Computer beveiligen tegen datadiefstal - Privacy en beveiliging

vrijdag 13 november 2020 22:32

Acties:

0 Henk 'm!

Topicstarter

Wij werken nog met diverse handboeken in hardcopy (op papier dus) met als belangrijkste reden dat een fysiek boek veel beter te beveiligen is tegen diefstal dan een pdfje. Deze boeken worden elke 2-5 jaar ververst, de uitgever maakt dan een nieuwe druk met diverse revisies en je bent verplicht om altijd de meest recente versie te gebruiken. Komend jaar komt er een hele sloot nieuwe boeken op de markt en die moeten wij verplicht kopen, diverse taalversies en soorten. Totale kosten leunt tegen 20k€ aan.... de digitale licenties zien veel goedkoper, zitten we op kleine 5k€.
Plan is om 8-10 dedicated laptops te gaan gebruiken voor uitsluitend die boeken. Worden gelijk de tablets vervangen die erbij nodig zijn om bepaalde online controles uit te voeren (moet een checklist invullen met behulp van boek).
Nu zijn die pdf´s niet beveiligd en als je ze op stick/dropbox gooit dan ligt alles op straat, boeken hebben gewoon een marktwaarde en een banner met onze bedrijfsnaam erin. Dus als zo´n pdf op nieuwsgroepen terecht komt, dan hebben wij als bedrijf iets uit te leggen bij de uitgever.

Plan voor beveiliging is nu nog:
1. Admin account voor sysadmin (geen echte IT-er, meer handige knul met computers. Ikzelf dus)
2. Gebruikersaccount voor dagelijks gebruik. Daarin blokkeren we:
- USB poorten
- Opslagdiensten zoals onedrive, Google Drive, Dropbox, webmail etc
3. Zelfstandig de pdf´s dusdanig beveiligen dat ze aan een specifieke laptop gekoppeld worden, haal je een pdf van laptop 4, dan werkt die niet op laptop 6

Stap 1 en 2 lukt mij wel, maar 3 weet ik nog niets van en zelfs niet of het wel mogelijk is.....

Hoe zit dit beveiligingsplan in elkaar? Of rammelt het meer dan dat het solide doordacht is? En als het bruikbaar is, wat kan ik in stap 3 doen?

vrijdag 13 november 2020 22:36

Acties:

0 Henk 'm!

DukeBox

Voor je 't weet wist je 't nie

Als het om PDF's gaat zou ik eerder e-readers nemen en ze zelf signen.

Duct tape can't fix stupid, but it can muffle the sound.

vrijdag 13 november 2020 22:41

Acties:

0 Henk 'm!

HKLM_

Je kan je PDF’s ook gewoon beveiligen hoor... bijvoorbeeld met een certificaat wat op het device moet staan voordat je de pdf kan openen. En zo is er nog wel meer.

Heb je azure op werk? Dan is Rights Management misschien nog helpfull

[ Voor 18% gewijzigd door HKLM_ op 13-11-2020 22:43 ]

Cloud ☁️

vrijdag 13 november 2020 22:42

Acties:

0 Henk 'm!

DutchKel

Mensen zijn erg creatief. Alles wat beveiligd is dat is uiteindelijk te kraken.

Ik zou per bestand iets persoonlijks inbouwen voor de medewerker wat niet zichtbaar is en hopen dat als het uitlekt dat het niet wordt verwijderd. Dan weet je in elk geval wie het heeft gelekt.

Verder ook bij het personeel erop hameren dat de bestanden niet mogen worden gekopieerd in welke vorm dan ook (printen dus ook niet).

Don't drive faster than your guardian angel can fly.

vrijdag 13 november 2020 22:44

Acties:

+1 Henk 'm!

Will_M

Intentionally Left Blank

@Ramon 73 Ben je nu niet stiekem het probleem van de uitgever aan het verplaatsen naar jouw probleem?

Laat de uitgever van die .pdf's (boeken!) een oplossing aandragen zonder dat het jou een stuiver gaat kosten.

Boldly going forward, 'cause we can't find reverse

vrijdag 13 november 2020 23:09

Acties:

0 Henk 'm!

Ramon 73

Topicstarter

HKLM_ schreef op vrijdag 13 november 2020 @ 22:41:
Je kan je PDF’s ook gewoon beveiligen hoor... bijvoorbeeld met een certificaat wat op het device moet staan voordat je de pdf kan openen. En zo is er nog wel meer.

Heb je azure op werk? Dan is Rights Management misschien nog helpfull

Nee, helaas geen Azure of dergelijke. Bedrijf is niet zo groot dat we een IT afdeling hebben, de directeur en ik (technicus) zijn redelijk goed bij en kunnen prima uit de voeten. De eisen zijn ook niet heel hoog voor de meeste dingen. Kritische processen zoals boekhouding, declaraties, CRM, mail zijn ingekochte clouddiensten waar weinig tot geen omkijken naar is. Lokaal (hardware) beheer doen we zelf.
Kun je mij hints geven over pdfs beveiligen met een lokaal (niet te ontvreemden) certificaat?

Will_M schreef op vrijdag 13 november 2020 @ 22:44:
@Ramon 73 Ben je nu niet stiekem het probleem van de uitgever aan het verplaatsen naar jouw probleem?

Laat de uitgever van die .pdf's (boeken!) een oplossing aandragen zonder dat het jou een stuiver gaat kosten.

De uitgever is rigide. Van hun komt de keuze om fysieke boeken te kopen of de digitale goed te beveiligen. Je kunt een digitaal boek kopen dat zij beveiligen maar dan kost de pdf bijna net zoveel als het boek zelf (behoorlijk idioot in 2020....). Juist door klachten vanuit gebruikers (zeggen ze) is de licentiestructuur op de schop gegaan. Niemand kocht immers digitale versies want veel te onhandig in gebruik, fysiek boek is veel makkelijker te beveiligen. De uitgever merkte dat hun kosten uit de hand gaan lopen, drukken is duurder dan kopiëren. En om nog meer winst te maken hebben ze toen de kosten voor digitaal en fysiek zowat gelijk getrokken. Dus dab zit je in de situatie dan digitaal bijna net zo duur is als een boek en veel onhandiger is in gebruik door de beveiliging. Niemand gaat dan het digitale verhaal kopen.
Nu gaan ze de boeken veel duurder maken (nieuwe versies kosten 3-4x zoveel als voorheen) om iedereen te dwingen de digitale versies te kopen.
Dus, het was ooit zeer strak en duur beveiligd en zeer onhandig in gebruik. Nu is het niet beveiligd en erg makkelijk in gebruik en goedkoop (servicekosten voor beveiliging vervallen). De uitgever weer vragen voor strakke beveiliging gaat het probleem niet oplossen, dan is er wel super beveiliging maar dat is onbruikbaar en onbetaalbaar.

vrijdag 13 november 2020 23:15

Acties:

0 Henk 'm!

HKLM_

Ramon 73 schreef op vrijdag 13 november 2020 @ 23:09:
[...]

Nee, helaas geen Azure of dergelijke. Bedrijf is niet zo groot dat we een IT afdeling hebben, de directeur en ik (technicus) zijn redelijk goed bij en kunnen prima uit de voeten. De eisen zijn ook niet heel hoog voor de meeste dingen. Kritische processen zoals boekhouding, declaraties, CRM, mail zijn ingekochte clouddiensten waar weinig tot geen omkijken naar is. Lokaal (hardware) beheer doen we zelf.
Kun je mij hints geven over pdfs beveiligen met een lokaal (niet te ontvreemden) certificaat?

[...]

De uitgever is rigide. Van hun komt de keuze om fysieke boeken te kopen of de digitale goed te beveiligen. Je kunt een digitaal boek kopen dat zij beveiligen maar dan kost de pdf bijna net zoveel als het boek zelf (behoorlijk idioot in 2020....). Juist door klachten vanuit gebruikers (zeggen ze) is de licentiestructuur op de schop gegaan. Niemand kocht immers digitale versies want veel te onhandig in gebruik, fysiek boek is veel makkelijker te beveiligen. De uitgever merkte dat hun kosten uit de hand gaan lopen, drukken is duurder dan kopiëren. En om nog meer winst te maken hebben ze toen de kosten voor digitaal en fysiek zowat gelijk getrokken. Dus dab zit je in de situatie dan digitaal bijna net zo duur is als een boek en veel onhandiger is in gebruik door de beveiliging. Niemand gaat dan het digitale verhaal kopen.
Nu gaan ze de boeken veel duurder maken (nieuwe versies kosten 3-4x zoveel als voorheen) om iedereen te dwingen de digitale versies te kopen.
Dus, het was ooit zeer strak en duur beveiligd en zeer onhandig in gebruik. Nu is het niet beveiligd en erg makkelijk in gebruik en goedkoop (servicekosten voor beveiliging vervallen). De uitgever weer vragen voor strakke beveiliging gaat het probleem niet oplossen, dan is er wel super beveiliging maar dat is onbruikbaar en onbetaalbaar.

Hier een lijstje met security features die je op een pdf kan toepassen.

https://helpx.adobe.com/a...ecurity-acrobat-pdfs.html

Cloud ☁️

vrijdag 13 november 2020 23:23

Acties:

0 Henk 'm!

Will_M

Intentionally Left Blank

@HKLM_ Leuke uitgever welke niets voor DRM over heeft maar er wél de vruchten van wil plukken.

Dat soort uitgevers houden onder andere TPB in stand

Boldly going forward, 'cause we can't find reverse

vrijdag 13 november 2020 23:26

Acties:

0 Henk 'm!

Ramon 73

Topicstarter

Will_M schreef op vrijdag 13 november 2020 @ 23:23:
@HKLM_ Leuke uitgever welke niets voor DRM over heeft maar er wél de vruchten van wil plukken.

Dat soort uitgevers houden onder andere TPB in stand

Helaas bestaan ze, en hebben ook nog het alleenrecht op die boeken die verplicht zijn in de branche. Je kunt ze nergens anders kopen, gedwongen winkelnering. De uitgever is ook geen Europese uitgever maar gevestigd in Amerika. Daar kan het blijkbaar gewoon.

zaterdag 14 november 2020 14:41

Acties:

0 Henk 'm!

DJMaze

Hardcopy kan je ook kopiëren.

Uitlekken kan altijd bij verlies/diefstal van pc/laptop/tablet/hardcopy.

In hoeverre is het dan veilig en tot waar is je verantwoordelijkheid?

Maak je niet druk, dat doet de compressor maar

zaterdag 14 november 2020 23:08

Acties:

0 Henk 'm!

kodak

FP ProMod

Als iemand een pdf tussen die laptops kan uitwisselen al een probleem is, waarom voorkom je dat dan niet?

En zelfs al kan het niet via je netwerk of usb gekopieerd kan worden, hoe ga je dan voorkomen dat iemand het scherm of de video-uitgang gaat gebruiken?

zaterdag 14 november 2020 23:14

Acties:

0 Henk 'm!

Ramon 73

Topicstarter

DJMaze schreef op zaterdag 14 november 2020 @ 14:41:
Hardcopy kan je ook kopiëren.

Uitlekken kan altijd bij verlies/diefstal van pc/laptop/tablet/hardcopy.

In hoeverre is het dan veilig en tot waar is je verantwoordelijkheid?

Die boeken en PDFs zijn gewoon vrij te koop. €200 per boek of PDF. Dan is het nog maar de vraag hoeveel moeite iemand wil doen om er een kopie van te maken. Het is niet zo'n materiaal dat je ze voor €20 op een zelfgebrande Cd kunt verkopen, publiek hiervoor is vrij klein.
Het zit er juist in dat iemand ff snel een kopie kan maken en die gaat verspreiden. Als je eerst nog een hele beveiliging moet kraken zonder dat er verdiensten tegenover staan dan is de lol er snel vanaf.

zondag 15 november 2020 00:47

Acties:

0 Henk 'm!

Juup

Wat een onduidelijk verhaal over kosten en eisen.
Wie eist dat die laptop goed beveiligt wordt, de uitgever of jouw werkgever?
Het is veel moeilijker dan je denkt om een laptop echt goed te beveiligen tegen diefstal van 1 bestand dat er op staat.
Wie moet je tevreden stellen?
Wat zijn de echte (harde) eisen?

