Hoofdcategorieën
Device Settings

[RSS] [quick] Index » Nieuws » Pro » Software » Beheer & Beveiliging » Studie: 9 van de 10 systeembeheerders steelt data na ontslag

Studie: 9 van de 10 systeembeheerders steelt data na ontslag

Door Dimitri Reijerman, dinsdag 2 september 2008 17:26, views: 27.466

In een onderzoek onder driehonderd systeembeheerders heeft bijna negentig procent aangegeven dat ze bij ontslag bedrijfsgeheimen meenemen. Daarnaast zou veel it-personeel te laks zijn bij de opslag van vertrouwelijke gegevens.

LockHet onderzoek werd uitgevoerd door de beveiligingsfirma Cyber-Ark. Naast de 88 procent van de ondervraagde systeembeheerders die aangaf bij ontslag data van de baas te zullen stelen, liet een derde van hen weten dat ook belangrijke inloggegevens worden meegenomen. Gebruikersnamen en wachtwoorden worden door bedrijven zelden of nooit veranderd, zodat ook accounts van voormalige personeelsleden vaak lang actief blijven.

Door de hoge bereidheid onder it-personeel om gevoelige gegevens achterover te drukken, lopen bedrijven de nodige risico's, schrijven de onderzoekers. Volgens de studie vermoedt een derde van de onderzochte bedrijven dat er bedrijfsgeheimen via bijvoorbeeld usb-sticks of e-mails worden weggesluisd. Ook zou het lokale netwerk regelmatig worden doorzocht op gegevens als salarisinformatie of notulen van belangrijke vergaderingen. Overigens is het vaak niet erg moeilijk om de benodigde data te bemachtigen: een op de drie systeembeheerders plakt nog steeds briefjes met belangrijke wachtwoorden op zijn monitor. Verder durft vier procent van de ondernemingen het nog aan om gevoelige data via de post te sturen.

Hoewel het publiceren van onderzoeken als deze meestal als doel heeft om de verkoop van een product te stimuleren, tonen de cijfers ook aan dat leidinggevenden op een aantal zaken moeten letten als zij it-personeel ontslaan. Toch werken sommige maatregelen in de praktijk juist contraproductief. Zo blijkt dat er vaker wachtwoorden op de monitor worden geplakt als medewerkers worden verplicht om regelmatig een nieuw wachtwoord in te stellen.

Volgende 17:50 Kabelbedrijven introduceren keurmerk voor binnenhuisbekabeling
Vorige 16:58 Logitech brengt ultradun verlicht toetsenbord uit
Advertentie

Lees meer over

Gerelateerde content

Gerelateerde jobs

Reacties

Flat modeFlat mode Sorteer aflopendSorteer aflopend Moderatie FAQModfaq
Niveaufilter: -1 Ongewenst: 100 reacties zichtbaar1000 Off-topic / Irrelevant: 90 reacties zichtbaar90+1 On-topic: 30 reacties zichtbaar30+2 Informatief: 18 reacties zichtbaar18+3 Spotlight: 0 reacties zichtbaar0
«  1  2  3  4  »

Door Clarissa, dinsdag 2 september 2008 17:30

Score: 0
Ik ben systeembeheerder, maar nog nog nooit 1 van deze dingen gedaan.. blijkbaar 1 van die 10..

Door skralan, dinsdag 2 september 2008 17:32

Score: 0
Jij bent dan ook nog niet ontslaan...

Door Tead, dinsdag 2 september 2008 17:34

Score: 0
Dit gebeurt pas na je ontslag ;)

Door Coromoto, dinsdag 2 september 2008 17:34

Score: 0
Misschien is jouw definitie van diefstal een andere dan de onderzoekers.

Ook het meenemen van documenten uit projecten die bij de ene werkgever zijn uitgevoerd naar een nieuwe werkgever met de bedoeling daar ooit (een deel) van te copy-pasten kan als diefstal worden aangemerkt.

Of software die alleen bij die werkgever in licentie was 'vergeten' te installeren.

Door Khildin, dinsdag 2 september 2008 20:43

Score: 0
Dan wordt dus de vraag: bij wie ligt de copyright van stukken die je maakt tijdens je werk. Is de copyright voor de schrijver of voor de werkgever.

Door vandermark, dinsdag 2 september 2008 21:00

Score: 1
Dat is dus helemaal geen vraag: alles wat een werknemer in loondienst produceert tijdens zijn werk voor een werkgever behoort tot de werkgever.

Door jp, dinsdag 2 september 2008 21:40

Score: 0
Dat is dus helemaal geen vraag: alles wat een werknemer in loondienst produceert tijdens zijn werk voor een werkgever behoort tot de werkgever.

Ook wat een medewerker in zijn vrije tijd produceert behoort strict genomen tot de werkgever.

Door Remus, dinsdag 2 september 2008 21:45

Score: 0
En dat is dus pertinent niet waar.

Door Keypunchie, dinsdag 2 september 2008 21:58

Score: 1
Onzin. Als jij een boek in je vrije tijd schrijft, is dat jouw boek, helemaal niet van je werkgever...

Alles wat je uit hoofde van je functie schrijft kom rechtens je werkgever toe, tenzij anders overeengekomen.

Door Multi-X, woensdag 3 september 2008 08:51

Score: 0
Nee zeker geen onzin, vooral bij bedrijven waarin veel software ontwikkelaars werken is het mogelijk (vooral bij amerikaanse bedrijven) dat er een clausule in het contract word opgenomen waarin staat dat dat al het intelectueel eigendom tijdens in dienst zijn bij de werkgever opeisbaar is door de werkgever.

