Gartner over gehypete securitytechnologieën

Volgens Gartner zijn er heel wat veiligheidssystemen die het gros van de bedrijven in de eerste vijf jaar niet nodig zal hebben, zo meldt Infoworld. Bij die technologieën horen onder andere persoonlijke digitale handtekeningen, quantum key changes, passieve intrusiedetectie en biometrische controles. Volgens Victor Wheatman, een van Gartners topmensen, moet men goed beseffen welke techologieën men wel of niet nodig heeft en waarom dat zo is. Persoonlijke digitale handtekeningen zijn volgens hem bijvoorbeeld overbodig omdat in de meeste gevallen een elektronische handtekening volstaat.

Computer / Veiligheid / Security Biometrische controles zijn op hun beurt onhandig en niet nuttig zolang mensen hun wachtwoord kunnen onthouden. Anderzijds zijn er ook dingen die wel nodig zijn, maar in de meeste gevallen veel eenvoudiger kunnen. Security policies die vijfhonderd pagina's in beslag nemen zijn in de meeste gevallen bijvoorbeeld veel te ingewikkeld. Dergelijke zaken moeten duidelijk een eenvoudig zijn, zodat ze ook efficiënt gebruikt kunnen worden.

Systeembeheerders doen er volgens Gartner vooral goed aan om goed na te denken over het ontwerp van de systemen, zodat achteraf zo weinig mogelijk gepatched moet worden. Daarom is het ook belangrijk dat zij er bij de ontwikkelaars op aandringen om hun software zo veilig mogelijk te maken. Bugs achteraf herstellen blijkt namelijk drie tot vijf keer zoveel te kosten dan wanneer de software meteen goed gebouwd wordt.

IT-banen

Reacties (20)

The Noid 21 september 2004 09:55

Wat is het verschil tussen een "digitale handtekening" en een "electronische handtekening" ?
Het lijkt mij dat de meeste digitale handtekeningen toch echt electronisch zijn... en omgekeert.

BarôZZa @The Noid • 21 september 2004 10:31

Met digitale handtekeningen worden volgens mij een unieke digitale identificatie key bedoeld terwijl ze bij een elektrische handtekening gewoon bedoelen dat je je normale handtekening digitaal verstuurt(dus met zo'n speciaal vlakje + pennetje, wat je soms ook moet doen als je een aangetekend pakje krijgt). Al blijven de termen natuurlijk nogal scheef gekozen.

KoKro @The Noid • 21 september 2004 11:27

Quote uit een column van Edo Roos Lindgreen in de Computable van 1 juni 2001:

Veel mensen denken dat een digitale handtekening hetzelfde is als een gedigitaliseerde handtekening. Een gif-plaatje van je handtekening, dat je in een Word-document kunt opnemen. Zo simpel is het jammer genoeg niet.
Maar wat is het dan wel? Het wetsvoorstel geeft geen details, en dat is maar goed ook. Wel meldt het wetsvoorstel waar een digitale handtekening aan moet voldoen. Hij moet uniek en persoonsgebonden zijn. En hij mag niet vervalst kunnen worden. Klinkt redelijk. Maar hoe werkt het nou?
Volgens cryptografen is een digitale handtekening de versleuteling van een bericht met een geheime sleutel op basis van public-key encryptie. Cryptische woorden, maar wel waar. Bijna alle digitale handtekeningen werken op die manier. Alleen de eigenaar van de geheime sleutel kan een digitale handtekening zetten. De rest van de wereld kan die handtekening met een bijbehorende openbare sleutel controleren. Die sleutel zit weer in een certificaat, dat is uitgegeven en ondertekend door een officiële autoriteit.

Op justitie.nl verwoorden ze de volgende definitie:

Een elektronische handtekening is een elektronische variant van een geschreven handtekening. Een elektronische handtekening bestaat uit elektronische gegevens die zijn vastgehecht aan andere elektronische gegevens (bijvoorbeeld een tekstbestand), of die daarmee logisch zijn geassocieerd. Belangrijk is dat de elektronische handtekening wordt gebruikt als middel voor authentificatie. Dat wil zeggen dat daarmee de door de ondertekenaar geclaimde identiteit kan worden gecontroleerd. Vanwege de snelle technologische ontwikkelingen stelt de wetgever bewust geen specifieke technische eisen aan een elektronische handtekening. Een elektronische handtekening kan met elke willekeurige techniek worden aangemaakt. De gebruikte techniek kan echter wel gevolgen hebben voor de betrouwbaarheid van de elektronische handtekening.

Zelf moet ik het Gartner stuk nog maar eens goed lezen voor de definitie van een "persoonlijke digitale handtekening". (Ik moet toch wat doen om mijn CISSP titel te kunnen handhaven.

BarôZZa 21 september 2004 09:18

Wat een onzinnig populair gelul.

Persoonlijke digitale handtekeningen zijn volgens hem bijvoorbeeld overbodig omdat in de meeste gevallen een elektronische handtekening volstaat.

Het is overbodig omdat het in de meeste gevallen niet nodig is? Voor de overige gevallen is het dus wel een optie.

