Werknemers blijken zeer creatief te zijn in het omzeilen van de IT-beveiliging op de werkvloer, maar veroorzaken daardoor allerlei kwetsbaarheden en openen systemen voor aanvallers. Dat blijkt uit onderzoek van Ross Koppel, professor sociologie aan de Universiteit van Pennsylvania.
Samen met Jim Blythe van de Universiteit van Zuid-Californië en Sean Smith van het Dartmouth College onderzocht Koppel wat mensen precies doen als ze tijdens hun werk de veiligheidsregels van IT-experts niet opvolgen. De onderzoekers ontdekten dat het omzeilen van deze veiligheidsregels de norm is geworden. Het onderzoek van Koppel richtte zich vooral op werknemers in de gezondheidszorg die de regels omzeilen, zoals artsen en verpleegsters.
In veel gevallen zijn de veiligheidsregels, bijvoorbeeld voor wachtwoorden, zo omslachtig en belastend dat werknemers manieren vinden om hun werk toch gewoon uit te kunnen voeren. Aan de hand van verschillende interviews zagen de onderzoekers allerlei irrationele beveiligingsmaatregelen en de oplossingen waarmee het personeel vervolgens dit omzeilde, zoals het delen van wachtwoorden en negeren van veiligheidswaarschuwingen. In totaal ontdekten de onderzoekers "talloze" kwetsbaarheden die door inflexibele en onlogische veiligheidseisen worden geïntroduceerd.
Het gaat bijvoorbeeld om het wijzigen van het wachtwoord elke 90 dagen. In de Defensie-industrie bleken werknemers hun helpdesk te bellen en te vertellen dat ze hun wachtwoord vergeten waren. Daardoor werd het wachtwoord gereset, maar ook de limiet van 90 dagen. Zodoende konden gebruikers hun oude wachtwoord steeds opnieuw blijven gebruiken.
Om automatisch uitloggen van het systeem te voorkomen als ze even van hun werkplek weg waren, plaatsten werknemers plastic bekertjes over de detector die juist moest detecteren als ze opstonden. Daardoor dacht het systeem de werknemer nog gewoon achter zijn computer zat en werd hij niet uitgelogd.
Een arts die de regels van het ziekenhuis wilde omzeilen wat betreft het meenemen van medische afbeeldingen bleek screenshots van de afbeeldingen te maken dat hij vervolgens onversleuteld via e-mail verstuurde. Een ander voorbeeld is van een manager die een niet vertrouwd SSL-certificaat voor de bedrijfsserver gebruikte. Gebruikers werden vervolgens getraind om waarschuwingen over ongeldige SSL-certificaten te negeren.
Deze posting is gelocked. Reageren is niet meer mogelijk.