Spot on, doc!
Det var også det svar der endelig kom fra Danske Bank.
Sjovt at mit spørgsmål måtte flere niveauer op i DB for at få korrekt besvarelse.
Så kom svar fra Danske Bank... blot gentagelse af tidligere brev vedr. hvidvaskningloven Art. 11 stk 1, 2 & 4 der slet ikke giver tilladelse til at foretage en KOPI af billede-ID, blot kontrol/verifikation.
Det virker heller ikke som om juristerne hos DanskeBank læser hvad kunderne skriver til dem.
Hvidvaskningloven
§ 11. Kundekendskabsprocedurer omfatter følgende:</p>
<ol>
<li>Virksomheden eller personen skal indhente kundens identitetsoplysninger.</li>
</ol>
<p>a) Er kunden en fysisk person, skal identitetsoplysninger omfatte navn og cpr-nummer el.lign., hvis den pågældende ikke har et cpr-nummer. Har den pågældende ikke et cpr-nummer el.lign., skal identitetsoplysninger omfatte fødselsdato.</p>
<p>b) Er kunden en juridisk person, skal identitetsoplysninger omfatte navn og cvr-nummer el.lign., hvis den juridiske person ikke har et cvr-nummer.</p>
<ol start="2">
<li>
<p>Virksomheden eller personen skal kontrollere kundens identitetsoplysninger på grundlag af dokumenter, data eller oplysninger indhentet fra en pålidelig og uafhængig kilde.</p>
</li>
<li>
<p>Virksomheden eller personen skal indhente identitetsoplysninger på den eller de reelle ejere og gennemføre rimelige foranstaltninger for at kontrollere den eller de reelle ejeres identitet, således at virksomheden eller personen med sikkerhed ved, hvem den eller de reelle ejere er.
Igen viser det sig at det største issue for sundhedssystem er grundlæggende prioritering af CIA-triad.
Arbejdsbetingelser er at availability altid har den højeste prioritering, efterfulgt af integrity. Confidentiality er godt nok underprioriteret.
Når der ligger en bevistløs, døende patient fortrolighed er det sidste man tænker på.
Tilhørerne til præsentationen kan se frem til at høre om forskellige teknikker til at indarbejde sikkerhed i kontrakter.
Man kan indarbejde alle mulige sikkerehedskrav ind i kontrakterne/SOA. Det hjælper dog ikke en pind hvis man ikke kan følge dem op. Har en virksomhed 100+ leverandører, så siger jeg pøj pøj med at kontrollere dem alle HVERT år.
På et eller andet tidspunkt skal man stole på de erklæringer leverandører sender ind.
Den hele diskussion minder en hel del om software patenter for nogle år siden.
Hvis du møder os i en filial, skal vi bruge en kopi af gyldig billeddokumentation
Det var lige det der var et issue. Jeg ville ikke lade dem kopiere mit pas (risiko for identitetstyveri).
De måtte godt kontrollere passet samt skrive ned pasnummer, udsted af, udløbsdato osv. samt bekrefte på skrift at de har foretaget den verifikation. Men ingen kopi med henvisning til GDPR direktivet art 5 og 87 vedr. kopiering af billedlegitimation.
Det ville de ikke være med på.
Jeg har også fået en e-mail fra Danske Bank om at jeg skal sende en kopi af kørekort eller pas.
Har forsøgt at møde personlig i banken for verifikation/kontrol af pas. Det ville de ansatte i banken IKKE ACCEPTERE.
Jeg blev bedt om at sende EN KOPI af passet.
Jeg endte med at uploade et billede af passet med "post its" klistret strategiske steder (CPR, kontrollinjen etc)...
Kravet er jo at synlige felter skal være:
- navn & fornavn
- gyldighedsdato
- fødselsdato
- nationalitet
- billede
Så for vi se hvad de svarer.
Behøvede du at være så grafisk? ;O)
Det mest interessante er dog at de australske parlamentarikere gerne vil følge med...
OK... så er det blot et spørgsmål:
HVORFOR ser man porno i første omgang?
... og de vil have en tænt kamera så alle kan følge med? Virkelig? :O)
Der findes dog alternativer baseret på såkaldt 'end-to-end'-kryptering - altså kryptering, hvor den eneste, der har nøglen, er dataejeren - som ikke har samme problem.
Lad os lige slå fast at "end-to-end" kryptering betyder ikke at data ligger i krypteret form hos udbyderen, i skyen. Det betyder blot at data krypteres under transport f.eks. HTTPS, FTPS, WebDAVS...
Jeg går ud fra at Anders Dalskov mener "zero-knowledge cloud storage/service".
Jeg vil hermed mene at han kunne lave en bedre research til sin kandidatspeciale. :O)
Han kunne starte her:https://www.cloudwards.net/best-zero-knowledge-cloud-services/
»De 3 første bogstaver og hele kodeordet opbevares hver for sig. Der er intet, som ligger i klartekst, de er begge hashede hver for sig« uddyber Stine Olsen over en Facebook-chat."
