Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

'IBM verbiedt gebruik draagbare opslag in hele bedrijf'

IBM verbiedt zijn personeel wereldwijd naar verluidt nog langer draagbare opslag als sd-kaarten, usb-sticks en externe hdd's en ssd's te gebruiken. Volgens het concern is het risico op financiële en reputatieschade te groot bij blijvend gebruik.

Het verbod zou zijn medegedeeld aan het personeel door Shamla Naidoo, IBM's chief Information security officer, schrijft The Register. "Het bedrijf breidt het verbieden van dataoverdracht uit naar alle verwijderbare, draagbare opslagapparaten, zoals usb, sd-kaarten en flashdrives", staat in de mededeling.

Het beleid gaat de komende weken wereldwijd in en is bedoeld om het risico op financiële en reputatieschade door verkeerd geplaatste, verloren of verkeerd gebruikte draagbare opslag te minimaliseren. Het advies aan personeel is om bestanden online te delen en te synchroniseren.

Naidoo erkent dat dit in bepaalde gevallen tot problemen kan leiden en The Register claimt dat het bedrijf overweegt uitzonderingen mogelijk te maken. Bij sommige onderdelen van IBM bestond al een verbod op het gebruik van draagbare opslag.

Door

Nieuwscoördinator

193 Linkedin Google+

Reacties (193)

Wijzig sortering
Waarom dwingen ze niet standaard Bitlocker of een soortgelijke oplossing af voor alle draagbare media? Dat zou je reputatie- en financiële risico’s grotendeels afdekken (bijv. lekken van R&D, slingeren van persoonsgegevens, overname info die op USB dragers staat). Bescherming tegen virussen en malware heb je daar niet mee afgedekt maar daar zijn weer andere middelen voor.
Precies. Bij ons wordt Bitlocker en RMS enforced. Beiden heb ik doorgedrukt. Wij slapen nu wel prettig als een USB stick kwijtraakt, dankzij Bitlocker en RMS.

Het volledig stoppen met USB dragers is helaas niet altijd mogelijk, zeker niet als je nog met legacy apparatuur werkt. Bijvoorbeeld voor firmware updates. Alleen bij een firmware update moet je je afvragen of het echt nodig is om Bitlocker te gebruiken.

Het is daarom veel belangrijker om awareness te creeeren, zodat gebruikers zelf ook actief bezig zijn met RMS.
IBM gaat zoiets ook implementeren maar ze zijn er nog mee bezig, info komt langzaam binnen komende dagen/weken.

Sinds een paar dagen was het al bekend op de IT werkvloer, daar gaan ook bepaalde problemen ondervinden vanwege gebruik usb.

IBM was ook al op andere vlaktes de beveiliging aan het versterken met nieuwe methodes laatste maanden, vind enigszins apart dat het "nieuws" is. Totaal verbod zal er alleen zijn voor niet beveiligde externe opslag media.
Maar IBM is ook heel erg bezig met Macs, naar eigen zeggen hebben ze 50.000 Macs op de werkvloer (In 2016, nu schijnt het al boven de 100.000 te zijn). Hoe gaan ze daar dan om met Bitlocker aangezien dat niet Mac compatible is? Wordt er een thirdparty produkt gebruikt dat multiplatform is?

Of zien ze de usecases van USB sticks als iets dat alleen op dezelfde machine gebruikt wordt? Bij ons gaat dat niet voldoen, denk ik.

[Reactie gewijzigd door GekkePrutser op 11 mei 2018 22:24]

Drive encryption bestaat ook op macOS.

Edit: besef plots dat je eigenlijk bedoelt dat Bitlocker bvb. enkel op Windows werkt en je USB sticks dus eigenlijk enkel op eenzelfde platvorm onderling zou kunnen gebruiken op die manier. Nvm :)

[Reactie gewijzigd door bn326160 op 12 mei 2018 09:37]

Niet alleen Macs, ze draaien ook linux dat een vereiste is bij sommige klanten.
Zoiets verwijst ook naar beveiligde USB in het breedste woord.
Hoe ze het gaan doen weet ik niet, daar heb ik de kennis niet voor.

De nieuws sites gaan niet delen hoe IBM het gaat aanpakken, want dat is niet "interessant".
Als je mensen kent bij IBM kan je het aan hun mogelijk vragen na een aantal weken/maanden heb je interesse erin hoe ze het aan pakken.
Je hebt usb sticks die zelf encrypten en een keypad waar je eerst een code in moet typen voordat je bij de data kunt.

https://www.pcworld.com/a...oftware-security.amp.html
Maar hoe wil je Bitlocker forceren als gebruikers bijvoorbeeld hun stick nodig hebben voor gebruik met:
  • Printers (bij bezoek aan een buitenlands kantoor kan je lang niet altijd inloggen op de printer)
  • Macs of Linux boxen
  • Firmware upgrades zoals je zelf al aangeeft
  • Presentatieschermen
Het probleem is dat je dit soort toepassingen eigenlijk onmogelijk maakt als je Bitlocker afdwingt. Terwijl dit juist bij ons de belangrijkere usecases zijn voor USB sticks: Mensen gebruiken die bij ons weinig meer voor bijv. office bestanden. Maar als electronicafabrikant zie je de andere usecases nog wel (firmware updates is voor ons een grote, vooral voor de engineers die service verlenen bij onze klanten) en die blijven ook wel.

Wat me ook niet helemaal duidelijk is, is hoe Bitlocker de key doorgeeft aan andere systemen waar je de USB stick op gaat gebruiken, aangezien je daar niet altijd internet toegang op hebt (immers, anders had je net zo goed cloud storage kunnen gebruiken). Maar ik zit niet in de Windows hoek.

Door dit verhaal van IBM komt de discussie bij ons ook weer oplaaien en ik werk in het team van endpoint architecten :) Dus dit kwam meteen bij ons terecht (alhoewel security bij ons een apart team is, maar zij bepalen meer wat ze willen en wij zorgen dat het ook daadwerkelijk gaat werken :) ). Ik werk zelf met mobiele apparaten en Mac/Linux dus ik zie wat meer beren op de weg dan mijn Windows collega's.

Over RMS denken we ook, maar om dat echt goed te doen heb je een enorme mentaliteitsverandering nodig omdat je eigenlijk alles goed moet klassificeren. Dat gaat bij ons een meerjarenproject worden :)

[Reactie gewijzigd door GekkePrutser op 11 mei 2018 21:59]

Er is toch altijd een Private Key dan die je op alle systemen zou kunnen importeren. Dan werken de public keys ook. Of geld dit hier niet?
Is dit wat IBM gebruikt?

Ik ben over het algemeen een beetje wantrouwig ten opzichte van dit soort sticks. Een paar jaar geleden had @Sprite_tm een serie artikelen op Tweakers waarbij hij dit soort sticks uitgebreid onderzocht (tot op het electronische level aan toe). En het bleek dat de meesten puur schijveiligheid waren: Bijvoorbeeld de AES key die ongeencrypt op de stick stond, biometrische commando's die nagespeeld konden worden enz.

Ik heb ze toen allemaal gevolgd en volgens mij was er maar 1 die hij niet kon kraken (en dat was nadat de fabrikant zijn gevonden gaten had opgelost).

Natuurlijk is dit wel een goede beveiliging tegen een 'random' dief (USB stick verloren in de taxi bijv) maar voor doelgerichte aanvallen zou ik er mijn twijfels bij hebben.

[Reactie gewijzigd door GekkePrutser op 14 mei 2018 07:54]

Ik bedoel alleen dat dit een optie is, wat ibm gebruikt weet ik niet.

