Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 20 reacties
Bron: Infoworld

Volgens Gartner zijn er heel wat veiligheidssystemen die het gros van de bedrijven in de eerste vijf jaar niet nodig zal hebben, zo meldt Infoworld. Bij die technologieŽn horen onder andere persoonlijke digitale handtekeningen, quantum key changes, passieve intrusiedetectie en biometrische controles. Volgens Victor Wheatman, een van Gartners topmensen, moet men goed beseffen welke techologieŽn men wel of niet nodig heeft en waarom dat zo is. Persoonlijke digitale handtekeningen zijn volgens hem bijvoorbeeld overbodig omdat in de meeste gevallen een elektronische handtekening volstaat.

Computer / Veiligheid / SecurityBiometrische controles zijn op hun beurt onhandig en niet nuttig zolang mensen hun wachtwoord kunnen onthouden. Anderzijds zijn er ook dingen die wel nodig zijn, maar in de meeste gevallen veel eenvoudiger kunnen. Security policies die vijfhonderd pagina's in beslag nemen zijn in de meeste gevallen bijvoorbeeld veel te ingewikkeld. Dergelijke zaken moeten duidelijk een eenvoudig zijn, zodat ze ook efficiŽnt gebruikt kunnen worden.

Systeembeheerders doen er volgens Gartner vooral goed aan om goed na te denken over het ontwerp van de systemen, zodat achteraf zo weinig mogelijk gepatched moet worden. Daarom is het ook belangrijk dat zij er bij de ontwikkelaars op aandringen om hun software zo veilig mogelijk te maken. Bugs achteraf herstellen blijkt namelijk drie tot vijf keer zoveel te kosten dan wanneer de software meteen goed gebouwd wordt.

Lees meer over

Moderatie-faq Wijzig weergave

Reacties (20)

