Onze systeembeheerder heeft alles versleuteld, wat nu?

pgp-bericht-encryptie-versleutelingEen lezer vroeg me:

Onlangs is onze systeembeheerder ontslag aangezegd vanwege allerlei negatieve zaken die ik liever niet toelicht. Zijn opvolger meldde ons vanochtend dat alle belangrijke bestanden zijn versleuteld, inclusief de backups. De ex-beheerder zelf zit thuis en weigert ieder contact. Wat kunnen wij het beste doen?

Helaas komt het wel vaker voor dat een ontslagen medewerker op zijn laatste werkdag de nodige schade aan kan richten. Maar waar dat meestal blijft bij een vernielde kantoorruimte of bekraste auto’s, kan een systeembeheerder digitaal behoorlijk wat meer schade aanrichten.

Deze beheerder lijkt geïnspireerd door de Californische collega uit 2008 die alle routers van de gemeente San Francisco saboteerde door de toegang te blokkeren met een alleen aan hem bekend wachtwoord. Die werd in 2010 tot 4 jaar cel veroordeeld wegens ‘hacken’, als ik het goed lees een Californische wet tegen denial-of-service aanvallen.

Bij ons zo zoiets ook denkbaar zijn, hoewel ik het hier eerder zou gooien op het misdrijf vernielen van gegevens (art. 350a Sr), waar ook het “ontoegankelijk maken” van die gegevens onder valt. Aangifte doen dus, zou ik zeggen. Natuurlijk kun je als werkgever ook zelf een procedure opstarten bij de rechter: het plegen van misdrijven tegen je werkgever is ook onrechtmatig, en je kunt de rechter dan vragen op straffe van een dwangsom de verplichting op te leggen een en ander te ontsleutelen.

Voorkomen is beter dan voor laten komen (zogezegd), maar het is helaas erg ingewikkeld om te zorgen dat zoiets niet kan gebeuren. Een systeembeheerder zit in een unieke positie: hij of zij kán overal bij en kán alles installeren en doen dat hem goeddunkt. Zeker bij een wat kleiner bedrijf zijn de controlemogelijkheden nihil, je moet zo iemand dus vertrouwen in die functie. Bij een groter bedrijf kun je met meerdere toezichthouders werken, maar zelfs dan zijn er trucs te over. Uiteindelijk komt het denk dan neer op hetzelfde als diefstal door je personeel: je moet erop vertrouwen dat het niet gebeurt.

Arnoud

36 reacties

  1. En dat is waarom er in de US bewakers bij je kantoor komen staan als je ontslagen wordt, om zeker te weten dat je alleen je spullen pakt en verder niks meer kan doen. Wel even zorgen dat de accounts ook per direct geblokkeerd worden 🙂

    1. De meeste kleine bedrijfjes hebben geen bewakers. En zelfs als wordt je fysiek uit het pand verwijderd. Ooit gehoord van een dodemansknop? Of extra accounts? Een doortrapte systeembeheerder hoeft geen fysieke toegang te hebben om schade aan te richten.

    2. Wel van Amerikaanse contacten gehoord die ontdekten dat ze ontslagen waren, omdat ze niet meer in hun accounts kwamen ’s ochtends. Meteen gesprek en buiten de poort gezet. Daar konden ze wachten tot de beveiligign met hun privé bezittingen kwamen die uit hun bureaulades werden gehaald. Als ze iets misten konden ze een verzoek indienen. Bij ontslag nemen gebeurt hetzelfde alleen dan niet zozeer uti angst voor wraak, maar omdat men als de dood is dat je bedrijfsgeheimen mee neemt.

      Toen ik ontslag nam, was de eerste vraag of ik zo goedmogelijk alle werkzaamheden wilde overdragen en of ik niet twee weken later bij die nieuwe werkgever kon beginnen, omdat er zoveel dossiers waren waar ik alleen kennis van had. Een stuk gezondere situatie, waar wellicht mensen wel eens misbruik van kunnen maken.

        1. Ook die keer toen ik ontslag kreeg heb ik gewoon mijn projecten die liepen afgemaakt. Werd wel langzaam steeds rustiger. Kwestie van vertrouwen, ik heb gewoon netjes alles afgemaakt.

          In de VS is tussen de reacties bij ontslag nemen en krijgen echter niet veel verschil. Bij beide wordt je naar de uitgang geëscorteerd.

          1. In de VS is tussen de reacties bij ontslag nemen en krijgen echter niet veel verschil. Bij beide wordt je naar de uitgang geëscorteerd.

            Dat lijkt me sterk want dat heeft totaal geen nut. Als ik ontslag neem dan heb ik daar vantevoren over nagedacht en dus al lang en breed de tijd gehad om welke informatie dan ook voor mezelf veilig te stellen.

