Acht tips voor het beveiligen van USB-apparaten

Een aantal jaar geleden was er veel te doen over USB-sticks en speelden veel organisaties met het idee om alle USB-poorten maar dicht te zetten. Hiermee zouden de risico’s wel voorkomen worden. Op zich niet zo gekke gedachte, gezien de tijd (maar wij hadden uiteraard al ingeschat dat deze maatregel niet ging werken). Dat was nog in de tijd dat je voor een floppy naar de afdelingssecretaresse moest lopen en meer dan 1 floppy per week mocht je niet aanvragen.

Nu, zoveel jaren later, heeft iedereen 1 of meerdere USB-sticks en op deze USB-sticks kun je meer informatie opslaan dan je vroeger op je harde schijf kon. Nu de ontwikkeling in processor snelheid een beetje stil lijkt te staan is de ontwikkeling om meer geheugen beschikbaar te stellen voor minder geld volop gaande.

Had je vroeger een USB-stick met 128mb dan was je al een hele man. Nu wordt je scheef aangekeken als jouw stick minder dan 16gb heeft. Kun je nagaan hoeveel informatie je op kunt slaan op een dergelijke schijf? Toch lijkt het dat de aandacht voor de risico’s van USB-sticks wat aan het verslappen is, blijkbaar vinden we het al zo normaal dat we over de risico’s heen kijken.

Kingston Digital Europe Ltd geeft daarom een overzicht van de beste manieren om bedrijfsinformatie op USB Flash apparaten te beveiligen en licht meteen ook toe welke risico’s verbonden zijn aan een tekort aan veiligheidsmaatregelen. Oostlander: “Informatie op USB-apparaten moet beveiligd worden en het beleid moet er voor zorgen dat bedrijfsinformatie alleen toegankelijk is voor geautoriseerde partijen. Wanneer een bedrijf hierin tekortschiet, kan dit vervelende gevolgen hebben. Denk maar aan regels die niet nageleefd worden door het eigen personeel, boetes, financiële kosten en vertrouwensverlies bij de klant.” (bron)

Nu moeten we er natuurlijk altijd voor waken dat “WC-Eend, WC-Eend niet adviseert” of “de slager zijn eigen vlees keurt”, maar tips zijn op zich natuurlijk altijd bruikbaar als we ze maar vertalen naar onze eigen praktijk. En of jij dan je USB-sticks koopt van Kingston of een andere leverancier, laat ik lekker aan jou over.

Kingstons aanbevelingen voor bedrijven om hun geheugenproducten op een veilige manier te gebruiken, zijn:

  1. Maak een gecodeerd USB-plan: beschermen en navolgen
  2. Zoek naar de meest geschikte USB Flash drive voor uw organisatie
  3. Training en educatie
  4. Ontwikkel een beleid en voer dit uit
  5. Zorg voor goedgekeurde bedrijfs-USB’s
  6. Zorg voor geautoriseerde USB’s en blokkeer andere apparaten
  7. Codeer vertrouwelijke informatie
  8. Zorg voor een gecertificeerde antivirus, altijd en overal

Voor de bijbehorende risico’s zoals die door Kingston worden omschreven verwijs ik je naar de originele tekst, die te vinden is op Managersonline.nl. En hoewel ik je geen USB-sticks ga verkopen, kan ik je natuurlijk wel helpen om invulling te geven aan deze 8 tips…maar goed dat wist je al en als je vragen hebt, weet je me te vinden.

66% verloren USB-sticks bevat malware

Wie een USB-stick vindt moet hier voorzichtig mee omgaan, de kans is groot dat er malware op de datadrager staat. Dat beweert anti-virusbedrijf Sophos aan de hand van een eigen onderzoekje. De virusbestrijder kocht 50 USB-sticks tijdens een veiling van verloren goederen die in Australische treinen waren gevonden. Op tweederde van de USB-sticks stond malware. Het ging om 62 geïnfecteerde bestanden op 33 sticks (bron).

Ook hier betreft het, net als het bericht van gisteren, weer geweldige cijfers waar je over kan twisten. 66% van de “gevonden” sticks bevat malware. Gevoelsmatig vind ik dat wat aan de hoge kant, maar op zich doet dat er niet toe.

Dergelijke berichten kunnen we gebruiken om de mensen bewust te maken. Vind je een USB-stick, stop hem dan niet zomaar in je PC om te kijken wat er op staat. Voor je het weet, ben je besmet. Klinkt allemaal erg logisch en we kunnen best willen dat men zich aan deze gedragsregel houdt, maar dat gaat niet gebeuren.

