Mag je iemand zijn ontslag laten nemen als je zijn laptop onbeheerd aantreft?

| AE 12212 | Ondernemingsvrijheid | 58 reacties

Een lezer vroeg me:

Bij ons (redelijk groot) bedrijf gelden harde securityregels, waaronder de simpele eis je laptop te locken als je er van wegloopt. Als security officer zeg ik dan altijd, als ik een open laptop zie dan stuur ik vanuit jouw mailadres een ontslagmail naar je manager. Maar nu vroeg ik me af hoe bindend dat zou zijn op die persoon?
Een eis dat mensen hun laptop locken is een prima idee, en het is goed om met concrete voorbeelden te illustreren waarom. Het spreekt zeer tot de verbeelding dat iemand dan vanaf jouw mailadres iets raars naar je manager stuurt, dat geeft gedoe waar je géén zin in hebt.

Ik adviseer zelf om krokettenbeleid te voeren (in het Zuiden des lands ook wel vlaaienbeleid): je mailt alle collega’s “Mijn laptop stond open dus ik regel morgen kroketten”. En dat is dan soort van sociaal verplicht dat je dat doet.

Juridisch kun je een werknemer natuurlijk niet verplichten om kroketten (of vlaaien) te gaan kopen. En ik heb al een OR-lid in de mail gehad die dit potentieel pesten/bullying vond van de zwakkere werknemer, die zo legaal te grazen genomen kan worden door collega’s. Je daartegen wapenen vind ik wel een serieuze randvoorwaarde voor je bedrijf.

Deze constructie (je baas mailen “ik neem ontslag”) gaat voor mij nog een stapje verder. Afhankelijk van de werkrelatie, die je niet kent als langslopende security officer, kan het zijn dat deze persoon geloofd wordt (“Ha, eindelijk!”) en dan komen er processen op gang waar het héél lastig weer uit te komen is. Ik zou dit dus dringend afraden.

Formeel-juridisch is het niet bindend want die persoon heeft het niet gezegd, en daar is bewijs van want als goed werknemer ga jij natuurlijk een getuigenverklaring afleggen dat jij die mail hebt gestuurd. Maar je komt er pas achter als het ontslagproces al op gang is, en misschien is er dan al een arbeidsconflict ontstaan waardoor het hoe dan ook doorgezet wordt.

Dus misschien moeten we maar gewoon zeggen, de SO stuurt alleen mails naar de persoon zelf “Volgende keer je laptop afsluiten” of de laptop meenemen en een geel briefje achterlaten. Geen ontslagbrieven sturen, en geen kroketten aankondigen. Dan laat je iemand lopen in plaats van vettigheid eten, is nog beter voor de gezondheid ook.

Arnoud

Mag je corp.com registreren als je weet dat dat een Windows-fout is?

| AE 11791 | Security | 5 reacties

Een lezer vroeg me:

Bij KrebsOnSecurity las ik dat het Corp.com domein te koop gezet gaat worden. Daarmee is toegang te krijgen tot allerlei credentials en nu vroeg ik me af of dat legaal is. Immers je doet niets, andere mensen configureren hun Windows-netwerk slecht. Hoe zit dat in Nederland?

Het domein corp.com gaat inderdaad in de verkoop als ik het goed lees, al lijkt het vooral de bedoeling dat Microsoft het koopt voor een miljoen dollar. Dat zou dan zijn omdat inderdaad veel slecht geconfigureerde Windowsnetwerken verkeer naar dit domein sturen, inclusief authenticatiemiddelen zoals wachtwoorden.

De reden hierachter is dat Windows bij het maken van een intern netwerk standaard de suffix “.corp” voorstelt, wat lang niet iedereen aanpast. Interne diensten zoals gedeelde harde schijven kun je benaderen met iets als \klantdata\ in de Explorer. Echter, ga je vervolgens ergens werken waar je andermans DNS gebruikt, dan maakt Windows van die naam eerst “klantdata.corp” en vervolgens “klantdata.corp.com” omdat .corp niet bestaat bij die ander. En dan stuurt je systeem dus inderdaad logins en dergelijke naar die website.

