Bedrijven vatbaar voor spionage door onzorgvuldig it-gebruik

Bedrijven zijn vatbaar voor diefstal van gevoelige gegevens dankzij het gebruik van onveilige communicatiemiddelen en gebrek aan samenwerking tussen afdelingen, zo blijkt uit twee verschillende onderzoeken.

Loep SpionageVan de hoofdverantwoordelijken van de it-afdelingen van high-tech productiebedrijven, maakt 85 procent gebruik van onveilige communicatiemiddelen zoals webmail of instant messaging bij de samenwerking met partners. Daarbij worden ook productplannen, technische gegevens en andere gevoelige bedrijfsinformatie uitgewisseld, zo blijkt uit een onderzoek van KRC Research dat is uitgevoerd in opdracht van Microsoft.

Het grootste deel van de gebruikers is zich wel bewust van het feit dat gegevens zo kunnen uitlekken, maar toch beschouwt 37 procent van de technology decision-makers hun communicatiemethoden nog als 'absoluuut veilig'.

Uit een ander onderzoek, uitvoerd door het het Ponemon instituut onder meer dan drieduizend marketing- en it-managers, bleek dat vooral een gebrek aan organisatie binnen bedrijven tot verlies van belangrijke gegevens kan leiden. Zo verklaart maar 30 procent van de marketingmanagers dat ze de verantwoordelijken voor it-beveiliging raadplegen voor ze gevoelige informatie opvragen en gebruiken. Van de medewerkers die zorg dragen voor de it-veiligheid denkt echter 80 procent dat ze betrokken worden bij dergelijke besluiten.

Slechts 53 procent van hen vindt overigens dat hun bedrijf een goed gecoördineerd beleid heeft op het gebied van databeveiliging. De gebrekkige samenwerking tussen de afdelingen zorgt ervoor dat data binnen bedrijven niet voldoende beschermd wordt, zo luidt de conclusie van Ponemon.

Door Olaf van Miltenburg

Nieuwscoördinator

Feedback • 28-10-2007 13:29 23

28-10-2007 • 13:29

23

Lees meer

Ministerie steunt ontwikkeling detectiesysteem digitale spionage
Ministerie steunt ontwikkeling detectiesysteem digitale spionage Nieuws van 2 november 2011
FBI: China zet Cisco-namaakrouters in voor inbraken VS
FBI: China zet Cisco-namaakrouters in voor inbraken VS Nieuws van 16 mei 2008
Intel ontwerpt nieuwe anti-diefstaltechnologie voor laptops
Intel ontwerpt nieuwe anti-diefstaltechnologie voor laptops Nieuws van 4 april 2008
Data op gestolen notebooks veilig versleuteld en gewist
Data op gestolen notebooks veilig versleuteld en gewist Nieuws van 5 februari 2008
SAP wil schikking in bedrijfsspionagezaak
SAP wil schikking in bedrijfsspionagezaak Nieuws van 4 juli 2007
Oracle beschuldigt SAP van bedrijfsspionage
Oracle beschuldigt SAP van bedrijfsspionage Nieuws van 23 maart 2007
HP beschuldigd van bespioneren Dell
HP beschuldigd van bespioneren Dell Nieuws van 26 januari 2007
Directeuren HP slachtoffer interne bedrijfsspionage
Directeuren HP slachtoffer interne bedrijfsspionage Nieuws van 7 september 2006
Dieven van handelsgeheimen chipontwerpen opgepakt
Dieven van handelsgeheimen chipontwerpen opgepakt Nieuws van 17 juni 2006
Israël ontmaskert uitgebreide bedrijfsspionage via spyware
Israël ontmaskert uitgebreide bedrijfsspionage via spyware Nieuws van 1 juni 2005
Onderzoek: 'Laptops ambtenaren vaak slecht beveiligd'
Onderzoek: 'Laptops ambtenaren vaak slecht beveiligd' Nieuws van 28 september 2004
Meer producten en artikelen
Netwerk en systeembeheer Beveiliging

Reacties (23)

-Moderatie-faq
23
23
13
8
0
0
Wijzig sortering

Sorteer op:

Weergave:
Yalopa 28 oktober 2007 14:33
IT is in vele bedrijven een kost, een noodzakelijk kwaad en een last. Zolang daar niets aan gedaan wordt zal je dit blijven hebben.

voorbeeld:
User: ik MOET dringend een email van een zieke collega zn mailbox hebben
sysop: nop krijg je niet
directie: geef user toegang tot die mailbox, je hinderd de werking van het bedrijf

