Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 23 reacties

Bedrijven zijn vatbaar voor diefstal van gevoelige gegevens dankzij het gebruik van onveilige communicatiemiddelen en gebrek aan samenwerking tussen afdelingen, zo blijkt uit twee verschillende onderzoeken.

Loep SpionageVan de hoofdverantwoordelijken van de it-afdelingen van high-tech productiebedrijven, maakt 85 procent gebruik van onveilige communicatiemiddelen zoals webmail of instant messaging bij de samenwerking met partners. Daarbij worden ook productplannen, technische gegevens en andere gevoelige bedrijfsinformatie uitgewisseld, zo blijkt uit een onderzoek van KRC Research dat is uitgevoerd in opdracht van Microsoft.

Het grootste deel van de gebruikers is zich wel bewust van het feit dat gegevens zo kunnen uitlekken, maar toch beschouwt 37 procent van de technology decision-makers hun communicatiemethoden nog als 'absoluuut veilig'.

Uit een ander onderzoek, uitvoerd door het het Ponemon instituut onder meer dan drieduizend marketing- en it-managers, bleek dat vooral een gebrek aan organisatie binnen bedrijven tot verlies van belangrijke gegevens kan leiden. Zo verklaart maar 30 procent van de marketingmanagers dat ze de verantwoordelijken voor it-beveiliging raadplegen voor ze gevoelige informatie opvragen en gebruiken. Van de medewerkers die zorg dragen voor de it-veiligheid denkt echter 80 procent dat ze betrokken worden bij dergelijke besluiten.

Slechts 53 procent van hen vindt overigens dat hun bedrijf een goed gecoŲrdineerd beleid heeft op het gebied van databeveiliging. De gebrekkige samenwerking tussen de afdelingen zorgt ervoor dat data binnen bedrijven niet voldoende beschermd wordt, zo luidt de conclusie van Ponemon.

Moderatie-faq Wijzig weergave

Reacties (23)

IT is in vele bedrijven een kost, een noodzakelijk kwaad en een last. Zolang daar niets aan gedaan wordt zal je dit blijven hebben.

voorbeeld:
User: ik MOET dringend een email van een zieke collega zn mailbox hebben
sysop: nop krijg je niet
directie: geef user toegang tot die mailbox, je hinderd de werking van het bedrijf

Voorbeeld:
user: ik werk nu op andere afdeling en heb volledige toegang nodig tot alles wat die afdeling heeft
user krijgt toegang (na bevestiging)
user verlaat afdeling, dit word niet doorgegeven door management user blijft full access hebben

* Yalopa kan 1000 den voorbeelden geven, zolang de organisatie dit niet aanstuurd zal je IT beveiliging waardeloos zijn. Als er dan een echt voorval plaatsvind kan er opeens veel, maar dan is het alweer te laat geweest...
De situaties die je aankaart zijn zeker reŽel en illustreren ook mooi waar de schoen wringt: Veel bedrijven nemen het niet zo nauw met beveiliging in het algemeen, een vlotte bedrijfsvoering staat voorop. Het gebruik van computers heeft dit alleen maar veel duidelijker gemaakt. Het is in IT-situaties ook een groter probleem dan in de "echte" wereld, alleen al omdat het leger aanvallers veel groter is.
Als de bedrijfsvoering te strak wordt, dan mag de security beter zijn, maar gaat het bedrijf failliet....

Als je een contract van 30 miljoen misloopt, omdat de IT niet flexibel kan omspringen bij ziekte van de onderhandelaar en zijn vervanger, dan is dat geen voorbeeld van goed IT beleid...

Het is lekker makkelijk alles op het management af te schuiven. Maar IT'ers hebben net zo hard oogkleppen op wanneer het dit soort situaties betreft. Ze kijken alleen naar hun eigen probleem, en vergeten dat het bedrijf wel zo flexibel mogelijk moet kunnen werken. NB: IT is nog altijd een ondersteunende tak, geen doel opzich.
De titel had misschien beter kunnen verwijzen naar het gedeelte van de IT-wereld dat blijkbaar nog steeds zijn kop in het zand heeft, want ieder bedrijf -of het nu wel of niet op internet is aangesloten- kan makkelijk gevoelige informatie naar buiten lekken.

Het heeft niet zozeer te maken met IT-beveiliging alhoewel dat wel een belangrijke drempel is, maar uiteindelijk kan ieder gevoelig of waardevol stukje informatie wel naar buiten lekken als het binnen het bedrijf in de verkeerde handen valt. Of dat nu is via ongecontroleerde email, webmail, msn, telefoon, fax, brief of ouderwets verbaal gaat maakt helemaal niets uit.
Het zou natuurlijk wel helpen als bijvoorbeeld e-mail standaard beveiligd zou worden. We werken allemaal met een verouderd protocol waarbij de berichten en zelfs wachtwoorden (!!) onbeveiligd over de lijn gaan. Wat dat betreft kan MS wel het onderzoek aanvragen, maar ik had liever dat ze het gemakkelijker zouden maken om e-mail beveiligd te versturen.
Nee hoor, niet iedereen. Wij werken met Lotus Notes en Sametime ipv. Exchange en Messenger, en dan is wel alle communicatie versleuteld.

