Onze systeembeheerder heeft alles versleuteld, wat nu?

pgp-bericht-encryptie-versleutelingEen lezer vroeg me:

Onlangs is onze systeembeheerder ontslag aangezegd vanwege allerlei negatieve zaken die ik liever niet toelicht. Zijn opvolger meldde ons vanochtend dat alle belangrijke bestanden zijn versleuteld, inclusief de backups. De ex-beheerder zelf zit thuis en weigert ieder contact. Wat kunnen wij het beste doen?

Helaas komt het wel vaker voor dat een ontslagen medewerker op zijn laatste werkdag de nodige schade aan kan richten. Maar waar dat meestal blijft bij een vernielde kantoorruimte of bekraste auto’s, kan een systeembeheerder digitaal behoorlijk wat meer schade aanrichten.

Deze beheerder lijkt geïnspireerd door de Californische collega uit 2008 die alle routers van de gemeente San Francisco saboteerde door de toegang te blokkeren met een alleen aan hem bekend wachtwoord. Die werd in 2010 tot 4 jaar cel veroordeeld wegens ‘hacken’, als ik het goed lees een Californische wet tegen denial-of-service aanvallen.

Bij ons zo zoiets ook denkbaar zijn, hoewel ik het hier eerder zou gooien op het misdrijf vernielen van gegevens (art. 350a Sr), waar ook het “ontoegankelijk maken” van die gegevens onder valt. Aangifte doen dus, zou ik zeggen. Natuurlijk kun je als werkgever ook zelf een procedure opstarten bij de rechter: het plegen van misdrijven tegen je werkgever is ook onrechtmatig, en je kunt de rechter dan vragen op straffe van een dwangsom de verplichting op te leggen een en ander te ontsleutelen.

Voorkomen is beter dan voor laten komen (zogezegd), maar het is helaas erg ingewikkeld om te zorgen dat zoiets niet kan gebeuren. Een systeembeheerder zit in een unieke positie: hij of zij kán overal bij en kán alles installeren en doen dat hem goeddunkt. Zeker bij een wat kleiner bedrijf zijn de controlemogelijkheden nihil, je moet zo iemand dus vertrouwen in die functie. Bij een groter bedrijf kun je met meerdere toezichthouders werken, maar zelfs dan zijn er trucs te over. Uiteindelijk komt het denk dan neer op hetzelfde als diefstal door je personeel: je moet erop vertrouwen dat het niet gebeurt.

Arnoud

Een admin die zomaar illegaal materiaal wist, mag dat?

delete.pngEen lezer vroeg me:

Ik werk als systeembeheerder bij een middelgroot bedrijf. Na klachten over volgelopen netwerkschijven ben ik eens gaan onderzoeken waar dat door kwam, en ik trof grote verzamelingen illegaal gedownloade films, muziek en software aan. (Plus de nodige porno die ik bepaald niet hoefde te zien.) Dat mag natuurlijk niet, dus dat heb ik direct gewist. Maar nu krijg ik boze gebruikers in de mail die mij verwijten de wet te schenden. Dat is toch de wereld op zijn kop?!

Eh, nou, niet helemaal. Dit gaat vast niet goed vallen bij systeembeheerders, maar: een netwerkaccount met eigen opslag is een privéruimte net als de locker bij de ingang of de bureaulades op kantoor. Daar mag je als BOFH dus niet zomaar in gaan snuffelen en al zéker niet zomaar dingen uit weggooien, ook niet als jij denkt dat ze illegaal zijn.

En nee, het is niet illegaal om op je werk muziek of films, of zelfs porno te hebben staan die je hebt gedownload uit illegale bron. Dat staat daar voor je eigen, ahem, gebruik, en daar heeft de werkgever dus in principe niets mee te maken. Pas als collega’s er last van krijgen zou je daarop aangesproken kunnen worden. Maar wie met koptelefoon op een muziekje wil luisteren, mag dat met een mp3-verzameling uit illegale bron.

Verder mag monitoren in principe alleen op anonieme basis, en moet dit gericht zijn op werkgeversbelangen als overlast, schade of storingen. Als ik 20MB aan MP3-tjes in mijn account heb, heeft niemand daar last van. Daar moet het beheer afblijven. Wordt het 20GB, dan lopen er schijven vol en dat kan wellicht een onderzoekje rechtvaardigen. Of als je heel veel inlogs op mijn account ziet vanaf IP’s over de hele wereld. Dat is een aanwijzing dat ik aan filesharing doe (of dat mijn account gecompromitteerd is) en dan mag je ingrijpen.

Zo’n onderzoek zou in eerste instantie anoniem moeten gebeuren. Waarom is die schijf vol, en bij wie kunnen we de vraag neerleggen “ruim eens wat bestanden op”? Persoonsgericht monitoren (wat spookt die Engelfriet uit op ons systeem) mag alleen bij concrete aanwijzingen dat die persoon iets fout doet, en het hoe en wat wordt dan gedocumenteerd in het IT-reglement. Bijvoorbeeld: als uit het maandelijks dataverkeer-rapport blijkt dat er zeer overmatig wordt gedownload, dan mogen we gaan kijken wie daarvoor verantwoordelijk is en die persoon daarop aanspreken. Wel zou ik dan een waarschuwing verwachten naar alle medewerkers toe.

