McAfee, leverancier op het gebied van intrusion prevention en security risk management, maakt vandaag de resultaten bekend van een onderzoek waaruit blijkt dat de IT-veiligheid in talrijke Europese ondernemingen ook wordt bedreigd door het eigen personeel.
Deze ’gevaren van binnenuit’ ondermijnen de aanzienlijke investeringen die in de bedrijfswereld worden gedaan ter bescherming tegen bedreigingen van de IT-beveiliging. Hoe goed een IT-systeem ook beveiligd is tegen externe gevaren, er is maar één eigen medewerker nodig met een besmette USB-stick om een totale virusinfectie te veroorzaken.
In opdracht van McAfee voerde ICM Research een onderzoek uit waarin een analyse gemaakt wordt van het gedragspatroon van personeel bij een groot aantal Europese bedrijven. Wat daar vooral uit naar voren komt met betrekking tot de omgang met de eigen IT-resources, is een hoge mate van onachtzaamheid, gekoppeld aan een zeker niveau van onwetendheid op de werkvloer.
Een greep uit de conclusies van het onderzoek:
* Bijna een kwart (24 procent) van de ondervraagde personen gebruikt de laptop van het werk ook om thuis het internet mee op te gaan, met alle extra risico’s van infectie die dat met zich meebrengt, op de eerste plaats voor de computer in kwestie zelf, maar mogelijk ook voor het bedrijfsnetwerk waarin die computer de volgende dag weer gebruikt wordt.
* Eén op de vijf ondervraagde medewerkers (21 procent) laat de laptop of PC van het werk ook door familieleden en vrienden gebruiken voor toegang tot internet.
* Tweederde van de ondervraagden (62 procent) geeft toe over niet meer dan zeer beperkte kennis te beschikken van IT-beveiliging.
* Meer dan de helft van alle ondervraagde personen (51 procent) sluit eigen randapparatuur of opslagmedia aan op de PC van het werk. In een kwart van de gevallen gebeurt dat op dagelijkse basis.
* Ongeveer 60 procent van de ondervraagden gebruikt de PC op het werk voor opslag van persoonlijke bestanden en één op de tien geeft toe wel eens materiaal van internet te downloaden waarvan ze weten dat het niet de bedoeling is.
Medewerkers die de laptop van het werk thuis gebruiken om via een onbeveiligde verbinding het internet op te gaan, brengen daarmee de IT-veiligheid van hun onderneming op een ernstige manier in gevaar. Onbeschermde, niet volledig op de laatste stand gebrachte apparatuur kan op talloze wijzen besmet raken – met virussen, Trojaanse paarden en spyware. Wordt diezelfde computer vervolgens weer aangesloten op het bedrijfsnetwerk, dan kan die infectie zich daar razendsnel verspreiden. En het feit dat zoveel mensen blijkbaar niet weten hoe ze de beveiligingsprogrammatuur op hun computers op de juiste stand moeten houden, maakt dat probleem alleen maar groter: meer dan de helft van de ondervraagden (51 procent) zegt geen idee te hebben hoe ze de anti-virussystemen op hun computer op peil moeten houden.
Computers van de zaak laten gebruiken door vrienden of familieleden, betekent dat het risico van infectie nog verder toeneemt. Bovendien betekent het een gevaar voor de veiligheid van de zakelijke documenten die op die computer zijn opgeslagen. Een kind hoeft maar één keer een besmette bijlage bij een e-mailtje te openen, een kennis hoeft maar één keer bedenkelijk materiaal te downloaden, en de computer is meteen een serieus gevaar geworden voor het complete bedrijfsnetwerk. 14 procent van de Nederlandse respondenten geeft aan dat ze hun computer van de zaak laten gebruiken door vrienden of familieleden.
Een ander gevaar wordt gevormd door de toename van (rand)apparaten en gadgets. Werknemers, maar liefst 48 procent van de Nederlandse respondenten, nemen steeds vaker hun USB-sticks, MP3-spelers, digitale camera’s en mobiele telefoons mee naar het werk. Ook hier is het primaire gevaar de verspreiding van virussen over het bedrijfsnetwerk, maar daar komt in dit geval bij dat deze apparatuur ook gebruikt kan worden voor moedwillige diefstal van bedrijfsgegevens.