Maar als een groot bedrijf dit gaat gebruiken, zullen ze dit toch ook eerst onderzoeken.
Dat zou bij ons (en bij mij) nooit werken, slechts 20% van de systemen draait Windows en daar van maar een deel bitlocker-compatible. Bitlocker en RMS zou vooral helpen bij standaard kantoorpersoneel en misschien bij sommige Microsoft-only software bedrijven, maar verder nergens om dat het gewoon met niks compatible is.

Wat we wel hebben is file-level GPG encryption, maar voornamelijk gewoon de noodzaak niet om draagbare opslag te gebruiken. Alle mobiele systemen hebben LUKS of FileVault (en bij uitzondering nog wel eens Bitlocker op een verdwaalde Windows laptop), en nagenoeg alle data staat online waarbij er zowel transport encryption als encryption-at-rest geregeld is.

Ik denk dat ik de insteek van IBM wel snap, daar is iets als Bitlocker ook totaal onhaalbaar, dat draait daar bijna nergens gezien de grote hoeveelheid non-x86 systemen en MacBooks met macOS voor het personeel. Waarschijnlijk zijn ze ook voornamelijk richting beyondcorp aan het gaan en is er sowieso weinig reden over om nog traditioneel iets op een draagbaar stukje opslag te zetten.
Een gebruiker kan een zip bestand ook met AES-256 encrypten mbv een veilig wachtwoord. Echter weten een gemiddelde gebruiker weinig not niets over encryptie.
Dat doen ze bij mijn werkgever ook. Merk alleen wel dat enkele collegae niet eens hun standaard wachtwoord hebben aangepast of nauwelijks(een enkele leesteken toegevoegd o.i.d.) wat duidelijk is geïnstrueerd bij uitgifte nieuwe apparatuur of dat ze veel te makkelijke wachtwoord instellen. Uiteindelijk blijft de mens de zwakste schakel in dit soort gevallen.
Wat je ook niet afdekt is spionage door infiltratie, afpersing of omkoping.
Absoluut. Het is een illusie om daadwerkelijke criminele acties te voorkomen. Desnoods maak je een foto van het scherm of je schrijft het desnoods over.

Wat je hiermee afdekt is puur de ongelukjes, de USB sticks in de taxi of de gestolen koffer.
Of gevonden usb sticks die men vindt op het parkeerterrein oid.
Bij mij weten werkt dat helaas niet voor smartphones met een sd kaart.
Goed besluit.

Voor opslag van kantoordata is het absoluut niet acceptabel. Daar heb je de netwerkstorage voor. (Of het hoort in een database). Maar soms moet je als IT'er wel eens een hele grote binary of installatiebestand overdragen. Dan is een USB-stick of schijf vaak een pragmatische oplossing.

Maar dat is dan ook de enige toepassing die ik vind kunnen. En ook daar is het natuurlijk best gevaarlijk, gezien het besmettingsgevaar dat een USB-apparaat in je laptop (of server!) stoppen kan hebben.

[Reactie gewijzigd door Keypunchie op 11 mei 2018 14:31]

Maar soms moet je als IT'er wel eens een hele grote binary of installatiebestand overdragen. Dan is een USB-stick of schijf vaak een pragmatische oplossing.
En waarom zou dat niet over het netwerk kunnen? Omdat het onhandig/langzamer is? Exact wat de "kantoor" collega's ook vinden.
En waarom zou dat niet over het netwerk kunnen?
Omdat ik de laptop van een derde partij (zoals die engineer) niet op mijn netwerk wil. Maar ja, ik heb wel de firmware van die SAN-switch nodig. En "zomaar even downloaden" van die firmware is er bij IBM niet bij...
Dus je vertrouwt die derde partij niet op je netwerk, maar wel om firmware voor je server aan te leveren? :)

Maar je voorbeeld is niet anders dan een verkoper die van een klant bijvoorbeeld een tekenpakket krijgt en dat op het netwerk wil zetten zodat aan de opdracht begonnen kan worden...

Als je gebruikers restricties oplegt in verband met veiligheid dan moet je in mijn ogen als ICT'er jezelf aan dezelfde restricties houden.
Natuurlijk kun je van allerlei voorbeelden verzinnen waaruit blijkt dat dit onhandig, traag en of duur is, maar ik weet zeker dat de gebruikers met nog meer van dergelijke voorbeelden kunnen komen.
Inderdaad, ik vertrouw bedrijf xyz voor mijn firmware. Het bedrijf zal een fatsoenlijke virusscanner hebben draaien op al zijn deliveries.

Engineer abc daarentegen heeft een vrouw (en/of kinderen) die toevallig net geen pc hebben maar wel even een presentatie (voor de afdeling of school) in elkaar moeten draaien en internet is zo handig.

Engineer =/= bedrijf. [ Juist ;-) ] engineers, die vertrouw ik niet.

Je wilt niet weten hoevaak ik bestanden toegestuurd gekregen heb (diskette/usb/mail) met een virus van mijn collega IT-ers.
Maar de firmware komt via de laptop, of via een usb stick die de "engineer" wellicht in de laptop gehad heeft? Dus als die besmet is......
Downloaden van de bron, en verifiëren.

ps... die gast die firmware komt installeren is geen engineer.. die titel gebruiken ze graag, maar is niet van toepassing.
Nu zijn veel 'oplossingen' ook gewoon overkill. Uit luiheid, Want het is makkelijker by default alles te blokkeren dan uitzoeken wat kan, niet kan, mag, niet mag, dat dan configureren EN daarbij je personeel scholen.

Nee, zet alles dan meteen op 'disabled'. Heb je er amper omkijken naar.
Ik vertrouw de fabrikant wel dat de firmware die ze aanleveren goed is, ik vertrouw de laptop van die random engineer een stuk minder. Die USB-stick / firmware kan ik door een virusscanner gooien, maar ik mag geen AV installeren op die laptop (bijvoorbeeld). En ja, dan kun je een gastennetwerk opzetten waar je alleen naar een SFTP-server of zo kan, maar dat is gewoon een USB-stick met omwegen...

En vergeet niet dat je als IT'er niet degene bent die de restricties oplegt, dat doet het management; als IT'er kun je alleen advies geven en het beleid uitvoeren. Ik hou me als ICT'er dan ook prima aan de restricties die het management oplegt...
Mja, of het is gewoon groter dan het beschikbare quotum van de netwerk-storage, laat staan van je mailbox.

Dat zal met een verzameling excel-bestanden niet heel snel gebeuren.

Een andere uitzondering zal ook een afdeling zijn die heel veel aan videobewerking doet. Ook daar zal je een speciale storage-oplossing voor willen verzinnen. Waarschijnlijk zelfs een dedicated oplossing.

[Reactie gewijzigd door Keypunchie op 11 mei 2018 15:17]

Mja, of het is gewoon groter dan het beschikbare quotum van de netwerk-storage
Dan heeft IT dus blijkbaar zijn werk niet goed gedaan en de storage niet goed ingeschaald.
Dat zal met een verzameling excel-bestanden niet heel snel gebeuren.
Wellicht niet, maar een compleet enginering-pakket kan best fors worden, en zo zijn er wel meer voorbeelden te bedenken.
Niet al het kantoorwerk bestaat uit een beetje kloten met Office.
XLSB bestanden zijn OOK excel bestanden en dat zijn monsters.
Ik werkte in een bedrijf waarbij USB sticks als opslag niet werkten, de USB poorten waren via een policy onbruikbaar gemaakt voor opslag. Met als doel te voorkomen dat data niet verspreid kon worden. Dropbox etc etc alles was geblokkeerd op email na. En dat kon gemonitoord worden in geval van verdenking van lekken van informatie.

