Home Security Nationale Recherche: een tikkie dom

Nationale Recherche: een tikkie dom

60
dainamics

Als je het nieuws volgt over online gegevensdiefstal, kan je maar een ding concluderen: het is een barre en boze wereld. En als je niet goed oplet ben jij het volgende slachtoffer. Cybercriminaliteit die zich richt op het stelen en doorverkopen van (persoonlijke) informatie is trending, want er is ogenschijnlijk veel geld mee te verdienen.

Het stelen van financiële gegevens, zoals creditcardgegevens, komt zo vaak voor, dat volgens een rapport van Intel Security zelfs complete ‘businessmodellen’ voor de verkoop van gestolen data zijn ontstaan. Op het ‘dark web’ koop je voor €25,- creditcardgegevens van een persoon, voor €10 extra krijg je ook de Pincode, het sofinummer, de meisjesnaam van de moeder en soms zelfs de gebruikersnaam en het wachtwoord erbij. Is dat winstgevend? Creditcardgegevens worden vaak per bulk van duizenden gestolen, dus de rekensom is snel gemaakt.

Gelukkig kun je zelf veel doen om de ellende te beperken. Houd je virusscanner up-to-date en antwoord nooit op e-mails die om financiële of persoonlijke gegevens vragen. Verder is het natuurlijk maar hopen dat je gegevens bij je favoriete webwinkels ook afdoende veilig opgeslagen zijn. Dat het beschermen van je eigen gegevens ook je eigen verantwoordelijkheid is, houdt geen stand als ánderen jouw data nodig hebben. Denk aan ziekenhuizen, gemeentelijke instanties of de belastingdienst. Juist deze organisaties moeten van gegevensbeveiliging een topprioriteit maken. Gelukkig doen deze dat ook (bijna) allemaal. Firewalls, mailscans, endpoint security, alle techniek wordt ingezet en goed bijgehouden. Datadiefstal wordt zo moeilijk gemaakt. Maar stel je voor dat het lek niet in de techniek zit, maar in een geldbeluste medewerker?

Afgelopen maand meldde de NRC dat een politieagent van de Nationale Recherche geheime informatie heeft doorverkocht aan louche vrienden uit de onderwereld. Gevoelige opsporingsinformatie werd doorgespeeld aan internationale drugsorganisaties en criminele motorclubs. Het doorverkopen van informatie door werknemers kan gebeuren. Maar in dit geval had het makkelijk voorkomen kunnen worden. De politieagent was namelijk nadat hij al jaren in dienst was, alsnog door de AIVD gescreend. De AIVD gaf géén groen licht, maar vervolgens vergat de politie zijn inlogautorisatie te blokkeren. De politieman kon ongestoord nog tijden doorgaan met het doorspelen van informatie.

Is dit dom? Ja, eigenlijk wel. Maar helaas komt het wel vaker voor dat een werknemer toegang heeft tot files waar hij niets mee te maken heeft. Als het IT-netwerk niet zo is opgebouwd dat je met een druk op de knop iemands toegangsrechten kan aanpassen, is de kans op problemen groot. Met een goede Identity Management (IDM)-oplossing had deze situatie wellicht een andere uitkomst gehad. IDM biedt gecontroleerde en beveiligde toegang tot precies die informatie waarvoor men geautoriseerd is en sluit oneigenlijk gebruik uit. De verleende rechten tot informatie zijn persoonsgebonden, en helemaal in dit geval (gelet op het alarmsignaal van de AIVD) was het een kwestie van het invoeren van een policy en de rechten van deze persoon waren onmiddellijk geblokkeerd.

Natuurlijk zorgt de Nationale Recherche er in de regel voor dat gevoelige informatie goed beschermd is, maar tegen een brave werknemer die ineens besluit informatie door te verkopen is geen enkel IT-systeem opgewassen. Je kunt er wél voor zorgen dat het risico beperkt blijft door vooraf te screenen en vervolgens strakke security policies of beleidsregels voor toegang in te regelen. Een goede Identity Management oplossing is daar een onmisbaar onderdeel van. Zo zorg je ervoor dat de barre, boze wereld voorlopig op gepaste afstand blijft.

Blog Bram Haasnoot. RealOpen IT

LAAT EEN REACTIE ACHTER

Please enter your comment!
Please enter your name here