Werkgevers maken het de ict'er wel erg makkelijk. Informatie is slecht beveiligd en wachtwoorden worden weinig veranderd. Daarvan maakt de nieuwsgierige automatiseerder graag gebruik.
Eenderde van de ict'ers kan zijn nieuwsgierigheid niet bedwingen. Zij gaan in het netwerk van de baas op zoek naar vertrouwelijke gegevens. Dat blijkt uit onderzoek van Cyber-Ark Software.
Het bedrijf ondervroeg driehonderd senior ict'ers van grote bedrijven. Eenderde van de respondenten liet weten zich op de hoogte te stellen van vertrouwelijke informatie door zonder toestemming wachtwoorden van andere medewerkers te gebruiken.
Volgens de onderzoekers maken werknemers het de rondneuzende ict'er wel erg gemakkelijk. Niet alleen zouden de wachtwoorden van standaard gebruikersaccounts weinig veranderd worden, wachtwoorden die toegang geven tot vertrouwelijke bedrijfsinformatie zou nog vaker ongewijzigd blijven. Volgens de onderzoekers wordt dertig procent van die inlogcodes elk kwartaal veranderd en wordt negen procent zelfs nooit aangepast. Niet alleen ict-medewerkers zouden zich zo gemakkelijk toegang kunnen geven tot informatie die niet voor hen bedoeld is, ook werknemers die het bedrijf allang verlaten hebben, kunnen nog inloggen.
Daar komt bij dat zeventig procent van de bedrijven gebruik zou maken van verouderde en onveilige methodes om vertrouwelijke gegevens uit te wisselen. Mark Fullbrook van Cyber-Ark denkt dat werkgevers niet raar moeten opkijken als gevoelige informatie in verkeerde handen terechtkomt. "Werkgevers moeten zich realiseren dat het rondneuzen, saboteren en hacken voortduurt wanneer ze hun beveiliging niet verbeteren."
Tegen domheid helpt ook de software van cyber-ark niet.
Enkele voorbeelden:
– mail voor het versturen van vertrouwelijke informatie (zoals ook al aangegeven door Jaap). Vooral bij grote bedrijven komen sommige namen nogal vaak voor. Hierdoor kan informatie makkelijk bij de verkeerde persoon belanden
– vertrouwelijke documenten op een gedeelde netwerkomgeving zetten. Een kennis (accountant van beroep) zocht een dossier van een werknemer i.v.m. een bepaalde vertrekregeling (ivm de financi?le afhandeling hiervan) en kwam vervolgens ook een document tegen waarin hem dezelfde regeling aangeboden ging worden. Lullig om er zo achter te komen dat je contract niet verlengd wordt.
– Afdelingsprinters die niet met wachtwoorden/codes werken. Hoe vaak ligt er in een afdelingsprinter documenten van management, die eigenlijk niet voor jou ogen bestemd waren.
Zolang beveiliging niet tussen de oren van mensen zit, blijf je hier tegenaan lopen
Mensen gaan niet altijd goed met inlogcodes en wachtwoorden om, maar als ICT medewerker heb je een vetrouwensband met je gebruikers die je niet mag
beschadigen. Dit lijkt meer een commercieel verkooppraatje. Hiernaast roep ik mensen op zorgvuldig met hun inlogcode en wachtwoord om te gaan.
Hoe je ’t ook wendt of keert… Cyber-Ark werkt ook niet. Zolang als het gedrag van mensen niet verandert, zal er altijd een security leak zijn.
It’s a contest between Programmers and the Universe. Programmers are trying to create idiot-proof programming, the Universe is creating better idiots. So far, the Universe is winning.
