Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 33 reacties

Het Britse ministerie van defensie is in verlegenheid gebracht nadat het opnieuw een pdf-rapport heeft gepubliceerd waarin informatie die op het oog was weggelaten, via een eenvoudige copy-paste-operatie toch leesbaar was te maken.

redacted censuurHet 22 pagina's tellende document, waarin informatie was te lezen over onder andere radarinstallaties en de luchtverdediging van het Britse leger, was gepubliceerd op een website van het Britse parlement. Hoewel in het pdf-bestand op het eerste oog grote delen van de inhoud onleesbaar waren gemaakt, bleek dat de onderliggende tekst eenvoudig naar een nieuw document kon worden gekopieerd, zo meldt de Britse krant Daily Star. Het desbetreffende document is inmiddels vervangen door een correct geredigeerde versie.

De handelwijze, door alleen stukken tekst een zwarte achtergrondkleur te geven, maar de onderliggende tekst niet te verwijderen, wordt door beveiligingsfirma Sophos omschreven als een kinderlijke fout. Deze is extra pijnlijk, omdat het Britse ministerie van defensie deze vergissing al eens eerder maakte. Zes maanden geleden kwam geheime informatie over mogelijke kwetsbaarheden van nucleaire onderzeeërs op straat te liggen. Ook hierbij had defensiepersoneel een onjuiste manier van redigeren toegepast.

Moderatie-faq Wijzig weergave

Reacties (33)

Ik kan niet geloven dat dit soort berichten aan de orde van de dag op Tweakers.net verschijnen. Hoe bizar is het dat blijkbaar geen enkele regeringen een goed IT beleid heeft...
Ik kan niet geloven dat dit soort berichten aan de orde van de dag op Tweakers.net verschijnen. Hoe bizar is het dat blijkbaar geen enkele regeringen een goed IT beleid heeft...
Het beleid is er wel, de uitvoering alleen niet. Controlle nog minder.
Dat is evengoed een beleidsprobleem. Competent beleid houdt rekening met de competenties van je personeel (of het gebrek daaraan). Scholing, reviews, vervanging van incompetent personeel, genoeg mogelijkheden om problemen te voorkomen.

Een ander probleem is dat ambtenaren praktisch niet strafrechterlijk te vervolgen zijn, zelfs al overtreden ze overduidelijk de wet.
Welke ambtenaar zou je in dit geval dan strafrechtelijk willen vervolgen? De uitvoerende ambtenaar, die zijn werk volgens de protocollen van de instantie uitvoert? Degene die de protocollen opstelt? Het Ministerie van Defensie an sich? De fout heeft zich immers eerder voorgedaan, en dan zou je op zijn minst een stuk zelfcorrectie moeten zien vanaf de kant van het Ministerie.

Schrijnend geval van het verkeerde personeelslid/personeelsleden op de verkeerde plek.
Welke ambtenaar zou je in dit geval dan strafrechtelijk willen vervolgen?
Diegene die de protocollen goedkeurt na controle. Die is m.i. hoofdverantwoordelijk.

Houdt je je niet aan de protocollen, dan ben je natuurlijk als overtreder zelf schuldig. Maar als de goede protocollen ingevoerd zijn, moet het bijna automatisch zo goed als onmogelijk zijn om die protocollen te overtreden (tenzij er sprake is van kwade opzet). Want bij goede protocollen horen ook goede controles, goed overzicht, etc.

[Reactie gewijzigd door kimborntobewild op 10 oktober 2011 11:11]

Maar wie bepaald weer of een protocol goed is..
Het beleid zal wel goed zitten (aangezien ze dit bjiv. ook gecensureerd hebben), het ontbreekt echter aan kennis en de mensen met kennis. Hoeveel experts willen nu voor een gemeente werken? Het is een behoorlijk beperkende omgeving, en je zit vast aan een CAO voor ambtenaren, waarbij het loon lager ligt dan in de 'vrije sector' voor iemand met voldoende kennis.
Die ambtenaren CAO is het probleem niet. Het top-management (in .nl) verdient circa 4 ton per jaar. Het echte probleem is de managementcultuur, waarin managers weigeren om vakmensen meer te betalen dan zichzelf. In de plantsoenendienst zijn de gevolgen daarvan beperkt, maar in de ICT is het fataal.
Beleid zegt niets... het gaat om capabele mensen die dat beleid moeten uitvoeren. Je plannen op papier kunnen zo goed zijn, de kwetsbaarheden liggen bij de (eind)gebruikers. Zo kan je het best beveiligde bedrijfsnetwerk ter wereld hebben, maar als het personeel bijvoorbeeld de 'simpele' gewoonte heeft gebruikersnamen en wachtwoorden op beeldschermen te plakken heb je nog niets.

