Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 13 reacties

Nalatigheid en slordigheid bij medewerkers van bedrijven of partnerbedrijven zijn nog steeds de voornaamste oorzaken van het uitlekken van persoonsgegevens. Aanvallen van buitenaf door cybercriminelen zijn echter sterk in opkomst.

Dit zou blijken uit een in opdracht van Symantec uitgevoerd onderzoek van het Ponemon Institute bij 51 grote Amerikaanse ondernemingen. De onderzoekers berekenden de financiële schade die bedrijven opliepen nadat persoonsgegevens waren buitgemaakt. In de kostenberekening, waarbij per gestolen record werd gerekend, zijn posten opgenomen als onderzoekskosten, het betalen van schadevergoedingen en productiviteitsverlies.

Volgens de onderzoekers kost een zaak waarbij persoonsgegevens worden buitgemaakt gemiddeld 7,2 miljoen dollar voor een Amerikaans bedrijf. Per gebruikersrecord zouden de kosten 214 dollar bedragen, tegenover 204 dollar een jaar daarvoor.

In 41 procent van de onderzochte gevallen zou nalatigheid of slordigheid binnen een organisatie of bij een partnerbedrijf de oorzaak zijn geweest. Volgens de onderzoekers wordt daarmee duidelijk dat bedrijven hun werknemers goed moeten wijzen op de veiligheidsrichtlijnen.

Cybercriminaliteit en aanvallen van buitenaf op de it-infrastructuur van een bedrijf zouden steeds vaker de oorzaak zijn bij het buitmaken van privacygevoelige data bij bedrijven. In 2010 zou zeker 31 procent van de gevallen in deze categorie vallen. Om dit groeiende probleem tegen te gaan, zouden bedrijven vooral investeren in het trainen van hun werknemers, terwijl ook het toepassen van encryptie als preventiemiddel aan terrein zou winnen.

Moderatie-faq Wijzig weergave

Reacties (13)

Gezien alles door mensen wordt gemaakt, lijkt mij dit nogal logisch...

Programmeer foutje? Menselijke fout!
Verliezen USB stick? Menselijke fout.
Onderdeel van een botnet? Je 'gratis' meegeleverde McAfee niet gekocht en vervolgens geen gratis, beter, alternatief geïnstalleerd... = menselijke fout...
Waar het om gaat is het verschil tussen nalatigheid van het bedrijf uit waardoor de gegevens plotseling op straat liggen, en een gerichte aanval op dat bedrijf. Dat bij de aanval ook gebruik wordt gemaakt van nalatigheid (van de admin of programmeur of whatever) zit niet bij die 41%.
Tsja, dat alles een menselijke fout is dat lijkt me nogal wiedes in dat geval, maar is totaal niet relevant. Je zou dan ook net zo goed direct kunnen zeggen dat het de schuld van die persoon zijn ouders is voor geen condoom gebruikt te hebben, hadden ze het wel was die persoon er nooit geweest, en had die die fout ook niet kunnen maken.

Niet iedere fout is namelijk een te voorkomen fout, laat staan een bewuste fout. En bij nalatigheid, zijn het juist die factoren welk wel aanwezig zijn. Fouten ten gevolge van nalatigheid zijn te voorkomen, en het zijn geen fouten welk iig binnen een team onbewust worden gemaakt. Er wordt gewoon slordig en onzorgvuldig gewerkt.

Naast het digitale werk, wordt er ook bij papierwerk vaak onzorgvuldig mee omgegaan. Het kleine aantal mensen welk hun werkpapieren versnipperd voordat het meegaat met oudpapier...

Het digitale tijdperk heeft de hoeveelheid informatie welk in één keer op straat komt te liggen dan wel vergroot, maar men is al jarenlang zo laks geweest als maar kan. Zit in het aard van het beestje zullen we maar denken.

Er is een stricte controle nodig vanuit bedrijven om dit efficiënt tegen te gaan, en dan rest natuurlijk weer de vraag is daar wel de tijd, geld en mankracht voor om op die controle toe te zien. Niet ieder bedrijf zal die luxe hebben.
Het doet me denken aan de aloude truuk om een willekeurige typmiep op te bellen bij bedrijf 'X' en te vragen wat haar wachtwoord en inlog naam is 'omdat je van de afdeling 'ICT' bent.'

Feitelijk gesproken komt het daar nogsteeds op neer. Mappen of USB-sticks meegenomen door medewerkers voor thuis verder te werken. Bakken met 'oud papier' die wat aan de straat worden gezet. Harde schijven die niet juist worden ontmanteld. Poorten die open worden gezet voor eigen gebruik, etc. etc. Kleine slordigheidsfoutjes die moeilijk te voorkomen zijn omdat deze 'human errors' simpelweg niet allemaal kunnen worden opgevangen en mensen nu eenmaal zulke fouten maken.

Helaas soms wel met grote gevolgen.
De architektuur moet er ook zoveel mogelijk op gericht zijn dat nalatigheid zo weinig mogelijk impact kan hebben. Security by design is dan een goed begin.