Wat is het verschil tussen een "digitale handtekening" en een "electronische handtekening" ?
Het lijkt mij dat de meeste digitale handtekeningen toch echt electronisch zijn... en omgekeert.
Met digitale handtekeningen worden volgens mij een unieke digitale identificatie key bedoeld terwijl ze bij een elektrische handtekening gewoon bedoelen dat je je normale handtekening digitaal verstuurt(dus met zo'n speciaal vlakje + pennetje, wat je soms ook moet doen als je een aangetekend pakje krijgt). Al blijven de termen natuurlijk nogal scheef gekozen.
Quote uit een column van Edo Roos Lindgreen in de Computable van 1 juni 2001:
Veel mensen denken dat een digitale handtekening hetzelfde is als een gedigitaliseerde handtekening. Een gif-plaatje van je handtekening, dat je in een Word-document kunt opnemen. Zo simpel is het jammer genoeg niet.
Maar wat is het dan wel? Het wetsvoorstel geeft geen details, en dat is maar goed ook. Wel meldt het wetsvoorstel waar een digitale handtekening aan moet voldoen. Hij moet uniek en persoonsgebonden zijn. En hij mag niet vervalst kunnen worden. Klinkt redelijk. Maar hoe werkt het nou?
Volgens cryptografen is een digitale handtekening de versleuteling van een bericht met een geheime sleutel op basis van public-key encryptie. Cryptische woorden, maar wel waar. Bijna alle digitale handtekeningen werken op die manier. Alleen de eigenaar van de geheime sleutel kan een digitale handtekening zetten. De rest van de wereld kan die handtekening met een bijbehorende openbare sleutel controleren. Die sleutel zit weer in een certificaat, dat is uitgegeven en ondertekend door een officiŽle autoriteit.
Op justitie.nl verwoorden ze de volgende definitie:
Een elektronische handtekening is een elektronische variant van een geschreven handtekening. Een elektronische handtekening bestaat uit elektronische gegevens die zijn vastgehecht aan andere elektronische gegevens (bijvoorbeeld een tekstbestand), of die daarmee logisch zijn geassocieerd. Belangrijk is dat de elektronische handtekening wordt gebruikt als middel voor authentificatie. Dat wil zeggen dat daarmee de door de ondertekenaar geclaimde identiteit kan worden gecontroleerd. Vanwege de snelle technologische ontwikkelingen stelt de wetgever bewust geen specifieke technische eisen aan een elektronische handtekening. Een elektronische handtekening kan met elke willekeurige techniek worden aangemaakt. De gebruikte techniek kan echter wel gevolgen hebben voor de betrouwbaarheid van de elektronische handtekening.
Zelf moet ik het Gartner stuk nog maar eens goed lezen voor de definitie van een "persoonlijke digitale handtekening". (Ik moet toch wat doen om mijn CISSP titel te kunnen handhaven.
Wat een onzinnig populair gelul.
Persoonlijke digitale handtekeningen zijn volgens hem bijvoorbeeld overbodig omdat in de meeste gevallen een elektronische handtekening volstaat.
Het is overbodig omdat het in de meeste gevallen niet nodig is? Voor de overige gevallen is het dus wel een optie.
Biometrische controles zijn op hun beurt onhandig en niet nuttig zolang mensen hun wachtwoord kunnen onthouden.
Onhandig? Een scan van je vinger of iets dergelijks lijkt me sneller en makkelijker dan een wachtwoord invoeren. Daarnaast kunnen ze nog altijd nuttig zijn aangezien het gros van de mensen het nog steeds nodig blijkt te vingen om Access of de naam van hun liefje als wachtwoord te nemen. Een wachtwoord als x7yRiL2bb4 wordt niet gemakkelijk onthouden, tenzij je liever hebt dat mensen het weer op een briefje gaan schrijven.
Systeembeheerders doen er volgens Gartner vooral goed aan om goed na te denken over het ontwerp van de systemen, zodat achteraf zo weinig mogelijk gepatched moet worden. Daarom is het ook belangrijk dat zij er bij de ontwikkelaars op aandringen om hun software zo veilig mogelijk te maken. Bugs achteraf herstellen blijkt namelijk drie tot vijf keer zoveel te kosten dan wanneer de software meteen goed gebouwd wordt.
Elke developer probeert haar software al zo veilig en bugvrij mogelijk te maken. De meeste bugs kom je echter pas bij veelvuldig gebruik in de praktijk tegen. Daarnaast is het meestal qua kosten minder erg om het achteraf te fixen, aangezien ze het dan al gereleased hebben, inkomsten terug hebben en weten hoe populair een product is(als het product niet goed verkoopt, dan zou je onnodig veel tijd en geld in bugfixing gestoken hebben).

@ Jonoz: Het gaat er niet om of het gelijk in alle gevallen toegepast moet worden. Zoals gezegd is het in de meeste gevallen niet nodig, maar betekent niet dat het overbodig is, aangezien het in sommige gevallen gewoon niet verstandig zou zijn om een kritiek systeem te beveiligen met een enkel wachtwoordje. Dat soort bedrijven zullen ook genoeg geld hebben om daar geld in te investeren, omdat de belangen veel groter zijn. Daarnaast zal de techniek ook goedkoper worden, waardoor het voor de normale consument betaalbaar zal zijn. Met je vingerafdruk thuis inloggen lijkt me wel veiliger dan met een wachtwoordje dat iedereen kan raden. Ooit een hotmail account van een niet-treaker proberen in te komen? Meestal lukt het me binnen een paar minuten door een dom wachtwoord of geheime vraag.

@ Gijoke: Dan geeft hij volgens mij nog altijd voorbeelden van welke technieken volgens heb overbodig zijn en ik geef aan waarom de techniek die hij in het voorbeeld geeft niet overbodig is.
Persoonlijke digitale handtekeningen zijn volgens hem bijvoorbeeld overbodig omdat in de meeste gevallen een elektronische handtekening volstaat.
Het is overbodig omdat het in de meeste gevallen niet nodig is? Voor de overige gevallen is het dus wel een optie.
volgens mij lees je het niet goed. Er staat dat het 'BIJVOORBEELD overbodig is'. Kennelijk kan hij er meer noemen, maar is dit de belangrijkste.
Een handtekening is dus per definitie persoonlijk. Dus ik snap die overbodigheid niet zo erg.
Een digitale handtekening niet :)
Vaak heeft een bedrijf ťťn of slechts een paar digitale handtekeningen waarmee bepaalde handelingen worden bevestigd. Nadeel is dat je dan niet kan zien wie de handtekening gebruikt heeft. Dus zijn er tegenwoordig systemen waarin iedereen een eigen persoonlijke digitale handtekening heeft.