Door MaZeS, woensdag 3 september 2008 09:02

Score: 0
Is dus kort gezegd wel onzin, want in zo'n clausule kun je net zo goed zetten dat de werknemer ieder weekend de auto van de baas moet wassen

Door massareal, woensdag 3 september 2008 09:59

Score: 0
mmm, dan krijg ik waarschijnlijk nog een hoop geld van mijn oud werkgevers.
Meestal werkt het net omgekeerd bij de overheid, neem juist kennis en technologie(software) juist van huis mee.

Door HAL 9000, dinsdag 2 september 2008 22:05

Score: 2
Werknemer produceert iets tijdens werkuren wat in lijn van zijn werk ligt (bvb: ingenieur werkzaam in auto R&D lab produceert zuinigere motor, om maar iets te zeggen), dan ligt intellectuele eigendomsrechten bij werkgever.

Werknemer produceert iets na werkuren wat niet in lijn ligt met zijn werkzaamheden (de ingenieur ontwerp in vrije tijd een design sofa), dan ligt copyright bij werknemer.

Tussengevallen zijn onduidelijker (wél tijdens werktijd, maar niet in lijn met werk, of in lijn met werk, maar buiten de uren), en er bestaat geen duidelijke wetgeving over. Werkgeversorganisaties neigen dan eerder naar een systeem waarbij copyright naar werkgever gaat, maar werknemer krijgt royalties. Vakbonden vinden eerder dat copyright in deze gevallen naar de werknemer gaat.

Anyway, in deze gevallen is het dikwijls de rechter die een uitspraak doet, naargelang de omstandigheden.

Dit is de situatie in België, misschien dat het in Nederland ietsje anders ligt.

Door Guru Evi, dinsdag 2 september 2008 23:00

Score: 2
Dat kan ook afhangen van je contract en het product. Hier in de US ligt al het copyright automagisch bij de maker (of makers) van het product behalve als de werkgever je een opdracht geeft om het werk te produceren onder hun licentievoorwaarden. Het wordt natuurlijk een hoopje als je iets met een team produceert.

Ik produceer een hoopje code gedurende mijn werk en dat is allemaal onder GPLv2 licentie, de werkgever kan daar niets aan veranderen omdat het originele product onder de GPLv2 licentie valt.

In contracten vind je dan ook veelal dat code die geproduceerd wordt tijdens werkuren bij de werkgever behoort, wat ik dan ook pertinent uit mijn contract haal en aangeef dat mijn code van mij is of onder een open licentie geproduceerd wordt alvorens te tekenen.

Door Joolee, woensdag 3 september 2008 12:47

Score: 0
En dat wordt geaccepteerd door de werkgever?

Door NC83, woensdag 3 september 2008 04:12

Score: 0
Dat ligt een beetje aan de middelen die je gebruikt zijn deze afkomstig van de werkgever dan ja. Heb je ze zelf aangeschaft en ben je niet met werk voor de werkgever bezig dan is het je eigen product.

Door GravendeelBert, woensdag 3 september 2008 11:29

Score: 2
Aan de werkgever komen volgens de wet alleen "functie-conforme" uitvindingen of auteursrechtelijke werken, merken of modellen toe. En de receptioniste bij Philips die een nieuwe lamp uitvindt (werkdag of niet) behoudt zelf het intellectuele eigendom.
Mvg Bert Gravendeel -advocaat IE/ICT-recht te Hilversum

Door brompot758, dinsdag 2 september 2008 21:38

Score: 0
Als je een werk vervaardigt in opdracht dan ligt het copyright bij de opdrachtgever. Het maakt dus niet uit of je in loondienst bent, freelanced of wat ook.

Alleen als je van tevoren in een contract vastlegd dat het copyright anders ligt kun je hier onderuit komen.

Anders ligt het met werk dat je vervaardigt tijdens een dienstverband of contract tijdens werkzaamheden die daar niet onder vallen. Die zijn gewoon van degene die het werk gemaakt heeft. Aangenomen dat dat in zijn eigen tijd is gedaan.

Door jhellingman, woensdag 3 september 2008 11:16

Score: 2
Het auteursrecht komt alleen bij de baas te liggen als het in loondienst (dat is, in het kader van je functie) is gemaakt. Voor werk van freelancers, e.d., is hiervoor een (aparte) schriftelijke overeenkomst nodig.

In geval van mogelijke twijfel (bijvoorbeeld, je werkt in je vrije tijd aan open-source project) is het soms zinvol voor je aan het werk begint hierover een aparte verklaring van je werkgever te vragen om discussies achteraf te voorkomen, maar strikt genomen is dat niet nodig. Zolang je geen concurrerend product maakt moet dat ook geen probleem zijn.

Door SuperDre, dinsdag 2 september 2008 21:47

Score: 0
Hell, je moet zelfs opletten als je buiten werktijd zelf iets maakt en je een schofterige baas hebt, behalve als jij bv buschauffeur bent (ofwel een compleet andere functie als dat je op je werk verricht).. Dus heel goed afspraken maken als je zelf thuis ook bv programmeert .. Tja, bij ruzie ben jij meestal de penis... ik heb inmiddels al enkele horrorverhalen daarover gehoord..

Door dasiro, dinsdag 2 september 2008 19:04

Score: 1
Gebruikersnamen en wachtwoorden worden door bedrijven zelden of nooit veranderd, zodat ook accounts van voormalige personeelsleden vaak lang actief blijven.
bij ons verwittigd de personeelsdienst ons wanneer er een ontslag valt op dezelfde manier als dat er een nieuwe werknemer in dienst komt. soms zelfs tijdens "het laatste gesprek".

wat natuurlijk niet te vermijden is de data die je onthoudt: procedures, werkwijzes, social hacking en ga zo maar door.

