LEGAL HACKERS GEWONE ICT ER HEEFT NIET GENOEG IN HUIS OM HACKER VOOR TE BLIJVEN UITTREKSELS TE KOOP

Transcriptie

1 Juni 2013 # 224 HOFFMANN-TIPS Voor bedrijfsleven en publieke sector LEGAL HACKERS GEWONE ICT ER HEEFT NIET GENOEG IN HUIS OM HACKER VOOR TE BLIJVEN UITTREKSELS TE KOOP STEEDS MEER ONDERZOEK NAAR MISSTANDEN BIJ GEMEENTES INTEGRITEIT IS EEN KERN- WAARDE VAN ONS BEDRIJF MANAGERS VAN RABO VASTGOEDGROEP OVER INTEGRITEIT EN VEILIGHEID Vertrouwen is goed, Hoffmann is beter.

2 Column door Richard B. Franken directeur Hoffmann We zitten bijna halverwege het jaar. Hoe scherp zijn uw maatregelen nog? Bent u nog voldoende alert als het om fraude en veiligheid gaat? Wij komen nog steeds veel organisaties tegen die moeite hebben met het afstemmen van de veiligheidsmaatregelen. In deze Hoffmann- Tips geven we daar een aantal voorbeelden van, begeleid door advies voor verbetering. Het meest opvallende in de afgelopen tijd is toch wel het toenemende aantal cybercrimegevallen. Het lijkt erop dat hackers vooral willen bewijzen dat ze kunnen binnenkomen. Ze maken zich niet zelden bekend aan hun slachtoffers, vaak random gekozen organisaties. Die organisaties zijn vervolgens gewaarschuwd, zou je denken. Toch doen die met de informatie vaak onvoldoende. De voor security verantwoordelijke ICT ers blijken dikwijls onvoldoende capabel om de beveiligingsproblemen op te lossen. Dat komt doordat ze anders naar beveiliging kijken dan hackers. Legal hackers in huis halen is daarom een goede keuze. Het gevaar komt niet altijd van buitenaf. Gemeentes, bijvoorbeeld, krijgen steeds vaker te maken met frauderende ambtenaren, burgemeesters en wethouders. We doen meer en meer onderzoek bij lokale overheden. U zult daar in het vervolg nog een mooi voorbeeld van tegenkomen. Ik heb ook goed nieuws: met genoeg aandacht voor integriteit bent u in staat om uw organisatie een stukje veiliger te maken. Integere werknemers en managers die het goede voorbeeld geven, spelen daarbij een belangrijke rol. En als u wel wat hulp kunt gebruiken bij uw risicomanagement, maak dan gebruik van onze partnership-pakketten. Hiermee borgen wij met u de relatie door aan u een vaste en deskundige collega te bieden. Een deskundige met verstand van zaken en die u helpt om interne én externe risico s beheersbaar te maken. Bent u klaar om de veiligheidsrisico s te beperken? Lees dan verder ter lering en vermaak. Geld verduisterd Een woningbouwvereniging schakelde ons in na een melding van een cateringmedewerkster. Zij was de opvolger van haar leidinggevende, die met pensioen was gegaan. De cateringmedewerkster wilde op een gegeven moment de opbrengsten van de catering afstorten. Op de financiële administratie kon zij het geld echter niet kwijt. Volgens haar administratieve collega s zouden de cateringmedewerkers al jaren geen geld meer op de financiële administratie hebben afgestort. Onze medewerkers voerden gesprekken met de betrokken werknemers. Hieruit bleek dat de voorganger van de cateringmedewerkster al jaren geen geld had afgestort, terwijl ze altijd had beweerd dit wel te hebben gedaan. De leidinggevende kon rustig haar gang gaan omdat er geen goede controle was. Onze medewerkers vroegen aan de opdrachtgever om de betrokken ex-werkneemster uit te nodigen voor een gesprek. De dame ging op de uitnodiging in. Koud nadat onze medewerkers betrokkene hadden uitgelegd waar zij met haar over wilden spreken, gaf betrokkene toe dat zij het geld niet had afgedragen. Zij gaf als reden dat haar zoon financiële problemen had en dat zij hem wilde helpen. Betrokkene toonde veel spijt en betaalde onze opdrachtgever het geld terug. Haar zoon zou zijn huis verkopen en met de overwaarde daarvan zou het geld worden terugbetaald. Dit geval toont aan dat een goede en structurele controle binnen de organisatie belangrijk is. Als bij onze opdrachtgever jaren eerder een goede controle was geweest, was de schade nooit zo groot geweest. Volg ons Alle diensten en actualiteiten overzichtelijk op een rij. Volg ons nu ook via onze nieuwe LinkedIn bedrijfspagina Juni 2013 Nummer 224

