Ondernemers vinden thuis inloggen en usb-sticks gevaarlijk

Thuiswerken via remote desktop, zonder sharen van eigen schijven, dus alles alleen maar op de server. Dan ben je in ieder geval je virusdreiging van thuiscomputers kwijt.
Maar nog niet het lekken van informatie. Dat is meer een punt voor de beoordeling van mensen dan dat je er technologisch iets aan kunt doen. Je kunt namelijk ook prima bepaalde dingen op kantoor op papier zetten en die in je tas meenemen. Het is ongehoord om iedereen z'n tas, en al z'n papieren, bij vertrek te controleren. Of wat voor foto's er op z'n mobieltje staan. Wellicht staan die zelfs al meteen op Flickr ofzo.
Technologische maatregelen leiden tot workarounds. En die zijn doorgaans schadelijker. Dus gewoon je USB-poorten open houden en zorgen dat je personeel zich gedraagt.

Tjah, dankzij die briljante akties als 'usb stick kwijt met vertrouwelijke data' kennen mensen dat als risico, terwijl de mogelijke problemen en gevolgen met een openstaand wifi netwerkje stukken groter zijn.

Ook wel grappig trouwens, merk dit ook wel bij klanten. Doodsbang dat de vertrouwelijke data op straat komt te liggen. Ondertussen kent de helft van het bedrijf het admin wachtwoord, soms draaien ze hun webapplicatie al 'op internet' en is het dus niet gevaarlijker (of minder gevaarlijk) als je vanaf huis inlogt. Backup procedures die vervolgens niet nageleeft worden (met als absolute record een klant van wie de laatste backup anderhalf jaar oud was, en een andere klant die iedere ochtend zonder te kijken de backup tape eruit haalde, zonder ook maar te kijken of er een melding ergens stond... die stond er dus ook, dus er was ondertussen geen goede 'laatste backup' meer...).

Als je tussen 2 kwaden moet kiezen heb ik liever dat ik op ieder moment van de dag een nieuwe server neer kan zetten en dankzij backups zo goed als geen werk kwijt ben, maar wel een hackert op mijn systeem, dan zogenaamd alles dichtgetimmerd hebben, maar in geval van calamiteiten terug moeten vallen op een oude backup (als die er al is).

gedrag is de enige manier om alles goed te krijgen. 't Maakt helemaal iet uit hoe goed men de boel af wil spijkeren.

Wij laten vaak een proof of concept zien hoe je door zo'n wassen-neus locked down systeem heen prikt. Sommige systemen/operating systems zijn wat lastiger dan anderen maar in het algemeen: hangt er een netwerkkabel aan naar het boze internet, dan lukt het allemaal wel.

't Is net als virussen, als je windows gebruikt dan helpt het al een aardig stukkie als je de mensen duidelijk maakt wanneer ze ergens opo moeten klikken, waar ze op moeten klikken en wanneer niet.

Maargoed, computers moeten voor iedereen zijn vinden sommigen en dan krijg je gelazer. Windows is dan ook niet altijd de beste keus als je ongelukken onder de duim probeert te huden.

USB-stick kwijt met vertrouwelijke data? Gebruiken jullie geen wachtwoorden? Word, Excel en Winzip kennen wachtwoord beveiligingen.

Grapjas. In ieder geval Excel kun je binnen een minuut en soms zelfs binnen 10 seconden het wachtwoord weg hebben.
USB sticks voor bedrijven met vertrouwelijke data zouden feitelijk altijd verboden moeten zijn tenzij ze encrypted zijn.
Verder is er wel degelijk een veilige manier van remote werken.
Werk met Citrix en je kutn alles zo perfect afschermen dat je er echt niet doorheen prikt.
Alleen al omdat er geen data maar brokjes video informatie en muisaanslagen over het net gaan en dan nog op een encrypted en gecomprimeerde manier.

@mml:

USB-stick kwijt met vertrouwelijke data? Gebruiken jullie geen wachtwoorden? Word, Excel en Winzip kennen wachtwoord beveiligingen.