Voorbeeld:
user: ik werk nu op andere afdeling en heb volledige toegang nodig tot alles wat die afdeling heeft
user krijgt toegang (na bevestiging)
user verlaat afdeling, dit word niet doorgegeven door management user blijft full access hebben

* Yalopa kan 1000 den voorbeelden geven, zolang de organisatie dit niet aanstuurd zal je IT beveiliging waardeloos zijn. Als er dan een echt voorval plaatsvind kan er opeens veel, maar dan is het alweer te laat geweest...
Bacchus @Yalopa28 oktober 2007 16:56
De situaties die je aankaart zijn zeker reëel en illustreren ook mooi waar de schoen wringt: Veel bedrijven nemen het niet zo nauw met beveiliging in het algemeen, een vlotte bedrijfsvoering staat voorop. Het gebruik van computers heeft dit alleen maar veel duidelijker gemaakt. Het is in IT-situaties ook een groter probleem dan in de "echte" wereld, alleen al omdat het leger aanvallers veel groter is.
Verwijderd @Bacchus29 oktober 2007 10:21
Als de bedrijfsvoering te strak wordt, dan mag de security beter zijn, maar gaat het bedrijf failliet....

Als je een contract van 30 miljoen misloopt, omdat de IT niet flexibel kan omspringen bij ziekte van de onderhandelaar en zijn vervanger, dan is dat geen voorbeeld van goed IT beleid...

Het is lekker makkelijk alles op het management af te schuiven. Maar IT'ers hebben net zo hard oogkleppen op wanneer het dit soort situaties betreft. Ze kijken alleen naar hun eigen probleem, en vergeten dat het bedrijf wel zo flexibel mogelijk moet kunnen werken. NB: IT is nog altijd een ondersteunende tak, geen doel opzich.
Verwijderd 28 oktober 2007 13:41
De titel had misschien beter kunnen verwijzen naar het gedeelte van de IT-wereld dat blijkbaar nog steeds zijn kop in het zand heeft, want ieder bedrijf -of het nu wel of niet op internet is aangesloten- kan makkelijk gevoelige informatie naar buiten lekken.

Het heeft niet zozeer te maken met IT-beveiliging alhoewel dat wel een belangrijke drempel is, maar uiteindelijk kan ieder gevoelig of waardevol stukje informatie wel naar buiten lekken als het binnen het bedrijf in de verkeerde handen valt. Of dat nu is via ongecontroleerde email, webmail, msn, telefoon, fax, brief of ouderwets verbaal gaat maakt helemaal niets uit.
OddesE @Verwijderd28 oktober 2007 14:03
Het zou natuurlijk wel helpen als bijvoorbeeld e-mail standaard beveiligd zou worden. We werken allemaal met een verouderd protocol waarbij de berichten en zelfs wachtwoorden (!!) onbeveiligd over de lijn gaan. Wat dat betreft kan MS wel het onderzoek aanvragen, maar ik had liever dat ze het gemakkelijker zouden maken om e-mail beveiligd te versturen.
Jiriki @OddesE28 oktober 2007 14:30
Nee hoor, niet iedereen. Wij werken met Lotus Notes en Sametime ipv. Exchange en Messenger, en dan is wel alle communicatie versleuteld.

Dus misschien moet Microsoft eens meer de hand in eigen boezem steken, in plaats van steeds met onderzoekjes te komen dat de rest van de wereld zich aan moet passen. :)
Yalopa @Jiriki28 oktober 2007 14:35
Notes noch Exchange is versleuteld eens je email het netwerk verlaat, dan is het smtp... Hier heeft noch MS noch IBM schuld aan, de SMTP specificaties voorzien geen encryptie, dat kan enkel met lapmiddelen zoals pgp
Guru Evi @Yalopa28 oktober 2007 16:33
Er bestaat al heel lang support voor S/MIME en die standaard is waarschijnlijk in alle mailclients ingebouwd. Ikzelf heb al een tijdje een (gratis) certificaat van Thawte zodat alle mail 'signed' is en als iemand anders ook een certificaat heeft kun je het e-mailbericht helemaal versleutelen.

SMTP hoeft niet secure te zijn, je berichten hoeven secure te zijn want zelfs al gebruik je SSL tussen de SMTP verbindingen, als 1 van de servers gehackt is of zelfs gewoon een beheerder die binnenkort gaat ontslaan worden dan is je e-mail nog steeds leesbaar.
arjankoole
@Guru Evi28 oktober 2007 21:06
officieel gezien is S/MIME een commercieele standaard, van RSA. Het dus niet ondenkelijk dat diverse opensource clients er geen ondersteuning voor hebben,

Daarnaast is dit in den beginne niet zozeer bedoeld om e-mail inhoud mee te beveiligen, maar om e-mail te kunnen authenticeren als zijnde van een bepaalde persoon.

in weze kan je exact hetzelfde met GPG/PGP, en dat is wel een open standaard, die vertrouw ik dus wat meer in deze.