Zijn we niet allemaal nieuwsgierig? Vinden we zo’n stick dan willen we snel kijken wat er op staat en zo’n stick kunnen we zelf best nog een keer gebruiken. Hop, de stick in je PC en kijken maar. Grote kans dat je niet eens merkt dat je besmet raakt. Balen als er niet echt spannende documenten en foto’s op staan natuurlijk. Je verwijdert de gegevens en hebt weer een mooi stickie dat je voorlopig kunt gebruiken (voorlopig ja, tot jij hem kwijt raakt).

Het aantal sticks met een besmetting mag dan hoog zijn, het aantal sticks met encryptie is dat zeker nog niet: Toch was geen enkele stick versleuteld of bevatte versleutelde bestanden.

Dat kunnen we de gebruikers natuurlijk aanrekenen maar kijk ook eens naar de andere kant. De kant van de aanbieders. Moeten de leveranciers van USB-sticks of encryptiesoftware zich niet achter de oren krabben? Hebben zij hier ook niet een bepaalde verantwoordelijkheid in? Wie het weet mag het zeggen.

Vind je binnenkort een USB-stick, dan is de keuze aan jou: of je kijkt er op met het risico dat je besmet raakt, of je laat hem lekker liggen (en hoopt dat een ander hem oppakt en besmet raakt). Grote kans dat je tegen die tijd dit bericht alweer vergeten bent en kiest voor de eerste optie…het zal toch wel gewoon in onze genen zitten.

Driekwart werknemers gebruikt illegale USB-sticks

Bijna driekwart van de Britse werknemers gebruikt “illegale” USB-sticks op de werkvloer en ook encryptie wordt nauwelijks toegepast. De illegale USB-sticks zijn sticks die niet door de werkgever zijn geautoriseerd. Ze kunnen van thuis of conferenties zijn meegenomen. Verder bleek dat bij 72% van de Britse bedrijven werknemers USB-sticks met vertrouwelijke gegevens waren verloren (bron).

Het betreft natuurlijk geen “illegale” USB-sticks in de zin van het woord, maar het betreft USB-sticks die door de werkgever niet zijn uitgegeven en dus niet onder controle staan. Dat het er veel waren, is bijna algemeen bekend, maar dat het er zoveel zijn geeft toch te denken.

Met het “bring your own” principe zullen de cijfers alleen nog maar toenemen. Bijkomend issue hier is dat:“Als je een laptop verliest kun je niet meer werken, als je een USB-stick verliest komt niemand dit te weten”. Dat is met diefstal van informatie in heel veel gevallen het feit.

Eigenlijk kun je in veel gevallen trouwens niet eens spreken over diefstal maar komt het eerder neer op het illegaal kopiëren van de data. De data hoeft daarna immers niet weg te zijn maar kan nog steeds op de server staan. Stelen we een laptop dan is dat inderdaad al vrij snel duidelijk, we kunnen niet meer werken en zullen aan onze manager uit moeten leggen dat we bestolen zijn. Bij USB-sticks is dit inderdaad niet het geval. Verliezen we onze eigen USB-stick dan hebben we er vast thuis nog wel een in de kast liggen. Jammer van die informatie, maar die slaan we wel weer opnieuw op.

We vergeten dan nog wel eens dat de informatie in verkeerde handen is gekomen en dat informatie een veel hogere waarde kan hebben dan die ene laptop. De medewerker zelf heeft er dan misschien geen last van, maar als bedrijf kunnen we enorm in verlegenheid gebracht worden. Brengt iemand de USB-stick naar de krant, dan kost het ons imago. Brengt hij hem echter naar de concurrent, dan kan ons dat ook nog eens een berg geld kosten (om over claims, verlies van klanten enzo nog maar te zwijgen).

Met deze cijfers is het tijd om binnen je eigen organisatie nog eens goed je ogen open te houden. Is jouw organisatie representatief en vindt het daar ook op grote schaal plaats? Dan wordt het tijd om maatregelen te nemen.

Natuurlijk kunnen we de USB-poorten dichtzetten, maar dat is wat kort door de bocht. Misschien moeten we ervoor zorgen dat iedere medewerker makkelijker (en goedkoper) aan een veilige USB-stick kan komen. Misschien moeten we er wat extra tijd aan besteden tijdens onze bewustwordingscampagnes, misschien moeten we wat vaker controles aan de poort houden.

Kortom: er is best iets aan te doen, maar uiteindelijk zit de grootste winst hem in de medewerkers bewust maken van de gevaren. De gevaren voor zichzelf (in het uiterste geval ontslag) en gevaren voor de organisatie (in het uiterste geval faillissement en dus ontslag voor iedereen…wil jij dat op je geweten hebben?).

Duitse overheid onthult gratis encryptiesoftware

Er is een nieuwe versie van het gratis encryptieprogramma Gpg4win verschenen, dat voor het Bundesamt für Sicherheit in der Informationstechnik (BSI) is ontwikkeld (bron).

Oh, nee, hier gaan we. De overheid die gratis encryptiesoftware onthult. Hoe goed de intentie misschien ook is, de schijn heeft het in ieder geval tegen.

