Menselijk falen grootste IT-bedreiging

Hoeveel regels en opleidingsschema´s bedrijven en organisaties ook opstellen, menselijk falen blijft volgens IT-directeuren de meest waarschijnlijke bedreiging voor de IT-beveiliging. Dat is de conclusie van een enquete die door het internationale onderzoeksbureau YouGov is uitgevoerd, in opdracht van de producent van netwerkbeveiligingsoplossingen Clavister.

Uit het onderzoek blijkt dat 37% van de ondervraagde IT-directeuren gelooft dat het grootste deel van de beveiligingsproblemen is toe te schrijven aan menselijke fouten, 31% ligt bij medewerkers die beveiligingsmaatregelen consequent negeren, 13% is volgens hen te wijten aan onvoldoende training en bekendheid met de regels en 5% aan bewuste bedrijfsspionage.

Voor organisaties is het belangrijk begrijpelijke regels op te stellen waaraan de medewerkers zich moeten houden. Worden de regels niet begrepen door de medewerkers dan hebben ze in de praktijk weinig effect. Ook moeten de regels toegespitst worden op de functie van de medewerker en moeten zij het nut er van in de praktijk ervaren. Voor die medewerkers die consequent de maatregelen blijven negeren moet een goed en doordacht disciplinair proces worden opgezet, gebaseerd op een gefundeerd beleid.

Webwinkels laks met afschermen personalia

De meeste webwinkels zijn laks met het afschermen van personalia. Die conclusie trekt het AD vrijdag uit eigen onderzoek. De krant nam twintig onlinewinkels onder de loep. Op veertien ervan kon een door de krant ingeschakelde hacker alle ingevulde persoonsgegevens onderscheppen. Onder meer Bart Smit, Albert Heijn en V&D worden als zondaar bestempeld. Bij Free Record Shop, Kijkshop en Overtoom worden zelfs gebruikersnamen en wachtwoorden onbeveiligd verzonden. Persoonsgegevens moeten onzichtbaar zijn voor buitenstaanders. Positieve uitzonderingen zijn bol.com, Hema en Christine le Duc.

Beveiligingsmaatregelen behoren al in de ontwikkelfase van webwinkels te worden meegenomen. Te vaak zien we nog dat vergeten wordt de beveiliging mee te nemen bij de ontwikkeling. Ofwel worden maatregelen pas genomen net voordat een webwinkel operationeel wordt of in deze gevallen pas nadat de webwinkel live is gegaan en klanten hun persoonsgegevens hebben achtergelaten.

Volgens keurmerkorganisatie Thuiswinkel gaat het om onwetendheid. De organisatie gaat daarom een checklist opstellen voor haar leden. Voor klanten is het keurmerk dus geen waarborg voor een veilig omgang met hun gegevens, sterker nog een klant kan zelf niet zeker stellen dat er vertrouwelijk met de gegevens wordt omgegaan. Het is de taak van organisaties met webwinkels om hun verantwoordelijkheid te nemen. Onwetendheid is hierbij geen argument, er zijn voldoende deskundigen te vinden die ze hier graag bij willen helpen. Organisaties als bol.com, Hema en Christine le Duc, die het beter voor elkaar hebben, zien blijkbaar in dat beveiligingsmaatregelen ook als business enabler ingezet kunnen worden.

Justitie mist kennis voor bestrijding cybercrime

Zowel politiek als politie falen in de aanpak van cybercrime en de wereldwijde recessie is een buitenkans voor cybercriminelen, dat is de conclusie van McAfee’s Virtual Criminology Report. Door de crisis en angst voor terreur verdwijnt computercriminaliteit onderaan de lijstjes, terwijl de crisis juist een klimaat van angst en ongerustheid schept waar cybercriminelen van profiteren. Volgens de beveiliger kan cybercrime zelfs het economisch herstel negatief beinvloeden. Daarom moeten overheden beter samenwerken en een hogere prioriteit aan bestrijding geven, iets wat nu niet zou gebeuren.

Beveiligingsmaatregelen zijn veelal die maatregelen waarop bezuinigd wordt in tijden van budgetrondes. Ten tijde van een kredietcrisis is het van groot belang om de continuiteit van de organisatie te beschermen, niet alleen voor eventuele financiele gevolgen maar juist ook tegen diefstal of verminking van informatie door te weinig of de verkeerde beveiligingsmaatregelen. Naast de overheden moeten ook organisaties hogere prioriteit geven aan de bestrijding van computercriminaliteit.

Door beveiliging op een integrale en doordachte wijze, op basis van risico management en kosten/baten analyses, in te richten kunnen de juiste maatregelen met een acceptabel kostenniveau geimplementeerd worden. Niet langer een bottom-up-benadering waarbij maatregelen worden geimplementeerd, maar een top-down-benadering waarbij risico´s worden gemitigeerd is het advies.

