Managed hosting door True

Bedrijfsleven ontbeert beveiligingskennis

 

cybersecurity

Het tekort aan securitykennis op de arbeidsmarkt heeft directe gevolgen op bedrijven. Zo zegt 71 procent van de it-beslissers dat het gebrek aan beveiligingskennis leidt tot directe en meetbare schade aan de organisatie, zoals dataverlies of inbreuk op het intellectueel eigendom. Dat blijkt uit internationaal onderzoek van onderzoeksbureau Vanson Bourne in oprdacht van Intel Security.

Het onderzoek toont aan dat 82 procent van de respondenten een tekort aan beveiligingsspecialisten ervaart. Bij 71 procent heeft dit direct een negatief effect op de organisatie, zoals het verlies van bedrijfsgegevens of een inbreuk op het intellectueel eigendom. 

De vraag naar securityprofessionals groeit sneller dan de vraag naar andere it-professionals. Het schort voornamelijk aan werknemers met zeer technische vaardigheden. Het onderzoek toont dan ook aan dat bedrijven meer waarde hechten aan kennis en vaardigheden op het gebied van intrusion detection, het ontwikkelen van veilige software en het verminderen van de effecten van aanvallen, dan de zachte vaardigheden zoals samenwerken, leiderschap en communicatie.

15 procent onvervuld

De respondenten zien het arbeidstekort niet snel opgelost worden. Zij verwachten dat in 2020 15 procent van de securityfuncties onvervuld blijft. Dit terwijl trends als cloud computing, enterprise mobility en internet of things vragen om betere cybersecurity.

Chris Young, vice president algemeen manager bij Intel Security, meent dat de overheid en de private sector de noodzaak van goede cybersecurity nog niet herkent. ‘Om het tekort aan securityspecialisten aan te pakken moeten we alternatieve vormen van educatie inzetten en meer trainingsmogelijkheden bieden. Ook moeten we veel meer automatiseren zodat de beschikbare mensen meer in de frontlinie kunnen opereren. En we moeten zorgen voor meer diversiteit op de cybersecurity werkvloer.’

Benelux

Het ‘Hacking the Skills Shortage’-onderzoeksrapport is een samenwerking tussen Intel Security en het Center for Strategic and International Studies (CSIS). Vanson Bourne ondervroeg it-verantwoordelijken bij organisaties met minimaal vijfhonderd medewerkers, actief in zowel publieke als private sector. Het internationale onderzoek werd gehouden in de Verenigde Staten, het Verenigd Koninkrijk, Frakrijk, Duitsland, Australië, Japan, Mexico en Israël.

Aangezien Nederland en België niet in het onderzoek zijn meegenomen heeft Computable de vragen voorgelegd aan zijn securityexperts. Uit de reacties blijkt dat het tekort ook in deze landen zorgen baart. Lees meer over de Nederlandse markt in het artikel: ‘Tekort in cybersecurity bedreigt ook Nederland’. Zie voor België het artikel: Gebrek vaardigheden nekt cybersecurity

Vier aspecten

Intel constateert dat er vier aspecten rond het tekort zijn. Allereerst de uitgaven aan security. Logischerwijze gaan bedrijven die over meer securitybudget beschikken beter om met het tekort.

Het tweede punt is training en onderwijs. Slechts 23 procent van de respondenten meent dat studenten in hun opleiding worden klaargestoomd voor de industrie. Ruim de helft is van mening dat het tekort aan beveiligingsvaardigheden groter is dan het tekort aan andere it-beroepen. Zij pleiten dan ook voor niet-traditionele en praktijkgerichte leermethodes, zoals hands-on training, gaming en hackathons.

Naast salaris zijn trainingsmogelijkheden, groeikansen en de reputatie van de it-afdeling belangrijke factoren om toptalenten te behouden. Bijna de helft van de respondenten noemt gebrek aan opleidingsmogelijkheden of het ontbreken van ondersteuning als zij zich verder willen ontwikkelen als veel voorkomende redenen voor het vertrek van talent.

Tot slot meent ruimt driekwart dat overheden onvoldoende investeren in het ontwikkelen van cybersecuritytalent.

Dit artikel is afkomstig van Computable.nl (https://www.computable.nl/artikel/5810840). © Jaarbeurs IT Media.

?


Lees meer over



Lees ook


 

Reacties

Je leest tegenwoordig bijna dagelijks over security problemen.

De achterliggende weken heb ik daar nog eens navraag naar gedaan en wat blijkt: het gros van alle cyber securityproblemen zou in 1 x zijn opgelost, wanneer
1. Geen gebruik meer zou worden gemaakt van Windows op servers en werkstations
2. Er alleen nog gebruik gemaakt zou gaan worden van Cloud-oplossingen, waarbij
2.1 gebruikers alleen nog gebruik maken van Chromebooks met tweeweg authenticatie
2.2 de verantwoordelijkheid voor programmatuur en data inclusief recovery niet meer bij de klant, maar bij de leverancier zou komen

Eerlijk gezegd lijken me dat allemaal best haalbaar voor 'het gros'.

Ik heb dit inmiddels op diverse plaatsen gedropt en van experts tot dusver twee reacties gehad:
1. Je hebt gelijk, maar in ons wereldje is het not done om zoiets te zeggen
2. Je weet niet waar je het over hebt. Het is onzin wat je zegt. Van deze tweede groep heb ik echter nog nooit gehoord, wat er dan niet klopt aan die simpele redenering.

Willem, van harte met je eens!
Zeker je eerste punt is me uit het hart gegrepen.
Over je reacties: ook maar al te waar.

En voor alle managers: denk eens zonder Windows, er gaat een wereld voor je open!

Willem, helemaal een met je benadering. Ik zou alleen een stapje verder willen gaan. Verplicht leveranciers om een veilig product op te leveren. Dat geldt toch ook voor auto's, apparaten etc.
Hierdoor voorkom je dat ieder bedrijf deskundigheid moet opbouwen over de inferieure producten van leveranciers. Dan ben je sowieso van een onveilig windows af want dat is niet de enige boosdoener.

