Multifactorauthenticatie (MFA) als heilige veiligheidsgraal, echter zit er ook een gevaar in. Als de gebruiker zijn telefoon niet bij zoch heeft of dat deze defect is dan kun je dus niet inloggen. Lijkt me zeer onwenselijk.
Nadenken over de negatieve impact van security maatregelen tbv de toegang tot systemen, informatie en processen kan flink ontregeld worden door de uitval van 1 systeem.
Er moet een fallback zijn, dat je een troubled access knop krijgt waarmee je alsnog kan inloggen met het wachtwoord en dat er dan een mail en sms volgt dat gebruikersnaam (eerste 3 tekens###laatste drie tekens, is ingelogd op apparaat nummer (alle devices moeten een acces ID toegewezen krijgen, zodat je vertrouwde devices kunt instellen), met MacAdres, via IP adres xyz, middels provider abc.
Dat je dan dus een read only modus krijgt waar je wel de broodnodige zaken kan doen, want als bv een internet connectie uitvalt of een provider waardoor smsjes niet werken, dan kunnen er ineens een miljard mensen niet werken.
Niet handig, voor banken en cruciale infrastructuur zou het verplicht moeten worden om nooit afhankelijk te mogen zijn van een provider, dienst, applicatie, standaard of wat dan ook. Dus bv thuiswerkende key users dat die betaald door de werkgever en een stevige BVDSL of glasvezel verbinding krijgen en als failover een kabel verbinding en een dual sim mobiele mobiele router (met stevige accu) die middels twee sim kaarten via twee providers altijd een falende verbinding kunnen overnemen. Ik bedoel je gaat bepaalde keyusers voor key functies een berg aan loon geven (noodzaak om chantabiliteit af te laten nemen) om vervolgens een 500 euro gebruikte laptop te geven en hun eigen consumenten markt internet verbinding te laten gebruiken plus vaak ook nog met MFA via een privé telefoon. Wat een aldi mentaliteit van het bedrijfsleven.
Herinner me dat productie bedrijfje VDL Nedcar, dat zo nodig boompjes moest kappen om te kunnen uitbreiden (asociaal btw, zeker in het licht van de stikstof affaire, 500 meter verder op staat ook nog eens kantoorruimte leeg), dat bedrijfje werd getroffen door een kleine hackers bende, sciptkiddies die wat centjes wilde verdienen.
Dat bedrijf heeft er meer dan een maand uit gelegen, meer dan een maand konden 1500 medewerkers niet werken. Ze hadden een paar jaar geleden nog zo’n 5000 FTE in dienst, maar de directe faalt al zolang dat ze steeds verder inkrimpen. Dat is zo’n ontzettend domme situatie, bizar dat je je ict zo bizar slecht geregeld hebt. Je zou maximaal 8 uur later alweer volledig online moeten kunnen zijn via een backup oplossing. Maar ja als je helemaal niets geregeld hebt, ja dan sta je meer dan een maand stil en kost dat miljoenen euro’s en leid dat tot inkrimping en zal het bedrijf over een paar jaar verkocht worden aan een venture capitalist om de productie faciliteiten te kunnen verkopen en het slecht gerunde bedrijf permanent te sluiten. Een goede waarschuwing voor andere bedrijven. Investeer in goede infra en veilige ICT waarbij data heel goed gebackuped wordt en security goed en praktisch in geregeld. Is ICT en continuiteit geen prioriteit dan kan je als bedrijf door het ijs zakken en voedig bankrupt gaan als 5 of meer puisterige tieners toevallig je rampalig gemanagede bedrijf gaan targetten.
Wat mij opvalt welke CEO je er ooo naar vraagd, zullen we meer backups maken van onze data en onze systemen aangezien de cloud ook getroffen kan worden. Zo vaak hoor je dan nee dat hebben we al geregeld kees of henk van ict zit daar bovenop. Nou die kees of henk die krijgt budgetair een straatkrant budget dus wat verwacht je nou. Ik snap dat elke euro die je bespaard op bedrijfsvoering boekhoudkundig gezien 100% winst is, maar je moet wel een balans vinden en besparen of bezuinigen op ict en security is levensgevaarlijk.
Als een grootzakelijk bedrijf omvalt beschandigd dat de werkgelegenheid en een volledige regio op ecobomisch vlak. We moeten niet langer toestaan dat kortzichtige amateurs zonder kennis van zaken ict en security onvoldoende borgen. Dat kan niet via een Kees of Henk dat moet belegd worden via professionele partners en moet een top prioriteit zijn. Budgettaire ongelimiteerd, je intellectuele eigendom en je data, je informatie dat is waar de groostebeaarde zit en waar de grootste bedreigen voor gelden.
Er moet echt een code tabaksblad achtige verplichte code of conduct komen voor alle bedrijven met meer dan 50 werkbemers dat die verplicht minimaal 5% van hun omzet uitgeven aan ict en security en backups, zo niet leguot of betaal een 10% boete. Bij blunders zijn consumenten en kleinere bedrijven die daar ook door om kunnen vallen de dupe.
Bron: Security.nl