Securityprofessionals houden graag hun kaarten op de borst. Je kunt veel van ze vragen, maar de ware profs laten weinig los. Dat is gebaseerd op het principe van 'need to know'. Ik weet het wel, jij vraagt het aan me, maar jij hoeft het niet te weten. Kinderlijk gedrag eigenlijk. Jij mag mijn geheimpje niet weten. Lekker puh!
Deze week is echter pijnlijk duidelijk geworden dat het bovenstaande mechanisme met voeten getreden wordt. Allereerst heb ik het dan over de 'Heartbleed' bug. Er wordt binnen OpenSSL aan een server een vraag gesteld. Vervolgens geeft de server een uitgebreider antwoord dan is gewenst. Er zijn hierdoor vele geheimen op straat terecht gekomen. De onderstaande cartoon legt het uit.
 |
| (www.businessinsider.com) |
Nog meer toelichting vind je op NUTECH.nl.
Mocht je willen weten of een server kwetsbaar is test dat dan even via de Chrome-plugin Chromebleed.
De NSA weet trouwens al 2 jaar hiervan en heeft er dankbaar gebruik van gemaakt.
Meer geven dus dan gevraagd wordt.
Een ander triest bericht heeft te maken met de Nederlandse Zorg Autoriteit. 300 GB aan data openbaar voor iedereen in de organisatie. Probleem daarbij is niet dat er meer gegeven werd dan gevraagd. Men vraagt aan de NZA niet om gevoelige gegevens. Men vraagt juist aan de NZA of ze die zo goed mogelijk beveiligd willen wegstoppen in de kelders, de archieven, de kluis, ...
Nee, het probleem ligt anders. Mijn medeleven gaat namelijk uit naar een kritische klokkenluider die dit jaren heeft aangezien en er uiteindelijk mee naar buiten is gekomen. Een dossier van vele honderden pagina's. De NRC heeft hierover uitgebreid bericht.
Het principe van een klokkenluider is veelal dubbel. Eerst houdt hij alles netjes binnenboord en kaart dingen aan binnen de organisatie. Principieel de juiste instelling. Als hij echter keer op keer bot vangt komt de andere kant van de klokkenluider naar boven. Ongevraagd gaat hij de misstanden vrijgeven en zoekt hij de publiciteit.
Ongevraagd geeft een klokkenluider meer, terwijl er juist gevraagd is om niets naar buiten te brengen.
De klokkenluider in het geval van de NZA heeft uiteindelijk zelfmoord gepleegd. En dat steekt.
Daar bloedt mijn hart van.
Daarna hebben de autoriteiten binnen de NZA ongevraagd de kaarten op de borst gehouden. Pas toen de journalisten vragen gingen stellen hebben ze openheid van zaken gegeven.
Als securityprofessional zeg ik: 'Je hebt dan netjes gevoelige informatie voor jezelf gehouden'.
Maar ook ik kan straks in de dossiers bij het NZA terecht komen. Dan zeg ik toch echt dat ze eerder openheid van zaken hadden moeten geven.
Als je de komende weken de gelovige dagen van Goede Vrijdag en Pasen weer gaat vieren, sta dan eens stil bij de criteria die jij hanteert bij het principe van geven en nemen. Geef je meer dan je neemt? Doe je dit ook ongevraagd?
Jij bent toch niet bevangen door de Heartbleed bug?
Fijne dagen gewenst.
Geen opmerkingen:
Een reactie posten