De discussie zal op gang komen. Als de overheid deze software promoot, dan moet er wel een backdoor inzitten waardoor zij in ieder geval bij de gegevens moeten kunnen. De vraag is of je als ontwikkelaar nu echt blij moet zijn als de overheid jouw product gaat promoten.

Normaal gesproken wel natuurlijk. Want weinig mooier dan de overheid als referentie kunnen gebruiken. Maar in dit geval toch op zijn minst twijfelachtig. Ik wacht nog even met het gebruik van deze gratis encryptiesoftware.

Een geluk bij een ongeluk: gisteren zagen we al dat het 40% niet lukt om de WiFi-verbinding te beveiligen. Deze mensen gaat het waarschijnlijk ook niet lukken om encryptiesoftware up-and-running te krijgen. Een gevaar op zich, want wordt het middel dan niet erger dan de kwaal? Als je al besluit om encryptiesoftware toe te passen, wees je er dan wel van bewust dat als je het wachtwoord kwijt raakt je ook echt niet meer bij de gegevens kan.

Encryptiesoftware voor thuisgebruik? Ehm, wees reëel, heb je dat echt nodig? Zijn jouw privé gegevens echt zo spannend? Ik zou er eerst maar eens voor zorgen dat je WiFi-verbinding beveiligd is, dat je een firewall hebt draaien en dat de anti-virus en anti-spam software up-to-date is. Grote kans dat de gelegenheidsdader jouw huisje dan voorbij rijdt en naar de buren gaat.

Oh ja, dat herinnert me eraan. Weet je het nog? Gisteren de test met de WiFi-verbinding? 7 beveiligd en 2 niet. Ik denk dat ik deze mensen binnenkort een bloemetje moet brengen omdat zij er mede voor zorgen dat mijn netwerkje veilig is.

FBI wil backdoor in encryptie software

Een leuke en interessante afsluiter voor deze week. De FBI wil een backdoor in encryptie software. Al jaren is bekend dat encryptie software die in Amerika (en/of wereldwijd) verkocht wordt een backdoor moet hebben, de gegevens moeten op de één of andere manier bekeken kunnen worden. Dat druist natuurlijk volledig in tegen het doel van encryptie: het versleutelen van gegevens zodat alleen de rechtmatige ontvanger de gegevens kan lezen.

Amerikaanse inlichtingendiensten willen het gehele internet kunnen afluisteren en pleiten daarom voor een backdoor in alle versleutelde communicatiediensten. Steeds meer communicatie vindt online plaats, bijvoorbeeld via diensten als Skype. De FBI beschikt echter niet over de mogelijkheden om deze gesprekken af te luisteren. Als het aan de inlichtingen- en opsporingsdiensten ligt, bouwen sociale netwerksites, Skype en andere online diensten een backdoor in die het mogelijk voor de Amerikaanse overheid maakt om al het verkeer te onderscheppen (bron).

Denken we dat de Nederlandse overheid meer en meer grip op de burgers wil krijgen dan moeten we de Amerikanen zeker niet uitvlakken. Eerlijk is eerlijk: ze komen er wel openlijk voor uit.

Barack Obama beschikt sinds kort over een knop waarmee hij het hele internet uit kan schakelen. Zal wel in de plaats gekomen zijn van de o zo bekende hotline. De FBI wil kunnen beschikken over alle gegevens die over het internet gaan zodat we weinig meer te verbergen hebben.

De charme van het internet gaat er zo wel een beetje af, vind je niet? Ach, we hebben geen keuze. Binnenkort kunnen de veiligheidsdiensten weer gewoon bij onze gegevens. Nu nog hopen dat de Amerikanen bereidt zijn om de backdoors met ons te delen, anders krijgen ze wel een erg grote voorsprong.

Ik denk dat het volgende verzoek van de FBI wordt om gaten te laten bestaan in de firewalls (voor zover die er nog niet inzitten) en de anti-virus pakketten (voor zover die er nog niet inzitten). Zo kunnen ze simpel onze harde schijf bekijken en ons met een virus infecteren als zij dat nodig vinden. De tijd van de stand-alone pc ligt alweer wat jaren achter ons en ook de meest geheime of kritische systemen zijn gewoon aangesloten op het internet, misschien is een stand-alone oplossing toch zo’n gek idee nog niet.

Dan had de Iraanse kernreactor gewoon lekker rustig door kunnen draaien (bron). Ga maar lekker slapen…

Britse Defensie verliest 340 laptops

Het Britse Ministerie van Defensie is de afgelopen twee jaar 340 laptops kwijtgeraakt, waarvan de meeste niet versleuteld waren. De schade bedraagt bij elkaar meer dan 700.000 euro. Naast de laptops verdwenen ook 593 CDs, DVDs en diskettes, 215 USB-sticks, 96 draagbare harde schijven en dertien mobiele telefoons. Van alle gestolen of verloren apparaten, was 80% onversleuteld. Volgens een Defensiewoordvoerder wordt het verlies van materiaal zeer serieus genomen en zijn er robuuste procedures aanwezig. (bron).