Mooier, natuurlijk. Zinvol, vaak niet.
Als het voor de meeste gevallen niet nodig is en voor die paar anderen eventueel een optie, waarom zou je er dan in investeren?

----

Stel je hebt een kantoor met 500 werkplekken. Waarom zou je dan 500 vingerafdruk scanners aan moeten schaffen en een compleet nieuw authenticatie systeem uitrollen waneer mensen hun wachtwoord ook wel gewoon kunnen onthouden? Dat lijkt mee een beetje verspilling van geld.

----

Hmm, dat vind ik dan weer vreemd. Voor het inloggen moet een berg worden geinfesteerd, maar bij het opleveren van juiste software mag weer worden beknibbelt. Feit blijft dat een goed ontwerp veel vervelende bugs voorkomt. Een typefout is snel gemaakt utieraard, maar een ontwerp fout is toch iets wat je er in een redelijk vroeg stadium al uit moet hebben. Dat zijn de fouten waar hier over wordt gepraat en dat zijn ook de fouten die enorm duur zijn omdat vaak complete onderdelen van een applicatie opnieuw gemaakt moeten worden.
Systeembeheerders doen er volgens Gartner vooral goed aan om goed na te denken over het ontwerp van de systemen, zodat achteraf zo weinig mogelijk gepatched moet worden. Daarom is het ook belangrijk dat zij er bij de ontwikkelaars op aandringen om hun software zo veilig mogelijk te maken. Bugs achteraf herstellen blijkt namelijk drie tot vijf keer zoveel te kosten dan wanneer de software meteen goed gebouwd wordt.
Alereerst moet je als systeem beheerder altijd nadenken voordat je iets doet. En ten tweede lijkt mij dat dit in bedrijven van enige afmetingen pas ter sprake komt. En die hebben vaak architecten die dat soort beslissingen nemen. (En ook die moeten natuurlijk eerst nadenken en dan pas aanschaffen).
Jammer genoeg moeten de aanbevelingen van deze architecten meestal passeren langs de "pointy-haired boss", die ze dan afzwakt (in het kader van besparingen, bvb) of zodanig verandert (verminkt, eigenlijk), dat er van (betere) security achteraf geen sprake meer is...
Scott Adams roeleert :)
En ten tweede lijkt mij dat dit in bedrijven van enige afmetingen pas ter sprake komt.
Nou, nee hoor. Ieder systeem heeft in principe een of meerdere beheerders. Soms is men zich daar alleen niet van bewust omdat het een bijtaak is. Maar iemand moet die apparaten toch aanschaffen, plaatsen en onderhouden. Probleem is dat die personen er vaak weinig verstand van hebben en dus lukraak handelen, met juist dan als gevolg teveel tijd kwijt zijn aan patchen, backups maken, terugzetten, reparaties, etc. Ook zeer kleine ondernemingen hebben zo binnen de kortste tijd teveel tijd en geld aan dit beheer besteed.
Het op aandringen van ontwikkelaars om software zo veilig mogelijk te maken kunnen ze natuurlijk niet intern doen, maar de leverancier/ontwikkelbedrijf hier flink op aanspreken (en dat is helaas vaak nodig) zou helemaal geen overbodige luxe zijn om problemen zo veel mogelijk te voorkomen. Want het stikt van de rotzooi aan software voor het MKB.Maar hoe maak je dat een apotheker, sportinstructeur, personalcoach of boekhandelaar duidelijk?
Systeembeheerders doen er volgens Gartner vooral goed aan om goed na te denken over het ontwerp van de systemen, zodat achteraf zo weinig mogelijk gepatched moet worden. Daarom is het ook belangrijk dat zij er bij de ontwikkelaars op aandringen om hun software zo veilig mogelijk te maken. Bugs achteraf herstellen blijkt namelijk drie tot vijf keer zoveel te kosten dan wanneer de software meteen goed gebouwd wordt.
Lekker open deur intrappen zeg! Eerst denken, dan doen gaat overal en altijd op natuurlijk. Iets in ťťn keer goed doen is altijd beter dat achteraf de rotzooi op moeten ruimen. En hier spreekt dan een euh, autoriteit op dit gebied? Beetje wandtegel wijsheid als je het mij vraagt. :+
Biometrische controles zijn op hun beurt onhandig en niet nuttig zolang mensen hun wachtwoord kunnen onthouden
dit is wel degelijk handig. nu moet ik op het werk voor 3 verschillende computer systemen + email + een aantal andere tools een wachtwoord hebben dat steeds moet worden veranderd. ik wordt er gek van. doe mij maar een vinger scan, veel handiger.
Ik vind de mening van Gartner inderdaad behoorlijk ongenuanceerd. Eens ben ik het met hem dat deze ontwikkelingen op korte termijn weinig impact zullen hebben. Maar met de sterke opkomst van open source en dus een groeiende behoefte aan (user-end) security denk ik dat vele vernieuwingen wel degelijk het verder ontwikkelen waard zijn.

Gartner doet mij inderdaad een beetje grijs/stoffig aan! :)

(edit/taalfout)
Op zich niet een gek verhaal van Gartner....maar:

Als je nu eerst eens een goede dreigingsanalyse en een risico analyse maakt dan maak je inzichtelijk waar je je tegen moet beschermen en welke beveiligingsmaatregelen je dus moet treffen.
Passiveve intrusie detectie overbodig ?

Eerst een definitie van actieve / passieve intrusie detectie:
Monitoring for Intrusion and Security Events
Monitoring for intrusion and security events includes both passive and active tasks. Many intrusions are detected after the attack has taken place through the inspection of log files. This post-attack detection is often referred to as passive intrusion detection. Only through inspection of the log files can the attack be reviewed and reconstructed based on the log information.

Other intrusion attempts can be detected as the attack takes place. This methodology, known as active intrusion detection, looks for known attack patterns or commands, and blocks the execution of those commands.
Ofwel: (autmatisch) logfiles checken is niet nuttig ??? Oke, het voorkomt geen aanval, maar je kunt het er wel mee detecteren en het is sowieso handig om herhaling te voorkomen (en bv. de aanvaller te achterhalen om eventuele kosten te verhalen).

Elke extra laag beveiliging is nuttig, mits correct (en gebruiksvriendelijk, anders wordt het niet goed 'gebruikt') geimplementeerd.

Gartner praat in mijn optiek wel vaker onzin, zie vooral artikelen in de Automatiserings Gids ... de tekst is zo opgesteld dat het eigenlijk betekenisloos is, zie bv. de 1ste regel:
The list of security items a company probably doesn't need within the next five years includes personal digital signatures, quantum key exchanges, passive intrusion detection, biometrics, tempest shielding (to protect some devices from emanating decipherable data), default passwords, or enterprise digital rights management outside of workgroups, according to Victor Wheatman, vice president and research area director at Gartner, based in Stamford, Connecticut.
'A company' ... jaja, ofwel 'een gemiddeld' bedrijf ... nou bv. oa. de Belgische .be registrar werkt met PGP gesigneerde emailtjes hoor ... enne bv. in Amerika is het doodnormaal dat logfiles op WORM (Write-Once Read-Many) devices worden opgeslagen om manipulatie te voorkomen.

Internet 2 is ook niet voor de grote massa, zou Gartner daar ook over schrijven dat het de komende 5 jaar niet voor de massa is ? |:(

Klinkt leuk, maar het artikel bevat eigenlijk alleen non-info die je ook zelf had kunnen bedenken ...
ben het er helemaal mee oneens....
Afgezien van de inhoud van de boodschap, is het wel eens goed om iemand te horen die probeert pas op de plaats te maken. Herinnert u zich deze nog: Millenium Probleem. Hoe dichterbij 1-1-200 kwam, hoe meer mensen schatrijk werden door op juiste toon de ondergang van hele groepen te voorspellen. Het behoeft geen betoog dat "zij" de oplossing hadden en dat ze zich daar prettig voor lieten betalen.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True