Maar thuis aangekomen kon je gewoon je eigen nas mounten :Y)
Maar thuis aangekomen kon je gewoon je eigen nas mounten :Y)
Precies, en dat is nu exact het gevaar. Security betekend niet dat je alles zover maar technisch dicht moet gaat zetten want dan gaan mensen toch kijken of er een andere onveiligere manier is om toch de blokkades te omzeilen. Security moet een goede balans zijn van een werkbare en veilige omgeving voor de geldende policies.
Ik heb een heleboel jaren geleden ook een tijdje bij IBM gewerkt en daar hadden ze de cdrom spelers en usb sticks ontoegankelijk gemaakt door gewoon de drive te verstoppen. Als je dan in explorer "D:" of "E:" intikte kwam je er gewoon op. Dat was wel onder WinXP, misschien doen ze het tegenwoordig met nieuwere Windows versies beter, maar van een bedrijf dat *nix beheerders verplicht op XP werkstations laat werken (terwijl we ook eigen laptops hadden) verwacht ik niet zo heel veel technische kunde...
En die NAS synchroniseert dan weer met en onversleutede cloud backup in China ;)
Er zijn nog heel veel meer functies bij IBM als IT'ers, en genoeg daarvan zullen in hun ogen iig ook goede redenen hebben om draagbare media te gebruiken.

Dacht overigens dat Tweakers groot voorstanders waren van Airgappen van kritische systemen. Dan heb je wel draagbare opslag nodig.
Dacht overigens dat Tweakers groot voorstanders waren van Airgappen van kritische systemen
Sommige kritische systemen kan ik me wat bij voorstellen, maar dan heb je het op zijn best over SCADA-achtige fabriekssystemen.

In de dienstverlenende sector en de kantoorautomatisering waar ik heb gewerkt heb ik nog nooit een airgapped systeem beheerd*. Maar alle systemen draaiden dan ook een regulier supported OS (zoals een willekeurige *nix of Windows). Wel goed afschermen met firewalls, uiteraard, maar airgap lijkt me vooral iets voor spionagediensten en defensiebedrijven, niet voor het reguliere bedrijfsleven.

*Nou ja, er waren wel systemen die alleen een display ofzo aanzwengelden, maar dat was niet zozeer airgapped, als gewoon single-purpose. Tegenwoordig zitten ook al dat soort apparaten gewoon onder regulier beheer via netwerk.

[Reactie gewijzigd door Keypunchie op 11 mei 2018 16:52]

Ik denk dat het vooral gaat over bedrijfsdata, niet over software die ook gewoon gedownload kan worden.
Het lijkt erop dat ze inderdaad wat uitzonderingen gaan toestaan. Uit het artikel:
UPDATE: Since publishing this story we've heard whispers that IBM has taken note of staff objections to the removable storage ban, especially when doing software updates, and is considering making a few exemptions.
Daar zit je dan met je air-gapped secure omgeving :-(
En ja, virusjes travelen ook via USB, i know, maar ook geen updates of data kopieren.
En wat met smartphones, dit zijn toch ook gewoon datadragers? Wellicht dat je geen eigen smartphone meer mag binnendragen in het gebouw?
Er staat niet dat ze niet in het gebouw mogen zijn, maar dat ze niet gebruikt mogen worden. Smartphone opslag zal daar ook gerust onder vallen.

Overigens zal de beveiliging van de gemiddelde IBM smartphone wel beter zijn dan de gemiddelde USB flashdrive of SD kaart...
Moet je toch mee uitkijken als je je telefoon wilt opladen aan usbpoort van je pc, wordt toch vrij snel al automatisch als een usb drive gemount.
Removable storage devices kan je ontoegankelijk maken voor gebruikers dmv group policy. Sinds Windows Vista/2008 is dat eenvoudig
En apple heeft niet zo'n policy?
Geef idee, maar policy beheer van MacOS server is verre van vergelijkbaar met de uitgebreide group policies van Windows Server.
En met een MDM als Airwatch kan je al veel.
Huh? Sinds wanneer is dat? Ok, er kan in de 6 jaar dat ik daar voor het laatst de deur achter me terugtrok een hoop gebeurd zijn maar tot dat moment was Lenovo met daarop Windows 7 geïnstalleerd het algemeen gebruikte apparaat.
Dit is iets van de laatste 2-3 jaar. Zie het Mac@IBM project. Ze gebruiken Macs met Jamf Pro als beheeroplossing. Niet voor alles hoor.. Je hebt met Mac natuurlijk ook nog behoorlijke app gaps zoals MS Access, MS Project, MS Visio en de nog veel obscuurdere interne pakketten nog maar niet te beginnen.

Ik doe zelf veel aan de Macs binnen ons bedrijf, maar ik ben best blij dat ik er ook een Windows systeem naast heb staan voor als ik echt even een Visio in elkaar moet draaien of de AD beheren. Een remote desktop is natuurlijk ook een oplossing, maar de 2 naast elkaar werkt het fijnst :) Met Synergy om beiden met hetzelfde toetsenbord/muis te bedienen.

Ik werk niet bij IBM overigens en weet (helaas) niet zo heel veel van hun oplossing behalve dat ze JAMF gebruiken.

[Reactie gewijzigd door GekkePrutser op 11 mei 2018 22:21]

Als je (als IBM support engineer) een IBM laptop moet gebruiken bij de klant dan krijg je in principe een RedHat. Met een virtuele windows versie (indien nodig).

Indien je geen windows nodig hebt, dan kan je in principe een apple aanvragen. Virtual PC en Windows licentie worden niet geleverd en zelf aangeschafte software mag je niet gebruiken. (Dus ook geen zelf aangeschafte windows licentie).

Als je een support engineer bent die (tijdelijk) via IBM werkt dan moet je niet verbaasd zijn als je standaard IBM laptop gewoon eentje uit de voorraad is (=> dus RedHat).

Ik ben dan ook niet veel apple's tegengekomen. Maar bij Marketing, Inkoop, Sales en Personeelsadministratie ligt dat natuurlijk anders. Zeker als je bedenkt dat MS Office voor Mac gewoon geleverd wordt.
Dat met die redhat heb ik nog net meegemaakt.Dwz de pilot..
'Uit de doos geleverd' stond er nog gewoon een Windows 7 build op.
6 jaar is dan ook een eeuwigheid, zeker in de automatisering.
Ben al menig bedrijfslaptop tegen gekomen die dan alleen je telefoon oplaad, versturen van data is dan geblokkeerd.
Inderdaad, zo heb ik wel eens voor een klant via Sophos op de werkplekken usb toegang in zijn geheel kunnen blokkeren. Zo'n beleid zal IBM ook hanteren.
Het blijft wel een wassen neus natuurlijk, symboolpolitiek. Want dan moet je ook Dropbox etc gaan dichttimmeren. Het kan wel hoor als je echt flink je best gaat doen maar het is eigenlijk bijna niet tegen te houden.

Je kan je bestanden altijd ook nog e-mailen naar jezelf bijv.
afhankelijk van het bedrijf wordt dat mischien gemonitord. oude werkgever van mij had dropbox geblokkeerd en ICT kreeg een melding bij de pogingen van welke computer tot deze websites toegang had gevraagd.

Verder kon je geen bestanden uploaden naar een mail of iets. Zelfs wetransfer kon je niet simpel drag and droppen. veel was dichtgetimmerd
Het kan ook zeker wel, maar je gaat je als bedrijf veel werk op je hals halen vanwege gebruikers die dit soms toch moeten doen.
Welke gebruikers zouden dit dan moeten zijn? Onderling zullen ze toch echt wel bestanden kunnen uitwisselen en als er met anderen samengewerkt moet worden dan geloof maar dat zij zich maar aan moeten passen in de meeste gevallen..
Ik kan moeilijk voor andere bedrijven spreken maar onze Marketing afdeling ontvangt vaak bestanden via WeTransfer of Dropbox.
Ook delen onze werknemers bestanden met "ZZP'ers" die we inzetten.
Ze werken namelijk vaak samen aan materiaal.

