Dat advies geeft de AIVD in het rapport 'Bescherming tegen onveilige usb-sticks'. De overheden gaan hier te onzorgvuldig mee om. In een test werden 35 van de 54 bewust verloren usb-sticks in een computer gestoken. Bij de tweede test waren dit er 15 van de 20.

De AIVD wil met de nieuwe richtsnoeren "genante en kostbare incidenten" voorkomen. De grootste problemen zijn de autorun- en autoplayfuncties die ervoor zorgen dat een programma op een usb-stick automatisch opstart, zonder tussenkomst van de gebruiker. Als de stick aangesloten wordt kan de malware automatisch zijn gang gaan. De AIVD adviseert deze functies dan ook uit te zetten.

Register hacken

Dat kan via de weg die Microsoft adviseert. Een gebruiker kan, mits hij de goede updates voor Windows Vista, Windows Server 2008, Windows XP, Windows Server 2003 of Windows 2000 heeft geïnstalleerd, via Group Policy de autorun en autoplayfunctie uitschakelen. Voor Windows 7 zijn er geen aparte updates nodig.

Wie helemaal van het probleem af wil kan ook het register van Windows aanpassen, zo merkt de AIVD op. "Hoewel deze oplossing neerkomt op een ‘hack’ die niet officieel door Microsoft wordt ondersteund, wordt deze oplossing wél door verschillende beveiligingsorganisaties aanbevolen als de meest effectieve oplossing", staat te lezen in het rapport.

Menselijke factor

Ook de instructies om deze registerhack uit te voeren zijn aanwezig in het rapport. De AIVD merkt op dat er met de Group Policy aanpassing mogelijk verwarring ontstaat bij de gebruiker doordat de icoon voor de schijf verandert. Bij een registeraanpassing is dit niet het geval en treedt die verwarring niet op.

Naast de autorun- en autoplayfuncties speelt ook de menselijke factor een belangrijke rol bij besmettingen. Bestanden met een bekende of leuk klinkende naam zoals 'salarisadministratie.xls of leuk-computerspel.exe' kunnen ook malware bevatten. Daarom moeten overheden medewerkers wijzen op de gevaren van usb-sticks zodat er alleen nog 'vertrouwde usb-sticks'in de computer worden gestoken.

Hele organisatie

Verder moet er een goede virusscanner worden gebruikt en moet het patchsysteem op orde zijn. Voor verdergaande beveiliging adviseert de AIVD het gebruik van een End Point Security al dan niet in combinatie met Host-based Intrusion Prevention Systems. Hiermee kunnen bepaalde softwaretoepassingen zoals het uitvoeren van .exe-bestanden en de toegang tot de usb-poorten worden geblokkeerd.

De AIVD wijst erop dat de genoemde maatregelen alleen effect hebben als iedereen in de organisatie er gebruik van maakt. Daarom moeten ze worden "ingebed in een sluitend stelsel van organisatorische, procedurele en technische beveiligingsmaatregelen".