Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 42 reacties
Submitter: Cafe Del Mar

De Britse overheid is opnieuw in verlegenheid gebracht nu het ministerie van Defensie een excuusbrief heeft moeten sturen naar enkele duizenden Britten van wie gevoelige gegevens kwijt zijn geraakt na de diefstal van een notebook.

Eind vorige week werk bekend dat een Britse marineofficier een laptop met de persoonsgegevens van 600.000 Britten kwijt was geraakt. De computer werd gestolen uit een geparkeerde auto in Birmingham en bevatte onder meer paspoort- en verzekeringsnummers, en bankgegevens van personen die interesse hebben getoond in de Britse marine en de luchtmacht. De data waren niet versleuteld opgeslagen.

Diefstal laptop persoonsgegevens 3 Hoewel van veel geÔnteresseerden niet meer dan een naam bekend is, zijn van personen die daadwerkelijk hebben gesolliciteerd meer gegevens bekend. Defensie heeft als gevolg van de diefstal 3500 personen aangeschreven van wie bankgegevens op de laptop stonden.

Het incident staat niet op zichzelf. Afgelopen donderdag verloor een koerier in het Britse Devon honderden documenten met daarop fotokopieŽn van paspoorten en pensioengegevens. In november 2007 maakt de Britse overheid bekend dat het de kinderbijslaggegevens van 25 miljoen Britten was verloren. De minister van Defensie, Des Browne, zal maandagmiddag een verklaring geven over de diefstal.

Moderatie-faq Wijzig weergave

Reacties (42)

Kijk dat ze het kwijt geraakt zijn goed, kan gebeuren hoe lomp het ook is.

Maar dat in godsnaam die procedures het daar (en natuurlijk ook hier) het toelaten dat een individu met al die data over straat mag. En als het niet mag, waarom kan het dan toch?

Echt zulke lompe mensen die dergelijke IT omgevingen inrichten en onderhouden. Moet gewoon niet mogelijk zijn.

Zoiets hoort in een bunker/datacenter waarop je met VPN of whatsoever op kan inloggen, never nooit niet de gegevens zelf op een portable medium opslaan!
En als het niet mag, waarom kan het dan toch?
Ok, ff reality-check. Door rood rijden mag niet. Gebeurt toch dagelijks, misschien wel enkele honderden keren per dag. Waarom kan dat? Omdat je met mensen te maken hebt.
Hetzelfde geldt voor computers en data. Het mag niet, maar het gebeurt toch. Wat? Data meenemen op een USB stickie. Zelf een MP3 spelertje meenemen, of een digitale fotocamera. Of een mobiele telefoon met zo'n fijn microSD kaartje van 2 Gb. Of een laptop die geleend wordt om "thuis nog even wat te kunnen doen"...
Maar dat is het mooie van technologie.
Als die jongens gewoone en dikke database hebben hangen met alle data en een front end applicatie hebben die slechts het inzien toelaat (wat echt enorm makkelijk te doen is) dan kan die de data ook niet kopiŽren op een schijfje. Al die turbo dingen die je in films ziet gebeuren met mooie upload balkjes van hele databases vanaf elke terminal isecht onzin. Zelfs een kwaadwillende zou er bijzonder veel moeite mee hebben.

Of je moet van alle files printscreens maken, maar ik gok dat ie daar het geduld niet voor had.
Dat is in Engeland nu net het probleem. Jarenlang hebben ze niet gedurfd dergelijke gegevens aan het internet te hangen omdat kwaadwillenden altijd wel een weg erdoor kunnen vinden.

Ze moesten dus de data altijd fysiek vervoeren. Vroeg of laat gaat het dan toch een keer fout. Nu dus een flink aantal maal op rij. Dat waar ze bang voor zijn geweest: het op straat komen van vertrouwelijke gegevens, is dus toch gebeurd, alleen nu door gemakzucht.

Anders dan gemakzucht kan ik het versturen van vertrouwelijke data via een koerier of ťťn onbeveiligde medewerker niet noemen.
Het is de laatste tijd wel prijs met de gegevens in de UK. Begin me zo langzamerhand af te vragen of er niet een paar figuren zijn die op deze manier af proberen te dwingen dat de Engelse regering eens wat meer budgetten vrijmaakt voor ICT...

hoewel het natuurlijk allemaal losstaande incidenten zijn, die zelfs niets met elkaar te maken *lijken* te hebben...
Je mag zo veel geld als er is vrijmaken maar dit is niet een probleem van systemen maar meer van mensen. Als die persoon zijn laptop niet mooi had achter gelaten in zijn wagen dan was er niets aan de hand.
Je kan die systemen zo inrichten dat je 100 keer moet inloggen voor je aan iets kan en dat het niet te kraken is (of toch bijna niet) maar dan gaan mensen ofwel hun wachtwoord opschrijven (en dat steekt op plakt meestal dan ergens in de omgeving van die laptop) ofwel doen ze het buiten het systeem waardoor het ook vrij is.
Je moet mensen er van bewust maken dat ze eigenlijk met een kapitaal aan geld rond lopen.

ik vraag me af wat ze met dit soort gegevens zijn?
Je weet niks van de toedracht van de diefstal. Misschien wist de dief wat er op de laptop stond, en heeft deze daarom gestolen. Ik denk dat je voorzichtig moet zijn met speculaties, maar het blijft jammer dat deze data niet encrypted was/is..
Jammer!?! Schandalig zul je bedoelen. Alle portable media met gevoelige informatie zou standaard encrypted opgeslagen moeten worden. Een hele redelijke eis lijkt me die helemaal niet zo lastig te implementeren is...
Ook fout! De informatie hoort maar op 1 plaats aanwezig te zijn en dat is de database van de betreffende organisatie. Wil jij die informatie inzien, dan zul je een VPN (IPSEC) verbinding moeten opbouwen om vervolgens de applicatie te kunnen starten welke toegang kan krijgen tot de database op basis van de user login van de applicatie, bijvoorkeur zelfs via een X.509 certificaat.

Gelukkig heeft de Nederlandse Bank en Verbond van Verzekeraars dit soort regels wel opgesteld omdat je anders geen vergunning krijgt.

Dergelijke appliacties staan onder zeer strikte toezicht en elke na elke wijziging dient de applicatie opnieuw gecertificeerd te worden. Een van de rederenen waarom een oplossing van langere tijd duurt als een online banking website een bug heeft.

Daarmee komt de informatie niet op de laptop en is het ook geen probleem als deze wordt gestolen (usb stick in auto) of bij het grof vuil (officier van justitie) wordt gezet. Dergelijk applicaties mogen ook geen cache bijhouden zodat ook buiten de applicatie om geen informatie kan worden ingezien. Laptops van banken mogen ook geen swapfile hebben omdat de swap geheugen naar schrijf kan schrijven en daarmee een potentieel veiligheids probleem is.

Informatie van een bedrijf hoort het bedrijf niet te verlaten. Dat behoort de insteek van beveiliging zijn. Helaas wordt beveiliging vaak als laatste aan een applicatie toegevoegd in plaats van doorweven in de applicatie.

