image

33% IT'ers misbruikt systeemrechten

dinsdag 29 mei 2007, 14:48 door Redactie, 19 reacties

Maar liefst 33% van alle IT'ers misbruikt zijn of haar systeemrechten om in de vertrouwelijke gegevens van andere collega's te grasduinen, zo blijkt uit onderzoek. Via admin wachtwoorden weet men toegang te krijgen tot persoonlijke bestanden, salarisgegevens, persoonlijke e-mail en HR-gegevens.

Volgens een "schuldige" systeembeheerder is de uitkomst van het onderzoek niet zo vreemd: "Waarom vind je het zo verrassend dat zoveel IT'ers rondneuzen in bestanden van anderen, zou jij dat ook niet doen als je in het geheim tot van alles toegang hebt!."

Een ander opmerkelijke uitkomst is dat meer dan een derde van alle IT professionals nog steeds toegang tot het bedrijfsnetwerk heeft, ook al heeft men het bedrijf verlaten. Verder blijkt dat, ondanks alle voorlichting en cursussen, meer dan de helft van de mensen hun wachtwoorden op een Post-It note bewaart. Twintig procent van de ondervraagde bedrijven laat weten zelden hun admin wachtwoorden te wijzigen, terwijl zeven procent dit nooit doet.

Reacties (19)
29-05-2007, 14:56 door Anoniem
Nou nee. Ik misbruik die rechten om mijzelf meer rechten te geven dan
een normale gebruiker heeft op de desktop, terwijl ook ik dat niet zou
mogen hebben. Maar ja...
29-05-2007, 15:14 door Anoniem
Niet zo vreemd lijkt mij.

Al moet ik van mezelf zeggen, dat ik me er ook schuldig aan
maak. Maar alleen in gevallen van nood. Wanneer iemand
dingen doet in het netwerk, die niet door de beugel kunnen
bijvoorbeeld.

Ik ben verantwoordelijk voor het netwerk, dus ook voor de
dingen die men op het netwerk doet.

in alle andere gevallen is het naar mijn mening
ontoelaatbaar, en zou je ontslag moeten krijgen, wanneer
iemand erachter komt.

uninomy
29-05-2007, 15:40 door Anoniem
Beetje vreemde conclusies. Immers is het =zeer= onwaarschijnlijk dat
33% van de IT'ers voldoende access hebben om uberhaupt bij dergelijke
vertrouwelijke informatie te komen. Denken de heren onderzoekers bij
Cyber-Ark soms dat iedere IT'er domain admin is binnen zijn of haar
bedrijf ?

Is dit onderzoek ook gepubliceerd, of is het slechts een hersenspinsel
voor de marketing van Cyber-Ark's digital vault, identity & access
management ?
29-05-2007, 15:42 door Anoniem
ze hebben 3 mensen geïnterviewd waarbij er 1 toegaf?
29-05-2007, 15:45 door Anoniem
"Al moet ik van mezelf zeggen, dat ik me er ook schuldig aan
maak. Maar alleen in gevallen van nood. Wanneer iemand
dingen doet in het netwerk, die niet door de beugel kunnen
bijvoorbeeld."

Wanneer je dit zelf ongeautoriseerd doet kan dit evenmin door de
beugel, en is dit ontoelaatbaar en reden tot ontslag.

Het is wat anders als je hierbij toestemming krijgt vanuit het management
en indien nodig de ondernemingsraad, en daarbij de wettelijke
beperkingen niet uit het oog verliest.

Ook wanneer een ander dingen doet die niet door de beugel kunnen,
geeft het jou geen vrijbrief om zelf de regels te overtreden. Daarnaast is
dan ieder bewijsmateriaal dat je aandraagt voor het wangedrag van de
ander onrechtmatig verkregen, dus in dat geval schaad je tevens het
belang van je werkgever.
29-05-2007, 15:58 door Anoniem
"ze hebben 3 mensen geïnterviewd waarbij er 1 toegaf?"

Zoiets. Waarschijnlijk werkten ze alle 3 op de marketing afdeling van Cyber-
Ark, het bedrijf dat deze survey uitvoerde ;)

Kijk eens op hun website wat dit bedrijf verkoopt, het is puur een
verkooppraatje voor hun eigen produkten ->

http://www.cyber-ark.com/
29-05-2007, 16:02 door Anoniem
Het valt me nog mee. Als ik om me heen kijk is dat al gouw
66% die misbruik maakt van hun rechten.

Door Anoniem
ze hebben 3 mensen geïnterviewd waarbij er 1 toegaf?
Niet zo negatief. Het waren 6 mensen waarvan er 2 het toegaven..
29-05-2007, 16:18 door Anoniem
die moeten ze bij vrouwe justitia een onderzoeken.
agentjes zoeken zeker nooit iets op uit schieuwnierigheid ?

en nog iets, iemand sprak over domain admin's, als ze het
hele mkd er bij hebben gehaald, heb je een hoop solo ictérs
die inderdaad alle rechten hebben. 't zijn niet allemaal big
corps.
29-05-2007, 16:26 door SirDice
Volgens een "schuldige" systeembeheerder is de uitkomst van het onderzoek niet zo vreemd: "Waarom vind je het zo verrassend dat zoveel IT'ers rondneuzen in bestanden van anderen, zou jij dat ook niet doen als je in het geheim tot van alles toegang hebt!."
Er is nog zoiets als beroeps ethiek?!?
29-05-2007, 17:33 door Anoniem
Door SirDice
Volgens een "schuldige" systeembeheerder is
de uitkomst van het onderzoek niet zo vreemd: "Waarom
vind je het zo verrassend dat zoveel IT'ers rondneuzen in
bestanden van anderen, zou jij dat ook niet doen als je in
het geheim tot van alles toegang hebt!."
Er is nog zoiets als beroeps ethiek?!?