Helaas is het niet te blokkeren dus, tenzij we gebruik zouden maken van een NAS waar ook externe partijen bij kunnen. Haalt niet weg dat die externe partijen er wel gebruik van moeten maken, en niet alsnog alles via WeTransfer sturen.
Bij IBM zit geld (en hopelijk nog kennis) genoeg om een eigen, veilige, gemonitorde fileshare op te zetten.
Kwestie van duidelijker zijn naar de Zzpers toe. Maar als je interne bestanden toch al gaat delen met buitenstaanders dan zijn er vast genoeg afspraken over gemaakt.

En je kunt natuurlijk makkelijk zorgen dat bv de afdelingen die toegang hebben tot gevoelige informatie géén toegang hebben tot dropbox/wetransfer etc.

Zodra iemand die toegang tot gevoelige informatie alsnog wetransfer gebruikt wijs je ze op het contract en gooi je hem of haar buiten. Waarop uiteraard een rechtzaak volgt.
oh mijn excuus met mail bedoelde ik eigenlijk online mail clients zoals hotmail etc. onze bedrijfmail kon natuurlijk wel gewoon bestanden verzenden, hierbij konden ze na gaan welke bestanden werden verzonden. en bij een mail met bijlages naar een hotmail/gmail adres dan werdt je mail tegengehouden.

ik weet niet precies het systeem of hoe of wat. het was gewoon om te voorkomen dat er dingen het net op ging die nog in development waren. in de pauzes konden we wel gewoon met ons telefoon via de wifi internetten enzo.
Rockstar Games doet DPI en HTTPS stripping. Staat ook in de arbeidsvoorwaarden.

Ze lezen dus gewoon zo mee met je prive-email. Rockstar's NDA's zijn niet om mee te lachen.

[Reactie gewijzigd door Tokkes op 11 mei 2018 23:20]

Ik moet regelmatig grote bestanden naar klanten toesturen. Als statisticus zijn dat tabellen, grafieken.

Maar ik denk dat ieder kennis bedrijf wel mensen heeft die de gegenereerde kennis naar de klant moet sturen.
Daar zijn oplossingen voor. Een soort wetransfer voor bedrijven die je ook helemaal dicht kan timmeren
Zoals fileshare van Citrix
Wat een luxe toch....in mijn tijd zat ik een keer bij unilever en daar kon de hele afdeling dan op 1 computer in de gang internetten. Wel hadden we toen nog een koffiejuffrouw, dat dan weer wel.

Of bij een libertel provider, moesten alle interneturls via het hoofdkantoor in duitsland opgevraagd worden en kreeg ik ze zo terug in mijn browser. We praten hier over 1995 ofzo, nu is het ...geen internet....dan ga ik wel op mn mobiel netflixen en chillen.
Dat is traceerbaar en daar gaat het over natuurlijk.
Als je Gmail over https gebruikt, is de verstuurde info niet te volgen inhoudelijk ook de bijlagen niet. Dan file acces registreren met iets als Varonis of Microsoft WIP gebruiken.
Daarvoor heeft mijn werkgever zscaler in gebruik. Zelfs alle https verkeer word gescand.
Niet alle. Zscaler scant bijvoorbeeld juist geen Gmail omdat die aan certificate pinning doen. (Wij hebben ook Zscaler)
Gewoon gmail blokeren, waarom heb je nodig op je werk?
Het is heel goed tegen te houden. Gescheiden netwerken, internet gescheiden van kantoor automatisering etc. Ja het kost effort en geld, hier zit de crux: hoe belangrijk vind je het als bedrijf om je geheimen te waarborgen en hoeveel kost het als de boel lekt ? (let wel, imagoschade kan meer kosten dan het geheim zelf).

Het verbaast me dat dit nog niet het geval was bij IBM.
En hoe communiceer je dan met de buitenwereld?
Er zijn gewoon systemen die voorkomen dat je desktop mass storage devices activeert. Ik heb zelf ooit bij een bedrijf gewerkt (alweer 10-12 jaar geleden nou ik er aan denk :) ) waar we gewhitelistte apparaten hadden. Als je een onbekende USB-stick in het apparaat deed gebeurde er gewoon niks en kregen wij (desktop support) automatisch een berichtje welke gebruiken een Mass Storage Device in de computer deed.

Er waren een aantal gebruikers die een zakelijk gebruik hadden voor USB-sticks. Dit waren beveiligde sticks die dan dus gewhitelist waren voor of 'hun computer' of het hele netwerk. (afhankelijk van hun functie)
Ja ken ik ook hoor.

Ik was de enige grafische vormgever in een bedrijf dat zo dichtgetimmerd zat. Kreeg regelmatig materiaal aangeleverd op dvd of usb, maar usb was helemaal uitgezet via bios (Muis en toetsenbord moest daarom ook nog steeds op ps/2 (echt debiel)).
In een geïrriteerde bui heb ik toen de pc opengeklikt, bios batterij eruitgesnokt, zodat ik bios pw kon omzeilen en usb kon aanzetten en ik normaal verder kon werken.
Dag later was alles weer disabled en hing er een hangslot aan de case :-/

Was tig jaar geleden, kan tegenwoordig hopelijk stukken beter geregeld worden.
Bij 'ons' had binnen een paar minuten een bewaker achter je gestaan om je naar buiten te escorteren als je dat had geprobeerd :). (volgens mij hielp dat het verwijderen van de BIOS-batterij ook niet bij de apparaten die we hadden, maar dat weet ik niet meer zeker) Bij ons was het dan ook niet in de BIOS uitgezet, maar in het besturingssysteem. Het waren echt alleen mass storage devices die gefilterd werden. Toetsenborden, muizen, camera's en dergelijke werkten wel gewoon.
Aan de andere kant hadden ze bij jou dan wél weer verstand van zaken lijkt het.
Nou, als ze zo'n actie binnen 1 dag opmerken, dan hebben ze ook best wel verstand van zaken.
Lijkt me dat er wel ergens een belletje gaat rinkelen als een device 100% offline gaat.

Zo moeilijk is het niet om een whitelist aan te maken... Dat ze gewoon maar alles blokkeren is meer niveau middelbare school beheerder die geen zin heeft om moeite te doen.
Ik heb door schade en schande geleerd dat dit de verkeerde werkwijze is. Als het werken je onmogelijk gemaakt wordt door regels in het bedrijf moet je gewoon de IT afdeling , jouw baas, diens baas en steeds hogerop gaan klagen maar NOOIT en dan ook echt NOOIT zelf het probleem (de regels) omzeilen.

Als je een DVD of USB moet lezen en je mag dat niet dan geef je die maar aan IT en zij zetten hem op het netwerk. Dan zit je een dag stil terwijl ze dat doen maar dat is jouw probleem niet. Als je daardoor je deadline niet kan halen is dat ook jouw probleem niet. Zorg er wel voor dat je alles heel duidelijk gedocumenteerd hebt waarom het zo lang duurt en wat daarvan de oorzaak it.
Dit hangt heel erg van de bedrijfscultuur af. Sommige bedrijven hebben heel strikte regels maar is het gewoon dat er (met enige vorm van kennis en zelfbeheersing) van afgeweken wordt, en als je daar steeds over gaat zeuren in plaats van dat je je werk oplevert dan lig je er zo uit :)

Er zijn ook zat bedrijven waar je als "handige harry" juist extra gewaardeerd wordt door het management (misschien niet het IT management maargoed).

Bij andere is het regels zijn regels zoals jij zegt en dan moet je het inderdaad niet doen. Ik ben een tijd consultant geweest en het verbaast me echt hoe enorm veel verschil er zit in bedrijfsculturen. Soms ook tussen landen/afdelingen van hetzelfde bedrijf.

Het ligt allemaal aan de interne politieke machtsverhoudingen binnen het bedrijf, en de onderliggende cultuur.
Ik ben inmiddels al 15 jaar consultant en werk voornamelijk bij banken en investeringsmaatschappijen en daar zijn regels regels. Ook vanwege financiële toezichthouders, etc.

Maar ook bij andere bedrijven moet je de regels respecteren. Zelf de regels verbuigen of zelfs breken zou ik iedereen afraden. Zorg in ieder geval dat je leidinggevende precies weet wat je aan het doen bent en waarom, dan kan niemand jou de schuld in de schoenen schuiven wanneer er onvermijdelijk iemand een probleem maakt van je “overtreding”.
Zoals @GekkePrutser ook zegt, dit ligt sterk aan de bedrijfscultuur.

Bij mij was het zo dat ik compleet ander werk deed dan de rest van het bedrijf, ik werd extern gedetacheerd om daar specifiek werk te doen, iets wat eigenlijk gewoon niet ging op de manier hoe het netwerk in elkaar stak (geloof me, heb genoeg geklaagd). Op internet was twitter en facebook enzo bijv geblocked, maar ik moest daar ook regelmatig mee werken en dan werd mij ook maar doodleuk verteld dat ik het zelf moest oplossen (wat ik heb gedaan door een vpn op te zetten). (ben overigens wel later op het matje geroepen omdat het iemand geklikt had dat ik "op facebook" zat).
Bij recente Android versies is dat niet meer zo: andere modus dan opladen moet je handmatig selecteren.
Niet als je Xposed draait met de mod die de default USB modus standaard op storage zet 8-)

https://forum.xda-develop...-marshmallow-1-0-t3272072
Of simpelweg de Android developer modus activeert en dan die optie automatisch selecteert.
Bij nieuwere androids kan dat ook niet. Zoja dan hoor ik t graag ala dev. Je kunt t kiezen maar onthouden doet die t niet.
Wel als je die optie instelt als je phone niet via USB kabel hebt aangesloten. Tenminste dat werkte voor mij met Android 5, 6 en 7. Helaas, heb geen ervaring met Android 8, dus het zou zo kunnen zijn dat het daar niet meer in werkt, maar dat verwacht ik niet.
Ja, want dat is dan natuurlijk ook precies wat je wil....

Misplaatste 8-), meer een gevalletje kijk mij eens (dus niet) relevant zijn. 8)7
Ik kan mijn iPhone gewoon standaard "weigeren" als USB drive en dan krijgt die wel gewoon stroom, maar geen toekomstige waarschuwing meer. Maar je hebt een punt, veelal muist men gewoon de waarschuwing weg met "JA".

[Reactie gewijzigd door logix147 op 11 mei 2018 15:13]

Genoeg bedrijven waarbij de USB poorten zijn afgesloten van data-overdracht. Dan kun je volgens mij wel gewoon je telefoon opladen maar niet de data lijnen gebruiken.
Klopt, maar ook niet lang bij allemaal.
Zo laad mijn Nexus 5X standaard alleen maar op wanneer ik hem aan een PC hang.
En wanneer ik dan data wil overzetten, moet ik eerst mijn "balkje" bovenin tevoorschijn halen, waar ik vervolgens dit onder te zien krijg.
En wanneer ik daar vervolgens op klik, krijg ik dit te zien.
En daar kan ik vervolgens dan de optie kiezen om data over te willen zetten.
Doe ik dit voor die tijd dus niet, dan blijft i alleen bijladen, meer niet.
Maar goed, de ene tel is de andere dan weer niet natuurlijk, dus het kan zijn dat dit bij andere toestellen anders werkt/in zijn werk gaat.
ligt er aan hoe je het bekijkt. Een smartphone hangt aan het internet en kan dus gehacked worden. Een Flashdrive of SD kaart moet je eerst verliezen of gestolen worden willen de gegeven verloren gaan.
Tenzij iemand die gegevens op zijn thuis PC zet die aan het internet hangt dan heb je daar ook weer een risico.
Speciale beveiligde usb drives worden vaak wel toegestaan. Deze zijn dan ook versleuteld. We. Telefoon die gestolen wordt heeft alsnog een wachtwoord en de zakelijke toestellen bij IBM was nog wel wat extra beveiliging.

Foutje? Auto Format.
Kan mij ook wel voorstellen dat met wat additionele beveiliging dat misschien wel het alternatief moet of ook maar kán worden. Als de toestellen of andere apparaten bijv alleen op bepaalde momentem verbindingen met bepaalde apparaten toestaan.

Geen idee of het haalbaar is, maar is mogelijk ook wel een interessante insteek.
Er staat niet dat ze niet in het gebouw mogen zijn, maar dat ze niet gebruikt mogen worden. Smartphone opslag zal daar ook gerust onder vallen.

Overigens zal de beveiliging van de gemiddelde IBM smartphone wel beter zijn dan de gemiddelde USB flashdrive of SD kaart...
Dat valt vies tegen. De USB stick kan je van hardware encryptie voorzien - of software (bitlocker to go bijvoorbeeld). Bij veel foons kan dat weer niet omdat je niet die gehele drive kan encrypten, teminste niet met het vereiste managed beveiligingsnivo. Als je Bitlocker to Go over de gehele drive van een iphone heen zet bijvoorbeeld dan boot die niet meer omdat IOS niet met Bitlocker om kan gaan.

Maar de afdelingen die installaties bij klanten doen hebben al aangegeven dat dit voor hen onwerkbaar zal zijn - en terecht. Er is geen inventaris gedaan om na te gaan -wat- er precies via USB drives gedaan wordt, en of er wel een alternatief voor is.
Dat zou zomaar eens kunnen komen. Maar dan moet je dus aan het einde van de dag je zakelijke toestel binnen laten liggen en je eigen toestel weer uit je kluisje o.i.d. halen? Het volledig verbieden van draagbare opslag kan ik niet helemaal begrijpen.
Meeste mensen hebben toch echt 1 toestel en dat is dan de zakelijke.
Dan is het verbieden van smartphones dus ook geen optie. Ook daarop kan data gezet worden... dus ik zie het nut van het verbieden echt niet in.
Die mobiele telefoon heeft standaard encryptie en ook een optie om het ding van afstand te resetten. Dat kan met USB niet.
Dan ga je werken met enkel beveiligde USB sticks die je bij de ICT-afdeling zou kunnen halen indien je deze nodig hebt. Deze zijn dan buiten het bedrijf niet te gebruiken
En datadragers verbonden via usb op de werkstations en laptops uitschakelen? Dus muis, toetsenbord, webcam, mobiele telefoon laden etc. kan wel, alleen de opslag up en down niet.
Ja maar dan kan je ook net zo goed online delen ook uit lazeren of email, ik kan prima hier bedrijfsgegevens naar me zelf mailen op een tijdelijk mailadres.
Meeste mensen waar?

In Nederland zie je de meeste mensen met een privé toestel wat ook zakelijk gebruikt wordt. De mensen die een zakelijk toestel hebben en daar geen privé telefoon bij zijn vaak de eigenaren van kleine bedrijfjes of zzpers. En dat is nou niet bepaald "de meeste mensen."