Brute-force eller dictionary attack er bare så gammeldags. :O)
Med "rainbow table attack" vil man klare det samme på næsten ingen tid.
En anden ting det er underlig at de ikke tilføjer "salt" til passwords før de blive hashed.
Simpel anvendelse af "saltværdi", vil gøre disse typer af angreb (brute force, dictionary, rainbow table) så godt som umuligt.
Lige præcis, men vil du stadig betale forsikring hvis den årlig forsikringspræmie overstiger værdien af varen? Eller blot acceptere risiko og købe ny vare når uheld indtræffer?
"Låse på dørene" er ikke den eneste løsning der vil holde tyveknægte væk.
Det kunne være at sætte låse på døre var en dyrere løsning end at betale tyveriforsikring eller have nogle billige vægter eller trænede hunde, eller blot acceptere tyveri og købe nyt udstyr - rent hypotetisk.
Det jeg vil frem til er at risk assigment/acceptance (mitigation/transfer/avoidance/acceptance) er en rolle ledelsen har, ikke sikkerhedsfolk.
I sidste ende er det ledelsen der foretager vurderingen og hermed bestemme om de vil have låse på dørene, brandsikring etc. eller accept the risk og leve med konsekvenser inkl. regningen der følger med (på den ene eller anden måde).
Pointet er:
Security must always be driven by business needs
I den kommercielle verden kaldes missionen for "indtægter". Hvis du nogensinde gennemfører sikkerhedsforanstaltninger, der forhindrer indtægtsgenerering, vil ledelsen fortælle dig præcis hvor forkert du er og præcis hvor lidt tid du skal have for et fikse det. Gør det et par gange nok og vil ledelsen finde en anden til stillingen.
Sikkerheden må aldrig forstyrre forretningen. Hermed det vigtigste er at have 100% ledelsens opbakning. Går man på tværs af forretning, mister man den opbakning på ingen tid. Vores (sikkerhedfolk) job er hermed at sige "ja - men lad os gøre det på den sikreste muligt måde".
Kort sagt: sikkerhed er en service og giver kun værdi når man kan sælge den ud til forretningen. Man kan aldrig være sikker nok, kun usikker nok accepteret af forretningen (Risc Analysis/Risc Management anyone?)
Her må jeg tillade mig at være helt uenig. Ingen organisation i historien har nogensinde brugt deres budget til at opbygge et netværk, så de kunne sikre det.
Nix! – netværket bygges, så så organisation kan lave deres arbejde, for at organisationen skal kunne arbejde på en hurtigere og mere effektiv måde.
Med andre ord netværket bygges for at understøtte organisationens mission. Du kan godt give nogle sikkerhedsniveau for det pågældende netværkssegmentet men for at understøtte denne mission og så længe sikkerheden ikke står i vejen for organisationen og forretningen.
I det her tilfælde med Mærsk og ransomware grunder snarer er:
Du kan ikke forhindre hvad du tillader
Sandt nok lyder dette forenklet, men det er det der ofte glemmes. Du vil tit høre "Min webserver kan ikke angribes, den ligger jo bag en firewall ... "
Men så glemmer man det ved definition at en World Wide Web server skal tillade forbindelser fra alle i verden på TCP port 80 - og derfor skal firewall'en foran den tillade samtlige disse forbindelser. Derfor, hvis angrebet bruger TCP port 80, vil firewall'en tillade trafikken (og angrebet) igennem uforhindret.
Dette er blot et eksempel på mange (SMB, RPC, LDAP,DNS, NetBIOS, IPsec osv.), men det illustrerer pointet. Ja, deep packet inspection kan hjælpe her ... men i sidste ende, hvis en port er åben, så så er den åben for al trafik, om det er godartet eller ondsindet. Og når (ikke hvis) et ondsindet program er på indersiden, så er der næsten ligefrem for alt.
Og så vil jeg til sidst smide en god gammel:
Security is a process… not a product
Spot on!
Med tryk på veltestet BCP/DRP og 100% commitment fra ledelsen (som kan være den største udfordring).
Sikkerhed handler ikke om hvis noget sker. Det handler om når det sker (og typisk på det værst mulig tidspunkt).
Det korte svar er: Do not spend $1000 to solve $10 problem.
Jeg ville gerne se hvad organisationens risikoanalyse var for at den slags sikkerhedsbrist ville forekomme og ville være udnyttet.
Det kunne være ledelsen var klar over issue og blot accepterede risici samt de 2-4 mia kroner i tab.
Så giv dog 100% rabat til de zoner man køber periodekort til. Hvor svært kan det være?
...når det kan gøres besværligt?
Den nemmeste måde at løse issue på er ved at give 100% rabat til de zoner man køber periodekort til.
Man burde kigge efter grunden til genstart: filsystem.
Windows genstartes fordi systemfiler er i brug (hermed kan ikke overskrives). Det kunne Microsoft løse ved at implementer et ægte journaling file system.
Linux-platform har ikke den slags problemer og man kan opdatere deler af kærnen uden behov for genstart.
Jarle Knudsen