Dus niet zoals een formulier ondertekenen dat je gevoelige persoonsgegevens niet misbruikt en dan vervolgens in een testomgeving een kopie van de produktie database zet. Of nog erger als externe toegang tot de produktiedatabase krijgt zonder enige controle. (Echt meegemaakt dus, en ik heb me overigens keurig gedragen.)
De mens is en blijft op dit gebied de zwakste schakel.
Eerder is de software niet goed, omdat men in staat is nalatig te zijn. Van de ander kant kun je dat ook als een menselijke fout zien :)
Nu ja, bij iemand die z'n paswoord op een Post-It schrijft en die op z'n scherm plakt komt toch echt geen software te pas hoor :)
HAL was right after all ;)
Problem exists between chair and keyboard.

De mens is de zwakste schakel, vooral als het om informatiebeveiliging gaat.

Afdwingen van sterke wachtwoorden etc. helpt niks, dan vind je een post-it onder het toetsenbord met het pw, usb sticks slingeren in het rond zonder enige vorm van encryptie, desktops worden bijna nooit gelockt en zelfs het afgeven van wachtwoorden aan collega's (om ff toegang tot die share te krijgen) is geen uitzondering.

Smartcard + pincode of token lost het eea op met de wachtwoorden, de rest van de problemen kun je niet afdwingen, de werkomgeving moet ook nog functioneel blijven.... als je het helemaal dichttimmert hang je uren per week aan de telefoon met klagende gebruikers die hun eigen stomiteiten niet inzien en door willen kunnen gaan op hun eigen manier.

Bedrijven hebben de fysieke en softwarematige beveiliging mestal goed voor elkaar, de sociale beveiliging is meestal nul.

[Reactie gewijzigd door donny007 op 9 maart 2011 14:52]

Anderzijds is het ook wel heel makkelijk om altijd de gebruiker de schuld te geven. Als zij geen makkelijke toegang hebben tot een share, dan is dat een fout van het ontwerp van het IT systeem!!! Het zou helemaal niet nodig moeten zijn dat de gebruikers zich daar uberhaupt zorgen over hoeven te maken.

Wat je vaak ziet is dat de IT afdeling teveel op hun luie gat blijft zitten, en geen contact heeft met de werkvloer. En daarom helemaal niet weet hoe mensen werken, en dus ook niet hoe men dat probleem zou kunnen oplossen.

Ik zie dat soort problemen ook bij ons... Iedereen die op 'scratch' werkt, i.p.v. een dedicated project share. Waarom? Omdat de server een Suse machine is, met Samba. Waarbij onderhuids nog steeds dat volstrekt verouderde ownership systeem gebruikt wordt, i.p.v. ACL's. Dat zorgt iedere keer weer voor gelazer bij de security van de shares, omdat er regelmatig toch weer zaken ontoegankelijk worden voor de (hoofdzakelijk windows) workstations. De reactie van de gebruikers is voorspelbaar... die gaan gewoon werken op de enige share die voor iedereen open staat. Dat is géén fout van de gebruikers! Dat is een fout van de IT. Want bijvoorbeeld een windows server had dat probleem nooit gehad!
Investeren in prive gegevens is dus bijzonder rendabel met 5% interest rate.
In een eerder topic, wees iemand op de uitzending van de VPRO.
titel: Thema avond: "Wat nou privacy"
http://beta.uitzendinggemist.nl/afleveringen/1036180
Hoewel het een lange zit is, en het stuk over cameratoezicht voor mij iets korter had gemogen, vond ik het zeer indrukwekkend. Wat er onder andere uitgelegd word, bevestigd waar dit topic over gaat.

Ook indrukwekkend, het verslag over wat er gebeuren kan als je slachtoffer bent van identiteit diefstal.

Daarnaast werd gedemonstreerd hoe makkelijk onze nieuwe paspoort/ID-kaart uitgelezen kunnen worden, in het voorbijlopen in een winkelstraat en hoe je vervolgens zo'n paspoort vervalst.

Persoonlijk heb ik het momenteel aan de stok met de WestlandUtrecht Bank, die eisen namelijk dat ik voor openen van een online spaarrekening, met tegenrekening, een paspoort of ID-kaart bezit. Een rijbewijs is volgens hun fraudegevoelig, met als argument dat de foto (bij de oude papieren versie) makkelijk vervalst kan worden. Leuk detail hierbij is dat de pasfoto bij hun identificatie methode (tegenrekening-procedure) totaal geen rol speelt!

Dat in de uitzending van "Netwerk" in 2009 door experts (oa hoogleraar) de nieuwe paspoorten / ID-cards al als "extreem fraudegevoelig" aangemerkt werd, boeit ze kennelijk niet. Mijn argumenten worden gewoon genegeerd en men beroept zich op "contractvrijheid" om mij als klant te weigeren. Dit mag kennelijk. Rest mij alleen een officiële klachtenprocedure te volgen. Eerst bij WUB klagen, dan het KIFID........ De klacht is: Het stellen van onredelijke voorwaarden voor het openen van de online spaarrekening.

Ik wist wel dat het paspoort onveilig was, maar vooral de uitzending van de VPRO heeft een grote indruk op me gemaakt. Ondertussen vind ik dan ook dat de nieuwe paspoorten afgeschaft moeten worden!

Wat mij betreft moeten we hetzelfde doen als wat in Engeland reeds gebeurd is: https://www.hetnieuwerijk.nl/nieuwsbrief201102.html

[Reactie gewijzigd door Synthiman op 9 maart 2011 16:17]

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True