Juridische vraag: Mag een collega je laptop locken en in Word aan je uitleggen waarom?
woensdag 30 augustus 2017, 10:21 door Arnoud Engelfriet, 42 reacties
Ict-jurist Arnoud Engelfriet geeft elke week antwoord op een interessante vraag over beveiliging, recht en privacy. Heb jij een vraag? Stuur hem naar juridischevraag@security.nl.
Vraag: Een collega van me kreeg gisteren ruzie met een andere collega: hij had diens laptop onbeheerd gespot zonder vergrendeling, dus deze snel op slot gedaan. Hij had in Word een nieuw bestand gemaakt en daarin in grote letters "Je laptop stond onbeheerd open, heel onverstandig, groeten Wim" gezet zodat de collega na unlocken zou snappen wat er was gebeurd. Maar die collega spreekt nu van computervredebreuk en privacyschending, en wil bij HR een klacht indienen. Loopt mijn collega nu enig risico?
Antwoord: Als we het hebben over werkcomputers, dan is er zeer zeker geen sprake van computervredebreuk of ander strafbaar feit wanneer collega's aan elkaars spullen zitten. Net zo min als wanneer je collega achter jouw bureau gaat zitten. Het is namelijk niet 'zijn' bureau of laptop, die is van het werk en jullie hebben beiden als werknemer toestemming de werkmiddelen te gebruiken.
Natuurlijk kan het vervelend zijn als collega’s aan elkaars spullen zitten. Maar dat wordt opgelost met de wettelijke regel dat je je als goed werknemer moet gedragen: wat is fatsoenlijk, wat is normaal in deze situatie.
Ik zou zeggen dat er niets mis is met een collegas PC locken en net daarvoor even een berichtje open zetten "Je laptop zat niet op slot". Natuurlijk ga je niet eerst rondkijken of er wat te lachen valt in de privémapjes of browsergeschiedenis. Ik zie dus geen reden voor een klacht, laat staan voor een berisping of zelfs maar een stevig gesprek.
Gezien het steeds groeiender belang van security denk ik dat het goed is als werkgevers hier eens expliciet regels over gaan maken. Wat mag je wel doen met een onbeheerde pc en wat niet?
Een in de praktijk goed werkende mogelijkheid is het krokettenprotocol (in het zuiden des lands ook bekend als het vlaaiprotocol): als iemands computer onbeheerd open staat, dan ben je geautoriseerd om de betreffende collegas/groep/afdeling een mail te sturen "Ik neem morgen [kroketten|vlaai] mee". Daarna de laptop op slot en verder nergens aan komen.
Arnoud Engelfriet is Ict-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.
Reacties (42)
30-08-2017, 10:27 door
Anoniem
Laat de boze collega maar een klacht indienen bij PZ, dan zit hij meteen aan de goede tafel voor een goed gesprek.
30-08-2017, 10:30 door
Anoniem
En als het een "BYOD" laptop is, dus niet van de werkgever?
30-08-2017, 10:55 door
Anoniem
Bij IT bedrijven is het redelijk standaard dat het niet locken van een pc resulteert in een stimulans om de volgende keer toch iets beter op te letten. De reden is heel simpel, als systeembeheerder is de kans groot dat je bent ingelogd op een server of in een applicatie met verhoogde rechten. En die toegang moet je ook fysiek afschermen. De stimulans kan zijn:
> Je komt terug en kijkt ineens naar een vrolijke roze my little pony achtergrond.
> Je komt terug en ziet allemaal reply's in jouw inbox waarin collega's zeggen het gebak graag tegemoet te zien.
> En eentje die ik tot voor kort nog niet kon,.. in Frirefox of Chrome is ineens de app 'cloud-to-butt' geïnstalleerd. Iets waar je achter komt wanneer websites het ineens hebben over "move your business to your butt".
Roelof
> Je komt terug en kijkt ineens naar een vrolijke roze my little pony achtergrond.
> Je komt terug en ziet allemaal reply's in jouw inbox waarin collega's zeggen het gebak graag tegemoet te zien.
> En eentje die ik tot voor kort nog niet kon,.. in Frirefox of Chrome is ineens de app 'cloud-to-butt' geïnstalleerd. Iets waar je achter komt wanneer websites het ineens hebben over "move your business to your butt".
Roelof
30-08-2017, 11:56 door
Anoniem
Een van mijn collega's liet zijn werkcomputer openstaan.
De leidinggevende kwam langs en zag dat.
Hij ging achter de computer zitten en typte een mail naar zichzelf (dus naar de chef van de foutmaker)
Hij typte: "chef, wat ben je toch een enorme zijkstengel. Ik wilde toch maar een zeggen."
