Ben je als werknemer aansprakelijk bij CEO fraude?

| AE 9236 | Ondernemingsvrijheid | 5 reacties

Een lezer vroeg me:

Een relatief nieuw concept in de cybercrime is CEO fraud. Hierbij doen criminelen of zij een hooggeplaatste manager of bestuurder (bijvoorbeeld de CEO, CFO, Group Executive of directeur van je bedrijf) zijn. Ze geven een ondergeschikte dan opdracht om geld over te maken. Stel dat je daarin meegaat, ben je dan persoonlijk aansprakelijk?

CEO fraud is voor mij een speciale vorm van social engineering. De truc is feitelijk niet meer dan een vervalste mail, een neptelefoontje of iets dergelijks die afkomstig lijkt van de CEO. Je krijgt dan een werkinstructie: maak even een zak geld over naar dit en dit rekeningnummer.

De truc is natuurlijk dat veel mensen blij verrast zijn dat de baas hén uitzoekt om zoiets belangrijks te doen. Want natuurlijk gaat het dan om een geheim project, ben jij uitgekozen om dit te gaan leiden als je dit even snel doet, en ga zo maar door. Een effectieve vorm van social engineering. Of, zo je wilt, acquisitiefraude.

Normaal heeft een bedrijf procedures voor betalingen, zoals een goedkeuring door de afdeling Finance of een handtekening van een aantal verantwoordelijken. Maar de truc is hier natuurlijk dat dit vanwege de spoed en het belang even niet kan, en dat je dan denkt, dan doe ik het even, ik zal eens laten zien hoe daadkrachtig ik ben.

Maar goed, dan komt uit dat dit helemaal niet de directeur was. Ben je dan aansprakelijk?

Waarschijnlijk niet. Een werknemer is alleen aansprakelijk naar zijn werkgever toe als sprake is van opzet of bewuste roekeloosheid, en dat is een héle hoge lat. Gewone fouten vallen er zeer zeker niet onder. De schade van zulke fouten moet de werkgever gewoon zelf dragen.

Omdat de hele truc hier gericht is op een overtuigende indruk wekken dat hier de CEO spreekt, denk ik niet dat je snel kunt spreken van bewuste roekeloosheid. Dan moet het wel een héle neppe mail zijn geweest, waarvan iedereen meteen zou zien dat die niet echt van de CEO is.

Dat er een verbod is ingesteld op betalen buiten de procedures om, maakt daarbij niet uit. Van verboden mag immers worden afgeweken, zeker als de CEO dat zegt. En als we dus concluderen dat de werknemer redelijkerwijs mocht denken dat dit de CEO was, dan heeft hij terecht afgeweken van het verbod.

Arnoud

Mag ik inbreken bij collega’s voor ons security-event?

| AE 6905 | Ondernemingsvrijheid, Security | 5 reacties

security-beveiliging-ketting-slot-chainEen lezer vroeg me:

Mijn werkgever wil een security awareness event organiseren. Hiervoor ben ik gevraagd om bij diverse mensen in te breken op de werkcomputer en/of mail, gebruikmakend van simpele beveiligingsfouten of social engineering. Zo wil men concreet laten zien wat er mis kan gaan. Mijn manager zegt dat hij alle verantwoordelijkheid draagt en ik nergens voor aan te spreken ben. Maar is dat ook zo? Als hij zegt dat ik iemand moet doodschieten dan blijf ik toch gewoon aansprakelijk?

In principe ben je als werknemer niet aansprakelijk wanneer je een werkinstructie opvolgt. De werkgever bepaalt hoe het werk moet worden uitgevoerd, en als werknemer heb je het op die manier te doen.

Natuurlijk zijn hier grenzen aan, en de privacy van je collega’s is zo’n grens. Ook op het werk heb je privacy, ook wanneer het gaat om de werkmailbox of werkcomputer. Deze mogen niet zomaar worden doorzocht. Daar moet een goede reden voor zijn, zoals een concreet vermoeden van misbruik van de faciliteiten of overtreding van de regels.

Het verhogen van het securitybewustzijn binnen de organisatie is op zich een best goede reden maar de vraag is dan meteen hoe ver je moet gaan om die awwareness-sessie goed te kunnen geven.

Je zou bijvoorbeeld best via social engineering kunnen kijken of Jan van de postkamer zijn wachtwoord afgeeft, en dan melden hoe veel wachtwoorden je zo kon krijgen. Daarna ook in Jans mailbox kijken als ‘bewijs’ en dat op het grote scherm projecteren gaat me te ver. Dat komt wel heel dicht in de buurt bij Jan voor gek zetten.

Je zou het gesprek op kunnen nemen en achteraf Jan kunnen vragen of hij mee wil werken aan een film. Zegt hij ja (en hij moet vrijelijk nee kunnen zeggen) dan mag je de opname gebruiken. Zegt hij nee, dan gaat de opname onherroepelijk de bittenbak in. Een acteur inschakelen kan ook, maar komt minder echt over dan een collega.

En wat dat aansprakelijk betreft: de werknemer is aansprakelijk als sprake is van opzet of bewuste roekeloosheid. Je moet je bewust zijn van het gevaar, van de schade die op kan treden. Bij een opdracht iemand te doden zal dat bewustzijn er wel zijn. Bij een hackopdracht is dat discutabel hoewel je er al snel aan zult zitten wanneer duidelijk is dat er geen dringende werkgerelateerde reden is om dit te doen.

Ik zou dus eisen dat vooraf duidelijk is hoe je de privacy van de collega’s gaat beschermen, en hoe mensen worden ingelicht voordat ze op de beamer ten overstaan van het hele kantoor getoond worden als securityfaalhazen.

Arnoud

Is het BREIN of een botje?

| AE 1215 | Iusmentis, Security | 6 reacties

Ziet u het verschil tussen BREIN en een computervirus? Ars Technica meldde dinsdag dat er een nieuwe techniek in omloop is om computers te infecteren met virussen, Trojans en wormen. De techniek is gebaseerd op de aloude truc om een interessant uitziend mailtje met bijlage te sturen. Wie de bijlage opent, wordt besmet. Kennelijk is mevrouw Kournikova niet hot genoeg meer, en trappen mensen ook niet meer in mailtjes die leuke screensavers beloven of een filmpje waarop Bin Laden aanhouden, doodgeschoten of wat dan ook wordt.

Nee, de nieuwste truc is om de mailtjes zogenaamd afkomstig te laten zijn van het controversiële bedrijf Media Defender. Wie Slashdot of Tweakers leest, weet dat dit bedrijf de RIAA en MPAA helpt bij opsporing en bestrijding van filesharing. En die twee clubs dagen zelfs omaatjes van tachtig die niet eens een PC hebben voor 80.000 dollar voor de rechter. Dus als je daar een mailtje van krijgt, dan ga je dat wel even lezen.

In de mails wordt de lezer beschuldigd illegaal muziek of films verspreid te hebben via Bittorrent. Na eng klinkende verwijzingen naar 17 USC 502 en andere cryptische wetsartikelen meldt de mail dat het bewijs in de bijlage zit. Tsja, en wie gaat er dan niet meteen klikken op de bijlage?

Op dit moment is dit nog een incident. Ik vraag me wel af wat er gaat gebeuren als namen van bv. BREIN of Buma/Stemra op grote schaal gebruikt worden door verspreiders van virussen en Trojans. Wie nu een mail krijgt van deze instanties, weet dat hij serieus om moet gaan met de beschuldigingen daarin. Maar wat moet je nu doen als er een kans van 30% is dat de mail een virus is? Of 50%? Bij welk percentage mag je als ontvanger redelijkerwijs twijfelen aan de authenticiteit van zo’n mail?

Of wat te denken van een overactief spamfilter dat zulke mails automatisch weggooit. Ben ik aansprakelijk voor mails die dankzij mijn virus- of spamfilter niet aankomen?

Arnoud

Social engineering: van vuilnisbak naar Hyves-profiel

| AE 381 | Security | Er zijn nog geen reacties

Een erg lastige vorm van computercriminaliteit is social engineering: niet een computer hacken maar de persoon er voor. Je voordoen als je slachtoffer, dat helaas zijn wachtwoord is vergeten (“en mijn gebruikersnaam is er-o-o-tee”) en zielig doen tot de helpdesk het wachtwoord verandert. Meer voorbeelden bij Microsoft en Securityfocus. Daar heb je natuurlijk wel de… Lees verder