Als de Informatie Systemen als Energie Systemen ontworpen worden, dan kan dit probleem goed opgelost worden. In een Energie Systeem heb je bijvoorbeeld de funkties Energie Productie, Energie Conversie, Energie Distributie, Energie Opslag en Energie Consumptie. Als een Informatie Systeem op deze manier gemodelleerd wordt, dan spelen de problemen welke geschetst worden in het bovenstaande artikel in de funkties distributie en opslag. Als de informatie in deze funkties data is voor een ICT’er, dan kan de informatie niet stiekem bekeken worden. De inleiding voor een methode om ICT Systemen op deze manier te ontwerpen is te vinden op de link http://docs.google.com/View?docid=dds86766_0drrp6t Een presentatie en uitleg van een operationeel research systeem dat op deze manier ontworpen is, is te vinden op de link http://picasaweb.google.com/freemovequantumexchange
Informatie is binnen de meeste bedrijven slecht afgeschermd tegen ongewenst toegang en verandering. Maar veelal spelen er meerdere argumenten:
Is dit gegeven vervend?
o Er zijn genoeg situaties dat de kosten niet opwegen tegenover de baten.
o Afgezet tegen het risico profiel van de totale onderneming kan het onderwerp totaal niet relevant zijn. Dus geen aandacht aanschenken tot bij een volgend PDCA risicomanagement cyclus.
Wat is vertrouwelijk?
o Laat jij je vertrouwelijke spullen rondslingeren? Bij een openbaar netwerk bestaat immers toch geen vertrouwelijkheid. Het wordt vervelender als ieder in de veronderstelling is het netwerk en de bijbehorende informatie veilig is.
o De stelling kan wel zijn dat zonder maatregelen informatie binnen een organisatie altijd toegankelijk is. Door systeembeheerders, medewerkers, leidinggevende, hackers, andere kwaadwillende en opsporingsdiensten (al dan niet met een bevel).
Wat zegt de wetgever over afscherming van informatie? (Privacy, Handel in voorkennis, VIR-BI, etc).
o Indien een wetgeving eisen stelt aan de informatiehuishouding moet er iets gedaan worden. Dan wordt een risicoanalyse, kosten /baten en de eisen vanuit de regulering actief. Denk maar aan handel in voorkennis. Dit mag niet van de wetgever. In dat geval moet je dus als ?beurs genoteerd? bedrijf je financi?le huishouding (vooral de pre jaarrekening publicatie periode) afschermen van ongewenste toegang. De consequenties van niet naleven kunnen groot zijn. (denk ook maar aan SOX wetgeving)
Is dit gewenst gedrag binnen een organisatie / individu?(bedrijfsnormen en waarden).
o Ik ken bedrijven die heel slecht omgaan met privacy van werknemers. Geen vertrouwen, heimelijke toezicht op internet verkeer, emails, telefoongesprekken, etc. Vaak onder de noemer van performance en prestatie metingen. Deze bedrijven gaan vaak over of zoeken de grens van wet en regelgeving. Andere bedrijven hebben door een sterke en actievere OR betere afspraken gemaakt.
o Een ander gegeven is communicatie. Indien een organisatie niet communiceert over (on)gewenst gedrag (en consequenties) kan een individu dit ook moeilijk naleven.
Is het ethisch wel verantwoord?
o Deze vraag dient ieder voor zich te beantwoorden. Maatschappelijk trend is dat deze vraag steeds minder speelt en dat zowel de wetgever, bedrijven en individuen het blijkbaar steeds minder belangrijk vinden.
For security reasons, passwords in the database need to be encrypted.
@Rene Visser
Uit de reactie van Rene Visser valt reeds af te leiden dat informatie welke NIET bedoeld is voor onbevoegde derden, zoals systeembeheerders welke in dit artikel genoemde worden End-to-End beveiligd dient te worden, bijvoorbeeld door PGP of PKI te gebruiken. Dat vele gebruikers van ICT Systemen in de veronderstelling zijn dat de communicatie niet door onbevoegde derden wordt gelezen blijkt in de praktijk vrijwel altijd onjuist te zijn.
In God we Trust toch??? Privacy?? Wat is dat?
Anders kun je net zo goed robots op de ict afdeling neerzetten.
Cyber-Ark… Is dit een variant van die van Noach?
Lijkt wel op een bewust angstzaai verhaal gelijk onze overheid gebruik tom terror**** te bestrijden en de burgers dwingt om hun vrijheid op te geven.
– Create Fear