Om volkomen veilig te zijn tegen de bedreigingen die een ex-IT'er kan vormen zijn echter maar weinig dingen tegen te doen. Op technisch vlak zijn de IT'ers de machtigste personen in een bedrijf. In samenwerking met de personeelsdienst kunnen zij een bedrijf binnen no-time volledig en permanent ten gronde richten en dan is er NIEMAND die er nog iets aan kan doen

Door timonb, dinsdag 2 september 2008 19:32

Score: 1
Dat gezegd hebbende. Bedrijven moeten er voor zorgen dat nodige maatregelen getroffen worden. Accepteren dat het toch gebeurd en dat als excuus gebruiken om er niets aan te doen is onacceptabel.

Dat een IT-er schijnbaar zo enorm machtig is, zoals jij schetst, lijkt mij nonsense. Bij enige vorm van misbruik wordt een IT-er ontslagen op staande voet, om vervolgens voor het bankje te mogen verschijnen met alle claims van dien. Daarnaast zullen IT-ers en de afdeling P&O nooit samenwerken om een bedrijf ten gronde te richten. Daar is zowel de IT als de P&O niet bij gebaad. Wat nog een sterker argument is dat de individuele persoon dat sociaal gezien niet wenselijk vindt.

Door Vordreller, dinsdag 2 september 2008 19:54

Score: 1
De manier waarop jij het stelt is een ware utopie: er wordt iets misdaan, dat wordt onmiddelijk gemerkt en alle nodige acties worden uitgevoerd.

De realiteit is anders.

Hoe groter het bedrijf, hoe meer achterdeurtjes, hoe meer luiheid. Het idee dat grote bedrijven intern gestructureerd zijn en perfect onderhouden is schone schijn voor de media en mensen die nog maar net aangenomen zijn(en zelfs voor sommige bazen die niet merken wat er zich onder hun neus afspeelt)

Als je jezelf een IT-mens wilt noemen, dan KAN je die dingen die niet te tracen zijn, dan check je eerst of er iets te tracen valt en kijk je vooraf hoe je tewerk gaat.

ALLES kan gehackt worden, vergeet dat nooit!

Door kfaessen, dinsdag 2 september 2008 22:01

Score: 1
Jou opmerking is helaas niet waar... Een systeembeheerder is vaak machtiger dan de hoogste baas in een bedrijf.

Zelf was ik systeembeheerder van een klein bedrijf van ongeveer 30 mensen. Ik kon dus letterlijk ALLES op de servers, maar om te voorkomen dat mijn baas dingen verkeerd deed (wat dan per ongeluk gebeurde) heeft hij minder rechten dan wat ik had. Zelfs nadat ik weg was gegaan kon ik nog van buiten uit inloggen en alles doen waar ik zin in had, waarom? omdat ik niet ben vervangen en er alleen een extern bedrijf wordt ingeschakeld als er problemen zijn.

Nou kun je wel zeggen van dat het mijn ex baas zijn schuld is maar hij heeft hele andere dingen aan zijn hoofd dan zich hiermee bezig te houden.

Ik heb hier overigens geen misbruik van gemaakt en dat zal ik ook nooit doen (ik ben dan ook niet ontslagen maar ben zelf weggegaan, ik denk dat er toch een groot verschil in zit)... Maar iemand anders kan dat dus wel zo doen.

Door fdisk, dinsdag 2 september 2008 23:32

Score: 1
Het feit dat je ex baas hele andere dingen aan zijn hoofd heeft doet natuurlijk niets af aan dat hij wel degelijk verantwoordelijk is. En deze dingen kunnen een baas toch redelijk duur komen te staan.

Door zL4cQxssNRiCVp, woensdag 3 september 2008 15:39

Score: 0
Het feit dat jij weet dat je inloggegevens op een zeker moment nog werkten houdt dus kennelijk in dat je minimaal 1x geprobeerd hebt om in te loggen.
Ook al heb je toen niets strafbaars gedaan, de daad van het onbevoegd inloggen is op zichzelf al verboden (dat valt onder computervredebreuk).

Dat je hebt kunnen inloggen zegt natuurlijk ook wel iets over het bedrijf dat nu je voormalige werk doet...

Door Iozay, woensdag 3 september 2008 16:10

Score: 2
De grap is dat het onmogelijk is om onbevoegd in te loggen tenzij je de boel kraakt. Je hebt alle recht om op je eigen account in te loggen gezien ie van jou is. Het bedrijf heeft in dit geval de fout gemaakt om het account niet uit te schakelen/verwijderen wat overigens niet eens zo moeilijk is.

Als je permissies naar jezelf toe gaat halen zonder dat je daar speciale toestemming voor hebt dan is het een ander verhaal. Daarnaast is er ook nog het feit dat elke kleine actie in het logboek verschijnt, zelfs een inlogpoging!

Verder vind ik het van de gekken dat een systeem beheerder briefjes met belangrijke wachtwoorden op plakt. Dat hoort gewoon niet zo. Als een werknemer die er geen verstand er van heeft het doet kan nog wel maar een systeembeheerder heeft een gigantische verantwoordelijkheid.

Daarnaast is het echt niet zo lastig om informatie weg te sluisen. Gewoon een extra backupje draaien voor het geval dat er iets fout gaat en klaar maar het is van der gekken dat men het serieus gaat stelen. Met zulke informatie hoor je stomweg niet te slingeren.

Door dasiro, woensdag 3 september 2008 08:29

Score: 0
nonsens hé ? kijk dan eens naar de volgende theoretische situatie:

je bent getrouwd met een collega van HR en je door je baas ontslagen omdat zijn vrouw jou net iets te leuk vindt en vice versa. Hij bezorgt je een slechte C4 waarvan zowel jij als je vrouw weten dat dit absoluut niet klopt, maar niet te weerleggen is.

Heb je dan zo'n baas als kfaessen hieronder hebt, dan kan ik mij perfect inbeelden dat je de beste man aan de grond wil hebben. Gebaat zal je er inderdaad niet bij zijn, maar dat is meestal niet het geval als je wraak neemt

Door johncheese002, woensdag 3 september 2008 14:57

Score: 0
Gekrenkte eer en gebroken status is idd de grootste reden voor ernstige rattigheid.