Dus misschien moet Microsoft eens meer de hand in eigen boezem steken, in plaats van steeds met onderzoekjes te komen dat de rest van de wereld zich aan moet passen. :)
Notes noch Exchange is versleuteld eens je email het netwerk verlaat, dan is het smtp... Hier heeft noch MS noch IBM schuld aan, de SMTP specificaties voorzien geen encryptie, dat kan enkel met lapmiddelen zoals pgp
Er bestaat al heel lang support voor S/MIME en die standaard is waarschijnlijk in alle mailclients ingebouwd. Ikzelf heb al een tijdje een (gratis) certificaat van Thawte zodat alle mail 'signed' is en als iemand anders ook een certificaat heeft kun je het e-mailbericht helemaal versleutelen.

SMTP hoeft niet secure te zijn, je berichten hoeven secure te zijn want zelfs al gebruik je SSL tussen de SMTP verbindingen, als 1 van de servers gehackt is of zelfs gewoon een beheerder die binnenkort gaat ontslaan worden dan is je e-mail nog steeds leesbaar.
officieel gezien is S/MIME een commercieele standaard, van RSA. Het dus niet ondenkelijk dat diverse opensource clients er geen ondersteuning voor hebben,

Daarnaast is dit in den beginne niet zozeer bedoeld om e-mail inhoud mee te beveiligen, maar om e-mail te kunnen authenticeren als zijnde van een bepaalde persoon.

in weze kan je exact hetzelfde met GPG/PGP, en dat is wel een open standaard, die vertrouw ik dus wat meer in deze.

Overigens: SSL voor SMTP: als 1 van de servers gehacked wordt ben je nog steeds de [piep]. Want alleen op het transport wordt SSL gebruikt. Opslag van de berichten gebeurt gewoon in de niet beveiligde vorm, en zo komt het ook bij de eindgebruiker aan.

als jij een BSD of linux doos voor je exchange doos hebt hangen ( heel algemeen qua situatie schets) die je SMTP+SSL en virusscanning + spamfiltering afhandeld, dan ben je ook in het verkeer tussen je inbound en je exchange waarschijnlijk al het haasje, want het is een beetje te extreem om SSL op interne verbindingen aan te zetten nietwaar? (je zal er in elk geval geen budget voor krijgen vaak ;) )
@arjankoole:
Allereerst is RSA een overheids instellingen zonder commercieel oogmerk. Misschien heb je weleens gehoord van RSA-1 als hash algoritme? AES Encryptie met RSA/DSA keys.

Misschien heb je weleens van Hardened Linux gehoort? Dat is de Linux distributie van RSA. Daarbij heeft de RSA via een contrib package nog allerlei patches voor de 'normale' kernel beschikbaar zoals random process id's en random source ports.

Wat betreft het intern beveiligen van interne servers. Voor interne servers kun je zelf gegenereerde certificaten gebruiken (tenminste als je jezelf vertrouwd) en bij vrijwel alle mailservers is het slechts een kwestie van path naar certificaat en password opgeven. Je hebt hier dus geen budget voor nodig. En SMTP over SSL/TLS wordt eigenlijk alleen maar gebruikt om mail te versturen (eventueel met authenticatie) en niet om te ontvangen. In de SMTP specificaties is afgesproken dat mailservers uit de MX record op poort 25 luisteren.

Daarnaast accepteert onze linux server in principe geen encrypted mails. Hij kan deze namelijk niet controleren op virussen of spam en is daarmee verdacht. De encrypted mails worden alleen geaccepteert als de ontvanger de afzender in zijn whitelist heeft staan van exchange. Elke nacht worden de whitelists van Exchange naar SpamAssassin overgezet.

[Reactie gewijzigd door Niemand_Anders op 29 oktober 2007 09:06]

Eeuhm, je bedoeld dan eerder inkomend en buitengaand e-mail verkeer... Exchange heeft in 2007 de mogelijkheid om alles te encrypteren. Ook de webmail gaat over SSL, zelfs outlook enywhere kan je volledig beveiligen. Het is niet omdat mensen het niet doen dat het niet kan out-of-the-box.
Zoals je het zegt ("alles") lijkt het alsof je volledige controle hebt over de encryptie van al het emailverkeer van je bedrijf en dat is gewoon niet zo. Je kan het verkeer tussen jouw server en jouw clients beveiligen maar verder niet. Alle communicatie buiten je domein, dus naar je klanten en leveranciers bijvoorbeeld, gaat als platte tekst internet over.

Het versleutelen van alle communicatie tussen je eigen server en je clients klinkt ook indrukwekkender dan het is. Meestal gaat dat over je eigen LAN en is dat is over het algemeen fysiek al het best beveiligde deel van de communicatie.