Biometrische controles zijn op hun beurt onhandig en niet nuttig zolang mensen hun wachtwoord kunnen onthouden.

Onhandig? Een scan van je vinger of iets dergelijks lijkt me sneller en makkelijker dan een wachtwoord invoeren. Daarnaast kunnen ze nog altijd nuttig zijn aangezien het gros van de mensen het nog steeds nodig blijkt te vingen om Access of de naam van hun liefje als wachtwoord te nemen. Een wachtwoord als x7yRiL2bb4 wordt niet gemakkelijk onthouden, tenzij je liever hebt dat mensen het weer op een briefje gaan schrijven.

Systeembeheerders doen er volgens Gartner vooral goed aan om goed na te denken over het ontwerp van de systemen, zodat achteraf zo weinig mogelijk gepatched moet worden. Daarom is het ook belangrijk dat zij er bij de ontwikkelaars op aandringen om hun software zo veilig mogelijk te maken. Bugs achteraf herstellen blijkt namelijk drie tot vijf keer zoveel te kosten dan wanneer de software meteen goed gebouwd wordt.

Elke developer probeert haar software al zo veilig en bugvrij mogelijk te maken. De meeste bugs kom je echter pas bij veelvuldig gebruik in de praktijk tegen. Daarnaast is het meestal qua kosten minder erg om het achteraf te fixen, aangezien ze het dan al gereleased hebben, inkomsten terug hebben en weten hoe populair een product is(als het product niet goed verkoopt, dan zou je onnodig veel tijd en geld in bugfixing gestoken hebben).

@ Jonoz: Het gaat er niet om of het gelijk in alle gevallen toegepast moet worden. Zoals gezegd is het in de meeste gevallen niet nodig, maar betekent niet dat het overbodig is, aangezien het in sommige gevallen gewoon niet verstandig zou zijn om een kritiek systeem te beveiligen met een enkel wachtwoordje. Dat soort bedrijven zullen ook genoeg geld hebben om daar geld in te investeren, omdat de belangen veel groter zijn. Daarnaast zal de techniek ook goedkoper worden, waardoor het voor de normale consument betaalbaar zal zijn. Met je vingerafdruk thuis inloggen lijkt me wel veiliger dan met een wachtwoordje dat iedereen kan raden. Ooit een hotmail account van een niet-treaker proberen in te komen? Meestal lukt het me binnen een paar minuten door een dom wachtwoord of geheime vraag.

@ Gijoke: Dan geeft hij volgens mij nog altijd voorbeelden van welke technieken volgens heb overbodig zijn en ik geef aan waarom de techniek die hij in het voorbeeld geeft niet overbodig is.

Verwijderd @BarôZZa • 21 september 2004 09:58

Persoonlijke digitale handtekeningen zijn volgens hem bijvoorbeeld overbodig omdat in de meeste gevallen een elektronische handtekening volstaat.
Het is overbodig omdat het in de meeste gevallen niet nodig is? Voor de overige gevallen is het dus wel een optie.

volgens mij lees je het niet goed. Er staat dat het 'BIJVOORBEELD overbodig is'. Kennelijk kan hij er meer noemen, maar is dit de belangrijkste.

miw @Verwijderd • 21 september 2004 10:53

Een handtekening is dus per definitie persoonlijk. Dus ik snap die overbodigheid niet zo erg.

Verwijderd @miw • 21 september 2004 11:19

Een digitale handtekening niet

Vaak heeft een bedrijf één of slechts een paar digitale handtekeningen waarmee bepaalde handelingen worden bevestigd. Nadeel is dat je dan niet kan zien wie de handtekening gebruikt heeft. Dus zijn er tegenwoordig systemen waarin iedereen een eigen persoonlijke digitale handtekening heeft.

Mooier, natuurlijk. Zinvol, vaak niet.

Janoz Moderator PRG/SEA @BarôZZa • 21 september 2004 09:48

Als het voor de meeste gevallen niet nodig is en voor die paar anderen eventueel een optie, waarom zou je er dan in investeren?

----

Stel je hebt een kantoor met 500 werkplekken. Waarom zou je dan 500 vingerafdruk scanners aan moeten schaffen en een compleet nieuw authenticatie systeem uitrollen waneer mensen hun wachtwoord ook wel gewoon kunnen onthouden? Dat lijkt mee een beetje verspilling van geld.

----

Hmm, dat vind ik dan weer vreemd. Voor het inloggen moet een berg worden geinfesteerd, maar bij het opleveren van juiste software mag weer worden beknibbelt. Feit blijft dat een goed ontwerp veel vervelende bugs voorkomt. Een typefout is snel gemaakt utieraard, maar een ontwerp fout is toch iets wat je er in een redelijk vroeg stadium al uit moet hebben. Dat zijn de fouten waar hier over wordt gepraat en dat zijn ook de fouten die enorm duur zijn omdat vaak complete onderdelen van een applicatie opnieuw gemaakt moeten worden.

boner 21 september 2004 09:08

Systeembeheerders doen er volgens Gartner vooral goed aan om goed na te denken over het ontwerp van de systemen, zodat achteraf zo weinig mogelijk gepatched moet worden. Daarom is het ook belangrijk dat zij er bij de ontwikkelaars op aandringen om hun software zo veilig mogelijk te maken. Bugs achteraf herstellen blijkt namelijk drie tot vijf keer zoveel te kosten dan wanneer de software meteen goed gebouwd wordt.

Alereerst moet je als systeem beheerder altijd nadenken voordat je iets doet. En ten tweede lijkt mij dat dit in bedrijven van enige afmetingen pas ter sprake komt. En die hebben vaak architecten die dat soort beslissingen nemen. (En ook die moeten natuurlijk eerst nadenken en dan pas aanschaffen).

JDO @boner • 21 september 2004 09:19

Jammer genoeg moeten de aanbevelingen van deze architecten meestal passeren langs de "pointy-haired boss", die ze dan afzwakt (in het kader van besparingen, bvb) of zodanig verandert (verminkt, eigenlijk), dat er van (betere) security achteraf geen sprake meer is...

Asteroid9 @JDO • 21 september 2004 09:45

Scott Adams roeleert

kodak @boner • 21 september 2004 10:50

En ten tweede lijkt mij dat dit in bedrijven van enige afmetingen pas ter sprake komt.

Nou, nee hoor. Ieder systeem heeft in principe een of meerdere beheerders. Soms is men zich daar alleen niet van bewust omdat het een bijtaak is. Maar iemand moet die apparaten toch aanschaffen, plaatsen en onderhouden. Probleem is dat die personen er vaak weinig verstand van hebben en dus lukraak handelen, met juist dan als gevolg teveel tijd kwijt zijn aan patchen, backups maken, terugzetten, reparaties, etc. Ook zeer kleine ondernemingen hebben zo binnen de kortste tijd teveel tijd en geld aan dit beheer besteed.
Het op aandringen van ontwikkelaars om software zo veilig mogelijk te maken kunnen ze natuurlijk niet intern doen, maar de leverancier/ontwikkelbedrijf hier flink op aanspreken (en dat is helaas vaak nodig) zou helemaal geen overbodige luxe zijn om problemen zo veel mogelijk te voorkomen. Want het stikt van de rotzooi aan software voor het MKB.Maar hoe maak je dat een apotheker, sportinstructeur, personalcoach of boekhandelaar duidelijk?

Verwijderd 21 september 2004 09:54

Systeembeheerders doen er volgens Gartner vooral goed aan om goed na te denken over het ontwerp van de systemen, zodat achteraf zo weinig mogelijk gepatched moet worden. Daarom is het ook belangrijk dat zij er bij de ontwikkelaars op aandringen om hun software zo veilig mogelijk te maken. Bugs achteraf herstellen blijkt namelijk drie tot vijf keer zoveel te kosten dan wanneer de software meteen goed gebouwd wordt.

Lekker open deur intrappen zeg! Eerst denken, dan doen gaat overal en altijd op natuurlijk. Iets in één keer goed doen is altijd beter dat achteraf de rotzooi op moeten ruimen. En hier spreekt dan een euh, autoriteit op dit gebied? Beetje wandtegel wijsheid als je het mij vraagt.

Verwijderd 21 september 2004 10:58

Biometrische controles zijn op hun beurt onhandig en niet nuttig zolang mensen hun wachtwoord kunnen onthouden

dit is wel degelijk handig. nu moet ik op het werk voor 3 verschillende computer systemen + email + een aantal andere tools een wachtwoord hebben dat steeds moet worden veranderd. ik wordt er gek van. doe mij maar een vinger scan, veel handiger.

sniek 21 september 2004 11:28

Ik vind de mening van Gartner inderdaad behoorlijk ongenuanceerd. Eens ben ik het met hem dat deze ontwikkelingen op korte termijn weinig impact zullen hebben. Maar met de sterke opkomst van open source en dus een groeiende behoefte aan (user-end) security denk ik dat vele vernieuwingen wel degelijk het verder ontwikkelen waard zijn.

Gartner doet mij inderdaad een beetje grijs/stoffig aan!

(edit/taalfout)

Verwijderd 21 september 2004 20:09

Op zich niet een gek verhaal van Gartner....maar:

Als je nu eerst eens een goede dreigingsanalyse en een risico analyse maakt dan maak je inzichtelijk waar je je tegen moet beschermen en welke beveiligingsmaatregelen je dus moet treffen.

Mister_X 21 september 2004 12:54

ben het er helemaal mee oneens....

Verwijderd 21 september 2004 13:06

Afgezien van de inhoud van de boodschap, is het wel eens goed om iemand te horen die probeert pas op de plaats te maken. Herinnert u zich deze nog: Millenium Probleem. Hoe dichterbij 1-1-200 kwam, hoe meer mensen schatrijk werden door op juiste toon de ondergang van hele groepen te voorspellen. Het behoeft geen betoog dat "zij" de oplossing hadden en dat ze zich daar prettig voor lieten betalen.

Mathijs1 21 september 2004 13:25

typo: techologieën -> technologieën

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (20)

Sorteer op:

Weergave: