Vorig week verscheen op de website van RTL Nieuws het bericht dat één op de vijf werknemers zijn wachtwoord dat hij op het werk gebruikt zou verkopen aan een onbekende als hij een aanbod zou krijgen. De meesten zouden dat zelfs al doen voor minder dan 100 euro. Voor wachtwoorden waarmee belangrijke bedrijfsinformatie kan worden verkregen moet gemiddeld zo’n 72.000 euro worden geboden.
Deze cijfers komen uit een onderzoek van het Amerikaanse bedrijf SailPoint. Het onderzoek werd gehouden onder 1.000 werknemers van bedrijven met minimaal 1.000 werknemers over de hele wereld. 12% van de ondervraagden kwam uit Nederland.
De resultaten van het onderzoek laten maar weer eens zien dat ‘de mens’ de grootste bedreiging vormt voor de veiligheid van IT-systemen. Eigenlijk wisten we dat al. Technisch is alles goed te beveiligen, maar uit de praktijk weten we dat problemen met ICT-beveiliging vaak het resultaat zijn van menselijk handelen.
Waar we er over het algemeen van uitgingen dat fouten maken menselijk is, laat het onderzoek zien dat we er ernstig rekening mee moeten houden dat beveiligingsissues niet altijd per ongeluk ontstaan. Het aantal werknemers dat voor een extra zakcentje de veiligheid van zijn bedrijf willens en wetens zou schaden, is schrikbarend hoog.
Uit de resultaten van het onderzoek moeten we concluderen dat het bedrijfsleven stappen moet gaan nemen op het gebied van ICT-beveiliging. Veel bedrijven hebben geen ICT-reglement en áls bedrijven al een goed ICT-reglement hebben, richt deze zich vaak alleen maar op het wachtwoordgebruik (u kent het wel: maandelijks die pop-up dat uw wachtwoord moet worden gewijzigd). Het beschermen van gegevens door middel van wachtwoorden is niet veilig genoeg meer, zo weten we nu.
We raden u aan na te denken over andere vormen van authenticatie. Authenticatie kan op 3 verschillende manieren:
We begrijpen dat deze vormen misschien eng over kunnen komen. Niet al uw personeel zal staan te springen om voortaan door middel van een irisscan in te moeten loggen. Een vingerafdruk is dan al wat minder spannend, omdat men dat vaak al gewend is van het deblokkeren van bijvoorbeeld hun smartphone. Wilt u optimale beveiliging kiest u dan voor een authenticatieproces waar twee van de drie vormen nodig zijn. Bijvoorbeeld het gebruik van een smartcard plus een vingerafdruk.
Uiteraard moet u op uw beurt de opslag van bijvoorbeeld de vingerafdrukken goed beveiligen om zelf niet aanstichter te worden van beveiligingsissues…
