Wie controleert de systeembeheerder?
Zo onderzochten we het handelen van een systeembeheerder die het netwerk van zijn werkgever had gebruikt voor zijn downloadverslaving. Als gevolg hiervan stond het netwerk vol met illegale software. Daarnast had de man keyboardloggers geinstalleerd; dat zijn relatief kleine rogramma's die feilloos alle toetsaanslagen registreren. Hiermee achterhaalde de man de gebruikersnaam en het wachtwoord van collega's. Hierdoor was de weg vrij om volkomen 'ongezien' het systeem te kunnen manipuleren. De systeembeheerder was echter vergeten dat een keyboardlogger ook zijn eigen aanslagen bijhield waardoor wij, weer zijn activiteiten konden achterhalen.
Tijdens een ander digitaal onderzoek stelden wij vast dat een groep van vijftien medeweers van de afdelingen Helpdesk en Systeembeheer zonder enige vorm van controle de e-mailberichten van de algemeen directeur konden inzien en daarmee dus toegang hadden tot allerlei vertrouwelijke en kritische bedrijfsinformatie.
Natuurlijk is het zo dat de functie van systeem- en netwerkbeheerder een vertrouwensfunctie is. Het argument dat deze mensen funtioneel toegang moeten hebben tot het hele systeem is correct, maar dat betekent niet dat daarop geen toezicht uitgeoefend kan worden.
Wij pleiten ervoor de functies van systeem- en netwerkbeheerders niet te koppelen. Bovendien zouden zowel de systeem- als netwerkbeheerder slechts beperkt toegang tot de systemen moeten hebben. De controle van loggegevens en dergelijke, zou door een onafhankelijke partij moeten gebeuren. Het systeem dat hiervoor gebruikt wordt, dient niet zonder meer toegankelijk te zijn voor de eigen beheerders. Op deze manier kan op een onafhankelijke wijze toezicht en controle worden uitgevoerd.
Omdat de systeembeheerders zo'n vertrouwenspositie bekleden, is het vanzelfsprekend dat ze voor indiensttreding standaard grondig gescreend zouden moeten worden.
Wij hebben inmiddels een brede ervaring opgebouwd met het ontwerpen en implementeren van controlesystemen voor de ICT binnen bedrijven en instellingen. Wij zijn desgewenst ook uw organisatie graag van dienst, al is het maar om uw situatie op dit vlak in kaart te brengen.
