Ongeveer 35 procent van het IT-personeel met adminrechten bekijkt zonder toestemming bedrijfsgevoelige informatie. Vooral klantgegevens, e-mailwachtwoorden en strategische bedrijfsplannen blijken gewilde prooien.

Populairste gevoelige informatie in 2009:

1. Klantgegevens
2. Het adminaccount van de e-mailserver
3. Strategische plannen
4. Onderzoeksplannen
5. Het wachtwoord van de CEO
6. Financiele rapportages
7. Wachtwoordlijsten

De vraag: wie controleert de controleur speelt hierbij een belangrijke rol. Binnen organisaties heeft IT-personeel rechten om beheeractiviteiten uit te kunnen voeren. Dat moet ook wel omdat ze anders hun werkzaamheden niet kunnen doen. Er is echter een verschil tussen het beheren van de gegevens en de inhoud van de gegevens. Om beheeractiviteiten (zoals back-up en restore) uit te kunnen voeren hoeven de beheerders niet bij de inhoud van de gegevens te kunnen.

Databeveiliging is hierbij van groot belang. Er moet binnen organisaties gekeken worden naar de rechten die benodigd zijn voor beheerders, meer rechten dan strikt noodzakelijk moeten niet worden vrijgegeven omdat anders de informatie in verkeerde handen kan komen. Encryptie van gegevens kan hierbij een mogelijke oplossing zijn.

Bijna zestig procent van het ontslagen personeel steelt bij het ontslag vertrouwelijke bedrijfsgegevens waaronder klantgegevens, aldus onderzoek van Symantec en het Ponemon Instituut. In de meeste gevallen zijn het e-mailadressen, personeelsgegevens, contactgegevens en niet de financiele informatie die men meeneemt.

Niet de USB-stick (42%), maar CD’s en DVD’s zijn met 53% het populairste medium om gegevens op te bewaren. 38% stuurt de informatie naar een persoonlijk e-mailadres. In 79% van de gevallen doen werknemers dit zonder toestemming van de werkgever. Werkgevers valt ook het nodige te verwijten. Zo heeft 24% van het voormalige personeel na het ontslag nog steeds toegang tot het bedrijfsnetwerk.

Het is een gegeven dat in economisch moeilijke tijden zoals de krediet crisis waarin we zitten personeelsleden worden ontslagen, ze gefrustreerd zijn en/of onzeker zijn over de toekomst. Interne fraude neemt in deze tijden toe, terwijl de budgetten om de interne fraude te beperken en te onderzoeken juist afnemen.De recessie gaat leiden tot extra fraude. Dat concludeert Tweede Kamerlid en oud-aanklager Fred Teeven.

Om dergelijke risico´s te beperken moet de controle op interne fraude worden verscherpt en moet geinvesteerd worden in (o.a. technische) oplossingen om toezicht te houden op informatie die de organisatie op ongeautoriseerde wijze verlaat.

Printerfabrikant HP waarschuwt voor een beveiligingslek in verschillende LaserJet printers waardoor aanvallers toegang tot bestanden op de printer kunnen krijgen. Het gaat onder andere om de configuratie van de pinter, maar nog veel erger om gecachte versies van geprinte documenten. Als oplossing heeft HP nieuwe firmware uitgebracht, maar ook het uitschakelen van de interface wordt geadviseerd.

Er wordt steeds meer apparatuur op het bedrijfsnetwerk aangesloten. Printers, kopieerapparaten en zelf koffieautomaten krijgen hun plek in het netwerk. Bij veel van deze apparatuur is een connectie via internet mogelijk, bedoeld voor onderhoud van de apparatuur, maar bij foutieve configuratie geven deze connecties grote risico´s voor het bedrijfsnetwerk.

Een duidelijke netwerk architectuur geeft de mogelijkheid tot een goed inzicht in de connecties die in uw netwerk aanwezig zijn. Op basis van deze architectuur kan een goede beveiligingsarchitectuur worden opgezet. Op deze manier ontstaat een inzicht in de connecties en kunnen de nodige beveiligingsmaatregelen genomen worden om ongeautoriseerde toegang of virus injectie te voorkomen of de gevolgen ervan te beperken.

Een werknemer van de Amerikaanse computerketen Best Buy is door de Secret Service gearresteerd wegens het op grote schaal kopieren van creditcards van klanten. De inmiddels ontslagen man gebruikte hiervoor een skimapparaat dat hij in de winkel had verborgen. Best Buy schat dat zo’n vierduizend klanten mogelijk de dupe zijn geworden, die inmiddels allemaal per brief zijn ingelicht.

Uit bovenstaand incident blijkt maar weer hoe gemakkelijk het voor insiders is om de beveiliging te omzeilen. Nog te vaak denken organisaties dat de grootste dreigingen van buiten komen en wordt de interne dreiging onderschat. Juist in tijden van een financiele crisis worden medewerkers onzeker en is extra intern toezicht belangrijk.

Een interne medewerker die een dergelijk incident veroorzaakt levert niet alleen imagoschade op voor de organisatie maar kan ook grote juridische en financiele gevolgen hebben. Maar zult u zeggen dit gebeurt in Amerika, in Nederland horen we niet veel van dit soort incidenten. Daar is een eenvoudige verklaring voor: in Amerika zijn organisaties verplicht dergelijke incidenten openbaar te maken, in Nederland geldt dat nog niet. Gebeurt dit dan niet in Nederland? Ja zeker wel, alleen worden deze incidenten niet inzichtelijk gemaakt.

