Acht tips voor het beveiligen van USB-apparaten

Een aantal jaar geleden was er veel te doen over USB-sticks en speelden veel organisaties met het idee om alle USB-poorten maar dicht te zetten. Hiermee zouden de risico’s wel voorkomen worden. Op zich niet zo gekke gedachte, gezien de tijd (maar wij hadden uiteraard al ingeschat dat deze maatregel niet ging werken). Dat was nog in de tijd dat je voor een floppy naar de afdelingssecretaresse moest lopen en meer dan 1 floppy per week mocht je niet aanvragen.

Nu, zoveel jaren later, heeft iedereen 1 of meerdere USB-sticks en op deze USB-sticks kun je meer informatie opslaan dan je vroeger op je harde schijf kon. Nu de ontwikkeling in processor snelheid een beetje stil lijkt te staan is de ontwikkeling om meer geheugen beschikbaar te stellen voor minder geld volop gaande.

Had je vroeger een USB-stick met 128mb dan was je al een hele man. Nu wordt je scheef aangekeken als jouw stick minder dan 16gb heeft. Kun je nagaan hoeveel informatie je op kunt slaan op een dergelijke schijf? Toch lijkt het dat de aandacht voor de risico’s van USB-sticks wat aan het verslappen is, blijkbaar vinden we het al zo normaal dat we over de risico’s heen kijken.

Kingston Digital Europe Ltd geeft daarom een overzicht van de beste manieren om bedrijfsinformatie op USB Flash apparaten te beveiligen en licht meteen ook toe welke risico’s verbonden zijn aan een tekort aan veiligheidsmaatregelen. Oostlander: “Informatie op USB-apparaten moet beveiligd worden en het beleid moet er voor zorgen dat bedrijfsinformatie alleen toegankelijk is voor geautoriseerde partijen. Wanneer een bedrijf hierin tekortschiet, kan dit vervelende gevolgen hebben. Denk maar aan regels die niet nageleefd worden door het eigen personeel, boetes, financiële kosten en vertrouwensverlies bij de klant.” (bron)

Nu moeten we er natuurlijk altijd voor waken dat “WC-Eend, WC-Eend niet adviseert” of “de slager zijn eigen vlees keurt”, maar tips zijn op zich natuurlijk altijd bruikbaar als we ze maar vertalen naar onze eigen praktijk. En of jij dan je USB-sticks koopt van Kingston of een andere leverancier, laat ik lekker aan jou over.

Kingstons aanbevelingen voor bedrijven om hun geheugenproducten op een veilige manier te gebruiken, zijn:

  1. Maak een gecodeerd USB-plan: beschermen en navolgen
  2. Zoek naar de meest geschikte USB Flash drive voor uw organisatie
  3. Training en educatie
  4. Ontwikkel een beleid en voer dit uit
  5. Zorg voor goedgekeurde bedrijfs-USB’s
  6. Zorg voor geautoriseerde USB’s en blokkeer andere apparaten
  7. Codeer vertrouwelijke informatie
  8. Zorg voor een gecertificeerde antivirus, altijd en overal

Voor de bijbehorende risico’s zoals die door Kingston worden omschreven verwijs ik je naar de originele tekst, die te vinden is op Managersonline.nl. En hoewel ik je geen USB-sticks ga verkopen, kan ik je natuurlijk wel helpen om invulling te geven aan deze 8 tips…maar goed dat wist je al en als je vragen hebt, weet je me te vinden.

66% verloren USB-sticks bevat malware

Wie een USB-stick vindt moet hier voorzichtig mee omgaan, de kans is groot dat er malware op de datadrager staat. Dat beweert anti-virusbedrijf Sophos aan de hand van een eigen onderzoekje. De virusbestrijder kocht 50 USB-sticks tijdens een veiling van verloren goederen die in Australische treinen waren gevonden. Op tweederde van de USB-sticks stond malware. Het ging om 62 geïnfecteerde bestanden op 33 sticks (bron).

Ook hier betreft het, net als het bericht van gisteren, weer geweldige cijfers waar je over kan twisten. 66% van de “gevonden” sticks bevat malware. Gevoelsmatig vind ik dat wat aan de hoge kant, maar op zich doet dat er niet toe.

Dergelijke berichten kunnen we gebruiken om de mensen bewust te maken. Vind je een USB-stick, stop hem dan niet zomaar in je PC om te kijken wat er op staat. Voor je het weet, ben je besmet. Klinkt allemaal erg logisch en we kunnen best willen dat men zich aan deze gedragsregel houdt, maar dat gaat niet gebeuren.

Zijn we niet allemaal nieuwsgierig? Vinden we zo’n stick dan willen we snel kijken wat er op staat en zo’n stick kunnen we zelf best nog een keer gebruiken. Hop, de stick in je PC en kijken maar. Grote kans dat je niet eens merkt dat je besmet raakt. Balen als er niet echt spannende documenten en foto’s op staan natuurlijk. Je verwijdert de gegevens en hebt weer een mooi stickie dat je voorlopig kunt gebruiken (voorlopig ja, tot jij hem kwijt raakt).

Het aantal sticks met een besmetting mag dan hoog zijn, het aantal sticks met encryptie is dat zeker nog niet: Toch was geen enkele stick versleuteld of bevatte versleutelde bestanden.

Dat kunnen we de gebruikers natuurlijk aanrekenen maar kijk ook eens naar de andere kant. De kant van de aanbieders. Moeten de leveranciers van USB-sticks of encryptiesoftware zich niet achter de oren krabben? Hebben zij hier ook niet een bepaalde verantwoordelijkheid in? Wie het weet mag het zeggen.

Vind je binnenkort een USB-stick, dan is de keuze aan jou: of je kijkt er op met het risico dat je besmet raakt, of je laat hem lekker liggen (en hoopt dat een ander hem oppakt en besmet raakt). Grote kans dat je tegen die tijd dit bericht alweer vergeten bent en kiest voor de eerste optie…het zal toch wel gewoon in onze genen zitten.

Driekwart werknemers gebruikt illegale USB-sticks

Bijna driekwart van de Britse werknemers gebruikt “illegale” USB-sticks op de werkvloer en ook encryptie wordt nauwelijks toegepast. De illegale USB-sticks zijn sticks die niet door de werkgever zijn geautoriseerd. Ze kunnen van thuis of conferenties zijn meegenomen. Verder bleek dat bij 72% van de Britse bedrijven werknemers USB-sticks met vertrouwelijke gegevens waren verloren (bron).

Het betreft natuurlijk geen “illegale” USB-sticks in de zin van het woord, maar het betreft USB-sticks die door de werkgever niet zijn uitgegeven en dus niet onder controle staan. Dat het er veel waren, is bijna algemeen bekend, maar dat het er zoveel zijn geeft toch te denken.

Met het “bring your own” principe zullen de cijfers alleen nog maar toenemen. Bijkomend issue hier is dat:“Als je een laptop verliest kun je niet meer werken, als je een USB-stick verliest komt niemand dit te weten”. Dat is met diefstal van informatie in heel veel gevallen het feit.

Eigenlijk kun je in veel gevallen trouwens niet eens spreken over diefstal maar komt het eerder neer op het illegaal kopiëren van de data. De data hoeft daarna immers niet weg te zijn maar kan nog steeds op de server staan. Stelen we een laptop dan is dat inderdaad al vrij snel duidelijk, we kunnen niet meer werken en zullen aan onze manager uit moeten leggen dat we bestolen zijn. Bij USB-sticks is dit inderdaad niet het geval. Verliezen we onze eigen USB-stick dan hebben we er vast thuis nog wel een in de kast liggen. Jammer van die informatie, maar die slaan we wel weer opnieuw op.

We vergeten dan nog wel eens dat de informatie in verkeerde handen is gekomen en dat informatie een veel hogere waarde kan hebben dan die ene laptop. De medewerker zelf heeft er dan misschien geen last van, maar als bedrijf kunnen we enorm in verlegenheid gebracht worden. Brengt iemand de USB-stick naar de krant, dan kost het ons imago. Brengt hij hem echter naar de concurrent, dan kan ons dat ook nog eens een berg geld kosten (om over claims, verlies van klanten enzo nog maar te zwijgen).

Met deze cijfers is het tijd om binnen je eigen organisatie nog eens goed je ogen open te houden. Is jouw organisatie representatief en vindt het daar ook op grote schaal plaats? Dan wordt het tijd om maatregelen te nemen.

Natuurlijk kunnen we de USB-poorten dichtzetten, maar dat is wat kort door de bocht. Misschien moeten we ervoor zorgen dat iedere medewerker makkelijker (en goedkoper) aan een veilige USB-stick kan komen. Misschien moeten we er wat extra tijd aan besteden tijdens onze bewustwordingscampagnes, misschien moeten we wat vaker controles aan de poort houden.

Kortom: er is best iets aan te doen, maar uiteindelijk zit de grootste winst hem in de medewerkers bewust maken van de gevaren. De gevaren voor zichzelf (in het uiterste geval ontslag) en gevaren voor de organisatie (in het uiterste geval faillissement en dus ontslag voor iedereen…wil jij dat op je geweten hebben?).

IBM verspreidt besmette USB-sticks tijdens conferentie

IBM heeft een zeer pijnlijke blunder begaan door tijdens een beveiligingsconferentie met malware besmette USB-sticks te verspreiden…IBM stuurde alle deelnemers een e-mail met daarin de waarschuwing dat men de USB-stick niet moest gebruiken…Volgens IBM wordt de malware door de meeste virusscanners herkend en is de malware zelf al sinds 2008 bekend. (bron).

Au, inderdaad een pijnlijke blunder en wel om meerdere redenen: 1) het is IBM, 2) het was tijdens een beveiligingsconferentie en 3) de malware is al bekend sinds 2008.

Gelukkig hebben ze direct alle deelnemers een e-mail gestuurd. Maar ja hoeveel mensen die hebben kunnen lezen na de crash van hun pc? Op zich zal dit best meevallen want als er al PC’s gecrashed zijn dan waren die blijkbaar ook niet goed beveiligd en mogen ze zich ook geen beveiligingsexperts noemen als ze hun anti-malware software al 2 jaar niet geupdate hebben.

Maar pijnlijk is het natuurlijk wel voor het imago van IBM. Hoe dit voorval heeft kunnen gebeuren weten ze nog niet. Ja, als klant van IBM zou ik toch nog even goed in mijn Service Level Agreements duiken om te kijken hoe het geregeld is met aansprakelijkheid.

IBM probeert het allemaal nog een op te leuken door aan te geven dat de meeste virusscanners de malware wel zullen herkennen. Dat lijkt een beetje als een kruisraket afschieten op een bevriende natie en dan zeggen dat het afweergeschut gelukkig de kruisraket op tijd onderschept heeft.

School verliest USB-stick met gegevens scholieren

Een Amerikaanse school is een onbeveiligde USB-stick met de gegevens van alle leerlingen verloren. De gegevensdrager werd vorige weekt uit de school gestolen en bevatten informatie zoals naam, naam van ouders of opvoeders, telefoonnummers, busnummer en andere gegevens…De Lake Ridge Middle School gebruikte geen encryptie en lijkt daar ook niet mee bekend te zijn (bron).

Gelukkig een school in Amerika zul je denken, dat gebeurt hier toch niet? Ehm, zoveel kijk op de beveiliging binnen scholen heb ik persoonlijk niet, maar als ik de concullegas om me heen mag geloven is het hier niet veel beter gesteld met de beveiliging op scholen. Nee, het budget dat beschikbaar is voor de scholen wordt aan andere dingen uitgegeven. Op zich begrijpelijk natuurlijk…maar de vraag is of het aan de goede dingen wordt uitgegeven…aan nieuwe leraren en verbeteringen van het onderwijs niet als ik het nieuws mag geloven.

Een geruststellend idee is dan wel dat de school haar excuses aanbiedt en de ouders adviseert om naar de rest van een “fantastisch schooljaar” te kijken. Ja, ja, ga maar rustig slapen, er is niks aan de hand…totdat je kind wel de schoolbus heen neemt maar nooit meer terug komt. Kijken of alle andere ouders dan nog zo rustig kunnen slapen.

Kijkend naar de claimcultuur in Amerika ben ik heel benieuwd hoelang de directeur van de school aan mag blijven en hoeveel claims hij/zij om de oren zal krijgen.