Gepubliceerd: Maandag 6 oktober 2008
Na de recorddiefstal van gegevens van 17 miljoen klanten van T-Mobile, pleiten Duitse politici voor nieuwe regelgeving, inclusief een meldplicht bij informatielekken.
Toon volledig artikel
Waarom moetn computers met veel persoonlijke gegevens aan het internet hangen. Sla dit soort gegevens op op een dedicated server zonder internet.
Waarom moeten die gegevens worden opgeslagen? Tegenwoordig worden bij aanschaf van een prepaidpakket bij TforTelecom ook al alle gegevens genoteerd. De beste oplossing is: niet opslaan. Wat je niet hebt, kan ook niet gestolen worden. Als er wetgeving komt, moet die inhouden dat er MINDER geregistreerd gaat worden en dat bedrijven diensten niet mogen weigeren als klanten zich niet willen laten registreren.
Ja, ik weet dat een abonnement moeilijk te combineren is met het niet registreren van persoonsgegevens (ivm wanbetaling), maar waarom een prepaid registreren? Het is tijd dat diensten zich op zo'n manier gaan aanpassen dat registratie niet langer noodzakelijk is.
Aanvullende regeltjes hebben geen enkele zin.
Afaik wordt nergens aangegeven, dat de data via het internet is afgetapt. Meer voor de hand liggend lijkt mij, dat een onverlaat een backup voor "privé gebruik" heeft gemaakt van een deel van het klantenbestand, zoals dat wellicht bij serviceafdelingen, marketing of helpdesk aanwezig is. En ik schrijf "deel", omdat het erop lijkt, dat de financiële gegevens er niet bij zitten en het "slechts' om de helft van het totale TM klantenbestand gaat.
Tegen D-Telekom is al aangifte gedaan door journalisten en leden van de ondernemingsraad en vakbonden wegens illiegaal aftappen. Me dunkt dat die aangifte nu kan worden opgeleukt met het in gevaar brengen van personen wegens verlies van deze klantgegevens.
_In Nederland gebeurt alles 50 jaar later, dus we blijven nog even gevrijwaard van deze criminele activiteiten_ (sarcasme tags zijn additioneel)
Inderdaad. De manier waarop dit artikel is geschreven zie ik eerder voor me dat iemand (ex werknemer mischien?) een backup op een usb stick heeft gegooid en er mee vandoor is.
Maargoed, dat weten we dus niet.
en dit: "De Groenen eisen een verbod op de opslag van persoonlijke gegevens door T-Mobile"
Klinkt leuk, maar is eigenlijk demagogisch gezwam. Je kan geen abbonementen dienst leveren zonder klantgegevens. En zo te zien zijn de gegevens het soort gegevens wat je nodig hebt voor aan abbo dienst. Staat bijv. nergens iets over mensen hun sexuele voorkeur of inkomen, toch?
Of hebben we het alleen over digitale opslag van gegevens?
Maar toch, een papierberg kun je ook copieren, hetzij wat moeilijker. Maar lijkt me stug dat iemand wat zegt over een werknemer die een stapel a4tjes kopieert op het kantoor.
En trouwens, hoe moet je in godsnaam meer dan een miljoen abbonemees goede service geven zonder automatisering? Lijkt me nogal heel wat om een computer systeem billing te laten doen als de gegevens niet eens in dat systeem in de eerste plaats staat.
Ik kan echt niet goed tegen dit soort berichten.
Het feit dat die informatie beschikbaar was zonder encryptie, en iemand (al is het het hoofd ict) in staat is om erbij te kunnen geeft al aan dat het op een verkeerde nare manier is opgeslagen. Niemand zou in staat moeten kunnen zijn om zo'n databom te kunnen stelen/vinden.
Het is vooral onprofessioneel dat grote bedrijven daar geen beter stramien voor hebben. Naar is dat, als je verplicht bent je informatie aan iemand te geven waarvan je niet zeker weet dat ze goed met je info om gaan.
Beetje naïef dit. Dit soort informatie is gewoon nodig voor de bedrijfsvoering van T-Mobile. Dat een IT-er (LDAP/database beheerder) daar bij kan is alleen maar logisch. Dat de data gestolen wordt is dan ook moeilijk 100% te voorkomen. Wel had je mogen verwachten dat de dader dmv log bestanden bekend is, of zich in ieder geval binnen een kleine groep van geautoriseerde medewerkers bevindt.
mja, vooral dat laatste
Het lijkt me dat de ICT medewerkers die daadwerkelijk bij alle data kunnen i.i.g. bekend zijn en dat het er ook niet veel zijn. Wie hoeft dat immers te kunnen? Ja natuurlijk staat het in een LDAP maar dat betekend niet dat iedereen er op elke manier bij hoeft te kunnen.
De policy m.b.t. toegang tot data is vaak veel te ruim en dat valt T-mobile te verwijten.
De policy m.b.t. toegang tot data is vaak veel te ruim en dat valt T-mobile te verwijten.
Er staat nergens iets over hoe ruim de policy van T-Mobile is. Het kan best één van de twee medewerkers zijn die volledige toegang heeft (onwaarschijnlijk, toegegeven, maar wel mogelijk). Zonder achterliggende informatie kun je deze conclusie dus niet trekken en derhalve ook niet plompverloren T-Mobile iets verwijten.
In algemene zin is een dergelijk misdrijf nooit helemaal te voorkomen. Er zullen altijd mensen zijn die toegang moeten hebben tot vrijwel alle data om simpelweg hun werk te kunnen doen. En dus zullen er ook af en toe onverlaten zijn die misbruik van hun positie maken. Je kunt heel veel inperken en afschermen, maar nooit alles...
