Naast doelgerichte aanvallen van cybercriminelen op bedrijfsnetwerken is er een ander gevaar waaraan elk bedrijf blootstaat: werknemers. Fouten van werknemers vormen namelijk een van de belangrijkste oorzaken van beveiligingsincidenten waardoor vertrouwelijke bedrijfsgegevens op straat komen te liggen. Dit blijkt uit de resultaten van de Global Corporate IT Security Risks 2013-enquête die B2B International en Kaspersky Lab afgelopen voorjaar hebben uitgevoerd.
Hoewel kwetsbaarheden in de applicaties die werknemers voor hun dagelijkse werk gebruiken een van de belangrijkste oorzaken vormen voor beveiligingsincidenten (bij 39 procent van alle bedrijven), is er sprake van een even hoog aantal incidenten dat het gevolg is van fouten van werknemers. Vier van de vijf typen interne beveiligingsincidenten bleken nauw verband te houden met misstappen van medewerkers. Werknemers kunnen er opzettelijk of per ongeluk voor zorgen dat vertrouwelijke bedrijfsgegevens uitlekken of dat het auteursrecht wordt geschonden. In beide gevallen kan dit tot kostbare rechtszaken leiden.
Spyware
Medewerkers die werkgerelateerde berichten naar persoonlijke e-mailaccounts verzenden en illegale content of gekraakte software naar hun werkcomputer downloaden, beseffen zich vaak niet dat dit soort activiteiten het imago van hun werkgever kunnen schaden. In een geval lekten vertrouwelijke bedrijfsdocumenten uit nadat een werknemer kopieën in zijn persoonlijke e-mailaccount had opgeslagen. Toen beveiligingsexperts het incident onderzochten, troffen ze spyware aan op de pc van de werknemer. Deze malware legde al zijn toetsaanslagen vast, waardoor cybercriminelen de aanmeldingsgegevens voor zijn e-mailaccount konden bemachtigen. Op die manier hadden zij vrij spel met de vertrouwelijke bedrijfsdocumenten.
Een ander incident ontstond toen een werknemer zijn privélaptop naar het werk meenam en daarmee een verbinding met het lokale bedrijfsnetwerk maakte. Op de laptop had de werknemer een BitTorrent-client geïnstalleerd waarmee hij software voor eigen gebruik downloadde. Hieronder bevonden zich gekraakte programma’s. Drie maanden later klopte de politie bij zijn werkgever aan met een huiszoekingsbevel, wegens verdenking van het schenden van copyright door het gebruik van illegale software. Het bedrijf zag zich uiteindelijk gedwongen om een boete te betalen.
Beheermaatregelen
Bedrijven kunnen de kans op dit soort incidenten minimaliseren door verschillende maatregelen te treffen. Definieer, implementeer en bewaak bedrijfsbrede beleidsregels voor de ict-beveiliging, maak gebruik van specialistische beveiligingsoplossingen en maak werknemers bewust van ict-risico’s. ‘Naast het identificeren en voorkomen van incidenten op basis van uiteenlopende technologieën moeten beveiligingsspecialisten niet nalaten om gebruik te maken van beheermaatregelen’, zegt malware-expert Kirill Kruglov van Kaspersky Lab. ‘Het is van cruciaal belang om werknemers bewust te maken van beveiligingsrisico’s. Laat hen weten wat wel en niet is toegestaan op basis van het beveiligingsbeleid en wat de gevolgen zijn als zij de interne richtlijnen overtreden.’
En in hoeverre is er sprake van een misstap omdat de bedrijfsprocessen verre van optimaal zijn? Niet dat ik daarmee wil suggereren dat er geen menselijke fouten gemaakt worden. Maar meer om te nuanceren dat werknemers vaak aan het eind staan van vele foute akties.
Geen tijd voor automatisatie van geestdodende taken bijvoorbeeld. Of het niet willen investeren in tooling om dat soort taken te ontzien komt op de werkvloer (helaas) nog veelvuldig voor. Mijn schatting is dat een ruime meerderheid van de Nederlandse systeembeheerders liever illegale software gebruikt dan te lopen hannessen met brakke oplossingen.
Dat de mens in menige keten vaak de zwakste schakel is en dus de makkelijkste weg om binnen te komen is bekend, zelfs verkopers gebruiken technieken van social engineering. Het is dus goed als hier aandacht aan gegeven wordt omdat sommige misstappen ook eenvoudig te voorkomen zijn. Maar bedrijven zijn nog weleens zuinig en staan daarom niet alleen BYOD toe maar gebruiken ook nog weleens meer of andere kopieen dan waar ze voor betaald hebben. En op bedrijfsschijven staan ook nog weleens films, muziek of andere niet toegestane bestanden.Aangaande de huiszoeking en boete ben ik dan ook nieuwsgierig of er niet wat meer mis was omdat downloaden legaal was/is en auteurs hiervoor middels thuiskopieheffing (gedeeltelijk) schadeloos gesteld worden.
Tja helemaal valt dit allemaal niet meer te voorkomen. Het is o.a. ook een beetje het gevolg van de moderne bedrijfscultuur.
Iedere werknemer moet kunnen internetten, emailen, faceboeken zonder dat daar in de meeste gevallen een werkelijke noodzaak voor is, je kunt immers ook dergelijke zaken beperken tot een intranet omgeving.
Maar het ligt veel ingewikkelder, wie houdt nu niet eens de deur open voor een totaal onbekende die met twee koffers naar binnen probeert te strompelen. wie informeert aan de telefoon nooit eens dat een colega vandaag niet op kantoor aanwezig is.
Helemaal dichttimmeren wordt haast onwerkbaar.
@ Pascal,
Ik deel je mening. Helemaal dicht timmeren kan vaak niet en tevens zorgt dit er voor dat het werkplezier af neemt. Af en toe even een paar privezaken tijdens werktijd afhandelen heeft volgens onderzoeken vaak een hogere productiviteit als gevolg.