IDD SirDice, een ronduit schandalige en criminele mentaliteit!
29-05-2007, 18:45 door Anoniem
Er is nog zoiets als beroeps ethiek?!?

Moet je net bij die lui aankomen zetten zeg! Integriteit is het
weggegooide kindje met het spreekwoordelijke badwater...
29-05-2007, 19:36 door Anoniem
33 procent ? Laat me niet lachen stelltje kuikentjes. Jullie
hebben zeker elke admin in nederland of in de wereld
persoonlijk geinterviewd of omgekocht om dit toe te geven.
29-05-2007, 20:05 door awesselius
Ter bescherming van jezelf kun je beter geen toegang hebben
tot vertrouwelijke gegevens als dat geen nut heeft voor het
uitvoeren van je functie. Zodra je ergens weet van heb, kan
het ook aan je geweten knagen.

Als je al toegang moet hebben tot vertrouwelijke gegevens
(zoals financien), dan kun je beter werken met het 4-ogen
principe. Dat iemand controle kan uitoefenen, maar daarnaast
ook getuige kan zijn van je onschuld. Je dekt dan elkaar in
geval van fraude of misbruik.

Grasduinen in iemands gegevens wil je alleen als je het op
een punt wil gaan misbruiken tegen diezelfde persoon (of
iemand waar die persoon contact mee heeft). Zolang je die
motivatie niet hebt, kun je beter wegblijven van situaties
waar men zelfs maar een vermoeden kan hebben dat je er weet
van hebt.

Niet voor niets zijn merendeels van de administrators ervan
overtuigd dat men geen behoefte heeft om iedereens password
te weten. Dat is de verantwoordelijkheid van de gebruiker
zelf, daar hoor je niets mee te maken te hebben. Je kunt zo
dus ook niet in de verleiding komen er misbruik van te maken.

- Unomi -
29-05-2007, 22:15 door Anonl3m
Ik snap niet dat een beheerder zich verantwoordelijk voelt
voor wat anderen op het netwerk uitvreten, zoals Uninomi.
Daar zijn leidinggevenden voor. Tenzij de beheerder ook de
manager is (dan heeft 'ie wat anders fout gedaan in het
verleden ;-) ). Een beheerder voert het beheer uit over het
netwerk, de systemen en het spul dat e.e.a. met elkaar
verbindt. Een CISO (corporate information security officer)
bepaalt met de CEO wat het informatiebeveiligingsbeleid is
en hoe dat dient te worden gehandhaafd. Daar komt geen
onderknuppel aan te pas. Hooguit mag de netwerkbeheerder of
systeembeheerder iets constateren en dat melden, maar daar
houdt het dan ook wel mee op.
Dat noemen ze functiescheiding en scheiding van
verantwoordelijkheden.
30-05-2007, 00:35 door [Account Verwijderd]
[Verwijderd]
30-05-2007, 07:12 door [Account Verwijderd]
[Verwijderd]
30-05-2007, 08:11 door _Peterr
Ik heb meerdere migratieprojecten meegemaakt. En als je dan
ziet wat voor data de mensen op hun persoonlijke share of op
de HD van hun werkPC/Laptop hebben staan dan schrik je soms
best wel.

En dan zijn de MP3'tjes het minst erge.

Ladingen met Cracks en keygen's hebben we gevonden. En die
brengen het bedrijfsnetwerk in gevaar door de spyware die
daar soms in zit.
30-05-2007, 10:06 door Anoniem

Ladingen met Cracks en keygen's hebben we gevonden. En die
brengen het bedrijfsnetwerk in gevaar door de spyware die
daar soms in zit.

Grappig dat je dit zegt want ik heb iemand gevonden die allerlei hacker
tooltjes in zijn homedir had staan (i know hoe dom kan je zijn). En hoe
denk je hoe aan mijn verzameling van " erotische" foto's ben gekomen ;-)
30-05-2007, 15:18 door Anoniem
"Wat ik niet begrijp is WAT MOET JE MET GEGEVENS VAN
ANDEREN.",
maar dat is toch de gewoonste zaak van de wereld zo
langzamerhand in NL. Vooral de overheid (ik noem ze maar
even als GGD) wil graag alles van je weten.
En de gemiddelde nederlander maakt het allemaal niets uit
toch? Die hebben niks te verbergen zeggen ze.
Dus waarom zou een beheerder daar moeilijk over doen.

Overigens Anonl3m, als een manager wat fout doet wordt ie
echt geen beheerder, maar wordt ie meestal gepromoveerd.
Desnoods naar een ongevaarlijke plek.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.