Tegenwoordig lijkt de hele zakelijke wereld met elkaar verbonden te zijn door social networking-websites. Op zich een goede ontwikkeling, want het maakt het zaken doen of het vinden van een nieuwe uitdaging een stuk makkelijker. Toch brengen dit soort gelegenheden ook problemen met zich mee. Onze security-experts menen dat het gevaar niet zozeer in de techniek zit, maar dat vooral de menselijke kant voor problemen zorgt.
LinkedIn, Plaxo en Xing zijn slechts enkele voorbeelden van sociale netwerken die zakelijk worden ingezet. De voordelen ervan zijn legio, maar de gevaren ervan worden nog wel eens over het hoofd gezien. Expert Anthony van Geest, manager Security Solutions bij Intermedio Security Technology, herkent dit wel. "Steeds meer mensen ontdekken de kracht van sociale netwerken, zeker in deze tijd waarin veel mensen weer op zoek gaan/moeten naar een nieuwe baan. Helaas loop je er ook wel eens iets anders op dan een contact. Het is niet de eerste keer dat sociale interactie via het internet schadelijke gevolgen kan hebben. Al langer zijn we bekend met besmetting via instant messaging en bijvoorbeeld dating sites. Het fenomeen lijkt zich nu echter uit te breiden naar de algemene sociale websites en daarmee wordt de bedreiging ineens een stuk groter. Overigens is het een zeer natuurlijke trend. Als men in het echte leven veel contact heeft met mensen, loopt men ook een grotere kans om uiteindelijk ziek te worden. Om dit te voorkomen is het raadzaam om voorzorgsmaatregelen te nemen. Dat dit ook geldt voor digitale contacten is wellicht niet voor iedereen logisch, maar wel duidelijk."
Peter Westerveld, managing partner en security consultant, Sincerus
"Ik zie het gevaar van de sociale netwerksites niet eens zozeer op technisch gebied, maar veel meer in de menselijke factor. De informatie die ontsloten wordt is zichtbaar voor zo goed als iedereen en kan dus ook misbruikt worden voor social engineering. Bij een social engineering-opdracht wordt ook de informatie die op sites als Plaxo en LinkedIn wordt geplaatst, gebruikt. De meest interessante ervaringen over normaal gesproken geclassificeerde projecten voor bijvoorbeeld defensie, AIVD, departementen en banken worden hier ontsloten. Weliswaar worden er meestal geen inhoudelijke feiten genoteerd, maar de persoon die deze kennis heeft, maakt zich via het sociale netwerk wel kenbaar en kwetsbaar, want iedereen is chantabel. De mens is en blijft de zwakste schakel in informatiebeveiliging."
Marnix van Meer, directeur, Sophos Benelux
"Social networks zijn een vreemd verschijnsel. We sluiten onze huizen en brievenbussen, we groeten onze buren zelden meer, we wantrouwen een onbekende die op straat ‘hallo' zegt, we lopen niet te koop met onze privacygegevens, telefonisch verstrekken we elk callcenter al onze vertrouwelijke gegevens en bijna niemand maakt zich zorgen over EPD's. Bij social networks gaan onbewust alle beperkingen overboord, naar aanleiding van gegevens, achtergrond, geboortedata, etcetera. Alles is online beschikbaar, in de honger naar hits en virtuele vrienden. Dit is de ideale bron voor cybercime-activiteiten, dus ook voor virussen. Het grootste risico is echter de gebruiker van social networks zelf. De buurman van vlees en bloed is een vreemdeling, maar online krijgt iedere wwwereldburger blindelings allerlei vertrouwelijke gegevens te zien."
Michiel Broekhuijsen, security consultant, Andarr
"Het grootste risico van sociale netwerken is in mijn ogen niet virusverspreiding, maar dat ze steeds vaker als extra bron worden gebruikt om persoonlijke informatie te vergaren. Dit kan zowel door verzekeraars, werkgevers of de overheid gebeuren, maar ook door criminelen ten behoeve van identiteitsdiefstal. Informatie op sociale netwerken wordt steeds vaker als waarheid beschouwd, ten gevolge van een maatschappelijke ontwikkeling waarbij het internet steeds belangrijker wordt bij het vergaren van nieuws en opinievorming. Als gebruiker van zo'n sociale netwerk dien je er bewust van te zijn wat je wel en niet van jezelf (en anderen) blootgeeft. Ook dien je er van bewust te zijn dat sociale netwerksites gehackt kunnen worden, waarbij ongemerkt persoonlijke informatie veranderd kan worden. Ook met de archivering van websites door Google en de bewaarplicht die internetproviders hebben, dien je rekening te houden dat oude informatie nog steeds terug te vinden is. Het beste advies is eigenlijk om weg te blijven bij sociale websites."
Bernhard van der Feen, product solution manager security, Microsoft
"Technisch kunnen we veel beschermen, maar dat gaat ten koste van de functionaliteit en vriendelijkheid. Veel mensen hebben niet zo'n moeite met de veiligheid en wensen gebruiksgemak en functionaliteit. Daar speelt natuurlijk elke social networking-website op in en die krijgt op dat moment weer de meeste aandacht en bezoekers. Dus tenzij je van bovenaf limieten gaat opleggen en regels gaat stellen, zal de veiligheid altijd achter alles aan hollen. Het fenomeen social networking-websites zelf is van een heel andere aard. Dat er veel informatie bewust gedeeld wordt is duidelijk. Dat er veel instanties en personen potentieel gebruik van kunnen en zullen maken is ook duidelijk. Maar stel je voor dat dit fenomeen uitgroeit zodat 80 procent van de mensen op social networking-websites zit, maar ik niet. Ben ik dan als niet-publicerende persoon niet een beetje verdacht? Een sollicitant die niet te vinden is op het internet, wil een nieuwe werkgever die wel? Misschien is het wel een bijzonder ontspannen gedachte dat je eindelijk gewoon mag laten zien wie je bent, omdat iedereen het doet. Een interessante keerzijde nietwaar?"
