Geen hotmail op het werk moet lekken voorkomen

Veel bedrijven hebben beveiliging om vertrouwelijke informatie binnen het bedrijf te houden. Het meenemen van informatie naar buiten blijft gevaarlijk.

Journalisten krijgen gevoelige dossiers niet meer in een dichte, onbeschreven envelop, zo lijkt het. Tegenwoordig krijgen ze een usb-stick. Of een computer die op straat is gezet. Of vinden ze ze zelf via internet. Door in computers te neuzen van gebruikers die hun beveiliging niet op orde hebben.

Dat alles, maar dan ook alles op computers staat, brengt risico's met zich mee, hebben we deze week weer kunnen zien. Een medewerker van het ministerie van Defensie dacht thuis muziek en films te kunnen downloaden via het uitwisselingsprogramma Limewire (overigens illegaal), en stond er niet bij stil dat hij daardoor ook een deel van de documenten op zijn harde schijf openstelde. Op die schijf stonden defensiegeheimen en brieven van de koningin, die via via bij dagblad De Telegraaf belandden.

Bedrijven en overheidsinstellingen weten wel dat ze voorzichtig moeten zijn. Met allerlei maatregelen proberen ze vertrouwelijke documenten binnen het bedrijf te houden. Zo zijn bij de Rabobankgroep een heleboel websites op het werk afgeschermd, vertelt een woordvoerder. Ook kun je, net als bij veel andere bedrijven, ook niet zelf computerprogramma's op de werkcomputer installeren. Limewire en andere uitwisselingsprogramma's komen er sowieso niet in, maar het beluisteren van geluidsfragmenten lukt bijvoorbeeld ook niet, doordat een geschikt programma ontbreekt.

Volgens Lex Borger, adviseur op het gebied van veiligheid bij ict-bedrijf LogicaCMG, is de techniek van de beveiliging bij veel bedijven wel op orde. Wat ontbreekt, is het overzicht, waardoor er gaten kunnen vallen. 'Je ziet met name dat er te gemakkelijk bedrijfsgegevens worden meegenomen naar omgevingen waar dat niet hoort.'

Zo zijn er vaak geen regels over het meenemen van usb-sticks, waardoor die gemakkelijk kwijtraken of worden gestolen. En ook over het beveiligen van thuiswerkplekken zijn soms geen regels. Het installeren van programma's zoals Limewire, wat op de werkplek bijna nooit kan, is thuis normaal. En het beveiligen van draadloze internetverbindingen gebeurt vaak ook niet. Ook zo kunnen documenten op een harde schijf door vreemden worden bekeken.

Bij verzekeraar Achmea proberen ze dat te ondervangen door alleen thuis te werken op een laptop van de zaak, vertelt een woordvoerster. En op die laptops mag je dus ook niet zelf programma's installeren. Bovendien is de informatie op de harde schijf versleuteld, voor als hij wordt gestolen.

Ook over het openen van privé-e-mail op het werk, via bijvoorbeeld hotmail, wordt te gemakkelijk gedacht, zegt Borger. Zulke mailprogramma's zijn niet goed beveiligd, en als dan een virus binnenkomt, is ook de werkplek besmet. Vandaar dat bij sommige bedrijven, zoals de Rabobank, e-mailsites zoals die van hotmail geblokkeerd zijn.

Bedrijven willen zo ook voorkomen dat hun werknemers te veel privé e-mailen. Bij zorgverzekeraar Agis zijn daar regels over en wordt het ook gecontroleerd. 'Als daar aanleiding voor is, mag ook naar de inhoud van e-mails worden gekeken', vertelt een woordvoerder.

Tot ongeveer een halfjaar geleden konden medewerkers van hetministerie van Buitenlandse Zaken zelfs helemaal niet internetten op hun eigen werkplek. Volgens Borger zijn dat ongeveer de meest extreme maatregelen die instellingen treffen, samen met het verbieden van extern e-mailen. Dat soort maatregelen ziet hij vooral bij ministeries en financiële instellingen. 'Je moet dan wel uitkijken dat het niet ten koste gaat van de effectiviteit.'

Waar ze juist achterlopen met beveiliging, is volgens Borger in de zorgsector. Dat bewees publiciste Karin Spaink in september. Met hulp van hackers kreeg ze toegang tot 1,2 miljoen patiëntgegevens. Niemand merkte het.