Een woordvoerder van de politie plaats een foto van zijn computerscherm op Twitter. Inclusief inloggegevens van één van zijn collega's, die op een briefje aan het scherm waren geplakt. Dit komt de informatiebeveiliging van de politie niet ten goede.
Afgelopen week las ik het volgende nieuws op De Utrechtse Internet Courant :
In zijn ijver de bevolking van Utrecht te informeren over de politiehelikopter die gisteravond over de Utrechtse binnenstad vloog, heeft woordvoerder Thomas Aling vanmiddag per ongeluk een login en wachtwoord van de politiecomputer online gezet.
Aling twitterde een foto van een computerscherm, waarop een foto van de helikopter te zien was. Wat de woordvoerder even over het hoofd zag, was dat op het beeldscherm ook een briefje geplakt was met daarop de inlog en het wachtwoord van één van zijn collega’s.
Aan het beeldscherm geplakte briefjes en post-its met inloggegevens en wachtwoorden zijn bijna niet meer weg te denken uit het bedrijfsleven. Kennelijk bezitten mensen zoveel – moeilijk te onthouden – wachtwoorden dat het opschrijven ervan noodzakelijk is. Een noodzakelijk kwaad, zo blijkt maar weer. Want het ondermijnt de informatiebeveiliging van de organisatie.
Er is een simpele oplossing om dit beveiligingsrisico te omzeilen. Met een Single Sign On oplossing hoeven eindgebruikers nog maar één wachtwoord en username te onthouden om in te loggen op hun computer zodat vervolgens alle benodigde applicaties automatisch geopend worden. De Single Sign On software neemt alle loginprocedures over en vult automatisch de benodigde logingegevens in. Indien nodig kan dit zelfs gecombineerd worden met toegangspasjes. Dan er is er geen bestaansrecht meer voor de plakkers. Weg met de post-its.
Als op de post-it de inlog gegevens stonden van een collega dan klopt er sowieso iets niet. Waarom dan nog individuele accounts aanmaken als deze vrolijk uitgewisseld worden?
Elke technische maatregel is waardeloos als gebruikers zich onverantwoordelijk blijven gedragen. Stel dat de politie SSO heeft op basis van single-factor authenticatie. Dan zou de post-it voor alle systemen geldig zijn!
Nemen we, zoals je voorstelt two-factor authenticatie dan betekent dit niet dat de post-its verdwijnen. Want de authenticatie bestaat dan uit iets wat je hebt en wat je weet. En blijkbaar is het geheugen van de politieagenten niet zo goed.
Om te beginnen vind ik het jammer dat Computable steeds vaker deze vorm van verkapte reclame plaatst als zijnde een opinie artikel. De heer Seinen werkt bij Tools4ever, en raadt eens wat zij o.a. verkopen; jawel : SSO oplossingen. Hierdoor krijgt het artikel meteen weer een hoog wc-eend gehalte.
Naast deze kritische noot naar de redactie ook een inhoudelijke reactie:
Ik heb een tijdje een SSO implementatie gehad op mijn workstation. Grootste ergernis van dit tool was dat, althans in onze omgeving, lang niet alle wachtwoorden via dit tool beheerd konden worden. 70% van de applicaties werd door SSO gedaan, maar voor de andere 30% hadden we, bij wijze van spreken, nog steeds post-its nodig.
Ander nadeel is dat, als je je PC even verlaat (koffie, printer, wc etc) en je vergeet je PC te locken, dan kan iedereen meteen bij AL je gegevens, immers SSO vult alles in voor je.
Wat ik vooral jammer vind is dat er voor het hele gebruikersaccount en wachtwoordbeheer blijkbaar geen standaard te vinden is waar alle leveranciers zich wensen te conformeren. Binnen één bedrijf heb ik meerdere gebruikersaccounts, uiteraard met allemaal verschillende wachtwoorden, en ook nog allemaal verschillende geldigheidsduur. Neem daarbij nog de nodige privé accounts voor allerhande websites, en het wordt toch wel weer heel verleidelijk om naar een post-it oplossing te grijpen. Zelf gebruik al enige tijd, naar volle tevredenheid, keepass als pakket om mijn accounts en wachtwoorden te beheren.
Even los van de terechte opmerkingen van Ewout en PaVaKa,
Weg met de PostIts omdat we niet met deze ’technologie’ om kunnen gaan ?
Doen we dan ook alle computers de deur uit ? daar kan immers ook vrijwel niemand correct mee omgaan.
En zet dan graag gelijk ook even de tv bij het grofvuil
Is het niet gewoon zo dat de oom agent in kwestie zijn tijd moet besteden aan het handhaven van de openbare orde en niet aan allerlij flauwekul berichtjes die nauwelijks iets met zijn werk te maken hebben !
Waarom heeft een politie werkstation eigenlijk een mogelijkheid om foto’s te twitteren ?
SSO zal dit probleem niet verhelpen, omdat het voor gebruikers al lastig is om 1 wachtwoord te onthouden.
2-Factor zal het probleem ook niet oplossen, want dan nog moet er een code worden onthouden.
Dus de oplossingen van deze verkoper gaan niet werken.
Wat hier in ieder geval wel ontbreekt, is de handhaving van een informatiebeveiligingsbeleid en nu is het even typisch dat dit op een politiebureau gebeurd, maar het gebeurd bij zoveel bedrijven.
Informatiebeveiliging wordt vaak gezien als de tegenhanger van “efficiënt werken”, terwijl dit in principe niet zo hoeft te zijn. Waarschijnlijk wordt het IB-beleid ook niet uitgedragen door de top, waardoor dit beleid zijn kracht verliest.
Het probleem hier is dus geen technisch probleem, maar een organisatorisch probleem.