Hoewel je onmogelijk kunt ontkomen aan alle sociale-netwerkdreigingen, zijn er ook stappen die je kunt nemen om de risico’s flink terug te dringen. CSOonline nam onlangs contact op met tientallen IT security professionals (via verschillende social network platforms nota bene) om de zeven meest voorkomende beveiligingszonden in kaart te brengen – en natuurlijk ook voor tips om ze te vermijden.

1. Overenthousiast bedrijfsactiviteiten delen

Dit gebeurt als iemand zo trots en opgewonden wordt over iets dat gaande is binnen zijn bedrijf dat hij (of zij - dit doe ik maar eenmaal dit artikel) het niet kan laten om iedereen erover in te lichten. Misschien werk je in de farmaceutische industrie en staan jullie op het punt een geneesmiddel voor kanker op te leveren. Misschien is het bedrijf een auto aan het ontwikkelen die rijdt op tuinafval. Misschien gaat het om iets waar iedereen op zit te wachten.

Doordat je teveel openheid geeft over het intellectueel eigendom van je werkgever, loop je het risico dat je hem de das om doet doordat je een concurrent op een idee brengt dat hem in staat stelt het trucje na te doen – of die misschien besluit een stok tussen de wielen te steken door de boel te saboteren, of die je een hacker of bedrijfsspion op je dak stuurt.

Vergis je niet in die hackers: met behulp van een leger aan botnets is het heel goed mogelijk dat ze een lek in de beveiliging van je onderneming vinden dat ze gebruiken alle details te achterhalen van jullie intellectueel eigendom. Die gegevens kunnen ze vervolgens doorverkopen aan de hoogste bieder, en ook dat zou best eens jullie directe concurrent kunnen zijn.

“Het delen van dit soort informatie kan aanleiding zijn voor zeer gerichte aanvallen op specifieke technologie-producerende ondernemingen”, zegt Souheil Mouhammad, beveiligingsexpert bij Altran Technologies.

Deze zonde heeft geleid tot een heel debat binnen de beveiligingsindustrie over de vraag of bedrijven hun beleid rond computergebruik moeten aanpassen zodat glashelder wordt gemaakt wat precies wel en niet is toegestaan binnen de social networking arena.

Om de neiging om te veel te delen een beetje in te perken is het misschien handig de volgende mantra op te zeggen die langzaamaan populair wordt in het publieke domein: ‘Loose Tweets Sink Fleets’ (Ondoordachte Tweets kunnen een vloot doen zinken)…

2. Geen onderscheid tussen privé en werk

De tweede zonde ligt dicht bij de eerste, maar strekt zich uit buiten de bedrijfsgrenzen. Dit is het geval als iemand een sociaal netwerk zowel voor zijn werk als voor de lol gebruikt, zoals vaak gebeurt op Facebook, waar veel mensen vrienden, zakenpartners en familieleden door elkaar laten lopen.

Het probleem is dat de taal en de afbeeldingen die je daar deelt met vrienden en familie volstrekt ongepast kunnen zijn in een zakelijke omgeving. Een potentiële werkgever bijvoorbeeld kiest zonder aarzelen de volgende kandidaat als hij zich jouw foto’s herinnert van die stomdronken Nieuwjaarsavond of die uit de hand gelopen houseparty. Als je dat soort dingen deelt, loop je zelfs het risico dat het uitstraalt naar je bedrijf, waar jij tenslotte een vertegenwoordiger van bent.

“In mijn ogen is een van de belangrijkste regels voor social networking dat je je bewust bent van het feit dat je woorden deel uitmaken van het publieke domein”, zegt Paul V. de Souza, chief security engineer bij AT&T. “Je kunt zomaar overal op het web aangehaald worden, dus pas een beetje op wat je zegt. Wees diplomatiek en zo professioneel mogelijk.”

In sommige gevallen is het bijna onmogelijk zaken en privé gescheiden te houden op een social networking site. Wie bijvoorbeeld voor een mediabedrijf werkt, kan tegenwoordig te maken krijgen met de eis zo veel mogelijk sociale netwerken te gebruiken om de bedrijfs-content te pushen, opdat de resulterende extra pageviews weer adverteerders opleveren. Maar als het ook maar enigszins mogelijk is, zullen beveiligingsexperts proberen privé en zaken zo veel mogelijk gescheiden te houden.

“Je moet goed begrijpen wat het doel is van je aanwezigheid op een sociaal netwerk. Is het voor het werk, houd het dan bij het werk. Is het persoonlijk en voor de lol, houd het dan ook persoonlijk”, zegt Benjamin Fellows, beveiligingsexpert bij Ernst & Young. “Ik ben al ik weet niet hoe vaak uitgenodigd voor Facebook door collega’s bij wie ik vervolgens allemaal zaken in hun profiel of op hun pagina aantref die bepaald niet politiek correct of zelfs verschrikkelijk aanstootgevend zijn. Ik bewaar al mijn werkrelaties voor LinkedIn en mijn persoonlijke vrienden voor Facebook. En dan nog ben ik heel voorzichtig met wat ik zeg, op beide sites. Volgens mij valt dit onder ‘ken je publiek’.”