82 procent van de respondenten (= it-beslissers) ervaart een tekort aan beveiligingsspecialisten.
Eigen schuld, dikke bult! Dan heb je jarenlang de verkeerde beslissingen zitten nemen!
Nog nooit van Governance&Compliance; gehoord, niet van risicomanagement, niet van penetration testing, weet niet wat een BCP is.

En alleen omdat ze op Europees niveau maatregelen nemen ga jij nu eindelijk wat doen?
En wat doe je dan? Klagen over tekorten en de overheid de schuld geven.
Groot gelijk hoor, tegen de tijd dat de boetes komen ben jij al weg. Toch?

Next!?

En @Willem "2.2 de verantwoordelijkheid voor programmatuur en data inclusief recovery niet meer bij de klant, maar bij de leverancier zou komen."

De verantwoordelijkheid voor Governance&Compliance; ligt op RvB-niveau. Dat geldt ook voor veilige software. Hetgeen de Europese Richtlijn ook bepaalt (o.a. Privacy by Design).
En de verantwoordelijkheid voor data + recovery bij de leverancier leggen is apert onjuist, en helpt je overigens ook niet ivm. de Europese Richtlijn.
Het is alsof je de brandverzekeraar verantwoordelijk maakt voor je meubeltjes + herstel na brand.

@Willem
Leuke claim van een Microsoft-basher.
Maar lees http://www.gfi.com/blog/2015s-mvps-the-most-vulnerable-players/ en zie dat het allemaal wat genuanceerder is.

@Wiebe, helemaal met je eens.

Omdat op 85% van alle werkstations een Windows versie draait en mijn stelling gaat over 'het gros' van de cyberproblemen, heb ik het daarop toegespitst, maar je hebt natuurlijk helemaal gelijk.

In het land waar iemand wel een schadevergoeding krijgt toegewezen van de rechter, als zijn hond verdrinkt in de wasmachine, omdat de gebruiker hem daarin dacht te kunnen schoonmaken (???), daar helpt Microsoft met zijn Windows in feite al jaren ongestraft criminelen.
Op http://g4b.nl/windows-helpt-de-crimineel-en-komt-daar-mee-weg/ heb ik daar gisteren een post over geschreven, die - als men het aandurft - binnenkort ook in kranten gaat verschijnen.
Ben best benieuwd wat jij als absolute top-expert op het gebied van cyber-security van die post vindt.

@Westerhof : 'richtlijn' moet natuurlijk zijn 'verordening'. Mea culpa!

@Leen
1. Mijn claim is, dat HET GROS van alle cyber security problemen zou zijn opgelost als Windows niet meer gebruikt zou worden op werkstations en servers.

2. Een Microsoft-basher? Het gaat hier om een bedrijf dat al 27 jaar lang geen verantwoordelijkheid neemt voor de problemen, die ontstaan door het gebruik van zijn software door eenvoudige gebruikers en dat daar ook mee wegkomt, omdat geen overheid het blijkbaar aandurft om het in rechte aan te spreken.
De cryptolocker met zijn chantage is een wel heel eenvoudig voorbeeld, maar als ik aanneem, dat de mailserver van de Democratische partij door security experts was afgeschermd, dan wordt de aard van de problematiek wel heel schrijnend duidelijk. Toch?

3. Het ene 'vulnerable' is het andere niet. Daarnaast doet het niets af aan mijn claim.

@(anoniem):
Kern van mijn betoog is, dat een leverancier verantwoordelijk zou moeten zijn voor de problemen, die hij had kunnen voorkomen. Als een Chromebook van Google WEL zo kan worden opgeleverd, dat het openen van een e-mail of het klikken op een bijlage NOOIT kan leiden tot een geïnfecteerd werkstation, waarom zouden we dat dan niet mogen vragen van Notebooks die draaien op Windows?

@Willem: reagerend op je 2de punt, geen enkel bedrijf neemt die verantwoordelijkheid, maar men voelt zich wel verantwoordelijk voor het voorkomen dan wel oplossen van kwetsbaarheden. Veel bedrijven nemen de moeite niet om de maatregelen die worden geadviseerd door te voeren.
Daarnaast is het aandeel Chromebook kennelijk zo klein, dat het nog geen target is. Niets is 100% veilig te maken, maar we moeten er wel naar streven.
Zomaar roepen dat b.v. Microsoft dat niet doet, noem ik bashen, omdat het geen recht doet aan de feiten.

@Leen:
1. Je schrijft: "Veel bedrijven nemen de moeite niet om de maatregelen die worden geadviseerd door te voeren." Maar waarom wordt het dan niet zo opgeleverd? Waarom moet de klant voor de problemen veroorzaakt door de leverancier opdraaien? Voor het uitvoeren van die adviezen moeten immers in veel gevallen weer mensen worden ingehuurd, waarvoor de klant extra kosten krijgt?

2. Ik roep toch niet zomaar iets?

De FEITEN zijn, dat ook de gebruiker zonder kennis alles kan installeren op zijn personal computer. Dat dat ding ook ingangen kan krijgen van buiten, daarmee is in de structuur van Windows geen rekening gehouden.
Op Windows computers (werkstations en servers) kun je ook anno 2016 dus – zelfs ongemerkt – programma’s installeren. En daar spelen criminelen via virussen en malware als de cryptolocker handig op in.

Wie gewoon nieuwsgierig is en de afzender vertrouwt, klikt vroeg of laat op een besmette e-mail of bijlage of een geïnjecteerde website. Het gevolg: Jij installeert met die ene klik – onbewust en ongewild – programmatuur van criminelen. Het zou niet moeten kunnen, maar het kan wel! En het gebeurt dus ook dagelijks.

Op een Chromebook zou zoiets ABSOLUUT onmogelijk zijn, omdat je er als gebruiker zelf helemaal geen programma's op kunt installeren.

Tenslotte ... ook op een Apple (gebaseerd op free-bsd) en Linux werkstation kan een argeloze gebruiker niet via een klik op een bijlage programmatuur installeren.

Het zijn heel simpele FEITEN!