Eén op de tien bedrijfsmedewerkers in Europa geeft toe op het werk wel eens materiaal van internet te downloaden dat niets te maken heeft met professionele bezigheden. In Nederland geeft 15 procent, bijna één op de zes medewerkers, aan weleens materiaal van internet te downloaden. Dit downloaden van zakelijk niet relevant materiaal brengt het gevaar van infectie met zich mee, maar het is ook riskant vanuit juridisch opzicht. Als op een bedrijfsnetwerk materiaal wordt aangetroffen dat, in welk opzicht dan ook, als illegaal kan worden beschouwd, is de onderneming aansprakelijk.
De risico’s waaraan de meeste medewerkers hun bedrijf blootstellen, komen voort uit onwetendheid of onachtzaamheid. Maar daarnaast is er een kleine minderheid die met opzet probeert de onderneming van binnenuit schade toe te brengen. Van de Nederlandse respondenten zegt 2 procent toegang te hebben gezocht tot informatie – zoals personeelsadministratie en financiële gegevens – waar ze in feite niets mee te maken hebben en die normaal gesproken ook voor hen is afgeschermd. Een zeer kleine minderheid geeft toe wel eens gegevens van het netwerk te hebben gehaald waar ze niet bij zouden moeten kunnen. Het gaat hier dan wel over kleine aantallen medewerkers, maar dat maakt het niet minder alarmerend. Er hoeft er maar één tussen te zitten en er kan al sprake zijn van een serieuze bedreiging van de IT-veiligheid en van de veiligheid van vertrouwelijke bedrijfsinformatie.
Op basis van de resultaten van dit onderzoek heeft McAfee een viertal profielen opgesteld van medewerkers zoals die in elke onderneming in meer of mindere mate voorkomen. Als volgt:
1. De beveiligings-’softies’ – De groep waar de grote meerderheid van alle medewerkers toe behoort. Het zijn over het algemeen mensen die weinig verstand hebben van beveiliging. De risico’s die ze veroorzaken, komen voort uit privé-gebruik van bedrijfsapparatuur. Dit zijn ook de mensen die hun kinderen laten internetten op de laptop van het bedrijf.
2. De gadget-’freaks’ – De mensen die op hun werk verschijnen met allerlei elektronische apparaatjes en hebbedingetjes en die ook op de bedrijfscomputer worden aangesloten.
3. De kleine valsspelers – Mensen die de IT-resources van hun bedrijf gebruiken op manieren waarvoor ze niet bedoeld zijn. Ze slaan bijvoorbeeld privé-bestanden op of ze spelen games op de computer van de zaak.
4. De saboteurs – Een zeer kleine minderheid weliswaar, maar één is genoeg om serieuze problemen af te roepen. Mensen die toegang proberen te krijgen tot systeemgebieden waar ze niets te zoeken hebben of van binnenuit opzettelijk virusinfecties veroorzaken.
‘Wij zijn ons ervan bewust dat veruit de meeste medewerkers echt geen idee hebben van de risico’s waaraan ze het IT-systeem van hun bedrijf blootstellen,’ zegt Mike Dalton, President, McAfee EMEA. ‘Maar dat betekent dus enerzijds dat ondernemingen meer zullen moeten doen om hun mensen bewust te maken van het belang van verantwoord gebruik van de IT-bedrijfsmiddelen, en anderzijds dat er technische oplossingen moeten worden geïmplementeerd om te voorkomen dat allerlei externe apparatuur toegang kan krijgen tot het interne netwerk.’
In november heeft McAfee de beschikbaarheid bekendgemaakt van de bètaversie van een nieuw systeem voor geforceerde handhaving van systeembeveiliging, McAfee Policy Enforcer. Dit systeem, dat in 2006 op de markt komt, blokkeert toegang tot bedrijfsnetwerken voor apparatuur die niet aan de vastgelegde eisen op het gebied van IT-beveiliging voldoet, bijvoorbeeld in het geval van computers waarop niet alle verplichte patches zijn geïnstalleerd.