Meeste infecties door internet downloads

Het downloaden van bestanden is nog altijd de voornaamste reden dat internetgebruikers met malware besmet raken. 53% van alle infecties wordt opgelopen via zogenaamde video codecs of het openen van onbekende bestanden, zo blijkt uit cijfers van Trend Micro. De tweede grote infectiebron is malware die al op het systeem actief is en aanvullende malware downloadt. E-mail bijlagen en USB-sticks (Autorun malware) zijn met zo’n tien procent elk, de nummer drie en vier op de lijst.

Deze gegevens kunnen voor organisatie behulpzaam zijn bij het aanscherpen van het beveiligingsbeleid en de (technische) beveiligingsmaatregelen. Als downloaden zonder restricties wordt toegestaan dan is het wachten op een malware uitbraak. Het downloaden moet beperkt of tegengegaan worden, bijlages van emails moeten gecontroleerd worden en USB-poorten moeten worden dichtgezet of worden gemonitord.

Ook is het van belang dat de medewerkers bewust worden gemaakt van deze gevaren, vertel hen waarom downloaden aan regels is onderworpen, maak hen duidelijk dat bijlages en onbekende bestanden niet moeten worden geopend en laat hen weten hoe ze met mobiele gegevensdragers (zoals USB-sticks) om moeten gaan.

FBI: Cyberaanvallen bedreigen staatsveiligheid

De toenemende cyberaanvallen op de Verenigde Staten zijn niet alleen een bedreiging voor de economie, maar ook voor de staatsveiligheid, zo waarschuwde de FBI deze week. Amerikaanse bedrijven en overheidsinstanties zouden het doelwit van buitenlandse spionnen en criminelen zijn. Volgens Shawn Henry, het net benoemde hoofd van de Cyber Divisie, houden niet alleen oplichters en identiteitsdieven zich met cybercrime bezig, de georganiseerde misdaad, terroristen en overzeese regeringen zijn ook betrokken. Henry vreest ook voor nieuwe groepen hackers die zich verenigen om kennis en ervaring uit te wisselen en samen cyberaanvallen uit te voeren. Hij vergelijkt het met bendes die een bank willen overvallen, waarbij er criminelen met verschillende expertise benodigd zijn.

Dit toont maar weer aan de het niet meer amateurs zijn die met wat simpele tooltjes proberen in te breken. De georganiseerde criminaliteit heeft zich jaren geleden ook al gericht op dit soort activiteiten en zelfs overheden bemoeien zich er mee. Voor het niveau van beveiliging betekent dit dat we het moeten managen en constant alert moeten zijn, we kunnen niet op onze lauweren rusten. De omgeving verandert continu, daar moeten we ons niveau van beveiliging dan ook continu op afstemmen. Wanneer heeft u voor het laatst de plan, do, check, act cyclus voor beveiliging doorlopen? Misschien is dit een goed moment om de inrichting van de beveiliging weer eens tegen het licht te houden.

Dertig miljoen PC’s met nep-virusscanners besmet

De uitbraak van nep-virusscanners begint epidemische vormen aan te nemen, want volgens de Spaanse virusbestrijder Panda Security zijn wereldwijd 30 miljoen Windows computers ermee besmet. Via pop-ups en drive-by aanvallen laat de software gebruikers geloven dat hun systeem gevaar loopt en het aanschaffen van de nep-virusscanner de problemen oplost. De tactiek lijkt goed te werken, want uit cijfers blijkt dat maar liefst drie procent van alle geinfecteerde gebruikers besluit om de aangeboden software te kopen. Dat levert de verspreiders van de nep-virusscanners maandelijks tien miljoen euro op.

Ook al zien de nep-virusscanners er nog zo goed en betrouwbaar uit, een korte zoektocht op internet laat al snel zien wat het echte doel van deze nep-virusscanners is. Het wordt dan ook aangeraden te controleren of de virusscanner die je wilt gaan gebruiken ook echt een virusscanner is en hoe goed hij zijn werk doet. Computermagazines testen regelmatig de werking van virusscanners en het wil absoluut niet zeggen dat de scanner die je tien jaar geleden gebruikte vandaag de dag nog zo goed is.

Uiteraard moeten we naast anti-virusprogramma´s niet de firewall (inclusief de juiste instellingen), anti-spyware en alle andere soorten beveiligingsprogramma´s vergeten. De juiste combinatie van beveiligingsprogramma´s kan veel problemen voorkomen, niet alleen voor thuis, maar zeker ook in de zakelijke wereld.

Bedrijven bewaren teveel persoonsgegevens

Bedrijven slaan teveel informatie over hun klanten en werknemers op en brengen die en zichzelf daardoor in gevaar. Door de verzameldrift van bedrijven zullen bedreigingen voor die data de komende tijd niet verdwijnen. “Het model dat we nu gebruiken betekent dat organisaties teveel gegevens bezitten. In een normale e-commerce transactie wil de ondernemer meer informatie bewaren als de de waarde van de transactie omhoog gaat. Maar dat geldt ook voor de aansprakelijkheid en risico. Dat proces moet veranderen,” aldus vice president Gerry Gebel. Het proces vindt niet alleen bij klanten plaats, ook gegevens van personeel zoals screenings, medische verzekeringen en salarisgegevens worden massaal opgeslagen.

