Externe harde schijven vormen een enorm veiligheidsprobleem, zo bleek onlangs uit een reportage van het KRO-NCRV-programma Reporter Radio. Met name de beveiliging van zogenaamde netwerkschijven – externe schijven die je niet alleen via een usb-verbinding, maar ook via wifi kunt bereiken – laat te wensen over. Ze zijn vaak niet beveiligd met een wachtwoord, waardoor privacygevoelige bestanden onbedoeld worden gedeeld met de rest van de wereld. Het is de hoogste tijd dat ook andere hardwarefabrikanten hun verantwoordelijkheid nemen door de standaardbeveiliging te verhogen en de eindgebruiker beter voor te lichten en te ondersteunen.
Netwerkschijven zijn bijzonder populair bij ondernemers en heel wat zakelijk gevoelige documenten zijn open en bloot op het internet te vinden dankzij gebrekkige of ontbrekende beveiliging. Het is natuurlijk enorm handig als je bestanden op kunt vragen via internet wanneer je niet op je werkplek bent, maar wat veel mensen vergeten is dat ze de toegang dienen te beveiligen met een wachtwoord. Bestanden die privé moesten blijven komen op straat te liggen, klantinformatie wordt met derden gedeeld en nog erger: bestanden op de schijf worden verwijderd of gemanipuleerd. Kwaadwillenden kunnen belangrijke back-ups verwijderen of compromitterende bestanden toevoegen. Allemaal rampscenario’s die helaas aan de orde van de dag zijn en die bedrijven en consumenten dupeert. Een goede beveiliging is echter in eerste instantie de verantwoordelijkheid van de fabrikant en pas in laatste instantie de verantwoordelijkheid van de gebruiker zelf. Je kunt tenslotte niet van al je gebruikers verwachten dat zij beveiligingsexpert zijn. Gelukkig zijn er heel veel mogelijkheden voor fabrikanten om hun verantwoordelijkheid te nemen en een goede beveiliging zoveel mogelijk te faciliteren.
Installatie: laat de gebruiker niet alleen
Tijdens het installatieproces van nieuwe hardware kunnen heel veel beveiligingsproblemen worden voorkomen door de gebruiker goed te begeleiden. Zo is het een goede standaardprocedure om gebruikers al tijdens de installatie hun wachtwoord in te laten stellen, door de installatiewizard hier om te laten vragen. Het is verbazingwekkend hoeveel hardwarefabrikanten het aan de gebruiker laten om hier zelf aan te denken.
Ook is het verstandig om zoveel mogelijk functionaliteit die de hardware verbindt met het internet in eerste instantie uit te schakelen tot de gebruiker het zelf activeert. Tijdens de activatie kunnen fabrikanten de gebruiker vervolgens stap voor stap meenemen door de beveiligingsopties en vallen er geen gaten in de beveiliging door de onwetendheid van de gebruiker of de nalatigheid van de fabrikant.
Dichtbij en bereikbaar
Goede voorlichting behelst meer dan het schrijven van een handleiding. Vaak nemen fabrikanten niet de moeite handleidingen en tutorials te vertalen naar de lokale taal. Voor veel gebruikers is Engels (of Japans) niet de moedertaal en technische handleidingen in een andere taal zijn niet altijd even eenvoudig te begrijpen; het is tenslotte materie die vaak in de eigen taal al ingewikkeld genoeg is. Fabrikanten zouden daarom altijd handleidingen en tutorials in de lokale taal aan moeten bieden, willen ze er zeker van zijn dat de gebruiker alle belangrijke informatie tot zich neemt. Wil je je klanten nog meer tegemoet komen, dan zijn bijvoorbeeld videohandleidingen een goed middel om te informeren en begeleiden.
Daarnaast is het een goede gewoonte om bereikbaar te zijn voor je klanten. Veel gebruikers zijn niet vertrouwd met beveiligingsaspecten van de hardware die zij kopen en fabrikanten en vendors verschuilen zich maar al te vaak achter ondoordringbare websites, die te weinig of alleen moeilijk vindbare informatie bieden. Probeer je als klant een specifiek antwoord op een specifieke vraag te krijgen die niet bij de veelgestelde vragen op de website te vinden is, dan wordt je vaak geconfronteerd met het ontbreken van telefoonnummers of e-mail adressen. Waar fabrikanten hun eindgebruikers in de kou laten staan, kan dat leiden tot beveiligingsproblemen.
Beveiliging op hardwareniveau
Tot slot kan de hardware zelf beter beveiligd worden dan nu het geval is. Zo kan versleutelen van bestanden de data onleesbaar maken, mocht er onverhoopt toch een digitale inbraak plaatsvinden. Een real-time virusscanner kan voorkomen dat virussen en andere gevaarlijke bestanden op de schijf kunnen worden geplaatst zonder dat de gebruiker hier weet van heeft. Fabrikanten kunnen deze functionaliteit met de hardware meeleveren, in plaats van dat ze er van uit gaan dat de gebruiker hem zelf toevoegt.
De gebruiker
Beveiliging en privacy zijn zaken die de afgelopen jaren volop in de belangstelling staan. Met onze groeiende afhankelijkheid van data groeit ook de complexiteit van de oplossingen voor de opslag van al die data. Je kunt niet van de eindgebruiker verwachten dat die voortdurend op de hoogte is van alle veiligheidsvereisten en alle actuele dreigingen, dus het is aan fabrikanten om hun verantwoordelijkheid te nemen voor de beveiliging waar mogelijk. Tot die tijd doet iedereen die een netwerkschijf bezit er natuurlijk wel goed aan zich op de hoogte te stellen van de beveiligingsinstellingen van het apparaat. Staat de ftp-server aan? Is de ftp-server beveiligd met een wachtwoord? Heb je wel internettoegang tot je bestanden nodig? En nu maar hopen dat die handleiding niet in het Chinees is geschreven…
Persoonlijk vind ik dat het probleem bij de doe-het-zelf’er ligt..je kan best zelf je airco van je auto vullen, bandjes vervangen, beurtje geven..maar op het moment dat iets mis gaat en veelal wegens kennis gebrek, dan is het de schuld van de fabrikant ? nee, je had als gebruiker iemand met expertise moeten inhuren..klagen als je technische wartaal niet begrijpt en onbegrip waarom je iets niet snapt of verkeerd (of helemaal niet) configureert..iedereen denkt wel kennis en verstand te hebben van computersystemen, software en infrastructuur..ach even toegang op afstand inregelen open en bloot, firewall uitzetten omdat het vervelend werkt, dat hoor je dagelijks…
…vooral lekker zelf allemaal doen, scheelt je een paar centen..en als het mis gaat geef je toch de schuld aan een ander want aan jou expertise en kennis ligt het niet, je kan het immers zonder manual te lezen toch?… RTFM!
Effe inkoppen hoor…
http://l7.ag/49ev9
Zijn hardwarefabrikanten ervoor verantwoordelijk dat tegenwoordig werkelijk elke frietbakker denkt dat ie verstand heeft van automatisering ?
Security is een onderwerp waar iedereen graag over zwamt maar niemand zich naar wil schikken.
Als je zonodig wil dat je kleinzoon de kantoorautomatisering doet moet je verder ook niet zeuren.
Wil je de zaken goed geregeld hebben dan zul je gewoon op zoek moeten gaan naar gekwalificeerde mensen, en die ook verantwoordlijk houden voor de beveiliging.
Dat houdt dus ook in, dat wanneer zo’n smurf zegt dat iets uit beveiligings overwegingen niet kan of mag. dat je als opperhoofd niet gaat zitten zeikzeuren maar gewoon braaf het spel zoals je dat zelf in gang hebt gezet meespeelt.
Precies dit is dus de reden waarom alle discussies over netwerk security onder de catagorie tijdverspilling vallen.
Terecht dat je van fabrikanten verwacht dat ze niet standaard alles open opleveren (ik kan me zoiets van Microsoft herinneren). Ik ben het ook met je eens dat je niet van de eindgebruiker mag verwachten dat die voortdurend op de hoogte is van alle veiligheidsvereisten. Maar “wat veel mensen vergeten is dat ze de toegang dienen te beveiligen met een wachtwoord” gaat me te ver. Da’s net zoiets als dat je mensen bij de oplevering van een huis zou moeten uitleggen dat het verstandig is om de deur af te sluiten. Wat dat betreft eens met dev: weet je echt niet waar je mee bezig bent, laat het dan over aan anderen.
Al jaren roep ik om een standaard service leverantie van producenten van IT peripherals die overigens ijzersterk zijn in het bedenken van juridische ‘wavers’ maar niet in staat zijn de meest basale do’s en don’t’s aan hun klanten door te geven zonder Amerikaanse toestanden.
Wanneer het newterkschijven betreft die via het net bereikbaar zijn, zul je toch dingen moeten bedenken waardoor je exclusief als eigenaar toegang hebt tot die data. Dat zou als ‘reminder’ bijvoorbeeld moeten kunnen worden meegegeven. Laat natuurlijk onverlet dat een fabrikant of leverancier niet verantwoordelijk is voor ‘gebruik van….’
Je kunt met je auto een heerlijk ritje maken maar ook als een maniak door een dorpskern scheuren met 120 km p.u. waar 50 is toegestaan. Dan is de fabrikant ook niet aansprakelijk voor ongelukken.
What ik wel weer een voordeel van je artikel vind is dat je mensen aan het denken zet.
Het meeste is in voorgaande reacties al gezegd. Ik mis er nog eentje voor mijn gevoel: IT is een vak, geen hobby!
Als je met wizzards en auto-configuraties wat pc’s / peripherals aan elkaar knopen ben je nog geen IT expert die verstand heeft van o.a. beveiliging
@ Pavake,
Correct en tevens juist!
Ik ga helemaal mee in je reactie. Gebrek aan ICT kennis is de hoofdoorzaak van de meeste ICT issues.