Dat het marktaandeel van het Chromebook klein is, heeft waarschijnlijk ook wel iets (?) te maken met het feit, dat vrijwel elke ICT-leverancier zich commercieel afhankelijk heeft laten maken van Microsoft en het - wellicht daardoor - blijkbaar niet aandurft om een zo totaal ander apparaat te adviseren. Immers: aan de verkoop van een Chromebook en Google Apps wordt bij lange na niet verdiend, wat kan worden binnen geharkt met Windows, Office, Exchange en ... alle implementatie, hardware en security die daar achteraan moet komen?

Als het bedrijfsleven security als een luxe extra ziet dat niets oplevert dan zal het altijd een inhaal wedstrijd blijven.

@Willem: Het probleem ligt aan dat er bepaalde ontwerp denk fouten in Windows zitten.
- "Alles moet kunnen"
- "Gebruiker moet makkelijk alles kunnen doen"
- "Als hierdoor iets fout gaat, geven we de gebruiker de schuld"

Daarnaast zijn multi-user en beveiliging zijn achteraf implementaties. De W9x familie had helemaal geen beveiliging en later is de NT familie (die wel rechten en gebruikers kende) samengevoegd tot XP wat ook weer tot allerlei problemen leidde.

Overigens is Cloud of Chromebook niet de enige oplossing. Ik heb zelfs Microsoft omgevingen gezien, waar alles dichtgetimmerd was, maar die omgevingen waren niet echt geschikt meer voor normaal productief werk.

Okee, artikel en reacties gelezen en ik kom een hoop onzin tegen die afleiden van de materie. En laat ik beginnen met Willem Massier: Ik ben het niet met je eens en zal je uitleggen waarom. Laten we beginnen met je website om daarmee een belangrijk punt te maken. Jouw website kun je als admin inloggen op http://g4b.nl/wp-login je biedt *geen* HTTPS aan, maakt gebruik van WordPress en gebruik plug-ins zoals Yoast waarin bewezen lekken hebben gezeten die kunnen leiden tot controle over de server en andere narigheid. De meeste recente veiligheidslek is van 6 mei 2016 (https://www.wordfence.com/blog/2016/05/yoast-seo-vulnerability/ ), maar Google er op los en vind een hele reeks. Als jij als niet expert dus niet steeds jouw plug-ins en Wordpress up-to-date houd was je dus vatbaar voor hacken van accounts en gegevens. Heeft dat iets met Windows te maken? Nada. Maar erger nog je hebt geen SSL en de username en wachtwoord die jij gebruikt om je WordPress te beheren is dus *plain text* uit te lezen op ieder netwerk waarop je zou inloggen of ieder onbeveiligde WiFi verbinding die je zou gebruiken zoals bij de Mc Donalds.

Hiermee is jouw opsomming dus teniet gedaan. Maar dat is nog niet alles. Het lijkt erop dat je basale kennis van computers en bijvoorbeeld het OSI model niet kent of begrijpt door jouw punt "2.2 de verantwoordelijkheid voor programmatuur en data inclusief recovery niet meer bij de klant, maar bij de leverancier zou komen"

De leverancier kan jou niet helpen als jouw mensen zichzelf blootstellen aan phishing en andere social engineering of gedrag zoals het hergebruiken van wachtwoorden voor verschillende diensten. Dit heeft wederom niets met Windows te maken en ook jouw (cloud) leverancier kan dit niet voor je oplossen. Want die WordPress site (is zakelijk net als andere bedrijven) word waarschijnlijk ook door een (cloud) leverancier aangeboden en we hebben zonet vastgesteld dat je kwetsbaar bent en wellicht je leverancier daar niet eens op aan kunt spreken omdat -en dit is een van de grootste security issues- je er zelf niet in verdiept hebt in wat er nodig is om leveranciers voor IT zaken te gebruiken en los daarvan je wellicht ook niet weet welke verplichtingen je hebt als bedrijf om bijvoorbeeld een verwerkingsovereenkomst op te stellen en de voorwaarden van je leverancier goed door te nemen.

Zoals ik eerder noemde is social engineering een van de grootste oorzaken van security breaches en 1 van de grootste ligt bij je domein provider en dus het beschermen van DNS instellingen. Met andere woorden: Als iemand jouw DNS instellingen kan aanpassen kan hij de email lezen van alle medewerkers die een email hebben binnen dat domein.

Door domweg "de cloud" te gebruiken betekent het niet dat je ineens van al je security breaches af bent. Ook je 2 factor authentication voor Google is heel leuk, maar maakt je nog steeds kwetsbaar als je bijvoorbeeld IFTTT app gebruikt die je al je rechten op je Google Drive vraagt omdat je met een APP Token geen 2 factor authentication nodig hebt om bij je Google data te komen. Stel je gaat met je bedrijf naar de cloud en iedereen gebruikt zijn eigen telefoon en besluiten om Pokemon Go erop te installeren waarbij je (in het begin) zo'n beetje al je rechten weggeeft.

Hey? Nu heb ik het nog helemaal niet over Windows gehad en toch allemaal voorbeelden hoe je security breaches kunt hebben.

Ik ben geen grote Windows fan, maar om ze het grootste beveiligingslek te noemen slaat nergens op. Windows doet het namelijk best goed. Als jij een up-to-date Windows gebruikt, deze ook nog eens goed configureert, je netwerk op de juiste manier beveiligd en je medewerkers wat meer security aandacht geeft loop je minder risico's dan dat jij aangeeft. Je kunt zaken wel uitbesteden aan leveranciers, maar absoluut niet alles en het blijft ook een inspanning vergen van jou als klant.

@Henri Dank voor je uitgebreide reply.

Ik denk, dat je de clou van mijn verhaal nog niet te pakken hebt. Dat begrijp ik wel, want het is voor techneuten bijna niet doenlijk om Out-of-hun-Box te denken. Daarom verder toegespitst.

