De meeste werknemers beseffen niet hoeveel gevoelige informatie zij onbewust prijsgeven via LinkedIn, FaceBook en Twitter. Dat zegt Herbert Thompson van People Security, een New Yorks bedrijf dat trainingen geeft om werknemers meer bewustzijn bij te brengen op het gebied van beveiliging. Het overmatig delen van informatie via sociale netwerken vormt volgens hem de voedingsbodem voor een nieuw type aanvallen op bedrijven.
'De engste methode is het verzamelen van kleine beetjes informatie over een groep mensen die tot één groep, bijvoorbeeld een bedrijf behoort.' Oplettende toeschouwers kunnen volgens Thompson veel leren van het bestuderen van bijvoorbeeld LinkedIn-profielen.
‘Als tien mensen uit het management van één bepaald bedrijf opeens via LinkedIn allerlei anderen aanbevelen of zelf aanbevelingen krijgen, dan zegt dat iets over de stabiliteit van dat bedrijf', zo vertelt hij op een beveiligingsconferentie van RSA in Londen. 'En als tien mensen van bedrijf X plotseling met tien mensen van bedrijf Y zijn verbonden, allemaal tijdens de laatste maand, dan kan dat wijzen op een naderende fusie of overname.'
De aanwezigheid van tools, die speciaal gebouwd zijn om relatienetwerken grafisch weer te geven, vergemakkelijken dit soort analysewerk volgens Thompson nog eens.
Werknemers ontberen paranoia
Daarnaast ontberen Thompson veel werknemers een gezonde dosis paranoia, als het gaat om het gebruik van sociale netwerken. ‘Werknemers weten dat ze informatie over bijvoorbeeld het aannamebeleid en de gezondheid van hun bedrijf niet naar buiten mogen brengen, maar plaatsen wel teksten als ‘we verliezen klanten, daarom moet ons bedrijf mensen ontslaan' op FaceBook of Twitter.'
Volgens Thompson is er over individuen online allerlei informatie te vinden, die ogenschijnlijk onschuldig is, maar door kwaadwillenden kan worden gecombineerd om illegaal toegang te krijgen tot bijvoorbeeld online mailaccounts. Vooral wachtwoord-resetschema's – persoonlijke vragen die gebruikers van online diensten moeten beantwoorden om een nieuw wachtwoord toegestuurd te krijgen – zijn hem een doorn in het oog. ‘Dat was van oorsprong een goed idee. Want bijna niemand kon de naam van je eerste huisdier of favoriete restaurant kennen. Alleen is die informatie nu vaak op FaceBook te vinden. En als je zelf wel een goede datahygiëne hebt, dan hebben je familie en kennissen dat misschien wel niet.'
Het is wel weer een beetje bangmakerij.
Uiteraard is er een grote groep mensen die alles te pas en te onpas deelt op Facebook (hyves) en twitter en geen seconde nadenkt over wat de rest van de wereld daarvan vindt. Maar dat is al jaren een probleem en af en toe wordt er weer iemand genadeloos aan de schandpaal genageld.
LinkedIn is veel statischer en is voor veel minder mensen een dagelijkse bezigheid. En de mensen die wel dagelijks op LinkedIn komen hebben dusdanig veel contacten dat daar ook niks zinnigs meer over gezegd kan worden.
Als je al inside information hebt en je wil daar bewijzen voor, dan kun je misschien een paar aanwijzingen vinden op LinkedIn. Maar het is niet zo dat bijvoorbeeld de potenti?le DSB overname kandidaat zondagavond op LinkedIn al te vinden was.
Of we het leuk vinden of niet maar op het gebied van Security Awareness loopt men in de VS op ons voor en heeft men daar het gevaar van de zwakste schakel wat beter al onderkent dan wij in West Europa.
Zonder getrainde en alerte werknemers die goed ontwikkelde procedures en protocollen naleven is het geen kwestie van of, maar van wanneer een cybercrimineel waardevolle bedrijfsinformatie van een bedrijf in handen kan krijgen. Het is geen overdreven luxe om tenminste veertig procent van het veiligheidsbudget in te zetten voor het bevorderen van waakzaamheid en bewustwording van werknemers.
Je kunt natuurlijk ook inderdaad de boel opblazen. Linkedin is zakelijk en ja je kunt er filosofien op nahouden maar ookal constateer je bepaalde activiteiten, zeker weten doe je het pas als het ook echt extern bekend wordt gemaakt.
Zo gevaarlijk is het niet, het mooiste is zelfs dat je veeeeel meer business maakt door wel goed actief met linkedin te werken. En als je een beetje hersens hebt zet je dit ook goed in.
Je ziet gewoonweg hoe Naief de mensen in het algemeen zijn.
Ik wil het zelfs zover gaan om deze mensen als ?dom? te bestempelen.
Je plakt toch thuis op de raam ook niet een groot aanplakbiljet met waar je bent en hoe laat je terug bent?
It is not about LinkedIn. That is just an example. The security risk is simply that people can and do use information in ways many people had not considered.
For most people is may not be a problem – because most people are not a “juicy target”.
What is it about? That users of social networks, by any name, need to be aware that information can be used against them.
Social networks provide someone who wants to steal your identity – and remember it is still your responsibility and challange to prove beyond any doubt that “it wasn’t me” – with much, if not all he needs to be come you in a digi-world.
Inderdaad, CasperD, het is bangmakerij, maar op een andere manier.
Wat opvalt is de formulering. Er “kan” misbruik worden gemaakt. Maar de analyses zijn tamelijk amateuristisch. Immers, bij een risico-analyse hoort ook de inschatting van de grootte van het risico.
Het is een analyse van het type “er KAN een straaljager op mijn huis vallen, dus MOET ik er een bunker van maken” (wat trouwens niet zou helpen). Misschien zinvol als je een huis midden op de landingsbaan hebt, maar als het een gebeurtenis is die eens in de 1000 jaar voorkomt, niet zo erg.
Het is dus het wachten op een professor die echt iets zinnigs te melden heeft…..
Ik denk dat de meeste Nederlanders sowieso op een andere manier netwerken dan de Amerikanen. Dus de vraag is of dezelfde fenomenen zich hier voordoen.
Bovendien zijn al dat soort analyses en andere netwerktrucjes alleen voor de betaalde accounts beschikbaar, en het zou me verbazen als in Nederland de grote meerderheid van de LinkedIn-ers niet enkel de gratis versie heeft….
Ons bint zuunig!
Ik zie een veel groter risico in het stelen van persoonlijke informatie, dus zijn ID op internet: http://hendrik-jandewit.blogspot.com/2009/10/linkedin-en-het-gevaar.html
Ik kan mij helemaal vinden in dit artikel en begrijp niet waarom men dit gevaar niet wil zien. Indien men dit risico wil lopen, prima, als men zich er maar wel van bewust is.
Verder heb ik van welke professor dan ook nog nooit iets zinnigs vernomen over dit onderwerp. Dus ook dat gaat geen zoden aan de dijk zetten.
Waarom denk je uberhaupt dat dit soort 🙂 GRATIS 😉 online-communities zijn uitgevonden? Juist om Big Brother achtige partijen (zoals Geheime Diensten, Politie, Overheid) annoniem inzage te geven in “wat er leeft onder de mensen.” in een bevolkigsgroep of regio.
Ze bieden je een gratis (nix is gratis!) platform aan, nederlands stort zijn hart uit, en zij oogsten gratis online, zonder je medeweten informatie over je.
Voorbeeld:
De belastingdienst of sociale recherce schuimt actief online communities af (al dan niet geautomatiseerd door zoekbot of AI-sniffers) zoals Hyves.nl af om te kijken of ze nog feiten kunnen ontdekken die ze nog niet van je weten via menselijk of formulier kontakt
Dus – alles wat je online zet, zal opgeslagen worden door derden en eens tegen je gebruikt kunnen worden.
Wil je security, stay offline! en sluit de voordeur goed achter je dicht als je je huis verlaat.
Meer weten over deze online-spionage-technologien?
Kijk de film EAGLE EYE… http://www.eagleeyemovie.com/
and wake up fromt the rance you have been living in!