Een lezer vroeg me:
Op onze interne servers krijgt personeel een loginscherm met daarop een tekst à la “Welkom bij Initech, gelieve in te loggen – uitsluitend voor werkdoeleinden gebruiken”. Nu zegt onze ISO auditor dat deze tekst problematisch is, omdat met name dat ‘welkom’ zou maken dat inbrekers kunnen claimen er niet wederrechtelijk te zijn. Dus het moet worden “Verboden toegang – uitsluitend geautoriseerd personeel – misbruik wordt vervolgd als misdrijf”. Dat vind ik niet echt vriendelijk naar mijn personeel, is er een tussenweg? Is dit echt zo krom, juridisch?
Dit is een broodje aap-verhaal dat geen enkele juridische basis kent. Het recht werkt niet zo en de inhoud van zo’n loginscherm gaat echt het verschil niet maken wanneer iemand vervolgd wordt voor computervredebreuk.
Natuurlijk komt dit verhaal uit Amerika, maar ook daar lijkt het nergens op een werkelijke zaak te herleiden (deze en deze bijvoorbeeld zijn vrij oude bronnen al). Ik kan in Nederland geen enkele rechtszaak rond computervredebreuk vinden waarbij het zelfs maar een discussie was wat de loginbanner of MOTD vermeldde.
Het recht kijkt nooit naar één specifiek aspect van de zaak, zoals zo’n logintekst. Bij rechtszaken wordt altijd gekeken naar de volledige omstandigheden van het geval. Het criterium is immers of de inbreker had moeten weten dat hij op verboden terrein was toen hij de handeling verrichte die hem ten laste werd gelegd. Dat zal nooit afhangen enkel van een zo’n tekstje. Je moet bijvoorbeeld nog steeds inloggen op het systeem van de vraagsteller, en als je een wachtwoord raadt dan moet je weten dat dat niet mag. Dus ga je alsnog nat.
Ik kan werkelijk geen situatie bedenken waarin die tekst relevant is. Heel misschien als er een gast/gast account is op zo’n systeem én je dingen kunt doen die niet gewenst zijn vanaf zo’n gastenaccount. Dan mocht je naar binnen (“welkom”) en mocht je inloggen zonder bekend te zijn (gast/gast) en was je in staat iets te doen dat niet de bedoeling was, hoe kon je dan weten dat dat laatste het geval was. Maar dat voelt weinig realistisch.
Arnoud
Zeker in bedrijven met een Amerikaanse poot schieten ze qua security soms helemaal door. Dit is een goed voorbeeld, maar een systeem verstikken met onnodige technische maatregelen en/of verregaand gebruiksonvriendelijk willen maken met de avg, gdpr in de hand is bijna modieus… “Als je chat met een ziek persoon worden die berichten medische gegevens!” (context – “mogen we chatters vanuit onze chat app berichten laten sharen?”) Je wordt er moe van.
het bevreemd me vooral dat een ISO auditor, die toch echt van de regels is, dit aanbeveelt. Want het staat niet in de regels, dus dit doet hij blijkbaar op eigen initiatief. En dat vind ik dan weer “eng” voor een audit van een ISO certificering.
Zoals je begeleidend plaatje al suggereert, betekent een deurmat met “welkom” dan ook dat inbrekers gewoon door mogen lopen?
Precies. Het is natuurlijk zo dat als je binnen mag gaan, en je overtreedt een huisregel, dat je er dan niet ineens wederrechtelijk bent. Dan moet je gesommeerd worden weg te gaan. Terwijl als je binnengaat terwijl je weet dat je niet welkom bent, dan ben je er meteen wederrechtelijk. Daar ergens komt het vandaan denk ik.
Dat doet me denken aan m’n studententijd Informatica. Daar configureerden we onze (SSH) remote login servers en toonden we een enorme banner met gevaarlijke teksten zoals WARNING FBI SERVERS LOGGING ENABLED en diverse ASCII art met havik, lauwerkrans, kernraketten en ander wapentuig. Ach ja die goede oude tijd 🙂
Tja, zo houden we elkaar wel bezig zeg. Dit moet zeker ook weer afgedekt worden in de Terms & Conditions want die zijn nog niet lang genoeg…