[Reactie gewijzigd door MicGlou op 10 oktober 2011 09:56]

Beetje off topic, maar hoe stel je vast dat het een slecht IT beleid is? Ik ga er van uit dat het beleid goed is, maar niet nageleefd wordt in alle gevallen. Daarnaast komen dit soort berichten inderdaad regelmatig voor. Het punt is alleen dat er geen relativerende data is. Is dit bijvoorbeeld 1 op de 10 keer verkeerd gegaan of 1 op de miljoen? Dat maakt m.i. nogal een verschil.

Praktischer lijkt het me voor overheden een add-on te maken voor de tekst- of pdf-editor die de zwart gemarkeerde tekst verwijderd en dan een nieuwe versie opslaat.
In ieder geval geruststellend om te weten dat de overheden onze prive gegevens massaal willen digitaliseren, online zijn te benaderen en in het beheer zijn van diezelfde overheid.. ;(

[Reactie gewijzigd door een_naam op 10 oktober 2011 09:55]

....jah dat krijg je der van als je mensen bij de overheid alleen maar een basis cursus word geeft en geen geavanceerde cursus word...

maar even on topic, dat is toch wel HEEL erg slecht....hoe kan je als persoon denken dat mensen dat NIET door zullen hebben als je de achtergrond zwart maakt?

Dat is het eerste wat iemand die ook maar enigsinds op een ICTer lijkt zal doen (ctrl+a)...
Nee dat krijg je ook bij geavanceerde gebruikers.

Probleem is zelfs al zouden ze het zo kunnen, er nog steeds mensen door onoplettendheid,kater, vermoeidheid gemakzucht etc deze fout zullen blijven maken. Je moet mensen behoeden voor deze fout. Je zou kunnen denken dat niets naar het zeb mag van documenten zonder door een virtuele printer te gaan. Laat het desnoods als JPG/png etc uitvoeren en die bestanden online zetten.

Je kan het manueel reviewen, maar zwart gemaakt of een zwarte achtergrond geven, ziet er visueel hetzelfde uit, er blijft ruimte voor een menselijke fout. Uiteraard kan je de applicatie van de reviewer alle achtergronden wit laten maken en alle teksten zwart op het ene scherm en het origineel op het andere scherm om de zaken te controleren. In theorie perfect, maar na 2000 documenten op een dag is de controleur dan nog zo scherp?
Dat is geen excuus, als ik dit soort dingen moet doen dan kan ik nog zo'n kater hebben maar als ik over staatsgeheimen spreek dan laat ik het toch echt ook nog even door een collega controleren voor ik het de wereld in stuur. Het probleem is toch echt onkunde, onwetendheid en pure gemakzucht aan de kant van de mensen die dit werk doen. Even die stagiaire het saaie werk laten doen zonder dat je veder zelf de moeite neemt om te controleren of ze het wel goed doet en ondertussen maar proberen indruk te maken op deze 20 jaar jongere dame met een lichaam waar je vrouw alleen maar van kan dromen... Het zal niet de eerste manager zijn die puur en alleen om druk te lijken even snel het werk van een ander bekijkt en zonder echt zijn werk te doen laat zien hoe grote mensen beslissingen in een oog opslag kunnen nemen. |:(

Dit soort dingen zijn heel erg simpel te voorkomen ten alle tijden moet er op de volgende manier gewerkt worden. Zo niet dan krijg je een officiële waarschuwing, mocht het document op straat belanden dan wordt de verantwoordelijk manager gelijk voor hoogverraad opgepakt en jij krijgt als nog die waarschuwing bij een tweede waarschuwing ben je je baan en security clearence kwijt. Moet jij eens kijken hoe vaak het nog iemand lukt dit soort fouten te maken (kater of geen kater).
Het gaat allemaal alleen maar om de juiste omgeving scheppen om dit soort problemen te voorkomen. Als je dat doet en mensen de juiste werk instructies geeft dan is het heel erg simpel te voorkomen dat dit soort fouten gemaakt worden.

Zeker als je spreekt over staatsgeheimen dan is het simpel weg niet acceptabel dan mensen om welke reden dan ook dit soort fouten maken.
Even die stagiaire het saaie werk laten doen zonder dat je veder zelf de moeite neemt om te controleren of ze het wel goed doet
In het algemeen: als je een stagiair hebt die je zulke vrij eenvoudige taken wilt laten doen, doe je dat omdat je die stagiair vertrouwt. Als je zulke taken moet controleren, omdat er geen vertrouwen zou zijn, dan heb je daar meer werk aan dan dat je de klus zelf gedaan zou hebben. Dus in zo'n geval gebruik je sowieso geen stagiair.
De fout zou dan dus niet zijn dat er niet gecontroleerd is, maar dat er misplaatst vertrouwen in een stagiair is. En tja... Daar is eigenlijk maar één oplossing voor: helemaal geen stagiair gebruiken.
Het lijkt me stug dat een statiair de security clearance krijgt om deze bestanden te mogen zien laat staan bewerken..
het gaat soms om documenten die tijdelijk zijn gecensureerd om af te drukken en waarbij die opmaak is opgeslagen, waarbij het mogelijk is dat de volgende persoon denkt dat het al permanent is gecensureerd.

