Computercriminaliteit komt vaker van personeel

Uit de ICT Barometer blijkt dat managers en directeuren zich vanuit beveiligingsoptiek de meeste zorgen maken over externe opslagmedia, zoals usb-sticks.

Ict-afdelingen krijgen steeds vaker te maken met cybercrime gepleegd door de eigen medewerkers van het bedrijf. Dat concludeert accountkantoor Ernst & Young in de ICT Barometer. Uit het onderzoek onder ongeveer zeshonderd managers en directeuren blijkt dat 12 procent last heeft gehad van fraude met gegevens. Bij 10 procent van de ondervraagden is data gestolen.

‘In deze tijden wordt de intern gepleegde cybercrime juist versterkt door personele wijzigingen', zegt onderzoeker Monique Otten. ‘Dat komt door personele wijzigingen en doordat medewerkers onzeker zijn over hun toekomst.' Toch ervaren de respondenten cybercriminaliteit als een externe bedreiging. Bijna driekwart van de ondervraagden zegt dat de bedreigingen vooral van buitenaf komen, zoals spam of virussen.

Digitale criminaliteit is sterk toegenomen in 2009, concludeert het accountskantoor. 42 procent van de respondenten had het afgelopen jaar meer last dan een jaar eerder. Het merendeel van de ondervraagden, 50 procent, ziet geen verschil. 8 procent zag juist een daling.

Bedrijven hebben de meeste last van spamberichten. 52 procent van de respondenten zegt hier wel eens mee te maken te hebben gehad. Ook virussen en malware is een veel voorkomende bedreiging.

Aangifte

Organisaties die slachtoffer worden van cybercriminaliteit, doen in de meeste gevallen een onderzoek in eigen beheer. Een derde van de organisaties met meer dan vijfhonderd medewerkers doet aangifte bij de politie. Gemiddeld doet 18 procent aangifte bij de politie. 12 procent schakelt een onafhankelijk bureau in. Een kwart van de bedrijven onderneemt geen actie.

Wat betreft de de beveiliging, vrezen de respondenten het meest externe opslagmedia, zoals usb-sticks of beschrijfbare cd's en dvd's. Draadloze netwerken is daarna de technologie waarover de ondervraagden zich de meeste zorgen maken. Over de beveiliging van cloud computing is slechts 5 procent bezorgd.

Jay, 25-02-2010 12:07

Ah, en hoe ging dat 'vroeger', voordat er kompjoeters waren? Waren de percentages misschien veel hoger ...??
En als ik wel eens te maken heb gehad met spam, heeft dan gelijk het hele bedrijf er last van gehad ..?
Volgens mij kwam er niks uit het onderzoek en is de inhoud daarom maar verbogen tot enigszins nieuwswaardige suggesties? Klinkt als een onderzoek van een accountanstkantoor...

Jij, 25-02-2010 12:56

Ik ken een gemeente die expres eigen personeel verdacht ging maken van sabotage om te verbloemen wat er werkelijk gebeurt was. Dus dit verhaal kan twee kanten hebben naar gelang het een bedrijf uitkomt.

Tom Hall, 25-02-2010 13:54

Het risico is nog groter dan men denkt. Naar mijn gevoel heerst er bij veel bedrijven nog steeds een overheersende struisvogelpolitiek om maar geen verandering in(informatiebeveiligings)beleid en informatie en ICT beveiliging uit te voeren en fondsen beschikbaar te maken. Wij hebben toch een firewall en ant virus software? Is wat je vaak hoort. Maar het risico van informatielekkage (propriatory) groeit en groeit. Leg het gebruik van USB-devices aan banden, ga over op Roll based access control en NAC. En voer minimaal twee keer per jaar een kwetsbaarheid en netwerk analyse uit op servers, SAN's, toegangscontrole systemen etc. Om maar een paar maatregelen te noemen.

De AIVD heeft een brochure voor het bedrijfsleven uitgegeven over digitale spionage.... ik vraag me af hoeveel managers en vooral directieleden dit hebben gelezen

https://www.aivd.nl/actueel/@125345/drie-publicaties

Jim, 25-02-2010 15:04

Ik kan me dit alleen maar goed voorstellen als de beveiliging 'binnen de muren' niet zo nauw worden afgesteld, dus laten we bijvoorbeeld zeggen:
File-Data van Personeels Registers op File Servers - niet ingesloten in een DMZ, dus bereikbaar binnen het lokale netwerk.
En dat is vreemd, want ik kan ook mijn eigen personeels register niet inkijken, zonder medeweten van PZ/HR, en zo hoort dat ook. Het zal wat wezen, dat ik het arbeids contract kan inlezen van mijn buurman... Dan kun je gewoon wachten op ruzies.

RV, 25-02-2010 16:30

Reden te meer om eens flink te gaan INVESTEREN als bedrijf in het kennisnivo van je eigen PERSONEEL.

