Research and Development 1/^Archief/2007-2008/wolf in schaapskleren
Inhoud
De wolf in schaapskleren
Hoe makkelijk is het frauderen door werknemers in de huidige softwarepakketten? Een werkstuk van Gaby Schaap en Joost Timmerman
Een begin van het onderzoeksverslag staat hierr
Inleiding
Bij beveiliging wordt vaak vooral gekeken naar gevaren van buitenaf. Firewalls, routers en software houden indringers buiten. Maar wat als het gevaar niet van buiten komt? Veel werkzaamheden binnen en bedrijf worden verricht met behulp van de computer. Echter is het gewone papierwerk nog steeds niet helemaal verdwenen. Omdat fraude met papierwerk minder snel opvalt, zijn er inmiddels steeds meer bedrijven die het proberen te laten verdwijnen, immers: op computer systemen zijn toegangsrechten te beheren en stappen van werknemers bij te houden ('loggen').
Er zijn meerdere soorten bedrijven te bedenken waarbij het niet ondenkbaar en vaak aantrekkelijk is om als werknemer creatief met de regels en middelen om te gaan, ten gunste van familie, vrienden of bekenden. Dit onderzoek beperkt zich tot tot twee takken waar fraude een rol kan spelen.
Sociale Woningcorporaties
De wachttijden voor woningen zijn op het moment érg lang. Voor een goede eengezinswoning heb je snel 20 jaar meettijd nodig. Zijn er mogelijkheden om het systeem te omzeilen? Kun je ervoor zorgen dat je oma toch nét iets eerder in een prachtige aanleunwoning komt te wonen dan de rest van de wachtende bejaarden?
Softwareontwikkelaars
Voor het gebruik van betaalde software is vaak een licentie nodig. Betaalde software is vaak goed ontwikkeld en daar hoor je voor te betalen. Veel veel grote en bekende software pakketten zijn op internet wel illegale versies te vinden maar veelal zijn deze toch beperkt omdat diensten van de ontwikkelaar (denk aan updates of online toepassingen) niet werken. Een licentie kan je aanschaffen maar waar komen ze eigenlijk vandaan? Is het voor werknemers mogelijk om aan, een door het bedrijf geaccepteerde, licentiesleutel te komen?
Software dienst aanbieders
Op dit moment is de tendens in de IT wereld dat veel meer toepassingen niet meer geïnstalleerd worden op een computer maar via de browser kunnen worden gebruikt. Deze webapplicaties kunnen openbaar zijn zoals de applicaties van Google maar kunnen ook op maat worden gemaakt. Deze software draait op een server (bij de klant zelf of bij de software ontwikkelaar/aanbieder) waar ook alle gegevens kunnen worden opgeslagen. Hebben werknemers van het software bedrijf toegang tot deze gegevens als die op hun server staat? Kunnen databasegegevens worden uitgelezen of aangepast zonder dat de klant (en eigenaar van de gegevens) hier van af weet.
Onderzoeksplan
Het onderzoeksplan is te vinden op deze pagina.
Tijdsplanning
Hier staat de agenda/tijdsplanning: KLIK!
Literatuuronzerzoek
Hier staan de resultaten van het literatuuronderzoek KLIK!
Bedrijven voor praktijkonderzoek
Woningcorporatie Vivare te Arnhem
Mail gestuurd naar teamleider Gaby, hopelijk kan zij een eventuele contactpersoon aanwijzen.
Mijn teamleider stelt het volgende voor:
Joost belt met Bestuur en Staf, telefoonnummer: 026 - 384 47 10
Vraagt of hij met de mananger ICT of wie er dan ook over gaat mag praten over het onderwerp.
Mij erbuiten houden, tot op het gesprek, en wel melden dat ik hier werk, maar dat ik verder niet bij de gesprekken aanwezig zal zijn. Alleen bij het verwerken van de onderzoeksresultaten.
Mijn teamleider is bang dat we anders geen gesprek zullen krijgen.
groetjes,
Gaby
Ze willen het net als Magensis intern overleggen. Mailtje mag naar c.schalk@vivare.nl
Magensis Software Solutions B.V.
Martin de Graaf heeft aangegeven intern te overleggen over deelname als we ze informatie sturen over de omvang van het project, de uitvoering ervan en wat er met de gegevens gedaan wordt.
| Brief aan Magensis |
|---|
|
Beste Martin, Na aanleiding van ons telefoongesprek stuur ik u een beschrijving van het onderzoek dat Gaby en ik proberen uit te voeren. Aan de universiteit volgen wij een vak waar een serie van onderzoeken wordt uitgevoerd met betrekking tot veiligheid. Er wordt gekeken naar de veiligheid van RFID chips, draadloze netwerken, usb-sticks et cetera. De meeste van deze onderzoeken zijn gericht op gevaren van buitenaf. Ons onderzoek gaat meer over interne beveiligingsmaatregelen. Hoeveel rechten hebben werknemers op het gebruikte computersysteem en hoe gaan deze ermee om? Dit onderzoek wordt uitgevoerd op twee (/drie) verschillende soorten bedrijven. Bij sociale woningcorporaties worden huizen toegewezen aan klanten aan de hand van een wachtlijst, kan deze wachtlijst gemanipuleerd of omzeilt worden om een bevriende klant aan een huis te helpen? Bij software ontwikkelaars zouden werknemers misschien licenties kunnen uitdraaien zonder de verkoopafdeling daarvan te verwittigen. Bij software ontwikkelaars die webdiensten aanbieden op hun eigen servers kan het gevaar spelen dat werknemers tijdens onderhoud of abusievelijk gegevens van een klant onder ogen krijgen. Van de website van Magensis begrijp ik dat jullie software op maat en webdiensten aanbieden. Ik stel mij dan zo voor dat het on-geautoriseerd uitdraaien van licenties geen rol speelt maar de beschikking over data van klanten wel. Wij zijn benieuwd naar de technische en/of sociale beveiligingen die voorkomen dat deze gegevens ongeoorloofd worden gelezen, met name bij gebruikers die veel beheersrechten hebben bijvoorbeeld in verband met onderhoud. Het practische deel houdt in dat we graag enkele werknemers een enquête zouden laten invullen en met misschien met iemand van systeembeheer zouden praten. Ik gok dat dit maximaal 3 fte zal kosten. Met de uitkomsten van deze gesprekken/de enquête zullen we proberen een analyse te maken van de situatie, en eventueel kijken hoe dit verbeterd kan worden. Het is gebruikelijk dat onderzoek aan de universiteit openbaar is. In dit geval is dat ook zo, maar het zal niet gepubliceerd worden. Het kan dus bekeken worden door geïnteresseerden maar het zal hoogst waarschijnlijk alleen voor educatieve doeleinden gebruikt worden. Natuurlijk zullen wij er op toezien dat er geen gevoelige informatie in het rapport komt te staan en zullen alle resultaten anonimiseren. Eventueel is de constructie mogelijk dat potentieel gevoelige informatie in een appendix wordt geplaatst welke wel geheim blijft. Ik wil u nog van harte bedanken dat u dit onderzoek in ieder geval intern wilt bespreken en hoop dat u het een ook leerzame studie vindt. Als u verder nog vragen heeft kunt u contact opnemen met mij via dit emailadres of wellicht wilt u onze begeleiding wat vragen stellen (http://www.cs.ru.nl/E.Barendsen/). Met vriendelijke groet, Joost Timmerman mede namens Gaby Schaap |
Woningcorporaties overig Arnhem/Nijmegen
Mijn teamleider kwam met de suggestie dat Joost contact op zou nemen met Vivare, aangezien het voor mij misschien 'onzuiver' zou zijn om contact op te nemen betreffende de mogelijkheden tot frauderen in mijn functie als Verhuurder.
Echter, voor de andere corporaties kan ik uiteraard als contactpersoon fungeren. Toch lijkt het me handig om voor de corporaties die we benaderen (Portaal? Talis? Woongenoot? Vivare?) een standaard e-mail te maken die wij naar deze kunnen sturen.
Dit wilde ik even hier doen.
| Brief aan corporaties |
|---|
|
LS. Als studenten van de Radboud Universiteit Nijmegen, opleiding Informatiekunde, zijn wij bezig met een onderzoek naar frauderen in het bedrijfsleven. 'Wij' zijn Joost Timmerman en Gaby Schaap, eerstejaars studenten. Voor het vak "Research and Developement" werken wij een casus uit met als thema 'Security'. Het gaat om de veiligheid van softwaresystemen, chips, identificatiemiddelen, etc. Als onderwerp voor onze casus hebben wij gekozen 'Het frauderen op de werkvloer'. Het onderzoek dat wij willen doen heeft als doel het analyseren van de huidige beveiliging en waar nodig en mogelijk, onderzoek doen naar verbetermogelijkheden. De bedrijven die wij benaderen om deel te nemen aan ons onderzoek, zijn van 3 verschillende soorten: woningcorporaties, softwaredesigners en database-bouwers. Elk van deze soorten bedrijven, kampt met een fraude-risico. Wij hebben een drietal voorbeelden bedacht waar we ons in willen verdiepen. Het is voor een medewerker Verhuur bij een corporatie misschien aantrekkelijk (en wie weet makkelijk?) om bekenden aan een huis te helpen en deze de lange wachtrij te laten omzeilen. Voor een softwaredesigner kan het gemakkelijk zijn om een dure softwarelicentie gratis aan familie en vrienden te verstrekken. Hoe veilig zijn database gegevens als het beheer ervan is uitbesteed aan een derde? Uw bedrijf is als woningcorporatie een interessant bedrijf voor ons onderzoek. Wij zouden u dan ook graag verzoeken deel te nemen aan het onderzoek dat zal bestaan uit de volgende onderdelen:
Het is gebruikelijk dat onderzoek aan de universiteit openbaar is. In dit geval is dat ook zo, maar het zal niet gepubliceerd worden. Het kan dus bekeken worden door geïnteresseerden maar het zal hoogstwaarschijnlijk alleen voor educatieve doeleinden gebruikt worden. Natuurlijk zullen wij er op toezien dat er geen gevoelige informatie in het rapport komt te staan en zullen alle resultaten anonimiseren. Eventueel is de constructie mogelijk dat potentieel gevoelige informatie in een appendix wordt geplaatst welke wel geheim blijft. Wij willen u alvast van harte bedanken als u nadenkt over deelname. Als u verder nog vragen heeft kunt u contact opnemen met ons via dit emailadres of wellicht wilt u onze begeleiding wat vragen stellen, dit kan door contact op te nemen met Dr. E. Barendsen (http://www.cs.ru.nl/E.Barendsen/). Met vriendelijke groet, Joost Timmerman en Gaby Schaap |
Bovenstaande mail verstuurd naar:
Portaal: info@portaal.nl
Talis: postbus@talis.nl geweigerd...
Volkshuisvesting Arnhem: info@volkshuisvesting.nl
Omnia Wonen: infoarnhem@omniawonen.nl (deze mail is wel goed gegaan, hier had ik de fout al ontdekt (zie onder).)
Woongenoot: info@woongenoot.nl
Standvast Wonen: info@standvast.nl
Woningbouw Stichting 'De Gemeenschap': info@wbsg.nl
Rectificatie-mail aangezien Vivare in de ALGEMENE (?) mail werd genoemd. Was blijkbaar te duf om deze fout te zien.
| Rectificatie aan corporaties |
|---|
|
t.a.v. leidinggevende/verantwoordelijke ICT-afdeling. LS. In de eerder naar u gezonden mail met als titel "Onderzoek Studenten Radboud Universiteit Nijmegen" is een fout geslopen. Aangezien wij meerdere corporaties aanschrijven om mee te werken aan ons onderzoek, is in de onderstaande zin de naam van de corporatie 'Vivare' gemeld. Dit had 'Uw corporatie' moeten zijn. Ik hoop dat u deze slordige fout niet meeneemt in uw overweging om mee te werken aan ons onderzoek. Wij zijn terdege geïnteresseerd in uw corporatie en wij hebben niet de indruk willen wekken 'zomaar wat bedrijven aan te schrijven'. Elke corporatie die aangeeft mee te willen werken aan ons onderzoek zal dat ook kunnen doen. Hoe meer (praktijk)informatie wij vergaren, hoe beter ons beeld van het geheel in de corporatiewereld. Het gaat om de zin: "Vivare is als woningcorporatie een interessant bedrijf voor ons onderzoek. Wij zouden u dan ook graag verzoeken deel te nemen aan het onderzoek dat zal bestaan uit de volgende onderdelen". Met vriendelijke groet, Gaby Schaap |
PS: het is CORPORATIES, en niet coörporaties!)
Enserve
Misschien kunnen we Enserve ook aanschrijven, als database bouwer van het geheel (corporatie-breed in onze scope)? Zal hier even een mailtje neerplempen dat we kunnen sturen eventueel.
E-mailadres: post@enserve.nl
