Er zijn van die standaardgevalletjes van eindgebruiker-acties die je moedeloos maken en van binnen laten huilen. Sommige van die acties zorgen ervoor dat het hele IT-systeem in gevaar komt. We spraken enkele CISO's over dit soort gevallen en hier volgen voor de liefhebber een aantal praktijkvoorbeelden.

1. Moedwillig omzeilen/Schaduw IT

Het gebeurt nog steeds, van die medewerkers die "ook wat weten van computers" en het niet eens zijn met de policies van het bedrijf waar zij werken. Websites geblokkeerd? Bepaalde applicaties niet mogen gebruiken? Vervelend. Gelukkig kennen zij nog wel wat handige "tooltjes" die deze restricties kunnen omzeilen.

Dat zij hiermee soms het hele netwerk kwetsbaar maken komt niet in ze op (of het kan ze niks schelen). Jarenlang was het mogelijk met bepaalde applicaties firewalls te omzeilen of lokaal policies aan te passen waardoor andere applicaties konden worden geïnstalleerd en dan hebben we het nog niet eens gehad over hardware.

Overigens mogen de beheerders zich ook achter de oren krabben als gebruikers überhaupt software van derden kunnen installeren op de bedrijfscomputers, tenminste, het is nog best lastig om alle ellende van binnenuit tegen te houden, daarom is het handig om niet alleen alles dicht te timmeren, maar ook te werken aan de mentaliteit van medewerkers.

Lees ook: Wat is schaduw-IT?

8 manieren om schaduw-IT te voorkomen

2. "Het was maar een grapje"

Kantoorgrapjes zijn van alle tijden, maar sinds de computer z'n intrede heeft gedaan lijkt het aantal grappen en grollen zich ook steeds vaker te verplaatsen naar dit medium. "Grappige" mailtjes, gekke bureaubladafbeeldingen of een mailtje "namens jou" naar alle collega's dat je morgen trakteert (Dat krijg je ervan als je je computer niet vergrendelt als je je bureau verlaat). Helaas zijn er altijd een paar collega's die te ver gaan.

Wij kregen een verhaal binnen van een beheerder die flink wat ellende te verduren had gekregen omdat een medewerker "als grap" de RAT, Back Orifice had geïnstalleerd op de computer van een collega. De medewerker en z'n collega's vonden het hilarisch om het slachtoffer zich achter de oren te zien krabben waarom de CD-ROM speler steeds op willekeurige momenten open sprong en er rare "foutmeldingen" op z'n scherm verschenen.

De grappenmaker was zich er blijkbaar niet van bewust wat voor een impact malware als Back Orifice kan hebben op een bedrijfsnetwerk. Het duurde dan ook niet lang voordat andere collega's ook last kregen van vreemde meldingen. Toen de beheerders erachter kwamen dat deze malware huis aan het houden was via het netwerk, waren er al enkele tientallen collega's besmet en bleek er al veelvuldig van buitenaf verbinding te zijn gemaakt. Aangezien men met de tool ook makkelijk wachtwoorden kon achterhalen en screenshots kon maken, moest niet alleen het netwerk grondig worden opgeschoond maar ook iedereens wachtwoorden worden gereset. Een dure grap dus.

3. Quarantaine - nergens voor nodig

We hadden ooit last van een phishingaanval op het bedrijf, dus we lichtten uiteraard het personeel in om te waarschuwen dat ze voorzichtig moesten zijn waar ze op klikten. Om het gevaar direct te bestrijden, werden de phishingmailtjes automatisch in een quarantaine-map gezet. Een van onze gebruikers ging daadwerkelijk naar die map, gaf het besmette e-mailtje groen licht en verplaatste het naar zijn postvak. Vervolgens klikte hij op de link en besmette hij zijn pc met malware.

4. Gefeliciteerd, je verliest je baan

Een van onze systeembeheerders wilde een prijs winnen met een technologievideo op een website. Dus hij nam een videocamera mee naar ons beveiligd datacenter en filmde een paar heel gevoelige racks met hardware die van verschillende klanten was. Een van deze klanten belde op om te zien dat ze hun servers online hadden zien staan. Het was niet zo moeilijk om de identiteit van de videomaker te achterhalen. Hij verloor zijn lucratieve baan met een poging een kleine geldprijs in de wacht te slepen.

5. Laat de USB-stick achter op een veilige plek

Er is bij ons een beleid over het kopiëren van gevoelige informatie op systemen die niet van het bedrijf zelf zijn. We betrapten een bestuurder op het kopiëren van gevoelige bedrijfsgegevens naar een usb-stick. Ze zei dat ze een back-up nodig had voor het geval haar laptop werd gestolen. Ik vroeg of ze dan tenminste de stick achter slot en grendel bewaarde op kantoor of thuis. Ze antwoordde dat ze haar stick in de laptoptas bewaarde. Dus ze bewaarde haar back-up samen met de laptop waarvan ze bang was dat hij gestolen zou kunnen worden.

6. Synchronisatie bedrijfsgeheimen

Er was een nieuw bestuurslid aangenomen bij onze organisatie en op zijn tweede dag installeerde hij Dropbox op zijn laptop. Vervolgens synchroniseerde hij propriëtaire informatie van zijn vorige werkgever naar zijn nieuwe apparaat. Dat had ons een heel lastige rechtszaak kunnen opleveren over gestolen bedrijfsgeheimen.

7. Data lekt raam uit

Een werknemer stond op het punt het bedrijf te verlaten en besloot wat klantendata met zich mee te nemen. Hij kopieerde een lading naar een usb-stick en de grote dataverhuizing werd opgemerkt door de Data Loss Prevention-software. Die zette een boodschap op zijn scherm met een waarschuwing over het bedrijfsbeleid inzake usb-apparaten. Hij raakte in paniek en gooide de stick uit zijn raam. We konden hem buiten niet terugvinden en dat gold als een datalek.

8. Beveiligd Wi-Fi

Een van onze bedrijfsmanagers vertelde heel serieus dat de draadloze communicatie was versleuteld, omdat hij wist dat het draadloze netwerk een wachtwoord vereiste.

9. Wantrouw je schoonfamilie

De CEO van een bedrijf kreeg een e-mailtje van een lid van zijn schoonfamilie en dat bleek een phishingmailtje te zijn. De CEO vond het niet vreemd dat hij opnieuw moest inloggen 'bij Google' en de phishers gingen aan de haal met zijn inloggegevens van Google. Ze probeerden hetzelfde te doen bij de andere CEO. De daders probeerden met authentieke mailtjes van de CEO's vervolgens diens assistenten zo ver te krijgen om geld over te maken.

10. Thuis non-compliant

Nota bene een compliance office kreeg een bestand niet open met een half miljoen creditcardgegevens en besliste vervolgens dat haar thuiscomputer dat bestand wel zou kunnen openen. Dus e-mailde ze het gevoelige gegevensbestand naar zichzelf.