Kan een it-werknemer worden ontslagen als hij ransomware binnenlaat?

Een lezer vroeg me:

Verschillende steden in de VS zijn met ransomware besmet geraakt omdat personeel een besmette e-mailbijlage opende. Nu heeft één van deze steden een it-medewerker ontslagen. Zou dat in Nederland kunnen, iemand ontslaan omdat zijn gedrag tot een infectie leidde, bijvoorbeeld omdat hij een bijlage opende of een update niet installeerde?

Het lijkt me uitermate onwaarschijnlijk dat in Nederland iemand wordt ontslagen enkel vanwege het feit dat door zijn handelen een ransomware-infectie uitbrak.

Natuurlijk is het bepaald slordig als je als werknemer een besmette e-mailbijlage opent, zeker als je op de it-afdeling werkt en dus (zo mag je vermoeden) enige kennis over it, beveiliging en risico’s hebt. Maar slordig je werk doen of onoplettend bezig zijn onder werktijd is simpelweg niet genoeg om tot ontslag over te mogen gaan. Of iets preciezer gezegd: één geval van disfunctioneren is geen reden voor ontslag.

Een disfunctionerende medewerker kun je in Nederland pas ontslaan als je het nodige hebt gedaan (https://www.arbeidsrechter.nl/disfunctioneren-van-de-werknemer-transitievergoeding-schorsing-ontbindingsprocedure) om verandering te brengen in het functioneren van de medewerker. De werkgever moet de medewerker daarbij expliciet informeren over wat er misgaat en hoe dat beter kan, en heeft een zorgplicht dat de werknemer dit ook werkelijk beter gaat doen. Bij it-gerelateerd disfunctioneren moet de medewerker dus op cursus, even kort door de bocht. En pas als hij daarna hardnekkig domme dingen blijft doen, kun je aan ontslag denken.

Ook helpt het behoorlijk bij een ontslagaanvraag om duidelijke regels gesteld te hebben, die dan zijn overtreden ondanks de training en awareness daarover die je als werkgever eraan hebt gegeven. (Enkel dus iets in een reglement zetten of via de mail mededelen is juridisch dus betekenisloos.)

Dan heb je ook nog de ontslag op staande voet, maar bij security incidenten moet iemand het dan wel héél bont hebben gemaakt wil je daartoe over kunnen gaan. Enkel een besmette bijlage openen -ook al ben je de security officer- zou ik als te weinig zien om dit paardenmiddel in te kunnen zetten. Al is het maar omdat een groot deel van de schade bij het bedrijf dan ook komt door gebrekkige beveiliging en backups, en ik het gevoel zou hebben dat het ontslag meer een vorm van afreageren is dan een daadwerkelijke proportionele respons op verwijtbaar handelen.

Arnoud

25 reacties

  1. Het stukje ‘iemand ontslaan omdat zijn gedrag tot een infectie leidde,’ is precies waarom iemand ontslagen kan worden. Als je gedrag dusdanig is dat je randsomware binnenlaat, op staande voet, geen probleem. Meegemaakt en zal zeker vaker gebeuren, nalatigheid van de medewerker. Als je van te voren weet, en gewaarschuwd bent voor dat soort zaken, en dan toch doet waar je voor bent gewaarschuwd. En je word aansprakelijk gesteld voor de schade. je hebt voldoende waarschuwingen gehad in de media van je werkgever en je hebt ook nog eens een speciaal een cursus met examen gevolgd. Onkenne heeft geen zin.

    1. Maar het is wel cruciaal dát er gewaarschuwd is én een cursus met examen is geweest waar iemand aantoonbaar doorheen gekomen is. Enkel “dit had je in de krant kunnen lezen” is bij lange na niet genoeg. Dat is mijn punt, je moet meer doen als werkgever voordat je de werknemer mag aanspreken op zijn nalatigheid.

      1. Jou antwoord komt mij een beetje over dat een medewerker maar kan doen en laten wat hij wil, totdat hij waarschuwingen heeft gehad. Een werkgever heeft ook niet altijd alles maar meteen in de gaten, je zal, zeker met internet (want nog steeeds anarchie) een grote mate van verantwoordelijkheid moet hebben. ben eventueel met je eens dat de meeste werkgevers daar bij in dienst nemen van personeel te weinig de nadruk op leggen. (uitgezonderd banken). En je wordt voor een bepaalde klus aangenomen en dat is wat mij betreft al de eerste waarschuwing.