Man has 2 testicles but only 1 heart...

zondag 15 november 2020 08:25

Acties:

0 Henk 'm!

Ramon 73

Topicstarter

Juup schreef op zondag 15 november 2020 @ 00:47:
Wat een onduidelijk verhaal over kosten en eisen.
Wie eist dat die laptop goed beveiligt wordt, de uitgever of jouw werkgever?
Het is veel moeilijker dan je denkt om een laptop echt goed te beveiligen tegen diefstal van 1 bestand dat er op staat.
Wie moet je tevreden stellen?
Wat zijn de echte (harde) eisen?

Wat is er zo moeilijk aan?
PDF bestanden beveiligen die op een laptop staan.
Óf het bestand kan niet van de laptop gehaald worden (lastig)
Óf bestand is versleuteld en alleen op een geactiveerde laptop te openen (certificaat oid)

Reden om dat te beveiligen is dat het bedrijf niet het lek wil zijn waardoor de informatie in illegale circuits beland. Dat is tegen de licentieovereenkomst en vrij eenvoudig traceerbaar. Staat banner met onze bedrijfsnaam op elke pagina....

zondag 15 november 2020 14:47

Acties:

0 Henk 'm!

Juup

Er zijn vele manieren om de PDF van de laptop af te krijgen.
Firewire, USB en Thunderbolt hebben bv. DMA waarmee een extern apparaat rechtstreeks het geheugen van de PC kan uitlezen.
Windows probeert dat wel tegen te houden maar is daar historisch altijd erg slecht in geweest.

Ook elk programma dat op die laptop uitgevoerd kan worden kan ws. bij de PDF en bij het certificaat.
Het is lastig om dat te voorkomen tenzij er geen enkele (netwerk-) verbinding mogelijk is maar dan is het installeren van beveiligingsupdates lastiger.

Man has 2 testicles but only 1 heart...

zondag 15 november 2020 15:18

Acties:

0 Henk 'm!

Liberteh

All your base belong to me

Ramon 73 schreef op zondag 15 november 2020 @ 08:25:
[...]

Wat is er zo moeilijk aan?
PDF bestanden beveiligen die op een laptop staan.
Óf het bestand kan niet van de laptop gehaald worden (lastig)
Óf bestand is versleuteld en alleen op een geactiveerde laptop te openen (certificaat oid)

Reden om dat te beveiligen is dat het bedrijf niet het lek wil zijn waardoor de informatie in illegale circuits beland. Dat is tegen de licentieovereenkomst en vrij eenvoudig traceerbaar. Staat banner met onze bedrijfsnaam op elke pagina....

De constructie is moeilijk. Zijn weinig ICT'ers die hier op deze manier hun vingers aan gaan branden. Wat een bud leverancier heb je. Als je het goed wilt doen zal je wellicht moeten denken aan een compleet geïsoleerde, beveiligde en gemonitorde virtuele omgeving waar men op inlogt met de laptops. Anders blijft het een fysiek ontvreemden verhaal en hou je de mogelijkheid dat USA naar jouw komt of jij naar de USA om tekst en uitleg te geven.

Vraag ze anders het voor je te hosten: "wij kunnen niet aan jullie eisen voldoen maar jullie hebben hier zelf natuurlijk een prima oplossing voor."

[ Voor 23% gewijzigd door Liberteh op 15-11-2020 15:21 ]

First they ignore you, then they laugh at you, then they fight you, then they buy bitcoin

zondag 15 november 2020 15:22

Acties:

0 Henk 'm!

Drardollan

Laptops encrypten en niet aan het internet hangen?

Automatisch crypto handelen via een NL platform? Check BitBotsi !

zondag 15 november 2020 15:59

Acties:

0 Henk 'm!

DJMaze

Ramon 73 schreef op zaterdag 14 november 2020 @ 23:14:
Als je eerst nog een hele beveiliging moet kraken zonder dat er verdiensten tegenover staan dan is de lol er snel vanaf.

Beveiliging is een wassenneus.
Ik plug een screenrecorder op de hdmi en heb een kopie van een film.
Ik pak een fototoestel en maak foto's van boek/scherm en haal ze door de OCR.
etc. etc.