Op zich gebeurt dit vaker. Bedrijven die een oude domeinnaam hebben overgenomen, of blijken te hebben geregistreerd, ontvangen regelmatig mails voor de oude eigenaar bijvoorbeeld. Dat is vervelend, maar in de praktijk gooi je die mail dan weg en dan is het klaar.

Hier voelt het iets anders, omdat de bedoeling van deze domeinnaam hebben nu duidelijk lijkt te zijn dat je die logins wilt hebben. Het is moeilijk daar een legitiem doel aan te koppelen. Natuurlijk is er vast een marketingblablaverhaal te verzinnen dat je corporate dienstverlening wilt verrichten en dat corp.com dan perfect aansluit bij je merkwaardebeleving, maar om eerlijk te zijn geloof ik daar dan geen bal van.

In Nederland is het strafbaar (art. 139d Strafrecht) om wachtwoorden of dergelijke authenticatiemiddelen te verwerven, in te voeren, beschikbaar te stellen of voorhanden te hebben. Althans, als je doel daarmee is om het misdrijf computervredebreuk, denial of service of aftappen van vertrouwelijke informatie te plegen. Een wetenschapper die wil onderzoeken hoe groot dit probleem is, kan dus prima monitoren wat hier gebeurt. Een security-onderzoeker die al die bedrijven wil waarschuwen handelt ook legaal. Maar voor het overige zie ik niet hoe je iets kunt doen met die informatie.

Arnoud

Heb je nou voor pentesten óók al een verwerkersovereenkomst nodig?

| AE 11732 | Ondernemingsvrijheid, Privacy | 2 reacties

Wie penetration testing oftewel securityonderzoek naar binnendringmogelijkheden uitvoert, moet een verwerkersovereenkomst sluiten met zijn opdrachtgever. Dat maak ik op uit een recente Linkedinblog die me attendeerde op een uitspraak van de Saksische Autoriteit Persoonsgegevens van die strekking. Wat natuurlijk enige onrust gaf bij professionele pentesters, want je hébt al zo’n papierwinkel voordatje aan de slag kan en moet er dan ook nog een verwerkersovereenkomst bij voor het geval je persoonsgegevens tegenkomt? Nou ja, formeel wel maar er zijn trucjes.

Bij een pentest ga je bij een klant aan de slag om zwakheden in zijn systeem te vinden. Je probeert binnen te dringen, zeg maar wat je anders computervredebreuk zou noemen. Vandaar die papierwinkel: je wilt dat je klant een pentest waiver of toestemmingsverklaring tekent waarin duidelijk vaststaat dat je niets tegen zijn wil doet, en dus niets dat wederrechtelijk en daarmee strafbaar kan worden.

Dat is voor klanten dan weer spannend, want wat als je nu iets stukmaakt tijdens dat onderzoek of verder kwam dan ingeschat en daar raak je iets dat echt niet de bedoeling was? Dat geeft dus de nodige onderhandeling vaak.

Sinds de AVG is daar een extra risico bij gekomen. Het is natuurlijk mogelijk dat je bij je security-onderzoek persoonsgegevens tegenkomt, denk aan een database met klantgegevens waar je bij kunt. Als je die database dan vervolgens downloadt (“het zal toch niet waar zijn”) dan ben je persoonsgegevens aan het verwerken, in het AVG-jargon.

En dat is dan even lastig, want hoezo mág jij dat van de AVG? Als zelfstandig ingehuurd onderzoeker heb je daar geen grondslag voor, je hebt geen toestemming van de betrokken klanten en je hebt ook geen contract met ze. Vandaar het advies: werk als verwerker, als hulpje van je opdrachtgever. Dan is wat je doet met die gegevens zijn probleem (althans; waarom dat mág dat onderzoek). Alleen zit je dan met de tegenpool dat je niet meer mag doen met die gegevens dan hij je toestaat.

