Donderdagmiddag. Een IT-medewerker krijgt een telefoontje van de baas; of hij even naar zijn haperende pc kan kijken. Uiteraard is dat geen probleem. Een dag later is de pc weer in orde, twee dagen later weet heel het bedrijf dat de baas een pornofreak is. Opgelet, uw informaticus heeft meer macht dan u denkt! De […]

Advertentie

Donderdagmiddag. Een IT-medewerker krijgt een telefoontje van de baas; of hij even naar zijn haperende pc kan kijken. Uiteraard is dat geen probleem. Een dag later is de pc weer in orde, twee dagen later weet heel het bedrijf dat de baas een pornofreak is. Opgelet, uw informaticus heeft meer macht dan u denkt!

De site van een groot bedrijf ligt zonder aanwijsbare reden plat. Een onderzoek wijst uit dat de ex-programmeur van het bedrijf een hefboom in de programmering heeft geïnstalleerd om de site te saboteren. De oorzaak kwam aan het licht, toen bij onderzoek bleek dat de user-ID overeenkwam met dat van de ontslagen werknemer. De man had er door zijn kennis voor gezorgd dat hij nog altijd toegang had tot de systemen van het bedrijf. 

Fraude, sabotage, chantage,…
Maar het kan nog erger. In een ander bedrijf leeft de systeembeheerder op voet van oorlog met een collega. Om hem in diskrediet te brengen, zet de informaticus bezwarende informatie in de directory van zijn collega en zorgt ervoor dat dit aan het licht komt. Hij hoopt op deze manier zijn collega in diskrediet te brengen zodat deze wordt ontslagen.

“Dat is nog maar het topje van de ijsberg”, vertelt Menno van der Marel, directeur van Fox-IT. “Het gebeurt bijvoorbeeld ook dat informatici op zoek gaan naar de namen van personen die ontslagen zullen worden en die dan doorspelen aan de betrokken collega’s.”

Het begint vaak heel onschuldig. Puur uit nieuwsgierigheid gaan informatici op zoek naar informatie die niet voor hen bestemd is. Vooral om te zien hoe ver ze kunnen gaan. In de meeste gevallen doen ze uiteindelijk niets met de informatie die ze vinden, omdat ze vaak niet weten waar het over gaat, maar af en toe maken ze toch misbruik van hun positie.

“Er zijn verschillende manieren van misbruik,” vertelt Carlo Schüpp van Deloitte, “maar de meest voorkomende zijn fraude, sabotage en chantage.” In veel gevallen gebeurt dat door ontslagen werknemers die willen natrappen of door werknemers die zo hun job veilig willen stellen.

Veel managers onderschatten de macht die hun IT-afdeling heeft, omdat hun invloed onzichtbaar is en zich achter de schermen afspeelt. Maar hoe verder de digitalisering groeit, hoe groter de macht van de IT’er en hoe groter de risico’s voor het bedrijf. Kennis is nu eenmaal macht, en de informaticus kan vaak aan alle informatie die voorhanden is. Ze hebben toegang tot strategische bedrijfsinformatie, kunnen paswoorden veranderen en zelfs hele processen beïnvloeden. Weinig managers weten wie er allemaal over hun schouders meekijkt. 

Cijfers
Een recent onderzoek van internetbeveiliger McAfee bevestigt deze gevallen van misbruik. In een ondervraging van 1.400 Amerikaanse, Duitse, Engelse en Franse informatici geeft 60 procent toe dat onbevoegden toegang kregen tot bedrijfsgegevens. Volgens diezelfde studie zou er slechts in 6 procent van de gevallen misbruik van zijn gemaakt. Bovendien zegt 61 procent van de ondervraagden dat het misbruik en bijvoorbeeld het lekken van informatie, in eerste instantie door collega’s is gebeurd. De schade die bedrijven oplopen door dit misbruik, is volgens hen gemiddeld 1,2 miljoen euro.

