Westerse bedrijven hebben er een handje van om vertrouwelijke en gevoelige data door te spelen naar particuliere ondernemingen in het buitenland, als ze oude servers en andere computerapparatuur afdanken en nieuwe hardware aanschaffen.
Dat zegt een IT-expert op anonieme basis tegen Business Insider. De data die zo in vreemde handen komen, zijn in theorie goud waard voor hackers.
Business Insider sprak met een IT-expert die gevestigd is in Roemenië. Het gaat om een persoon die werkt bij een bedrijf dat IT-hardware een tweede leven geeft. Oude apparatuur wordt opgekocht in onder meer Spanje, de Benelux en het Verenigd Koninkrijk.
Na een opknapbeurt wordt deze apparatuur weer doorverkocht aan klanten die genoegen nemen met gereviseerde tweedehands spullen.
De IT-expert merkt naar eigen zeggen regelmatig dat apparatuur die formeel zou moeten zijn opgeschoond in de praktijk nog waardevolle bestanden bevat.
Database met Nederlandse zorggegevens
De afgelopen drie jaar heeft de IT-expert onder meer de volgende dingen onder ogen gekregen, claimt hij.
- Een bijna complete database met gegevens over de basisverzekering van de Nederlandse zorg, met persoonsgegevens, adressen en medische data.
- Codes, software en procedures voor verkeerslichten en spoorseinen in een aantal grote Spaanse steden.
- Data van creditcards van klanten, inclusief adressen en frequente aankopen, van een grote Britse supermarktketen.
- Het vrijwel volledige werknemersbestand, inclusief toegangscodes voor pasjes, van een groot Europees bedrijf in de luchtvaartindustrie.
De bron die Business Insider sprak wil anoniem blijven, omdat hij verwacht dat klanten van wie apparatuur wordt ingekocht het niet fijn vinden als ze mogelijk in verband worden gebracht met laks beleid op het gebied van dataveiligheid.
Twee onafhankelijke bronnen op het gebied van cybersecurity, technologiedirecteur Nir Giller van CyberX en technologiedirecteur Andrew Tonschev van Darktrace, bevestigen tegenover Business Insider dat hetgeen de Roemeense bron schetst, niet ongebruikelijk is en geloofwaardig overkomt.
Servers huren
De IT-expert die in Roemenië is gevestigd, geeft aan dat hij soms dingen tegenkomt die zo gevoelig zijn, dat hij contact opneemt met het bedrijf waarvan de afgedankte apparatuur is gekocht. "In de meeste gevallen stuit je op ongeloof. Dit kan ons niet gebeuren, is de reactie. We zijn goed beschermd."
Het probleem heeft hoofdzakelijk te maken met de manier waarop grotere bedrijven gebruikmaken van servercapaciteit. Vaak bezitten ze die niet zelf, maar huren ze servers van gespecialiseerde bedrijven.
Na afloop van de huurperiode blijven de servers vaak bij de verhuurder. Die wordt geacht gevoelige data te vernietigen. Ook worden oude servers aan het einde van de garantieperiode vaak massaal vervangen voor nieuwere modellen.
In beide gevallen is de normale procedure dat oude servers worden leeggemaakt door gecertificeerde experts met speciale software. Maar op dit punt worden regelmatig fouten gemaakt of worden slordigheden over het hoofd gezien. Gevolg is dat ogenschijnlijk geschoonde apparatuur toch nog oude databestanden bevat.
"Westerse landen schieten vaak institutioneel tekort bij het beveiligen van gevoelige data", zegt de IT-expert. "Vanuit het perspectief van hackers loont waarschijnlijk meer om afgedankte bedrijfshardware op te kopen, dan om ingewikkelde pogingen te doen om door beveiligingssystemen heen te komen. Er is een gerede kans dat je interessante data tegenkomt op zogenaamd geschoonde apparatuur."