        1. bij een gerichte phishingaanval (dus jij bent mijn slachtoffer en niemand anders), is écht heel lastig om je hier tegen te wapenen. Organisaties nemen de tijd om jou en jouw organisatie volledig in kaart te brengen. Hoe communiceert iemand en met wie? Heeft deze persoon misschien een vriendin/relatie die niet zo tech-savy is, waar door er misschien een zwakke plek ontstaat.? Etc. etc.

          als jij hier slachtoffer van wordt, vind ik ontslag toch echt een brug te ver. Mailtjes met veel spelfoutjes en de vraag of je €10.000 dollar over wil maken naar Nigeria met Western Union en/of in wil loggen op deze ‘niet’-nagemaakte pagina van je bank, mwah, daar heb je misschien een punt.

          Maar de tijd van ‘simpele’ phishing is echt voorbij. Het wordt nu echt onderzoek gedaan naar het slachtoffer.

    2. ‘Omdat zijn gedrag tot infectie leidde’. Dat zeg jij, maar dat weet je niet.

      Je kunt ook zeggen: dankzij zijn over het algemene zeer goede gedrag zijn honderden infecties voorkomen. En er is er een doorgeglipt, inderdaad, maar dat is nu eenmaal inherent aan herhaalde pogingen tot binnendringen, ooit zal dat wel eens gebeuren. Dat is geen nalatigheid.

      Als een medische patient bij een routineoperatie overlijdt, kan dat een fout van de arts zijn (maar arbeidsrechtelijk hoeft dat lang geen ontslag te betekenen) maar het kan ook gewoon botte pech zijn.

      1. Dat was een quote van Arnout niet van mij.

        Maar het is in veel it omgevingen heel makkelijk terug te leiden tot de gebruiker. En openen van mail gaat niet vanzelf in een goed ingerichte bedrijfsomgeving. (tech: een mail in bv een exchange omgeving is maar 1 /10 van het totaal aan wat die ene mail is . 90 procent zijn logfiles/ compliance beheer/backups/ beveiliging/mobiel omgeving/beleid/journaal regels/ eventueel hybride omgeving enz enz.) Gebruikers zijn ook makkelijk te volgen en de eventueel verantwoordelijke persoon krijgt gewoon duplicaten van je mail. Tech allemaal mogelijk.

        En in het laatste geval, medische fout in een ROUTINE-operatie, bij een van mijn familieleden. Kom ik voor de rest van mijn leven in de gevangenis. Zo’n arts doet dat nooit meer. Ga dat niet eens uitzoeken. Dan heeft die arts ook botte pech.

          1. Ik heb geen werk waar doden bij kunnen vallen, ook heb ik daar geen jaren voor gestudeerd, laat staan dat ik daar een eed voor afgelegd heb. Comes with the territory

            Maar ja als o.a. it’er heb je wel vaak ‘routine’ klusjes:-)

            Toch leuk dat je quotes van Arnoud aan mij toeschrijft…..

            1. @ItsMe: Mis. Ook binnen de medische wereld wordt je niet zomaar ontslagen na een “ROUTINE-operatie fout”. Daar zijn hele procedures voor, gekoppeld aan het BIG-register (berisping, schorsing en daarna pas doorhaling). In de gevangenis kom je al helemaal niet zomaar. In Amerika trouwens ook niet .

              Kortom: in Nederland wordt een individuele werknemer erg beschermd. Juist ook in het geval van het toelaten van ransomware, zoals helemaal juist beschreven in bovenstaand blogartikel.

              1. @ randsom precies de reden dat ik schreef “Kom ik voor de rest van mijn leven in de gevangenis.” Soms worden werknemers te veel beschermd. Hoe het wel moet weet ik ook niet, heb wel wat ideeën maar dat valt buiten deze discussie. Maar uit eigen ervaring weet ik dat als een werkgever ‘goed weet” wat hij wel en niet mag binnen de diverse wetten, jij als werknemer niet zoveel kans hebt. Nu valt er financieel al helemaal weinig te halen nu de gouden handdruk feitelijk de nek is omgedraaid. Hooguit een opleiding. En dan kom ik op een ander verhaal, ook niet voor deze discussie ,dat minimumloon en modaal salaris eigenlijk niet zoveel meer van elkaar ligt…

  2. Verschillende steden in de VS zijn met ransomware besmet geraakt omdat personeel een besmette e-mailbijlage opende. Nu heeft één van deze steden een it-medewerker ontslagen.

