Een lezer vroeg me:
Regelmatig komt in het nieuws dat bedrijven slachtoffer zijn geworden van social engineering-aanvallen op helpdeskmedewerkers, bijvoorbeeld door zich voor te doen als collega of directeur en de medewerker zo te bespelen dat hij inloggegevens verstrekt of de aanvaller op een andere manier toegang verleent. Dat raakt aan de kern van je werk als helpdeskmedewerker (mensen willen helpen), dus ik snap dat dat gebeurt. Kan je werkgever je desondanks verantwoordelijk houden voor de gevolgen?Kern van social engineering is misbruik maken van menselijk gedrag, met name angst en het willen helpen van anderen. In een situatie waarin iemand zich voordoet als de boze baas die nú een nieuw wachtwoord nodig heeft bijvoorbeeld, zie ik wel hoe aan beiden sterk wordt geappelleerd. En juist de afdeling die er is om mensen te helpen, zal dan sneller toeschietelijk zijn om te helpen.
Algemene regel binnen het arbeidsrecht is dat werknemers in ieder geval niet financieel aansprakelijk te stellen zijn voor de gevolgen van een fout zoals in een social engineering aanval trappen. (Ook niet als je tekent dat je dat wel bent, ik zeg het maar even.) Je kunt in het algemeen natuurlijk wél aangesproken worden op slecht functioneren, en dat kan uiteindelijk uitmonden in een ontslagprocedure of geen verlenging krijgen.
Voor zulke stappen is wel nodig dat de werkgever de werknemer adequaat getraind of opgeleid heeft om met zulke aanvallen om te gaan. Als de werkgever daarin tekort schoot, dan kan hij vervolgens niet de werknemer verwijten fout te hebben gehandeld. Een goede cybercrime awareness training is dus ook vanuit dit gezichtspunt een vereiste.
Minstens zo belangrijk is de bedrijfscultuur rondom cybersecurity. Vaak zijn er wel duidelijke procedures en werkafspraken, maar worden die in de praktijk gepasseerd omdat het snel moet of (zeg ik als directeur) omdat de directeur geen zin heeft ze op te volgen. Dat is vanuit arbeidsrechtelijk perspectief dus een probleem voor de organisatie: als het gebruikelijk is dat je op appjes met “ik ben de directeur en sta nu bij een klant, reset mijn password anders gaat de pitch niet door” inderdaad het wachtwoord reset, dan sta je als werkgever met lege handen als een aanvaller ook zo’n appje stuurt.
Arnoud
Juist en met name de helpdesk zou getrained moeten zijn in de juiste procedures en het herkennen van malafide verzoeken. Als een bedrijf daarin verzaakt dan kan je de medewerker moeilijk verantwoordelijk houden.
Is er desondanks een situatie denkbaar waarin de nalatigheid van de medewerker zo grof is dat dat anders wordt? Een extreem voorbeeld, de medewerker krijgt een mailtje opgesteld in slecht Nederlands van een of ander maildomein voor tijdelijke adressen, niet ondertekend en zonder naam, met daarin de vraag om de gebruikersnaam en het wachtwoord van de financieel directeur en de vraag om de MFA uit te schakelen. Zo evident phising dat het lachwekkend is, maar desondanks voldoet de medewerker toch aan dat verzoek, ondanks heldere procedures en regelmatige training. Kan de situatie dan anders zijn, of is er dan niets anders dan direct op non-actief zetten en een ontslagprocedure beginnen?
Er is een heel eenvoudige manier dit soort voorvallen te minimeren: Baas belt boos en zegt “ik heb een nieuw wachtwoord nodig! Nu meteen!” Helpdesk “Geen probleem, ik bel U terug!”, beeindigt het gesprek en belt vanuit het eigen telefoonboek het daar officieel geregistreerde nummer van de Baas terug (dus niet persé het nummer dat op het display wordt getoond). “U heeft ons gebeld voor een nieuw wachtwoord?”
Is het inderdaad Baas, dan bevestigt Baas en krijgt een nieuw wachtwoord. Is het niet Baas, dan is Baas blij, dat iemand heeft opgepast.
Het is inpricipe het zelfde als dat wat men doet als iemand belt en zegt “ik ben van de politie…” Dan zoekt men toch ook het nummer van de politie zelf even op en belt dan terug om naar medewerker X te vragen.
Lastig is juist dat personen die die autoriteit claimen juist niet zomaar terug te bellen zijn. Het mobiele nummer van de directeur staat niet in het medewerkers adresboek zeg maar, dat is het nummer van de secretaris(se). Ook de politie of bankmedewerker kun je bijna nooit bereiken door een centraal nummer te bellen en te vragen naar .
In dat laatste geval kun je natuurlijk gewoon het telefoontje negeren. Bij de directeur is dat wat lastiger. Wat je daarvoor moet inzetten is het standaard cover-your-ass principe; leg de verantwoordelijkheid ergens anders neer. Natuurlijk baas, laat de directiesecretaris even schriftelijk bevestigen dat wij een het account van de directeur mogen resetten en het nieuwe wachtwoord afgeven aan iedereen die zegt te zijn. 🙂 Dan bel ik direct terug met uw nieuwe wachtwoord!
“Ook de politie of bankmedewerker kun je bijna nooit bereiken door een centraal nummer te bellen en te vragen naar”. Ik krijg regelmatig (zakelijk) verzoeken binnen van politie, gemeentes etc. Als ik dan het algemene nummer bel (0900-8844 of algemeen nummer van de betreffende gemeente) heb ik echt nog nooit meegemaakt dat ik niet geholpen en/of doorverbonden werd.
Zoek in een oud telefoonboek het niet 0900-8844 nummer van het plaatselijke politiebureau op, tel daar een klein getal bij op (of haal het er een vanaf), bel dat, en zeg dan onschuldig, “spreek ik met Die of die van de politie?.” “Nee? o, dan ben ik zeker verkeerd doorverbonden, kunt u me even doorschakelen naar de receptie of het juiste toestel?” Herhaal met steeds andere nummers in de reeks tot je succes hebt.
(Methode die ik vroeger, toen mobieltjes nog niet echt in zwang waren, gebruikte om toch de politie te bellen toen zij naar een betaald 0900 nummer gingen, dat ik niet kon bellen, omdat werkgever alle 0900 nummers blokkeerde).