Ieder (beveiligings)systeem met gebruikers heeft een administrator. Dat is degene die alles kan en mag. Wijzigingen maken, exporteren, alles bekijken, alles aanpassen. De administrator is de baas. Hij heeft daarmee veel macht en een grote verantwoordelijkheid. In principe kan er maar één iemand de baas zijn. Maar is dat ook altijd zo?

In de praktijk komen we regelmatig tegen dat dat niet zo is en dat meerdere personen in een organisatie gebruik maken van de administrator logingegevens of administrator-rechten hebben gekregen. Gewoon, omdat dat makkelijk is en men zich niet bewust is van de risico’s die dat met zich meebrengt. Overigens moet ik daar wel bij opmerken dat dit meestal speelt bij kleinere systemen en dus niet bij de grote complexe systemen. Daar is het over het algemeen wel goed geregeld.

Praktijkvoorbeeld: wie krijgt de schuld?

Bij een organisatie met een camerasysteem gebruiken meerdere personen dezelfde (administrator) login voor de recorder van het camerasysteem. Al deze personen hebben dus toegang tot de live en opgenomen camerabeelden. Ze kunnen onbeperkt aanpassingen doen of bepaalde instellingen of beelden wissen. En zo kan belangrijk bewijsmateriaal (bewust of onbewust) worden vernietigd. Het systeem kan zelfs volledig onbruikbaar worden gemaakt. Maar wie heeft het dan gedaan? Al deze mensen gebruiken dezelfde inloggegevens, dus ook de activiteitenlog biedt geen uitkomst. Het is immers altijd ‘dezelfde’ persoon. Het mag duidelijk zijn dat dit een ongewenste situatie is.

AVG wetgeving extra stimulans voor gebruikersbeheer

Met het in werking treden van de Algemene Verordening Gegevensbescherming (AVG) is er een belangrijke reden bij gekomen om uw gebruikersbeheer goed op orde te hebben. Persoonsgegevens (waaronder dus ook camerabeelden) mogen alleen toegankelijk zijn voor personen die er ook iets mee moeten doen (verwerken). En het moet herleidbaar zijn wie wat wanneer heeft gedaan. Overigens is een gedegen hiërarchie in de gebruikersstructuur niet alleen in de zakelijke sfeer van (cruciaal) belang. Ook privé blijken we het lang niet allemaal op orde te hebben en gebruiken vaak meerdere personen (gezinsleden) dezelfde login. Denk bijvoorbeeld aan uw mobiel, Netflix account of het alarmsysteem. Iedereen die de toegangscode heeft, is eigenlijk de administrator en komt overal in. Bedenk goed of u dat wel wilt…

Werken met gebruikersgroepen beperkt risico

Met veel gebruikers is het makkelijk om gebruikersgroepen te maken. Individuele personen krijgen een eigen login en kunnen worden toegevoegd aan een groep met specifieke rechten. Personen kunnen ook eenvoudig uit het systeem worden verwijderd door de individuele login te verwijderen. De andere groepsleden zullen hun rechten gewoon behouden. Maar het verwijderen van gebruikers uit het systeem blijft wel een menselijke handeling. Een handeling die vergeten kan worden, met als gevolg dat oude gebruikers lange tijd of zelfs eeuwig hun login behouden. Dat is een kwalijke zaak en vormt een behoorlijk risico voor het systeem. Door gebruik te maken van een gemeenschappelijke database, door bijvoorbeeld het HRM systeem eraan te koppelen, kan het risico hiervan beperkt worden.

Wachtwoordgebruik blijft een gevoelig punt

En dan is daar nog de kwestie van de wachtwoorden. De complexiteit van die wachtwoorden is soms ver te zoeken. Wachtwoorden als 1234 of 0000 kom ik nog regelmatig tegen. Het probleem zit ‘m vooral bij oudere systemen, die geen aanpassing – naar complexere en grotere wachtwoorden – vereisen van het standaard ingestelde administrator wachtwoord. En dan blijkt de mens vaak gemakzuchtig te zijn en blijft het standaard ingestelde simpele wachtwoord behouden. Totdat het misgaat… De complexiteit en lengte van wachtwoorden doet er écht toe. Ook helpt het als wachtwoorden steeds uniek en niet-repeterend zijn. Hackprogramma’s proberen gewoon alle mogelijke wachtwoordcombinaties van letters, cijfers en leestekens om binnen te komen. Hoe langer en gekker je wachtwoord is, hoe langer het duurt voordat ze binnen zijn. Online zijn inmiddels bestanden beschikbaar met miljoenen wachtwoorden; ooit gehackt, of gewoon omdat ze vaak gebruikt worden. Er zijn gelukkig ook verschillende hulpmiddelen beschikbaar om wachtwoordbeheer beter en eenvoudiger te maken.

Neem maatregelen

Gebruikers zijn overal; op het werk en thuis. Maar niet iedereen hoeft alles te kunnen en niet iedereen mag overal bij (denk aan privacywetgeving). Denk daarom goed na over een passende gebruikersstructuur met een duidelijke hiërarchie. Nieuwere systemen wijzen ons vaak al op de risico’s en sturen ons in de goede richting, maar bij oudere systemen zijn we vaak het slachtoffer van onze eigen nalatigheid. Wacht niet totdat het te laat is!