.
Wachtwoorden veilig bewaren nog zo domme nietszeggende onderzoeksvraag. Want iemand die geen jota verstand heeft van digitale beveiliging zal in de meeste gevallen ook denken dat hun methode wel veilig is. Voor de een is het opschrijven van een wachtwoord en vervolgens bewaren onder hun toetsenbord ook veilig.. Maar helaas er is weer niet nagedacht over de vraag en nu is de data nutteloos.
Updates uitvoeren wanneer? meteen ? week of misschien wel maand later?
Weer zo iets zonder afbakeningen is de data niet nuttig. Als er een 0day is en een leverancier komt met en patch en ik voer deze niet direct uit na het controleren van de patch werking ben ik veilig bezig?
En dan de laatste. Toegangscode, wachtwoord, vingerafdruk, face id op dezelfde stapel gooien.
Wat schiet je hier in godsnaam mee op. Als de vraag specifiek ging om OS inlog dan had ik het nog kunnen snappen maar bijna ieder die ooit werkt met internet werkt met toegangscodes wachtwoorden of andere beveiliging.
Waarom omdat je internet niet eens er zonder werkt. Op een hele speciale uitzondering na als je een WIFI only apparaat hebt dat altijd verbinding maakt met een openbaar netwerk. Goodluck om zo door het digitale leven te gaan. Hoeveel procent zal dat zijn 0,0001 van je onderzoeks demografie? Kleiner dan de groep dat zegt geen internet te gebruiken iedergeval als je snapt hoe internet en de diensten erop werken. En toch is het mogelijk volgens de CBS statistieken dat een aanzienlijke groep nooit enige vorm van beschreven beveiliging gebruikt. I call it bs eerder dat ze niet weten dat ze het gebruiken.
En waarom staat er uberhaubt een categorie geen internet als we het dan toch niet specifiek hadden over internet. Dan moet je de grafiek ook nog opdelen in internet afhankelijke verificatie/authenticatie vraag en lokale verificatie/authenticatie vraag.
De enige conclusie die ik kan trekken is dat het dramatisch gesteld is met het CBS als we het hebben over digitale veiligheid onderzoeken en effectieve vraagstelling binnen dit kader. Dit heeft belastinggeld gekost for onder andere mijne en ik begin het werkelijk zat te worden dat ze elke keer nutteloze data weten te presenteren. Een onderzoek van een eerstejaars onderzoeks journalist was waarschijnlijk nuttiger geweest en ik had daar met alle liefde voor betaald daar zit teminste nog mogelijke potentie in van groei. Maar dit niveau data presentatie van mensen die verstand moeten hebben van gedegen onderzoek op het hoogste nationale niveau is werkelijk om je kapot te schamen.