3. Scheldpartijen via Twitter (LinkedIn/Hyves/Facebook/Myspace…)

Voor mensen die zojuist ontslagen zijn, of wiens professionele integriteit online ter discussie wordt gesteld, is het soms moeilijk de aandrang te bedwingen even fors uit te halen.

“Je wilt echt niet in een flame war verzeild raken”, zegt John Bruggeman, IT director. “Pas op wat je zegt en stel je voor dat je op een feestje bent waar iedereen hoort wat je zegt, inclusief je baas, je partner en je toekomstige werkgever.”

Scott Hayes, CEO bij Database-Brothers: “Iets online zetten terwijl je woest bent is net zo gevaarlijk als een woedende e-mail sturen – misschien wel gevaarlijker. Denk twee keer na voordat ze iets online zet, want de hele wereld kan nog jarenlang met je razende, kinderachtige uitbarsting geconfronteerd worden.”

4. Degene die sterft met de meeste contacten heeft NIET gewonnen!

Er zijn sociale netwerkers die denken dat er niets belangrijker is dan het verzamelen van zo veel mogelijk contacten. Vooral mensen op LinkedIn staan daar om bekend. Dat lijkt misschien onschuldig, of op zijn ergst vervelend, maar als kwantiteit werkelijk boven kwaliteit gaat, is het te makkelijk om in contact te komen met (of te bemiddelen in contacten van) oplichters of identiteitsdieven.

“Controleer altijd welke personen precies contact met je zoeken”, zegt Ruud van den Bercken van Xs4all. “Ken je hem of haar? Zo niet, waarom probeert zo’n persoon dan met je in contact te komen? Controleer of het profiel van de ander beveiligd is. Als je geen lijst kunt opvragen met de contacten van zo’n persoon, moet je je misschien nog eens achter de oren krabben.”

Netwerk- en beveiligingsarchitect en engineer Jatinder Thukral zegt het als volgt: “Ik heb liever 50 relevante contacten dan 500 onbekenden.”

5. Wachtwoordmoeheid

De zonde van de luiheid komt vaak voor. In dit geval neemt het de vorm aan van wachtwoorden ‘die je goed kunt onthouden’. In de praktijk betekent dat simpelweg dat je hetzelfde wachtwoord gebruikt voor LinkedIn en Hyves, maar ook voor online bankieren, je werk-pc en je webmail. Als iemand met slechte bedoelingen nu het wachtwoord van een sociaal netwerk weet te achterhalen, heeft zo’n figuur meteen toegang tot al die andere zaken.

“Hetzelfde wachtwoord gebruiken op verschillende sites is alsof je erop vertrouwt dat de zwakste schakel ook de zwaarste last kan dragen. Iedere site heeft kwetsbare punten, en je moet ervan uitgaan dat sommige daarvan ooit eens misbruikt gaan worden”, zegt Daniel Philpott, informatiebeveiligingsexpert bij OnPoint Consulting.

6. Klikgekte

Vooral Facebook en Hyves zijn berucht als het gaat om mailboxen die uitpuilen van de uitnodigingen en mededelingen. Voor sommige sociale netwerkers is de drang om al dat soort post aan te klikken net zo natuurlijk als ademhalen. Helaas wordt daar ook misbruik van gemaakt; je ontvangt soms mail die er uitziet alsof het van vrienden afkomstig is, en als je die dan opent ben je prompt geïnfecteerd met malware. Christophe Veltsos, president bij Prudent Security, waarschuwt voor deze klikgekte: “Niet klikken, tenzij je zeker weet dat je beschermd bent tegen drive-by downloads en zero-day attacks.”

7. Jezelf en anderen in gevaar brengen

Al het bovenstaande komt samen in de zevende en misschien wel gevaarlijkste zonde van allemaal, waarbij je door onzorgvuldig netwerken letterlijk iemand in levensgevaar kunt brengen. Denk aan familieleden of collega’s. Of jezelf.

Beveiligingsexperts adviseren extreem voorzichtig te zijn met informatie over verjaardagen, adressen en andere details over je partner, je kinderen et cetera. Je wilt niet op je geweten hebben dat ze het slachtoffer worden van identiteitsdiefstal, of zelfs ontvoering.

Afgelopen maand liet Motorola CSO Bill Boni tijdens een seminar over Data Loss Prevention in Chicago nog weten dat wat hem betreft Twitter een uitstekende manier is om ontvoerd of beroofd te worden. Hij ergerde zich duidelijk aan al die mensen die voortdurend de aandrang voelen om alle details over hun locatie en wat ze aan het doen zijn met de hele wereld te delen. “Twits,” noemde hij ze. Pun intended.

Bron: Techworld