Fox-IT heeft in de afgelopen periode een aantal 'policy compliancy' onderzoeken uitgevoerd, waarbij steeds meer bedrijven hun e-mail bestanden en netwerken laten scannen. Bij een scan wordt nagekeken of medewerkers zaken opslaan en verspreiden die niet aan het gestelde IT-beleid voldoen. Uit deze onderzoeken komt vaak naar voren dat medewerkers naast porno, ook illegale films en cd's downloaden, opslaan en verspreiden via het bedrijfsnetwerk. Hierin herkent Fox-IT een trend waarbij het IT-beleid steeds minder wordt nageleefd en het bedrijfsnetwerk steeds vaker als een opslag- en handelsplaats voor illegale bestanden wordt misbruikt. Vergeleken met voorgaande periodes neemt de hoeveelheid opgeslagen en verspreide bestanden soms wel met 500% toe. Deze toename is in veel gevallen aanleiding tot onderzoek.
Het in forensisch IT-onderzoek gespecialiseerde bedrijf Fox-IT heeft recentelijk een groot aantal onderzoeken uitgevoerd en merkt dat de vraag naar dit soort onderzoeken toeneemt. Bij de uitgevoerde onderzoeken is gekeken naar data die medewerkers opslaan en verspreiden via het bedrijfsnetwerk. De uitkomsten tonen grote overeenkomsten, veelal blijkt dat medewerkers niet alleen op grote schaal via e-mail pornografische bestanden, kopieën van muziek cd's en gedownloade films verspreiden, maar deze ook op het netwerk opslaan. Hierdoor wordt misbruik gemaakt van de IT-faciliteiten van een bedrijf. Veel medewerkers houden zich niet aan het opgestelde IT-beleid waarin dit juist wordt verboden.
Nederlandse medewerkers zijn niet de enige die zich niet aan het gestelde IT beleid houden. In de media zijn de afgelopen tijd berichten verschenen dat bij buitenlandse onderzoeken soortgelijke bevindingen zijn geconstateerd: 'Agenten verstuurden porno via politienetwerk' (BRON: www.nu.nl), 'Britse ambtenaren downloaden pornosites'(BRON: www.nu.nl).
De kosten die de extra opslag en verspreiding van de niet-toegestane data met zich meebrengen, kunnen hoog oplopen. Niet alleen opslagruimte wordt in gebruik genomen, ook back-up faciliteiten moeten op grote hoeveelheden data worden aangepast. Daarnaast loopt een bedrijf risico op imagoschade als bekend wordt dat medewerkers zich met illegale praktijken bezig houden via het bedrijfsnetwerk.
"Het is opvallend dat meerdere onderzoeken bij diverse bedrijven steeds dezelfde bevindingen opleveren", aldus Matthijs van der Wel, werkzaam als manager van de business unit 'Forensics & Audits' van Fox-IT. "Medewerkers downloaden al dan niet thuis of via het netwerk van het bedrijf films- en muziekbestanden en plaatsen deze op het netwerk. Andere collega's kunnen deze bestanden dan ook weer kopiëren. In een paar gevallen kwamen we zelfs een complete ruilhandel tegen. Ook het versturen van porno en 'grappige filmpjes' neemt grotere vormen aan. Soms vragen we ons af of medewerkers ook nog tijd hebben om te werken. Het is bijna niet te geloven hoeveel werktijd verspild wordt met het kijken naar grappige reclame filmpjes, het lezen van moppen of het bekijken van zogenaamde flashbestanden."
Het uitvoeren van een scan naar niet-toegestane data is specialistisch werk. Zo is het noodzakelijk om naar de inhoud van de bestanden te kijken en niet alleen naar de bestandstypes. Verder speelt het recht op privacy van de medewerkers een rol, alsmede het hanteren van de juiste procedures om onrust te voorkomen.
De oorzaak van de geconstateerde problemen is niet zozeer het gebrek aan regels of ‘policy’, eerder van de controle op de naleving ervan. Ondernemingen stellen eenmalig een IT-beleid op en laten vervolgens na, de naleving ervan regelmatig te toetsen. Scherper toezicht in de vorm van regelmatige controles en het aanspreken van de werknemers die zich niet aan het beleid houden, zijn voorbeelden van maatregelen die bedrijven kunnen nemen.
NOOT VOOR DE REDACTIE
Voor meer informatie kunt u contact opnemen met:
Fox-IT Forensic IT Experts B.V.
Contactpersoon: Matthijs van der Wel, Manager Forensics & Audits
Haagweg 137
2281 AG Rijswijk
Telefoon: 070 - 336 99 99
Fax: 070 - 336 99 90
E-mail: wel@fox-it.com
Website: www.fox-it.com