Foutmelding

  • There are no workflow states available. Please notify your site administrator.
  • There are no workflow states available. Please notify your site administrator.

It’ers misbruiken soms machtspositie om te frauderen, saboteren en manipuleren

Stel: u ontdekt dat uw baas een herstructurering voorbereidt, een collega er een buitenechtelijke relatie op na houdt of u krijgt onverwacht toegang tot de loonfiches van collega’s. Niet meteen iets wat u meteen meemaakt, maar sommige it’ers wél.

Zij hebben macht in bedrijven. Veel macht. En soms heiligt het doel de middelen.

Eric ziet een kleine beweging op zijn scherm. Heel even maar, maar hij weet meteen: iemand van de it-afdeling is zijn computer aan het controleren. Eric zit op Facebook. Niet verboden in de internationale organisatie waar hij voor werkt, maar overmatig bezoek wordt toch niet op prijs gesteld. En dus wordt zijn computer gescreend. Het is een vrij onschuldig voorbeeld van hoe ver de impact van it’ers reikt, maar er zijn ook andere voorbeelden. Heel wat minder onschuldige voorbeelden. “Ik ken een paar verhalen van it’ers die zich wreken op ex-werkgevers door zich toegang te verschaffen tot de systemen en ze vervolgens plat te leggen of belangrijke informatie te verwijderen”, vertelt Koen, die via een klein it-bedrijf werkt voor verschillende Belgische bedrijven en multinationals. Matthias – die net als Koen liever anoniem blijft - heeft een bedrijf dat gespecialiseerd is in veilig systeembeheer en –integratie en werkt voor kmo’s in onder meer de financiële sector en trading. “Een tijdje geleden stootte ik bij het oplossen van een probleem op de mailserver op een affaire tussen twee collega’s die een buitenechtelijke verhouding hadden. Iemand die ik zelf persoonlijk kende. Ik ben ook al op documenten en e-mails gestoten waarin een toekomstige herstructurering in een bedrijf werd besproken en gepland.”

Het zijn voorbeelden waar Luc Beirens, hoofdcommissaris van de Federal Computer Crime Unit (FCCU), allesbehalve van opkijkt. “Het spreekt voor zich dat it’ers veel macht hebben binnen een bedrijf, zeker als de ceo van dat bedrijf zich niet zoveel aantrekt van beveiliging en ict. Dat zien we vaak in dossiers waar wij bij de FCCU mee te maken krijgen. Het is ook logisch natuurlijk: systeembeheerders zijn een beetje god wanneer ze ongemoeid gelaten worden en gebruiken hun positie om toegang te krijgen tot vertrouwelijke informatie. Dat kan met verschillende bedoelingen zijn: informatie doorspelen aan de concurrentie, fraude, sabotage, chantage of zichzelf op een of andere manier in een meer gunstige positie manoeuvreren. Zogeheten ‘job protection’ is één van de zaken die je soms ziet: het niet delen van bepaalde informatie, waardoor een informaticus als enige weet hoe een systeem werkt.”

Manager en it’er spelen onder een hoedje

Hoe vaak misbruik voorkomt, mag blijken uit een onderzoek van internetbeveiliger McAfee uit 2008. In een ondervraging van 1.400 Amerikaanse, Duitse, Engelse en Franse informatici gaf 60 procent toe dat onbevoegden binnen het bedrijf toegang kregen tot bedrijfsgegevens. In 6 procent van de gevallen zou er misbruik – zoals het lekken van informatie - van gemaakt zijn. 61 procent van de ondervraagden zegt dat die misbruiken door collega’s gebeurde. En mogelijk is dat maar het topje van de ijsberg, want bedrijven lopen sowieso niet te koop met wat er fout loopt.

Ook cijfers uit een onderzoek van Quest Software van vorig jaar spreken boekdelen: 1 op 10 it’ers die van job veranderd zijn, heeft nog toegang tot bedrijfssystemen van zijn vroegere werkgever. Van diezelfde it’ers zegt 51% dat ze zich zorgen maken over beveiliging en inbreuken tegen de beveiliging binnen hun bedrijf. Of ook it’er Matthias dat herkent? “Of er veel misbruik is? Wie werkt in de it-sector moet beseffen dat hij werkt als beheerder van informatie voor een organisatie en voor mensen in die organisatie. Dat heeft bepaalde implicaties en vereist een bepaalde deontologie. Dat is mijn persoonlijke instelling, maar ik weet dat veel informatici er anders over denken.”

