In dit verhaal de vijf meest voorkomende manieren waarop werknemers gevoelige data lekken.

“DLP is in de eerste plaats een proces. De bijbehorende technologie heeft alleen maar de functie om dat proces in gang te zetten”, zo stelt Rick Lawhorn, beveiligingsmanager in Richmond. Het proces bestaat volgens hem uit meer onderdelen dan alleen technologie: “Ook het opleiden van mensen en het aanleren van verantwoordelijkheidsgevoel hoort daarbij, net als HR-beleid, records management en het volgen van regelgeving.” Op basis van de feedback van verschillende beveiligingsexperts heb ik een lijst samengesteld met vijf veel voorkomende manieren waarop medewerkers gevoelige data kwijtraken, soms opzettelijk, andere keren door onwetendheid. Ik zal daarbij per punt uitleggen hoe men lekkage kan voorkomen met een DLP-programma en de juiste personeelsinstructies.

1. Vrachtladingen e-mail

De IT-wereld is tegenwoordig in staat om een groot deel van alle spam- en kwaadaardige mailberichten tegen te houden, maar werknemers laten andersom continu allerlei gevoelige informatie naar buiten lekken. Soms gebeurt dat simpelweg doordat ze op het verkeerde moment de ‘verzenden’-knop indrukken, bijvoorbeeld nadat ze klantendata of informatie over intellectuele eigendom in een mail hebben gecopy-paste, zonder na te denken over de lijst met geadresseerden. Meestal zijn dergelijke mails bestemd voor collega’s binnen de eigen organisatie, maar zonder erbij na te denken kan een gebruiker bijvoorbeeld externe adressen in de CC-lijst laten staan.

Overigens zijn e-mailfilters niet in staat om iedere poging tot phishing te blokkeren. URL’s die naar kwaadaardige sites verwijzen komen er nog steeds doorheen. Het enige dat nodig is om een of meer pc’s te infecteren met malware die gevoelige data opspoort, is dat één enkele medewerker een keer op zo’n url klikt. En dat is volgens experts als Lawhorn precies het punt waarbij bedrijfsregels en bewustzijnstrainingen het verschil kunnen maken. Ieder bedrijf zou beleid moeten ontwikkelen ten aanzien van het type content dat werknemers al dan niet mogen versturen, waarbij bijvoorbeeld regels worden opgesteld over de omgang met medische gegevens, creditcardgegevens van klanten of informatie over intellectuele eigendom.

Cybercriminelen maken ook vaak handig gebruik van belangrijk wereldnieuws, zoals aardverschuivingen of het overlijden van een beroemdheid. Ze versturen er ‘nieuwsberichten’ met onzinkoppen over rond en wie daar op klikt komt op een website terecht die is ontwikkeld om malware op de computer van de gebruiker te installeren. Een bewustzijnsprogramma kan dergelijke gevaren keren, door het personeel voortdurend op dergelijke risico’s te wijzen.

2. De gevaren van IM

Het gebruik van IM-programma’s (Instant Messaging) zoals MSN is dagelijkse routine geworden, in een wereld waarin werknemers steeds mobieler zijn en steeds vaker op een andere locatie werken. Veel mensen zijn afhankelijk van dergelijke software voor communicatie met hun collega’s en leidinggevenden. Dat ontgaat ook cybercriminelen niet. Steeds vaker worden betrouwbaar ogende accounts gebruikt om linkjes naar malware en geïnfecteerde bestanden te versturen, naar mensen die denken dat ze met een collega van doen hebben. Wat dit probleem nog groter maakt, is dat de meeste messengerprogramma’s gratis worden verspreid en – eenmaal geïnstalleerd – grotendeels buiten de controle van een netwerkbeheerder vallen. Precies zoals bij het gebruik van e-mail zijn ook ten aanzien van IM bedrijfsregels en bewustzijnstrainingen van groot belang. Er moeten duidelijke regels worden opgesteld, waarin vaststaat welke informatie wel en welke niet mag worden gedeeld via IM.

