Ict-afdelingen krijgen steeds vaker te maken met cybercrime gepleegd door de eigen medewerkers van het bedrijf. Dat concludeert accountkantoor Ernst & Young in de ICT Barometer. Uit het onderzoek onder ongeveer zeshonderd managers en directeuren blijkt dat 12 procent last heeft gehad van fraude met gegevens. Bij 10 procent van de ondervraagden is data gestolen.
‘In deze tijden wordt de intern gepleegde cybercrime juist versterkt door personele wijzigingen', zegt onderzoeker Monique Otten. ‘Dat komt door personele wijzigingen en doordat medewerkers onzeker zijn over hun toekomst.' Toch ervaren de respondenten cybercriminaliteit als een externe bedreiging. Bijna driekwart van de ondervraagden zegt dat de bedreigingen vooral van buitenaf komen, zoals spam of virussen.
Digitale criminaliteit is sterk toegenomen in 2009, concludeert het accountskantoor. 42 procent van de respondenten had het afgelopen jaar meer last dan een jaar eerder. Het merendeel van de ondervraagden, 50 procent, ziet geen verschil. 8 procent zag juist een daling.
Bedrijven hebben de meeste last van spamberichten. 52 procent van de respondenten zegt hier wel eens mee te maken te hebben gehad. Ook virussen en malware is een veel voorkomende bedreiging.
Aangifte
Organisaties die slachtoffer worden van cybercriminaliteit, doen in de meeste gevallen een onderzoek in eigen beheer. Een derde van de organisaties met meer dan vijfhonderd medewerkers doet aangifte bij de politie. Gemiddeld doet 18 procent aangifte bij de politie. 12 procent schakelt een onafhankelijk bureau in. Een kwart van de bedrijven onderneemt geen actie.
Wat betreft de de beveiliging, vrezen de respondenten het meest externe opslagmedia, zoals usb-sticks of beschrijfbare cd's en dvd's. Draadloze netwerken is daarna de technologie waarover de ondervraagden zich de meeste zorgen maken. Over de beveiliging van cloud computing is slechts 5 procent bezorgd.
Ah, en hoe ging dat ‘vroeger’, voordat er kompjoeters waren? Waren de percentages misschien veel hoger …??
En als ik wel eens te maken heb gehad met spam, heeft dan gelijk het hele bedrijf er last van gehad ..?
Volgens mij kwam er niks uit het onderzoek en is de inhoud daarom maar verbogen tot enigszins nieuwswaardige suggesties? Klinkt als een onderzoek van een accountanstkantoor…
Ik ken een gemeente die expres eigen personeel verdacht ging maken van sabotage om te verbloemen wat er werkelijk gebeurt was. Dus dit verhaal kan twee kanten hebben naar gelang het een bedrijf uitkomt.
Het risico is nog groter dan men denkt. Naar mijn gevoel heerst er bij veel bedrijven nog steeds een overheersende struisvogelpolitiek om maar geen verandering in(informatiebeveiligings)beleid en informatie en ICT beveiliging uit te voeren en fondsen beschikbaar te maken. Wij hebben toch een firewall en ant virus software? Is wat je vaak hoort. Maar het risico van informatielekkage (propriatory) groeit en groeit. Leg het gebruik van USB-devices aan banden, ga over op Roll based access control en NAC. En voer minimaal twee keer per jaar een kwetsbaarheid en netwerk analyse uit op servers, SAN’s, toegangscontrole systemen etc. Om maar een paar maatregelen te noemen.
De AIVD heeft een brochure voor het bedrijfsleven uitgegeven over digitale spionage…. ik vraag me af hoeveel managers en vooral directieleden dit hebben gelezen
https://www.aivd.nl/actueel/@125345/drie-publicaties
Ik kan me dit alleen maar goed voorstellen als de beveiliging ‘binnen de muren’ niet zo nauw worden afgesteld, dus laten we bijvoorbeeld zeggen:
File-Data van Personeels Registers op File Servers – niet ingesloten in een DMZ, dus bereikbaar binnen het lokale netwerk.
En dat is vreemd, want ik kan ook mijn eigen personeels register niet inkijken, zonder medeweten van PZ/HR, en zo hoort dat ook. Het zal wat wezen, dat ik het arbeids contract kan inlezen van mijn buurman… Dan kun je gewoon wachten op ruzies.
Reden te meer om eens flink te gaan INVESTEREN als bedrijf in het kennisnivo van je eigen PERSONEEL.
De ict-techniek anno 2010 maakt het al jaren mogelijk om alles potdicht te spijkeren, (vaak met heel eenvoudige basic technieken zoals toekennen van gebruikers-account-rechten aan bestanden, directories, ict-apparaten, ict-infrastructuur, internet-toegang).
