Ongeveer 35 procent van het IT-personeel met adminrechten bekijkt zonder toestemming bedrijfsgevoelige informatie. Vooral klantgegevens, e-mailwachtwoorden en strategische bedrijfsplannen blijken gewilde prooien.

Populairste gevoelige informatie in 2009:

1. Klantgegevens
2. Het adminaccount van de e-mailserver
3. Strategische plannen
4. Onderzoeksplannen
5. Het wachtwoord van de CEO
6. Financiele rapportages
7. Wachtwoordlijsten

De vraag: wie controleert de controleur speelt hierbij een belangrijke rol. Binnen organisaties heeft IT-personeel rechten om beheeractiviteiten uit te kunnen voeren. Dat moet ook wel omdat ze anders hun werkzaamheden niet kunnen doen. Er is echter een verschil tussen het beheren van de gegevens en de inhoud van de gegevens. Om beheeractiviteiten (zoals back-up en restore) uit te kunnen voeren hoeven de beheerders niet bij de inhoud van de gegevens te kunnen.

Databeveiliging is hierbij van groot belang. Er moet binnen organisaties gekeken worden naar de rechten die benodigd zijn voor beheerders, meer rechten dan strikt noodzakelijk moeten niet worden vrijgegeven omdat anders de informatie in verkeerde handen kan komen. Encryptie van gegevens kan hierbij een mogelijke oplossing zijn.

Bijna zestig procent van het ontslagen personeel steelt bij het ontslag vertrouwelijke bedrijfsgegevens waaronder klantgegevens, aldus onderzoek van Symantec en het Ponemon Instituut. In de meeste gevallen zijn het e-mailadressen, personeelsgegevens, contactgegevens en niet de financiele informatie die men meeneemt.

Niet de USB-stick (42%), maar CD’s en DVD’s zijn met 53% het populairste medium om gegevens op te bewaren. 38% stuurt de informatie naar een persoonlijk e-mailadres. In 79% van de gevallen doen werknemers dit zonder toestemming van de werkgever. Werkgevers valt ook het nodige te verwijten. Zo heeft 24% van het voormalige personeel na het ontslag nog steeds toegang tot het bedrijfsnetwerk.

Het is een gegeven dat in economisch moeilijke tijden zoals de krediet crisis waarin we zitten personeelsleden worden ontslagen, ze gefrustreerd zijn en/of onzeker zijn over de toekomst. Interne fraude neemt in deze tijden toe, terwijl de budgetten om de interne fraude te beperken en te onderzoeken juist afnemen.De recessie gaat leiden tot extra fraude. Dat concludeert Tweede Kamerlid en oud-aanklager Fred Teeven.

Om dergelijke risico´s te beperken moet de controle op interne fraude worden verscherpt en moet geinvesteerd worden in (o.a. technische) oplossingen om toezicht te houden op informatie die de organisatie op ongeautoriseerde wijze verlaat.

Printerfabrikant HP waarschuwt voor een beveiligingslek in verschillende LaserJet printers waardoor aanvallers toegang tot bestanden op de printer kunnen krijgen. Het gaat onder andere om de configuratie van de pinter, maar nog veel erger om gecachte versies van geprinte documenten. Als oplossing heeft HP nieuwe firmware uitgebracht, maar ook het uitschakelen van de interface wordt geadviseerd.

Er wordt steeds meer apparatuur op het bedrijfsnetwerk aangesloten. Printers, kopieerapparaten en zelf koffieautomaten krijgen hun plek in het netwerk. Bij veel van deze apparatuur is een connectie via internet mogelijk, bedoeld voor onderhoud van de apparatuur, maar bij foutieve configuratie geven deze connecties grote risico´s voor het bedrijfsnetwerk.

Een duidelijke netwerk architectuur geeft de mogelijkheid tot een goed inzicht in de connecties die in uw netwerk aanwezig zijn. Op basis van deze architectuur kan een goede beveiligingsarchitectuur worden opgezet. Op deze manier ontstaat een inzicht in de connecties en kunnen de nodige beveiligingsmaatregelen genomen worden om ongeautoriseerde toegang of virus injectie te voorkomen of de gevolgen ervan te beperken.

