Ict’ers kennen als geen ander de beveiligingsrisico’s van geheugensticks. Toch springen ze er slordig mee om en zijn ze te laks om data veilig op te slaan, blijkt uit een onderzoek van Pointsec
Bijna de helft van de computerdeskundigen zegt regelmatig bedrijfsinformatie te bewaren op een usb-stick. In driekwart van de gevallen wordt de opgeslagen informatie bovendien helemaal niet beveiligd. Dit blijkt uit een steekproef onder bezoekers aan de Infosecurity-beurzen in Utrecht en Brussel. 94 procent van de ondervraagden zegt zich zeer bewust te zijn van de gevaren die het onveilig transporteren van data op usb-sticks met zich meebrengt. Het onderzoek werd uitgevoerd in opdracht van Pointsec, leverancier van beveiligingsoplossingen voor mobiele apparatuur.
Chantal 't Gilde van Pointsec verbaast zich over de feiten. "De voorbeelden waarbij het is misgegaan, zijn legio. Terwijl oplossingen voor dit probleem, zoals encryptie, een wachtwoord of biometrie relatief eenvoudig zijn in te zetten." Doel van het onderzoek is om iedereen bewust te maken van de gevaren van onbeveiligde bedrijfsdata. "Goede beveiliging van usb-sticks moet duidelijk worden vastgelegd in het bedrijfsbeleid. Pas dan kan het probleem bij de kop worden aangepakt," aldus 't Gilde.
De ondervraagde ict'ers zijn wel zo slim om geen bankgegevens of wachtwoorden op de geheugenpen te zetten. Toch hebben ze minder problemen met het opslaan van interne bedrijfsgegevens, gezien het feit dat 40 procent dit wel eens blijkt te doen. Zonder scrupules zet 30 procent zelfs informatie over klanten op de makkelijk mee te nemen gegevensdrager.
Hoe beveilig jij de documenten op je usb-stick? Geef hier onder je reactie of mail het naar computable.lezers@bp.vnu.com.
U stelt in uw artikel dat het vrij simpel is om informatie op een removable medium zoals een USB stick te beveiligen. Echter de gebruikers van deze removable media hebben er vaak geen enkel belang bij om de data te beveiligen, zeker als dit enorm moeilijke procedures met zich meebrengt. Vaak wordt deze vrijblijvende beveiliging van de informatie dan door de gebruikers ook achterwege gelaten, omdat het zeer ongebruikersvriendelijk is.
Voorbeeld: Bij een verzekeringsmaatschappij in Nederland moeten de gebruikers van een laptop minimaal vier wachtwoorden invullen, voordat ze toegang hebben tot de gegevens van de verzekerden. Deze zeer gebruikersonvriendelijke procedure blijkt bij nadere analyse ook nog niet eens veilig te zijn.
Het op een gebruikersvriendelijke manier bewijsbaar veilig maken van informatie blijkt in de praktijk niet zo eenvoudig te zijn te meer omdat bij vrijwel alle ict- mensen in Nederland kennis op dit gebied ontbreekt (bijvoorbeeld kennis op het gebied van Informatie-Theorie) .
In het FreeMove Quantum Exchange Proof-of-Concept (zie http://docs.google.com/Doc?id=dds86766_0drrp6t voor een korte beschrijving) hoeven gebruikers voor bewijsbare beveiliging van de informatie bij vrijwel alle functies geen enkel wachtwoord te onthouden/gebruiken. Dit blijkt in de praktijk zeer gebruikersvriendelijk en intuitief te werken en brengt met zich mee dat de beveiliging van de informatie automatisch plaatsvind.
Helemaal eens met de reactie van Ronald Heinen. USBs worden vooral gebruikt omwille van hun eenvoud en snelheid. Als die vervallen, zijn ze gewoon niet meer doeltreffend.
Dit artikel was aanleiding voor mij om nu eindelijk eens die USB-stick te encrypten. Dat was echt iets wat al tijden moest gebeuren. TrueCrypt werkt daarvoor erg handig en is nog open source ook.
Het is echt heel simpel hoor.
Je maakt een Truecrypt bestand aan op je usb-stick en kunt die dan altijd mounten/unmounten met het correcte wachtwoord.
Dan is het SUPER beveiligd!
Dat doe ik dus.
En voor mijn wachtwoorden gebruik ik Keepass. Je hebt maar 1 wachtwoord nodig om al je eigen wachtwoorden te zien.
1) Ik heb de usb-stick aan mijn autosleutel zodat ik hem nooit kan laten liggen bij een klant.
2) De Kingston Elite USB stick heeft standaard een stukje software op de stick staan waarmee je de gehele stick of een deel van de stick kan versleutelen en tevens onzichtbaar kan maken! Ik gebruik dus een 2 GB-stick waarvan ik de helft geheim gemaakt heb, de codering van de behuizing af gehaald heb zodat iemand die de stick in handen krijgt bij het zien van 1 GB-oplsag niet op het idee komt dat er ook nog 1 GB verboregn ruimte op zit.
Met beide oplossingen welke hierboven gegeven worden is er een theoretisch probleem, waardoor het onmogelijk is dat het veilig is.
TrueCrypt is een cipher welke een korte key gebruikt, zonder dat de source data gecomprimeerd is. Daardoor is de zogenaamde min-entropy van de source data niet gegarandeerd en is het onmogelijk dat TrueCrypt veilig is. Om Truecrypt op een minimaal bewijsbaar veilig niveau te krijgen moet er minstens een lossless compressie/decompressie functie in TrueCrypt ingebouwd worden, welke een minimale min-entropy van de Source data garandeerd.
Het beveiligen van passwords met Keepass is ook niet bewijsbaar veilig. AES and Twofish zijn bijvoorbeeld met de methoden van Boris Ryabko (zie http://boris.ryabko.net/ ) te kraken.
Bij mijn weten is er geen enkele beveiligingsoplossing waterdicht. Dus encrypten , beveiligen met password of met vingerafdruk is ook niet helemaal veilig. Ze kunnen de verwachte risico’s wel beperken.
In de vorige reactie is gesteld dat geen enkele beveiligingsoplossing water dicht is. Dit moet ik weerleggen.
In de eerste reactie welke ik gegeven heb op dit bericht is een URL van een summiere beschrijving van de FreeMove Quantum Exchange te vinden. In dit Proof-of-Concept worden verscheidene bewijsbaar veilige oplossingen gegeven. Echter zijn er naast deze gegeven oplossingen nog meerdere mogelijkheden voor bewijsbaar veilige verbindingen. Zie bijvoorbeeld de reaktie die te vinden is op https://www.computable.nl/nieuws.jsp?id=1802536
Maar kan je hem ook op elke willekeurige computer plaatsen en dan met het wachtwoord openen? Zonder daarvoor eerst bijvoorbeeld een stukje software te installeren.