Het verbaast me soms hoe makkelijk sommige systeembeheerders omgaan met data van medewerkers. Maar in dit geval verbaast het me nóg meer dat mensen gaan klagen dat hun porno is gewist.

Arnoud

Gastpost: Continuïteit(svraagstuk) in de praktijk

webshop-closed-gesloten-geschlossen.pngDeze en volgende week ben ik met vakantie. Daarom vandaag een gastpost van Dennis Wijnberg, reageerder alhier en New Business Manager bij Fundaments B.V.

Ik werk voor een IaaS provider in het oosten van het land. Vroeger, toen servers nog op kantoor stonden, was het duidelijk (tenzij lease, koop op afstand of koop op afbetaling – welke variant hebben we eigenlijk?) van wie de data is. Maar dat is nu lastiger geworden. Daarbij hoop ik een kijkje te geven in onze dagelijkse praktijk. Onze business case bestaat uit bedrijven (eindklanten) die hun data buiten de deur willen plaatsen. Omdat wij IaaS leveren en veel van die klanten zelf geen (of te beperkte) IT-afdeling hebben zit daar vaak een systeembeheerclub tussen. Functioneel heel mooi, want zij hebben één aanspreekpunt en krijgen de factuur ook van één partij. Op de achtergrond neemt die systeembeheerclub het fundament weer bij ons af. Maar steeds vaker stelt de eindklant ‘wat als’-vragen. “Wat als de systeembeheerclub failliet gaat of er een bedreiging van de continuïteit optreedt?”

Allereerst: hulde. Het feit dat je ermee bezig bent is lovenswaardig, dat straalt een bepaalde professionaliteit uit. Of je er nu uiteindelijk voor kiest om er een oplossing voor te treffen (en wélke) hangt van veel factoren af: kans, impact, uitstraling, doorverkoopbaarheid, etc.

De eerste vraag die beantwoord moet worden is “Is er een probleem?” direct gevolgd door “Is het een probleem voor mij?”. De eerste vraag verdient een duidelijk bevestigend antwoord hoewel ik benieuwd ben naar de toetsing van deze constructie aan aan deze uitspraak van de rechter.

Over de tweede vraag kunnen we het hebben. Mijn antwoord is: Ja, omdat:

  • Wij de doorlevering kunnen (laten) doen als de systeembeheerder failliet gaat
  • <li>Wij ervoor kunnen zorgen dat die systeembeheerders (partners) hun diensten beter kunnen verkopen</li>
    
    <li>Wij hierin (samen met de partners) een stap extra kunnen zetten t.o.v. de concurrentie</li>
    
    <li>Wij ook ons geld krijgen als de systeembeheerder failliet gaat</li>
    
    <li>Aanvullingen?</li>
    

In de eerste zin komt gelijk doorlevering aan de orde. Als je dat wil doen, moet je ten eerste weten wát je door moet leveren en ten tweede zeker weten dat je het door mág leveren. Zoals genoemd leveren wij IaaS – computercapaciteit (gevirtualiseerd RAM, CPU, storage en netwerk) te beheren via het internet. Hoe weten wij dan wat er draait, voor welke klant? En dan hebben we het alleen nog maar over praktische zaken. Heeft de systeembeheerderclub zelf diensten toegevoegd? Zelfgebouwde software/scripts? Rusten daar rechten op? Is er documentatie? Waar? Van wie is die documentatie? Wie heeft die? Of, misschien nog praktischer: wanneer is er sprake van bedreiging van de continuïteit? Wie beslist dat?

Inderdaad; de jurist komt aan zet. Er moeten gesprekken gevoerd worden met alle drie de partijen. Er moet namelijk veel vragen worden beantwoord en dat moet worden verankerd in een overeenkomst. Daarbij gaat het niet alleen over dat het “zwart op wit staat”, maar ook dat het praktisch uitvoerbaar is. Je kan heel mooi met een papiertje staan te wapperen, maar als de curator een wanprestatie besluit te leveren, dan kun je zomaar alsnog hangen.

En dan komt het onvermijdelijke punt: de kosten van zo’n oplossing. Dat meten we natuurlijk deels aan de kant van kosten versus risico (kans * impact). Anderzijds; hoe erg zijn kosten als er inkomsten tegenover staan? Recentelijk had ik te maken met een eindklant met honderdduizenden betalende gebruikers. Dan je heb je ten eerste een bepaalde zorgplicht om dit sowieso goed te doen, maar ten tweede ook een verdienmodel. Als je nu elke gebruiker een cent per maand laat betalen. Een cent. Da’s heul weinig, toch? Dan verdien je bij 200.000 gebruikers € 2000,- per maand. Met een terugverdientijd van één jaar (je gaat immers voor de lange termijn, toch?) mogen je kosten dus op € 24.000 liggen, en dan ben je al een heel eind volgens mij.

Zelf doen met beperkte kennis van zaken (want dat is lekker goedkoop)? Dat verwijt jij jouw klanten toch ook?

Dennis Wijnberg is New Business Manager bij Fundaments B.V. In 2007 behaalde hij de trofee voor actiefste reageerder alhier.