Door dsdevries, donderdag 4 september 2008 23:36

Score: 0
euhm ik weet niet hoor, maar als systeembeheerder, security officer en databeheerder 1 en dezelfde zijn doe je als bedrijf toch echt iets verkeerd lijkt mij?

Door Bas van der Doorn, dinsdag 2 september 2008 17:30

Score: 0
Toch werken sommige maatregelen in de praktijk juist contraproductief. Zo blijkt dat er vaker wachtwoorden op de monitor worden geplakt als medewerkers worden verplicht om regelmatig een nieuw wachtwoord in te stellen.
Het eeuwige cliché. Maar als de systeembeheerder die wachtwoorden mee weet te nemen, dan heeft hij er na een paar weken niets meer aan. Dan hangen er briefjes met nieuwe wachtwoorden op de monitoren, die hij niet meer ziet omdat hij er niet meer in mag... het blijft voor andere beveiligingsaspecten natuurlijk wel een ramp, die briefjes.

Door Dutch2007, dinsdag 2 september 2008 17:35

Score: 0
ligt eraan, waar dit is ;-)

ken een plek, waar ze gekozen hebben om zelfs op te schrijven wat de wachtwoorden is/zijn van de medewerkers en de medewerkers niet te verplichten steeds wachtwoord te wijzigen (dit omdat ze steeds wachtwoorden deden vergeten)


dus * lijst met passwoorden & no-auto change... ligt er dus totaal aan WIE en waar...

Door jeroen77, dinsdag 2 september 2008 17:35

Score: 0
Als ik die text goed lees, blijven juist de dezelfde briefjes hangen of blijven de oude ook werken.

Door HAL 9000, dinsdag 2 september 2008 17:34

Score: 1
Boodschap van het onderzoek, gericht aan IT managers: "Be afraid, be very afraid. Maar koop onze producten, en het is allemaal opgelost."

Verder is het ook volop open deuren intrappen.

Toch werken sommige maatregelen in de praktijk juist contraproductief. Zo blijkt dat er vaker wachtwoorden op de monitor worden geplakt als medewerkers worden verplicht om regelmatig een nieuw wachtwoord in te stellen.

Weet iedereen die iets van IT security afweet deze zaken al niet véél langer?

Conclusie: dit onderzoek is waardeloos.

[Reactie gewijzigd door HAL 9000 op dinsdag 2 september 2008 17:34]

Door Parabellum, dinsdag 2 september 2008 17:50

Score: 2
Het gaat om bewustwording. Er ligt een probleem die aandacht vereist. In de beveiliging lopen veel bewakers met moedersleutels rond en zoals ze zeggen, de gelegenheid maakt de dief. Is iedere bewaker nu een dief ? Nee, slechts een handjevol gaat wel eens scheef maar door de loop der jaren is dat aantal behoorlijk teruggedrongen omdat er een simpele vraag en oplossing was, wie kontroleerd de bewaker ?

Doormiddel van simpele verborgen camera's werden veel rotte vissen er tussenuit gevist maar om de schade nog meer te beperken werden verborgen camera's nu standaard geinstalleerd met als gevolg dat economische schade meer beperkt bleef. Wie controleerd de cam ? Een speciale afdeling bestaande uit meerdere personen, immers, technieken liegen niet. Simpele software houd onderbrekingen in de gaten van HD opname's en steek proefsgewijs werd het systeem gecontroleerd alswel de videobeelden.

Is het dan nu bullitproof ? Nee, zal het ook nooit worden, maar iedere procent daling is een hoop over de hele linie. Het onderzoek is dan ook niet waardeloos maar vraagt aandacht om te denken over wie nu de systeembeheerders gaat controleren op een manier dat de pakkans groter word en dat een medewerker zich 2 maal bedenkt voordat hij iets onderneemt. Preventief te werk gaan is de beste beveiliging die je maar kunt hebben :)

Door Nappie, dinsdag 2 september 2008 18:08

Score: 0
Er ligt een probleem die aandacht vereist.
Dat is dus juist de vraag. Dit beveiligingsbedrijf heeft een onderzoek gedaan waaruit blijkt dat er een probleem is waar zij een oplossing voor verkopen. De eerste vraag die ik voor ze heb is, welke definitie van "data stelen van de baas" wordt gehanteerd?

Formeel is het waarschijnlijk diefstal zodra je ook maar een stukje broncode meeneemt dat je in de baas zijn tijd hebt geschreven. In de praktijk zal niemand wakker liggen als admin een scriptje meeneemt dat hij geschreven heeft.

88%? Dat is wel erg veel. Wat wil zo'n beheerder dan met die data?

Door fevenhuis, dinsdag 2 september 2008 19:49

Score: 0
Het gaat hiet niet om bewustwording maar om smeerreclame,
de zogenaamde "conclusies"van het onderzoek dat
Ontslagen Systeembeheerder = Oplichter & Dief,
is werkelijk een rapport gemaakt door leugenaars.

Door Vordreller, dinsdag 2 september 2008 19:56

Score: 0
Dat is niet wat er gezegd wordt, maar wat jij eruit gehaald hebt.

Het rapport geeft aan dat van alle onderzochte Systeembeheerders, wat er hoogstens een paar honderd zullen zijn, 9 op de 10 data gestolen heeft.

Dit onderzoek is niet representatief, omdat men nooit genoeg mensen kan ondervragen om tot een realitisch cijfer te komen.

Door Nazdrovje, dinsdag 2 september 2008 22:17

Score: 2
"Dit onderzoek is niet representatief, omdat men nooit genoeg mensen kan ondervragen om tot een realitisch cijfer te komen."

Nooit van statistiek en kansberekening gehoord zeker?