Mij ontgaat namelijk wat de door jou genoemde zaken te maken hebben met mijn claim, dat HET GROS van alle cyber security problemen zou zijn opgelost als Windows niet meer gebruikt zou worden op werkstations en servers.
"Het GROS" staat voor "het grootste aantal ervan". AANTAL! Het gaat mij dus niet om de grootte van de problematiek in technische zin, maar om al die particulieren, kleine ondernemers en bedrijven (het GROS), die een Windows-PC hebben aangeschaft, omdat hen dat werd aangeraden door een Windows-leverancier. Het gaat mij om die massa.

Maar liefst 85% van alle werkstations, laptops en thuiscomputers draait op een versie van Windows. Veruit de meeste van die gebruikers zijn geen IT-er, maar worden gewoon geacht met de computer te kunnen werken. Dus met name aanzetten, wachten tot het systeem is geladen en dan werken, websites bezoeken, internetbankieren, mailen, gamen, etc. Nogmaals: het gaat niet om mensen voor wie IT belangrijk is. Het moet gewoon werken en verder niet! Waarom zou je van gewone mensen vragen om zich te verdiepen in technische zaken, die hen niets interesseren? Of het nou gaat om de motor van hun auto of het gedoe van een computer.
Als Google in een paar jaar in staat is om een Chromebook op de markt te brengen, waarvan zelfs echte Microsoft fans enthousiast zijn (zie http://www.dutchcowboys.nl/google/30571) en waarmee je niet met 1 druk op het verkeerde knopje je hele hebben en houden ongedacht en volstrekt ongewenst overlevert aan criminelen, waarom moeten we dan toch genoegen nemen met Windows-systemen, die zoveel ellende veroorzaken?

Want - en nu kom ik tot de kern -: social engineering is allang niet meer de grootste oorzaak van security breaches.

Criminelen zijn maar op twee dingen uit: macht en geld! Social engineering is tijdrovend en kost dus geld. De weg naar het grote geld is veel korter op andere manieren.
Voorbeeld 1: Door zoveel mogelijk mailtjes te sturen, waarin op een heel slimme manier met fake facturen of op een andere manier geld kan worden binnen geharkt. Ga maar na: de crimineel stuurt 1.000.000.000.000 mailtjes, waarmee € 1 wordt opgehaald. Stel dat 0,01% van de geadresseerden daarin trapt? En dat doe je vervolgens constant met steeds andere trucjes. Het kost niets en levert enorme bedragen op, want e-mail marketing is niet voor niets nog steeds heel winstgevend.
Voorbeeld 2: Als je met 1 computer Facebook aanvalt, wordt je IP-adres geblokt. Maar als honderdduizend computers zo’ aanval doen? Facebook en Yahoo zijn op die manier al gekraakt. Daarbij zijn allerlei gegevens in handen gekomen van criminelen. Ook creditcardgegevens.
Voorbeeld 3: de crimineel stuurt 1.000.000.000.000 mailtjes met een cryptolocker (in de mail, een bijlage of een website, waar de ontvanger naar toe wordt verleid). De persoon / het bedrijf in kwestie wordt gechanteerd en betaalt maar wat graag om gezichtsverlies te voorkomen en om waardevolle data terug te krijgen.
Voorbeeld 4: de crimineel stuurt 1.000.000.000.000 mailtjes met een ander stuk malware, waarmee hij de CPU van de computer kan gebruiken om de actie onder voorbeeld 1, 2 en 3 uit te voeren.

HET probleem van dit moment is, dat hackers in lage-lonen-landen voor € 2,50 per uur voor criminelen aan het werk zijn.
En omdat
1. Op Windows computers zonder waarschuwing, danwel het moeten invoeren van een gebruikerswachtwoord met 1 simpele klik in een mailtje of bijlage zelfs zonder medeweten van de gebruiker de hierboven onder voorbeeld 4 genoemde malware kan worden geïnstalleerd
2. 85% van alle gebruikte computers (servers even buiten beschouwing gelaten) zo’n Windows besturingssysteem heeft
3. Vrijwel niets tegen de onder de voorbeelden genoemde zaken gedaan kan worden door cyber-security-specialisten

is dit voor criminelen DE weg naar het snelle geld. Het is de weg van de grote aantallen!!

Natuurlijk weet ik ook wel, dat er - als dat grote aantal is geholpen met de door mij voorgestelde werkwijze - nog steeds heel veel werk over is voor techneuten om de overblijvende ellende aan te pakken. Je noemde al wat zaken. Dus er is dan nog werk genoeg!! Maar dat gaat ver voorbij aan wat ik beweer.

Onze eigen kantooromgeving draait overigens - wat CRM en de interne organisatie betreft - al anderhalf jaar helemaal op de Elastic Cloud omgeving van AMAZON AWS. Die van onze klanten sinds begin dit jaar. Als ik me niet vergis, ben jij daar zelf ook een groot fan van?
Geïntegreerd met behulp van API en OAuth met Google Apps, dat alleen via 2-weg authenticatie (ons dringende advies) en uiteraard https benaderd wordt. Alle integraties met o.a. Exact Online en de gehoste VoIP-centrale van SpeakUp zijn ook op die manier gerealiseerd. Daarbij werken we alleen met ISO 27001 of vergelijkbaar gecertificeerde producten. Met andere woorden: alle leverancier garanderen, dat zij al het mogelijke hebben gedaan op het gebied van veiligheid, beschikbaarheid en integriteit.

Dat KAN je van Microsoft wel vragen als het om Azure gaat, maar natuurlijk nooit waar het om Windows gaat. En daar zit ook precies de kern van mijn betoog. Misschien is de standaard (het OSI-model op het gebied van beveiliging?) wel niet goed genoeg?