Nu zou dat in de praktijk wel mee moeten vallen, want wat je gaat doen is normaliter niet meer dan een kopie maken, vastleggen wat je gevonden hebt en dan vernietigen (of teruggeven). En dat is precies wat een verwerker ook zou doen.

Het wordt alleen op formele gronden ingewikkeld: oh jee we hebben een verwerker jongens, dus hier is de standaard verwerkersovereenkomst die de boekhouder ook moet tekenen. En daarin staan dan vele dingen zoals een passend securitybeleid (met auditclausule, dus de klant komt bij jou, securityonderzoeker, kijken of je wel veilig bent – de meest hilarische case die ik had was dat de verwerker verklaarde periodiek pentests op zichzelf uit te voeren), medewerking aan inzage- en verwijderverzoeken en ga zo maar door dat echt zwaar over de top is voor zo’n onderzoek. Zeker omdat het ook nog eens aan onbeperkte aansprakelijkheid gekoppeld is.

Wat mij betreft mag je dát dus afwijzen. Je kunt in je pentest waiver of AV volstaan met een verklaring dat je verwerker bent, dat je de AVG zult naleven en dat je alle kopieën van data na logging van de gebeurtenis zult wissen, behalve eventuele kopieën die nodig zijn voor de gewenste rapportage.

Arnoud

Moet ik bezoekers ons securitybeleid onthullen van de AVG?

| AE 11738 | Privacy, Security | 6 reacties

Een lezer vroeg me: Een bezoeker van ons bedrijf heeft via het gastennetwerk internet gebruikt. Nu krijg ik van hem een verzoek onder de AVG om precies te vertellen wat wij van hem hebben gelogd. We melden inderdaad bij het aanmelden “This network is monitored for security purposes” maar in welk detail moet ik hem… Lees verder

Hoe snel moet je van de wet een nieuwe securitystandaard implementeren?

| AE 8962 | Security | 13 reacties

Een lezer vroeg me: In de ICT zijn de beveiligingseisen volop in beweging. Het is dus welhaast onmogelijk om deze allemaal stipt na te volgen, zeker bij grote pakketten waar het doorvoeren van wijzigingen vele maanden (zo niet jaren) kan kosten vanwege complexiteit en testen en evaluatie. Is er juridisch gezien een termijn waarbinnen nieuwe… Lees verder

De brakke spullen uit het Internet der Dingen

| AE 8395 | Ondernemingsvrijheid, Security | 26 reacties

De kwetsbaarheid van “Internet of Things”-dingen is zo gigantisch dat je er maar beter om kunt lachen, las ik bij Ars Technica. Maar eigenlijk is het om te huilen. Men ontdekte dat de IoT-zoekmachine Shodan een zoeksectie had voor kwetsbare webcams, met feeds van van alles en nog wat: voortuinen, achtertuinen, binnentuinen, marijuana-plantages, kinderslaapkamers en… Lees verder

Waarom wordt mijn embedded Android niet geupdate?

| AE 7954 | Ondernemingsvrijheid, Security | 16 reacties

Een lezer vroeg me: Steeds meer apparatuur bevat Android als operating system, en daarvan is bekend dat er van tijd tot tijd gaten in worden ontdekt. Maar die software wordt eigenlijk nooit geupdate. Is dat niet tegen de wet? Hoe kan ik afdwingen dat deze software bijgewerkt wordt? De wet zegt niets over security of… Lees verder

Mag ik inbreken bij collega’s voor ons security-event?

| AE 6905 | Ondernemingsvrijheid, Security | 5 reacties

Een lezer vroeg me: Mijn werkgever wil een security awareness event organiseren. Hiervoor ben ik gevraagd om bij diverse mensen in te breken op de werkcomputer en/of mail, gebruikmakend van simpele beveiligingsfouten of social engineering. Zo wil men concreet laten zien wat er mis kan gaan. Mijn manager zegt dat hij alle verantwoordelijkheid draagt en… Lees verder