Bedrijven is er veel aan gelegen hun data goed te beschermen. Steeds vaker worden digitale bestanden en netwerken beveiligd om indringers buiten de deur te houden en (klant)gevoelige informatie te bewaken. Toch loopt het eigen personeel zonder enig toezicht met deze gegevens de deur uit, om onderweg of thuis te werken.

‘Veel informatie ligt daardoor onnodig op straat’, zegt Vitalli Shipitsin, CEO van SmartLine. “Het zijn vaak geen kwade bedoelingen, maar het is de onwetendheid van de medewerkers over de risico’s die parten speelt.” Shipitsin roept bedrijven op hun medewerkers ‘op te voeden’.

Uit een recent verschenen rapport van de FBI blijkt dat meer dan de helft van de ondervraagde Amerikaanse bedrijven in 2005 te maken heeft gehad met diefstal van een laptop of andere mobiele apparaten. Analistenbureau IDC concludeerde in april dit jaar in een rapport dat hoewel IT-beveiliging voor veel bedrijven de afgelopen jaren top-of-mind was, beveiligingsoplossingen met betrekking tot mobiele apparatuur bij veel bedrijven nog in de kinderschoenen staat. “Gestolen laptops, zoekgeraakte PDA’s en vermiste USB-sticks met gevoelige informatie halen steeds vaker de pers”, zegt Shipitsin. “Zoiets is funest voor de reputatie van een organisatie. Zakelijke dienstverleners, en dan met name in de financi?le sector, moeten vaak contractueel vastleggen dat ze te allen tijde integer omgaan met gevoelige informatie. Ook bij de overheid is deze gedragscode en regulering, ook wel ‘compliance’ genoemd, inmiddels een begrip geworden. Hoewel men zich goed wapent tegen gevaar van buitenaf, zoals hackers, komt het grootste gevaar van binnenuit: het eigen personeel dat te pas en te onpas USB-sticks en dergelijke in hun computer kan pluggen.”

Werknemers kunnen volgens Shipitsin op verschillende manieren een gevaar voor de organisatie vormen. Het bewust stelen van informatie wordt volgens hem groter gemaakt dan het is, terwijl een veel groter gevaar het onbewust op straat brengen van informatie is. “Het personeelslid dat regelmatig thuis werkt, vormt een groot gevaar voor bedrijven,” aldus Shipitsin. “De nietsvermoedende werknemer, de harde werker, die in het weekeinde thuis nog iets wil afronden of regelmatig thuis werkt, neemt vaak zonder dat hij het weet voor soms wel honderdduizenden euro’s aan gevoelige informatie mee het pand uit. Onbeveiligd, waardoor kostbare data op straat kan komen te liggen, en ook niet in lijn met de bedrijfsvoorschriften en geheimhoudingsplicht richting klanten. Met alle gevolgen van dien, zoals het verlies van belangrijke informatie, mogelijk verlies van klanten en reputatieschade.”

Ook de priv? USB-stick kan volgens Shipitsin een potenti?le bom zijn voor de informatiebeveiliging. “Het zou goed kunnen dat een werknemer een eigen USB-stick gebruikt om informatie van het werk op te zetten, bijvoorbeeld een presentatie of om thuis te werken. Op zich niets mis mee, totdat deze werknemer in alle onschuld zijn oude USB-stick op een internetsite te koop aanbiedt, omdat hij een nieuwe heeft gekocht, zonder de informatie volledig te wissen. Of wat te denken van de werknemer die zijn collega de vakantiefoto’s wil laten zien via een USB-stick, waarmee een virus van zijn PC op de computer op het werk wordt overgedragen?”

Naast het ‘onbewuste’ gevaar, voortkomend uit nalatigheid, kunnen werknemers natuurlijk ook moedwillig informatie stelen. Shipitsin wijst op ‘Podslurping’ en ‘Bluesnarfing’. “Eigen werknemers kunnen onopvallend, bijvoorbeeld met hun iPod of via Bluetooth, gevoelige informatie van de database downloaden. De rancuneuze werknemer wiens contract wordt ontbonden, of de onopvallende schoonmaker die na werktijd de afdeling stofzuigt, kan dankzij de ‘plug and play’-functionaliteit in Windows haast onopgemerkt grote bestanden downloaden op mobiele apparatuur.”

“Daarnaast krijgt mobiele apparatuur steeds meer mogelijkheden. Het is de vraag of werknemers deze allemaal kennen. Hoeveel personeelsleden weten daadwerkelijk hoe bijvoorbeeld Bluetooth werkt? En dat terwijl Bluetooth een uitstekend middel is voor hackers om bij gevoelige data te komen. Werknemers moeten beter worden opgevoed, teneinde dit lek in de beveiliging te dichten.” Shipitsin merkt dat veel Europese bedrijven deze omslag in hun manier van denken over beveiliging nog niet hebben gemaakt. “Wat we merken bij klanten, is dat beveiliging een prominente plaats in de organisatie inneemt. Belangrijke papieren en gevoelige documenten mogen vaak niet mee naar huis worden genomen. Echter, zodra het digitaal is, lijken er opeens geen restricties meer te zijn.”

Dit is te ondervangen door in ieder geval goede voorlichting te geven aan het personeel en regels op te stellen voor het meenemen van data naar huis, meent Shipitsin. “Thuiswerken biedt veel voordelen voor zowel werknemers als werkgevers. USB-portals vergemakkelijken het mobiele werken. Om tot een betere, meer ge?ntegreerde IT-beveiliging te komen en werknemers bewust te maken van het gebruik van USB-portals, doen organisaties er goed aan het gebruik van USB-portals te beheersen. Software als DeviceLock maakt het voor systeembeheerders en IT managers mogelijk het gebruik van USB-portals te auditeren, registeren, beveiligen en controleren.”