Helaas is het aantal organisaties welke goed over de ICT oplossingen heeft nagedacht op 1 hand te tillen.
Dit zou natuurlijk het mooiste zijn, maar is in werkelijkheid moeilijk te handhaven lijkt me: Een rechtspersoon heeft een verdacht profiel van een aantal mensen in kaart gebracht in een document en wil dit meenemen en laten zien aan derden. Dan is het natuurlijk ondoenlijk om ter plekke "even" verbinding met thuis te maken alleen maar om de benodigde gegevens (n.a.w./aanleiding/situatie/loggings/etc...) op te halen.
... en waarom zou dat niet kunnen tegenwoordig om ťven verbinding te maken'over een beveiligde lijn?
Wil jij die informatie inzien, dan zul je een VPN (IPSEC) verbinding moeten opbouwen om vervolgens de applicatie te kunnen starten welke toegang kan krijgen tot de database op basis van de user login van de applicatie, bijvoorkeur zelfs via een X.509 certificaat.
Volgens mij is ook zo'n VPN-verbinding niet afdoende... Kan vast ook wel gekraakt worden (al is 't door social engineering - iets wat altijd wordt onderschat. Kijk naar Kevin Mitnick). Sommige gegevens moet je gewoon niet aan internet koppelen. Leuk dat 't kan, maar de bijbehorende verantwoordelijkheden worden niet genomen - laat staan afgedwongen door toezichtshouders.
Welkom in de reele wereld, met gebruikers die al blij zijn als het werkt en al helemaal geen wachtwoorden in willen typen.
Kan in een complot ook de bedoeling geweest zijn van deze 'achteloze' militair om even alle gegevens van de marine in platte vorm op de laptop te laten staan.

Als deze dan 'gestolen' wordt, zijn er misschien veel landen/organisaties gebaat bij.
Spionage, etc...
Als deze dan 'gestolen' wordt, zijn er misschien veel landen/organisaties gebaat bij.
Spionage, etc...

Aan de ene kant heb je gelijk. Aan de andere kant: als hij/zij (of de echtgenoot/echtgenote) binnen een bepaalde termijn na het "kwijtraken" van die data plotseling een "erfenisje" krijgt, denk ik dat hij toch wel even op de koffie mag bij de geheime dienst om even wat uit te leggen...
Hoezo? Hij ging gewoon tanken en toen die terug kwam lag er een koffer in z'n achterbak. Zwart/corrupt geld gaat niet via bank transfers :P (Van horen zeggen)
Het is het aloude probleem 'Tis nie van mij, so I don't give a flying f***'.

Ik heb zelf bedrijfskritische informatie op mijn laptop staan, en ik zaag nog liever een vinger af dan dat ik dat ding in mijn auto laat liggen zodat ie eruit gejat kan worden. Als dat gebeurd kan ik bijna wel opdoeken, ondanks de backups.
Dat is voldoende motivatie om zo'n ding never ever ergens onbeheerd achter te laten.

Maar ja, als de laptop al niet eens van jezelf is en de informatie daarop ook al niet, sja, dan is het gewoon 'een ding van iemand anders' en daar ga je heel menselijk gewoon wat achtelozer mee om.

Ik probeer het zelf dan niet zo te doen, maar ik denk wel dat dat de automatische denkwijze van de meesten mensen is.

Desalniettemin, dit had natuurlijk nooit voor mogen komen en dergelijke zaken zouden alleen meegegeven mogen worden aan mensen die daarvoor de verantwoordelijkheid duidelijk voelen en deze ook nemen. Maar ja, hoe test je dat he. het blijven natuurlijk allemaal mensen.
Je kunt je data gewoon encrypten, beetje moderne laptop kan dat hardware matig. Anders heb je legio aan software matig oplossingen. Voorkomen is beter als genezen. Maar ik denk dat je met een goed gencrypte data al een stuk beter slaapt.
Dat kan je vrij makkelijk testen. Geef iemand een pen en vraag hem aan het einde van de dag terug. Dan zie je snel genoeg of iemand juist voorzichtiger met andermans spullen omgaat (ben ik zelf van, dat wat van mij is interesseert me juist niks), of dat hij er mee om gaat met het motto: boeien, is toch niet van mij.
Moet je er toch eens over nadenken wat er kan gebeuren als je bij een aanrijding betrokken raakt.
TrueCrypt verplicht stellen en mensen opleiden, problem solved.

Zolang mensen laks informatie op een onveilige manier blijven verplaatsen op een tastbaar medium, dan is er niet te spreken over beveiliging. Zeker niet bij de overheid.
En post-it's verbieden, zo'n post-it is namelijk ideaal om dat vervelende truecrypt wachtwoord op de laptop te plakken.
Kun je bij Truecrypt eigenlijk een reservewachtwoord instellen voor het geval de medewerker onder de tram komt? In dat geval zijn die post-its namelijk wel heel handig :)
Wat moet je in godsnaam met al die gegevens op een laptop?