Ik heb 2x dualsim privé+zakelijk. En heb meestal gewoon één sim per toestel uit staan.

Als er wat misgaat ben ik nooit wat kwijt.
Dat was ook het eerste dat ik dacht bij het lezen van de titel, maar niet meer na het lezen van het artikel.
"Het bedrijf breidt het verbieden van dataoverdracht uit naar alle verwijderbare, draagbare opslagapparaten, zoals usb, sd-kaarten en flashdrives"
Het is dus niet verboden om die dingen bij je te hebben, maar ik verwacht dat dataoverdracht gewoon softwarematig op alle bedrijfscomputers wordt geblokkeerd.
We hebben iPhones van de zaak (vast door de deal met Apple), en die zijn beter beveiligd tegen diefstal dan een usbstick. Op je eigen telefoon mag je geen werk doen zonder extra beveiliging en is er dus een laag risico.
Ik werk bij een instelling waar men met o.a. persoongegevens omgaat, USB sticks e.d. hebben zo lang ik daar werk al nooit gewerkt en dat is maar goed ook.
Telefoons zijn idd ook datadragers (al gaat het alleen om email), maar dat werkt ook alleen op iPhones met mobile device management met de nodige regels (minstens 6 cijferige pin, geen siri zonder unlock etc etc) en eenofandere Citrix oplossing waar ook weer een pin op zit.
Dus op zich kun je best mobiele telefoons hebben, zonder dat dat gelijk hetzelfde is als een usb stick.
Voor smartphones zal hetzelfde gelden, je mag ze niet gebruiken voor data-transfer. Wat niet betekend dat ze niet naar binnen mogen.
Er is genoeg software om te bewaken wie wat met welke data doet, sterker nog, IBM biedt dergelijkse software zelf aan: https://www.ibm.com/security/data-security/guardium
Er staat in het artikel;
verwijderbare, draagbare opslagapparaten
Dus MicroSD kaartjes in telefoons mogen niet, terwijl vast flash geheugen wel mag.
Zo is het vast en zeker niet bedoelt. Want vast flash geheugen in een telefoon is nog steeds verwijderbaar en draagbaar he ;)

Ik zou met dit soort regels absoluut niet het grijze gebied of de grenzen van het beleid opzoeken. In veel gevallen staan er gewoon sancties op overtredingen; dat zal hier mogelijk niet anders zijn. Je kunt dan niet komen aanzetten met "ja maar het flash geheugen zit vast in mijn telefoon die ik via bv usb heb ingeplugged". In feite is jouw telefoonopslag dan totaal niet anders dan een usb-stick.
Beetje kort door de bocht. Veel mensen werken daar op een laptop en die kun je, net als je telefoon, gewoon naar buiten mee nemen. De harddisk kun je ook uit een laptop verwijderen, en is dan heel erg draagbaar :+
Volgens mij wordt het flashgeheugen van een telefoon ook gewoon versleuteld onder alle gangbare mobiele OS'en tegenwoordig, dus zo'n groot risico lijkt me een telefoon niet.
Ik denk dat die een kleiner probleem vormen, die hebben waarschijnlijk ook gewoon toegang tot de online gedeelde bestanden. Wel zit daar een stuk meer opties aan beveiliging dan bij een USB stick. Als je bijvoorbeeld met een zakelijke MS exchange server wilt verbinden, moet je een verplicht niveau van security hebben op je telefoon en van alles toestaan (remote wipe door de zakelijke partij bijvoorrbeeld).

De storage functie van de telefoon is denk ik wel uit te zetten aan de OS kant.

Verbaasd me wel dat ze niet verplichte encryptie ingevoerd hebben, in plaats van verbieden.
Het bedrijf breidt het verbieden van dataoverdracht uit naar alle verwijderbare, draagbare opslagapparaten, zoals usb, sd-kaarten en flashdrives", staat in de mededeling.

Dus uit dataoverdracht
En wat met smartphones, dit zijn toch ook gewoon datadragers? Wellicht dat je geen eigen smartphone meer mag binnendragen in het gebouw?
Daar levert IBM al enige tijd een standaard oplossing voor in de vorm van MaaS 360. Maakt niet uit of het toestel privé of zakelijk is, komt via een VPN op het bedrijfsnetwerk en is niet in staat om data te downloaden.
Je kan je werknemers ook verplichten om alle externe opslag te versleutelen, lijkt mij.

Dit is kortzichtig en onwerkbaar, typisch opgesteld door onwetend management.
Dit is kortzichtig en onwerkbaar, typisch opgesteld door onwetend management.
Ik denk dat jij niet veel van ICT in bedrijven weet want werkelijk elk bedrijf die met gevoelige data werkt verbiedt dit al jaren (of maakt het onmogelijk door policies). Het werken met versleutelde externe opslag is vaak complex (wij hebben er slechte ervaring mee) en kostbaar.

Onthou dat versleutelde USB nog altijd een mogelijke bron van infecties zijn. Er zijn meerdere virussen die daardoor heen wandelen.

[Reactie gewijzigd door falconhunter op 11 mei 2018 16:52]

Maar het ging ze om lekken van informatie en niet om virus infecties. Die kan je net zo makkelijk krijgen door een verkeerde email te openen, iets wat nog veel te vaak gebeurt.

Los daarvan is het versleutelen van een USB drive best eenvoudig. Zeker met Truecrypt. Het is niet totaal idiot proof, je moet wel begrijpen wat je aan het doen bent, maar ik ken mensen die het voor elkaar gekregen hebben die ik niet zo hoog ingeschat had, dus zo moeilijk kan het niet zijn.

[Reactie gewijzigd door ArtGod op 11 mei 2018 18:59]

Decrypted van data is tegenwoordig een kwestie van tijd. En zelfs als het niet lukt krijg je dat.ze het gaan bewaren en later opnieuw proberen met snellere hard-/software/ai. Goede reden om het niet toe te laten lijkt me.
Jij hebt er duidelijk geen kaas van gegeten. Algoritmes zoals AES-256 zijn ontworpen om onkraakbaar te zijn voor de eeuwigheid, of in ieder geval lang genoeg dat niemand er nog meer zal zijn die nog wat om de data geeft.
Blijf dat denken, dan denk ik gewoon dat lov grover zijn algoritme de snelste is ;)
Waarom is dit kortzichtig en onwerkbaar? Het gebruik van draagbare opslag is iets wat veel meer gebeurt in bv grotere bedrijven of sectoren waar bijvoorbeeld veel kans is op bedrijfsspionage. Kijk ook eens wat verder dan alleen je eigen omgeving zou ik zeggen.
Ja, ik vraag me af hoe ze dat met thuiswerkers gaan handhaven.
Kan. In een goed ingerichte BYOD wordt dat gewoon enforced.
Wat heeft thuiswerken hiermee te maken ? het maakt toch niet uit waar je, hje bedrijfslaptop aansluit , het beveiligingsniveau blijft toch hetzelfde ?
Ik zat nog aan thuis op je eigen PC te denken. Heh, je hebt natuurlijk helemaal gelijk.
Dit is kortzichtig en onwerkbaar, typisch opgesteld door onwetend management overijverig securitybeheer die vrij baan heeft gekregen. Herkenbaar bij grotere ICT bedrijven die een beetje huiverig worden van al die datalekken en liever niet de eigen vuile was buiten zien hebben hangen.

En zodra het duidelijk wordt dat dit gewoon niet kan dan gaan de uitzonderingen komen, en komen, en komen... en een paar maanden later blijkt dat het woud aan uitzonderingen en gebrek aan audits (want veel te duur om te auditten) dit gewoon niet meer toegepast wordt.
Ik zou mij, met alle beschikbare cloudoplossingen, nauwelijks gehinderd voelen als ik geen externe data opslag mag gebruiken.

