6 augustus 2007

Vertrouwelijke documenten (soms zelfs geheime documenten) worden steeds vaker gelekt via het gebruik van peer-to-peer netwerken op computers waar de betreffende gevoelige documenten zijn opgeslagen. Het probleem van het onbewust lekken van documenten via P2P-netwerken is 'a whole lot worse than many government and corporate IT managers believe', zo zegt Eric Johnson, hoogleraar 'Operations Mnaagement' aan het Center for Digital Strategies van Tuck School of Business (Dartmouth College). Het probleem, zo zei Johnson het Committee on Oversight and Government Reform van het Huis van Afgevaardigden, vloeit voort uit de installatie van P2P-software om de computers van tele- en thuiswerkers. Dus eigenlijk iedereen die van huis uit het bedrijfsnetwerk benadert. 'P2P file-sharing networks represent a significant and poorly understood threat to business, government and individuals', zo stelde Johnson. 'Every employee, contractor, customer or supplier is a potential weak link'. Wesley Clark, een gepensioneerd generaal, nu een van de directeuren van Tiversa Inc., een leverancier van monitoring software voor P2P-netwerken, vertelde de commissie dat 'he was able to access more than 200 sensitive government documents from file-sharing networks in a matter of hours'. Clark vertelde dat hij geheime tekeningen vond van de netwerk-infrastructuur van het Pentagon, compleet met IP-adressen en scripts voor het wijzigen van wachtwoorden, en informatie over de audits van het informatiebeveiligingssysteem van het Ministerie van Defensie.

De ontdekte documenten tijdens de uitgevoerde search van Clark waren 'simply what we found when we put the straw in the water', zo zei hij. 'The American people would be outraged if they were aware of what is inadvertently being disclosed on P2P networks'. Clark zei dat het gebruik van P2P-software door een contractant bij het Pentagon naar alle waarschijnlijkheid de oorzaak is van het lek. Daniel Mintz, Chief Information Officer van het Department of Transportation vertelde de commissie dat 93 vertrouwelijke documenten in maart gelekt zijn via een P2P-netwerk. De oorzaak was de installatie van LimeWire-software op de computer van een medewerker van het Departement, die thuis mocht werken. Mintz zei dat de muziek- en video-sharing software geinstalleerd was door de dochter van de medewerker. 'I found that 30 of the approximately 93 DOT-related documents were publicly accessible at the time via LimeWire or other P2P software by virtue of residing in a shared folder', zo vervolgde Mintz. Het lek kon ontstaan ondanks het gebruik van veiligheidstools en -programma's. 'None of these [security measures] were sufficient to prevent access to government documents when a young family member downloaded software that she did not realize would be capable of exposing these documents to anyone else using the same or compatible software', zei hij. Robert Boback, Chief Executive Officer van Tiversa, zei dat het probleem ook het bedrijfsleven teistert. Een voorbeeld is de erkenning van Pfizer in juni dat persoonlijke gegevens van ongeveer 17000 medewerkers via een P2P-netwerk toegankelijk waren, nadat de echtgenote van een medewerker de bedrijfscomputer thuis gebruikt had om een P2P-netwerk te gebruiken. De gegevens van ongeveer 15700 medewerkers werden door onbekende personen op dat netwerk gekopieerd. Mark Gorton van LimeWire zei dat zijn software 'contains several features designed to prevent inadvertent file-sharing, including the ability to prevent sharing of specific files or folders'. Gebruikers worden gewaarschuwd wanneer ze proberen directories te delen, die mogelijkerwijze prive- of andere vertrouwelijke gegevens bevatten. 'At Lime Wire, we continue to be frustrated that despite our warnings and precautions, a small fraction of users override the safe default settings that come with the program and end up inadvertently publishing information that they would prefer to keep private', zo vertelde hij. Chenxi Wang, een analiste van Forrester Research, zei dat 'despite a growing list of data leaks, some organizations continue to view the use of P2P networks by workers and contractors as a nuisance rather than as a security issue'. Hierdoor worden onvoldoende maatregelen genomen om dergelijke netwerken te controleren. Het meest verbazende is dat de meeste bedrijven er niet aan hebben gedacht om 'to shut down administrative privileges on all laptops and other client devices to ensure that users can’t download P2P software onto their systems'. Een paper van Eric Johnson over het lekken van documenten via P2P-netwerken kan hier worden bekeken. Is de situatie in Nederland beter ? Daar zijn niet direct gegevens voor, maar het is niet helemaal onmogelijk. In ieder geval wel iets om over na te denken. Er zijn al mogelijkheden genoeg om gegevens op straat te brengen. Een minder kan geen kwaad….