Echter…dan moet je als (klagend) bedrijf wel:
– willen
– tijd en ruimte voor maken
– je mensen er goed voor trainen
Helaas willen de meeste bedrijven hun eigen verantwoordelijk op dit gebied niet nemen, (en bestende het uit aan externen) of willen er geen GELD voor uitgeven (want daar draait het dan meestal om)
De kennis is reeds aanwezig, nu de wil nog:
Luister eens wat vaker intern naar je eigen sys-admin
Dan kun je dit soort ellende voorkomen, want die mensen werken dagelijks in je eigen bedrijf, worden ervoor betaald om dit te bestrijden 😉
Potdicht spijkeren? 100% beveiliging is onmogelijk zelfs met de beste oplossingen. Ik ben het met de vorige schrijver eens, Willen op alle lagen van de organisatie. In de praktijk komt dan tijd, resources, kennis, budget en prioriteiten in de picture. En bij een groot if not grootste deel van de bedrijven (zelfs de GROTE enterprises) is dat er niet. Zeker in deze tijd wanneer budgetten geknepen worden, er geen externe resources kunnen of mondjesmaat worden ingezet.
Het probleem met technologie is, veel vendors pretenderen alles potdicht te kunnen zetten, in de praktijk blijven er altijd achilles hielen bestaan en is het in veel gevallen in de bedrijfsvoering gewoonweg niet mogelijk om het op die manier te doen zonder een negatieve invloed te hebben op usability, transparancy en beheer(s)baarheid.
Security Awareness en beleid (niet alleen een programma opstarten en vervolgens er niets meer aan doen), policy enforcement, spot checks, et etc als onderdeel van een beleid. Dit ondersteund door technologie, een goed ondersteund incident response team/proces, kwetsbaarheid analyse en management, patchmanagement en vinger aan de pols houden van de markt om er een maar paar te noemen. Informatiebeveiliging is een proces, niet iets wat uit technologie is opgebouwd. The weakest link, helaas blijft de mens. aan zowel de gebruikers kant als aan de beheers kant.
Ik durf te beweren als men bij een gemiddeld bedrijf een audit in combinatie met een kwetsbaarheid analyse/social engineering proces uitvoert….dat men erg zal schrikken over de uitkomsten. Gevaar van binnenuit is nog steeds vele malen groter als die van buiten.
Meer dan 50% van alles organisaties krijgt te maken met fraude door eigen personeel. Per jaar wordt er voor meer dan 3 miljard euro fraude gepleegd voor een groot deel door eigen personeel. Vandaar dat steeds meer bedrijiven kiezen om nieuw personeel vooraf een integriteit interview voor te leggen. Hieruit blijkt hoe groot of het risico is dat deze nieuwe medewerker overgaat tot het plegen van fraude. Zeker ICT-ers kunnen enorm veel schade aanrichten. Mijn advies, juist de ict-ers extra testen voordat hij of zij toegang krijgt tot de vertrouwelijke gegevens van de organisatie.
Bert, vooral ICTers kunnen een grote assett of groot gevaar zijn voor een onderneming.
Wij voeren samen met een partner assessments en credential checks uit. Maar dat is in de praktijk vooral gericht op key positions in een organisatie, ICTers vallen er kennelijk niet onder terwijl zij juist de kennis en vaardigheden hebben om informatie te vergaren door misbruik te maken van de infrastructuur en informatiebronnen.
Tom Hall
Think Secure
Hmm, als ik het rapport van E&Y lees trek ik toch andere conclusies, en dat komt niet omdat ik toevallig op de loonlijst sta van de concurrent KPMG:
Een marginaal deel van de ondervraagden acht de kans op cybercrime door internen groot (pagina 22).
Ook is het aandeel van externe aanvallen significant groter dan van intern misbruik (vergelijk pagina’s 18, 19 en 20).
Heel opvallend in dit onderzoek is de grafische weergave van gegevens (vergelijk eens pagina’s 19 en 20), waardoor E&Y de indruk wekt dat zij de lezer wil laten geloven dat interne dreiging véél groter is dan externe dreiging. Ik zou bijna het woord misleidend in de mond willen nemen.
Mike,
Mijn ervaring in de praktijk en de onderzoeken die vooral in de VS en UK worden gepubliceerd geven toch het beeld dat het insider threat veel groter is dan gemiddeld wordt aangenomen. En dat is niet alleen van de laatste paar jaar.
Er zijn genoeg real life casus die dat ondersteunen
Het hoeft niet altijd gericht te zijn vanuit het eigen personeel, externen die intern projecten uitvoeren kunnen ook als internen worden gezien.
Veel heeft ook te maken met het niet weten wat risicovolle activeiten zijn zoals bijvoorbeeld het bekijken van videobeelden via websites die geinfecteerd zijn met malware die rootkits installeren en het spelen van online spelletjes vallen daaronder.
Maar sommige zaken als het leegtrekken van de database met sales gegevens voordat men naar een concurrent gaat of bijvoorbeeld het omzeilen van firewall en contentfiltering oplossingen op het corporate netwerk door gebruik te maken van een UMTS connectie naar de eigen mobiele provider zijn maar een paar voorbeelden waar eigen personeel een groot risico vormen, willens en wetens.
Markt onderzoeken zijn ok, maar in de praktijk weten we maar al te goed dat IT maangers, CSO’s ondanks dat de gesprekken anoniem worden verwerkt, niet altijd de real life situatie gebruiken om antwoord te geven.