Overigens: SSL voor SMTP: als 1 van de servers gehacked wordt ben je nog steeds de [piep]. Want alleen op het transport wordt SSL gebruikt. Opslag van de berichten gebeurt gewoon in de niet beveiligde vorm, en zo komt het ook bij de eindgebruiker aan.

als jij een BSD of linux doos voor je exchange doos hebt hangen ( heel algemeen qua situatie schets) die je SMTP+SSL en virusscanning + spamfiltering afhandeld, dan ben je ook in het verkeer tussen je inbound en je exchange waarschijnlijk al het haasje, want het is een beetje te extreem om SSL op interne verbindingen aan te zetten nietwaar? (je zal er in elk geval geen budget voor krijgen vaak ;) )
Niemand_Anders
@arjankoole29 oktober 2007 09:05
@arjankoole:
Allereerst is RSA een overheids instellingen zonder commercieel oogmerk. Misschien heb je weleens gehoord van RSA-1 als hash algoritme? AES Encryptie met RSA/DSA keys.

Misschien heb je weleens van Hardened Linux gehoort? Dat is de Linux distributie van RSA. Daarbij heeft de RSA via een contrib package nog allerlei patches voor de 'normale' kernel beschikbaar zoals random process id's en random source ports.

Wat betreft het intern beveiligen van interne servers. Voor interne servers kun je zelf gegenereerde certificaten gebruiken (tenminste als je jezelf vertrouwd) en bij vrijwel alle mailservers is het slechts een kwestie van path naar certificaat en password opgeven. Je hebt hier dus geen budget voor nodig. En SMTP over SSL/TLS wordt eigenlijk alleen maar gebruikt om mail te versturen (eventueel met authenticatie) en niet om te ontvangen. In de SMTP specificaties is afgesproken dat mailservers uit de MX record op poort 25 luisteren.

Daarnaast accepteert onze linux server in principe geen encrypted mails. Hij kan deze namelijk niet controleren op virussen of spam en is daarmee verdacht. De encrypted mails worden alleen geaccepteert als de ontvanger de afzender in zijn whitelist heeft staan van exchange. Elke nacht worden de whitelists van Exchange naar SpamAssassin overgezet.

[Reactie gewijzigd door Niemand_Anders op 11 augustus 2024 21:13]

tc982 @Yalopa28 oktober 2007 16:12
Eeuhm, je bedoeld dan eerder inkomend en buitengaand e-mail verkeer... Exchange heeft in 2007 de mogelijkheid om alles te encrypteren. Ook de webmail gaat over SSL, zelfs outlook enywhere kan je volledig beveiligen. Het is niet omdat mensen het niet doen dat het niet kan out-of-the-box.
Bacchus @tc98228 oktober 2007 16:48
Zoals je het zegt ("alles") lijkt het alsof je volledige controle hebt over de encryptie van al het emailverkeer van je bedrijf en dat is gewoon niet zo. Je kan het verkeer tussen jouw server en jouw clients beveiligen maar verder niet. Alle communicatie buiten je domein, dus naar je klanten en leveranciers bijvoorbeeld, gaat als platte tekst internet over.

Het versleutelen van alle communicatie tussen je eigen server en je clients klinkt ook indrukwekkender dan het is. Meestal gaat dat over je eigen LAN en is dat is over het algemeen fysiek al het best beveiligde deel van de communicatie.

Voor veilige communicatie via email gaat er niets boven tools zoals PGP die het bericht voor verzenden versleutelen zodat het pas door de uiteindelijke ontvanger leesbaar gemaakt kan worden. Er zitten anders gewoon te veel zwakke punten tussen.
swampy @Yalopa28 oktober 2007 14:46
Er is SMTP over SSL maar natuurlijk heeft niet ieder bedrijf de servers daarvoor ingestelt. Beveiliging kan wel maar het is niet altijd even simpel te implementeren. En dan heb je nog de ontvanger!