Stel dat het werkelijke cijfer 1 op de 10 is. Hoe groot is de kans dat je als je 300 willekeurige mensen trekt, je precies diegene eruit pakt die de kans 9 op 10 (of groter) maakt? Erg klein. Om precies te zijn (onder de aanname dat de groep van alle systeembeheerders erg groot is tov de steekproef van 300) is dit:

Sum[Binomial[300, i]*(0.1)^i*0.9^(300 - i), {i, 270, 300}] = 7.43325*10^-231

Astronomisch klein dus.

De kans dat op basis van deze gegevens de daadwerkelijke waarde in het interval {0.866667, 0.933333} ligt is 95%. Met 99% zekerheid ligt de werkelijke waarde in het interval {0.856667, 0.943333} {0.853333, 0.946667}.

E.e.a. verondersteld wel dat de selectie volkomen random is. Gezien het feit dat de gegeven antwoorden sociaal onwenselijk zijn (waarschijnlijk zullen relatief veel criminele systeembeheerders niet antwoorden dan wel liegen) zal een selectieafwijking de situatie alleen maar het percentage drukken (dwz eigenlijk ligt de echte waarde hoger dan 0.9).

Kortom, op basis van deze summiere gegevens zit het wel snor met die steekproef.

[toevoeging]
Het is wel nuttig te kijken naar issues als het percentage non-response. Als dit erg groot is dan zullen de factoren die een bias vormen in de non-response ook een grote invloed hebben. Voor een bedreigde systeembeheerder kan het bijvoorbeeld nuttig zijn middels deze enquete te laten blijken dat ontslag de werkgever duur kan komen te staan. Daarentegen kan een eerlijke systeembeheerder denken dat dit verschijnsel uberhaupt niet voorkomt waarop hij geërgerd niet zal reageren. Hierdoor krijgen we mogelijk een flinke bias in de resultaten.

[Reactie gewijzigd door Nazdrovje op woensdag 3 september 2008 10:18]

Door Parabellum, dinsdag 2 september 2008 22:36

Score: 2
Niemand is verplicht zich te beveiligen en als je dat wil dan is er de vrije keus hoe je dat doet en eventueel door wie laat doen. Ik zal niet zeggen dat deze uitspraken representatief zijn maar het kan een hoop bedrijven aan het denken zetten en vaak is het toch wel de grootste onzichtbare verliespost.

Ik heb zelf een tijdje de computervloeren van de ING en de ABN-AMRO destijds beveiligd en wat me op viel is dat medewerkers van deze centra's zich absoluut niet hoefde te onderwepen aan visitatieplicht en de raad van bestuur wilde er niets van weten. Wake up call anyone :?

Daarmee heeft de zin van beveiligen geen enkel doel meer en geef je mensen een vrij geleide om te kunnen doen en laten wat ze willen. Zo was er ook een geldvloer in van de panden bij 1 van de banken voor buitenlandse valuta en ook hier hoefde niet gecontroleerd te worden. Werd er al eens geld ontvreemd dan nam de bank dat voor lief en ging het de doofpot in. Kortom, de mens blijft altijd de zwakste schakel en zijn bondgenoot zal altijd geld blijven, in welke vorm dan ook.

En ik lach, maar schaam me tevens ook om de laksheid als je praat over bedrijfsgeheimen en hoe men daar qua veiligheid mee om gaat. Mooiste voorbeeld in Nederland is dan ook het sluizen van documentatie naar het buitenland van hoe een kernwapen te maken waardoor de beste bieders in de wereld ineens een atoombom kunnen maken. Het gaat mij niet om het feit of een land daarvoor nu in staat is al dan niet maar hoe men met veiligheid in zijn algemeniteit om gaat.

Microsoft en vele andere Amerikaanse bedrijven lossen dat probleem goed op door personeel in staat te stellen om aandelen te kopen. Hierdoor werk je niet alleen voor een bedrijf maar ook voor jezelf, stelen is dan ook op voorhand pikken van jezelf en een riant inkomen in de waagschaal te stellen, met alle gevolgen van dien want dergelijke aspekten blijven niet onopgemerkt, aangezien vele bedrijven in de VS een screening er op nahouden bij een eventuele sollicitatie.

Onderschatten is prima en in het MKB word een bepaald deel van de omzet al afgeschreven voor dit soort zaken alszijnde een gecalculeerde onkostenpost. Triest maar waar en die cijfers liegen er niet om, zeker als je bekijkt om wat voor bedragen het op jaarbasis kan gaan. De uiteindelijke kostprijs word doorberekend aan de klant en dat zit dus in jouw aankoopprijs, je betaald dus voor de minheid van een ander.

Door Aikon, dinsdag 2 september 2008 17:35

Score: 0
Hoewel het publiceren van onderzoeken als deze meestal als doel heeft om de verkoop van een product te stimuleren, tonen de cijfers ook aan...
Als dat vaak het doel is, is het aannemelijk dat ook vaak de cijfers zijn gemanipuleerd. Niet echt een nieuwswaardig bericht dit.

Door basset, dinsdag 2 september 2008 17:45

Score: 2
Tja,

Dat heb je niet alleen met systeembeheerders. Project Managers kunnen ook bij een hoop belangrijke data. HRM medewerkers etc.

Het belangrijke is een systeembeheer na ontslag direct de toegang te ontzeggen en hem betaald de opzegtermijn bijzonder verlof te geven. Dat geldt eigenlijk voor alle mensen die bij gevoelige informatie kunnen komen.

Maar goed, niet overdrijven.

Het klinkt hard, maar je ontkomt er vaak idd niet aan.

Het lijkt me overigens niet handig als je ooit nog ergens anders aan de bak wil komen.

