De Facebook-bedreiging

Vindt u die aandacht voor sociale netwerken ook zo verschrikkelijk overtrokken? Hebt u besloten dit fenomeen maar eens volledig te negeren? Bent u zelf nog nooit op Facebook, Netlog, LinkedIN of Hyves geweest omdat u wel betere dingen te doen had?
Wel, dan zit u helemaal fout. Of liever: u bent heel gevaarlijk bezig.

Wees gerust, ik ga hier de holle kreten rond Web 2.0, user generated content, crowdsourcing en tutti quanti niet naroepen. Het nut ervan voor zakelijk gebruik wordt schromelijk overdreven, dat ben ik met u eens. Maar sociale netwerken negeren, brengt grote risico's mee. Weet u namelijk dat waardevolle en zelfs bedrijfskritische gegevens door uw personeelsleden worden uitgewisseld via Facebooks, Netlogs of Twitters? Nee, dat weet u niet. Erger: uw personeelsleden weten dat zelf ook niet. Mensen zetten de meest intieme informatie op hun Hyves-pagina met de bedoeling om die alleen maar te delen met hun familieleden. Maar dan komt er een vriendschapsverzoek van een collega – en het is natuurlijk erg onbeleefd om die te weigeren. Al snel zit de hele kliek van kantoor samen op Facebook. Inbegrepen de ex-collega's die ondertussen bij uw belangrijkste concurrent werken. Hebben zij kwaad in de zin? Natuurlijk niet.

Op de website van Infoworld verscheen onlangs een ijzingwekkend verhaal. Het was een stap-voor-stap verslag van een geslaagde hacking bij een niet bij naam genoemde grote winkelketen. De aanval gebeurde op een vraag van het bedrijf zelf aan een beveilingsspecialist. Die begon met een stevig stuk social engineering via - jawel - sociale netwerken.
Aan de hand van gegevens op Facebook en Twitter achterhaalde de hacker wie op kantoor was en wie niet. Met als excuus een verzonnen afspraak met een afwezig personeelslid (waar hij allerlei persoonlijke details over wist) praatte hij zich het hoofdkwartier binnen. Vervolgens liet hij hier en daar (bij de toiletten, bij het koffiemachine) usb-sticks achter met 'interessante' etiketten zoals “loonadministratie”. Wie de usb-stick in zijn computer stopte besmette zijn pc met een rootkit die automatisch wachtwoorden via email door ging sturen. De hacker installeerde in het kantoor ook nog een wifi-basisstation. Uiteindelijk kreeg de hij toegang tot alle accountgegevens van zijn opdrachtgever. Fluitje van een cent.
Nu, da's simpel, denkt u: dan verbied ik Hyves toch gewoon? Heel wat bedrijven hebben dat al gedaan. Via de arbeidsvoorwaarden of gewoon via de firewall. Dat zal veel van uw jongere werknemers mateloos irriteren. En helpen doet het ook niet. Want het maakt die hacker écht niets uit of uw werknemers nu op kantoor of thuis hun Facebook-pagina's bijwerken.

U mag sociale netwerken dus niet negeren. Verbieden is geen optie. Wat u moet doen is ze begrijpen en doorgronden. Bepaal wat uw werknemers wél en niet mogen delen (géén mogelijk gevoelige gegevens, géén uitspraken die de reputatie van uw bedrijf kunnen schaden). En ze vervolgens daarvan overtuigen. Dat is heel wat moeilijker dan de firewall dichtdraaien. Maar veel keuze heeft u niet.

Dominique Deckmyn was twee decennia werkzaam in de it-journalistiek in België, Londen en de VS. Hij is nu manager van De Standaard Online