“Maar dat is niet de enige vaststelling”, zegt Carlo Schüpp. “Uit ons eigen onderzoek blijkt dat er een groot verschil is tussen wat de businessmensen weten over mogelijke incidenten en wat IT weet.” Deloitte voerde een onderzoek uit bij zo’n 300 bedrijven en onderzocht onder meer het misbruik van informatie en de communicatie daarover.  Uit die ondervraging bleek het volgende. Slechts 23 procent van de IT-mensen zegt dat er geen fraude is. Aan de businesskant denkt 37 procent dat er geen fraude is. Op de vraag naar data theft antwoorden IT-mensen dat het volgens hen in 12 procent van de gevallen gebeurt. Businessmensen hebben maar weet van 7 procent. Kortom, er gebeurt heel wat waar wel de IT-afdeling van op de hoogte is, maar de businesskant, het management bijvoorbeeld, niet.

Risico’s beperken
De informaticus in uw bedrijf heeft heel veel macht. En toch kan u makkelijk de risico’s beperken. Daar leggen Carlo Schüpp en Menno van der Marel beiden de nadruk op. “Informatici in bedrijven roepen altijd heel luid dat ze al die privileges echt nodig hebben om snel aan een systeem te kunnen, maar dat is niet zo. Enkel in uitzonderlijke omstandigheden, is dat nodig”, vertelt Carlo Schüpp. “Het probleem zit hem inderdaad in het toekennen van de rechten aan de IT’er”, zegt ook van der Marel. “Je moet ervoor zorgen dat systeembeheerders slechts toegang hebben tot die informatie die voor hen bestemd is en niet tot andere.”

Van der Marel wijst er ook op, dat een bedrijf ervoor moet zorgen dat verantwoordelijkheden worden gescheiden. De persoon die bijvoorbeeld toegang heeft tot bepaalde systemen, mag niet dezelfde zijn als degene die de toegang tot die systemen beheert. Een medewerker krijgt dus enkel toegang tot de informatie die hij absoluut nodig heeft om zijn job te doen. Medewerkers die extra rechten krijgen, worden speciaal opgevolgd. Regelmatige interne en externe audits controleren of alle procedures correct worden opgevolgd en de kans op misbruik dus zo klein mogelijk blijft.

“IT moet op een gecontroleerde manier omgaan met deze processen en vooral het toekennen van die privileges”, vertelt Carlo Schüpp. “Als de e-mail server het bijvoorbeeld begeeft, dan pas kan iemand om specifieke privileges vragen en deze ook krijgen. Maar nadien moet op deze actie een audit worden gedaan en moet de werknemer zijn acties toelichten. Op die manier wordt een degelijke extra bescherming ingebouwd.” Al beseft Schüpp ook dat de flexibiliteit op deze manier sterk wordt gelimiteerd. “Eigenlijk kan je het vergelijken met het poetsen van een huis. Nu staan vaak alle deuren wagenwijd open, maar eigenlijk zou je ervoor moeten zorgen dat je telkens je een kamer binnen wil om te poetsen, je deze van het slot moet doen.”

De huidige systemen laten deze manier van werken toe, maar volgens Carlo Schüpp verzwijgen IT’ers dat vaak voor de business- en auditkant. “Klopt”, zegt Menno van der Marel. “ Het is allemaal perfect mogelijk.” Maar ook hij geeft toe dat het een hele klus is. “Als bedrijf moet je ervoor zorgen dat je een degelijk beveiligingsbeleid hebt, maar de toepassing daarvan is een hele klus. Het houdt bijvoorbeeld in dat je alle informatie die in het bedrijf circuleert moet worden gerubriceerd. De ene informatie is bijvoorbeeld heel belangrijk, de andere heel wat minder. En op basis daarvan moet worden uitgemaakt, wie er toegang toe heeft en wie niet.”

Van der Marel benadrukt hierbij dat er een duidelijke scheiding moet zijn tussen het beheer, de beschikbaarheid en het gebruik van informatie. Telkens moet het gaan om een andere persoon die verantwoordelijk is en dus is een goede indeling van de informatie erg belangrijk. “Maar ik geef toe dat dat een hele klus is”, zegt van der Marel. “Het is niet alleen tijdrovend, maar ook heel duur.” Al is dat laatste uiteraard relatief. Want door de risico’s te beperken, wordt de eventuele schade, die veel hoger kan liggen dan de initiële kost, mee beperkt.Beide specialisten zijn het ermee eens dat het eigenlijk gaat om de mentaliteit die moet worden aangepast. En dat is niet van vandaag op morgen gebeurd.