Een ontslagen systeembeheerder van modeketen Gucci heeft een digitale ravage bij zijn voormalige werkgever aangericht, dat het bedrijf 140.000 euro kostte. De 34-jarige Sam Chihlung Yin werd vorig jaar mei ontslagen. Toen hij nog bij Gucci werkte maakte hij in naam van een niet bestaande werknemer een vals VPN-token aan. Na zijn ontslag stuurde de ex-systeembeheerder een e-mail naar het IT-personeel om de token te activeren, wat ook werd gedaan (bron).
Al vele jaren zijn we het over eens: systeembeheerders zijn een apart slag…nee, niet zozeer als mens, maar wel als beveiligingsrisico voor organisaties. Waarom? Omdat zij nu eenmaal vanuit hun functie meer rechten (moeten) hebben dan de gemiddelde gebruiker.
Veel organisaties zijn zich daar wel van bewust, maar wat doe je er aan? Hoe ga je controleren of de systeembeheerder zich wel netjes aan de regels houdt? Ga je daarvoor mooie tooling installeren die al het gedrag monitort? Ja, dat is lastig, want daarvoor heb je toch die systeembeheerder nodig en die zal dat niet waarderen. Hij weet exact hoe het zo ingesteld moet worden dat al het verkeer gemonitord wordt, behalve zijn verkeer.
Als je dan ook nog een systeembeheerder hebt die naast de techniek exact weet hoe de processen in de organisatie lopen, dan heb je misschien nog wel een groter risico.
Gelukkig zijn de meeste organisaties druk met het implementeren van “uitloopbriefjes”. Vertrekt een medewerker dan zorgen we ervoor dat hij zijn laptop en token netjes inlevert. Toch? Ehm, waarschijnlijk valt het aantal organisaties dat dit echt goed geregeld heeft nog tegen…maar goed, dat geldt natuurlijk niet voor jouw organisatie.
Zo, de systeembeheerder is vertrokken en hij heeft netjes zijn laptop en token ingeleverd. Probleem opgelost, toch? Ja, misschien heeft hij wel de “assets” die op zijn naam stonden ingeleverd, maar hoe weten we zeker dat hij geen fictief persoon heeft aangemaakt? Hoe weten we nu echt zeker dat hij straks niet meer op ons netwerk kan?
Helaas is er geen simpele oplossing voor dit risico te noemen omdat het hier toch echt om een passende set aan technische, procedurele en organisatorische maatregelen gaat. Het beste advies dat ik je nu kan geven? Ehm, wellicht toch nog maar even je systeembeheerder niet ontslaan, totdat we zeker weten dat het risico echt is afgedekt.
Wat je natuurlijk ook kunt doen is mij even bellen, dan lopen we samen door de reeds getroffen maatregelen heen en kijken we hoe we dit risico echt af kunnen dekken. Ik hoor, zoals altijd, graag van je.