Slechte beveiliging bedrijfsnetwerken vooral te wijten aan slecht wachtwoordbeheer
1 juni 2007 -
Denkt u dat de veiligheid van uw persoonlijke gegevens die u verplicht bent op te slaan verzekerd is? Wees daar maar niet al te zeker van. Een derde van het IT-personeel blijkt zijn vertrouwenspositie namelijk te misbruiken om rond te neuzen in de vertrouwelijke informatie op bedrijfsnetwerken.
Volgens onderzoek van Cyber-Ark Software kan een op de drie IT'ers de verleiding niet weerstaan een blik te werpen op persoonlijke bestanden, loongegevens, persoonlijke e-mails en PZ-dossiers.
Slechte beveiliging Een van de ondervraagde IT'ers merkte op: "Waarom verbaast het jullie zo dat we rondneuzen in persoonlijke gegevens? Zouden jullie niet precies hetzelfde doen als jullie die kans hadden?" Nog erger: meer dan een derde van het IT-personeel geeft toe dat het netwerk zo slecht beveiligd is dat ze ook nadat ze niet meer in het betreffende bedrijf werken bij de gegevens kunnen komen. Meer dan een kwart kent zelfs persoonlijk een ex-werknemer die nog steeds toegang tot het bedrijfsnetwerk heeft.
Slecht wachtwoordbeheer Volgens Cyber-Ark is een groot deel van deze veiligheidsgebreken te wijten aan slecht wachtwoordbeheer. Een vijfde van alle ondernemingen geeft toe dat ze hun wachtwoorden zelden veranderen en zeven procent doet dat zelfs nooit – en dat verklaart waarom zoveel ex-werknemers nog steeds het bedrijfsnetwerk op kunnen. Bovendien schrijft meer dan de helft van de respondenten belangrijke wachtwoorden op papiertjes en wordt vaak hetzelfde wachtwoord voor alle computersystemen gebruikt. Willen bedrijven dat het rondneuzen in vertrouwelijke gegevens, het hacken en de sabotage van de netwerken stopt, dan zullen ze die beter moeten beveiligen, minder mensen toegang moeten geven tot cruciale informatie en de uitgedeelde wachtwoorden beter moeten beheren, aldus Cyber-Ark.
Interessant stuk, maar naar mijn idee wordt er alleen geconstateerd dat er een probleem is. Er wordt met geen woord gerept over eventuele oplossingen. Ik ben inmiddels zeven jaar professioneel werkzaam binnen de IT bij verschillende bedrijven. En er zijn maar een paar bedrijven waarbij IT Security goed geregeld is.
Om aan te geven dat probleem ligt bij slecht wachtwoordbeheer is naar mijn idee te kort door de bocht. Wachtwoord beheer staat of valt met de zwakste schakel in iedere beveiliging, de mens zelf.
Ik geef toe dat ik vaak ook zelf een makkelijk te onthouden password verzin om mijzelf het leven toch te vergemakkelijken. Daar komt wel bij dat ik bijvoorbeeld, naar goed voorbeeld, mijn eigen account niet de rechten geef die ik als beheerder nodig zou hebben. Dit is een account welke wel degelijk eens in de zoveel tijd aangepast wordt. Dit is gewoon in te stellen op het netwerk.
In het begin is het altijd een geklaag van de werknemers dat ze de periode waarover hun wachtwoord verloopt te kort vinden of dat de moeilijkheidsgraad van het in te stellen wachtwoord te moeilijk zou zijn. Daar komt nog bij dat hoger management vaak aan de ene kant wil dat er een zo strikt mogelijk wachtwoord beleid gevoerd wordt, maar zij zijn ook de eerste die vinden dat het voor hen omzeild moet worden op het moment dat het hen het leven wat gecompliceerder maakt.
Ik ben altijd voorstander van gelijke monniken, gelijke kappen en waar mogelijk ben ik dan ook altijd falicant tegen dergelijke praktijken. Helaas is het vaak nodig om één of meerdere serieuze incidenten te laten voorvallen voordat de ernst van een goed wachtwoord beleid wordt ingezien.
Om maar even een cross reference te maken naar een ander artikel op deze site: Managers hebben ook hier een voorbeeldfunctie en een goed wachtwoordbeleid moet dan ook van bovenaf met goed voorbeeld gevolg gegeven worden. De mens is nog altijd de zwakste schakel hierin.
heer A.A. Heitink
|
|
6
-
09
-
2007
|
12
:
53
uur
geachte heer Baay, helemaal mee eens én als toevoeging op de zwakste schakel:
de gierigheid van bedrijven nog meer te investeren in een goede beveiliging.
Kosten en baten van een dergelijke beveiligingsaanpak zijn níét inzichtelijk.
Dus nemen we het ons allemaal voor, maar geven toch voorrang aan andere zaken.