    Cruciaal detail bij dit ontslag: het gaat niet om de medewerker die de e-mailbijlage opende maar om de IT-manager die ontslagen is. Wat op zich wel begrijpelijk is.

    1. In Nederland kan ook een IT-manager niet zomaar ontslagen worden als er een ransomware infectie op het computernetwerk plaatsvindt. Het kan wel de bekende druppel zijn die de emmer doet overlopen.

      Ik kan me een situatie voorstellen waarin de manager vooraf verklaart “de backups zijn prima geregeld” en achteraf moet erkennen dat ook de backups versleuteld zijn. Daarmee is het vertrouwen in de manager weg, hetgeen een reden voor ontslag is.

      Als de manager in zijn jaarrapport gemeld heeft dat er investeringen nodig zijn om de beveiliging te verbeteren, maar daar de middelen niet voor gekregen heeft, dan is dat pijnlijk voor het bedrijf. Geen motivatie voor het ontslag van de brenger van het slechte nieuws.

  3. Ik weet niet of dat in dit specifieke geval geldt, maar las vorig jaar na zo’n aanval een artikel over de ICT bij veel lagere overheden in de VS en dan verbaasd niets je meer.

    Vooral in de republikeins stemmende staten is de aversie tegen belastingen zo groot dat er inmiddels serieuze begrotingstekorten zijn. Er is bij de kleinere gemeenten, sherrifsdepartments etc… simpelweg geen geld voor fatsoenlijke ICT. Windwos 95 systemen zijn nog in gebruik omdat de software alleen daarop werkt en er geen budget is voor ontwikkeling. ICT wordt gerund als een bijbaan, omdat er geen geld is voor inhuren van schaarse professionals etc…

    De oplossing zou moeten zijn een belasting verhoging, maar dat is politiek in die contreien zelfmoord. De ICT is dien ten gevolge in dezelfde staat als de wegen en bruggen, vol gaten en lek als een mandje. Als ze er nog een paar zo wippen vanwege dit soort gebeurtenissen zal niemand zich meer aan de ICT willen branden, ben benieuwd hoe ze het dan ‘oplossen’.

    Overigen, twee jaar terug nog een artikel over een systeem dat draaide op een Amiga 2000 dat vervangen moest worden, maar er was geen geld voor. Wat dan weer wel tekenend is voor het probleem: De goedkoopste offerte om een systeem dat op een enkele A2000 liep te vervangen was bijna $1 miljoen, terwijl de functionele eisen aan het systeem onveranderd waren. (Ter vergelijking, de hardware waarop het draaide koste gecorrigeerd voor inflatie $ 2700 en de software was in een maand door een student in zijn vrije tijd geschreven) Alle partijen offreerden een online systeem, met dure doorlopende beveiliging, terwijl het huidige systeem al 25 jaar off-line draaide met als beveiliging een deur met een slot! Iets maken wat aan de eisen van de klant voldoet en niet meer verdient blijkbaar niet genoeg…

    Mensen moeten weer leren in-the-box te denken. Niet alles moet met de nieuwste technieken te worden gemaakt en niet alles hoeft via het internet te worden bedient!

    1. begrotingstekorten zijn toch uitgaven? Pas je uitgaven maar aan zeg ik dan. En ICt systemen zijn de laatste jaren toch steeds goedkoper geworden? Zou dus geen probleem mogen zijn.

      Behalve natuurlijk als het valt onder onzinwerk voorbeeld: ‘De Nederlandse overheid huurt een onderaannemer in voor hun IT-werk. Het IT-bedrijf huurt een onderaannemer in die de logistieke kant verzorgt. Het logistieke bedrijf huurt een onderaannemer in voor hun personeelsbeheer, en voor dat bedrijf werk ik. Stel, een ambtenaar verhuist naar een werkkamer twee deuren verderop in de gang. In plaats van zijn computer op te pakken en erheen te brengen, moet hij een formulier invullen. Het IT-bedrijf ontvangt het formulier, mensen lezen het en keuren de aanvraag goed, en sturen het naar het logistieke bedrijf. Het logistieke bedrijf keurt vervolgens de verhuizing naar de werkkamer twee deuren verderop goed en verzoekt ons om personeel. De kantoormensen van mijn bedrijf doen vervolgens hun ding, en dan kom ik eraan te pas. Ik krijg een e-mail: “Kom op tijdstip B naar pand C.” Gewoonlijk staan die panden op zo’n honderd tot 200 honderd kilometer afstand van mijn huis, dus ik huur een auto. Met de huurauto rijd ik naar de panden, ik laat de coördinator weten dat ik ben aangekomen, vul een formulier in, koppel de computer los, stop de computer in een doos, plak de doos dicht, vraag iemand van logistiek om de doos naar de kamer verderop te dragen, maak daar de doos weer open, vul nog een formulier in, sluit de computer aan, bel de coördinator om door te geven hoelang ik er werk aan heb gehad, laat enkele mensen de boel aftekenen, rijd in mijn huurauto naar huis, stuur alle paperassen naar de coördinator en word betaald. Dus in plaats van dat de ambtenaar zijn computer vijf meter verderop mag neerzetten, moeten twee mensen in totaal zes tot tien uur rijden, zo’n vijftien formulieren invullen en ruim zeshonderd euro aan belastinggeld verkwisten.

      1. Je begrijpt hem niet: Ze hebben de begrotingstekorten aangepakt, door minder uit te geven aan ICT!

        En ICT hardware is misschien goedkoper geworden, maar omdat niemand tegenwoordig meer normaal kan doen en alles een machine learning progressive cloud webapp moet zijn die natuurlijk agile ontwikkeld is, zijn de kosten van softwareprojecten en onderhoud de pan uitgerezen.

        1. Als in mijn voorbeeld de betreffende ambtenaar zelf zijn pc oppakt en in een andere kamer neerzet, kost dat, wat ? twee uurtjes van die ambtenaar? Een beetje ict’er kan daar wel een jip en janneke handleiding voor schrijven. zou toch ‘iets’ aan kosten verminderen.

          BTW mijn voorbeeld komt letterlijk uit de praktijk hier in Nederland.

          1. Dat is het probleem niet. Het probleem is dat al die PC’s aan het internet hangen en bij kleine organisaties aan een NAS, en die worden vaak ‘beveiligd’ en beheerd door iemand die in zijn vrije tijd ‘affiniteit met ICT’ heeft.

            Ik werk voor een software bedrijf, iedereen bij ons heeft affiniteit met ICT. Toch hebben we externe partijen ingeschakeld voor de beveiliging van onze servers en het netwerk. Wij weten wat we niet weten. Bij de veel van de getroffen amerkiaanse overheden is dit het punt waar bezuinigd is de afgelopen decenia.

            Je PC in een andere netwerkpoort en stopcontact steken is het probleem niet.

            1. Helemaal mee eens. En ik hoop dat je werkgever een goede prijs heeft afgesproken, zodanig dat het niet of nauwelijks mogelijk is dat ze nog eens een volgende partij in kunnen zetten.

              En een PC in een ander netwerkpoortje steken ZOU een probleem MOETEN zijn, gezien vanuit de netwerkbeheerder:-)

              1. We kennen het bedrijf waar we mee in zee zijn gegaan, die hebben zelf de mensen in dienst, geen sub contracting. Als ze dat wel zouden invoeren dan is dat een ontbindende voorwaarde voor het onderhoudscontract.

                En een PC in een ander netwerkpoortje steken ZOU een probleem MOETEN zijn, gezien vanuit de netwerkbeheerder:-)

                Niet echt, hier hebben ze het zo opgezet dat wij onze laptops in elke voor ‘PC’ gemarkeerde poort kunnen steken. In andere poorten steken heeft geen zin, want dan wekt het niet. Dat is één van de voordelen van een professional de boel op laten tuigen.

                1. Hmm, dus er zou zomaar ‘iemand’ een poortje kunnen gaan gebruiken die voor “PC” gemarkeerd is. Kom ik ff langs en steek ik er een wifi dingetje in en kan ik zo jullie netwerk op. Want ze zijn toch niet allemaal in gebruik. Hang ik er een kaartje aan, ‘afblijven van systeembeheer” of hoe ze bij jullie dat noemen. lukt bijna altijd 🙂

                  1. Dan kan je letterlijk alleen van ons gasten netwerk met beperkte internet toegang gebruik maken, aangezien al het andere authenticatie vereist. Het is een bewuste keuze dat gasten bij ons een kabeltje in kunnen prikken, daar is uiteraard bij de beveiliging rekening mee gehouden.

                    Geen idee hoe ze het doen, maar het werkt.

                    N.B. In de ruimtes waar jij als gast kan komen zal het je zeker niet lukken om zo’n apparaatje weg te werken. Die vallen onmiddelijk op. Dus behalve nutteloos worden ze ook nog eens vrij vlot ontdekt.

                    1. Dat is waarom ik altijd zeg, de beveiliging begint letterlijk bij de voordeur met een goede receptie. Ik denk dat ik het wel weet maar dat is hier niet zo belangrijk. Een leuke is ook als je een bedrijfs LT/PC hebt en er zit een nog een Admin account op wat je dus als gebruiker niet mag gebruiken en als je dat dan toch doet, automatich uit het netwerk gegooid word. Mag je naar ICT/beveiliging om dat uit te leggen en meteen even melding bij je manager. Misschien dat je dan het netwerk weer op mag.

  4. Phishing: Stuur een test phishing email (“We passen de kledingcode aan!”). Iedere werknemer die hier op klikt, moet op cursus. Nog een keer slachtoffer? Op zoek naar een andere baan! Je kan ook de email uitzetten, maar een werknemer zonder email, is zo goed als nutteloos. De securitie onderzoeker die op een phishing mail link klinkt, met infectie tot gevolg, mag ook meteen op zoek naar een andere baan (liefst in een compleet ander vakgebied). De persoon die verantwoordelijk is voor de security opleiding binnen een bedrijf valt zelf door de mand? Positie niet houdbaar.

    Iemand binnenlaten op jouw toegangspas? Twijfelgeval: Of een zeer strenge waarschuwing, of staande voet.

    Een verplichte update niet installeren, met infectie tot gevolg? Staande voet. Beetje als een bouwvakker die z’n helm niet op wil zetten, terwijl er overal bordjes hangen, en de onboarding duidelijk stelt dat er een helm moet worden gedragen. Dan een gezondheids- arbeids- inspectie en een grote boete voor de werkgever.

    Zelfde met: instellen van een zwak of fabrikaatswachtwoord. Bring Your Own Device op een beschermd en kritisch netwerk, niet encrypten van de harde schijf met privacy gegevens. Allemaal zeer zwart-witte regels, waar iedereen mee bekend is, en waar overtreding grove schade ten gevolge kan hebben. Staande voet (indien juridisch mogelijk). Ik ga een kok in dienst die in het voedsel spuugt ook geen waarschuwing geven. Spuug dus ook niet op het IT netwerk, helemaal niet als dit als een regel duidelijk is.

  5. Details of the scam were contained in an Oct. 31 ruling by the District Court of Amsterdam on a lawsuit against Pathe for unfair dismissal filed by Edwin Slutter, Pathe Netherlands’ former financial director. Slutter was fired, along with Pathe Netherlands’ former CEO and managing director, Dertje Meijer, in April after the scam was discovered. The fraud kicked off in March with several emails apparently sent from the personal account of Pathe CEO Marc Lacan to Meijer, asking her to wire up to €19.2 million in four tranches to the bank account of Towering Stars General Trading LLC in Dubai. The funds were supposedly to be used to acquire a company in Dubai. Meijer was asked to respect the “strictest confidentiality” about the transaction and exchange emails solely with Lacan’s personal account to ensure that their “discussions remain free of any risk of disclosure and to respect the transaction’s norm” as well as give them an “advantage over [their] competitors.” Before sending the third and fourth tranches, Meijer forwarded the conversation to Slutter with a note saying, “Strange, is it not?” Slutter later responded: “Curious process. Never experienced anything like that.”

    https://variety.com/2018/film/news/pathe-loses-more-than-21-million-internet-scam-1203027025/

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.