Dat was bedoeld als grapje, toch?

@mml

strings 1234.doc en ik kan je alle tekst laten zien, wachtwoord of niet............

@MML

Weet je dan niet hoe eenvoudig een wachtwoord uit Word of Excel gesloopt kan worden? Google maar eens 'excel remove password'. Dat is bijna net zo goed als geen beveiliging: het is schijnzekerheid. Beter is dan encryptie dat kan met een eenvoudig stukje software.

En voor de rest: gewoon duidelijke afspraken met personeel maken over gebruik en misbruik data.

Het is overigens vaak droevig gesteld in bedrijven. Ik kom nog maar al te vaak op plaatsen waar men elkaars passwords kent. Het is toch handig: 'met het password van Klaas kan ik wel XYZ opstarten of even op internet iets opzoeken'. Of: 'ik check de email van collega nu hij met vakantie is' (kennelijk nog nooit gehoord van de afwezigheidsassistent....) en ga zo maar door. Zelfs post it memo's met passwords kom ik nog tegen. Daarenboven staan de meeste beheerders nog altijd toe dat je achtereenvolgens Piet01, Piet02, Piet03 etc als passwords gebruikt...

Wat ik wil zeggen: beveiliging is bij veel bedrijven echt een ondergeschoven kindje.

mml:

er zijn diverse tools om word, excel en winzip bestanden te kraken. Ok beveiligde winzip bestanden met veel tekens en een hoge encryptiemethode wordt inderdaad lastig, maar lukken zal het wel.

@mml: Word en Excel maken gebruik van schijn wachtwoorden, die zijn het gemakkelijkste te kraken. Bij Winzip moet je gaan brute forcen, maar dan is het zaak om echt een degelijk wachtwoord te gebruiken.
Echt veilig wordt het nog steeds niet.

Probleem zit hem erin dat je geen hele archiefruimte mee kunt nemen in je tas, maar wel diezelfde bedrijfsadministratie op een USB stick.

@mml: jij dacht dat dat passwordspul een probleem is voor mensen die een minder frisse kijk hebben?

Toch weer een opmerkelijk verschil tussen overheid en bedrijfsleven..

De overheid vindt USB sticks veilig en een ander vindt ze.
Draadloze communicatie mag alleen met AIVD-keurmerk en bij sommige bedrijven kun je als wildvreemde zo het netwerk op.

@mml
misschien een usb-stick met vingerprint-identificatie ipv een password op je word/excel/zip files. Als er iets eenvoudig te kraken is, zijn het de passwords van die programma's. De kraakprogramma's zijn snel te vinden of gewoon officieel te kopen.

Wachtwoorden is soms ook een giller. Iemand heeft een wachtwoord en moet het regelmatig veranderen. Daar mekkeren ze dan over, "te lastig", "niemand heeft het nodig" zijn dan de reacties. Als je dan van de homedrive een privebericht voorleest zijn ze geshockeerd (en nee, ik was niet als admin ingelogd, ik had het password van de user van een briefje in de bovenste bureaula gelezen :-D )

Bewustwording van risico's lijkt me een moeizame maar zeker de beste weg.

Het blijkt steeds weer dat de beveiligingsrisico’s van USB-sticks wordt gezien. Het risico gaat echter veel verder. iPod’s, PDA’s, smart phones en zelfs cd-rom’s kunnen eenvoudig worden aangesloten op pc’s en binnen enkele seconden grote hoeveelheden gevoelige informatie van het netwerk downloaden. Deze data kan eenvoudig worden gestolen of verloren worden, of deze informatie nu wordt gedownload door een medewerker of iemand van buitenaf.

Toch kunnen USB-sticks een handig hulpmiddel zijn om data mee te nemen voor bijvoorbeeld een meeting. Mijn advies zou dan ook zijn om ervoor te zorgen dat alle sticks een encryptie hebben in plaats van deze volledig te bannen. Als de USB-stick dan gestolen of verloren wordt, dan heeft de vinder in ieder geval geen toegang tot de informatie die er op staat.

Matt Fisher, vice-president van Centennial Software