Wachtwoordgijzeling bij veel organisaties mogelijk

Dit zegt Matt Kesner chief technology officer bij advocatenbureau Fenwick and West uit San Francisco: "Dit gebeurt veel vaker dan wordt gedacht. Het is het soort nachtmerrie dat bij veel bedrijven zou kunnen gebeuren. Er is vaak maar één netwerkgoeroe die de wachtwoorden heeft voor de toegang tot cruciale systemen. Het is van groot belang dat er wordt gestreefd naar een situatie waarin meer mensen die wachtwoorden hebben en dat er een infrastructuur ontstaat die ervoor zorgt dat er automatisch meer mensen zijn met die wachtwoorden. Bedrijven hebben helaas vaak niet de middelen of de kennis om een dergelijke infrastructuur te realiseren."

Ernstige gevolgen

Dat een dergelijke situatie ernstige gevolgen kan hebben bleek uit de arrestatie van netwerkbeheerder Terry Childs uit San Francisco, eerder deze maand. De beheerder werd verdacht van diverse zaken, waaronder het knoeien met het FiberWAN-netwerk van de stad, en het verschaffen van illegaal toegang tot het FiberWAN-netwerk met behulp van netwerkapparaten die hij zou hebben geïnstalleerd. Het FiberWAN-netwerk is van groot belang voor San Francisco, omdat 60 procent van al het internetverkeer binnen de overheid in de stad via dit netwerk loopt.

Enige beheerder met wachtwoord

Childs bleek de enige persoon te zijn die in het bezit was van de wachtwoorden voor het netwerk en weigerde deze te geven. Als gevolg hiervan werd hij vastgezet, met een borgsom van 5 miljoen dollar. Childs wilde de wachtwoorden naar eigen zeggen niet vrijgeven, omdat hij niet schuldig zou zijn aan zaken die hem ten laste waren gelegd. Hij verzocht de rechter afgelopen woensdag om de borgsom te verlagen, nadat hij de wachtwoorden eerder uiteindelijk toch had overhandigd . De rechter weigerde.

Gebrek aan documentatie

"Het probleem ligt niet alleen bij de controle over de wachtwoorden, maar ook bij het gebrek aan documentatie met betrekking tot configuraties en veranderingen" zegt Lou Michael, director of network and infrastructure services in Arlington County (Vriginia). "In situaties als deze wordt het verzoek om wachtwoorden en documentatie door netwerkbeheerders vaak opgevat als een vijandige actie en een motie van wantrouwen. Ik heb dit vaak genoeg meegemaakt, tot op het punt dat een netwerkbeheerder zelfs ontslag nam omdat hij zich moest gaan houden aan bepaalde processen en procedures."

Veiligheid geen prioriteit

Volgens Richard Gorman, CEO bij ontwikkelaar van beveiligingssoftware Vormetric Inc., is het gebrek aan prioriteit de belangrijkste oorzaak van het feit dat dit soort gevaarlijke situaties blijven bestaan: "Voor veel bedrijven is veiligheid niet het belangrijkste agendapunt, totdat die beveiliging, of het gebrek daaraan, voor problemen zorgt. Gek genoeg komt dit nog ontzettend vaak voor, terwijl het in principe altijd voorkomen kan worden."

Er moet controle zijn

Het voorkomen van dit soort incidenten hoeft niet per definitie veel geld te kosten volgens Gartner-analist John Pescatore: "Er moet ten alle tijden voorkomen worden dat er een situatie ontstaat waarbij een hele organisatie kan stranden door de acties van één persoon. In principe moeten er twee of drie mensen zijn die kennis hebben van het netwerk en de bijbehorende wachtwoorden, maar als daar geen budget voor is dan moet er in ieder geval een document aanwezig zijn waarin deze gegevens staan genoteerd. Dan kan iets als dit nooit meer gebeuren".