USB-stick inpluggen op bedrijfsPC - veiligheid gegevens?

[financial68]

Hallo,

Als financieel verantwoordelijke ben ik (samen met de algemene directeur) de enige die zicht heeft / mag hebben op bepaalde explosieve informatie (cijfers) van onze organisatie. Nu dacht ik dat ik met het bewaren van deze gegevens op een externe USB-stick 100% safe was maar nu twijfel ik de laatste tijd omdat ik uit sommige gesprekken kan afleiden dat bepaalde gegevens door bepaalde collega's gekend lijken. Nu heb ik mijn collega, de IT'er, al meermaals betrapt op loslippigheid en het feit dat hij het niet zo nauw neemt met ethiek en eerlijkheid dus gaat mijn vermoeden in de eerste plaats zijn richting uit.

Kunnen gegevens die op een USB-stick bewaard worden gecapteerd worden door IT wanneer deze stick in een bedrijfscomputer, aangesloten op het bedrijfsnetwerk, ingeplugd wordt? Zijn er zaken die ik op mijn werkstation kan checken om te zien of iemand in mijn bestanden neust, hier inzage in heeft of deze buiten mijn weten om ergens opslaat? Stomme vraag misschien maar moet ik mij vragen stellen bij het feit dat ik een snelkoppeling naar deze stick terug vind onder de HP_Recovery-drive? (bijlage)

Alvast bedankt voor alle feedback! Ik wil niet paranoia zijn maar wel voorzichtig ;-)

grtz

 

[dnties]

Die snelkoppeling kun je evt. (per ongeluk) zelf gemaakt hebben. Wat je kunt doen is erop rechtsklikken, Eigenschappen kiezen, tabblad Beveiliging, knop Geavanceerd en dan in het tabblad Eigenaar kijken of je daar uit kunt halen wie de eigenaar/maker van de snelkoppeling is.

Een administrator / iemand met administrator-rechten kan standaard alle schijven bekijken op een werkstation die in het Windows domein is opgenomen.
Voorbeeld: Stel dat jouw werkstation PC01 heet en de memory-stick schijfletter Q: heeft, dan kan ik (als administrator) bij jouw memory-stick via
[Windows-toets]r toetscombinatie -> \\PC01\Q$
Analoog is de C: schijf bereikbaar onder \\PC01\C$ etc.

Zullen wel tegenmaatregelen zijn, zoals het uitschakelen van "Administrative shares" (in het voorbeeld is Q$ de administrative share van de memory-stick).

Andere tips/informatie kom ik misschien nog op (bijv. encryptie), maar hopelijk kunnen anderen alvast reageren met hun tips/informatie.

Tijs.

 

[financial68]

Dank voor jouw snelle reply dnties!

- snelkoppeling moet ik inderdaad per vergissing hebben opgemaakt waarschijnlijk, mea culpa en bedankt om mij hierop te wijzen / te vertellen waar ik dat kon terug vinden
- bedoel je dat een administrator ten allen tijde - ONgezien - op mijn USB kan gaan snuffelen wanneer deze ingeplugd is op het netwerk?
- de USB wordt niet gedeeld met het netwerk zou ik denken (cfr bijlage)

Alle tips mbt het detecteren van eventuele pottekijkers of gevaren welkom!Bekijk bijlage delen.docx

 

[dnties]

Ik neem dit terug: Removable media (zoals memory-sticks etc.) worden niet administratief gedeeld. Verhaal blijft wel geldig voor de partities op je harde schijven, zoals C: etc.

Wat jij je moet afvragen is of de data die je op die memory-stick zet niet op een andere manier (bijv. op een gedeelde map op een server op je bedrijfsnetwerk, via een query op de database-server, via het toegang geven tot je mailbox etc.) voor administratoren alsnog is te bekijken of (re)produceren.

Ook moet je je afvragen of (zonder jouw medeweten/toestemming) "over je schouder" met je meegekeken kan worden op je computer (of Extern Bureaublad sessie op een terminal-server etc.)

Tijs.

 

[financial68]

Dank nogmaals voor jouw reply dnties!

Ik begrijp dat het inpluggen van de USB-stick an sich geen gevaar betekent dat de gegevens van deze bron automatisch worden opgeslagen / gebackupt op een andere plaats.

Het gevaar dat deze gegevens op een andere manier ergens gecapped worden zonder mijn medeweten is inderdaad de vraag die mij bezig houdt. Echter, mijn technische kennis is té beperkt om te checken of hiervoor een systematiek is opgezet / software voor staat ingesteld.

Het risico dat ongewild informatie gedeeld wordt via email hoop ik te hebben ondervangen door het gebruik van de applicatie www.wetransfer.com voor het versturen van gevoelige informatie, dat er "over de schouder" wordt mee gegluurd door schermovername is mij gekend. Ik kan hier wel voorzichtig mee zijn maar helaas kan ik dit niet uitsluiten. Zelf kunnen beslissen wanneer mijn scherm wordt overgenomen zou dit risico uitsluiten maar ik begreep / vermoed dat dit geen optie is?

 

[dnties]

[...]dat er "over de schouder" wordt mee gegluurd door schermovername is mij gekend. Ik kan hier wel voorzichtig mee zijn maar helaas kan ik dit niet uitsluiten. Zelf kunnen beslissen wanneer mijn scherm wordt overgenomen zou dit risico uitsluiten maar ik begreep / vermoed dat dit geen optie is?

Tsja, het is doorgaans (technisch) wel uit te zetten dat de gebruiker akkoord moet geven. Natuurlijk ga je dan wel heel erg "aluhoedje"/conspiracy theory-achtig denken: Als er duidelijk beleid is (en er wordt steeksproefgewijs op gecontroleerd dat het beleid nog wordt nagevolgd), dan heb je dat probleem (natuurlijk) niet.

Bij "ons" is het beleid dat toestemming altijd benodigd is, tenzij er een calamiteit is waarbij de gebruiker niet beschikbaar is en er tóch wat moet gebeuren. In dat laatste geval mag het tijdelijk uitgezet worden, maar dan is er (natuurlijk) ook nog het meldingen-systeem waarin deze actie wordt gemeld en de gebruiker krijgt het in zijn e-mail dat het zo gebeurd is. Daarbij natuurlijk nog verplichte geheimhoudingsverklaringen etc., voor het geval toch de technicus data onder ogen komt die hem/haar niet aangaat.

Tijs.

 

[RogerS]

Nog even mijn aanvulling.

Zelfs als het alleen een vermoeden betreft zou ik meteen actie ondernemen richting de systeembeheerder. Dit kan en mag niet, of zelfs maar een schijn van is al erg genoeg

Diensten als wetransfer.com en alles wat maar iets met Amerika te maken heeft zou ik niet vertrouwen. Dit valt daar allemaal onder de Patriot Act en kan daarom gelezen of ingezien worden. Is wel een beetje aluhoedje maar ken van dichtbij nu al een paar mensen met goede ideeen die spontaan in Amerika opdoken nadat zij online iets gedeeld hadden. Better be safe than sorry.

Technisch is het een koud kunstje om even een scriptje te schrijven wat de inhoud van een USB stick kopieert. Kun je je wel tegen beschermen maar dat zet ik hier niet. Helpmij doet het heel erg goed in de Google ranking en ik wil voorkomen dat je admin weet wat er speelt en hoe het te omzeilen. Stuur me maar een email dan leg ik e.e.a. uit

Zorg ervoor dat software om op afstand je beeldscherm over te nemen altijd een melding laat zien dat er meegekeken wordt. Heel gebruikelijk in de medische wereld of andere plekken waar privacy van belang is.

Laat eventueel een andere IT partij meekijken, voor een second opinion, bij hoe een en ander is ingericht. Geeft je ook wat slagkracht richting de huidige beheer.

Encryptie beveiligd documenten wel, maar dat beschermt je niet tegen meekijkers als het document geopend is.

