Mensura gehackt, weer een horde doppers voor het leven erbij

[Visjnu]

Citaat:

Oorspronkelijk geplaatst door DucDEnghien

Je kan er perfect voor zorgen dat je zaal brandveilig wordt gevonden door de regels die de brandweer oplegt te volgen en je personeel voldoende te trainen dat ze die regels opvolgen.

Er bestaat geen organisatie die diezelfde regels opstelt voor de veiligheid van computers.

Tuurlijk wel. Voor het verwerken van credit card gegevens moet je bijvoorbeeld PCI DSS compliant zijn. Voor het verwerken van medische gegevens is de Amerikaanse HIPAA wetgeving toongevend. Dichter bij huis stelt de Nederlandse Wet Bescherming Persoonsgegevens welke maatregelen genomen moeten worden om deze gegevens te beveiligen, ik neem aan dat de gelijknamige Belgische wet gelijkaardig is (zelf echter geen ervaring mee).

Verder zijn er nog verschillende standaarden zoals ISO 27000, de publicaties van NIST,...

[DucDEnghien]

Citaat:

Oorspronkelijk geplaatst door Visjnu

Tuurlijk wel. Voor het verwerken van credit card gegevens moet je bijvoorbeeld PCI DSS compliant zijn. Voor het verwerken van medische gegevens is de Amerikaanse HIPAA wetgeving toongevend. Dichter bij huis stelt de Nederlandse Wet Bescherming Persoonsgegevens welke maatregelen genomen moeten worden om deze gegevens te beveiligen, ik neem aan dat de gelijknamige Belgische wet gelijkaardig is (zelf echter geen ervaring mee).

Verder zijn er nog verschillende standaarden zoals ISO 27000, de publicaties van NIST,...

Al die compliancies en wetgevingen hebben er nog nooit voor gezorgd dat IT-systemen niet gekraakt konden worden, en dat zal nog niet onmiddelijk gebeuren. Integendeel bedrijven die gekraakt zijn en die deze regels volgen zullen dankbaar gebruik maken om hen de schuld toe te werpen en niets te betalen.

[Visjnu]

Citaat:

Oorspronkelijk geplaatst door DucDEnghien

Al die compliancies en wetgevingen hebben er nog nooit voor gezorgd dat IT-systemen niet gekraakt konden worden, en dat zal nog niet onmiddelijk gebeuren.

Dat was dan ook mijn standpunt niet. Het volgen van brandveiligheidseisen haalt het risico op brand niet weg, weet je wel.

Het feit dat een database geleaked is wil inderdaad op zich niet zeggen dat het bedrijf per se in fout gegaan is. In dit geval zijn er echter toch wel verschillende factoren waar ik mij serieus vragen bij stel.

Citaat:

Integendeel bedrijven die gekraakt zijn en die deze regels volgen zullen dankbaar gebruik maken om hen de schuld toe te werpen en niets te betalen.

Dat lijkt mij terecht. Als een bedrijf kan aantonen dat het zowel de wetgeving als gevestigde standaarden en best practices navolgt, dan kan dat bedrijf (i.e. executive management) niet veel verweten worden.

[Universalia]

Snel deze er ook even bijzetten daar die vrij recent is.

Hackers verkopen 32.000 paswoorden voor 30 euro

Detail tekst:

Citaat:

De hackersgroepering Rex Mundi heeft nu ook de databank van EasyPay Group gekraakt. Het gaat om 32.000 e-mailadressen en paswoorden, onder meer van werknemers bij Belgocontrol en verschillende vakbonden. De hackers verkopen de info voor 30 euro, meldt Het Nieuwsblad. Ook Het Laatste Nieuws bericht over de zaak.

In plaats van dat sommige software bedrijven die 'kunstenaars' (hackers, crackers, scriptkiddies en andere idioten) betalen voor hun kunstjes zou men dat soort lastigaards beter doorverwijzen naar de gevangenis mocht men ze op heterdaad kunnen betrappen.

Ik vraag mij nog steeds af wat de echte IT'ers in de bedrijven zitten te doen, die mensen die veel geld verdienen en waar wij als, PC/bankautomaat/betalingsverkeer in het algemeen gebruikers, van verwachten dat ze ons een 'veilige' systemen/diensten kunnen garanderen/leveren al dan niet aangesloten zijnde op het net.

Ach, bij dat type internetcriminelen draait het dan ook maar om één ding en dat is geld.

p.s. De wet uitgelegd aan techneuten, en techniek aan juristen.

[De schoofzak]

Citaat:

Oorspronkelijk geplaatst door DucDEnghien

Dat is appels met peren vergelijken. You fail. Er is maar één manier om een computer volledig te beveiligen: er geen te hebben.

Je maakt wel een basis redeneerfout !!

Het is helemaal overbodig om je computer te beveiligen of te beschermen !

Je moet je gegevens beschermen; en hoe gevoeliger je gegevens, hoe meer bescherming; en hoe groter het nadeel is bij een eventueel lek, hoe meer bescherming.

Ik leg uit: geen computer hebben is niet de juiste optie in jouw redernering; in jouw redenering geldt: geen gegevens hebben is de juiste optie. Geen menselijke activiteit meer ... als je door redeneert.

Ik herhaal mijn visie:
een bedrijf dat gevoelige medische informatie genereert en bewaart, moet een behoorlijke inspanning leveren; zelfs een meer dan behoorlijke inspanning.
Het siert deze firma wel dat ze open en eerlijk communiceert, en daarbij frontaal de crimineel aanvalt. Op lange termijn is dat de beste preventie.

De leuze van de nva is: "voor wie onderneemt, werkt en spaart",
ik voeg daar altijd aan toe: en wie zijn verantwoordelijkheid opneemt als hij dat kan.
Ik bedoel daarmee dat ik best wel erg streng ben, ook voor ondernemers. Het is niet genoeg om te ondernemen. Je moet ondernemen met verantwoordelijkheid.

.

[Universalia]

Citaat:

Oorspronkelijk geplaatst door DucDEnghien

Dat is appels met peren vergelijken. You fail. Er is maar één manier om een computer volledig te beveiligen: er geen te hebben.

Daar heeft u wel een punt ware het niet dat men alles meer en meer aan het opdrijven is dat iedereen wel een computer in huis heeft.

(een voorbeeld: een bepaalde verzekeringsmaatschappij wilde geen gewone schrijvens meer aannemen, alleen @-mails)

Als je er geen hebt vraagt men U: Op Mars gezeten de laatste 20 jaar?

En uw computer kan je tot op bepaalde hoogte best 'goed' beveiligen maar dat heeft men dan ook weer niet graag.

En nog steeds springen/delen er veel mensen teveel gevoelige zaken op het Internet.