Ik gebruik alleen een USB stick als ik een nieuw OS moet installeren.
Opslag op mijn laptop is ook nihil en al helemaal geen vertrouwelijke informatie.
Ik wel. Ik heb geen 100MB/s upload. En bij de meeste bedrijven heb je dat ook niet.
Ik geef toe, ik ben verwend met 500/500 Mbit op kantoor en onbeperkt data-abonnement. :)
Maar wel 8 uur dat je op kantoor bent. Zelfs met 100 KB/s zet je dan nog 2 gig weg.
Dit zie je helaas nog te vaak gebeuren, dat mensen een usb stick of sd kaart verliezen met klanten data of interne data......
Je kan een groot deel van de ellende al afvangen door encryptie op datadragers te verplichten middels een policy. Zo doen wij dat hier ook. Lezen mag wél vanaf een unencrypted drive, schrijven dan weer niet.
Maar als je die encrypted drive vervolgens in de trein laat liggen heb je nog steeds een datalek die meldingsplichtig is. Gelijk aan een hack die encrypted data buitgemaakt heeft; dezelfde data is naar buiten gegaan buiten de wens van het bedrijf om.
alle vertrouwen in AV bij lezen dan?
Probeer maar eens een 1TB db naar thaiiland of zo via internet, via dhl op bitlockker SSD gaat het toch sneller
Ik denk dan dat je met de nieuwe wetgeving van dit jaar echt wel als bedrijf een serieus probleem hebt.
Je moet het melden, correct.
Eveneens dien je te verklaren welke (mitigerende) maatregelen er zijn genomen om misbruik van die gegevens te voorkomen. AVG is wel iets gedetailleerder dan een Ja/Nee schakelaar.
En telefoons dan? Daar zit toch ook opslag+usb op...
Ja precies, gaan ze die dan ook verbieden, even je telefoon met USB kabel of bluetooth aansluiten aan een computer en ja kan van alles kopiëren.
Ja, dat kan heel eenvoudig met Windows 10 Enterprise of een tool als DeviceLock.
Aha ok, maar wat als die uit zet, die gene die gegevens wil halen van die computer?
Je kan het read only maken, of volledig blokkeren. Heb het sowieso al vreemd dat bedrijven usb devices toestaan om "thuis te werken". Zeker met gevoelige data. En je hebt zo veel veilige oplossingen met bijvoorbeeld Citrix.

Maar met de nieuwe wet op privacy kan een bedrijf al een behoorlijke straf oplopen wanneer er persoonsgegevens door een usb stickje wordt gelekt.
Aha ok, maar wat als die uit zet, die gene die gegevens wil halen van die computer?
Ik denk dat alleen admins dat kunnen.
Ja en dat is het hem nou juist, dat is zijn ook mensen.

Maar niks is 100% full proof.
Bij ons zijn ze hier al enkele jaren mee bezig om dit goed op punt te krijgen voor het invoeren.

Ik snap waar men heen wil (bij ons geeft men het veilig houden van het netwerk voor virussen e.d. als voornamelijkste reden). Zelf vind ik het niet zo handig aangezien ik niet altijd files via een netwerk op PCs (niet aangesloten) of het PCN (firewall) kan droppen.

Jaarlijks ben ik verantwoordelijk voor het droppen van verscheidene dummy's om mensen bewust te maken geen USB sticks zomaar in je PC of laptop te rammen.

[Reactie gewijzigd door FatalExperiment op 11 mei 2018 14:44]

Ok... maar wat is dan het nut van het droppen van die USB-sticks? Ik bedoel: je staat het toe en neemt de juiste maatregelen of je blokkeert de boel. Met dit soort acties word je snel het irritantste jongetje van de klas lijkt en :)
Dat kan een stuk awareness opleveren natuurlijk. Veel mensen zijn zich lang niet altijd bewust van de risico's en elk persoon is nieuwsgierig van aard.

Awareness programma's zijn een aanvulling op technische maatregelen en beleid. De zwakste schakel is vrijwel altijd de mens zelf.
Die dummy USB sticks sturen een mail via die persoon zijn profiel naar een bepaalde server. Nadien krijgt die persoon een melding dat hij/zij een training moet volgen ivm data security. Dit is in afwachting van het sluitende systeem waar men uiteindelijk elke USB disk verbied.
De officiële maatregel die moet genomen worden wanneer je een onbekende USB disk vind is: je gooit de stick weg of levert hem af bij de IT dienst als die langs komt.
Als men USB drives krijgt van beurzen is de regel dat die personen ook nog altijd langs IT passeert, alleen wordt hier geen controle op gedaan.
Ja want clouddiensten zijn wél altijd veilig. *Bonkt met hoofd op bureau*
Ja want clouddiensten zijn wél altijd veilig. *Bonkt met hoofd op bureau*
Mmmmm, de praktijk leert dat dat wel zo is he? Ik kan me geen grote hack op cloud data herinneren en vrijwel allemaal zijn ze op dit moment correct encrypted.

Behalve als je zelf een zeer goede ICT afdeling hebt die alles dichttimmeren denk ik dat cloud opslag de veiligste wijze van opslag is.
Dropbox vergeten? Is al wat langer geleden ja, en ik zag dat IBM dat al niet toestond, maar dat wil niet zeggen dat het uit handen geven van je data een goed plan is...

Om maar te zwijgen van je compliancy en overheden die inzage gaan claimen in je data.
Dat is dan ook precies de enige Cloud dienst waar er 2 dataleken van bekend zijn.

Ik ken ze niet van Google Drive, OneDrive of AWS.
Ik hou twijfels bij cloud diensten, zoals o.a. Stack (en door de eerdere lekken bij Dropbox). Weliswaar niet een target zoals voorgenoemde 3 platformen, maar ook niet de bugetten voor security zoals bij voorgenoemnde 3 platformen.

Ik ben in ieder geval heel blij met mijn GSuite abonnement en heb geen reden om te twijfleen over de veiligheid van de mijn data.
Ik kan me nog iets herrineren genaamd 'the fappening' van icloud.
Daarnaast lees je om de haverklap dat er online diensten gehacked zijn, er gegevens gestolen zijn etc en echt niet alleen van de kleinere spelers.
Ik kan me nog iets herrineren genaamd 'the fappening' van icloud.
Yup, de data is net zo veilig als het wachtwoord van de persoon die het heeft opgeslagen.
Dat was ook daar het geval en had niets te maken dat de clouddienst onbetrouwbaar is en was.
Daarnaast lees je om de haverklap dat er online diensten gehacked zijn, er gegevens gestolen zijn etc en echt niet alleen van de kleinere spelers.
Klopt, databases die benaderbaar zijn, niet goed zijn afgesloten oid.
Die kun je wel in de cloud opslaan, maar zijn ook door een service benaderbaar, en dan heb je al een potentieel lek als je de service niet goed beveiligd.

Ik heb nog nooit gezien dat een gehele DB is buitgemaakt, maar enkel gegevens die via invoervelden via een website opvraagbaar waren.
Ja, in combinatie met functionaliteit zoals bijvoorbeeld Azure AD RMS wel.
Eh, nee. Niks is veilig. Nooit.

Leer eerst users maar eens om écht moeilijke wachtwoorden te bedenken en die niet met Post-It's onder het toetsenbord te plakken.