 

[andre@home]

Op een netwerk is eventueel een groep aan te maken waar alleen met speciale toestemming (bijv vd directeur alleen..) zelfs IT dan pas mag en kan komen. (zelf uitzoeken hoe dat moet, weet ik ook niet precies)
Onze IT helpdesk kan bepaalde zaken dus niet, kan alleen met toestemming v/h hoofdkantoor ook om dit soort zaken te vermijden.
Zorgen dat er goede logs zijn en controleren... evt door een externe accountant oid. Tja... safety is niet gratis...
PS: als het extreem belangrijk is ... zou je een 2e pc beiden moeten hebben... helemaal los van het netwerk jij en de ander een peer-to-peer verbinding waar niemand anders bij kan....met een kabel uit één stuk... dan kan er niemand tussen gaan zitten...

 

[RogerS]

Andre. En ook die oplossing zal door iemand beheerd moeten worden. Je kan wel vanalles afschermen maar zolang de beheerder domain admin is kan hij alles omzeilen en waar nodig logs aanpassen.

 

[andre@home]

In een peer to peer oplossing.... zit je niet in een domain....
Tja... als je dan helemaal geen onderhoud zelfs aan die pc's wilt doen... wat dan....
Organisatie als patentbureaus, regerings-cp's, etc zullen ook dit soort issues hebben.... de claims/gevolgen zullen groot kunnen zijn als iets te vroeg uitlekt....

 

[kenikavanbis]

Hiervoor heb je specialisten nodig

Het bewijzen is niet eenvoudig het vertroebelen van het zicht kan wel. niemand verbied om een hoax naast de werkelijkheid te zetten zolang je zelf weet welke de juiste is.
Zo zijn er in auto industrie al enkele hoaxen in productie gegaan waar de dief(opdrachtgever) de zware tol moet betalen door de zware kosten.

Zo kan je op een usb stik in windows (heb je twee mogelijkheden)
group netwerk (totaal niet veilig ook niet naar buiten).
domain netwerk (beveiligd via server).
- Indien een proxiserver word er een copy van elke file gemaakt op de proxi dus kan niets weggestoken worden.
- Bij loginscript meestal met netuse... kan bijna alles beschikbaar zijn van de systeem beheerder (ook browser geschiedenis/temp ect).

Nu een hidden bestand kan je ook niet zien maar er kan ook een .folder op je usb staan dit wil zeggen dat dit ook kan doen en mogelijks niet in archief staat
en mogelijks staat er op jou file het vinkje archief wel aan de zal maken dat bij mogelijk backup ook die file zal worden mee worden genomen

Het is niet volledig juist te zeggen dat usb niet tot vaste hardware wordt gezien ze krijgt toch een drivelocatie dus detecteerbaar door system en mogelijk ook in de "master file table" beschikbaar .

 

[financial68]

Tsja, het is doorgaans (technisch) wel uit te zetten dat de gebruiker akkoord moet geven. Natuurlijk ga je dan wel heel erg "aluhoedje"/conspiracy theory-achtig denken: Als er duidelijk beleid is (en er wordt steeksproefgewijs op gecontroleerd dat het beleid nog wordt nagevolgd), dan heb je dat probleem (natuurlijk) niet.

Bij "ons" is het beleid dat toestemming altijd benodigd is, tenzij er een calamiteit is waarbij de gebruiker niet beschikbaar is en er tóch wat moet gebeuren. In dat laatste geval mag het tijdelijk uitgezet worden, maar dan is er (natuurlijk) ook nog het meldingen-systeem waarin deze actie wordt gemeld en de gebruiker krijgt het in zijn e-mail dat het zo gebeurd is. Daarbij natuurlijk nog verplichte geheimhoudingsverklaringen etc., voor het geval toch de technicus data onder ogen komt die hem/haar niet aangaat.

Tijs.

 

[financial68]

Hog aluhoedje....snap ik wel, langs de andere kant kan je niet voorzichtig genoeg zijn temeer daar de IT'er altijd meteen de lucht in gaat wanneer we nog maar een vermoeden uiten.... Wanneer je recht in de schoenen staat zou je reageren met "Laat maar komen" zou ik denken ;-)

 

[RogerS]

Begrijp me niet verkeerd, maar ik vraag me zo langzaam af wie nu de baas is in het bedrijf. Is dat de IT-er of de directeur?

 

[financial68]

Nog even mijn aanvulling.