Of additionele wetgeving een oplossing is valt te betwijfelen. Deze wetgeving zal mijns inziens nauwelijks uitvoerbaar en controleerbaar zijn. Bovendien vallen blijkbaar andere takken van sport zoals de financiee sector niet onder soortgelijke wetgeving. Een operationeel research systeem waarin deze problematiek met wiskunde en niet met wetgeving is opgelost is te vinden op de link SwissItPro door te zoeken naar het keyword "quantum". In dit systeem is de data gedistribueerd en beveiligd opgeslagen op gedistribueerde mobiele systemen. De systemen vormen tesamen een groep waartussen onconditioneel veilig gecommuniceerd wordt. Alle data is redundant op meerdere systemen in de groep opgeslagen. Als een systeem uitvalt dan is alle data welke op dit uitgevallen systeem staat nog steeds aanwezig een bereikbaar in de groep. Doordat de locatie van de systemen bij attackers onbekend is, de data gedistribueerd en beveiligd is opgeslagen en de communicatie tussen de systemen onconditioneel veilig is, zijn dit soort attacks onmogelijk op dit operationele research systeem.
Gaaf systeem, maar als ik toegang heb tot die gegevens en ik kan e.e.a. op 'n USB stick zetten dan snijdt jouw verhaal geen hout!
Het beheer van de systemen in de groep ligt alleen bij de groepsleden zelf en wordt niet door buitenstaanders, zoals systeembeheerders uitgevoerd. Het is dus bewijsbaar dat alleen mensen in de groep toegang hebben tot groepsinformatie. Als er groepsinformatie uitlekt, dat kan getraceerd worden waar, wanneer en door wie deze informatie de groep heeft verlaten. De verantwoordelijkheid ligt dus puur en alleen bij leden binnen dezelfde groep. Het zijn dus de intenties, het belang, de verantwoordelijkheid en het afleggen van verantwoordelijkheid binnen de groep dat voorkomt dat informatie uitlekt.
Dat geeft aleen een garantie dat beapaalde personen de gegevens hebben gebruikt Dieftsal is niet uitgesloten!
Diefstal van de informatie is uitgesloten omdat allen bevoegde mensen toegang hebben tot de informatie. Als er een mobiel systeem gestolen wordt, wat hasst onmogelijk is omdat de locaties van de systemen niet exact genoeg bekend zijn bij onbevoegde personen, dan is er altijd nog storage beveiliging. Als er informatie gestolen wordt dan kan via audit-trails getraceerd worden waar het lek zat. Als er binnen een groep echter geen belang is om de informatie te lekken dan zal dit ook vrijwel nooit gebeuren. Het zijn vrijwel altijd buitenstaanders (personen buiten een groep met andere belangen dan de groep) welke informatie stelen en lekken. Als wiskundig bewijsbaar is dat het onmogelijk is dat mensen buiten een groep toegang hebben tot de informatie en systemen, dan is de kans op diefstal of lekken gereduceerd tot vrijwel nul. De mensen in de groep hebben er namelijk alle belang bij dat dit niet gebeurd. Ook weet ieder groepslid dat het kan worden getraceerd.
Het zijn vrijwel altijd buitenstaanders (personen buiten een groep met andere belangen dan de groep) welke informatie stelen en lekken.
Dit waag ik te betwijfelen. Het komt toch regelmatig voor dat medewerkers door derden verleid worden om bepaalde dingen op hun werk te doen die het daglicht niet kunnen verdragen, meestal doordat hen een x bedrag geboden wordt. De stimulans komt weliswaar van buitenaf, maar degene met toegang zal in zo'n zelf misbruik van zijn positie maken - zijn belangen liggen dan toch net even anders dan waar ze zouden horen te liggen!
Een summiere beschrijving van het FreeMove Quantum Exchange Systeem is hier te vinden. Een summiere beschrijving van het concept voor de veiligheid van de informatie op de clients is hier te vinden. Zoals te zien is, is alleen die deelverzameling van de totale database toegangkelijk op de client welke noodzakelijk is voor de mobiele client. De informatie op een mobiele client is beveiligd met storage encryptie. De communicatie met de andere mobiele clients is (unconditional) secure. Het downloaden van de data op een mobiele client met een USB-Stick bijvoorbeeld kan geblokkeerd worden met de security policy. Ook wordt er een audit-trail gemaakt van alle acties. Fysiek is het dan onmogelijk gemaakt om de aanwezige informatie op een mobiele client te downloaden naar een USB-Stick.
In m'n vorige reactie is een van de links foutief. Een summiere beschrijving van het FreeMove Quantum Exchange Systeem is hier te vinden. Als we van de theorie van specificatie hierarchieen uitgaan en analyseren dit probleem met de {Wiskunde{Natuurkunde{Psychologie{Recht{Financien}}}}} specificatie hierarchie, dan zien we dat deze psychologische eigenschap van mensen, namelijk (financiele) hebzucht, a-priori (dus vooraf) overruled kan worden met wiskunde en natuurkunde, omdat deze de psychologie kunnen overrulen. Juridisch recht kan alleen gebruikt worden om a-posteriori (achteraf) een financieel feit wat dus al heeft plaatsgevonden te corrigeren/terug te draaien.
Om te kunnen reageren, dient u ingelogd te zijn.
2 jaar geleden: 13 februari 2010
3 jaar geleden: 13 februari 2009
4 jaar geleden: 13 februari 2008
5 jaar geleden: 13 februari 2007
14 jaar geleden: 13 februari 1998
IDG Nederland is uitgever van: AppFish
, CIO, Computer!Totaal, Computerworld, ITworld, Jobworld, MacWorld, RAW fotomagazine, TechFish, Tips & Trucs, Webwereld en Zoom.nlMeer informatie: IDG Nederland, IDG.com, Privacy-statement, Cookie-statement Hosting by Terremark.