Ik kan me voorstellen dat je van een dag of hoogstens een week gegevens op je laptop hebt staan, maar 600.000 / 3.500 personen? Kunnen die niet gewoon op een veilige centrale staan?

En dan is het ook nog onversleutelde data, en daarbovenop is het natuurlijk common sense dat je je laptop meeneemt als je een tijd niet in de auto zit, zeker 's nachts:

"The laptop was stolen from a Royal Navy recruitment officer after being left in a car in the Edgbaston area of Birmingham on the night of January 9 [snip]" - originele artikel
Wat moet je in godsnaam met al die gegevens op een laptop?
Precies wat mij door het hoofd ging, toen ik het stuk las.
Het lijkt wel mode tegenwoordig, om prutsers je netwerk samen te laten stellen. Vorige week de Amerikanen met hun elektriciteitsnet en ook Planet die zijn netwerk niet op orde heeft.
En nu weer een kluns die bedacht heeft dat gevoelige informatie op een laptop kan staan. Wie verzint zoiets.
Het grote nadeel van dit in het nieuws brengen is dat de dief nu waarschijnlijk weet dat de gegevens op die laptop staan, en daar dus nu dingen mee kan gaan doen. Normaalgesproken zou hij waarschijnlijk helemaal niet in geinteresseerd zijn geweest in de inhoud en was de laptop waarschijnlijk zelfs geformatteerd omdat het dan veel makkelijker te verkopen is.

Dit verandert allemaal als de laptop bewust voor de informatie is gestolen, maar volgens mij lijkt het er niet op dat dat zo is.

Het is natuurlijk terecht dat dit gewoon in het nieuws komt, maar eigenlijk was het beter/veiliger geweest als dit niet was gebeurd.
Het is natuurlijk terecht dat dit gewoon in het nieuws komt, maar eigenlijk was het beter/veiliger geweest als dit niet was gebeurd.
Kijk eens aan, een goed voorbeeld van Security through obscurity.

Al was het niet in het nieuws geweest, dan heb je nog steeds geen zekerheid of de dief wel of niet over die gegevens beschikt.

Al was het niet in het nieuws geweest doordat de Britse overheid het niet aan de pers vertelde maar alleen aan de gedupeerden, dan kwam het wel uit door ťťn van de gedupeerden van wie zijn/haar gegevens op straat liggen.

Al stopt de Britse overheid deze zaak in zijn geheel in de doofpot en het zou uitlekken, dan kunnen ze inpakken.

Qua dat heeft de Britse overheid goed gereageerd, mits ze hiervan leren en hun policies aanscherpen. Of dat gebeurd is natuurlijk weer een heel ander verhaal...

[Reactie gewijzigd door The Zep Man op 21 januari 2008 15:40]

Nog even en we krijgen verzamelaars die dit soort informatie in hun collectie willen hebben 8)7

Verder natuurlijk een absurde reeks van gebeurtenissen. Kunnen ze geen versleutelde hardeschijf hebben? Lijkt me niet zo moeilijk in te voeren (het is niet alsof je die laptop 20x per dag aan en uit zet)
Bankafschrift gegevens van sollicitanten?
Moet je entreegeld betalen om je CV te mogen afgeven ofzo?
Er zijn zeker bedrijven die je gewoon een reiskosten vergoeding betalen, als je langs komt om te solliciteren.
dat doet de NL defensie ook, je krijgt netjes vergoed als je langskomt voor een (onderdeel van de) sollicitatie. Dus idd nie zo gek.
Dit is de reden waarom privacy zo belangrijk is.
Over de informatie die andere van jou hebben, heb jij geen controle. Een fout is eenvoudig gemaakt maar bijna onmogelijk om te corrigieren.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True