Zelfs als het alleen een vermoeden betreft zou ik meteen actie ondernemen richting de systeembeheerder. Dit kan en mag niet, of zelfs maar een schijn van is al erg genoeg

Diensten als wetransfer.com en alles wat maar iets met Amerika te maken heeft zou ik niet vertrouwen. Dit valt daar allemaal onder de Patriot Act en kan daarom gelezen of ingezien worden. Is wel een beetje aluhoedje maar ken van dichtbij nu al een paar mensen met goede ideeen die spontaan in Amerika opdoken nadat zij online iets gedeeld hadden. Better be safe than sorry.

Technisch is het een koud kunstje om even een scriptje te schrijven wat de inhoud van een USB stick kopieert. Kun je je wel tegen beschermen maar dat zet ik hier niet. Helpmij doet het heel erg goed in de Google ranking en ik wil voorkomen dat je admin weet wat er speelt en hoe het te omzeilen. Stuur me maar een email dan leg ik e.e.a. uit

Zorg ervoor dat software om op afstand je beeldscherm over te nemen altijd een melding laat zien dat er meegekeken wordt. Heel gebruikelijk in de medische wereld of andere plekken waar privacy van belang is.

Laat eventueel een andere IT partij meekijken, voor een second opinion, bij hoe een en ander is ingericht. Geeft je ook wat slagkracht richting de huidige beheer.

Encryptie beveiligd documenten wel, maar dat beschermt je niet tegen meekijkers als het document geopend is.

Dank voor jouw reply Roger!
- Ik ben niet zo bang voor multinationals of bedrijfsspionage op grote schaal, wel voor het openbaar worden van bepaalde explosieve cijfers. Ik zie niet meteen een collega het WeTransfer-system gaan hacken ofzo. Of zie ik het verkeerd?
- Mijn stick beschermen tegen een scriptje interessert me natuurlijk wel degelijk (zo lang het niet al té veel technische kennis verresit want die heb ik niet) dus als jij mij die kan bezorgen, alvast bedankt!
- Ik begrijp dus dat het overnemen van een beeldscherm een melding kan genereren, maar kan het ook andersom ttz: kan ik los van deze instelling ergens zien waar / wanneer iemand mijn scherm heeft overgenomen?
- Wanneer over een andere IT-partij wordt gesproken, zet onze IT'er meteen zijn stekels op.

mvg

 

[financial68]

Hiervoor heb je specialisten nodig

Het bewijzen is niet eenvoudig het vertroebelen van het zicht kan wel. niemand verbied om een hoax naast de werkelijkheid te zetten zolang je zelf weet welke de juiste is.
Zo zijn er in auto industrie al enkele hoaxen in productie gegaan waar de dief(opdrachtgever) de zware tol moet betalen door de zware kosten.

Zo kan je op een usb stik in windows (heb je twee mogelijkheden)
group netwerk (totaal niet veilig ook niet naar buiten).
domain netwerk (beveiligd via server).
- Indien een proxiserver word er een copy van elke file gemaakt op de proxi dus kan niets weggestoken worden.
- Bij loginscript meestal met netuse... kan bijna alles beschikbaar zijn van de systeem beheerder (ook browser geschiedenis/temp ect).

Nu een hidden bestand kan je ook niet zien maar er kan ook een .folder op je usb staan dit wil zeggen dat dit ook kan doen en mogelijks niet in archief staat
en mogelijks staat er op jou file het vinkje archief wel aan de zal maken dat bij mogelijk backup ook die file zal worden mee worden genomen

Het is niet volledig juist te zeggen dat usb niet tot vaste hardware wordt gezien ze krijgt toch een drivelocatie dus detecteerbaar door system en mogelijk ook in de "master file table" beschikbaar .

Bedankt voor jouw reply kenikavanbis maar die gaat helaas mijn petje te boven...:-(

 

[RogerS]

Dank voor jouw reply Roger!
- Ik ben niet zo bang voor multinationals of bedrijfsspionage op grote schaal, wel voor het openbaar worden van bepaalde explosieve cijfers. Ik zie niet meteen een collega het WeTransfer-system gaan hacken ofzo. Of zie ik het verkeerd?
- Mijn stick beschermen tegen een scriptje interessert me natuurlijk wel degelijk (zo lang het niet al té veel technische kennis verresit want die heb ik niet) dus als jij mij die kan bezorgen, alvast bedankt!
- Ik begrijp dus dat het overnemen van een beeldscherm een melding kan genereren, maar kan het ook andersom ttz: kan ik los van deze instelling ergens zien waar / wanneer iemand mijn scherm heeft overgenomen?
- Wanneer over een andere IT-partij wordt gesproken, zet onze IT'er meteen zijn stekels op.

mvg

-Wat betreft Wetransfer zie je het goed. Wou alleen alle opties benoemen omdat ik van hieruit natuurlijk niet kan inschatten wat de impact of waarde van de gegevens zijn
-Kan je wel een aantal zaken aan de hand doen. Moet alleen weer even nadenken wat ik precies voor deze situatie in gedachten had
-Je kunt zo'n beetje alles loggen, maar dat is ook iets wat de systeembeheerder weer ongedaan kan maken. Koop je waarschijnlijk niet alteveel voor. Is daarnaast technisch nogal lastig en het interpreteren van de enorme sloot informatie is ook niet al te makkelijk.
-Blijf er toch bij dat er een probleem is met de IT-er. Stekels of niet. Er is sprake van een serieus probleem, want vertrouwensbreuk. Genoeg reden voor ontslag dus hij mag zich wel wat inschikkelijker opstellen.

Mijn advies. Voordat je enorme toeren gaat uithalen en dadelijk weer op papier gaat werken omdat je een en ander niet vertrouwd zou ik twee dingen doen. Ga voorlopig met encryptie werken (TrueCrypt bijv.) en daarnaast het echte probleem oplossen van de beschadigde vertrouwensband.

 

[financial68]

Begrijp me niet verkeerd, maar ik vraag me zo langzaam af wie nu de baas is in het bedrijf. Is dat de IT-er of de directeur?

No comment ;-)

 

[financial68]

-Wat betreft Wetransfer zie je het goed. Wou alleen alle opties benoemen omdat ik van hieruit natuurlijk niet kan inschatten wat de impact of waarde van de gegevens zijn
-Kan je wel een aantal zaken aan de hand doen. Moet alleen weer even nadenken wat ik precies voor deze situatie in gedachten had
-Je kunt zo'n beetje alles loggen, maar dat is ook iets wat de systeembeheerder weer ongedaan kan maken. Koop je waarschijnlijk niet alteveel voor. Is daarnaast technisch nogal lastig en het interpreteren van de enorme sloot informatie is ook niet al te makkelijk.
-Blijf er toch bij dat er een probleem is met de IT-er. Stekels of niet. Er is sprake van een serieus probleem, want vertrouwensbreuk. Genoeg reden voor ontslag dus hij mag zich wel wat inschikkelijker opstellen.

Mijn advies. Voordat je enorme toeren gaat uithalen en dadelijk weer op papier gaat werken omdat je een en ander niet vertrouwd zou ik twee dingen doen. Ga voorlopig met encryptie werken (TrueCrypt bijv.) en daarnaast het echte probleem oplossen van de beschadigde vertrouwensband.

Bedankt opnieuw voor jouw reply Roger!

- ik onthoud dat WeTransfer niet waterdicht is maar dat je pas aluhoedje moet zijn wanneer de gegevens op een veel hoger echelon zitten
- loggen lijkt je mij af te raden en ik kan je wel volgen (manipulatie door IT mogelijk, omslachtig,...)
- ...
- alles op papier gaan bijhouden kan geen optie zijn inderdaad. Encryptie lijkt mij inderdaad een oplossing maar helaas moet hiervoor software gedownload worden en dat kan enkel door de IT'er... Ik heb ook geen ervaring met encryptie. Kan ik thuis zo n progje downloaden, de stick bewerken en die op de bedrijfscomputer openen ook al is op deze het progje niét geïnstalleerd?
- TrueCrypt is niet 100% betrouwbaar las ik in dit artikeltje https://computertotaal.nl/apps-software/wat-zijn-de-alternatieven-voor-truecrypt-63075