Defensie verliest vier usb-sticks met geheime informatie

Binnen Defensie zijn dit jaar vijftien usb-sticks gestolen of kwijtgeraakt, waarvan er vier vertrouwelijke gegevens bevatten, zo heeft minister Middelkoop van Defensie dinsdag bekendgemaakt.

usb-stick securityEind september veroordeelde de rechtbank een medewerker van de Militaire Inlichtingen en Veiligheids Dienst tot een taakstraf van 120 uur, omdat hij een geheugenstick had verloren waarop staatsgeheime informatie stond. Dit was aanleiding voor SP-Kamerlid Krista van Velzen om de minister van Defensie om een overzicht te vragen van incidenten van de afgelopen vijf jaar waarbij informatiedragers kwijt zijn geraakt. Ook wilde Van Velzen weten of de gegevens in het betreffende geval versleuteld op de stick stonden.

Uit de antwoorden van Middelkoop blijkt dat beveiligingsincidenten binnen defensie tot voor kort niet structureel werden gerapporteerd en dat deze pas sinds enige tijd worden doorgegeven aan de Beveiligingsautoriteit. Sinds januari dit jaar zijn er vijftien meldingen van vermissing of diefstal ontvangen maar of dat een toename ten opzichte van voorgaande jaren betreft valt niet te zeggen, volgens de minister. Hij liet weten dat er een database voor vermiste informatiedragers in ontwikkeling is waaruit dergelijke informatie met betrekking tot incidenten in het vervolg wel gehaald kan worden.

Ook liet Middelkoop weten dat de informatie op de stick onversleuteld was. 'Hoewel het in beginsel niet is toegestaan om gerubriceerde informatie onversleuteld op een informatiedrager mee te nemen, zijn er geen maatregelen te treffen waarmee dit volledig is af te dwingen', aldus de minister. In het voorjaar van 2008 moeten defensie-medewerkers over usb-sticks beschikken die informatie automatisch versleuteld opslaan. Desondanks wil de minister niet uitsluiten dat onversleutelde gevoelige informatie in de toekomst op straat komt te liggen. Recente tests van Tweakers.net wezen onlangs echter uit dat niet elke beveiligde usb-stick ook echte veiligheid kan bieden.

Door Olaf van Miltenburg

Nieuwscoördinator

Feedback • 06-11-2007 13:39 116

06-11-2007 • 13:39

116

Lees meer

'IBM verbiedt gebruik draagbare opslag in hele bedrijf'
'IBM verbiedt gebruik draagbare opslag in hele bedrijf' Nieuws van 11 mei 2018
Tweedehands usb-stick op rommelmarkt bevat geheime info F16's
Tweedehands usb-stick op rommelmarkt bevat geheime info F16's Nieuws van 28 mei 2011
Hackers omzeilden beveiliging Amerikaanse leger met usb-stick
Hackers omzeilden beveiliging Amerikaanse leger met usb-stick Nieuws van 25 augustus 2010
Klantgegevens op verloren usb-stick Rabobank waren onversleuteld
Klantgegevens op verloren usb-stick Rabobank waren onversleuteld Nieuws van 17 december 2009
Britse justitie verliest tienduizenden persoonsgegevens
Britse justitie verliest tienduizenden persoonsgegevens Nieuws van 18 augustus 2008
Intel ontwerpt nieuwe anti-diefstaltechnologie voor laptops
Intel ontwerpt nieuwe anti-diefstaltechnologie voor laptops Nieuws van 4 april 2008
Defensie neemt nieuwe beveiligde usb-sticks in gebruik
Defensie neemt nieuwe beveiligde usb-sticks in gebruik Nieuws van 3 april 2008
Opnieuw persoonsgegevens inwoners Groot-Brittannië op straat
Opnieuw persoonsgegevens inwoners Groot-Brittannië op straat Nieuws van 21 januari 2008
Nieuwe usb-stick Sandisk bewaart gegevens ook online
Nieuwe usb-stick Sandisk bewaart gegevens ook online Nieuws van 3 januari 2008
Fraudegevoelige data 25 miljoen Britten kwijt
Fraudegevoelige data 25 miljoen Britten kwijt Nieuws van 21 november 2007
'Zelfvernietigende' usb-stick gepatenteerd
'Zelfvernietigende' usb-stick gepatenteerd Nieuws van 21 november 2006
Kingston flashdrive wist gegevens bij fout password
Kingston flashdrive wist gegevens bij fout password Nieuws van 18 maart 2006
Hardwarematige encryptie van bestanden via usb-stick
Hardwarematige encryptie van bestanden via usb-stick Nieuws van 15 maart 2006
Rapport meldt falend ICT-beleid politie en AIVD
Rapport meldt falend ICT-beleid politie en AIVD Nieuws van 12 april 2003
Meer producten en artikelen
Politiek en recht Usb-sticks Beveiliging Overheid

Reacties (116)

-Moderatie-faq
116
97
24
17
0
29
Wijzig sortering
Destralak 6 november 2007 13:43
Desondanks wil de minister niet uitsluiten dat onversleutelde gevoelige informatie in de toekomst op straat komt te liggen.
Dat zou hij op kunnen lossen door de huidige usb-sticks terug te roepen en te vervangen door bv. de verbeterde Bioslimdisk. Hebben ze hier nog niet aan gedacht?

Verder misschien een rare suggestie, maar is het niet mogelijk de USB-sticks uit te rusten met iets van GPS?

[Reactie gewijzigd door Destralak op 26 juli 2024 13:40]

rulus @Destralak6 november 2007 13:53
USB sticks met GPS? Dus ook met een GSM antenne, want je moet kunnen weten waar hij zit. En dus ook met een batterij. Compacte usb stick wordt dat :)

Misschien USB sticks afschaffen bij Defensie ;)
Soldaatje @rulus6 november 2007 15:06
Of gewoon uitleggen aan je medewerkers hoe je alle bestanden in een RAR pakket kan stoppen en kan beveiligen met een wachtwoord.

Lijkt mij voldoende om informatie veilig te houden.
TeeDee @Soldaatje6 november 2007 15:53
Zo simpel is dat niet hoor.

Er zijn talloze 'crackers' te vinden voor het .RAR formaat. Over het algemeen gaan deze brute-force of met een dictionary aan de slag.

Het veiligste is: gevoelige informatie niet op een media-drager plaatsen welke mee genomen kan worden.
Rinzwind @TeeDee6 november 2007 16:49
RAR is veilig (AES 128 bits) wanneer je een juist wachtwoord pakt, maar dat is algemeen.
Sissors @Destralak6 november 2007 14:34
Uit de test van die bioslimdisks bleek dat die prima zijn te gebruiken om je privé of bedrijfsinformatie veilig te houden. Maar als een groot land als china/rusland/amerika/frankrijk/etc hem in handen krijgt, zal het ze lukken om de sleutel uit de microcontroller te vissen en hebben ze alsnog toegang.

Sticks niet kwijtraken/laten stelen is stuk beter idee.

En als je het toch op sticks gaat zetten, zorg dat je behalve de versleuteling van usb stick zelf nog een laag encryptie erover heen doet die je weer met programma op computer kan decoderen.

[Reactie gewijzigd door Sissors op 26 juli 2024 13:40]

Remenic @Sissors6 november 2007 15:41
Versleuteling heeft alleen zin wanneer de "vijand" de USB key maar tijdelijk in handen heeft (en dat komt nooit voor). Maar we hebben het hier over verloren USB sticks, die permanent in het bezit zijn van mogelijk kwaadwillende. Al gooi je daar 1024bit encrypte overheen, met genoeg tijd zal het hoe dan ook gekraakt worden.

Het enige dat encrypte doet, is het decoderen vertragen. maar voorkomen doe je nooit. Geheime (encrypted) informatie moet gewoon hoe dan ook nooit in kwade handen terecht komen.
Nvidiot @Remenic6 november 2007 16:25
Het hoeft ook niet compleet onmogelijk gemaakt te worden om de informatie te decoderen. Als je op een usb stick versleuteld neerzet dat je over een half jaar Iran gaat bombarderen en die stick komt in handen van Iran hoeft dat geen probleem te zijn, zolang Iran er maar langer dan een half jaar over doet om de versleuteling te kraken :)
wizzkizz @Remenic6 november 2007 16:32
nee, dat is niet waar. Je hebt gelijk dat het hoe dan ook gekraakt kan worden, maar het nut van encryptie is dan de gegevens geheim te houden totdat die informatie niet meer relevant is. Informatie die tig jaar nuttig en relevant blijft, heeft je vijand hoogstwaarschijnlijk toch wel in handen door andere kanalen te gebruiken.

Informatie over bijvoorbeeld een missie die over een paar weken plaats zal vinden en een looptijd zal hebben van een maand, is het niet zo heel erg als die na twee maanden gekraakt wordt. En een (betrouwbare implementatie van) aes-256 encryptie icm met een voldoende lange sleutel zal dat waarschijnlijk wel houden.
GreatDictator @Remenic6 november 2007 17:23
Nou, het stopt in ieder geval Jan Lul die zo'n stick op straat vind. Die kan niet zomaar alles lezen en ermee naar de media stappen, bijvoorbeeld.
TheMazzter 6 november 2007 14:37
Als je nu iedereen twee USB-sticks geeft waarbij op iedere stick de helft van de data staat zodat de data alleen gelezen kan worden als beide sticks aanwezig zijn, dan hoef je je nooit zorgen te maken of iemand je stick kan lezen, want ze hebben dan allebei je sticks nodig.
BartS12 @TheMazzter6 november 2007 15:08
Probleem is dan natuurlijk wel dat elke medewerker deze twee disks met een touwtje aan elkaar bindt (want je hebt per definitie niks aan 1 disk).

Vervolgens raak je ze natuurlijk gewoon per 2 tegelijk kwijt :P
TERW_DAN
6 november 2007 13:57
Waarom nog steeds met USB sticks werken. Verbied die dingen gewoon voor je medewerkers als ze niet met dit soort dingen overweg kunnen (en ontsla ze vanwege onverantwoordelijk gedrag, maar dat terzijde). Zorg er gewoon voor dat gegevens alleen over een beveiligde SSL verbinding encrypted verstuurd worden van 1 locatie naar een andere. Staatsgeheime gegevens heeft niemand op zijn huiscomputertje nodig (gezien dat alleen maar een groter beveiligingslek betekent, zeker als zoonlief net Kazaa oid heeft geinstalleerd).
Op het moment dat het alleen via een beveiligd netwerk verstuurd kan worden kun je de gegevens stromen veel beter monitoren, je kunt immers niet checken wat iemand wel en niet op de USBstick heeft staan en waar deze naar toe gaat.

Dit is niet DE oplossing, als mensen misbruik willen maken van het systeem dan zal dat toch gebeuren, maar het voorkomt wel dat mensen op zeer domme manieren hun USBsticks vergeten, verliezen of anderszins kwijtraken. Blijkbaar kunnen mensen niet verantwoordelijk met vertrouwelijke/geheime informatie omgaan. Dan kun je wel beginnen met USBsticks beveiligen, maar ook die is prima te kraken en wat je niet wilt is dat dit soort info in verkeerde handen terecht komt.
g4wx3 7 november 2007 00:27
Beter zou zijn een "snelkoppeling" op de usbsticks te zetten, die verbinding maakt met de server van het pentagon, om zo de infomatie door te spelen.Die miliare computers staan overal in verbinding met internet, dus ik vraag me af waarom ze dan ook niet alles centraliseren.

(Ja zelfs in the middle of nowere kun je nog atlijd een sateliet-telefoon gebruiken om aan je data te komen)

Belangrijk hierbij is wel dat de verbinding zeer sterk beveiligd is. Dit moet dus met een zeer goed wachtwoord onder andere.

Ik zou dat oplossen door iedere USB-stick hardcoded een paswoord + identificatie mee tegen. Hier mee kun je dan zonder wachtwoord beperkt in het pentagon. (Optioneel met id als paswoord) Als je de usb stik kwijtgeraakt, moet je gewoon even een melding maken van het identificatie nummer, deze moet je dus niet vergeten.

