“Uw paswoord voor een stuk chocolade?” Beterschap, maar…
In de aanloop naar het Infosecurity event in London, werd naar jaarlijkse traditie aan een aantal kantoorpendelaars in een Londens station gevraagd of ze hun paswoord op kantoor wouden verklappen in ruil voor een stuk chocolade. De resultaten tonen beterschap, maar…
In de aanloop naar het Infosecurity event in London, werd naar jaarlijkse traditie aan een aantal kantoorpendelaars in een Londens station gevraagd of ze hun paswoord op kantoor wouden verklappen in ruil voor een stuk chocolade. De resultaten tonen beterschap, maar…
De resultaten waren eigenlijk heel wat beter dan vorige jaren. Bleek in 2007 nog 64 procent van de respondenten bereid hun paswoord te verklappen, was dat dit jaar nog slechts 21 procent. Waarbij overigens moet worden geconstateerd dat toch nog vier keer meer vrouwen dan mannen voor de verleiding van een stuk chocolade vielen. De organisator van het Infosecurity-event merkt dan ook terecht op dat de bewustwording bij de gebruikers toch is verbeterd. Een persoon – werkzaam op een departement van een ministerie – merkte zelfs op dat hij nooit zijn paswoord zou vrijgeven, omdat dat een grond zou zijn voor ontslag!
Hoewel… Uit verdere bevraging bleek wel dat zowat de helft van de respondenten paswoorden van hun collega’s op kantoor kenden en dat 58 procent van hen hun paswoord aan iemand van de ict-afdeling zouden geven over de telefoon. Zo’n 35 procent meende voorts dat het paswoord van de bedrijfsleider door nog wel iemand anders dan die persoon zou zijn gekend, zoals bijvoorbeeld door zijn of haar assistent en/of personen in de ict-afdeling. Kortom, op al die punten waren de betrokken bedrijven bijzonder gevoelig voor personen die infiltreren en/of ‘social engineering’-taktieken in hun aanvallen aanwenden.Erger werd het weer wanneer de respondenten om hun geboortedatum werden gevraagd, zgn. “in het kader van de enquête.” Ca. 61 procent deelden die zonder meer mee. Vervolgens werd hen ook gezegd dat ze een kans maakten op een weekendtrip naar Parijs als ze hun naam en telefoonnummer opgaven, wat 60 procent van de mannen en 62 procent van de vrouwen deden. Pas nadien werd hen gezegd dat met die drie gegevens – geboortedatum, naam, telefoonnummer – al behoorlijk gesofisticeerde aanvallen (inclusief phishing) konden worden opgezet en dat gelukkig voor hen de enquêteurs gewoon meewerkten aan een ‘security awareness’ oefening. Waarop blijkbaar nogal wat van de respondenten opmerkten dat de enquêteurs niet voor misdadigers werden aanzien omwille van hun keurig voorkomen.
Kortom, beterschap ja, maar nog heel wat werk aan de winkel!
Fout opgemerkt of meer nieuws? Meld het hier