[Reactie gewijzigd door DigitalExcorcist op 11 mei 2018 15:31]

De tijd van moeilijke wachtwoorden is inmiddels wel voorbij, omdat die met een beetje social engineering ook wel te achterhalen zijn. En als de sociale engineering niet werkt, dan is er nog altijd brute force. Hoewel ik een hekel heb aan 3FA, kan ik best leven met 2FA. Ik denk dat dat voor de meeste gebruikers wel geldt. Voorlopig is 2FA redelijk voldoende, daarmee zijn zelfs wachtwoorden als "Wachtwoord1" veilig.

Als je 2FA combineert met RMS, dan ben je als organisatie redelijk veilig.
daarmee zijn zelfs wachtwoorden als "Wachtwoord1" veilig.
No offence maar het gebruik van 2 of meerdere factoren maakt een wachtwoord zelf niet veiliger.
Dit is een grove misvatting die je vaak tegen komt. Het gaat bij multi factor juist om het toevoegen van meerdere factoren als barrière. Waarmee je de keten wilt versterken. Zoals jij het nu zegt maakt de 2e factor de eigenschappen van de 1e factor sterker wat gewoon onzin is.
Dat zeg ik niet. Ik zeg dat moeilijke wachtwoorden net zo makkelijk te achterhalen zijn als makkelijke wachtwoorden. Videokaarten worden namelijk steeds sneller.

En er speelt wel meer mee. Het wachtwoord "Ik heb een veilig wachtoord" is bijvoorbeeld veiliger dan het wachtwoord "2!KJAwW$R7#." Van de laatste is de hash namelijk op een oude Stealth 3D 2000 videokaart in 5 seconden terug te rekenen. Van de eerste is dat veeeeeeeel moeilijker en daarvoor heb je minstens een GTX1080 nodig. Maar ook dan ben je hooguit een paar uur bezig. Alleen een paar uur is wel een groot verschil met 5 seconden. In beide gevallen is 2FA dus een must, en wil je liever 3FA.

Maar wat het belangrijkste is in het geval van USB opslag, is dat je achteraf en offline de toegangsrechten kan intrekken. Dankzij RMS is dat mogelijk, ook al is een USB stick al maandenlang offline.

[Reactie gewijzigd door Trommelrem op 11 mei 2018 16:02]

Lijkt me niet het hele verhaal. Hangt sterk af van het type hashing.

Beetje fatsoenlijke password opslag gebruikt iets als het volgende:
https://blog.agilebits.co...ds/2012/07/jtr-speed.html

Zelfs met enkel het verouderde SHA-1 voor 8 karakters 1 dag en 3 uur op een GTX 1080:
https://image.slidesharec...-11-638.jpg?cb=1478467155

Wat jij schreef met 12 karakters van 95 mogelijkheden per karakter komt al uit op 79 bits aan zoekruimte. Zelfs met een 32 peta hash miner chip doorzoek je een ruimte van 55 bits per seconde. Voor die overige 24 bits zul je dan toch echt nog een half jaar moeten rekenen met het beste dat we nu hebben, ver voorbij een GTX 1080, maar die miner hardware is (gelukkig?) niet geschikt voor complexere wachtwoord opslag zoals die genoemd in de eerste link.
https://en.bitcoin.it/wiki/Mining_hardware_comparison

Dus zeker een goede passphrase gebruiken en geen "Wachtwoord1". Die heb je vast al na 50.000 zoekpogingen te pakken, namelijk van een dictionary. Dat komt overeen met nog geen 16 bits aan totale zoekruimte. Gaat je met 79 bits aan zoekruimte ook al niet lukken om een dictionary op te bouwen, die schijfruimte heb je domweg niet...

[Reactie gewijzigd door OruBLMsFrl op 11 mei 2018 22:46]

Je doet je naam eer aan. ;)

écht moeilijke wachtwoorden zorgen in het bedrijfsleven voor Post-its.

Met een minimum aantal karakters (beveiligingszin) ben je veiliger dan een kort wachtwoord met allerlei achterlijke regels die dan ook nog eens te vaak vervangen moeten worden.

2FA hoort er wel bij.
De veelheid aan wachtwoorden en de frequentie van het veranderen helpen ook bepaald niet. Ik heb voor mn dagelijks werk (BOFH) al 4 softtokens. Om maar te zwijgen van alle gewone wachtwoorden die ik al moet onthouden, rouleren, niet hergebruiken en complex moeten zijn en om de 3 maanden verlopen.

2FA is wel prettig maar voor eindgebruikers vaak ook niet dé oplossing. Ik zie met regelmaat dat klokken niet in sync zijn en dan werken die dingen al niet. Gebruiker is op vakantie en moet écht inloggen, is dan al over de zeik omdat het niet in één keer werkt en ervaart het dan als hopeloos gekloot van niks. “Want één keer een wachtwoord is toch ook al prima?”
Eindgebruikers weten weinig tot niets af van beveiliging en hun mening is daarbij meteen nullified.

Moeder des huizes ook: "jamaar met dat extra kastje om te moeten inloggen bij mijn bank, is da allemaal wel nodig, dat maakt het toch zo moeilijk" - ocharm 20 seconden extra werk, een extra laag beveiliging tegen hackers, maar het was enkel 'ikke ikke ikke (heb er last van)'.... Tja, die hackers nog meer maar daar denk je niet aan tot het te laat is.
Maar zal IBM niet zelf daarin voorzien? Ze hebben de techniek en het geld ervoor. Dus die hoeven niet perse naar Microsoft of Dropbox te stappen hiervoor.
IBM heeft gewoon zelf hun clouddienst.
De met voorsprong allergrootste hack in mijn branche was het leegroven van de klantendatabase van Deutsche Telekom. Een volledige in house job. Er was zelfs niets geoutsourced qua personeel.
Hmm, volgens mij zijn er wel gevallen waar geen internet of heel langzaam internet beschikbaar is, dan moet je alles van online cloud gaan trekken, niet ideaal.

Kunnen ze niet een draagbaar medium ontwikkelen voor hun eigen gebruik met encryptie o.i.d., lijkt me makkelijker en beter.
er zijn wel jamesbond achtige usb data dragers
met een soort van hardwarematige encryptie en die kosten ook wat
maar ik heb geen flauw idee of er er inmiddels een 'rubberducky' usb-stick bestaat, die inmiddels al de policies afgaat en alsnog de policies kan omzeilen
vreemd dat het nog toegestaan werd, zie tegenwoordig geen enkel bedrijf nog waar dit mag.
Ik ben nog nooit een bedrijf tegengekomen waar het niet mocht.
"Dan zijn we nog nooit bij dezelfde bedrijven geweest" — 2green

“When you eliminate the impossible, whatever remains, however improbable, must be the truth.” — Spock

[Reactie gewijzigd door 2green op 11 mei 2018 16:14]

Moet je toch eens van de zolderkamer afkomen. Er zijn zeer veel bedrijven die geen enkele policy hebben op het gebied van databeveiliging. Niet zozeer in de ICT sector, maar wel in alle overige sectoren waar de ICT een subafdeling is binnen het bedrijf.
"Als je alleen bij bedrijven komt waar dit niet mag, leef je op je zolder kamer" — Fairy

"Highly illogical." — Spock
Wat goed op te lossen is met encrypted, usb disks of encrypted bestanden met DLP policies, helaas willen de meeste bedrijven hier geen geld in stoppen en is verbieden dan makkelijker


Om te kunnen reageren moet je ingelogd zijn


Call of Duty: Black Ops 4 HTC U12+ dual sim LG W7 Samsung Galaxy S9 Dual Sim OnePlus 6 Battlefield V Microsoft Xbox One X Apple iPhone 8

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank en Intermediair de Persgroep Online Services B.V. © 1998 - 2018 Hosting door True

*