Ik zou nog eens teruglezen, wat Wiebe Zijlstra in de tweede reactie op mijn eerste schreef. Wiebe is een absolute expert op het gebied van informatiebeveiliging en ICT. Kijk anders eens op zijn website: https://zbc.nu/wie-we-zijn/

Willem, even voorop gesteld dat ik het een leuke discussie vind en dank voor je reactie. Vanaf je eerste reactie ga je er stevig in dus ik neem aan dat je geen probleem hebt voor een stevig repliek. Overigens grappig dat je mij verwijt niet buiten mijn box te kunnen denken. Jouw box beginnend met onderstaande quote lijkt ook behoorlijk omkaderd:

"Mij ontgaat namelijk wat de door jou genoemde zaken te maken hebben met mijn claim, dat HET GROS van alle cyber security problemen zou zijn opgelost als Windows niet meer gebruikt zou worden op werkstations en servers. "

Ik dacht dat ik vrij duidelijk aangegeven had dat it security veel meer is dan Windows en dat de problemen met security vaak buiten Windows (Server en Werkstation) liggen. Wat ik denk is dat jouw uitspraak voornamelijk gericht is op het klein bedrijf wat geen eigen IT afdeling heeft en dus ook geen rol "beveiliger" kent. Want dat soort bedrijven raadt ik inderdaad aan leveranciers te kiezen die deze rol voor hun invullen. Die zeggen "ik beheer jouw IT en zorg dat je veilig kunt werken". Aanvullend zou ik als leverancier dan wel weer stellen "Zolang mensen zich aan instructies gehouden hebben.

En overigens al bedoel je vooral die kleine bedrijfjes met hun Windows werkstation en Windows Server, zelfs dan nog beweer ik dat ook daar het grootste probleem zit tussen de computer en de bureaustoel. Bout gesteld "there's no patch for human stupidity". Hoeveel medewerkers hebben voor praktisch alle diensten hetzelfde wachtwoord? Hoeveel mensen hebben een zwak wachtwoord? Hoeveel mensen delen wachtwoorden?

Stel dat vanaf morgen geen enkel bedrijf meer Windows Server en Windows op de werkplek gebruikt, hebben we daarmee de grootste problemen van it security opgelost? Want let wel: Al ga je als bedrijf over op iets anders (chrome OS / Linux / Mac OSX), dat zegt nog niets over al die particulieren die vast blijven houden aan Windows XP en hun computer laten misbruiken voor DDOS (er zijn veel meer mogelijkheden tegenwoordig en die zijn zeker niet Windows exlusive).

Zoals je zelf ook al als voorbeeld aangeeft en waar jij vooral de focus op legt is medewerkers die onwetend zijn op dingen klikken en daarmee malware installeren. Maar naast dat dit niet de hele waarheid is (mijn kinderen kunnen geen software installeren / onvertrouwde .exe bestanden uitvoeren) is dat ook niet het grootste security probleem.

Kijk bijvoorbeeld eens naar deze informatie ; http://www.informationisbeautiful.net/visualizations/worlds-biggest-data-breaches-hacks/

Op veel cases kun je inzoomen, daar lijkt in veel gevallen Windows niet de boosdoener te zijn. Je zegt dat social engineering veel arbeid kost. Mensen hun wachtwoorden ontfutselen of verleiden op een bestand te klikken is wel degelijk social engineering: https://nl.wikipedia.org/wiki/Social_engineering_(informatica)

Dat daarna het uitbuiten van een Windows kwetsbaarheid de grootste oorzaak is.. daar twijfel ik aan.

Ik ben een groot fan van cloud computing en adviseer ook cloud computing te gebruiken. Mijn eerste reactie is geschreven op een Chromebook (met 2 factor authenticatie), als bedrijf zit ik midden in het proces van het verkrijgen van een ISO27001 certificaat, maar zo'n certificaat zegt wel iets maar niet alles. Zeker in het geval dat je als IT leverancier een ander klein bedrijf gaat helpen met zijn automatisering word het *heel* lastig om garanties af te geven. Wat je kan doen is back-ups maken dat als er iets mis gaat data niet verloren gaat. Je kunt een veilig WiFi netwerk aanleggen, je kunt ze zelfs Chromebooks en Mac OSX aanbieden. Maar nogmaals, dat lost in mijn ogen niet je grootste security issues op. En daarbij -en dat probleem is groter dan de mogelijke tekortkomingen van Windows- wil een klein bedrijf daar wel voor betalen? Want goede security kost tijd, kost training, etc. Als je een veilige werkplek voor 70 euro per maand aanbied, of een minder veilige werkplek voor 30 euro, moet je opletten wat de ondernemer kiest....

Ik heb ook menigeen bedrijf geadviseerd Google for Work te omarmen, maar dit kost vaak ook veel tijd en moeite en dus geld. Problemen met printers, problemen met leveranciers die Excel en Word bestanden aanleveren die niet geopend kunnen worden of verminkt worden in Google Docs, heel veel applicaties die er niet zijn voor buiten Windows (ERP), mensen moeten ook leren werken in Google Drive. Daarnaast moet je die omgeving ook voor ze beheren, aangeven wat ze wel en niet moeten doen (Pokemon Go die alle toegang tot je Google Drive vraagt, etc.).

Het lekken van data is vaak ook een Imago probleem, of leidt tot grote claims.

Wellicht heb je bronnen die aantonen wat bedrijven het meeste geld kost als het gaat om IT security (niet particulier! Dat is niet de focus van de discussie of het artikel!) en kijk dan eens wat je kunt herleiden naar Windows en Windows Server, ik denk echt dat je bedrogen uitkomt.

Nu mobile heel sterk in opkomst is en ook voor werk gebruikt word zie je veel diverse aanvallen zoals man in the middle attacks, database hacks, wachtwoord bestanden in S3 buckets, indirecte aanvallen die werken omdat men hetzelfde wachtwoord voor verschillende diensten gebruikt, malware apps op Android, etc.

En nogmaals als je malware installeert die je bestanden encrypt en je raakt daarmee data kwijt. Dan is dat geen Windows probleem, maar een organisatorisch probleem en een technische probleem (back-up / restore) en geen Windows probleem.

Je ziet de groei van andere technieken nu echt groot worden. Vroeger was Windows de enige, nu dat niet meer zo is zie je dat ook andere OS-sen links of rechtsom kwetsbaar zijn.

Ik blijf erbij dat de awareness van de mens en het tekort aan goede security mensen (on-topic voor dit artikel) een veel groter probleem is dat Windows op werkplek of op server.

