Utrecht, 12 augustus 2013 – Naast doelgerichte aanvallen van cybercriminelen op bedrijfsnetwerken is er een ander gevaar waaraan elk bedrijf blootstaat: werknemers. Fouten van werknemers vormen namelijk een van de belangrijkste oorzaken van beveiligingsincidenten waardoor vertrouwelijke bedrijfsgegevens op straat komen te liggen. Dit blijkt uit de resultaten van de
Global Corporate IT Security Risks 2013-enquête die B2B International en
Kaspersky Lab afgelopen voorjaar hebben uitgevoerd.
Hoewel kwetsbaarheden in de applicaties die werknemers voor hun dagelijkse werk gebruiken een van de belangrijkste oorzaken vormen voor beveiligingsincidenten (bij 39% van alle bedrijven), is er sprake van een even hoog aantal incidenten dat het gevolg is van fouten van werknemers. Vier van de vijf typen interne beveiligingsincidenten bleken nauw verband te houden met misstappen van medewerkers. Werknemers kunnen er opzettelijk of per ongeluk voor zorgen dat vertrouwelijke bedrijfsgegevens uitlekken of dat het auteursrecht wordt geschonden. In beide gevallen kan dit tot kostbare rechtszaken leiden. Eerder
beschreven de experts van Kaspersky Lab reeds vergelijkbare incidenten en reikten zij tips aan voor het beveiligen van een onderneming.
Medewerkers die werkgerelateerde berichten naar persoonlijke e-mailaccounts verzenden en illegale content of gekraakte software naar hun werkcomputer downloaden, beseffen zich vaak niet dat dit soort activiteiten het imago van hun werkgever kunnen schaden. In een geval lekten vertrouwelijke bedrijfsdocumenten uit nadat een werknemer kopieën in zijn persoonlijke e-mailaccount had opgeslagen. Toen beveiligingsexperts het incident onderzochten, troffen ze spyware aan op de PC van de werknemer. Deze malware legde al zijn toetsaanslagen vast, waardoor cybercriminelen de aanmeldingsgegevens voor zijn e-mailaccount konden bemachtigen. Op die manier hadden zij vrij spel met de vertrouwelijke bedrijfsdocumenten.
Een ander incident ontstond toen een werknemer zijn privélaptop naar het werk meenam en daarmee een verbinding met het lokale bedrijfsnetwerk maakte. Op de laptop had de werknemer een BitTorrent-client geïnstalleerd waarmee hij software voor eigen gebruik downloadde. Hieronder bevonden zich gekraakte programma’s. Drie maanden later klopte de politie bij zijn werkgever aan met een huiszoekingsbevel, wegens verdenking van het schenden van copyright door het gebruik van illegale software. Het bedrijf zag zich uiteindelijk gedwongen om een boete te betalen.
Een uitgebreide aanpak van een complex probleem
Bedrijven kunnen de kans op dit soort incidenten minimaliseren door onder meer de volgende maatregelen te treffen:
- Definieer, implementeer en bewaak bedrijfsbrede beleidsregels voor de ICT-beveiliging. De eerste stap is het beperken van de toegang van werknemers tot internetbronnen die een bedrijfsrisico kunnen opleveren en het blokkeren van datapoorten en protocollen die zij niet voor hun werk nodig hebben. Het is mogelijk om het gebruik van applicaties door het personeel in te perken door de beleidsregel “Default block” te activeren. Op deze manier kunnen werknemers alleen gebruikmaken van softwaretoepassingen als uw beveiligingsspecialisten deze applicaties hebben goedgekeurd. Dit is een probaat middel om uw bedrijf tegen kwaadaardige en illegale software te beschermen. Daarnaast is het belangrijk om gebruik te maken van bestandsencryptie om de integriteit en geheimhouding van bedrijfsdocumenten te waarborgen. Zelfs als cybercriminelen erin slagen om toegang tot deze documenten te krijgen, zullen ze niet in staat zijn om de inhoud daarvan te lezen.
- Maak gebruik van specialistische beveiligingsoplossingen, zoals Kaspersky Endpoint Security for Business, die een component bevatten waarmee u zowel PC’s als mobiele apparatuur kunt beschermen en de mogelijkheid bieden om deze op effectieve wijze te beheren. Met een dergelijke oplossing kunt u niet alleen hoogwaardige bescherming bieden voor uw ICT-infrastructuur, maar ook beleidsregels op het gebied van ICT-beveiliging afdwingen — of de kloof dichten als dergelijke regels niet aanwezig zijn.
- Maak uw werknemers bewust van ICT-risico’s. Zelfs de meest geavanceerde beveiligingssystemen zijn nutteloos als het personeel niet op de hoogte is van het belang van beveiliging. Informeer uw werknemers daarom regelmatig over de laatste stand van zaken op beveiligingsgebied en leer hen om op verantwoorde wijze om te gaan met software, social media en internetdiensten voor het opslaan en uitwisselen van gegevens. Het loont absoluut de moeite om uw personeel regelmatige beveiligingstrainingen te bieden.
“Naast het identificeren en voorkomen van incidenten op basis van uiteenlopende technologieën moeten beveiligingsspecialisten niet nalaten om gebruik te maken van beheermaatregelen”, aldus malware-expert Kirill Kruglov van Kaspersky Lab. “Het is van cruciaal belang om werknemers bewust te maken van beveiligingsrisico’s. Laat hen weten wat wel en niet is toegestaan op basis van het beveiligingsbeleid, en wat de gevolgen zijn als zij de interne richtlijnen overtreden”.
Nuttige links
·
Beveiligingsregels: niet-productief gebruik van ICT-bronnen
·
Beveiligingsregels: misbruik van ICT-bronnen
Over Kaspersky Lab
Kaspersky Lab is 's werelds grootste niet-beursgenoteerde leverancier van endpoint beveiligingsoplossingen. Het bedrijf behoort wereldwijd tot de top vier leveranciers van beveiligingsoplossingen voor eindgebruikers.* In de meer dan vijftien jaar van zijn bestaan is Kaspersky Lab altijd een innovator geweest op het gebied van IT-beveiliging en biedt het effectieve digitale beveiligingsoplossingen voor de enterprisemarkt, mkb-bedrijven en consumenten. Kaspersky Lab, met zijn holding geregistreerd in het Verenigd Koninkrijk, is thans mondiaal actief in bijna 200 landen en gebieden en biedt wereldwijd bescherming aan ruim 300 miljoen gebruikers. Meer informatie op
www.kaspersky.com.
* Het bedrijf stond als vierde genoteerd in de IDC rating Worldwide Endpoint Security Revenue by Vendor, 2011. Deze klassering werd gepubliceerd in het IDC-rapport "Worldwide Endpoint Security 2012-2016 Forecast and 2011 Vendor Shares (IDC #235930, juli 2012). Het rapport classificeerde softwareleveranciers op basis van inkomsten uit verkopen van endpoint beveiligingsoplossingen in 2011.
Voor meer informatie zie
www.kaspersky.com/nl of
www.viruslist.com voor het laatste nieuws over internetbeveiliging, alerts, analyses en nieuws, inclusief Kaspersky Virus Scanner.
Noot voor redacties:
Voor hoge resolutie beeldmateriaal en overige informatie kunt u terecht op de Kaspersky Lab Newsroom Europe -
http://newsroom.kaspersky.eu - een portal waarop eenvoudig product- en bedrijfsinformatie, facts & figures, artikelen, persberichten, afbeeldingen, video’s en audiofragmenten te vinden en te downloaden zijn. Uiteraard kunt u ook contact opnemen met onderstaande contactpersonen.
Contactgegevens:
Kaspersky Lab
Caroline Breure
Tel. +31 (0)30 – 75 29 500
Caroline.Breure@kaspersky.nl
The Communication Force
Anke van de Vliet
Tel. +31 (0)23 – 56 56 850
ankevdv@communicationforce.com
© 2012 Kaspersky Lab. De informatie in dit document is onderhevig aan verandering zonder voorafgaande kennisgeving. De enige garanties voor producten van Kaspersky Lab en services is vastgelegd in de garantieverklaringen bij de betreffende producten en services. Niets in dit document kan worden opgevat als rechtgevend op extra garantie. Kaspersky Lab is niet aansprakelijk voor technische of redactionele fouten of weglatingen in deze publicatie.