  2. Er is wel enige preventie zonder bewakers is mogelijk. De systeembeheerder moet standaard een (beveiligd) bestand met alle wachtwoorden bijhouden en het wachtwoord van dat bestand aan de directie bekend maken en houden. De directie dient dan periodiek te controleren of laten controleren of dit klopt en in ieder geval voordat de systeembeheerder ontslag wordt aangezegd alle wachtwoorden (laten) wijzigen en controleren of er geen extra accounts en dergelijke zijn. Als je bij nader inzien de systeembeheerder helemaal niet vertrouwd zou je belangrijke apparaten en servers, toepassingen vanuit de fabrieksinstellingen opnieuw moeten installeren. Maar zo iemand had je eigenlijk niet mogen aannemen.

    1. Het lijkt me dat er altijd een systeem moet zijn dat ervoor zorgt dat als de systeembeheerder om wat voor reden dan ook niet beschikbaar is, de toegang tot IT-infrastructuur altijd gewaarborgd is. Maar goed, als de systeembeheerder dat vervolgens saboteert rest niets anders dan de juridische weg. Ik verwacht niet dat het lastig is bij een rechter je gelijk te krijgen in dit geval, maar het is natuurlijk gedoe waar je zonder kan. En als ik als systeembeheerder zou willen blijven werken zou ik me wel 3x bedenken alvorens dit soort grappen uit te halen. Als je nieuwe werkgever hier lucht van krijgt vlieg je er natuurlijk gelijk uit, en dat gaat allemaal een stuk sneller tegenwoordig met LinkedIn etc.

  3. Het aangehaalde verhaal van Chris Childs is toch wel iets anders. Hij was, met medeweten van iedereen de enige beheerder van het fibernetwerk van de stad wat hij beschouwde als een kunstwerk en waar hij, voor het ontwerp, ook een copyright op had gekregen. Iedereen wist dat hij de enige beheerder was, en dat ging jaren goed. Op het moment dat hij de wacht aangezegd kreeg weigerde hij (zoals als in al die jaren ervoor) om het wachtwoord aan zijn, in zijn ogen incompetente collegae te geven, maar heeft deze na zijn arrestatie wel aan de burgemeester gegeven. Hij had dus niets encrypt, hij gaf alleen geen toegang.

    Misschien een leuke zaak om je in te verdiepen als je jezelf eens verveeld 🙂 In de media werd Childs al snel afgeschilderd als de BOFH die overal bommetjes in routers had verstopt, maar het was meer de incompetentie van de gemeente, en het niet tech-savy genoeg zijn van de aanklagers en de sensatiezucht van de Media die deze zaak zo opgeblazen heeft.

    Maar goed, zoals altijd, weer met genoegen gelezen!

  4. Wat nu als de bestanden zijn versleuteld uit beveiligingsoogpunt en niet uit kwade bedoelingen, en de gegevens die de nieuwe beheerder nodig heeft zijn gedocumenteerd en aanwezig bij het bedrijf alleen niemand weet er van of waar het te vinden? Als ik ontslagen zou worden zou ik ook mogelijk niet zitten te wachten op contact met het bedrijf en wetende dat de verzochte informatie aanwezig is binnen het bedrijf denken van ‘zoek het lekker zelf uit’.

    Niet alles, ook niet bij ontslag, is per definitie met kwade bedoelingen. Kun je na ontslag verplicht worden te assisteren met informatie en kennis die mogelijk alleen jij hebt? En hoever kan dat gaan? Moet je voor die tijd gecompenseerd worden?

    1. Ik denk het wel. Dit omdat het bedrijf anders problemen krijgt. Jij was systeembeheerder, jij hebt de versleutelingsgegevens. Er moet dan een soort overdracht komen tussen de oude en de nieuwe systeembeheerder waarbij de gegevens netjes worden overgedragen. Het kan toch niet zo zijn dat door het ontslag van een werknemer niemand meer bij de gegevens kan.

    2. Inderdaad. Van de casus kunnen we niet afleiden dat er daadwerkelijk sprake was van kwade opzet. Het kan hier gewoon gaan om een admin die tijdens zijn dienstverband zijn werk juist goed gedaan heeft. Belangrijke bestanden en backups hóren tenslotte versleuteld te worden.

      Blijft nog wel het euvel dat hij lijkt te weigeren om de versleuteling over te dragen aan zijn opvolger. Maar we weten niet of hij (voor einde dienstverband) gevraagd is om deze overdracht te doen. En is zoiets nalaten voor een ex-werknemer echt strafbaar?

              1. Als diezelfde werknemer “per ongeluk” de sleutels van het pand was vergeten terug te geven dan konden ze die sleutels toch gewoon van hem vorderen? Ik zie niet in waarom dat bij digitale sleutels anders is dan bij fysieke.

    3. Een verstandige werkgever geeft je opdracht om gedurende de opzegtermijn jouw zaken over te dragen aan je vervangers. (Als de zaken bij het bedrijf goed geregeld zijn, staan de procedures op papier en is dat een zaak van controleren of alle documenten nog actueel zijn.)

      Na het einde van je dienstverband ben je niet helemaal vrij van je werkgever, er kunnen nog een aantal contractuele verplichtingen zijn. Geheimhouding is een heel bekende, maar meewerken aan een octrooiaanvraag is ook iets dat door bepaalde bedrijven gevraagd wordt.

    4. Hier is de informatie dacht ik juist niet ‘aanwezig bij het bedrijf’. Het kan natuurlijk dat daar onduidelijkheid over is. Weet niet precies hoe dat juridisch zit maar, zeker in het geval van een regulier ontslag, zal er toch een soort van minimale verplichting zijn om aan een goede overdracht van werkzaamheden mee te werken. Bijvoorbeeld op basis van redelijkheid en billijkheid. Zo niet, dan valt een goede overdracht wellicht nog onder zijn verplichtingen als werknemer. Toen hij nog werknemer was had hij ervoor moeten zorgen dat als hij weg zou vallen (ziekte, ongeval), iemand anders toch toegang tot de IT-infrastructuur zou hebben.

  5. Natuurlijk is de bewijslast ook een beetje lastig. Als de ex-beheerder gewoon alles ontkent dan wordt strafrechtelijke vervolging nog best vervelend omdat er dan de nodige onderzoeken moeten komen om bewijs te verzamelen. Immers, onschuldig tot het tegendeel is bewezen. Civielrechtelijk sta je sterker omdat dan de bewijslast minder zwaar is. Maar dan moet je als werkgever wel aantonen dat je schade hebt en berekenen hoe groot die schade is. Indien alles gewoon werkt ondanks de versleuteling is er eigenlijk geen enkele schade. Dan is de beheerder alleen vergeten de beveiligings-sleutels over te dragen. Mogelijk omdat er niemand was aan wie het overgedragen kon worden. In de meeste bevallen is het dan ook beter om een soort overgangs-regeling toe te passen. Eerst een extra beheerder inhuren die meekijkt en alles controleert. Daarna de oude beheerder de deur uit sturen…

    1. Nou, onschuldig tot het tegendeel bewezen is is al heel lang niet meer aan de orde, helaas. Als jij als buschauffeur of automobilist in botsing komt met een fietser, dan wordt jij als schuldige aangewezen omdat een fietser een zwakkere verkeersdeelnemer is. Pas als jij kan bewijzen dat de fietser de schuldige was (bijv. omdat hij/zij door rood sjeesde), dan wordt je vrijgesproken. Maar tot die tijd wordt je als schuldige gezien. Dus nee, onschuldig tot het tegendeel bewezen is gaat helaas niet altijd op.

      1. Eh, nee. Zelfs al reed de fietser door rood en heb je dat met je dashcam gefilmd, jij bent dan nog steeds schuldig omdat je als automobilist gewoon rekening moet houden met de zwakkere weggebruikers zoals voetgangers en fietsers. Je moet overmacht kunnen aantonen en je hebt tijdens rijles gewoon moeten leren om ook bij stoplichten gewoon op te letten of het overige verkeer zich wel aan de regels houdt.

        Sterker nog, als een auto van rechts komt aanrijden, door rood, dan kan hij een boete daarvoor krijgen maar jij die door groen reed had hem nog steeds voorrang moeten geven. Ook dan ben je al snel schuldig tenzij jij overmacht kunt aantonen doordat die auto met hoge snelheid aan kwam rijden.

        Je moet als automobilist gewoon altijd opletten. Alleen overmacht is een geldig excuus. Zeker met fietsers en al helemaal met fietsers jonger dan 14 omdat die altijd in het gelijk gesteld worden.

        Als de fietser schuldig is en jij kan geen overmacht aantonen dan krijgt de fietser nog steeds minimaal 50% van zijn schade, en maximaal 100%. Zo is de wet nu eenmaal en daarvan hoor je op de hoogte te zijn…

        1. Dus om een bewust roekeloze kamikaze-fietser de schuld te kunnen geven moeten we via de psychiater aantonen dat die fietser suïcidaal was en van plan was om bewust op jouw auto in te rijden?

          Met andere woorden, waarom krijgen fietsers een vrijbrief om alles te kunnen doen in het verkeer terwijl al vaak genoeg duidelijk is dat het om domme, naïeve, incompetente verkeersdeelnemers gaat met een totaal gebrek aan verkeersinzicht? Waarom mogen ze dan wel de openbare weg op?

          1. Nee, om zelf van de schuld af te komen hoef je alleen maar te bewijzen dat je helemaal niks had kunnen doen om het ongeluk te voorkomen. Overmacht dus. Maakt niet uit of die moedwillig tegen je auto aanreed of niet, het gaat er om wat jij had kunnen doen om het te voorkomen.

            En daarbij, de automobilist is gewoon (wettelijk verplicht) verzekerd voor dit soort grappen. Wat je wel zou kunnen doen is bij je verzekeraar bedingen dat je in dit soort situaties je schadevrije jaren niet kwijt raakt.

          2. Grappig die valse tegenstelling tussen ‘fietsers’ en ‘automobilisten’. Verreweg de meeste mensen met een auto hebben ook een fiets en hun verkeersinzicht lijkt me niet te veranderen afhankelijk van de wijze waarop ze zich voortbewegen. Verder zit er natuurlijk wel een gedachte achter die risicoaansprakelijkheid van de automobilist. Het idee is dat alleen het feit dat je met een auto aan het verkeer deelneemt voor het meeste gevaar zorgt. Als het verkeer slechts uit voetgangers en fietsers zou bestaan zou niemand een aansprakelijkheidsverzekering nodig hebben, maar zodra jij met je grote dure gevaarlijke koekblik aan komt zetten verpest je het eigenlijk allemaal. Een foutje van de fietser en er zit een deuk in je auto die meer kost dan zijn hele fiets bij elkaar. Verder heeft een fout van een fietser doorgaans slechts negatieve gevolgen voor hemzelf, terwijl slechts één moment van onoplettendheid van een automobilist al een dodelijk ongeval kan veroorzaken. Reden om extra voorzichtig te zijn dus. Verder heeft de wetgever het zo willen regelen dat automobilisten verplicht verzekerd zijn, en fietsers niet. Dat maakt het natuurlijk makkelijker om aansprakelijkheid bij de automobilist neer te leggen. Die betaalt dat natuurlijk wel meer premie, tenzij hij ook een fiets heeft want daar spaart hij weer een verzekeringspremie uit (als hij wil).

            Overigens hebben we het hier over civiele aansprakelijkheid. Het beginsel van ‘onschuldig tot het tegendeel is bewezen’ is iets uit het strafrecht.

          3. Nee, het maakt niets uit wat die fietser van plan was. Jij moet aantonen dat je geen enkele mogelijkheid had om het ongeluk te voorkomen. Zoniet, dan betaal je alsnog minimaal 50% van de schade aan de fietser.

            De redenering hierachter is simpel: fietsers zijn zeer kwetsbare deelnemers aan het verkeer. Daar moet je als automobilist gewoon rekening mee houden en je rijgedrag dus aanpassen als er fietsers in de buurt zijn. Besef ook dat deze regels vooral ook bedoeld zijn om jonge kinderen te beschermen die aan het verkeer deelnemen. Sowieso zijn kinderen beneden de 14 jaar in het verkeer vrijwel nooit schuldig. Het is aan de bestuurder gewoon de taak om goed op te letten en de wetgeving dwingt dit gewoon af door de automobilist al bij voorbaat aansprakelijk te stellen.

  6. Behalve een werknemer die al dan niet vrijwillig met ontslag gaat kan die werknemer natuurlijk ook tegen een boom rijden o.i.d. Met andere woorden: als je je bedrijf zo hebt ingericht dat je bij het plotseling verdwijnen van een werknemer niet meer bij je gegevens kan, dan heb je iets verkeerd gedaan.

  7. Ik heb nog steeds geen goed antwoord op de vraag gelezen.

    Als hij alles crypt omdat of nadat hij ontslagen is, dan ligt dat heel dicht bij vernieling. Maar als hij – als goed admin – alles al jaaaren crypt, en nu na ontslag zijn wachtwoord niet afgeeft, is dat dan dezelfde categorie? Of is dat een geval ‘had je maar beter op moeten letten’? Geldt dat ook nog als het voorbestaan van een bedrijf op het spel staat? Of krijg je op een gegeven moment een afwegen redelijk/billijk?

    1. Arnoud heeft beide vragen beantwoord. Als de admin uit wraak zaken versleuteld heeft is dat vermoedelijk strafbaar. Niet van dezelfde categorie is het geval dat hij jarenlang netjes zaken versleuteld heeft, maar na ontslag medewerking ter ontsleuteling weigert. Dan is hij niet strafbaar, maar is hij wel schuldig aan ‘slecht werknemerschap’, en is hij dus privaatrechtelijk aansprakelijk te stellen voor geleden schade.

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.