Maar USA.. Weet je het id niet. sluit dan alles af, en voeg handmatig alle niet verloren gegane sticks terug.
PHiXioN 6 november 2007 13:48
Je zou denken dat men wel van eerdere incidenten leert. Kunnen ze er niet voor zorgen dat USB-opslagmedia niet gewoon geweigerd zodra je hem inplugt? Verder vraag ik mij af of de USB-stick de data zou moeten encrypten. Mijns inziens zou encryptie los moeten staan van de hardware en al van tevoren softwarematig worden toegepast. Dat in combinatie met een verbod op thuiswerken als het gaat om strict vertrouwelijke gegevens. Versleuteld of niet, er is altijd een beveiligingsrisico zodra mensen gaan slepen met gegevens.
Anoniem: 127222 @PHiXioN6 november 2007 16:11
Zou je er geen passieve rfid chip-like ding in kunnen plakken dat reageerd op een signaal van een sataliet, of misschien een handzender die vervolgens alle data op zo'n ding corrupt?
Al je ze dan kwijtraakt heeft niemand meer wat aan de info. (Als je er snel genoeg achter bent)
Anoniem: 12113 @Anoniem: 1272226 november 2007 18:21
Dan hoop ik nooit in de straal van die satelliet te komen.

Een betere methode lijkt me om geen USB sticks te gebruiken.

En als dat dan toch moet, om erv oor te zorgen dat de data NOOIT on-encrypt op de stick kan worden geplaatst (dus geen encryptie op de stick maar al eerder, op de host). En dan misschien een fijn proggie of virusje erbij waarmee de data binnen 24 uur moet worden bevestigd of de data wordt gecorrumpeerd.
4play 6 november 2007 13:49
Ik raak nooit USB sticks kwijd... maarja ze zullen wel in camo kleur zijn dus dan raak je ze zo kwijt...

Mischien een iedee om met grotere sticks te gaan werken een stick van 20 cm raak je niet zo snel kwijd :)
Anoniem: 12113 @4play6 november 2007 18:23
Met sleutels gebeurde dat ook in mijn tijd bij Defensie. Daar zal altijd een stok aan, of een bal, oid. Als het maar groot was en dus opvallend. Plus dat sleutels NOOIT het pand mochten verlaten tenzij daar toestemming voor was gegeven, altijd in een sleutelkluis zaten bij de wacht, en dat ervoor getekend moest worden bij in- en uitgifte. Beetje sleuteldiscipline met USB sticks zou geen kwaad kunnen bij Defensie.
Anoniem: 80487 @4play6 november 2007 13:54
Precies, ook kan je ze dan uitrusten met een GPS chip oid. Of een apperaatje die de stick onbruikbaar maakt als ze verbinding maken met een onbekende PC en/of ze uit elkaar gehaald worden.
RM-rf 6 november 2007 13:44
database voor vermiste informatiedragers
klinkt eigenlijk een beetje als 'dat zoeken we op in de archiefkast voor verloren gegane dossiers' ;)

Uiteindelijk gingen er natuurlijk wel vaker dossiers verloren, en speelt het probleem van het 'lekken' van informatie, bwust of onbewust' eigenlijk al langer.
Ik mag dus hopen dat ze zoiets niet enkel beperken tot 'digitale media' maar juist ook verbreiden tot ook de traditionele media als papier, om zo ervor te zorgen dat men veel zorgvuldiger met informatie omgaat
mg794613 6 november 2007 14:25
Kom op we staan voor lul zo.
Het is niet zozeer de encryptie e.d. , maar de processen eromheen.
Als je al zo vaak hetzelfde incident hebt moet je de procedures qua gebruik van usb sticks aanscherpen.
Like verbieden en anders met beveiligd transport.
En verantwoordelijken hard straffen.
AntoonH 6 november 2007 16:32
Je vraagt je toch af waarom ze bij de overheid / defensie niet al lang op een product als SE linux of solaris 10/trusted extensions overgegaan zijn.
In zo'n omgeving heeft alles een label... VB. "classified" of "top-secret"... Een file met label top-secret kun je dan niet eens meer kopieren naar een "unclassified" usb-stick. In GUI omgevingen kun je niet eens meer copy van "top-secret" applicatie naar paste in "classified" applicatie doen... Gewoon een kwestie van de juiste policies inrichten en je voorkomt een hoop ellende (en in het slechtste geval een audit trail:-) )
Anoniem: 80487 6 november 2007 13:51
15 USB Sticks waarvan 4 met geheime info.

Gaat goed. :')

Verbied die dingen gewoon binnen defentie, dat lijkt me gewoon het beste.

Volgens mij raken ze ze helemaal niet kwijt. Volgens mij verkopen ze die gewoon voor een flinke som duiten.

