Beveiligingsbedrijf Com-Connect doorzocht op 36 gegevensdragers de digitale vuilnis, die bedrijven en particulieren achterlieten. Zowel een grote fastfoodketen als een advocatenkantoor uit Venlo bleken het niet zo nauw te nemen met bedrijfsgevoelige informatie.
Harde schijven doen het goed op Marktplaats. En dat is volgens Wilfred van Roij van het beveiligingsbedrijf Com-Connect niet voor niets. "Op tweedehands computers en gegevensdragers is veel nuttige informatie voor criminelen te vinden. Identiteitsdiefstal is de snelst groeiende vorm van criminaliteit", vertelt hij. "Creditcardgegevens, maar ook persoonsgegevens zijn via internet en oude gegevensdragers heel gemakkelijk te vinden en te gebruiken."
Om erachter te komen hoe gevoelig Nederlandse bedrijven en particulieren zijn voor identiteitsdiefstal heeft Com-connect onderzocht welke informatie zoal achterblijft op oude gegevensdragers. Het bedrijf kocht via veilingsites, Marktplaats, Ebay en lokale ict-bedrijven 36 gegevensdragers van zowel bedrijven als particulieren. Een student Netwerk Infrastructuur Design van de Hogeschool Zuyd in Heerlen, die de afstudeerrichting Network Forensic Research volgt, doorzocht in opdracht van Com-Connect de digitale vuilnis op de gegevensdragers. Hij vond bijna een miljoen bestanden, waarvan veel privacy- en bedrijfsgevoelige informatie bevatte.
Wipen
"Ruim een kwart van de voormalige eigenaren had geen enkel bestand van de gegevensdrager verwijderd, bijna de helft (46 procent) had de gegevensdrager geformatteerd en slechts 31 procent van de informatie was gewiped", vertelt Van Roij. En hoewel formatteren de voormalige eigenaren waarschijnlijk een goed idee leek, hadden zij zich de moeite kunnen besparen. "Wipen is de enige manier waarop informatie ook echt verwijderd is", benadrukt Van Roij. "Formatteren heeft geen zin, met programma's zoals FTK of EnCase is alles terug te halen."
En dat deed Com-Connect. Op de aangekochte gegevensdragers vond het bedrijf ondermeer creditcardgegevens, inloggevens van webwinkels, persoonlijke foto's en medische gegevens. Maar naast privé-gegevens, vond Com-Connect ook veel bedrijfsgevoelige data. Hoewel sommige onderzochte computers al in derde hand waren, bevatte één van de onderzochte harde schijven werkgerelateerde documenten van een advocate. Naast strafdossiers van cliënten van het advocatenkantoor waarvoor zij werkte, vond Com-Connect ook informatie over haar zoon die wegens gepleegde levensdelicten in de cel zat.
Bedorven ijs
Twee van de onderzochte gegevensdragers bleken tussen 1999 en 2003 in bezit geweest te zijn van een grote fastfoodketen. De pc's waren wel geformatteerd, maar niet gewiped. Naast een rapport over bedorven ijs, dat vanwege gezondheidsrisico's niet meer verkocht zou mogen worden, vond Com-Connect ook een mailtje van de manager naar aanleiding van dit rapport. Het ijs mocht wat hem betreft gewoon worden verkocht. Volgens de manager waren de gezondheidsrisico's miniem.
Volgen Van Roij heeft ieder bedrijf informatie op voormalige computers staan, die interessant is voor een ander. Bedrijven zouden zich hiervan volgens hem beter bewust moeten zijn. "Uit het onderzoek blijkt dat bedrijven zich onvoldoende bewust zijn van de informatie die zij laten slingeren door hun oude computers niet te laten wipen. Twee op de drie computers die wij van particulieren via advertentiesites gekocht hebben, bleken nog bedrijfsmatige gegevens te bevatten."
Helaas is dit onderzoek representatief. Ik heb dezelfde ervaring en in de loop der jaren heel wat bedrijfs- en priv?informatie gewiped. Dit soort onderzoeken wordt al 15 jaar of langer uitgevoerd en iedere keer zie je hetzelfde soort resultaat.
Bedrijven doen het in mijn ogen zeker niet beter dan particulieren. Zelfs ICT-bedrijven en financi?le instellingen, die in Computable adverteren, maken dit soort fouten. Het is toch van de gekke dat ik met behulp van een harde schijf van een financieringsbedrijf bij diens bank kan aanloggen, salarisgegevens van mijn conculega’s kan inzien.
Ik vind dat ICT-ers en hun lijnmanagers verantwoordelijk zijn voor het geval dat niet geschoonde gegevensdragers weggegeven of verkocht worden of op de verkeerde manier vervangen worden door nieuwe. Disciplinaire maatregelen en zelfs ontslag kan dan gepast zijn.
Daarom is het belangrijk om je computers dus zonder gegevensdragers naar de milieustraat te brengen.
Laatst een presentatie gehad over informatiebeveiliging.
Conclusie is (zeker na het lezen van dit bericht) om niet te wachten met investeringen in informatiebeveiliging.
Zeker niet in deze tijd waarin het de komende periode economisch slechter zal gaan. Je bedrijfsgegevens zijn het belangrijkst, zou ik zo zeggen…
Goedkoop = duurkoop? ;-))
Aanvulling voor G.A.R. Vroegop. Als ICT-er zou ik er toch expliciet voor willen zorgen dat de gegevensdragers fysiek worden gewist of eventueel deskundig vernietigd. Dat zou ik zelfs met harde schijven uit RAID systemen doen. Natuurlijk is dit slechts een deel van het beveiligingsproblematiek, maar wel het meest eenvoudig op te lossen deel.