Mag ik inbreken bij collega’s voor ons security-event?

security-beveiliging-ketting-slot-chainEen lezer vroeg me:

Mijn werkgever wil een security awareness event organiseren. Hiervoor ben ik gevraagd om bij diverse mensen in te breken op de werkcomputer en/of mail, gebruikmakend van simpele beveiligingsfouten of social engineering. Zo wil men concreet laten zien wat er mis kan gaan. Mijn manager zegt dat hij alle verantwoordelijkheid draagt en ik nergens voor aan te spreken ben. Maar is dat ook zo? Als hij zegt dat ik iemand moet doodschieten dan blijf ik toch gewoon aansprakelijk?

In principe ben je als werknemer niet aansprakelijk wanneer je een werkinstructie opvolgt. De werkgever bepaalt hoe het werk moet worden uitgevoerd, en als werknemer heb je het op die manier te doen.

Natuurlijk zijn hier grenzen aan, en de privacy van je collega’s is zo’n grens. Ook op het werk heb je privacy, ook wanneer het gaat om de werkmailbox of werkcomputer. Deze mogen niet zomaar worden doorzocht. Daar moet een goede reden voor zijn, zoals een concreet vermoeden van misbruik van de faciliteiten of overtreding van de regels.

Het verhogen van het securitybewustzijn binnen de organisatie is op zich een best goede reden maar de vraag is dan meteen hoe ver je moet gaan om die awwareness-sessie goed te kunnen geven.

Je zou bijvoorbeeld best via social engineering kunnen kijken of Jan van de postkamer zijn wachtwoord afgeeft, en dan melden hoe veel wachtwoorden je zo kon krijgen. Daarna ook in Jans mailbox kijken als ‘bewijs’ en dat op het grote scherm projecteren gaat me te ver. Dat komt wel heel dicht in de buurt bij Jan voor gek zetten.

Je zou het gesprek op kunnen nemen en achteraf Jan kunnen vragen of hij mee wil werken aan een film. Zegt hij ja (en hij moet vrijelijk nee kunnen zeggen) dan mag je de opname gebruiken. Zegt hij nee, dan gaat de opname onherroepelijk de bittenbak in. Een acteur inschakelen kan ook, maar komt minder echt over dan een collega.

En wat dat aansprakelijk betreft: de werknemer is aansprakelijk als sprake is van opzet of bewuste roekeloosheid. Je moet je bewust zijn van het gevaar, van de schade die op kan treden. Bij een opdracht iemand te doden zal dat bewustzijn er wel zijn. Bij een hackopdracht is dat discutabel hoewel je er al snel aan zult zitten wanneer duidelijk is dat er geen dringende werkgerelateerde reden is om dit te doen.

Ik zou dus eisen dat vooraf duidelijk is hoe je de privacy van de collega’s gaat beschermen, en hoe mensen worden ingelicht voordat ze op de beamer ten overstaan van het hele kantoor getoond worden als securityfaalhazen.

Arnoud