Het is een wat lang verhaal geworden. Maar hiermee heb ik ook invulling gegeven aan je "2. Je weet niet waar je het over hebt. Het is onzin wat je zegt. Van deze tweede groep heb ik echter nog nooit gehoord, wat er dan niet klopt aan die simpele redenering."

Dat punt kun je dus niet meer gebruiken in je lezing :-) :-) :-)

@Henri
Zolang wij
1. 'het gros' anders definiëren - ik als aantal gehackte PC's en jij als de verschillende mogelijke security problemen -
2. jij daardoor niet in gaat op mijn met name genoemde bezwaren tegen Windows
3. het probleem blijft benaderen als techneut, daarbij voorbij gaand aan het feit, dat een computer voor gebruikers gewoon een apparaat is, dat net als een auto moet werken, zonder dat je je erin zou moeten hoeven te verdienen
4. het absoluut grootste probleem van dit moment - de lage kosten voor hackers in lage lonen landen, waardoor PC's kunnen worden veroverd om daarmee met enorme computerkracht aan te kunnen vallen - niet onderkent

praten we in feite langs elkaar.

Is dat jammer?
Nee hoor. Zo gaat het heel vaak bij ons mensen.
Je hebt ook zeker heel zinnige punten naar voren gebracht. Ze gaan alleen niet over mijn claim: "HET GROS van alle cyber security problemen zou zijn opgelost als Windows niet meer gebruikt zou worden op werkstations en servers.".
Als je het GROS vertaalt naar AANTAL als in mijn vorige post, dat blijft die claim nog steeds keihard overeind. ook jij hebt mij niet duidelijk kunnen maken, wat er niet aan de redenering klopt.

Willem,

- Het gros in aantallen, of het gros in totale schade, je geeft aan dat Windows hiervan de oorzaak is, ik ontken dat en onderbouw het. Genoeg lacunes in je definitie(s).
- Ik ga wel in op je bezwaren dat gebruikers te gemakkelijk schadelijke software kunnen installeren, ik breng alleen nuance aan dat je a) gebruikers kunt instrueren b) het installeren van software redelijkerwijs kunt voorkomen als je voldoende tijd besteed aan configuratie. Jij lijkt alleen de particulier / freelancer / kleine bedrijfjes in ogenschouw te nemen.
- Ik benader het probleem als techneut? Seriously? Hoe rijmt dat met mijn aandacht over "social engeneering? Probleem zit bij de gebruiker, etc. En NEE ik ben het niet eens dat een computer gewoon een apparaat is wat het moet doen. Een ijzerbewerker geef je ook niet zomaar een nieuw apparaat zonder goed om te gaan met instructie. Net zoals je ook niet zomaar in een auto mag stappen je in de regels moet verdiepen en zeker ook als je naar een ander land gaat.
- Het grootste probleem is *niet* de lage lonen landen. De moderne DDOS attacks worden steeds minder vaak vanaf "gewone" PC's uitgevoerd.

Ik snap prima wat je zegt en schrijft maar ik ben het er voor een redelijk deel gewoon niet mee eens. Let's be careful to be precise! Onderbouw je claim dan eens naar aantal, je hebt vooralsnog alleen beweringen gedaan.

En om je laatste zin te duiden: "2. Je weet niet waar je het over hebt. Het is onzin wat je zegt. Van deze tweede groep heb ik echter nog nooit gehoord, wat er dan niet klopt aan die simpele redenering."

Je schrijft hier NIET dat er een groep is die je beweringen succesvol kan weerleggen, je schrijft dat er niemand is die zegt 'het is onzin wat je zegt'. Je kunt het niet met me eens zijn, maar ik heb je dus gezegd dat het onzin is wat je zegt :-) incl. onderbouwing.

Het is wellicht ongemakkelijk dat ik je tegenspreek, maar dat maakt het nog niet minder sterk.

Het gros van de aantal security problemen is dus niet opgelost als we geen Windows en Windows Server meer gebruiken. Dacht dat ik er genoeg voorbeelden van heb gegeven en je hebt nog geen enkele link gegeven van een bron die jouw verhaal bevestigd.

Particulier zullen de problemen en wellicht aantallen een relatie met Windows hebben, maar die zijn te mitigeren en hebben in een zeer groot deel van de gevallen te maken met onkunde van de gebruiker.

Je kind geef je toch niet zomaar een smartphone en zegt "Succes ermee!" die voed je toch ook op door ze richting te geven; roddel niet over anderen met WhatsApp want het staat geschreven en blijft voor altijd bewaard. Trek geen kleren uit en film dat, Wifi is gratis, maar 4G data kost geld. Pas op voor malifide apps, geef geen wachtwoorden weg en gebruik niet steeds hetzelfde wachtwoord.

Met die set van instructies (waar van alles mis kan gaan op de smartph geen windows) zou je een gemiddelde Windows gebruiker ook al een stuk weerbaarder maken.

Dus ja, je mag het niet met me eens zijn, maar ik weet heel goed waar ik over praat en ik vind niet dat ik er een technisch verhaal van maak. Veel grijpbaarder kan ik het niet maken. Uiteraard wil ik ook wel de techniek in hoor.

Maar (Microsoft) Windows is domweg niet verantwoordelijke voor het AANTAL incidenten wat erop plaatsvind en is niet inherent onveilig en slecht gebouwd.

En zeg nu eens eerlijk, gebruikt je vrouw al 2-factor authentication (en of een password manager)?

Onderbouwing:

Zie ander artikel in Computable vandaag:

https://www.computable.nl/artikel/opinie/security/5812540/1509029/veilige-toegang-tot-gegevens-is-van-levensbelang.html

Daarin staat een link naar een Verizon rapport. Daar zie je ook dat Windows / Malware zeker niet de grootste bedreiging is.

En nog een onderbouwing met een artikel uit de Computable van vandaag:

https://www.computable.nl/artikel/expertverslag/security/5811720/4573232/pokemon-go-is-veiligheidsrisico-voor-onderneming.html

Just Sayin'

Beste Heni,
Ik was van plan om niet nog een reactie te schrijven, maar je biedt zoveel aanknopingspunten om dat wel te doen .... dus daar gaat'ie nog een keer.