Binnen Nederland is de Wet Bescherming Persoonsgegevens van kracht als het gaat om de opslag van persoonsgegevens. Niet alleen moeten organisaties de persoonsgegevens aanmelden ook moeten zij aantoonbaar beveiligingsmaatregelen implementeren om deze gegevens te beschermen.

Toch worstelen veel organisaties met de bescherming van deze gegevens. Het College Bescherming Persoonsgegevens heeft een zelfevaluatie gemaakt waarmee organisaties inzicht kunnen krijgen in de status van de Wet Bescherming Persoonsgegevens, de zelfevaluatie is hier te vinden

Rookverbod gevaar voor bedrijven

De Telegraaf bericht over het feit dat het rookbeleid binnen bedrijven grote gevolgen kan hebben voor de beveiliging van die bedrijven. De rokers gaan geregeld naar buiten om een sigaret te roken. Ze verlaten het gebouw door de nooduitgang of gewoon via de hoofdingang. De nooduitgang blijft vervolgens open staan waardoor indringers gemakkelijk het gebouw in kunnen en de bedrijfseigendommen gemakkelijk het bedrijf uit kunnen.

De bewakers bij de hoofdingang krijgen inmiddels zoveel medewerkers per dag langs hun loket dat het controleren er bij in schiet. De diefstal van goederen, laptops en privé eigendommen van de medewerkers is daarmee een feit. Niet alleen buitenstaanders kunnen gemakkelijk het gebouw betreden om diefstal te plegen, ook de eigen medewerkers worden verleid om goederen, laptops en privé eigendommen van collega’s te stelen en er tijdens een rookpauze simpel mee naar buiten te lopen.

Wat goed zou moeten zijn voor onze gezondheid en wat het risico op brand zou moeten verlagen brengt dus juist een extra risico op diefstal met zich mee.

Dieven verkleden zich als bankmedewerker

Door zich voor te doen als bankmedewerkers zijn criminelen erin geslaagd bij talloze Ierse winkels de betaalautomaten te manipuleren en zo tenminste 20.000 creditcardgegevens te stelen. De criminelen maakten de winkeleigenaren wijs dat ze onderhoudswerkzaamheden kwamen verrichten. Zodoende wisten ze apparatuur toe te voegen die de kaartgegevens via het internet toegankelijk maakte (Security.nl, 19 augustus 2008).

Buiten de manipulatie van de betaalautomaten zijn ook de winkeleigenaren gemanipuleerd, ze zijn om de tuin geleid en zijn ervan uit gegaan dat de persoon die voor ze stond ook echt een bankmedewerker was. Hieruit blijkt het belang dat gehecht moet worden aan de controle van de identiteit van leveranciers, service monteurs en alle andere externe partijen. Niet alleen als ze in levende lijve voor je staan maar ook als ze je telefonisch benaderen.

Hoe vaak gebeurt het niet dat je via de telefoon benaderd wordt voor informatie, weet je dan altijd wie de vraag stelt, ken je de ander aan de andere kant van de telefoonlijn? En weet je ook zeker dat hij is wie hij zegt dat hij is? Als je het niet helemaal vertrouwd zou je het telefoonnummer kunnen vragen en de persoon terug kunnen bellen. Zo heb je al enige zekerheid, maar vertrouwelijke informatie moeten we natuurlijk nooit via de telefoon verstrekken. Dat weet jij, maar weten je collega´s het ook, zijn ze zich er voldoende van bewust? Een beveiligingsbewustzijnscampagne kan het bewustzijn onder het personeel vergroten.

Thuiswerkplek onveilig

De Telegraaf bericht over de onveiligheid van thuiswerkplekken. Zo blijkt, niet geheel verrassend, dat een groot deel van de thuiswerkplekken onveilig is. Hackers of virussen kunnen op deze manier toegang krijgen tot gevoelige bedrijfsgegevens. Hierdoor kunnen gegevens verloren gaan of gemanipuleerd worden.

Thuiswerken wordt steeds populairder en meer en meer organisaties stimuleren hun medewerkers om op deze manier 24 uur per dag bereikbaar te zijn. Naast een laptop beschikken we ook over een pda of Blackberry en omdat we graag willen werken moeten we toch vooral en overal beschikken over de bedrijfsinformatie.

Is informatiebeveiliging al een ingewikkelde uitdaging binnen het bedrijfsnetwerk. Met het meer en meer open worden van de infrastructuren en de toename van de mobiele werkplekken wordt deze uitdaging er niet gemakkelijker op.

De software op de werkplek moet up-to-date blijven, de firewall moet ingeschakeld zijn, de anti-virus maatregelen moeten bij de tijd zijn en moet worden voldaan aan alle andere technische voorschriften van de ICT-afdeling. Een organisatie moet nadenken over de wijze waarop met gevoelige informatie wordt omgegaan en welke eisen we aan de informatie maar ook aan de medewerkers stellen. De medewerker op zijn beurt moet begrijpen dat de informatie waarmee hij werkt weleens gevoelig kan zijn.