De boekenverkoper moet optreden tegen illegale handel, niet het lek.
Ze kunnen hoogstens verwachten dat je het risico klein maakt.

Maak je niet druk, dat doet de compressor maar

zondag 15 november 2020 17:23

Acties:

0 Henk 'm!

Ramon 73

Topicstarter

Juup schreef op zondag 15 november 2020 @ 14:47:
Er zijn vele manieren om de PDF van de laptop af te krijgen.
Firewire, USB en Thunderbolt hebben bv. DMA waarmee een extern apparaat rechtstreeks het geheugen van de PC kan uitlezen.
Windows probeert dat wel tegen te houden maar is daar historisch altijd erg slecht in geweest.

Ook elk programma dat op die laptop uitgevoerd kan worden kan ws. bij de PDF en bij het certificaat.
Het is lastig om dat te voorkomen tenzij er geen enkele (netwerk-) verbinding mogelijk is maar dan is het installeren van beveiligingsupdates lastiger.

Och nee, dit is een brug te ver gelukkig. De mensen die eventueel een pdf zouden willen kopiëren zijn niet van het niveau dat een dergelijke actie kan uitvoeren.
De beveiliging moet op copy-paste niveau beveiligen, dat die actie niet uitgevoerd kan worden, of het bestand zelf moet beveiligd worden tegen illegaal gebruik.

Liberteh schreef op zondag 15 november 2020 @ 15:18:
[...]

De constructie is moeilijk. Zijn weinig ICT'ers die hier op deze manier hun vingers aan gaan branden. Wat een bud leverancier heb je. Als je het goed wilt doen zal je wellicht moeten denken aan een compleet geïsoleerde, beveiligde en gemonitorde virtuele omgeving waar men op inlogt met de laptops. Anders blijft het een fysiek ontvreemden verhaal en hou je de mogelijkheid dat USA naar jouw komt of jij naar de USA om tekst en uitleg te geven.

Hmm, jammer. Ik had gehoopt op een oplossing waar onze laptops voorzien worden van een certificaat/dongel die alleen onze PDF bestanden laat openen. Kopieer je de PDF bestanden naar een andere computer, dan opent die niet omdat het juiste certificaat/dongel niet aanwezig is.

Vraag ze anders het voor je te hosten: "wij kunnen niet aan jullie eisen voldoen maar jullie hebben hier zelf natuurlijk een prima oplossing voor."

De leverancier heeft wel een oplossing, behoorlijk serieuze beveiliging zelfs. Maar die kost ook een godsvermogen.
Ik denk er al over om "dan maar" van elk fysiek boek 1 exemplaar te kopen. Door een drukker de inbindrug eraf laten snijden. Met een goede scanner digitaliseren en dan heb ik een PDF zonder banner of watermerk die ik kan beveiligen voor eigen gebruik. Is waarschijnlijk nog legaal ook omdat de uitgever al eens eerder heeft laten weten dat een interne kopie legaal is. (hadden ooit een beschadigd boek, en op de vraag om een nieuwe voor gereduceerde prijs kwam de uitspraak van interne kopie. Boeken worden in werkomgevingen gebruikt en men wil geen stevige uitvoering maken "te duur". Tis niet zo'n heel fijne leverancier maar heeft monopolie)

[ Voor 47% gewijzigd door Ramon 73 op 15-11-2020 17:35 ]

maandag 16 november 2020 11:48

Acties:

0 Henk 'm!

MartSB

Zelf de PDF printen en inbinden/in een ringmap steken als fysiek handboek? Je baas houdt dan de PDF op een veilige manier bij.

Of beveiligen ze de PDF tegen printen, maar niet tegen kopiëren?

maandag 16 november 2020 13:07

Acties:

0 Henk 'm!

Ramon 73

Topicstarter

De PDF is beveiligd tegen printen

en, verbazend genoeg, is printen ook een behoorlijke kostenfactor. Je wil toch wel iets dikker papier voor een handboek dat de hele dag door meerdere keren wordt ingezien. We hebben vroeger wel eens een boek zelf geprint op 80gr A4, maar dat houdt het net een week vol en dan ligt alles uit de ringband.