Mag het systeembeheer zomaar zelf regels maken?

bofh-systeembeheerEen lezer vroeg me:

Bij ons bedrijf heerst een erg open cultuur, behalve bij onze systeembeheerders. Die zijn erg tegen gebruikers die zelf dingen installeren of eigen apparatuur aansluiten. Zo verbieden ze gebruik van Dropbox en het mailen van gegevens naar je privéadres, en dat wordt steeksproefgewijs gecontroleerd door een beheerder. Kan dat zomaar, mogen zij de regels maken?

Binnen een bedrijf maakt de directie de regels. Zij hebben daar grote vrijheid in. Als zij iedereen op Windows willen laten werken, heb je als Mac-fan toch echt pech. Vinden zij Dropbox stom, dan mag je geen Dropbox gebruiken hoe handig het ook is en hoe ongefundeerd hun reden om Dropbox te weigeren ook is.

De directie mag die regelmakende bevoegdheid delegeren, bijvoorbeeld naar de IT-afdeling. Dat hoeft niet heel expliciet te gebeuren, maar vaak zie je dat de directie überhaupt geen mening heeft over ICT en erop vertrouwt dat het systeembeheer in staat is de goede regels te maken.

Als het beheer dan weinig feeling heeft met de cultuur in het bedrijf, dan krijg je dus situaties als van deze vraagsteller. Streng beleid is begrijpelijk vanuit een beheer-achtergrond, en als je in de positie bent dat te mogen invoeren dan krijg je dat ook.

De handhaving van zulk beleid middels steekproeven is iets gevoeliger. Er mag niet zonder reden worden gesteekproefd in accounts of apparatuur van werknemers, ook niet als het werkgerelateerde bestanden of dingen betreft. Je loopt al heel snel tegen de privacy van de werknemer aan, zeker in een bedrijf waar een open cultuur heerst en het dus toegestaan is om privédingen te doen op je werkcomputer of met je werkaccount.

Op zijn minst moet er expliciet beleid zijn dat regelt wanneer accounts of apparatuur mogen worden doorzocht en welke waarborgen omtrent privacy er zijn. Dat beleid mag de directie aan de IT-afdeling laten, maar het moet er wel zijn. En als een bedrijf een open cultuur heeft, dan verwacht ik niet dat de directie snel zulk beleid wíl gaan maken. Het botst immers nogal met elkaar.

Een echte oplossing heb ik niet, behalve “ga eens met z’n allen op de hei zitten en verzin iets dat voor iedereen werkt”. Je verschuilen achter beleid en security is natuurlijk dé manier om een bedrijfscultuur om zeep te helpen.

Arnoud

Mijn school neust rond op mijn server, mag dat?

terminal-screen-computer-ssh-loginEen lezer vroeg me:

Laatst zat ik op een schoolcomputer te internetten en ondertussen op mijn eigen server wat te doen (via ssh ingelogd). Ineens kreeg ik computerproblemen omdat een vriendje me een “grappige site” toe had gestuurd. Ik kwam er niet meer uit en moest de systeembeheerders erbij halen. Die gingen echter ook rondneuzen op mijn PC, want ze dachten dat ik aan het hacken was (“wat voor raar zwart/wit schermpje is dat”). Ook lazen ze mijn Gmail mail die nog openstond. Ik heb ze erop gewezen dat dat computervredebreuk was, maar ze gingen gewoon door. Wat kan ik nu het beste doen?

Dit is natuurlijk nogal ongepast, maar of het strafbaar is durf ik zo niet te zeggen. Volgens de wet is er pas sprake van computervredebreuk als je willens en wetens ergens binnendringt waarvan je weet dat je er niet mag zijn. Het gaat er niet (meer) om of je een beveiliging doorbreekt, maar of je op verboden terrein bent.

Wanneer een systeembeheerder gevraagd wordt om een probleem te herstellen, dan heeft hij daarmee impliciet toestemming om overal te komen waar hij redelijkerwijs zou moeten zijn om het probleem te detecteren of op te lossen. Heb je bijvoorbeeld een probleem met je mailbox waar een veel te grote bijlage in zit, dan mag de systeembeheerder in je mailbox om die bijlage eruit te vissen. Hij kan en mag dan mails doorkijken om te zien waar de bijlage zit. Natuurlijk heeft hij dan wel een geheimhoudingsplicht over wat hij aantreft (zie ook hier).

Je zou zeggen dat een beetje systeembeheerder zo’n “grappige” site wel herkent en snapt dat je dan de browser via taakbeheer moet afschieten. Maar als niet duidelijk is wat er precies gebeurt, dan lijkt het me logisch dat je even alle venstertjes afloopt om te zien of er iets draait dat de problemen kan veroorzaken. Lezen van Gmail lijkt me niet echt nodig. Dat hij de pagina bekijkt die toevallig open staat, zal onvermijdelijk zijn maar doorbladeren in de mailbox is echt niet toegestaan. Tenminste, tenzij daar een hele goede reden voor is – en die kan ik bij deze vraag zo niet bedenken.

Een openstaand ssh schermpje lijkt me ook niet direct relevant, maar ik kan me voorstellen dat je even wilt weten of dat niet een systeem van de school is. En nee, de titelbalk van het venster zegt daar niets over want die is eenvoudig aan te passen. Dus ook hier ben ik geneigd tot op zekere hoogte het systeembeheer gelijk te geven. Maar op het moment dat hij daar servers gaat herstarten of rootkits gaat installeren, zou ik denk ik wel tot arrestatie op staande voet overgaan.

Arnoud