Hoe erg is het dat onze loginbanner “Welkom” zegt tegen mensen?

| AE 11713 | Security | 6 reacties

Een lezer vroeg me:

Op onze interne servers krijgt personeel een loginscherm met daarop een tekst à la “Welkom bij Initech, gelieve in te loggen – uitsluitend voor werkdoeleinden gebruiken”. Nu zegt onze ISO auditor dat deze tekst problematisch is, omdat met name dat ‘welkom’ zou maken dat inbrekers kunnen claimen er niet wederrechtelijk te zijn. Dus het moet worden “Verboden toegang – uitsluitend geautoriseerd personeel – misbruik wordt vervolgd als misdrijf”. Dat vind ik niet echt vriendelijk naar mijn personeel, is er een tussenweg? Is dit echt zo krom, juridisch?

Dit is een broodje aap-verhaal dat geen enkele juridische basis kent. Het recht werkt niet zo en de inhoud van zo’n loginscherm gaat echt het verschil niet maken wanneer iemand vervolgd wordt voor computervredebreuk.

Natuurlijk komt dit verhaal uit Amerika, maar ook daar lijkt het nergens op een werkelijke zaak te herleiden (deze en deze bijvoorbeeld zijn vrij oude bronnen al). Ik kan in Nederland geen enkele rechtszaak rond computervredebreuk vinden waarbij het zelfs maar een discussie was wat de loginbanner of MOTD vermeldde.

Het recht kijkt nooit naar één specifiek aspect van de zaak, zoals zo’n logintekst. Bij rechtszaken wordt altijd gekeken naar de volledige omstandigheden van het geval. Het criterium is immers of de inbreker had moeten weten dat hij op verboden terrein was toen hij de handeling verrichte die hem ten laste werd gelegd. Dat zal nooit afhangen enkel van een zo’n tekstje. Je moet bijvoorbeeld nog steeds inloggen op het systeem van de vraagsteller, en als je een wachtwoord raadt dan moet je weten dat dat niet mag. Dus ga je alsnog nat.

Ik kan werkelijk geen situatie bedenken waarin die tekst relevant is. Heel misschien als er een gast/gast account is op zo’n systeem én je dingen kunt doen die niet gewenst zijn vanaf zo’n gastenaccount. Dan mocht je naar binnen (“welkom”) en mocht je inloggen zonder bekend te zijn (gast/gast) en was je in staat iets te doen dat niet de bedoeling was, hoe kon je dan weten dat dat laatste het geval was. Maar dat voelt weinig realistisch.

Arnoud

Hoe snel moet je van de wet een nieuwe securitystandaard implementeren?

| AE 8962 | Security | 13 reacties

norm-security-beveiliging-certified-gecertificeerdEen lezer vroeg me:

In de ICT zijn de beveiligingseisen volop in beweging. Het is dus welhaast onmogelijk om deze allemaal stipt na te volgen, zeker bij grote pakketten waar het doorvoeren van wijzigingen vele maanden (zo niet jaren) kan kosten vanwege complexiteit en testen en evaluatie. Is er juridisch gezien een termijn waarbinnen nieuwe standaarden geïmplementeerd moeten zijn?

Dit is een persoonlijke frustratie van mij, maar de wet kent eigenlijk überhaupt geen eis dat je enige security-standaard moet volgen, of zelfs maar dat je product enige security moet hebben. Fysieke veiligheid wel (productveiligheid, art. 6:186 BW) maar je informatiebeveiliging mag volstrekt brak zijn. Ik weet niet waarom.

De enige echte uitzondering is die van systemen die persoonsgegevens verwerken. Daar bepaalt de Wet bescherming persoonsgegevens (art. 13 Wbp) dat je “passende technische en organisatorische maatregelen” moet nemen “om persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking.”

De in 2013 geformuleerde beleidsregels Beveiliging van persoonsgegevens van de Autoriteit Persoonsgegevens adviseren te handelen binnen een plan­do­check­act­cyclus: beoordeel de risico’s, gebruik erkende beveiligingsstandaarden en controleer en evalueer de resultaten. Er wordt wel naar standaarden verwezen, maar dat laat meteen zien waarom dat niet werkt: het document is uit februari 2013 en de daarin genoemde norm ISO 27002:2007 werd in oktober 2013 ingetrokken.

Uiteindelijk zal het altijd neerkomen op een evaluatie achteraf als het mis blijkt te zijn gegaan. Had dit redelijkerwijs voorkomen kunnen worden met wat voorhanden was, was het redelijkerwijs te verwachten dat deze standaard gevolgd zou worden en hadden we al redelijkerwijs mogen verwachten dat er zou worden geupgrade of was dat gezien de kosten nog niet redelijk? (Met excuses aan de vraagsteller die me nadrukkelijk vroeg de term ‘redelijk’ te vermijden maar dat is ben ik bang een MUST in de zin van RFC 2119.)

Arnoud