Kijk ook eens hier:

scheidslijnThink!scheidslijnThink!scheidslijnMAG - Motorrijders Actie GroepscheidslijnBoshuizen motorservice lemelerveldscheidslijnONeDay Reclame - EdescheidslijnLimes ICTscheidslijn

Datalekkage

‘Goedemorgen, U spreekt met [naam financieel redacteur]. Uit welingelichte bronnen hebben wij begrepen dat u bedrijf Y gaat overnemen en de producten gaat onderbrengen onder uw eigen naam en productlijn. Wat is uw commentaar hierop?”
Verbijsterd kijkt de medewerker public relations naar de telefoon.  Bloed trekt uit  het gezicht weg. Dit is vertrouwelijke informatie die niet eens onder embargo bekend is gemaakt. De impact van deze overnamen is gigantisch, zowel voor het over te nemen bedrijf als voor ons bedrijf. “Hoe weet u dat?” “Tja, u begrijpt natuurlijk dat dat vertrouwelijke informatie van onze kant is. Maar uw reactie op deze scoop? ”
De medewerker herpakt zichzelf en zegt “Hierover zullen wij op een gepast moment een communiquee doen uitgaan. Goedemorgen. “ en hangt op.

Als er opgehangen is probeert de PR-medewerker via het managementteam een crisis meeting te organiseren. Een grote stap voorwaarts voor ons bedrijf lijkt ineens minder rooskleurig te verlopen.  Na een uurtje breekt de hel los. De Financiële Telegraaf kopt met vette letters op de site over onze overname. De beurs koersen stuiteren en we worden platgebeld over deze overname.  Uiteindelijk draait na een paar dagen deze mooie deal op niets uit. Intern wordt een onderzoek opgestart om uit te vogelen hoe in vredesnaam die krant dit geweten heeft. Heeft een directeur te enthousiast zich voorbij gepraat in een restaurant wat dan opgevangen is, bleek een website niet secure genoeg, was er een inbreuk op het netwerk, is die bolle it ‘er voor de bijl gegaan voor die ene kortharige donkere die ineens veel aandacht voor ‘m heeft? Vragen en paniek. Veel paniek en schade.

En dan na een tijdje stief zoeken.. Een pc. Een zakelijke pc waarbij iedereen elke keer als ie verbinding met het netwerk maakt een melding krijgt over wat en hoe met deze zakelijke pc. Die melding zie je ook als je inlogt. Elke keer weer.  En die melding geeft wat dingen aan. Je mag ‘m alleen voor zakelijke toepassingen gebruiken. Alleen IT medewerkers mogen toepassingen installeren. Elke keer weer drukken medewerkers deze melding weg als ze inloggen.

En toch..
Deze medewerker heeft limewire geïnstalleerd. Nou.. niet de medewerker.. De partner van de medewerker. Want dat was voor het downloaden van muziek zo handig. Een rits overtredingen waarvan ik als IT’er zeg dat mensen standrechtelijk digitaal geëxecuteerd moeten worden. Pc afpakken, account uitwissen en nooit maar dan ook echt nooit weer een pc aanraken van ons bedrijf.
De pc wordt ingenomen en een nieuwe wordt ingericht. Alle rechten die ooit in het kader van een test wat waren verruimd worden niet meer toegekend. De medewerker heeft nu een standaard pc waarop de mogelijkheden erg beperkt zijn. Alle applicaties die voor het werk van belang zijn worden weer geïnstalleerd en de data overgezet. Als de medewerker er op aangesproken wordt ontstaat niet de indruk dat ‘het land’ waar we tegen aangelopen zijn. ‘Hoe kan zo’n programma nou voor problemen zorgen? Ik download af en toe een beetje muziek.’ Gevolgd door Huili.B. gedrag “Ik kan niets meer op deze pc..

En dit is exact het probleem. Men is zich van geen kwaad bewust. ‘Even een programma installeren’ “Oh, dit is zo handig’ En via de achterdeur omdat er geen enkel idee is over hoe wat werkt en waar data heen stroomt staat de hele bende open een sijpelt vertrouwelijke informatie weg.  Nog afgezien dat je aan een pc van je werkgever met onvoldoende kennis van zaken aan het sleutelen bent.

Om bepaalde zaken te verduidelijken maak ik graag analogieën met de (lease)auto’s in het bedrijf.
Als een medewerker uit dienst gaat en alleen een laptop inlevert (waar ook tas, muis etc., de hele rambam bij hoort) vraag ik altijd fijntjes “En, van de leasauto ook een wiel en een deur ingeleverd? Of toch de hele auto?’
En zo ook in dit geval: “Als je een leaseauto krijgt, sloop je dan ook een achterbank eruit en flikker je er een badkamer in?” “Nee?!’ wordt er oprecht verontwaardigd gereageerd. “Waarom bouw je dan wel de zakelijke pc helemaal om met niet ter zake doende software die ook nog eens niet goed begrepen wordt?”

En waarom ageer ik dan zo tegen Limewire?  Nou primair vanwege het feit dat zo’n applicatie naast het delen van data (wat dan weer minder erg is) als je het niet goed configureert (lees : je denkt na voordat je Next, Next, Next, yes, Finish klikt) je de hele schijf openstelt. Voor een privé pc: Prima, als je dat wil doen ga vooral je gang. Maar zakelijk? No Way. Als je data met je collega’s wil delen zijn daar standaard oplossingen voor en dient niet zo’n bagger pakket erbij te komen. Daar teken je voor als je de laptop aanneemt en dat is wat we van je verwachten.

(Storm modus aan : ‘Da’s in een laboratorium bewezen)’ Daarbij is uit onderzoek van HP waarbij een schone pc met wat standaard media bestanden en 2 interessante bestanden (password.txt en creditcard.xls) buiten de gesharde omgeving werd voorzien van Kazaa en andere peer2peer share programma’s gebleken dat er keihard naar passwords en financiele data gezocht wordt. (Onderzoek is uit 2002) Kazaa – dataleakage en privacy [PDF-Alert]

En is dat een probleem voor ons? Niet alleen voor ons, voor meerdere bedrijven blijkt hier, en dit is een artikel wat al ruim een jaar oud is.

Bovenstaand is een mix van daadwerkelijk gebeurde zaken. Het aantreffen van Limewire op een zakelijke pc heeft daadwerkelijk plaats gevonden, en het delen van data (in een andere situatie) heeft ook plaats gevonden.

5 commentaren op Datalekkage

  • PTT biedt UMTS dongels aan. In de Scripts van de Helpdesk staat letterlijk dat bij vragen over te hoge facturen (door datagebruik) ze de klant niet mogen inlichten over de werking van P2P pakketten. Hou de klant dom, en verdien aan de bits die hij per ongeluk naar buiten laat lekken.

    En je kunt je nog wel druk maken, maar mensen ‘willen’ dit allemaal niet snappen. is nl te ‘technisch’ en niet voor hun. En de gevolgen willen ze zowiezo niet accepteren. Lusters.

  • Ok, maar niet willen snappen is het probleem precies. Aan de ene kant verwachten ze dat we ze beschermen en als we dat goed doen dan klagen ze dat ze beperkt worden. En dat balanspunt kan je alleen bereiken (hoop / bid ik) door uitleg te geven en ze te doordringen wat er precies hoe werkt. Niet te technisch maar gewoon in jip en janneke taal. Maar dan nog maak ik me zorgen.

  • FF

    Jip en Janneke taal.
    Jip mocht niet bij Janneke anders kwamen er kleine Jipkes.
    Janneke vond een gaatje in de heg….

    Vertaling: Jip = rommel
    Janneke = gebruiker
    Jipkes = problemen
    heg = vuurmuur

    😛

Geef je commentaar: