Op Twitter kwam ik het volgende bericht tegen
Hieronder het item op Reporter Radio:
Een fraudegevoelig digitaal lek
De boodschap die reporter wil geven is dat het vrij eenvoudig is om vertrouwelijke informatie te vinden via een speciale zoekmachine. Deze zoekmachine zoekt als het ware via internet toegankelijke computersystemen of randapparatuur. Eigenlijk is het een soort Google waardoor het met betrekkelijk weinig kennis mogelijk is om voor kwaadwillenden toegang te krijgen tot servers of apparatuur waar geen wachtwoorden of waarop de standaard wachtwoorden zoals admin/admin actief zijn. Deze standaardwachtwoorden zouden bij de installatie eigenlijk direct gewijzigd moeten worden!
Het probleem is dat particulieren en midden en kleinbedrijf vaak onvoldoende beseffen hoe belangrijk het is om een externe harde schijf of andere netwerkapparatuur goed te beveiligen. Zo ook het IT bedrijf in het voorbeeld van reporter. Men is zich vaak onvoldoende bewust van de risico’s die er zijn wanneer de beveiliging van deze aan het netwerk gekoppelde apparatuur onvoldoende is.
Hier het voorbeeld van een harde schijf die zowel door particulieren als kleinere bedrijven gebruikt wordt en die mogelijk de zojuist genoemde risico’s geeft:
LENOVO IOMEGA EZ MEDIA & BACKUP CENTER 2 TB
Vaak wordt er gezegd dat de installatie vrij eenvoudig is waardoor veel (met name) particuleren of kleinere bedrijven zo’n schijf zelf installeren en aan het netwerk hangen. Vaak wordt bij de installatie niet afgedwongen dat de standaard gebruikersnaam en wachtwoord (admin/admin) verplicht veranderd wordt. Kortom blijven de gebruikers altijd inloggen met admin/admin wat een erg zwakke authenticatie is. Daarnaast heeft men vaak niet door dat de nieuwe harde schijf (onbewust door een slordige installatie) direct door iedereen via het internet te benaderen is.
De zoekmachine die deze kwaadwillenden gebruiken en ook in de uitzending genoemd wordt zoekt dus zoals gezegd het internet af naar die schijven en andere randapparatuur zoals netwerkprinters die voorzien zijn van de standaard inloggegevens zoals admin/admin. Hierdoor is het voor een ieder kinderspel om aan vertrouwelijke gegevens te komen als die er door de onwetende gebruiker op zijn gezet.
Oplossing is 2 ledig:
1.) De gebruiker of het bedrijf moet dit soort apparatuur door professionals laten installeren die ook de standaard wachtwoorden veranderen en het netwerk component vakkundig installeren en configureren. Daarnaast zou de professional de gebruiker (of het bedrijf) moeten verifiëren of het noodzakelijk is om de schijf aan het internet te koppelen. Zo ja, dan moet dit adequaat beveiligd worden en moet het bedrijf op de risico’s gewezen worden.
2.) de Fabrikanten zouden er in de installatie procedure voor moeten zorgen dat de standaardwachtwoorden verplicht veranderd worden bij de configuratie van het device. Hierdoor wordt het voor de kwaadwillende of andere gebruikers van “de zoekmachine” veel moeilijker om toch toegang te krijgen tot het apparaat via het internet.
Daarnaast moet men in het bedrijfsleven leren zorgvuldiger om te gaan met de gegevens die ze verwerken en zorgvuldig een partner zoeken die ze van advies kan voorzien op IT security gebied.
Het zou goed zijn als de huidige IT partner de beveiliging regelt maar de praktijk wijst uit dat dit toch vaak “vergeten” wordt. Daarom is het verstandig om de IT beveiliging eens te laten testen door een partij die daarin gespecialiseerd is. Een slager keurt namelijk ook niet zijn eigen vlees.
Vraag geheel vrijblijvend naar de mogelijkheden om uw bedrijf qua IT beveiliging eens door Ernst IT Solutions onder de loep te laten nemen en te kijken of er ook zulke gaten in de beveiliging zitten als reporter bij veel bedrijven aangetoond heeft. Controleren op de beveiliging van de IT omgeving kan zoals gezegd het beste worden uitgevoerd door een onafhankelijke partij en die partij wil Ernst IT Solutions graag voor u zijn. We kunnen dan samen met uw huidige IT leverancier of IT beheerpartij kijken welke stappen genomen moeten worden om de beveiliging op het gewenste niveau te krijgen.