er scheelt gewoon iets aan hun document management, niet aan de users
Het is niet voor niets dat de Amerikaanse overheid eerst de tekst zwart maakt en er vervolgens een fysieke kopie van maakt, om zo te voorkomen dat de onderliggende tekst nog zichtbaar gemaakt kan worden. Met pdf- en wordbestanden moet je weer op andere zaken letten, zoals de 'properties' die maar al te vaak ingevuld blijken.
In mijn ogen inderdaad een kwestie van een goede cursus en meerdere mensen een document laten checken alvorens het online gezet wordt.
Hehehe 'Spoiler alert!'... dat is toch exact hoe hier op tweakers ook wel eens stukjes worden weggelaten uit reviews en dergelijken om het verhaal niet te verpesten?

Er wordt wel eens gezegd dat fouten overal worden gemaakt... maar dit is er wel eentje van een heel bedenkelijk niveau, op herhaling nog wel. Het is maar goed dat het gewoon wordt genoemd door Sophos, vaak probeert men er nog een draai aan te geven, maar dit is té simpel gewoon. Het was volgens mij nog beter beveiligd geweest als ze de tekst hadden omgezet naar wingdings oid...
Wilde net zeggen, stonden er wel spoiler tags omheen? :D
Enigste dat ik kan zeggen is dat de persoon die dit document heeft opgesteld duidelijk niet altijd te veel van tekstverwerkers kent ;).

Maar ze zouden eigenlijk wel gewoon een algemene procedure moeten hebben 'Hoe maak ik een stuk tekst onleesbaar ...', die dan natuurlijk ook moet gevolgd worden.

[Reactie gewijzigd door Nactive op 10 oktober 2011 09:54]

Dit ziet er bekend uit. Er staat hier over een heel artikel in de c't magazine van deze maand.
Ikzelf ben (semi)ambtenaar en heb een prima loon. Ik probeer ook op commercieel niveau te functioneren op de IT-afdeling van de instellig waar ik bij werk.
Hiervoor heb ik gewerkt bij een commerciele organisatie.
(Overigens ook prima inkomen. Geen lease-auto. Geen bonussen. Gewoon gemiddeld inkomen, maar ook vrijwel nooit overwerk en een hoge mate van stabiliteit en inkomensgarantie. Het is maar waar je voor kiest.)

Beide organisaties werkten allebei even professioneel qua IT. Alleen hadden fouten bij de commerciele organisatie veel meer gevolgen voor het bedrijf en voor het personeel als bij de overheidsorganisatie. Mensen gaan bij overheidsinstanties daarom toch gemakkelijker om met cruziale aspecten zoals beveiliging en de gevolgen die dat kan hebben in de media. Het spreekt mensen veel meer aan dat overheidsinstantie X "met ons belastinggeld" een blunder maakt, dan IT-bedrijf nummertje 10000. Overheidsbedrijven zouden dat zich meer bewust moeten zijn. De publieke functie geeft ook publieke belangstelling met bijbehorende kritische publieke blik op de zaken. Juist bij overheidsinstanties zou men zich 3 keer moeten bedenken wanneer een bepaald proces in sommige gevallen fout kan lopen. In de IT-wereld is het nu eenmaal zou dat als iets statistisch gezien mogelijk is, maar zeer onwaarschijnlijk, dat het dan toch optreed.

In dit geval is het redigeren van documenten uitbesteed aan een collega die duidelijk niet weet hoe PDF technisch in elkaar steekt. En die moet vast op zijn beurt weer iets doen wat niet in zijn comfortzone lag en kreeg hij bijv. 10 minuten per document de tijd om het redigeren te regelen. Nou, voila, huppa, dan zo maar...

[Reactie gewijzigd door Kaw op 10 oktober 2011 11:01]

De handelwijze, door alleen stukken tekst een zwarte achtergrondkleur te geven, maar de onderliggende tekst niet te verwijderen, wordt door beveiligingsfirma Sophos omschreven als een kinderlijke fout.
Kinderlijke fout ? .. tekst onder je achtergrond verwijderen lijkt mij gewoon onmogelijk .. ik snap wel dat iemand daar moeite mee heeft.
"Ach, dat heeft toch niemand door" 8)7
Elke regering heeft een IT-beleid. Net als Donner (binnenlandse zaken), die zelf alles op papier doet (geldzaken, belastingaangifte). Hij moet de beslissingen nemen voor de mensen die wel op internet zitten. Net als Kok die de muis tegen het beeldscherm hield. Helaas zitten in het woord beleid dezelfde letters als in het woord debiel...
@ comatoast, maandag 10 oktober 2011 11:44
Wat dacht je van gewoon de tekst verwijderen ?
Het restant met copy & paste in een .pdf zetten...

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True