3. Misbruik van sociale netwerksites

Terwijl IT-managers worstelen met de risico’s die aan e-mail en IM kleven, richten cybercriminelen hun pijlen steeds vaker op sociale netwerksites zoals LinkedIn, Myspace, Facebook en Twitter. Het lijkt erop dat criminelen op deze sites de trucs loslaten die ze eerder hebben ontwikkeld voor e-mail en IM. Met name Facebook staat erom bekend dat inboxen overstromen met de meest uiteenlopende verzoeken, van uitnodigingen voor feestjes tot aanvragen voor financiële ondersteuning van ‘goede’ doelen. Sommige gebruikers van sociale netwerken openen dergelijke berichten met net zoveel gemak als waarmee ze ademhalen. Dat is een bekend gegeven onder cybercriminelen en ze sturen dan ook talloze linkjes rond die op het eerste gezicht afkomstig lijken van online vrienden.

Wie op dergelijke linkjes klikt wordt doorgaans meteen uitgenodigd om als ‘zinvolle software’ gecamoufleerde malware op zijn pc te installeren. Christophe Veltsos, directeur van Prudent Security, heeft het in dit kader over mensen die ‘click-happy’ zijn en waarschuwt voor de risico’s daarvan: “Klik niet op url’s die iemand zomaar naar je toestuurt, tenzij je van malware houdt of graag op een andere manier slachtoffer wilt worden van een cyberaanval.” Met een bewustzijnsprogramma kunnen gebruikers worden gewezen op de gevaarlijke aspecten van sociale netwerksites; of het nu gaat om uitnodigingen voor een niet-bestaande groep op LinkedIn of om op Myspace geplaatste foto’s waarbij malware tevoorschijn komt zodra iemand erop klikt.

4. Onjuist wachtwoordgebruik

Dit is een ander bekend fenomeen waar aanvallers voortdurend - en met succes - gebruik van weten te maken. De meeste computergebruikers bezitten een enorme waslijst met wachtwoorden die ze nodig hebben om in te loggen op het bedrijfsnetwerk en op sociale netwerksites, voor het opvragen van bankgegevens en voor tal van andere toepassingen. Omdat je een wachtwoord dat je misschien maar eens per maand nodig hebt gemakkelijk vergeet, is het verleidelijk om een en hetzelfde wachtwoord voor verschillende toepassingen te gebruiken. En dat is absoluut niet handig, zo legt Daniel Philpott, beveiligingsexpert bij OnPoint Consulting, uit: “Als je hetzelfde wachtwoord voor verschillende sites gebruikt, ga je er van uit dat de zwakste schakel in een ketting hetzelfde gewicht kan dragen als de andere schakels. Iedere website heeft zwakke plekken, bedenk dus dat de kans bestaat dat ze worden misbruikt.” Rick Lawhorn noemt dit een typisch voorbeeld van een onderwerp dat moet worden opgenomen in gebruikersregels. Werknemers zouden bijvoorbeeld kunnen worden verplicht om voor ieder werkgerelateerd account een ander wachtwoord te gebruiken, dat bovendien uit hoofdletters, kleine letters en cijfers moet bestaan.

5. Onbeperkt toegang

Als laatste punt in dit lijstje wil ik wijzen op het feit dat werknemers te vaak toegang krijgen tot bedrijfsapplicaties die ze niet nodig hebben om hun taken goed uit te kunnen voeren. Bij een arbeidsconflict biedt dit de uitgelezen mogelijkheid voor een ontevreden medewerker om aan de haal te gaan met gevoelige informatie, zodat het bedrijf in enorme problemen komt. Een eenvoudige oplossing is om werknemers alleen toegang te geven tot de applicaties en databases die ze nodig hebben om hun werk goed te kunnen doen. Bron: Techworld