Het is mijn mening - of jij het er nu mee eens bent of niet en als gezegd: je bent er tot dusver niet in geslaagd mij te laten inzien, dat die mening echt onzin is -, dat Microsoft fors nalatig is. Nalatig en - omdat de cyclus van de door haar geleverde software bij de opzet van die software begint - ook als eerste verantwoordelijk. Door software te leveren, waarvan het bedrijf weet, dat die massaal gebruikt wordt en waarmee zo eenvoudig cyber criminaliteit mogelijk is.

Omdat iedereen met enige interesse weet heeft van het gemak, waarmee je een Windows machine kunt infecteren, zijn er - nadat de verantwoordelijkheid voor de gerealiseerde software dus is vastgesteld - vervolgens drie partijen:
1. de ICT-bedrijven die Windows adviseren, verkopen, implementeren en onderhouden. Zij leveren uiteraard ook tegen betaling aanvullende diensten en producten om problemen, waarvan ze weten, dat die zich kunnen gaan voordoen te helpen voorkomen.
2. de gebruikers, die Windows aanschaffen. Veelal omdat ze denken, dat er geen alternatief is of omdat Apple ze te duur is. ICT-leveranciers die Google Chromebook adviseren zijn moeilijker te vinden, dan een speld in een hooiberg. Tenzij je er al naar op zoek bent. Maar waarom zou je, als je er geen weet van hebt?
3. de criminelen. Die vind je overal. En aangezien de mailtjes zogenaamd afkomstig van Nederlandse bedrijven aan Nederlandse bedrijven en particulieren tegenwoordig in perfect Nederlands zijn …. Met elkaar maken die criminelen gebruik van de lage lonen landen, omdat ze daar zeer goedkoop hun hackers-productie kunnen inkopen.

Over de aantallen.
Ik heb vier voorbeelden genoemd, van wat criminelen zouden kunnen doen en doen met de CPU-kracht die ze verwerven middels hun hacks. DDOS als zodanig heb ik niet genoemd alhoewel je voorbeeld 2 wel zo zou kunnen hebben gelezen. De andere drie heb je links laten liggen in je reactie. Ik pak er - om deze bijdrage niet nog langer te laten worden dan hij toch alweer is - alleen voorbeeld 3 even uit.
Op vrijdag 22 juli stond er een artikel in onze Barneveldse Krant (jawel, wij hebben nog een dagelijks verschijnende krant in ons schitterende dorp!). Daarin het verhaal opgetekend uit de mond van een werknemer van een plaatselijk ICT-bedrijf. Het verhaal zelf ging over een klant van hen, waarvan een medewerker door - uiteraard zonder weet te hebben van de consequenties - een geïnfecteerd Worddocument te openen niet alleen de eigen PC, maar ook het gehele netwerk had versleuteld. Niemand kon nog ergens bij. Zelfs de boekhouding was versleuteld. Men kreeg wel een bericht van de ongewenste leverancier van de cryptolocker: “tegen betaling van een x-bedrag, zou men de sleutel kunnen krijgen om de bestanden weer te openen”. Dat gedaan hebbende, bleek 80% inderdaad weer beschikbaar. 20% - waaronder de boekhouding - bleef echter ontoegankelijk.
De ICT-medewerker vermeldde, dat zich bij zijn bedrijf in de achterliggende periode van 1 maand 12 klanten met soortgelijke klachten hadden gemeld. In 1 maand dus twaalf bedrijven bij die ene ICT-leverancier. Laten we het aantal besmette PC’s op 10 per vestiging nemen en uitgaan van 1.000 ICT-leveranciers in ons land. Dan praten we over 1 maand dus 120.000 en in een jaar …. geïnfecteerde PC’s betreffende alleen een variant van de cryptolocker. Een variant, want - daarover liet de medewerker van het ICT-bedrijf ook geen misverstand bestaan - er komen steeds nieuwe varianten op de markt.

Kijk en daar zit nou misschien wel ons grote verschil van mening.
Zou ik nu jouw redenering volgen, dan is het allemaal de schuld van die domme gebruikers zelf. Eigen schuld, dikke bult.
Ik vind, dat je als leverancier alles in het werk moet stellen om je gebruiker probleemloos te laten werken. Dat geldt in de eerste plaats voor Microsoft als ontwikkelaar. Overigens vind ik ik dus ook, dat ICT-leveranciers van Microsoft producten een verantwoordelijkheid hebben. Vertellen zij wel het hele verhaal, dus inclusief alle gevaren die er bestaan bij het gebruik van Windows en de kosten, die gemoeid zullen zijn met een afdoende afscherming inclusief de updates van alle bij de afscherming horende hardware en software en geregelde instructie? Of houdt hun verantwoordelijkheid op bij het zo snel mogelijk verkrijgen van een handtekening om daarna - en ook nadat de eerste leveringen hebben plaatsgevonden - het resterende verhaal te vertellen. Waardoor de klant - geen rekening houdende met aanvullend budget - besluit om het risico dan maar te nemen? Immers, als het echt zo ernstig was, dan zou toch niemand met Windows werken en dan zou die vriendelijke en vertrouwde leverancier het toch veel eerder hebben gemeld?

Je schrijft diverse keren, dat je begrijpt, wat ik bedoel te zeggen, maar dat je het er niet mee eens bent. Op basis daarvan concludeer je, dat ik onzin verkondig.

Ik van mijn kant zeg, dat ik vind, dat je een heel goede bijdrage levert aan deze discussie, maar dat we langs elkaar heen praten.

Samengevat komt het erop neer,
1. dat jij de verantwoordelijkheid helemaal legt bij de gebruiker.
2. terwijl ik vind dat hackers momenteel het grote probleem voor wat betreft cybercriminaliteit vormen. En dat de leveranciers (Microsoft als leverancier van Windows voorop) voor het gros van de problemen de oplossing zouden moeten en kunnen aandragen. Ik zou je nogmaals willen wijzen op de bijdrage van Wiebe. Die is kort en kernachtig: “Verplicht leveranciers om een veilig product op te leveren. Dat geldt toch ook voor auto's, apparaten etc.
Hierdoor voorkom je dat ieder bedrijf deskundigheid moet opbouwen over de inferieure producten van leveranciers. Dan ben je sowieso van een onveilig windows af want dat is niet de enige boosdoener.”

