Misstappen van werknemers blijken een van de meest voorkomende oorzaken van beveiligingsincidenten

Naast doelgerichte aanvallen van cybercriminelen op bedrijfsnetwerken is er een ander gevaar waaraan elk bedrijf blootstaat: werknemers. Fouten van werknemers vormen namelijk een van de belangrijkste oorzaken van beveiligingsincidenten waardoor vertrouwelijke bedrijfsgegevens op straat komen te liggen. Dit blijkt uit de resultaten van de Global Corporate IT Security Risks 2013-enquête die B2B International en Kaspersky Lab afgelopen voorjaar hebben uitgevoerd.

Hoewel kwetsbaarheden in de applicaties die werknemers voor hun dagelijkse werk gebruiken een van de belangrijkste oorzaken vormen voor beveiligingsincidenten (bij 39% van alle bedrijven), is er sprake van een even hoog aantal incidenten dat het gevolg is van fouten van werknemers. Vier van de vijf typen interne beveiligingsincidenten bleken nauw verband te houden met misstappen van medewerkers. Werknemers kunnen er opzettelijk of per ongeluk voor zorgen dat vertrouwelijke bedrijfsgegevens uitlekken of dat het auteursrecht wordt geschonden. In beide gevallen kan dit tot kostbare rechtszaken leiden. Eerder beschreven de experts van Kaspersky Lab reeds vergelijkbare incidenten en reikten zij tips aan voor het beveiligen van een onderneming.

Medewerkers die werkgerelateerde berichten naar persoonlijke e-mailaccounts verzenden en illegale content of gekraakte software naar hun werkcomputer downloaden, beseffen zich vaak niet dat dit soort activiteiten het imago van hun werkgever kunnen schaden. In een geval lekten vertrouwelijke bedrijfsdocumenten uit nadat een werknemer kopieën in zijn persoonlijke e-mailaccount had opgeslagen. Toen beveiligingsexperts het incident onderzochten, troffen ze spyware aan op de PC van de werknemer. Deze malware legde al zijn toetsaanslagen vast, waardoor cybercriminelen de aanmeldingsgegevens voor zijn e-mailaccount konden bemachtigen. Op die manier hadden zij vrij spel met de vertrouwelijke bedrijfsdocumenten.

Een ander incident ontstond toen een werknemer zijn privélaptop naar het werk meenam en daarmee een verbinding met het lokale bedrijfsnetwerk maakte. Op de laptop had de werknemer een BitTorrent-client geïnstalleerd waarmee hij software voor eigen gebruik downloadde. Hieronder bevonden zich gekraakte programma’s. Drie maanden later klopte de politie bij zijn werkgever aan met een huiszoekingsbevel, wegens verdenking van het schenden van copyright door het gebruik van illegale software. Het bedrijf zag zich uiteindelijk gedwongen om een boete te betalen.

Een uitgebreide aanpak van een complex probleem
Bedrijven kunnen de kans op dit soort incidenten minimaliseren door onder meer de volgende maatregelen te treffen:

• Definieer, implementeer en bewaak bedrijfsbrede beleidsregels voor de ICT-beveiliging. De eerste stap is het beperken van de toegang van werknemers tot internetbronnen die een bedrijfsrisico kunnen opleveren en het blokkeren van datapoorten en protocollen die zij niet voor hun werk nodig hebben. Het is mogelijk om het gebruik van applicaties door het personeel in te perken door de beleidsregel “Default block” te activeren. Op deze manier kunnen werknemers alleen gebruikmaken van softwaretoepassingen als uw beveiligingsspecialisten deze applicaties hebben goedgekeurd. Dit is een probaat middel om uw bedrijf tegen kwaadaardige en illegale software te beschermen. Daarnaast is het belangrijk om gebruik te maken van bestandsencryptie om de integriteit en geheimhouding van bedrijfsdocumenten te waarborgen. Zelfs als cybercriminelen erin slagen om toegang tot deze documenten te krijgen, zullen ze niet in staat zijn om de inhoud daarvan te lezen.
• Maak gebruik van specialistische beveiligingsoplossingen, die een component bevatten waarmee u zowel PC’s als mobiele apparatuur kunt beschermen en de mogelijkheid bieden om deze op effectieve wijze te beheren. Met een dergelijke oplossing kunt u niet alleen hoogwaardige bescherming bieden voor uw ICT-infrastructuur, maar ook beleidsregels op het gebied van ICT-beveiliging afdwingen — of de kloof dichten als dergelijke regels niet aanwezig zijn.
• Maak uw werknemers bewust van ICT-risico’s. Zelfs de meest geavanceerde beveiligingssystemen zijn nutteloos als het personeel niet op de hoogte is van het belang van beveiliging. Informeer uw werknemers daarom regelmatig over de laatste stand van zaken op beveiligingsgebied en leer hen om op verantwoorde wijze om te gaan met software, social media en internetdiensten voor het opslaan en uitwisselen van gegevens. Het loont absoluut de moeite om uw personeel regelmatige beveiligingstrainingen te bieden.

“Naast het identificeren en voorkomen van incidenten op basis van uiteenlopende technologieën moeten beveiligingsspecialisten niet nalaten om gebruik te maken van beheermaatregelen”, aldus malware-expert Kirill Kruglov van Kaspersky Lab. “Het is van cruciaal belang om werknemers bewust te maken van beveiligingsrisico’s. Laat hen weten wat wel en niet is toegestaan op basis van het beveiligingsbeleid, en wat de gevolgen zijn als zij de interne richtlijnen overtreden”.