Een werknemer van de Amerikaanse computerketen Best Buy is door de Secret Service gearresteerd wegens het op grote schaal kopieren van creditcards van klanten. De inmiddels ontslagen man gebruikte hiervoor een skimapparaat dat hij in de winkel had verborgen. Best Buy schat dat zo’n vierduizend klanten mogelijk de dupe zijn geworden, die inmiddels allemaal per brief zijn ingelicht.

Uit bovenstaand incident blijkt maar weer hoe gemakkelijk het voor insiders is om de beveiliging te omzeilen. Nog te vaak denken organisaties dat de grootste dreigingen van buiten komen en wordt de interne dreiging onderschat. Juist in tijden van een financiele crisis worden medewerkers onzeker en is extra intern toezicht belangrijk.

Een interne medewerker die een dergelijk incident veroorzaakt levert niet alleen imagoschade op voor de organisatie maar kan ook grote juridische en financiele gevolgen hebben. Maar zult u zeggen dit gebeurt in Amerika, in Nederland horen we niet veel van dit soort incidenten. Daar is een eenvoudige verklaring voor: in Amerika zijn organisaties verplicht dergelijke incidenten openbaar te maken, in Nederland geldt dat nog niet. Gebeurt dit dan niet in Nederland? Ja zeker wel, alleen worden deze incidenten niet inzichtelijk gemaakt.

Werkgevers en directies van scholen blijken populaire vriendensites als Hyves dankbaar te gebruiken om te kunnen checken of personeelsleden of leerlingen stiekem spijbelen.

Hyves, met 7 miljoen leden de grootste vriendensite van ons land, heeft hierover meermalen meldingen binnen gekregen van gebruikers. Hoewel de mogelijkheid al langer bestaat om je onzichtbaar te maken voor bepaalde ‘cybervrienden’ is Hyves deze week een campagne begonnen om deze optie nog eens onder de aandacht te brengen.

De eenvoudigste manier is uiteraard om personen, die zichzelf uitnodigen als Hyves-vriend, simpelweg te weigeren. Maar Hyves-oprichter en directeur Raymond Spanjer erkent dat dit niet altijd zo makkelijk gaat ‘uit oogpunt van beleefdheid of sociale druk’: “Aanvankelijk zijn we begonnen als een vriendensite voor studenten, maar zo onderhand zijn we een nationaal platform geworden. De kans is echter groot dat je niet altijd zit te wachten om je hele Hyves-hebben en houden te delen met dergelijke vrienden.”

Spanjer bevestigt dat er meermalen meldingen binnen zijn gekomen van gebruikers die wisten te vertellen dat ze door de mand zijn gevallen omdat ze een dagje spijbelden door zich ten onrechte ziek te melden. Vervolgens wist de baas of schooldirecteur de volgende dag te vertellen dat ze kennelijk toch niet ziek genoeg waren om volop actief te zijn op internet.

Daarop is besloten de programmatuur aan te passen. De komende dagen worden mailtjes gestuurd naar alle Hyves-gebruikers, waarin ze op de mogelijkheid worden gewezen om bepaalde diensten onzichtbaar te maken of dat berichten alleen naar zelf geselecteerde personen worden verstuurd.

Ook criminelen gebruiken sociale netwerken voor het winnen van informatie. Veel gebruikers laten gegevens van zichzelf achter, zodat spammers doelgerichte emails kunnen versturen die van een vertrouwde afzender lijken te komen. Een ander voorbeeld van misbruik van deze, vrij beschikbare persoonlijke, informatie is social engineering. Criminelen hoeven niet ver te zoeken om je juiste gegevens bij elkaar te brengen.

Belangrijk is dat u uw medewerkers bewust maakt van de risico’s die internet in het algemeen en sociale netwerken in het bijzonder met zich meebrengen. Voorzichtig omgaan met persoonlijke informatie en bedrijfsinformatie is het advies. Een goed opgezette security awareness campagne biedt hiervoor een goed middel.