Tenslotte: in mijn eerste post heb ik 2 kernpunten benoemd:
1. Niet meer gebruik maken van Windows
2. Alleen nog gebruik maken van Cloud-oplossingen

Dat punt 2 had ik wel wat verduidelijkt, maar misschien moet dat toch meer uitgediept, want uiteindelijk draagt het niet meer gebruiken van Windows volgens mij wel enorm bij aan een snelle oplossing voor veiliger ICT, maar zie ik in het ‘veilig werken in de cloud’ de enige weg naar een veel veiliger ICT toekomst.
Het Chromebook - een computer die altijd werkt en waarop helemaal geen programmatuur kan worden geïnstalleerd - is daarbij aan gebruikerskant het enige voorbeeld, dat ik momenteel in de markt zie.

Door de combinatie van een op die manier veilig werkstation en veilige cloudomgeving komt de werking van de werkelijke programma’s en verwerking van de gegevens in de Cloud onder verantwoordelijkheid van de leverancier. Middels ISO 27001 kan je daar veiligheid, beschikbaarheid en integriteit afdwingen. Met ISO 27001 stelt eisen aan de leverancier, maar er is ook een gebruikersovereenkomst in opgenomen. Door daarin duidelijk op te nemen, wat van de kant van de gebruiker nodig is voor veilig gebruik van de oplossing in de cloud wordt ook de verantwoordelijkheid van de gebruiker niet vergeten. En daarbij kan je uiteraard ook zaken als mobieltjes, gekoppelde accounts en programma's meenemen.

Voor de basis onder een veilige en voor iedereen beschikbare integere ICT toekomst is Microsoft met Azure misschien wel een goede speler, maar is de rol van Windows echt voorbij.

Dat is mijn mening en daarover ga ik graag met iedereen in gesprek via het geven van bijvoorbeeld lezingen.

Dag Willem, compliment voor je reactie!

En ik kan me jouw perspectief voorstellen en je onderbouwt het ook met voorbeeld en structuur. Ik ben overigens geen Windows fan en vind dat MS in die zin slecht luisteren naar gebruikers met als voorbeeld mislukte Modern UI apps, een steeds wisselende interface en zoals je aangeeft, eigenlijk zouden ze een soort cursus aan moeten bieden met iedereen die met Windows aan de slag wil, zowel particulier als (klein) bedrijf. Overigens heb ik meerdere migraties gedaan naar Google for Work met partners en zijn die er wel te vinden, maar wellicht aan de marketing kant schort het soms nog wel. In mijn bedrijf werken we met Google for Work en is de mix tussen OS X en Windows 50/50. Wij kunnen nog niet zonder deze twee omdat grafische vormgeving, animatie en video bewerking lastig gaat op alleen Linux of Chrome OS.

Ik ben het eens dat kleine bedrijven leveranciers zouden moeten selecteren die verantwoordelijkheid nemen en meer dan dan alleen spullen leveren. Je voorbeeld van een bedrijf dat zijn boekhouding data verlies is dus typisch een bedrijf die geen goede IT leverancier heeft, of waarvan dat bedrijf dus geen plan heeft gemaakt voor data recovery. Hier zie je dus wel het spanningsveld tussen goede leveranciers, maar dat de prijs voor de ondernemer blijkbaar te hoog is om het goed te doen. Waarom word een administratie wel professioneel opgezet, maar word de IT er maar bij gedaan? Beseft ieder bedrijf nog niet dat IT een primaire zaak is, net als stroom, loonadministratie en boekhouding?

Wat betreft je eerste opsomming:
- Waarom "verkopen" ze Windows? Niet alleen omdat het de standaard is, maar ook omdat de implementatie het gemakkelijkst aansluit. Zowel Mac OSX als migratie naar Chrome OS vergen nogal wat veranderingen, veranderingen kost geld, dus kiezen bedrijven ook voornamelijk voor de veilige (haha, lekker dubbel) weg. Windows is een vrij complex product, ben het met je eens dat het voor kleine bedrijven en particulieren nogal eens lastig is om het goede te doen. Maar Mac OS X maakt beheer ook moeilijker en bij Chrome OS is het vooral vaak beperkt. Dingen die het net niet doen, dingen die niet kunnen en de alternatieven ervoor en ook het beheer van Google Accounts is toch subtiel lastiger dan je zou denken.

Ik ben een volledig voorstander van dat bedrijven over zouden moeten stappen naar cloud oplossing, mede omdat grote cloud providers veel beter in security zijn dan 99.9% van alle bedrijven. Voor de generieke kantoorautomatisering (Documenten, Email, Agenda) kom je dan als snel bij twee partijen uit: Google of Microsoft en beide zorgen er voor dat de lokale leveranciers EN minder verdienen EN minder betrokken worden bij de klant. Als middle-man word je er tussenuit gehaald en van de opbrengsten kun je nauwelijks leven.

Overigens zouden Windows gebruikers ook de browser kunnen gebruiken als primaire tool. Dan heb je al 99% minder kans op Malware infecties al zie je dat steeds meer malware zich richt op accounts en browsers.

Als Windows inherent onveilig is en bedrijven die door malware getroffen zijn switchen naar alternatieven sterft Windows vanzelf uit. Het hele principe van file-shares (gedeelde mappen) is toch al achterhaald.

Ik geloof dat de discussie nu wel is uitgekauwd :-) Op bepaalde uitspraken liggen we ver uit elkaar (Windows als root-cause voor de grootste aantallen en schade versus een veel breder oorzaak en met de nadruk op de gebruiker/klant), op bepaalde vlakken verschillen we niet veel van inzicht.

In ieder geval bedankt voor de discussie.

Vacatures

Stuur door

Stuur dit artikel door

Je naam ontbreekt
Je e-mailadres ontbreekt
De naam van de ontvanger ontbreekt
Het e-mailadres van de ontvanger ontbreekt

×
×