3 Uittreksels te koop Onze opdrachtgever, een gemeente ergens in Nederland, kwam naar ons toe na een opvallend verschijnsel. Op het secretariaat werkte een wat oudere dame. Zij had als taak om de uittreksels die de gemeente verstrekte aan burgers, af te rekenen. Na enige jaren begon het op te vallen: als de werkneemster in kwestie niet aanwezig was, was de omzet van het gemeentehuis een stuk hoger dan wanneer zij er wel was. Onze opdrachtgever vermoedde dat de dame van het secretariaat iets met de sterk schommelende omzet van doen had. Daarop stelden onze medewerkers een onderzoek in. Ondermeer werd een camera geïnstalleerd. Na een dag wierp dit al zijn vruchten af. Op de beelden was te zien dat de dame veel van het geld dat burgers voor de uittreksels betaalden, in haar broekzak of als ze een rok aan had in haar trui liet glijden. Emancipatie in de misdaad Het aantal vrouwen dat betrokken is bij misstanden, neemt toe. In 2012 steeg het aantal vrouwelijke criminelen van 18 naar 28 procent. Uiteraard kan dit verschijnsel enerzijds verklaard worden doordat er meer vrouwen werken. Maar ook landelijk gezien, komen er steeds meer meisjes en vrouwen in aanraking met de politie, zoals te lezen is in de Hoffmann Statistiek van april Organisaties doen er dus goed aan om bij fraude hun vizier niet alleen op mannen te richten. Onze medewerkers confronteerden de oudere dame met de beelden. Aanvankelijk ontkende de werkneemster dat zij iets met verdwenen geld te maken had. Uiteindelijk koos ze toch eieren voor haar geld: ze gaf toe dat ze het geld had gestolen. Onze medewerkers hadden al vastgesteld dat de dame bij een eerdere werkgever wegens diefstal ontslagen was. Hoewel het steeds om relatief kleine bedragen ging, heeft de diefstal door de werkneemster behoorlijke schade aangericht. Alle bedragen bij elkaar vormden een aanzienlijk omzetverlies. Daarnaast heeft de diefstal ook impact gehad op de andere werknemers in het gemeentehuis. De werkneemster was niet gescreend, omdat de kosten daarvan niet zouden opwegen tegen de baten. Daar denkt onze opdrachtgever nu wel anders over. Steeds meer gemeentes vallen terug op de diensten van Hoffmann. Het aantal onderzoeken bij kleine, lokale overheden is in 2012 met 10 procent toegenomen. Onderzoeken richtten zich zowel op burgemeesters en wethouders als op ambtenaren. Deze maakten zich met name schuldig aan lekken van informatie, diefstal en belangenverstrengeling. HOFFMANN STATISTIEK april Trends en cijfers op het gebied van fraude en preventie VEILIG DE CRISIS DOOR NEEM JUIST IN CRISISTIJD UW BEVEILIGINGSMAATREGELEN ONDER DE LOEP MEER VROUWELIJKE CRIMINELEN PLEGEN BEDRIJFSFRAUDE TOENAME VAN 10 PROCENT TEN OPZICHTE VAN 2011 RECESSIE WERKT FRAUDE IN DE HAND STEEDS VAKER FRAUDE OM FINANCIËLE REDENEN BIJNA TWEE KEER ZOVEEL PERSONEELSSCREENINGEN RUIM 500 SCREENINGEN VAN WERKNEMERS (IN SPE) AANTAL ONDERZOEKEN BINNEN DE OVERHEID NEEMT TOE KLEINE OVERHEDEN PROBEREN INFORMATIELEK IN TE DAMMEN Vertrouwen is goed, Hoffmann is beter Juni 2013 Nummer 224