De ict-techniek anno 2010 maakt het al jaren mogelijk om alles potdicht te spijkeren, (vaak met heel eenvoudige basic technieken zoals toekennen van gebruikers-account-rechten aan bestanden, directories, ict-apparaten, ict-infrastructuur, internet-toegang).

Echter...dan moet je als (klagend) bedrijf wel:
- willen
- tijd en ruimte voor maken
- je mensen er goed voor trainen

Helaas willen de meeste bedrijven hun eigen verantwoordelijk op dit gebied niet nemen, (en bestende het uit aan externen) of willen er geen GELD voor uitgeven (want daar draait het dan meestal om)

De kennis is reeds aanwezig, nu de wil nog:
Luister eens wat vaker intern naar je eigen sys-admin
Dan kun je dit soort ellende voorkomen, want die mensen werken dagelijks in je eigen bedrijf, worden ervoor betaald om dit te bestrijden ;-)

T. Hall, 25-02-2010 19:46

Potdicht spijkeren? 100% beveiliging is onmogelijk zelfs met de beste oplossingen. Ik ben het met de vorige schrijver eens, Willen op alle lagen van de organisatie. In de praktijk komt dan tijd, resources, kennis, budget en prioriteiten in de picture. En bij een groot if not grootste deel van de bedrijven (zelfs de GROTE enterprises) is dat er niet. Zeker in deze tijd wanneer budgetten geknepen worden, er geen externe resources kunnen of mondjesmaat worden ingezet.

Het probleem met technologie is, veel vendors pretenderen alles potdicht te kunnen zetten, in de praktijk blijven er altijd achilles hielen bestaan en is het in veel gevallen in de bedrijfsvoering gewoonweg niet mogelijk om het op die manier te doen zonder een negatieve invloed te hebben op usability, transparancy en beheer(s)baarheid.

Security Awareness en beleid (niet alleen een programma opstarten en vervolgens er niets meer aan doen), policy enforcement, spot checks, et etc als onderdeel van een beleid. Dit ondersteund door technologie, een goed ondersteund incident response team/proces, kwetsbaarheid analyse en management, patchmanagement en vinger aan de pols houden van de markt om er een maar paar te noemen. Informatiebeveiliging is een proces, niet iets wat uit technologie is opgebouwd. The weakest link, helaas blijft de mens. aan zowel de gebruikers kant als aan de beheers kant.

Ik durf te beweren als men bij een gemiddeld bedrijf een audit in combinatie met een kwetsbaarheid analyse/social engineering proces uitvoert....dat men erg zal schrikken over de uitkomsten. Gevaar van binnenuit is nog steeds vele malen groter als die van buiten.

Bert Boer, Alphium , 26-02-2010 9:17

Meer dan 50% van alles organisaties krijgt te maken met fraude door eigen personeel. Per jaar wordt er voor meer dan 3 miljard euro fraude gepleegd voor een groot deel door eigen personeel. Vandaar dat steeds meer bedrijiven kiezen om nieuw personeel vooraf een integriteit interview voor te leggen. Hieruit blijkt hoe groot of het risico is dat deze nieuwe medewerker overgaat tot het plegen van fraude. Zeker ICT-ers kunnen enorm veel schade aanrichten. Mijn advies, juist de ict-ers extra testen voordat hij of zij toegang krijgt tot de vertrouwelijke gegevens van de organisatie.

Tom Hall, 26-02-2010 11:18

Bert, vooral ICTers kunnen een grote assett of groot gevaar zijn voor een onderneming.

Wij voeren samen met een partner assessments en credential checks uit. Maar dat is in de praktijk vooral gericht op key positions in een organisatie, ICTers vallen er kennelijk niet onder terwijl zij juist de kennis en vaardigheden hebben om informatie te vergaren door misbruik te maken van de infrastructuur en informatiebronnen.

Tom Hall
Think Secure

Mike Chung, 26-02-2010 11:29

Hmm, als ik het rapport van E&Y lees trek ik toch andere conclusies, en dat komt niet omdat ik toevallig op de loonlijst sta van de concurrent KPMG:

Een marginaal deel van de ondervraagden acht de kans op cybercrime door internen groot (pagina 22).

Ook is het aandeel van externe aanvallen significant groter dan van intern misbruik (vergelijk pagina's 18, 19 en 20).

Heel opvallend in dit onderzoek is de grafische weergave van gegevens (vergelijk eens pagina's 19 en 20), waardoor E&Y de indruk wekt dat zij de lezer wil laten geloven dat interne dreiging véél groter is dan externe dreiging. Ik zou bijna het woord misleidend in de mond willen nemen.

Tom Hall, 26-02-2010 11:57

Mike,

Mijn ervaring in de praktijk en de onderzoeken die vooral in de VS en UK worden gepubliceerd geven toch het beeld dat het insider threat veel groter is dan gemiddeld wordt aangenomen. En dat is niet alleen van de laatste paar jaar.

Er zijn genoeg real life casus die dat ondersteunen

Het hoeft niet altijd gericht te zijn vanuit het eigen personeel, externen die intern projecten uitvoeren kunnen ook als internen worden gezien.

Veel heeft ook te maken met het niet weten wat risicovolle activeiten zijn zoals bijvoorbeeld het bekijken van videobeelden via websites die geinfecteerd zijn met malware die rootkits installeren en het spelen van online spelletjes vallen daaronder.

Maar sommige zaken als het leegtrekken van de database met sales gegevens voordat men naar een concurrent gaat of bijvoorbeeld het omzeilen van firewall en contentfiltering oplossingen op het corporate netwerk door gebruik te maken van een UMTS connectie naar de eigen mobiele provider zijn maar een paar voorbeelden waar eigen personeel een groot risico vormen, willens en wetens.

Markt onderzoeken zijn ok, maar in de praktijk weten we maar al te goed dat IT maangers, CSO's ondanks dat de gesprekken anoniem worden verwerkt, niet altijd de real life situatie gebruiken om antwoord te geven.

Morteza Esteki, Quest Software, 26-02-2010 12:01

Informatiefraude
Het fenomeen dat medewerkers een grote bedreiging vormen voor de informatieveiligheid van een onderneming is niet nieuw. Evenmin is het feit dat rancuneuze medewerkers na hun ontslag een bedrijf schade berokkenen. Deze schade ontstaat echter niet doordat een antiviruspakket of een firewall niet goed werkt. De oplossing zit hem niet in dergelijke middelen, noch in het vastleggen van procedures. Het gaat om een combinatie van goede processen met de juiste technologie. Het is volstrekt logisch dat iemand die uit dienst gaat, per direct geen toegang meer heeft tot het bedrijfsnetwerk noch tot zijn e-mailbestanden. In de praktijk gaan er echter soms maanden voorbij, voordat een gebruiker wordt verwijderd uit de systemen. Door een koppeling te leggen tussen het computersysteem bij personeelszaken en dat van de IT-afdeling, heeft een aanpassing in het ene systeem een automatische reactie in het andere systeem tot gevolg. In het kort: ‘status werknemer: Uit dienst per…, werknemer heeft geen toegang meer tot bedrijfssystemen’. In de tussenliggende periode kun je overwegen de gebruiksrechten van de werknemer in te perken of zijn handelingen nauwgezet te volgen (te auditen). Dat is behoorlijk impopulair, maar wel behoorlijk gerechtvaardigd gezien de waarde van informatie (er wordt al aan gerefereerd als de nieuwe olie, lees ‘data is the new oil’ uit 2006. http://ana.blogs.com/maestros/2006/11/data_is_the_new.html ). Dat maakt het des te verwonderlijker dat de meeste cybercrime met een intern onderzoek afgehandeld wordt. Juist door consequent aangifte te doen, wordt het probleem echt zichtbaar en kunnen de overheden er wellicht toe bewogen worden om hieraan meer aandacht te besteden.

Mike Chung, 26-02-2010 12:37

Tom,

Mee eens. Insider threat is een groot probleem; wellicht een groter probleem dan external threat, en dat wordt bevestigd door meerdere onderzoeken. Overigens mis ik ook bij dit soort onderzoeken vaak de kwantitatieve onderbouwing (financiële schade, kosten voor mitigaties etc.).

Ik heb alleen moeite met de bevindingen in dit onderzoek van E&Y. Het zou kunnen dat E&Y zelf ook is verrast door de antwoorden en zelf een 'draai' heeft gegeven richting het gewenste resultaat.

Tom Hall Think Secure, 26-02-2010 16:28

Mike, we zitten op dezelfde frequentie. Marktonderzoeken, surveys, etc etc zijn over het algemeen een snashot die een goed beeld zou moeten geven over hoe het onderwerp van onderzoek er voor staat. Helaas blijkt in de real world dat de onderzoeken elkaar tegenspreken. Ik ga liever af op de incidenten en zaken die ik zelf bij klanten tegenkom...voor mij een betere maatstaf. De onderzoeken kunnen wel helpen klanten iets minder tunnelvisie te geven maar het is niet de magic silver bullet om dat te bereiken

Have a good one

Tom

security / Nieuws

Computercriminaliteit komt vaker van personeel

Aangifte

Belang van preventie dataverlies

Verstikkende informatiebeveiliging

Astaro RED beveiligt bedrijfsfilialen

Transparante systeemtoegang voor 17.000 UWV-medewerkers

Expert over inlijving McAfee: Intel heeft geld te veel

Windows PC kwetsbaar voor designfout. En nu?