[Reactie gewijzigd door Anoniem: 80487 op 26 juli 2024 13:40]

LuCarD @Anoniem: 804876 november 2007 13:55
Verplicht gewoon iedereen om USB sticks te gebruiken in combinatie met bijvoorbeeld TrueCrypt.

Als je dan een stick verliest s er geen man overboord.
Anoniem: 80487 @LuCarD6 november 2007 13:57
Je kan wel files encrypten, maar vroeg of laat worden ze nogsteeds gekraakt.
Nu gaat dat dmv van brute force, maar ik kan me niet voorstellen dat er geen oplossingen bestaan/in ontwikkeling zijn die dit in een hik omzeilen.
DataGhost @Anoniem: 804876 november 2007 14:07
Hoe wil jij iets gaan bruteforcen waar je de uiteindelijke vorm niet van kent?

Trouwens, nog afgezien van dat bruteforcen onvoorstelbaar lang duurt is het met Truecrypt mogelijk 3 verschillende encryptiemechanismen op verschillende manieren over elkaar heen te gebruiken. Als je vervolgens ook nog eens een truecrypt volume maakt binnen dat buitenste truecrypt volume (met andere key) wens ik je zeer veel succes met het kraken.
Natuurlijk, het is te kraken, maar het is de vraag of je daar over een paar eeuwen iets aan hebt (zeer optimistisch gerekend).
Blue_Airplane @DataGhost6 november 2007 16:58
Op zich een aardig idee... maar heb je er al over nagedacht dat niet iedereen die bij defensie een Tweaker is?!?! :P

Laten we realistisch zijn ook binnen defensie werken alleen maar mensen... als we willen dat we op zijn minst dat spul goed gecodeerd op een stik zetten dan moet dat gebeuren zonder dat er over nagedacht hoeft te worden!!!

Het is hetzelde als met backupen!!! iedereen weet dat het moet niet iedereen weet hoe en nog minder mensen doen het daadwerkelijk...
(lang leve Timemachine (A))
DataGhost @Blue_Airplane6 november 2007 17:22
Als je de systeembeheerders de sticks laat initialiseren met truecrypt volumes erop hoeft de gebruiker verder niks te doen behalve een (lang) wachtwoord in te voeren om de gegevens te kunnen bewerken. Sowieso is het aanmaken ook al niet zo'n complexe procedure, maar ik zou me wel voor kunnen stellen dat mensen ervan schrikken of iets dergelijks.
d-snp @Blue_Airplane6 november 2007 20:01
Ehm, als het goed is is iedereen binnen de IT van defensie een tweaker. En die moeten dit dus ook goed regelen.
PHiXioN @Anoniem: 804876 november 2007 14:03
Voor kortlopende informatie maakt dat niet uit, aangezien het tegen de tijd dat het is ontsleuteld al verouderd is, maar langlopende gegevens zijn inderdaad ook met encryptie niet bullet-proof beveiligd.
Anoniem: 230385 @Anoniem: 804876 november 2007 14:30
Knappe jongen die TrueCrypt kan kraken, of er moet een hele slechte key gebruikt zijn. TrueCrypt bestanden kan je niet eens als zodaning herkennen (plausible deniability).
Jace / TBL @Anoniem: 804876 november 2007 14:22
Voor bepaalde methoden is er per definitie geen andere manier dan brute force.

Ik wil anders wel een weddenschap met je aangaan en jou een truecrypt container geven, als je de inhoud binnen een jaar kunt achterhalen krijg je een miljoen euro.
mschol
@Jace / TBL6 november 2007 14:40
en denk je dat een ministrie c.q. land een suf software bedrijfje niet onder druk kan zetten voor een masterkey? naief :')
geez @mschol6 november 2007 15:58
@mschol: TrueCrypt is opensource. Als daar een masterkey in zou zitten was die allang gevonden.
Chatslet @Anoniem: 804876 november 2007 14:32
Doe vroeg maar weg en laat kun je laten staan. Met de encrypties die met truecrypt mogelijk zijn kan het snelste rekencluster er nog duizenden jaren over doen.
Miglow @Anoniem: 804877 november 2007 12:07
Zoals de GPU-applicatie's die lekker snel kunnen folden, of een hele stapel PS3's :D

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq