Managed hosting door True

ICT'er bekijkt stiekem vertrouwelijke informatie

 

Werkgevers maken het de ict'er wel erg makkelijk. Informatie is slecht beveiligd en wachtwoorden worden weinig veranderd. Daarvan maakt de nieuwsgierige automatiseerder graag gebruik.

Eenderde van de ict'ers kan zijn nieuwsgierigheid niet bedwingen. Zij gaan in het netwerk van de baas op zoek naar vertrouwelijke gegevens. Dat blijkt uit onderzoek van Cyber-Ark Software.

Het bedrijf ondervroeg driehonderd senior ict'ers van grote bedrijven. Eenderde van de respondenten liet weten zich op de hoogte te stellen van vertrouwelijke informatie door zonder toestemming wachtwoorden van andere medewerkers te gebruiken.

Volgens de onderzoekers maken werknemers het de rondneuzende ict'er wel erg gemakkelijk. Niet alleen zouden de wachtwoorden van standaard gebruikersaccounts weinig veranderd worden, wachtwoorden die toegang geven tot vertrouwelijke bedrijfsinformatie zou nog vaker ongewijzigd blijven. Volgens de onderzoekers wordt dertig procent van die inlogcodes elk kwartaal veranderd en wordt negen procent zelfs nooit aangepast. Niet alleen ict-medewerkers zouden zich zo gemakkelijk toegang kunnen geven tot informatie die niet voor hen bedoeld is, ook werknemers die het bedrijf allang verlaten hebben, kunnen nog inloggen.

Daar komt bij dat zeventig procent van de bedrijven gebruik zou maken van verouderde en onveilige methodes om vertrouwelijke gegevens uit te wisselen. Mark Fullbrook van Cyber-Ark denkt dat werkgevers niet raar moeten opkijken als gevoelige informatie in verkeerde handen terechtkomt. "Werkgevers moeten zich realiseren dat het rondneuzen, saboteren en hacken voortduurt wanneer ze hun beveiliging niet verbeteren."

Dit artikel is afkomstig van Computable.nl (https://www.computable.nl/artikel/2596503). © Jaarbeurs IT Media.

?


Lees meer over


 

Reacties

Schei toch uit met die onzin.Ik zou wel erg verkeerd in elkaar zitten en gefrustreerd zijn als ik zo m'n tijd moet Spanderen.Heb een familie en wel wat beters te doen.Als een gebruiker bij mij wegloopt ben ik z'n password al weer vergeten.Ten eerste prive en ik ben geen nationale databank.

Cyber-Ark Software verzinsels............

Komt me heel bekend voor. Passwords die uit de inlogcode met een volgnummer bestaan (veelal de maand), of zelfs de gegevens gewoon opgeschreven bij de computer. Aan de andere kant zijn de beheerders ook erg laks met het verwijderen van accounts. Zo kon ik een jaar nadat ik bij de netwerkbeheerafdeling weg was gewoon nog gebruik maken van mijn account waarmee ik beheertoegang had op alle servers...

Klinkt als een verkooppraatje om de produkten van Cyber-Ark te pushen...

De aanleiding tot dit onderzoek ligt misschien wel binnen Cyber-Ark.

Het is veel erger !

De lokale overheid geeft de gemeenteraadsleden een gratis email adres. Vertrouwelijk informatie van inwonersvoor gekozen volksvertegenwoordigers komen zo eerst bij het gemeentebestuur binnen. Men is nog veel te naief in het gebruik van email.
Wil een gemeenteraadslid van een bepaalde partij onafhankelijk blijven dan is het verstandig een eigen eigen provider te kiezen.

zie verder www.gemeenteanalyse.nl

Heb zelf enige tijd terug een email met bijlage ontvangen. De bijlage bevatte een vertrouwelijk document. Omdat mijn mailadres veel op dat van een ander lijkt, was de vergissing waarschijnlijk gauw gemaakt. Ik gebruik meerdere mail accounts en ik weet niet eens meer op welke het binnenkwam. Ik heb de afzender direct op de hoogte gebracht en op de mail en bijlage gewist. Het was niet voor mij.
Wat ik hiermee aan wil geven is dat de eerste verantwoordelijkheid ligt bij de eigenaar van de vertrouwelijke informatie. Zulke informatie moet dan ook niet zomaar op de mail worden gezet, zeker als dat heel makkelijk fout kan gaan.
Wat betreft op de werkplek: geef nooit je wachtwoord aan collega's, ook niet aan je meerderen. Wijzig het regelmatig (als dat al niet wordt afgedwongen door de server).
Het bericht van Cyber-Ark is voor mij geen nieuws.
Het lijkt mij dat wanneer je ontdekt dat iemand in je spullen heeft zitten snuffelen, dat je dat direct moet melden aan je bazen (als die het niet waren tenminste) en verdere actie nemen die het voorgoed onmogelijk maken.

Je zal maar een beheerder zijn die na onderzoek er achter komt dat je baas niet helemaal netjes met je premies omgaat en je daarmee benadeeld.

Wat heet opzet? Als een ict'er software voor bedrijven schrijft zal hij automatisch kennis nemen van de handel en wandel van dat bedrijf. Daar is geen spelt tussen te krijgen. Of hij die informatie daadwerkelijk zou (mis) (ge)bruiken lijkt mij sterk. Er is ook nog zoiets als een vertrouwens relatie, weet je nog? Bij de overheid teken je een verklaring dat je niets naar buiten brengt van wat je in je werk tegen komt... Vaak met behoorlijke hoge boetes (duizenden euro's) wanneer je dat vetrouwen beschaamd. In het bedrijfsleven is het vaak niet anders.

Een reclameboodschap verpakt als "onderzoek". Beste Heleen van Roon hebben ze je op de school voor journalistiek niet geleerd dit soort rommel te meiden?
Beetje kritischer kijken naar de samensteller van zo'n onderzoek had je deze blunder bespaard.

Tegen domheid helpt ook de software van cyber-ark niet.
Enkele voorbeelden:

- mail voor het versturen van vertrouwelijke informatie (zoals ook al aangegeven door Jaap). Vooral bij grote bedrijven komen sommige namen nogal vaak voor. Hierdoor kan informatie makkelijk bij de verkeerde persoon belanden
- vertrouwelijke documenten op een gedeelde netwerkomgeving zetten. Een kennis (accountant van beroep) zocht een dossier van een werknemer i.v.m. een bepaalde vertrekregeling (ivm de financi?le afhandeling hiervan) en kwam vervolgens ook een document tegen waarin hem dezelfde regeling aangeboden ging worden. Lullig om er zo achter te komen dat je contract niet verlengd wordt.
- Afdelingsprinters die niet met wachtwoorden/codes werken. Hoe vaak ligt er in een afdelingsprinter documenten van management, die eigenlijk niet voor jou ogen bestemd waren.

Zolang beveiliging niet tussen de oren van mensen zit, blijf je hier tegenaan lopen

Mensen gaan niet altijd goed met inlogcodes en wachtwoorden om, maar als ICT medewerker heb je een vetrouwensband met je gebruikers die je niet mag
beschadigen. Dit lijkt meer een commercieel verkooppraatje. Hiernaast roep ik mensen op zorgvuldig met hun inlogcode en wachtwoord om te gaan.

Hoe je 't ook wendt of keert... Cyber-Ark werkt ook niet. Zolang als het gedrag van mensen niet verandert, zal er altijd een security leak zijn.

It's a contest between Programmers and the Universe. Programmers are trying to create idiot-proof programming, the Universe is creating better idiots. So far, the Universe is winning.

Als de Informatie Systemen als Energie Systemen ontworpen worden, dan kan dit probleem goed opgelost worden. In een Energie Systeem heb je bijvoorbeeld de funkties Energie Productie, Energie Conversie, Energie Distributie, Energie Opslag en Energie Consumptie. Als een Informatie Systeem op deze manier gemodelleerd wordt, dan spelen de problemen welke geschetst worden in het bovenstaande artikel in de funkties distributie en opslag. Als de informatie in deze funkties data is voor een ICT'er, dan kan de informatie niet stiekem bekeken worden. De inleiding voor een methode om ICT Systemen op deze manier te ontwerpen is te vinden op de link http://docs.google.com/View?docid=dds86766_0drrp6t Een presentatie en uitleg van een operationeel research systeem dat op deze manier ontworpen is, is te vinden op de link http://picasaweb.google.com/freemovequantumexchange

Informatie is binnen de meeste bedrijven slecht afgeschermd tegen ongewenst toegang en verandering. Maar veelal spelen er meerdere argumenten:

Is dit gegeven vervend?
o Er zijn genoeg situaties dat de kosten niet opwegen tegenover de baten.
o Afgezet tegen het risico profiel van de totale onderneming kan het onderwerp totaal niet relevant zijn. Dus geen aandacht aanschenken tot bij een volgend PDCA risicomanagement cyclus.

Wat is vertrouwelijk?
o Laat jij je vertrouwelijke spullen rondslingeren? Bij een openbaar netwerk bestaat immers toch geen vertrouwelijkheid. Het wordt vervelender als ieder in de veronderstelling is het netwerk en de bijbehorende informatie veilig is.
o De stelling kan wel zijn dat zonder maatregelen informatie binnen een organisatie altijd toegankelijk is. Door systeembeheerders, medewerkers, leidinggevende, hackers, andere kwaadwillende en opsporingsdiensten (al dan niet met een bevel).

Wat zegt de wetgever over afscherming van informatie? (Privacy, Handel in voorkennis, VIR-BI, etc).
o Indien een wetgeving eisen stelt aan de informatiehuishouding moet er iets gedaan worden. Dan wordt een risicoanalyse, kosten /baten en de eisen vanuit de regulering actief. Denk maar aan handel in voorkennis. Dit mag niet van de wetgever. In dat geval moet je dus als ?beurs genoteerd? bedrijf je financi?le huishouding (vooral de pre jaarrekening publicatie periode) afschermen van ongewenste toegang. De consequenties van niet naleven kunnen groot zijn. (denk ook maar aan SOX wetgeving)

Is dit gewenst gedrag binnen een organisatie / individu?(bedrijfsnormen en waarden).
o Ik ken bedrijven die heel slecht omgaan met privacy van werknemers. Geen vertrouwen, heimelijke toezicht op internet verkeer, emails, telefoongesprekken, etc. Vaak onder de noemer van performance en prestatie metingen. Deze bedrijven gaan vaak over of zoeken de grens van wet en regelgeving. Andere bedrijven hebben door een sterke en actievere OR betere afspraken gemaakt.
o Een ander gegeven is communicatie. Indien een organisatie niet communiceert over (on)gewenst gedrag (en consequenties) kan een individu dit ook moeilijk naleven.

Is het ethisch wel verantwoord?
o Deze vraag dient ieder voor zich te beantwoorden. Maatschappelijk trend is dat deze vraag steeds minder speelt en dat zowel de wetgever, bedrijven en individuen het blijkbaar steeds minder belangrijk vinden.

For security reasons, passwords in the database need to be encrypted.

@Rene Visser

Uit de reactie van Rene Visser valt reeds af te leiden dat informatie welke NIET bedoeld is voor onbevoegde derden, zoals systeembeheerders welke in dit artikel genoemde worden End-to-End beveiligd dient te worden, bijvoorbeeld door PGP of PKI te gebruiken. Dat vele gebruikers van ICT Systemen in de veronderstelling zijn dat de communicatie niet door onbevoegde derden wordt gelezen blijkt in de praktijk vrijwel altijd onjuist te zijn.

In God we Trust toch??? Privacy?? Wat is dat?
Anders kun je net zo goed robots op de ict afdeling neerzetten.

Cyber-Ark... Is dit een variant van die van Noach?
Lijkt wel op een bewust angstzaai verhaal gelijk onze overheid gebruik tom terror**** te bestrijden en de burgers dwingt om hun vrijheid op te geven.
- Create Fear

Vacatures

Stuur door

Stuur dit artikel door

Je naam ontbreekt
Je e-mailadres ontbreekt
De naam van de ontvanger ontbreekt
Het e-mailadres van de ontvanger ontbreekt

×
×