Email zelf is onveilig! En de spullen om dat de encrypten zijn ook niet "goedkoop"!
PHiXioN 28 oktober 2007 13:53
Ach, de technische kant is slechts 1 zijde van het verhaal. Het gebrek aan organisatie, dat bij het andere onderzoek wordt aangehaald, zou de informatiebeveiliging nog zo lek als een mandje maken. Het is een samenspel van verschillende factoren, waarbij de zwakste schakel bepaalt hoe goed de beveiliging is. Zolang men nog vertrouwelijke gegevens op geheugensticks heen en weer kan slepen naar de familie-pc thuis, en oud-stagiaires nog steeds kunnen inloggen op hun oude account, kan je het net zo goed via msn bespreken.
OddesE @PHiXioN28 oktober 2007 14:08
Zeker waar, maar dan heb je het over een vertouwensband tussen mensen onderling. Daar heb je zelf hopelijk nog wat zicht op. Persoonlijk vind ik het een veel vervelender idee dat een derde partij gewoon mee kan luisteren, zonder dat ik dat dan überhaupt weet. En dat is in principe wel zo, bij MSN en mail.
PHiXioN @OddesE28 oktober 2007 14:15
Klopt, er zijn wel manieren om encrypted mails te sturen via bijvoorbeeld een trusted third party, maar dan moet die ander zich daar ook wel hebben aangemeld. Het maakt het een stuk omslachtiger, dat kan problemen opleveren met communicatie naar de buitenwereld. Voor interne e-mail zou het echter goed gebruikt kunnen worden, maarja dan is het natuurlijk altijd nog de vraag wat de persoon achter de computer naar wie stuurt. Op msn en soortgelijke diensten zou gewoon een ban moeten komen binnen bedrijven, zeker als er met vertrouwelijke informatie wordt gewerkt.
Verwijderd 28 oktober 2007 19:26
Als een georganiseerde bende of inlichtingendienst echt wil spioneren dan komen ze toch wel aan de gegevens. Hoe meer gegevens netjes in databasejes worden gepropt hoe beter, dat is het zorgwekkende. Extra zorgvuldig werken en "betere" beveiliging houdt vrijwel altijd in dat er op uniformere manier met gegevens om wordt gegaan, dit vergemakkelijkt uiteindelijk de grootschalige diefstal alleen maar.
Ivo 28 oktober 2007 14:34
De oplossing is ook triviaal. Geef iedere werknemer een GPG-sleutel, die hij kan gebruiken om mails te versleutelen en Jabber-sessies te versleutelen. Kosten: 0.
alm @Ivo28 oktober 2007 14:50
Je hebt de kosten van implementatie en support niet meegenomen, de kosten van implementatie van GPG zijn dus niet 0,0. Dat software gratis is wil nog niet zeggen dat er geen kosten zijn.

Ik wil hiermee niet aangeven dat je dan maar commerciële software moet aanschaffen, want ook daarbij heb je te maken met impementatiekosten. De gratis variant heeft natuurlijk wel weer het voordeel dat je geen administratie hoeft bij te houden over het gebruik ervan en dat moet bij commerciële software weer wel, wil je het legaal houden (tenzij het een site of company licentie betreft voor een onbeperkt aantal gebruikers).
swampy @Ivo28 oktober 2007 14:49
GPG is helaas niet "standaard' en de ontvanger buiten het bedrijf zal toch de email zonder GPG encryptie moeten ontvangen :)
TERW_DAN 28 oktober 2007 13:43
De uitkomst van dit onderzoek verbaast me vrij weinig. Voor veel mensen is het hele internet nog een groot onbekend iets. Ze weten hoe ermee te werken, maar wat de precieze gevaren zijn is onbekend omdat ze niet weten hoe het in elkaar zit. En daarmee krijg je het risico dat juist omdat alles zo makkelijk kan, mensen het gewoon doen en zich niet realiseren wat er onveilig aan kan zijn. De ITafdelingen weten dat natuurlijk wel, maar het zijn natuurlijk de endusers die de gevoelige informatie in handen krijgen.

Daarbij ontbreekt het beleid vaak ook bij dit soort bedrijven, waardoor wachtwoorden gewoon van elkaar geleend worden, er lang niet altijd separate useraccounts zijn met rechten wie dingen wel en niet mag doen.
rosce 28 oktober 2007 13:45
Het is tegenwoordig zo makkelijk om bestanden op te slaan op bijvoorbeeld een USB-stick, dan wel de beveiliging te omzeilen (proxy toevoegen, index wijzigen). Zeker op een ICT afdeling op een bedrijf, daar wordt toch vaak om meer rechten op de computer gevraagd om goed het werk te kunnen doen. Ik vraag me af in hoeverre het fysiek mogeijk is om data af te schermen. Men is in principe afhankelijk van de betrouwbaarheid van de medewerkers (via het contract 'geregeld').
Verwijderd 28 oktober 2007 19:39
"Bedrijven zijn vatbaar voor diefstal van gevoelige gegevens dankzij"
te danken aan? eerder te wijten aan...

Op dit item kan niet meer gereageerd worden.

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq