Ex-werknemer Nederlandse vps-provider wist alle server- en klantgegevens

Auw. Een medewerker van hostingprovider Verelox uit Den Haag heeft alle servergegevens verwijderd, las ik bij Tweakers. Dat betekent dat ook alle klantgegevens zijn gewist, en mogelijk ook niet allemaal meer terug te halen zijn. Buitengewoon pijnlijk voor het bedrijf, want hierdoor moet Verelox druk aan de bak om alle servers weer te herstellen. Wat te doen?

Natuurlijk is deze medewerker persoonlijk aansprakelijk voor de schade. Een werknemer is normaal nooit aansprakelijk, maar dit is vrij evident de uitzondering voor opzettelijk of bewust roekeloos handelen. Zo lees ik dat hij backdoors had aangebracht om deze schade aan te kunnen richten. Dat doe je echt niet per ongeluk. In theorie is zelfs aangifte van het strafbare feit vernieling van gegevens (art. 350a Strafrecht, twee jaar cel) mogelijk.

Daarnaast zal dit moeten worden behandeld als een datalek: als persoonsgegevens worden gewist zonder dat er backups zijn (of als de backups óók worden gewist) dan is dat hetzelfde als bij ongeautoriseerde toegang. Zeker omdat het denkbaar is dat die admin een kopie van de data heeft meegenomen om te publiceren of te verkopen. Ook die schade kan worden verhaald.

Dit is wel een geval waarin het recht in theorie duidelijk is, maar in de praktijk niets oplevert. Want of er wat te halen valt, is natuurlijk vers twee. En de strafrechtelijke route levert je ook niet perse meer op. Je kunt je daar voegen voor een schadevergoeding, maar dat komt op hetzelfde neer als een eigen civiele schadeprocedure.

Het toont voor mij maar weer duidelijk aan hoe afhankelijk we zijn van digitale data en bijbehorende diensten, en hoe makkelijk we daarin machtsposities laten ontstaan. Onmisbare mensen moet je meteen ontslaan, vertelde een HR-manager me ooit. Dat geldt ook voor systeembeheerders. Alleen, hoe borg je je dataveiligheid tegen de persoon die de dataveiligheid moet borgen?

Arnoud

12 reacties

  1. hoe borg je je dataveiligheid tegen de persoon die de dataveiligheid moet borgen?

    Bepaalde zaken zouden alleen door de belanghebbende gedaan moeten worden. Bijvoorbeeld, als het gaat om confidentiality en integrity (de CI in CIA = Confidentiality, Integrity, Availability), dan zou alleen de belanghebbende de cryptografische sleutels voor encryptie en digitale ondertekening moeten bezitten. Als de belanghebbende dan zijn eigen belang schendt, is dat zijn eigen schuld en moet ‘ie het zelf maar weten. Als het gaat om availability (de A in CIA), dan zijn back-ups de oplossing; misschien niet alleen fysieke back-ups, maar ook organisatorische back-ups. Je wilt het liefst geen singe point of failure, bijvoorbeeld een enkel persoon die verantwoordelijk is voor / toegang heeft tot alle back-ups.

    Dit is ook een belangrijke reden waarom verplichte backdoors in cryptografie zo’n ontzettend slecht idee zijn. Hoewel de overheid ook jouw “veiligheid moet waarborgen” werken er bij de overheid ook mensen die niet direct belanghebbende zijn bij jouw veiligheid.

    Tot slot is transparantie belangrijk. De belanghebbende kan veel dingen niet zelf, is vaak zelfs geen ICT-expert, en heeft dus hulp nodig. De concrete vorm waarin die hulp wordt geboden (adviezen, handleidingen, software, hardware e.d.) moet in te zien zijn door, en begrijpelijk zijn voor andere experts. Voor software betekent dit bijvoorbeeld dat de broncode in te zien moet zijn. De belanghebbende moet de gegeven hulp toetsen bij andere, onafhankelijke experts. Dit is ook het vermijden van een single point of failure.

  2. De enige optie die ik kan bedenken is de backups door 2 personen laten regelen. De ene kan bij het deel waar een backup van gewenst is en de andere kan bij de backup en ze controleren elkaar om te zien of er wel backups worden gemaakt. Dit zorgt wel voor extra kosten en de vraag is of de klant die wil betalen.

  3. Nu vraag ik mij af hoe straks alle schade afgehandeld gaat worden. Voor Verelox is dat eenvoudig want de schade verhalen ze op hun ex-werknemer en eventueel de verzekering. Maar er zijn vast ook honderden klanten die van Verelox gebruik maakten en nu met opzet hun data kwijt zijn geraakt.

    Interessant zijn nu dan ook de algemene voorwaarden van Verelox en hoe daarin de afhandeling van de schade wordt gedaan. Verelox heeft ondertussen nu een standaard melding op al hun pagina’s staan maat het internet archief heeft een mooie kopie van hun AV. En die lijkt aan te geven dat de klanten zelf verantwoordelijk zijn voor het bijhouden van backups in geval van dataverlies. Ofwel, die schade zou dan niet bij Verelux te verhalen zijn. Mede omdat het hier ook nog eens B2B contracten zijn lijkt het mij dat deze klanten nu aardig in de kou staan. Of Verelux verwijst de klanten door naar de ex-werknemer voor het verhalen van die schade en wast zelf hun handen in onschuld.

    Maar de grote vraag vind ik dus hoeveel schade Verelux zelf uiteindelijk zal moeten betalen. En hoeveel klanten ze hierdoor gaan verliezen. Het zal mij niet verbazen als dit bedrijf failliet is voor het einde van dit jaar wegens deze toestand. En dat zou aangeven hoe kwetsbaar bedrijven uiteindelijk zijn die alleen in digitale goederen handelen…

  4. Dit bewijst voor mij dat je bedrijfsdata ALTIJD on premises/ in huis hoort te hebben, zonder uitzondering. Want een zichzelf respecterend bedrijf zou ALTIJD in de voorwaarden moeten hebben dat ze voor dataverlies niet (hoofdelijk) aansprakelijk zijn. Ze zullen natuurlijk wel ALTIJD hun best doen…

    En hierbij verwijs ik ook naar ALLE cloud-aanbieders, kijk hun voorwaarden maar na. Uiteindelijk komt het er op neer, ‘niet goed geld (en data ) weg’!

    Maar ja gemak dient de mens. Senseo generatie. De directie heeft iets moois bij en andere directeur gezien qua automatisering en geeft meteen opdracht dat ook maar te implementeren. Hoe vaak ik dat al meegemaakt heb pfft. En maar meelopen zonder na te denken en de basis bedrijfs regels vergeten. Als het niet stuk is ….

    1. Als je spreekt over verloren data, dan is er inderdaad geen schade. Echter, het gaat om de vervolgschade die ontstaat door het wissen van alle data, waaronder dus de provider die zijn lijst met klanten kwijt is en de diverse klanten die nu waarschijnlijk al dagen zonder deugdelijke hosting zitten en daarbij ook gegevens zijn verloren waardoor ze hun bedrijfsvoering niet kunnen voortzetten. Dus nee, het verlies van data zelf is geen schade. De gevolgen die optreden na het verlies van die data is wel schade en daar zal iemand verantwoordelijk gesteld moeten worden.

      En dat gaat leuk worden aangezien de provider zelf heeft aangegeven dat klanten zelf hun data moesten bewaken en zij dus niet verantwoordelijk zijn voor dataverlies. En het gaat om B2B afspraken dus er is geen consumentenbescherming van toepassing. Alle klanten van de provider moeten mogelijk hun schade gaan verhalen op de ex-beheerder die ondertussen geheel wordt kaalgeplukt… En waarschijnlijk ook de cel in gaat en mogelijk nooit meer in de ICT wordt aangenomen…

    2. Dat data niets is, betekent niet dat het wissen van data dus geen schade oplevert. Een concert is ook niets, maar als jij (op onrechtmatige wijze) een dirigent verhindert een concert te geven, ga je toch aardig wat schadeclaims krijgen. Denk aan de ticketprijzen van alle boze mensen en het salaris van die dirigent.

      1. Dat is niet echt een goed voorbeeld. Een dirigent tegenhouden (iets fysieks, een persoon zelfs) is wel tastbaar. Uiteraard is wat er bij dit bedrijf gebeurd er een in het kader van ‘worst nightmare come true’ en zowel het bedrijf als de klanten hebben nu een dik vet probleem. Wat ik me wel kan voorstellen dat, ondanks dat data ‘niets’ is, er wel een schadeclaim bij de ex werknemer gelegd wordt. Er is aantoonbaar inkomstenderving die je onmogelijk tot bedrijfsrisico kan rekenen. Of de ex werknemer dit kan betalen valt te betwijfelen. Maar als bedrijf zou ik persoonlijk er alles aan doen zodat dit figuur nooit meer een baan in de IT kan krijgen. Ik ben verder eigenlijk wel benieuwd wat dit op kan/gaat leveren in een strafzaak.

        1. Er zullen niet alleen schadeclaims komen bij de ex-werkgever maar ook bij de provider, die immers verantwoordelijk was voor een goede beveiliging van hun systemen en daarnaast iets van 99.9% uptime aanbood. Dat hun beveiliging zo zwak was dat een enkele beheerder alles onderuit kun halen kan de provider mogelijk aangerekend worden als onzorgvuldig gedrag, waarop ze dus mede-schuldig zijn aan de schade.

          Vervelend genoeg voor de provider kunnen de klanten met een schadeclaim tegen zowel de ex-medewerker en de provider gewoon het geld opeisen van de provider indien de ex-werknemer niets kan betalen. De schuldige partijen moeten dan onderling maar bepalen hoe ze tesamen de totale schuld gaan betalen. Voor de provider is dit mogelijk dusdanig kostbaar dat ze eraan failliet gaan…

          En dat is wat de ex-werknemer kennelijk wilde bereiken…

          1. Dit soort schadevergoedingen worden door de leverancier toch doorgaans beperkt tot iets van 1x of 2x het maandtarief plus “wat wij van onze verzekeraar eventueel uitgekeerd krijgen”?

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.