Door Malarky, dinsdag 2 september 2008 17:50

Score: 2
Ach over wachtwoorden. Ik werk als jongere in de vakantie bij een bedrijf dat waslagen op vloeren aanbrengt in gebouwen. Vooral middelbare scholen gedaan in de zomervakantie (die hebben dan alleen de tijd en bijna altijd lino op de vloer). Uiteraard ben ik in elk ict hok wachtwoorden op bureaus tegengekomen (ik snuffel niet maar je ziet ze liggen en ook daar moet je zijn). In Rotterdam, zal geen naam noemen, ben ik in de lerarenkamer een sticker geplakt op een bureau tegengekomen, met de plaats op de server waar de bewerkte tentamens van 2008 voor elk vak moesten komen. Je moest dan inloggen met een gebruikersnaam in de computer met als naam: tentamens en het wachtwoord was schoolnaam2008. Vervolgens kan je naar die locatie (die moet je wel net weten - staat er wel bij). Het is dat ik op een andere middelbare school zit in Rotterdam, maar wat een stomiteit. Dit zou ik duur kunnen verkopen aan vrienden die ik daar ken.

Door musiman, dinsdag 2 september 2008 19:07

Score: 1
Ik schrik van het percentage systeembeheerders dat wachtwoorden laat slingeren...
Als IT trainer krijg ik diezelfde systeembeheerders in mijn trainingen en uiteraard is ook security regelmatig onderwerp van gesprek. Zelf krijg ik dan de indruk dat de cursisten zelf meestal WEL goed omgaan met gevoelige informatie en wachtwoorden, maar hun niet-IT collega's niet.
Maar het percentage van 90% van systeembeheerders dat doelbewust data zou meenemen bij ontslag... dat durf ik eigenlijk niet te geloven. Ik vraag mij bij zo'n getal eerlijk gezegd af, hoe het onderzoek is opgezet, hoe de vraagstelling precies was en of er correct om is gesprongen met de verkregen data.
En dan (wat anderen ook al zeggen) is het ook zo dat dit bedrijf zijn eigen (security) product wil verkopen.

Door KimG, dinsdag 2 september 2008 17:51

Score: 2
De wachtwoorden is vaak een probleem, zo heeft onze IT-beheerder ooit onze eigen servers moeten kraken omdat de ex-IT-beheerder de wachtwoorden niet wou vrijgeven. Je kan dit dan wel juridisch oplossen maar als er deadlines zijn ... Ook zelf geef ik toe dat ik hier bedrijfsgevoelige informatie heb thuis, niet gestolen (ben ook nog niet ontslagen :P). Ik ben dan wel gebonden aan NDA's maar wie o wie gaat de moeite doen om mijn persoonlijke PC te controleren als ... ? (ter info: de bedrijfsgevoelige informatie is hier thuis wel veilig & encrypted opgeslagen, ik heb het ook gewoon nodig omdat ik soms thuis werk doe).

Door DarkTemple, dinsdag 2 september 2008 18:36

Score: 2
Lijkt me een onwenselijke situatie dat er maar 1 persoon is met alle rechten. Er zou toch minimaal, als er echt geen andere persoon de benodigde rechten mag hebben, een extra account moeten zijn, waarvan het wachtwoord in de kluis ligt.

Slecht over nagedacht blijkbaar.

Door KimG, dinsdag 2 september 2008 19:24

Score: 0
Niet noodzakelijk, we werken in een klein bedrijf (3 werknemers + de 'baas'). Ik en de IT-beheerder zijn de enige met uitgebreide it-kennis, onze 'baas' (eigenlijk collega, de sfeer is heel familiaal) heeft wel redelijk wat it kennis maar zeker niet op server gebied. Onze project-manager ook niet. Ondertussen is de policy wel veranderd en worden alle wachtwoorden in een beveiligde database opgeslagen voor noodgevallen, maar het blijft toch een risico. Je kan wel eventueel de beveiliging door een extern bedrijf laten doen, maar eigenlijk hou je het liefst binnenhuis. edit: typo

[Reactie gewijzigd door KimG op dinsdag 2 september 2008 19:27]

Door Niemand_Anders, dinsdag 2 september 2008 19:49

Score: 1
En waarom zou de ontslagen systeembeheerder niet als eerste inloggen op de domain controllen en als eerste alle accounts in de administrators groep locken. Vervolgens kunnen de manager accounts gelocked worden en zou lock je de belangrijkste accounts als eerste.

Password reset disks hebben geen nut, omdat het account simpelweg gelocked is. Nadat de belangrijkste acounts onbruikbaar zijn gemaakt kan de ex admin de wachtwoorden gaan aanpassen.

En het enigste wat je hiertegen kunt doen is echt alleen maar regelmatig de wachtwoorden veranderen, daarmee is de bruikbaar van de 'gestolen' credentials beperkt. Een ex admin welke alleen rondsnuffelt is lastig te detecteren aangezien 'succesvolle logins' door de meeste syslog checkers verwijderd zullen worden (als admin wil je immers weten wat afwijkt). Zelfs een ex medewerker welke alleen maar 'meekijkt' kan dan op een gegeven moment niet meer inloggen.

Bij ons krijg je na 27 dagen het verzoek je wachtwoord te wijzigen, na 30 dagen wordt je verplicht je wachtwoord bij de eerste login te wijzigen en na 32 dagen wordt het account gelocked.

Zoals Dinero aangeeft behoort het deactiveren van het account gewoon bij de procedure (checklist) van een vertrokken medewerker (sleutel inleveren, alarm code verwijderen, directe contact personen op de hoogte stellen van het vertrek en wie vervolgens het stokje overneemt, registraties bij UVW, etc, etc). Meestal zal dit een omgekeerde 'in dienst treding' checklist zijn.

Echter als een medewerker al voor de melding van ontslag documenten en/of broncode thuis heeft, kun je vrij weinig ondernemen. Dat blijft alleen de juridische weg over.

Door johanw910, woensdag 3 september 2008 11:01

Score: 2
Een beetje pwd reset tool kan accounts ook unlocken. Ik gebruik zelf wel eens zo'n tool, een Linux boot CD dat een tooltje start dat passwords kan zetten/leeggooien en accounts kan unlocken. Als je bij de hardware kunt komen en het is niet encrypted is het altijd weer vrij te maken.

Door Simon Verhoeven, dinsdag 2 september 2008 17:52

Score: 1
Ik vraag me eigenlijk af wat hun gebruikte definitie is van stelen.

Stel ik ben een systeembeheerder en ik ken een paar passwoorden van andere gebruikers en ik wordt ontslagen. Heb ik dan volgens hen deze informatie "gestolen"?

Zo een onderzoek lijkt me vrij waardeloos als je de definitie niet goed omlijnd.

Door Blokker_1999, dinsdag 2 september 2008 18:01

Score: 1
Het gaat hier uiteraard niet om het kennen van enkele wachtwoorden, zoals aangegeven zouden die wachtwoorden na enkele weken/maanden automatisch moeten vervallen. Het gaat hier effectief om informatie of software die meegenomen word. Stel je bent programmeur en hebt alle software die je ontwikkeld hebt ten tijde dat je bij werkgever X werkte ook thuis op je PC staan als toekomstige referentie dan is dat eigenlijk diefstal.

Door Schnupperpuppe, dinsdag 2 september 2008 18:24

Score: 0
Diefstal is het niet. De werkgever heeft de bewuste software nl. nog steeds.
Het is inbreuk op auteursrecht...alhoewel...als programmeur ben je in principe zelf de houder van het auteursrecht op de software die je hebt geschreven. Ook als je de software in opdracht hebt geschreven.
Vaak wordt in een arbeidscontract wel de overdracht van het auteursrecht geregeld, maar lang niet altijd.

Door Remus, dinsdag 2 september 2008 22:17

Score: 0
Volgens de Nederlands wetgeving is alles dat je tijdens werktijd voor je werkgever maakt eigendom van jouw werkgever en niet van jou, tenzij expliciet anders overeengekomen.

(NB: ook een reactie op Simon Verhoeven hieronder)

Door Schnupperpuppe, woensdag 3 september 2008 11:51

Score: 0
Je hebt gelijk. Bij werk dat je als werknemer produceert gaat het auteursrecht automatisch over op de werkgever.
Bij ander werk in opdracht (bijv. free-lance) ligt het auteursrecht in principe bij de maker.

Door johanw910, woensdag 3 september 2008 11:03

Score: 0
Zolang je het spul niet gaat verspreiden is het zowiezo geen inbreuk op het auteursrecht.

Door Simon Verhoeven, dinsdag 2 september 2008 19:43

Score: 0
Eigenlijk is dat geen diefstal tenzij er expliciet in je contract vermeld is dat de werkgever copyrighthouder wordt van alles wat je produceert tijdens je werkuren.

En als ik zo eens naar het artikel kijk zie ik dit staan
The target information includes the CEO's passwords, the customer database, R & D plans, financial reports, M & A plans, and most importantly the company's list of privileged passwords.
De gebolde dingen vind ik zelf vrij triviaal (het 2de wat minder maar als je nu alle passwoorden kent door company policy of wat dan ook is het toch triviaal) en zijn ook niet echt schadelijk voor het bedrijf.
Voor een goede beveiliging moet je toch regelmatig je passwoord veranderen.

Ook vind ik het wat overdreven, precies alsof niemand in een andere functie deze informatie zou kunnen meenemen (nu ja buiten de lijst met alle passwoorden)

Door AccessViolation, dinsdag 2 september 2008 18:05

Score: 2
Ooit, als tijdelijk medewerker van een afdeling PZ bij een zeer grote gemeente, mijn collega's er op geattendeerd dat ze de gevoelige documenten beter versleuteld op het netwerk kunnen zetten. Dit om te voorkomen dat bijvoorbeeld de ICT afdeling vooraf de formatie en salarisplanning van de eigen afdeling kan bestuderen.
'Dat zouden ze toch nooit doen?' was het antwoord.
:+ Bwahahaha :+

Door Gomez12, dinsdag 2 september 2008 20:28

Score: 0
Heb ik ook wel eens discussies over gehad. Mijn standpunt was dan ook, als jij het wil is het best. Mij lijkt het alleen onhandig.

Praktisch gezien heeft het geen nut, want it kan gewoon een backup-tape thuis gaan restoren en dan daar een password-cracker eroverheen laten gaan.
Contractueel is het al afgedicht ( als het goed is )
En als jij het wachtwoord vergeet dan heb jij een uitdaging, wij hebben er niets meer mee te maken.

Helemaal omdat je met dit soort dingen of een wijzigend wachtwoord moet hebben ( jippie elke maand alle documenten openen en opnieuw opslaan, kan IT vast wel een scriptje voor schrijven ;) ) of je moet zo ongeveer per bestand een ander wachtwoord verzinnen.

De echt goede versleutelingen staan zeer waarschijnlijk toch niet op jullie pc's geinstalleerd, dus doe je het maar in excel / word encryptie die binnen 2 minuten weg is.

Maar tip voor de volgende keer dat je zo'n idee hebt. Vraag even of het erp wel versleuteld opgeslagen wordt. Concurrenten zijn best bereid om geld neer te leggen voor een complete erp-inrichting inclusief data, waarschijnlijk iets meer dan de it-medewerker ophaalt met het verwijzen naar iemand anders zijn loon...

Btw om de een of ander reden gok ik toch dat jij als tijdelijk medewerker een mindere NDA hebt gekregen als de IT-medewerkers die alle rechten in het netwerk hebben.