Voor veilige communicatie via email gaat er niets boven tools zoals PGP die het bericht voor verzenden versleutelen zodat het pas door de uiteindelijke ontvanger leesbaar gemaakt kan worden. Er zitten anders gewoon te veel zwakke punten tussen.
Er is SMTP over SSL maar natuurlijk heeft niet ieder bedrijf de servers daarvoor ingestelt. Beveiliging kan wel maar het is niet altijd even simpel te implementeren. En dan heb je nog de ontvanger!

Email zelf is onveilig! En de spullen om dat de encrypten zijn ook niet "goedkoop"!
Ach, de technische kant is slechts 1 zijde van het verhaal. Het gebrek aan organisatie, dat bij het andere onderzoek wordt aangehaald, zou de informatiebeveiliging nog zo lek als een mandje maken. Het is een samenspel van verschillende factoren, waarbij de zwakste schakel bepaalt hoe goed de beveiliging is. Zolang men nog vertrouwelijke gegevens op geheugensticks heen en weer kan slepen naar de familie-pc thuis, en oud-stagiaires nog steeds kunnen inloggen op hun oude account, kan je het net zo goed via msn bespreken.
Zeker waar, maar dan heb je het over een vertouwensband tussen mensen onderling. Daar heb je zelf hopelijk nog wat zicht op. Persoonlijk vind ik het een veel vervelender idee dat een derde partij gewoon mee kan luisteren, zonder dat ik dat dan Łberhaupt weet. En dat is in principe wel zo, bij MSN en mail.
Klopt, er zijn wel manieren om encrypted mails te sturen via bijvoorbeeld een trusted third party, maar dan moet die ander zich daar ook wel hebben aangemeld. Het maakt het een stuk omslachtiger, dat kan problemen opleveren met communicatie naar de buitenwereld. Voor interne e-mail zou het echter goed gebruikt kunnen worden, maarja dan is het natuurlijk altijd nog de vraag wat de persoon achter de computer naar wie stuurt. Op msn en soortgelijke diensten zou gewoon een ban moeten komen binnen bedrijven, zeker als er met vertrouwelijke informatie wordt gewerkt.
Als een georganiseerde bende of inlichtingendienst echt wil spioneren dan komen ze toch wel aan de gegevens. Hoe meer gegevens netjes in databasejes worden gepropt hoe beter, dat is het zorgwekkende. Extra zorgvuldig werken en "betere" beveiliging houdt vrijwel altijd in dat er op uniformere manier met gegevens om wordt gegaan, dit vergemakkelijkt uiteindelijk de grootschalige diefstal alleen maar.
De oplossing is ook triviaal. Geef iedere werknemer een GPG-sleutel, die hij kan gebruiken om mails te versleutelen en Jabber-sessies te versleutelen. Kosten: 0.
Je hebt de kosten van implementatie en support niet meegenomen, de kosten van implementatie van GPG zijn dus niet 0,0. Dat software gratis is wil nog niet zeggen dat er geen kosten zijn.

Ik wil hiermee niet aangeven dat je dan maar commerciŽle software moet aanschaffen, want ook daarbij heb je te maken met impementatiekosten. De gratis variant heeft natuurlijk wel weer het voordeel dat je geen administratie hoeft bij te houden over het gebruik ervan en dat moet bij commerciŽle software weer wel, wil je het legaal houden (tenzij het een site of company licentie betreft voor een onbeperkt aantal gebruikers).
GPG is helaas niet "standaard' en de ontvanger buiten het bedrijf zal toch de email zonder GPG encryptie moeten ontvangen :)
De uitkomst van dit onderzoek verbaast me vrij weinig. Voor veel mensen is het hele internet nog een groot onbekend iets. Ze weten hoe ermee te werken, maar wat de precieze gevaren zijn is onbekend omdat ze niet weten hoe het in elkaar zit. En daarmee krijg je het risico dat juist omdat alles zo makkelijk kan, mensen het gewoon doen en zich niet realiseren wat er onveilig aan kan zijn. De ITafdelingen weten dat natuurlijk wel, maar het zijn natuurlijk de endusers die de gevoelige informatie in handen krijgen.

Daarbij ontbreekt het beleid vaak ook bij dit soort bedrijven, waardoor wachtwoorden gewoon van elkaar geleend worden, er lang niet altijd separate useraccounts zijn met rechten wie dingen wel en niet mag doen.
Het is tegenwoordig zo makkelijk om bestanden op te slaan op bijvoorbeeld een USB-stick, dan wel de beveiliging te omzeilen (proxy toevoegen, index wijzigen). Zeker op een ICT afdeling op een bedrijf, daar wordt toch vaak om meer rechten op de computer gevraagd om goed het werk te kunnen doen. Ik vraag me af in hoeverre het fysiek mogeijk is om data af te schermen. Men is in principe afhankelijk van de betrouwbaarheid van de medewerkers (via het contract 'geregeld').
"Bedrijven zijn vatbaar voor diefstal van gevoelige gegevens dankzij"
te danken aan? eerder te wijten aan...

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True