Computerbeveiliging - Hoe je bad guys buiten de deur houdt

Mag dat?

14-10-2010, 15:06 door Anoniem, 20 reacties
Vanochtend kwam ik na 2 dagen afwezigheid weer op mijn werk en kon niet meer aanloggen. Vreemd, ik had toch heel braaf een nieuw password aangemaakt 3 weken geleden i.v.m. veiligheid.
Blijkt dat mijn Ldg onze ict-er opdracht heeft gegeven om mijn passwordt te resetten zodat de accountant op mijn pc en onder mijn naam haar werk kon doen...
Mag dat?
Reacties (20)
14-10-2010, 15:31 door SirDice
Door Anoniem: Blijkt dat mijn Ldg onze ict-er opdracht heeft gegeven om mijn passwordt te resetten zodat de accountant op mijn pc en onder mijn naam haar werk kon doen...
Mag dat?
Dat hangt er vanaf. Bij ons op het werk staat duidelijk in de voorwaarden dat een account strikt persoonlijk is. Mede daardoor is het ook absoluut niet toegestaan om jouw gegevens (tijdelijk) aan iemand anders te geven. Sterker nog, dat kan een reden voor ontslag zijn.

Voor zover mij bekend is er echter geen wet die zoiets regelt. Maar ik zou hoe dan ook klagen bij personeelszaken en/of de CSO (Chief Security Officer) want echt netjes vind ik het niet. Zeker niet als vervolgens blijkt dat er bijv. geld verdwenen is en dat wordt herleid naar jouw account (door het te melden dek je jezelf nog enigszins in).

Je mag ook best hierover je beklag doen bij je leidinggevende. Geef hem/haar te kennen dat je daar absoluut niet van gediend bent. Indien die accountant werk moet verrichten dan moet jouw leidinggevende er maar voor zorgen dat die accountant een eigen account krijgt met voldoende rechten. Meestal volgt dan het tegen-argument: "Ja, maar het aanvragen van een nieuw account duurde te lang" of iets van die strekking. Het beste is dat terug te kaatsen met: "En hoelang weet je al dat die accountant langs zou komen?". Dat zelfde komt ook vaak voor bij nieuwe collega's. Het aanvragen van een nieuw account duurt bijv. 5 werkdagen. Men weet al weken van te voren dat er een nieuwe collega komt. Wanneer wordt zijn/haar account aangevraagd? Juist, op de dag dat die nieuwe collega begint met werken.
14-10-2010, 15:34 door Rubbertje
Ik zou die vraag voorleggen aan Arnoud Engelfriet van Security.nl: juridischevraag@security.nl

En kijk anders eerst even hier: http://www.security.nl/artikel/34661/1/Juridische_vraag%3A_mag_werkgever_mijn_e-mails_lezen%3F.html
14-10-2010, 15:40 door Anoniem
IANAL:

Het is niet jouw PC, maar die van de werkgever. De computer mag worden gebruikt zoals de werkgever het wil.

Wat betreft het gebruik door een ander van een op jouw naam gesteld account, dat mag niet zomaar. In principe heb je recht op privacy.

Wat de systeembeheerder had kunnen doen is het aanmaken van een rol-account en die ter beschikking stellen. Nu kan het zijn dat dat teveel tijd zou hebben gekost om de PC in te richten voor het nieuwe account.

Als ze je later willen aanspreken op het verwijderen van bestanden o.i.d., dan kun je uiteraard erop wijzen dat je niet de enige gebruiker bent van het account. Zorg dus dat je het gebeurde in een mailtje hebt staan (en neem die mee naar huis).

Verder zou ik er niet te veel problemen over maken.
14-10-2010, 18:57 door Syzygy
Beste Anoniem,

De computer is eigendom van de zaak en hij is waarschijnlijk verantwoordelijk voor de apparatuur dus lijkt het me evident dat hij er de controle over kan nemen.

Wat wel een vraag bij mij oproept is: Hebben jullie geen domein structuur zodat de accountant onder zijn eigen account op jouw PC kan inloggen en zijn profiel naar zich toe haalt ???
15-10-2010, 08:53 door Anoniem
Klinkt een beetje dom. Als het een XP account betreft ( en geen domein ) kun je er gewoon even eentje bijmaken.
Ontslaan die baas en die ICT wegens sukkeligheid. Ik zie verder geen privacy probleem ofzo. Of je mailaccount moet ook zo beschikbaar gekomen zijn.
15-10-2010, 09:27 door Mysterio
Het lijkt misschien een makkelijke oplossing, maar in de praktijk kan het erg veel gedoe opleveren wanneer meerdere mensen één account gebruiken. Zeker wanneer het een persoonsgebonden account is. Hier heb ik moeten tekenen voor geheimhouding, gedragsregels en weet ik veel wat nog meer, wat samenhangt met onder andere mijn persoonlijk account. Ik ben dus verantwoordelijk voor de communicatie en werkzaamheden van mijn account.

Geef ik mijn gegevens aan iemand anders dan ga ik stevig in overtreding en kan dat inderdaad mij mijn baan kosten.

Ik neem aan dat jouw leidinggevende de accountant heeft laten tekenen of heeft getekend voor het 'gebruiken' van jouw account, dat zijn leidinggevende daar van op de hoogte is en meer van dien? Dat op papier staat dat van toen tot toen iemand anders werkte onder jouw naam. Dat als er vertrouwelijke gegevens morgen in de krant staan, met jouw e-mailadres als bron, jij er niet op aangekeken kan worden?

Nee?

Verrassend.

Typisch een leidinggevende die het wel even zal regelen zonder goed na te denken.

Of het wel of niet mag... tja... Dat hangt inderdaad van de interne regelgeving af, maar ik zou het zeker eens bespreken met een aantal hoge heren/dames.
15-10-2010, 11:00 door Preddie
Dit mag in geen enkel geval.het antwoord is dus NEE.

de WBP voorziet hier o.a. in. Jou user/password is jou digitale identiteit op het bedrijfsnetwerk. Deze hoor jij niet uit te lenen aan derde net als je gewone legitimatie bewijs. Jij wordt namelijk verantwoordelijk gesteld voor het geen wat er gebeurd bij met dit account.

Bij deze heeft de IT werkzaamheden verricht die hij niet had mogen verrichten het is immers jou account. De IT heeft hier volgens mij zelfs de wet bij overtreding (vraag me niet welk artikel en lid)

Daarnaast heeft de persoon die jou ook misbruikt ook de wet overtreding. Hij heeft namelijk gebruik gemaakt van een account dat niet wat hem is. Wat snel gezegd valt onder de wet computer criminaliteit (om het kort te houden)

Ik denk dat als jij hier op je strepen gaat staan dat hoe je het went of keert je altijd zult winnen. Het feit dat deze computer een bedrijfscomputer is doet hier niks aan af, je hebt immers ook op je werk recht op privacy en je hebt zelf recht om bedrijfsmiddelen voor prive doeleinden in te zetten (met mate en die mag de werkzaamheden nog het imago van het bedrijfschade)

en immers had de IT-er ook gewoon een account erbij kunnen aanmaken... of het nu local of domain is ..... twee commando's en hij is klaar
15-10-2010, 12:03 door [Account Verwijderd]
[Verwijderd]
15-10-2010, 12:34 door Anoniem
Ik vraag me inderdaad ook af wat de interne regelgeving op dit punt in het bedrijf is. Ik heb bij een bank gewerkt en daar was het volstrekt uit den boze om zelfs maar eventjes buiten de IRM afdeling om een wachtwoord te resetten. Sterker nog, als er een aanvraag van een manager langs kwam om een wachtwoord van een acount te resetten, "omdat er wat corrupte scriptjes onder dat account lopen en de persoon in kwestie niet bereikbaar is en mijn mensen toch door moeten kunnen werken", dan had de manager pech. Er werd niets gereset en op die manier is er zelfs een keer een hele teststraat naar de haaien geholpen. Jammer dan, had je maar een service account aan moeten vragen voor die scriptjes van je. Volgende keer doe je dat dus anders. Hoe pijnlijker de les, hoe langer die blijft hangen.

Er staan hoogstwaarschijnlijk prive-zaken onder dat account (toegestaan vanuit de richtlijnen die hiervoor zijn opgesteld) en die mogen absoluut niet bekeken worden door derden, ook al zeggen ze dat ze alleen maar even een scriptje kopieren of wat dan ook. Ik ben heel benieuwd wat Arnoud hier over te melden heeft, want volgens mij is die manager zijn boekje te buiten gegaan. Ik zou er in ieder geval werk van maken bij een IRM'er, compliancy offer of jurist binnen het bedrijf (als die er tenminste is, anders is het vechten tegen de bierkaai en kun je je net zo goed neerleggen bij datgene wat er gebeurd is, NA op mail te hebben vastgelegd dat dit incident heeft plaatsgevonden -inclusief dagen en tijdstippen- en de mail richting manager te hebben gestuurd. Dit is een CYA actie die jou in geval van problemen nog wel eens kan helpen.)
15-10-2010, 12:58 door T3K_
Een account in een domein is persoons gebonden en mag onder geen geval door andere personen gebruikt worden. Het heeft niks met het kraken van een wachtwoord te maken Peter V
15-10-2010, 13:18 door Anoniem
Het zal vooral met de bedrijfsregels hieromtrent te maken hebben.
Wel zou ik bij twijfel in ieder geval schriftelijk bezwaar maken tegen de gang van zaken zodat, mocht er wat mis gaan, je het probleem zelf aangekaart hebt en de verantwoording doorschuift naar degenen die deze beslissing gemaakt hebben en dat ook kunt aantonen.
15-10-2010, 13:58 door Anoniem
Hoewel er redenen kunnen zijn om het te willen, zijn er veel meer redenen om zoiets niet te doen. Het is een vorm van identiteits'diefstal'. Als het nodig is om onder de naam van een ander in te loggen, dan zit er iets organisatiorisch fout waardoor iets op het techniek vlak aangepast gaat worden in de vorm van een quickfix. Redenen om hiervan af te wijken zit hem in afspraken en business continuiteit. Maar NOOIT zonder dat de gebruiker ervan op de hoogte is, met opgaaf van redenen (waarin beschreven wat ze hebben gedaan om bij de informatie te komen zonder jou, en wat ze hebben gedaan om je te contacten), en verder volgens de algemeen te verwachten procedures (als er niks is afgesproken) of als er wel wat is afgesproken via deze procedures.
15-10-2010, 14:59 door Anoniem
Leuk dat een accountant dat ID gebruikte. Wat moest er onderzocht worden, de interne security?
15-10-2010, 17:33 door Anoniem
Door Anoniem: [...] vechten tegen de bierkaai en kun je je net zo goed neerleggen bij datgene wat er gebeurd is, NA op mail te hebben vastgelegd dat dit incident heeft plaatsgevonden [...]
En wie zeg dat jij die mail gestuurd hebt?! :-)
15-10-2010, 18:48 door Anoniem
Ik neem aan dat jij bepaalde rechten hebt om mutaties aan te brengen. Een accountant mag nooit mutatierechten hebben (behalve zijn eigen wachtwoord e.d.) en zou die rechten zelfs niet moeten willen. Afhankelijk van je bevoegdheden heb je opleiding gehad om met die bevoegdheden om te gaan. Door de accountant dezelfde rechten te geven zonder die opleiding, betekent dat het bedrijf het risico loopt dat bewust of onbewust door die accountant dingen worden gedaan die je niet wilt.

Ik zou dus zeggen, kies het gevaarlijkste recht wat je hebt (bijvoorbeeld zaken wissen) en wijs je leidinggevende er op dat het bedrijf het risico heeft gelopen dat de accountant van dat recht gebruik heeft gemaakt. Afhankelijk van jouw rechten heeft je leidinggevende het bedrijf in een gevaarlijke situatie gebracht en dat zou je nooit moeten willen.
17-10-2010, 15:03 door Zarco.nl
De inhoud van de Wet bescherming persoonsgegevens is hier te vinden: http://wetten.overheid.nl/BWBR0011468/geldigheidsdatum_17-10-2010
17-10-2010, 21:15 door Anoniem
Hebben jullie een bureau integriteit of iemand die zich met integriteitschendingen bezig houdt? Dit is namelijk een regelrecht integriteitsincident. Ofschoon de computer eigendom is van het bedrijf geeft dat de manager nog geen automatisch recht om met jouw account in te loggen. Degene die beweren van wel moeten maar eens een cursus rechten gaan volgen of zo want ze weten in ieder geval niet waar ze over praten.
Ik zou dit bij een vertrouwenspersoon rapporteren al was het alleen maar om jezelf in te dekken. In bedrijven waar ik kom vliegen dergelijke managers voor dit soort grappen gewoon de laan uit, en dat is niet meer dan terecht. Zij horen namelijk beter te weten en het goede voorbeeld te vormen betreffende integriteit.
18-10-2010, 08:10 door Argot
Het resetten van een wachtwoord is net zo veel werk als het aanmaken van een al dan niet tijdelijk account.
Er is met je account gerommeld en dat zou ik zeker bij PZ melden. En al helemaal als je er voor getekend hebt!
Daarbij komt nog dat hij jouw werk hiermee ernstig kan belemmeren. Want stel nou dat hij ziek is... dan kun jij niets doen!
18-10-2010, 08:52 door Prlzwitsnovski
Jou account is jou intellectueel eigendom. De bedoeling is dat alleen jij het gebruikt, daarom zit er ook een wachtwoord op.
18-10-2010, 14:00 door Anoniem
Jou computer is niet zo zeer een probleem, jou account zoals 100x hiervoor gezegd wel.

Jou account is persoonlijk en identificieerd jou als RECHTSpersoon binnen de organisatie, wat mede betekend dat jij in een rechtzaak aan dat account gekoppeld bent.

Het is dus onwettig jou account aan te passen om een derde hier gebruik van te laten maken.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.