Ben je na het lezen van bovenstaande gegevens ook zo benieuwd hoeveel tanks, kanonnen, geweren en munitie ze kwijt zijn geraakt? Ik wel, maar goed, dat zullen we wel nooit te weten komen. Hopelijk gaan ze voorzichtiger met hun personeel om. Nu staat er een klein berichtje op internet en alleen degene die er in geïnteresseerd zijn lezen het. Maar als er de afgelopen twee jaar 340 militairen om het leven waren gekomen dan was de wereld te klein geweest.

Schrikbarende cijfers en dan hebben we het hier nog over een instantie als het leger kun je nagaan wat er bij andere, minder beveiligde, organisaties zoal verdwijnt. Of zou het leger het hier slechter doen dan de maatschappij? We mogen hopen van wel, maar dat ze een serieus probleem hebben mag duidelijk zijn.

De afgelopen jaren hebben ze waarschijnlijk allerlei mooi, ingewikkeld en vooral duur oorlogsmaterieel gekocht, maar ze hadden beter een deel kunnen investeren in beveiligingsmaatregelen. Natuurlijk hebben naties nog oorlogsmaterieel nodig, maar er is steeds meer sprake van digitale oorlogsvoering en die hebben de Britten in ieder geval al verloren.

En hoewel we voorzichtig moeten zijn met het geven van beveiligingsadviezen (want we kennen de context niet) kunnen we in ieder geval stellen dat de focus zou moeten liggen op: versleuteling van de gegevens en bewustwording bij het personeel. Maak het personeel persoonlijk verantwoordelijk voor de spullen die ze krijgen en als ze daarvan iets zijn kwijtgeraakt dan duurt het even langer voordat ze er een streepje bij krijgen op de schouder. Dit soort maatregelen kunnen andere bedrijven natuurlijk ook doorvoeren. Maak het personeel verantwoordelijk en trekt de kosten die je loopt bij verlies of diefstal af van het salaris, moet je eens opletten hoe goed iedereen op zijn spullen gaat letten.

Als militairen, die van nature toch al een gevoel bij beveiliging zouden moeten hebben, al zo met hun spullen omgaan dan moeten we ons zorgen maken voor de veiligheid van de maatschappij en de gewone burgers daarin, die zijn zich nog minder bewust van de risico’s.

Voorlopig ligt er nog genoeg werk voor de beveiligingsadviseurs alleen moet het management gaan begrijpen dat er aan dit soort risico’s wel degelijk iets te doen is. En die 700.000 euro heb je dan zo terug verdient. Die 700.000 euro is trouwens niet de echte schade, dat is slechts de schade voor de hardware, maar hoeveel is de informatie die er op te vinden is waard en hoeveel uren zijn er verloren gegaan als gevolg van het zoekraken van gegevens? Daar zit hem de echte schade en die is vele malen hoger.

Het lijkt me toch dat er, na het zomerreces, vragen over gesteld gaan worden in het Lagerhuis, hopelijk geven ze een seintje als ze dat gaan doen want die discussie wil ik niet missen.

NFI kraakt encryptiesleutel pedofiel

Het Nederlands Forensisch Instituut (NFI) heeft de encryptiesleutel waarmee een 42-jarige computerprogrammeur uit Sliedrecht zijn kinderpornoverzameling versleutelde, weten te kraken. Een deel van de collectie is nu ontsleuteld en volgens justitie gaat het om tenminste 7,5 miljoen afbeeldingen, meer dan in de landelijke database van de politie is opgeslagen. Oorspronkelijk dachten experts dat het jaren zou duren om de sleutel te kraken. Het Openbaar Ministerie eiste eind mei vier jaar cel en tbs tegen de man (bron).

Natuurlijk moet je een pedofiel straffen met de hoogst mogelijke straf, daar hoeven we wat mij betreft geen discussie over te voeren. Waar we wel bij stil moeten staan is het feit dat de encryptiesleutel gekraakt is. Dat is relevant omdat we encryptie nu juist toe passen om onze vertrouwelijke gegevens te beveiligen. Als dat gekraakt wordt moeten we ons daar bewust van zijn. Niet alleen het NFI maar allerlei (overheids)instellingen zijn in staat om de gegevens te ontsleutelen. Daar gaan onze staatsgeheimen. Andere, buitenlandse, instellingen zijn in staat om onze staatsgeheimen in te zien. Ehm, information warfare. Toch maar weer terug naar de tijd van de typemachine waarbij de gegevens veilig in een kluis lagen opgeborgen?