Door mashell, dinsdag 2 september 2008 22:02

Score: 0
Mee oneens. AccessViolation heeft wel degelijk een punt, vertrouwelijke data zou ook voor de IT afdeling niet moeten zijn in te zien. Je ziet nog te vaak het vrijheid blijheid gedrag van de jaren 90 op de systeembeheer afdeling waarin de systeembeheer het mannetje is met alle rechten op het netwerk. Terwijl daar eigenlijk geen enkele noodzaak toe bestaat. De systeembeheer moet voor noodgevallen weten waar de loper hangt, maar deze zeker niet stelselmatig gebruiken. Beperkte rechten, juist ook voor beheerders, als je echt goed ben in netwerkinrichting dan kan dat!

Door arjankoole, dinsdag 2 september 2008 22:14

Score: 0
kweenie, maar het is nogal moeilijk iemand met administrator of root rechten buiten te sluiten van data. En als het al kan, en er is een probleem, dan kan ie de problemen niet meer oplossen.

Nee, het is de aard van het vak, en dergelijke mensen moeten domweg te vertrouwen zijn. Heck, ik heb bij een bepaalde voormalig werkgever ZELF een NDA in m'n contract laten zetten. Die hadden daar gewoon geen verstand van, want een NDA speelde in geen enkele andere functie echt.

Ik zou op m'n werk 'in principe' ook overal bij kunnen, maar ik voel daar de behoefte niet toe. En als er iemand ooit naar me toe komt met een zak geld, om even wat gevoelige gegevens voor ze op te lepelen (bijvoorbeeld een concurent) dan stap ik naar m'n baas, en met hem naar de politie. Systeembeheerders worden geacht integer te zijn, en eerlijk gezegt stoot dit me tegen m'n eergevoel.

Door Gomez12, dinsdag 2 september 2008 22:49

Score: 0
Praktisch gezien onmogelijk bij kleine ondernemingen zonder duidelijk takenverdeeld IT-team.

Als ik het wachtwoord voor de backup-account moet instellen weet ik dit wachtwoord, mag je het van mij in kluizen etc gaan leggen. Waarbij de sleutel dan alleen bij de directeur ligt die bij een brand net op vakantie is, doeg doeg recovery binnen 1 dag...

Je ontkomt er praktisch gewoon bijna niet aan dat een beheerder bij alles wat onder zijn verantwoording valt kan komen. Je komt ver met afspraken en daarna nog een los accessviolation programma, maar dat gaat alleen weer op als de betreffende beheerder niet bij de accessviolation meldingen dbase kan komen.

Documentjes los versleutelen etc levert imho alleen maar rampscenarios op. Goede NDA's en gewoon algemene afspraken levert veel meer op.
Of je moet echt meerdere beheerders hebben met verschillende verantwoordelijkheden.

Zolang er enkele beheerders zijn die 100% elkaars werk kunnen overnemen zijn al dit soort dingen schijn en onhandig...

Door ATS, dinsdag 2 september 2008 22:32

Score: 0
Een passwordcracker runnen op een behoorlijk versleuteld document. Sure. En jij ben IT-er? Hoe lang heeft die distributed decrypt challenge niet gelopen? Ik gebruik zelf TrueCrypt voor de gevoelige data op het werk. Ik wens de systeembeheerder succes.

Door Gomez12, dinsdag 2 september 2008 23:00

Score: 0
Jij bent dus duidelijk geen systeembeheerder...

Bij ons komt er geen truecrypt of andere onkraakbare beveiliging voor gebruikers op. Risico is te groot dat een werknemer ontslagen wordt en dan niet het wachtwoord af wil geven waardoor er tig werk door de plee gespoeld is.
Nog even daargelaten hoeveel gemiddelde mensen hun wachtwoord na vakantie kwijt zijn en dus in zo'n geval ook werk kwijt zijn.
Nog even daargelaten dat geen werkgever die ik ken even een black box van data / virussen / illegale software op zijn netwerk toestaat, alle problemen die eruit ontstaan komen allemaal op het matje van de werkgever terecht...

Nog even daargelaten dat je bij een truecrypt container helemaal geen password cracker nodig hebt, IT kan gewoon een scriptje maken wat elke 5 minuten alle data van onbekende drives / directory's naar een unencrypted netwerk-share copieerd en wat draait onder jouw credentials...

Behoorlijk versleuteling is leuk, maar in een bedrijfsmatige omgeving moet er altijd minstens een 2e zijn met access tot die gegevens, en 9 vd 10 keer zal dat een IT-er zijn want deze moet het installeren en opzetten.

Imho als je zakelijk je IT-afdeling niet vertrouwt moet je ze gewoon ontslaan.

Door jhellingman, woensdag 3 september 2008 11:25

Score: 0
Je kan truecrypt prima gebruiken in zo'n situatie. Maak de container aan met een bekend wachtwoord, maak een kopie van de header data, en laat daarna de eindgebruiker het password veranderen. Vertrekt de gebruiker, dan herstel je de header, en gebruik je het oorspronkelijke wachtwoord.

Door Gomez12, donderdag 4 september 2008 00:22

Score: 0
Je kan truecrypt prima gebruiken in zo'n situatie. Maak de container aan met een bekend wachtwoord, maak een kopie van de header data, en laat daarna de eindgebruiker het password veranderen. Vertrekt de gebruiker, dan herstel je de header, en gebruik je het oorspronkelijke wachtwoord.
En dan kom je dus weer op het punt dat IT een middel heeft om het bestand te lezen ( bestand kopieren naar thuis-pc, header vervangen en gaan ) waardoor truecrypt opeens geen meerwaarde meer biedt boven standaard NTFS-security ingesteld door diezelfde IT'ers.
«  1  2  3  4  »

Op dit item kan niet meer gereageerd worden.

Volgende 17:50 Kabelbedrijven introduceren keurmerk voor binnenhuisbekabeling
Vorige 16:58 Logitech brengt ultradun verlicht toetsenbord uit
VNU Media logo Hosted by True

© 1998 - 2012 Tweakers.net B.V. - Alle rechten voorbehouden - Contact - Jouw privacy - Algemene Voorwaarden

Uitgever van:

Website van het jaar 2011