ICT Zine

We lezen regelmatig in de media hoe bedrijven en organisaties het slachtoffer worden van cybercriminelen. Er wordt dan al snel gedacht dat de technische beveiligingsmaatregelen hebben gefaald of dat er een doelgerichte aanval heeft plaatsgevonden. Onderzoek daaromtrent laat echter een heel ander beeld zien: het zijn de werknemers die het grootste beveiligingsrisico vormen voor een bedrijf. En dan gaat het meestal niet om moedwillige acties, maar om onbedoelde menselijke fouten.

De Global Corporate IT Security Risks 2013-enquête dat het afgelopen voorjaar in samenwerking met B2B International is opgezet, maakt duidelijk dat in veel gevallen werknemers op de een of andere manier de oorzaak waren van een beveiligingsincident. Hoewel kwetsbaarheden in toepassingen een belangrijke oorzaak van beveiligingsincidenten (bij 39 procent van alle bedrijven) zijn, blijkt er in vier van de vijf soorten interne beveiligingsincidenten een duidelijk verband te bestaan met acties van medewerkers.
Dan valt te denken aan het doelbewust of onbedoeld lekken van vertrouwelijke bedrijfsgegevens, of schendingen van het auteursrecht. Erg pijnlijk, kostbaar en rampzalig voor het bedrijfsimago. En het had voorkomen kunnen worden…

Martijn van Lom

Een bekend voorbeeld is het versturen van zakelijke e-mailberichten (vaak met bijgesloten documenten) naar persoonlijke e-mailaccounts van medewerkers. Bijvoorbeeld om er thuis mee te kunnen werken. Die medewerkers zijn zich er vaak niet van bewust dat dit in veel gevallen inbreuk maakt op het bedrijfs- en beveiligingsbeleid, en dat dit een beveiligingsrisico in zich draagt. Datzelfde geldt voor het downloaden van illegale content of ‘handige’ gekraakte software naar hun werkcomputer. Al dit soort activiteiten kan het imago van de werkgever aanzienlijk schaden en zelfs flinke kostenposten opleveren. Zo had een werknemer zijn privé-laptop meegenomen naar het werk en maakte daarmee vervolgens verbinding met het lokale bedrijfsnetwerk. Die werknemer had op de laptop echter een Bit-Torrent-client geïnstalleerd waarmee hij software voor eigen gebruik had gedownload. En daaronder bevonden zich ook gekraakte programma’s. Het gevolg was dat na drie maanden de politie aanklopte bij zijn werkgever met een huiszoekingsbevel, omdat het bedrijf werd verdacht van het schenden van copyright door het gebruik van illegale software. Uiteindelijk moest dit bedrijf een boete betalen.
Bij een ander incident kwamen vertrouwelijke bedrijfsgegevens op straat te liggen, nadat een medewerker kopieën van bestanden naar zijn persoonlijke e-mailaccount had verstuurd. Dit incident werd onderzocht door beveiligingsexperts, die spyware op de pc van de werknemer aantroffen. Deze spyware legde al zijn toetsaanslagen vast, waardoor cybercriminelen erin slaagden om de aanmeldingsgegevens voor zijn e-mailaccount te bemachtigen. Op deze wijze kregen ze ook toegang tot de vertrouwelijke bedrijfsdocumenten en hadden ze vrij spel.

Gelukkig zijn er stappen die bedrijven kunnen nemen om deze risico’s zo veel mogelijk te beperken. Het belangrijkste is om werknemers bewust te maken van van ICT-risico’s. Zelfs de meest geavanceerde beveiligingsoplossingen zijn kansloos als het personeel het belang van beveiliging niet inziet. Informeer werknemers daarom regelmatig over de laatste stand van zaken op beveiligingsgebied en leer hen om op verantwoorde wijze om te gaan met software, social media en internetdiensten voor het opslaan en uitwisselen van gegevens. Een andere belangrijke maatregel is het definiëren, implementeren en bewaken van veelomvattende beleidsregels voor de ICT-beveiliging van de onderneming. Dat begint bij het beperken van de toegang tot internetbronnen die potentieel een bedrijfsrisico vormen. Ook het blokkeren van netwerkpoorten en protocollen die niet voor het werk noodzakelijk zijn, is een effectieve oplossing. Daarnaast bestaat de mogelijkheid om de toegang tot applicaties door medewerkers te beperken, zodat zij alleen die softwaretoepassingen kunnen starten die door de beveiligingsspecialisten van het bedrijf zijn goedgekeurd. Dit is een goede manier om een organisatie te beschermen tegen kwaadaardige en illegale software. Daarnaast is het gebruik van bestandsencryptie aan te raden om de integriteit en geheimhouding van bedrijfsdocumenten te waarborgen.

En tot slot is het natuurlijk essentieel om bewezen, specialistische beveiligingsoplossingen in te zetten. Liefst een waarmee zowel pc’s als mobiele apparatuur beveiligd en beheerd kunnen worden. Een dergelijke oplossing zou dan tevens niet alleen effectieve bescherming voor de ICT-infrastructuur moeten bieden, maar ook beleidsregels op het gebied van ICT-beveiliging moeten afdwingen.

Martijn van Lom, General Manager Kaspersky Lab