Christian Combes, leader CIO services bij consultant Deloitte: “Je moet het probleem ook niet overschatten, is mijn ervaring. In de meeste bedrijven, zeker de grote, is er toch redelijk wat beveiliging. Helpdeskmedewerkers hebben niet zomaar toegang tot mailboxen van personeelsleden. Je hebt wel mensen op sleutelposities, zoals security officers, die toegang hebben tot alle informatie, maar dat zijn enkelingen. Maar toegegeven: zeker in kleinere bedrijven is dat niet altijd zo. Die zijn sterker afhankelijk van de it-afdeling.” Wordt het probleem onderschat door bedrijven zelf? Volgens Luc Beirens wel. “Bedrijven worden zich daar meer en meer bewust van naarmate het bedrijf automatiseert, maar nog onvoldoende. Ze hebben vooral oog voor de dreiging van buitenaf, maar vergeten dat de grootste problemen van binnenuit komen. In de meeste dossiers waarmee we te maken kregen, was er interne betrokkenheid.”

Er is dus soms een groot verschil tussen wat het management weet en de it-afdeling weet over misbruiken. Dat blijkt ook uit een onderzoek van enkele jaren geleden van Deloitte bij 300 bedrijven. 23% van de it-mensen zegt dat er geen fraude is, bij het management was dat 37%. Een opmerkelijk verschil, al verkeert het management ook niet altijd in het ongewisse, vertelt Matthias. Want sommige it’ers proberen van hun macht gebruik te maken om hun carrière vooruit te helpen. Met de hulp van het management.

“Bepaalde haviken in het management weten dat ze met de hulp van it-medewerkers met de juiste toegangen een tijdelijke machtsbasis kunnen uitbouwen. Kennis is macht, en via het informaticasysteem kan je veel kennis vergaren. Over zowat alles wat er gebeurt in een bedrijf. Sommige it’ers gaan daar gewillig in mee, omdat ze er zelf ook profijt uit halen. Alleen: dat gaat ten koste van hun reputatie en het duurt ook maar zolang de manager klimt in de organisatie. Wanneer hij of zij vertrekt, kunnen zijn handlangers doorgaans op zoek naar een nieuwe job. Als it’er moet je beseffen dat discretie en vertrouwen soms meer waard zijn dan competenties. Mensen moeten erop kunnen vertrouwen dat je geen misbruik maakt van de informatie die je, bijna automatisch, in de schoot geworpen krijgt. Wie dat niet beseft, zingt het meestal ook niet lang uit in de sector.”

It’ers op voorhand screenen

Wat kunnen bedrijven doen om zich tegen misbruiken te wapenen? Luc Beirens: “In eerste instantie goed kijken wie ze binnenhalen. Veel bedrijven zijn daar laks in: ze zijn al blij dat ze een specialist binnenhalen. Ze vragen niet door naar sommige gaten in een cv of naar de reden waarom ze ergens weggegaan zijn. Twee: zorg er ook voor dat je een doublure hebt. Ik weet dat dat heel moeilijk is. Veel bedrijven zijn al blij dat ze iemand hebben voor zo’n functie, it’ers zijn gegeerd. Zeker in een groot bedrijf moet het toch kunnen: dan kan de één de andere controleren. Als je je dat niet kan permitteren: laat een audit doen door een extern bureau. Dat is het meest efficiënte instrument dat je hebt."

"Ten slotte: zorg ervoor dat je een duidelijke omschrijving hebt van de bevoegdheden en taken van een it’er. Je moet een heel duidelijk zicht hebben op wie welke privileges heeft. Zo kan je ondubbelzinnig vaststellen of iemand te ver gegaan is of niet. Als je dat al niet hebt, kan je ook niets ondernemen als er iets fout gaat.” Christian Combes: “Uiteraard heb je ook nog verschillende beveiligingsmechanismen, vooral op niveau van applicaties en toegang tot pc’s. Gevoelige documenten kan je ook een encryptie meegeven, die slechts voor een selecte groep mensen toegankelijk is. En zorg ervoor dat die niet op één plek gecentreerd zitten. Door ze te verspreiden, beperk je ook het risico op misbruik.”

It-consultant Matthias heeft een goeie raad voor werknemers die zich zo veel mogelijk willen indekken tegen mogelijke misbruiken door it’ers: “Maak geen gebruik van bedrijfsinfrastructuur om persoonlijke zaken te regelen, dat is de raad die ik veel mensen geef. En toch zie ik nog vaak dat mensen een Facebookaccount registeren via de e-mail account van hun bedrijf, of persoonlijke e-mails versturen. Hoe meer informatie je over jezelf te grabbel gooit op de servers van het bedrijf, hoe groter de kans dat je daar later op de een of andere manier mee wordt geconfronteerd of hoe kwetsbaarder je je opstelt tegenover mensen die die informatie voor hun eigen profijt willen gebruiken. Daarom: hou privé en werk zoveel mogelijk gescheiden, ook in mailverkeer.”