Werkgevers en directies van scholen blijken populaire vriendensites als Hyves dankbaar te gebruiken om te kunnen checken of personeelsleden of leerlingen stiekem spijbelen.

Hyves, met 7 miljoen leden de grootste vriendensite van ons land, heeft hierover meermalen meldingen binnen gekregen van gebruikers. Hoewel de mogelijkheid al langer bestaat om je onzichtbaar te maken voor bepaalde ‘cybervrienden’ is Hyves deze week een campagne begonnen om deze optie nog eens onder de aandacht te brengen.

De eenvoudigste manier is uiteraard om personen, die zichzelf uitnodigen als Hyves-vriend, simpelweg te weigeren. Maar Hyves-oprichter en directeur Raymond Spanjer erkent dat dit niet altijd zo makkelijk gaat ‘uit oogpunt van beleefdheid of sociale druk’: “Aanvankelijk zijn we begonnen als een vriendensite voor studenten, maar zo onderhand zijn we een nationaal platform geworden. De kans is echter groot dat je niet altijd zit te wachten om je hele Hyves-hebben en houden te delen met dergelijke vrienden.”

Spanjer bevestigt dat er meermalen meldingen binnen zijn gekomen van gebruikers die wisten te vertellen dat ze door de mand zijn gevallen omdat ze een dagje spijbelden door zich ten onrechte ziek te melden. Vervolgens wist de baas of schooldirecteur de volgende dag te vertellen dat ze kennelijk toch niet ziek genoeg waren om volop actief te zijn op internet.

Daarop is besloten de programmatuur aan te passen. De komende dagen worden mailtjes gestuurd naar alle Hyves-gebruikers, waarin ze op de mogelijkheid worden gewezen om bepaalde diensten onzichtbaar te maken of dat berichten alleen naar zelf geselecteerde personen worden verstuurd.

Ook criminelen gebruiken sociale netwerken voor het winnen van informatie. Veel gebruikers laten gegevens van zichzelf achter, zodat spammers doelgerichte emails kunnen versturen die van een vertrouwde afzender lijken te komen. Een ander voorbeeld van misbruik van deze, vrij beschikbare persoonlijke, informatie is social engineering. Criminelen hoeven niet ver te zoeken om je juiste gegevens bij elkaar te brengen.

Belangrijk is dat u uw medewerkers bewust maakt van de risico’s die internet in het algemeen en sociale netwerken in het bijzonder met zich meebrengen. Voorzichtig omgaan met persoonlijke informatie en bedrijfsinformatie is het advies. Een goed opgezette security awareness campagne biedt hiervoor een goed middel.

Zowel politiek als politie falen in de aanpak van cybercrime en de wereldwijde recessie is een buitenkans voor cybercriminelen, dat is de conclusie van McAfee’s Virtual Criminology Report. Door de crisis en angst voor terreur verdwijnt computercriminaliteit onderaan de lijstjes, terwijl de crisis juist een klimaat van angst en ongerustheid schept waar cybercriminelen van profiteren. Volgens de beveiliger kan cybercrime zelfs het economisch herstel negatief beinvloeden. Daarom moeten overheden beter samenwerken en een hogere prioriteit aan bestrijding geven, iets wat nu niet zou gebeuren.

Beveiligingsmaatregelen zijn veelal die maatregelen waarop bezuinigd wordt in tijden van budgetrondes. Ten tijde van een kredietcrisis is het van groot belang om de continuiteit van de organisatie te beschermen, niet alleen voor eventuele financiele gevolgen maar juist ook tegen diefstal of verminking van informatie door te weinig of de verkeerde beveiligingsmaatregelen. Naast de overheden moeten ook organisaties hogere prioriteit geven aan de bestrijding van computercriminaliteit.

Door beveiliging op een integrale en doordachte wijze, op basis van risico management en kosten/baten analyses, in te richten kunnen de juiste maatregelen met een acceptabel kostenniveau geimplementeerd worden. Niet langer een bottom-up-benadering waarbij maatregelen worden geimplementeerd, maar een top-down-benadering waarbij risico´s worden gemitigeerd is het advies.

Het downloaden van bestanden is nog altijd de voornaamste reden dat internetgebruikers met malware besmet raken. 53% van alle infecties wordt opgelopen via zogenaamde video codecs of het openen van onbekende bestanden, zo blijkt uit cijfers van Trend Micro. De tweede grote infectiebron is malware die al op het systeem actief is en aanvullende malware downloadt. E-mail bijlagen en USB-sticks (Autorun malware) zijn met zo’n tien procent elk, de nummer drie en vier op de lijst.

Deze gegevens kunnen voor organisatie behulpzaam zijn bij het aanscherpen van het beveiligingsbeleid en de (technische) beveiligingsmaatregelen. Als downloaden zonder restricties wordt toegestaan dan is het wachten op een malware uitbraak. Het downloaden moet beperkt of tegengegaan worden, bijlages van emails moeten gecontroleerd worden en USB-poorten moeten worden dichtgezet of worden gemonitord.

Ook is het van belang dat de medewerkers bewust worden gemaakt van deze gevaren, vertel hen waarom downloaden aan regels is onderworpen, maak hen duidelijk dat bijlages en onbekende bestanden niet moeten worden geopend en laat hen weten hoe ze met mobiele gegevensdragers (zoals USB-sticks) om moeten gaan.