Marco Barkmeijer, salesmanager, SecureLink
"Wat iemand thuis op zijn computer doet, moet je niet willen controleren. Iedereen is zelf verantwoordelijk voor het eigen internetgebruik en de mate van beveiliging. Als bedrijf wil je je security goed geregeld hebben en voorkomen dat virussen en malware via sociale netwerken je bedrijf binnenkomen. Tot voor kort betekende dit dat je als bedrijf moest besluiten überhaupt geen YouTube, Facebook of andere applicaties toe te staan. Niet handig, want in de praktijk hebben veel medewerkers deze applicaties nodig. De HR-afdeling voor het checken van sollicitanten, marketingmedewerkers voor hun marketingplannen, etcetera. Een echte next generation firewall kan filteren op applicatie (los van poortnummers), content en gebruiker. De beheerder kan zelf beslissen welke zaken binnen een applicatie hij wel of niet wil toelaten. Het is dan bijvoorbeeld wel toegestaan om YouTube te bekijken, maar niet om video's te plaatsen. Bovendien wordt de content real time gescand op malware, verdachte links en verdachte afzenders. Een betere bedrijfsbeveiliging bij gebruik van sociale netwerken kan iedereen dus regelen."
Gerrit Post, senior consultant, Continuity Planning Associates
"Jaren geleden moest ik, als systeembeheerder van een gezin, verschrikkelijk veel moeite doen om mijn gebruikers (tieners) wat dit betreft in het gareel te houden. Tot aan vrij draconische maatregelen toe. Zaken deïnstalleren, poorten dichtzetten. Klinkt het bekend? Tegenwoordig heet het Hyves, maar er zijn er (veel) meer. Wat dat betreft zou ik de parallel willen trekken met het bedrijfsleven of de overheid. Ook de gebruikers in die organisaties ‘willen niet deugen'. De bekende regel is dat 80 procent van de bedreigingen van binnenuit komt, maar dat het niemand, in bedrijfsleven, overheid en in mijn gezin, ene snars kan schelen. Men heeft een behoefte aan informatie, sociaal contact, etcetera en die gaat bevredigd worden. We maken kinderen al op vrij jonge leeftijd vertrouwd met ict, maar de scholing houdt op bij de techniek. Waar ze niet mee om leren gaan is het enorme informatieaanbod en dus ook niet met de risico's die er verbonden zijn aan de grote boze elektronische buitenwereld."
Andre Noordam, presales engineer, Trend Micro
"Dit is een fenomeen dat we al langer zien. Met name MySpace staat hier om bekend door het toestaan van Java-scripts. Er zijn voorbeelden van het verspreiden van malware via social network-sites die terug gaan naar begin 2007. De malware zelf wordt in negen van de tien gevallen zelf niet op de site geplaatst. Het enige wat benodigd is, is een link naar een website waar de malware wordt gehost en een nieuwsgierige gebruiker die op de link klikt. Een misschien veel groter securityprobleem met social network-sites is dat deze steeds vaker worden gebruikt voor gepersonaliseerde spam en whaling. Hierbij wordt informatie die vrij beschikbaar is over personen op social network-sites gebruikt om een gericht spam- of phishing-bericht te versturen naar vooral managers van bedrijven met als doel hun pc te infecteren."
Experts gezocht
Computable is bezig om al zijn 25 topics te voorzien van een expertpanel. Voor de komende tijd zijn wij op zoek naar experts op de volgende vakgebieden:
Loopbaan: loopbaan@computable.nl
Netwerken: netwerken@computable.nl
ERP: erp@computable.nl
Infrastructuur: infrastructuur@computable.nl
Internet: internet@computable.nl
eHRM: ehrm@computable.nl
Ben jij expert op een van bovengenoemde zes vakgebieden, stuur dan een e-mail met je gegevens (naam, functie, bedrijf, werkzaamheden) naar het bijbehorende e-mailadres.
Wat stoort is dat personen verwijzen naar hun LinkedIn-pagina die je dan niet kunt zien omdat je je eerst moet registreren. Hoezo sociaal?
Ieder weldenkend mens meidt dit soort ‘social networks’ omdat aan de minimumeisen voor privacy niet wordt voldaan en de meeste inhoud niet bepaald interessant is.
Ik lees zeer intelligente en voor de handliggende opmerkingen van zgn. “tacit knowledge”, maar ware het niet beter iedere prive gebruiker een gelimiteerde
toegang tot het email en internetverkeer te geven met een objectnummer en code, zodat ten minste de communicatie herleidbaar en traceerbaar wordt binnen
een eigen zelfregulerend systeem i.p.v. van onbekende proxy-servers en een hoop gewouwel.
En wat verder te denken van de interoperability en
de diverse platforms.
Elke informatie-manager likt zijn vingers af bij de toename van het data-verkeer, de storage en roll-out
van een nieuw systeem. Werk aan de winkel heren en
elke maand nog een bonus op het loonstrookje!
Dankzij het sociaal netwerk weten we eigenlijk precies wat nu juist niet moeten doen.