4 Met klanten aan de haal Kennis van zaken Onze opdrachtgever, een directeur-grootaandeelhouder (DGA) van een verzekeringsbedrijf, was van plan om zijn bedrijf te verkopen aan de leden van zijn managementteam (MT-leden). 25 jaar geleden had hij het bedrijf opgericht. Nu wilde hij het ten gelde maken en er een goed pensioen aan overhouden. Het merendeel van de MT-leden had hij persoonlijk geworven en aangenomen. Zij waren een soort familie van hem geworden. Het bedrijf liep goed. Bij de managementbuy-out (MBO) hadden de MT-leden inzage in alle boeken. Uiteindelijk ging de MBO echter niet door. De DGA was teleurgesteld en begreep niet waarom de MT-leden hem in de steek lieten. Na de MBO was er wel wat veranderd in het bedrijf: de sfeer was minder aangenaam geworden en een aantal klanten bleef weg. Via via hoorde de DGA dat die klanten naar een onbekend bedrijf waren gegaan. Toen de DGA ons inschakelde, vermoedde hij dat er sprake was van bedrijfsspionage. Onze medewerkers voerden een sweep (die onderzoekt of er afluisterapparatuur is) uit. Deze gaf onvoldoende informatie. Tijdens een informatief onderzoek werd een eigenaar van het bedrijf bekend. Deze bleek een bekende te zijn van een van de MT-leden. Het betreffende MT-lid bleek na de mislukte MBO een aantal vage afspraken in zijn agenda te hebben staan. Uit observaties bleek dat het MT-lid tijdens die vage afspraken vergaderingen belegde bij het bedrijf dat de klanten had overgenomen. Tot ontzetting van de DGA waren daar ook andere werknemers bij betrokken. Zij waren op de hoogte van het nieuwe bedrijf en werkten er zelfs aan mee. Vervolgens bleek, uit een digitaal onderzoek, dat het bedrijf van onze opdrachtgever een open huis was. Informatie lekte via verschillende wegen naar de concurrent. Onze medewerkers besloten om met meerdere koppels met betrokken werknemers gesprekken te voeren. Ze confronteerden de werknemers met bewijs dat de oneerlijke concurrentie aantoonde. Uiteindelijk bekende een groot deel van de werknemers dat zij betrokken waren bij het nieuwe bedrijf. Zij wilden een eigen bedrijf starten met de klanten en bedrijfsmiddelen van onze opdrachtgever. Tijdens de MBO hadden de werknemers de bedrijfsresultaten gezien. De werknemers dachten dat het opzetten van een eigen bedrijf goedkoper was dan het overnemen van het bestaande bedrijf. De betrokken werknemers zijn ontslagen. Onze opdrachtgever heeft ze aan het concurrentie- en relatiebeding gehouden. Daarna heeft de opdrachtgever in samenwerking met onze consultants de gaten in het digitale systeem gedicht en de OBE-maatregelen (organisatorische, bouwtechnische en elektronische maatregelen) aangepast. In deze kennisrubriek leest u een voorproefje van een uitgebreid artikel dat op onze vernieuwde website staat. We gaan in dit artikel dieper in op zaken die wij tijdens ons werk zijn tegengekomen. Besparen op beveiligingskosten Veel organisaties hebben budget voor beveiliging. Dat besteden ze aan het dichttimmeren van de voordeur: er zijn hekwerken, camerasystemen en toegangscontroles. Maar werken die harde maatregelen eigenlijk wel? In onze ogen wordt de werking van de zachte aanpak, zoals het creëren van verantwoordelijkheidsgevoel bij medewerkers, onderschat. Met een juiste beveiligings- en integriteitscultuur kan een organisatie flink besparen op de beveiligingskosten. Dure camerasystemen schieten hun doel voorbij als medewerkers geen verantwoordelijkheid voor de veiligheid in de organisatie nemen. Voor een integere cultuur is stevig leiderschap van groot belang. Door de leiderschapcompetenties van de managers te verbeteren en medewerkers aan te spreken op hun gedrag, zet je als organisatie een eerste stap naar een meer integere cultuur. Hoffmann heeft ruime kennis en brede expertise op het gebied van Consultancy. Onze Consultants kunnen terugvallen op de ervaring van onze rechercheurs en ICT-specialisten. Daardoor zijn ze in staat om voor elke organisatie de best werkende beveiligingsmaatregelen te ontwikkelen Juni 2013 Nummer 224

5 Toevallige passant getuige van hack Een opdrachtgever, een grote vervoersorganisatie, kreeg te maken met hackers. Een groep hackers had ingebroken in de ICT-infrastructuren van de organisatie. Vervolgens had de groep onze opdrachtgever op de hoogte gebracht van de inbraak. Hierop hebben de interne ICT ers maatregelen genomen om hackers in het vervolg de toegang te blokkeren. De opdrachtgever schakelde ons in om te testen of de nieuwe maatregelen voldoende effectief waren. De opdrachtgever gaf onze ICT ers toestemming om in te breken in de ICT-infrastructuren. Onze medewerkers kropen in de huid van de hacker en voerden een pentest (penetratietest) uit. Hoewel onze opdrachtgever eerder door echte hackers gewaarschuwd was, vonden onze medewerkers een groot aantal mogelijkheden om in de ICT-infrastructuren van de organisatie te komen. Niet alleen de beveiliging van de ICTinfrastructuren liet te wensen over, ook de werknemers waren (via de telefoon) erg spraakzaam over gevoelige informatie. Onze medewerkers konden een groot deel van de administratie en bedrijfs-documenten downloaden. Het ging zelfs zo ver dat ze de tekst van de digitale schermen op de gevels van verschillende gebouwen konden aanpassen. Zo konden onze hackers zelfs een toevallige passant op de hoogte brengen van de hack. Onze opdrachtgever heeft samen met onze specialisten de zwakke punten weggewerkt. Ook heeft de opdrachtgever besloten om een legal hacker in dienst te nemen. Deze moet ervoor zorgen dat echte hackers geen kans krijgen. Legal hackers van Hoffmann Interne ICT ers kijken anders naar de beveiliging van uw ICT-infrastructuren dan hackers. Ook al heeft een organisatie nog zo n goed ICT-team, sommige zwakke punten worden nooit ontdekt. Onze ICT-Security specialisten hebben wel de bril van de hacker op. Een ICT- Security specialist komt als een normaal persoon de organisatie binnen. Meestal heeft zo n nieuwe medewerker weinig autorisaties. U geeft de ICT-Security specialist toestemming om, zonder dat de andere medewerkers dat weten, in de (ICT-)infra-structuren van de organisatie door te dringen. Een legal hacker van Hoffmann is een goed opgeleide ICT er die veel ervaring heeft met de werkwijzen van hackers. Dankzij het werk van de ICT- Security specialist komt u er als organisatie achter waar de zwakke plekken in uw (ICT-) beveiliging zitten. U kunt daarna gerichte maatregelen treffen. Bovenstaande laat goed zien dat het weinig zin heeft om een ethische code te hebben als er niets aan gedaan wordt om deze te laten leven binnen de organisatie. Alleen als er genoeg met de code wordt gewerkt, is het mogelijk om werknemers zo ver te krijgen dat ze de code naleven, ook als niemand kijkt. Een ethische code voorkomt niet per definitie fraude, maar feit is dat wij maar weinig opdrachtgevers van fraudeonderzoeken hebben die er in zijn geslaagd om de normen en waarden van de organisatie in de hoofden van de werknemers te krijgen en te houden Juni 2013 Nummer 224

6 Riskmanagement Integriteit is een kernwaarde van ons bedrijf Martin Top (Corporate Facility Manager), Bart Lohmeijer (Senior Risk Manager) en Therus de Villeneuve (Corporate Compliance Officer) over integriteit, veiligheid en risicomanagement bij Rabo Vastgoedgroep Rabo Vastgoedgroep, onderdeel van de Rabobank Groep, is een van de grootste integrale vastgoedondernemingen van Europa. Samen met de lokale Rabobanken heeft de Rabo Vastgoedgroep een sterke positie in de samenleving. Binnen de organisatie heeft de Rabo Vastgoedgroep een integrale benadering van integriteit, veiligheid en risicomanagement. Martin Top, Corporate Facility Manager, geeft aan dat zijn organisatie veel waarde hecht aan een integere bedrijfscultuur. Top: Integriteit hangt samen met kwaliteit. Met integriteit willen we net als met kwaliteit de dienstverlening verbeteren. We doen wat nodig is om schendingen te voorkomen en hebben graag integer, betrouwbaar en betrokken personeel. Dat werkt voor de klant én voor ons het best. Integriteit is een kernwaarde van het bedrijf, zegt Top. Met duidelijke richtlijnen voor medewerkers, probeert Rabo Vastgoedgroep inhoud aan het begrip integriteit te geven. We verlangen van onze medewerkers dat ze netjes omgaan met materiaal, collega s en klanten. Met de integrale benadering probeert Rabo Vastgoedgroep het aantal schendingen te beperken. Bart Lohmeijer, Senior Risk Manager, zegt: We willen medewerkers leren om zelf risico s af te wegen en ethische principes toe te passen. Informatiebeveiliging werkt het best als medewerkers trots zijn op het bedrijf. Medewerkers Lees het volledige interview op 6 ontwikkelen dan hun eigen principes met betrekking tot het geheimhouden van wachtwoorden en integer documentbeheer. Omdat wij hen die principes niet opleggen, worden ze veel beter nageleefd. Het is overigens wel belangrijk dat de leidinggevenden een voorbeeldfunctie vervullen. Top geeft een voorbeeld: Als een medewerker van onze toeleveranciers, zoals een liftreparateur, niet conform het regelement is gescreend, halen we m op bij de deur. We begeleiden m tijdens zijn werkzaamheden in het gebouw. De bezoeker valt onder de verantwoordelijkheid van de persoon die hem heeft aangemeld. Rabo Vastgoedgroep probeert niet alleen met bewustwording een betere cultuur te creëren: er wordt ook gescreend. De Villeneuve: Screeningen dragen bij aan een integer klimaat, de basis van een veilige organisatie. Het screenen van medewerkers past in de lijn van goede omgangsvormen en toegepaste soft controls. Wat de harde controls betreft, is Hoffmann van mening dat het betrekken van mensen bij integriteit essentieel is voor het effectief maken van maatregelen. De managers van Rabo Vastgoedgroep kunnen zich in die gedachte vinden. De Villeneuve: Vanaf de aanstelling en de introductiedag besteden we aandacht aan bewustzijn over integriteit, veiligheid en risico s Juni 2013 Nummer 224

7 Blogs Op de website van Hoffmann verschijnt iedere twee weken een nieuwe blog. Richard Franken, directeur, Maarten IJzermans, Unitmanager Consultancy & Opleidingen, en Bas de Vogel, Unitmanager ICT-Security, delen in die blogs hun bevindingen en tips over onderwerpen als fraude, integriteit, veiligheid en ICT-security. Recent verschenen blogs: Integriteit verbeteren? Door Maarten IJzermans Veel van Hoffmann s opdrachtgevers vertrouwen onterecht op de werking van de beveiligingsmaatregelen. Daardoor en omdat er onvoldoende gecontroleerd wordt, zijn de beveiligingsmaatregelen niet effectief. De security-manager kan een belangrijke rol spelen bij het effectief maken van de beveiligingsmaatregelen. Dat begint allemaal met aandacht voor integriteit. De waarde van screenen Door Richard Franken Een screening of achtergrondonderzoek is noodzakelijk als je als organisatie nieuwe werknemers aanneemt. Met een screening weet u zeker dat de persoon die tegenover u zit, is wie hij zegt te zijn. En hoe integer is die manager in spé eigenlijk? Is hij in staat om het goede voorbeeld te geven? Of heeft hij in het verleden al een paar keer uit de school geklapt op Twitter of Facebook? Mensen kunnen uw organisatie bedoeld of onbedoeld in gevaar brengen. Met een screening voorkomt u dat. Meer aandacht voor cybersecurity Door Bas de Vogel Informatie die op straat komt te liggen is meestal schadelijk voor de organisatie waarvan zij afkomstig is. Toch lees je iedere week in de krant een nieuw bericht over een serieus datalek. Het gaat dan over lekken die men ziet: er zijn ook duizenden lekken die onontdekt blijven. Niet gek dus dat Europees Commissaris Neelie Kroes onlangs het belang van cybersecurity voor organisaties onderstreepte. Zij gaf daarnaast aan dat ook landen wat beter hun best mogen doen: zij moeten volgens mevrouw Kroes de handhaving van beveiligingsregels en het onderzoek naar overtredingen beter regelen. Lees de volledige blogs op blogs. Zelftest Integriteit Met de partnership-pakketten van Hoffmann ontzorgt u uw organisatie op het gebied van risicomanagement voor een periode van drie jaar. Maak gebruik van de jarenlange ervaring van onze rechercheurs en de specialistische kennis van onze consultants. U krijgt altijd de juiste deskundigen over de vloer. Met een partnership-pakket maakt u interne en externe risico s in uw organisatie beter beheersbaar. Dat is de investering zeker waard: een onderzoek naar aanleiding van een incident kost veel meer. U heeft de keuze uit drie partnership-pakketten: basis, plus en premium. Op vindt u meer informatie over onze partnership-pakketten Juni 2013 Nummer 224

8 Workshop Fraudepreventie Altijd al een keer bij Hoffmann achter de schermen willen kijken? In de repressieve onderzoekspraktijk van Hoffmann blijkt regelmatig dat leidinggevenden allerlei fraudesignalen over het hoofd hebben gezien. Simpelweg omdat ze deze destijds niet in verband brachten met crimineel gedrag. Ook merken wij met enige regelmaat dat het management achteraf gezien eigenlijk wel wist dat bepaalde zwakke plekken in de organisatie meer aandacht verdienden. Daarnaast worden ons vaak allerlei vragen over de wet- en regelgeving gesteld. Die gaan dan bijvoorbeeld over welke onderzoeksmethoden er wanneer mogen worden toegepast. Of waarom het nu wel of niet beter is om op staande voet te ontslaan. De workshop Fraudepreventie is gericht op het vroegtijdig oppikken van fraudesignalen en het daadwerkelijk aanpakken van zwakke plekken en fraudeurs. De juridische aspecten hiervan komen daarbij uitgebreid aan de orde. Na afloop zijn de cursisten in staat om snel en doeltreffend in te grijpen waardoor grote financiële en/of imagoschade kan worden voorkomen. Inhoud Om fraudesignalen snel te herkennen en zwakke plekken weg te nemen, is het nodig dat de cursisten eerst een reëel beeld krijgen van de fraudemogelijkheden. Daarnaast moeten zij weten wat de beperkingen zijn van de beheersmaatregelen binnen hun organisaties en met welke wet- en regelgeving zij rekening moeten houden. Deze bewustwording wordt in de workshop Fraudepreventie op meerdere manieren teweeggebracht. Waar en wanneer? Locatie: Luidsprekerstraat 10, Almere. Data 2013: 12 september en 28 november Tijd: uur Kosten: 495,00 p.p. excl. btw, incl. lunch Meer weten of aanmelden? Voor meer informatie of telefonische reservering kunt u contact met ons opnemen via telefoonnummer Digitaal reserveren kan ook op Hoffmann beheert een geautomatiseerd relatie-systeem. De gegevens daarin gebruiken wij om overeenkomsten uit te voeren en om organisaties op de hoogte te houden van onze diensten en werkzaamheden. Neem alstublieft contact met ons op als u hierover vragen of opmerkingen heeft. Adreswijzigingen ontvangen wij graag per fax of met vermelding van het nieuwe én het oude adres. Hoffmann Recherchetips voor bedrijfsleven en publieke sector is een periodieke uitgave van Wie snel op de hoogte wil zijn van het laatste Hoffmann-nieuws, volgt HoffmannBV op twitter. Bezoekadres: Luidsprekerstraat 10, 1322 AX ALMERE Postadres: Postbus 60090, 1320 AB ALMERE Telefoon: (036) , fax: (036) adres: info@hoffmannbv.nl Website: Overname van artikelen is uitsluitend toegestaan met volledige bronvermelding.