Vervolgens lockte hij de openstaande computer van zijn medewerker.
Liep naar zijn eigen computer.
En antwoordde : wat bedoel je? Ik dacht dat we een goede relatie hadden?"
Leuk om te zien wat er dan gebeurd
De leidinggevende kwam langs en zag dat.
Hij ging achter de computer zitten en typte een mail naar zichzelf (dus naar de chef van de foutmaker)
Hij typte: "chef, wat ben je toch een enorme zijkstengel. Ik wilde toch maar een zeggen."
Vervolgens lockte hij de openstaande computer van zijn medewerker.
Liep naar zijn eigen computer.
En antwoordde : wat bedoel je? Ik dacht dat we een goede relatie hadden?"
Leuk om te zien wat er dan gebeurd
30-08-2017, 12:08 door
Anoniem
Als je om dit soort redenen al een klacht wilt indienen bij HR ben je en een slecht verliezer en een slechte collega. Ik zeg, laat hem dat gesprek maar aangaan. Het zal je collega meer pijn doen dan jij.
30-08-2017, 12:11 door
Anoniem
Wij hadden een BBQ protocol (2004-2006)
Totdat een manager z'n pc open liet staan.
Toen was iedereen en z'n moeder ineens fout bezig en moesten we ons niet bemoeien met pc's die openstonden, nadat we zijn contacten bestand hadden uitgenodigd voor een BBQ destijds a.s. zondag....
Totdat een manager z'n pc open liet staan.
Toen was iedereen en z'n moeder ineens fout bezig en moesten we ons niet bemoeien met pc's die openstonden, nadat we zijn contacten bestand hadden uitgenodigd voor een BBQ destijds a.s. zondag....
30-08-2017, 12:25 door
Anoniem
Door Anoniem: En als het een "BYOD" laptop is, dus niet van de werkgever?
Ook BYOD is toegang tot het netwerk van de opdracht-/werkgever. Dat je de vrijheid hebt om je eigen apparatuur te kiezen betekent niet dat je de vrijheid hebt om de access en security policies te negeren.
30-08-2017, 12:32 door
Anoniem
Dit leer je in op een IT opleiding wel af, meestal kom je terug bij een mooi nieuwe screensaver en achtergrond.
In de praktijk snappen gebruiker het risico vaak niet en vinden het niet handig, want dan moeten ze vaak inloggen.
Hoe zit het met een BYOD, (vaak alsnog semi betaald door werkgever?).
In de praktijk snappen gebruiker het risico vaak niet en vinden het niet handig, want dan moeten ze vaak inloggen.
Hoe zit het met een BYOD, (vaak alsnog semi betaald door werkgever?).
30-08-2017, 12:54 door
Anoniem
Arnoud,
Ik snap de lijn van je antwoord in dit geval toch niet .
In alle soorten gevallen van afwezige of vertrokken medewerkers moeten er enorme procedures uit de kast komen om ingekomen werk mail te lezen of zelfs maar een out of office in te stellen.
Dat geldt ook voor alle soorten cover-your-ass acceptatieregels die nodig zijn om (virus)en andere scanners op 'werkmiddelen' en internetverkeer van werkmiddelen te draaien.
En hier zegt je simpelweg 'het is een werkmiddel, je werkt er allebei, niet zeuren' .
Ik begrijp dat lezen van mail een stapje verder ligt dan het -in dit geval geclaimde - slechts een boodschap achterlaten.
Ik ken ook de praktijk van het vlaaien/kroketten of welk 'mail sturen met ongelockte computer' dan ook, maar dat ligt m.i. wel erg dicht bij het probleemgeval van "mail aan onbereikbare collega recoveren" .
Ik zou heel graag zien dat je wat duidelijker uitlegt waar de juridische grens en verschillen dan echt liggen.
Ik snap de lijn van je antwoord in dit geval toch niet .
In alle soorten gevallen van afwezige of vertrokken medewerkers moeten er enorme procedures uit de kast komen om ingekomen werk mail te lezen of zelfs maar een out of office in te stellen.
Dat geldt ook voor alle soorten cover-your-ass acceptatieregels die nodig zijn om (virus)en andere scanners op 'werkmiddelen' en internetverkeer van werkmiddelen te draaien.
En hier zegt je simpelweg 'het is een werkmiddel, je werkt er allebei, niet zeuren' .
Ik begrijp dat lezen van mail een stapje verder ligt dan het -in dit geval geclaimde - slechts een boodschap achterlaten.
Ik ken ook de praktijk van het vlaaien/kroketten of welk 'mail sturen met ongelockte computer' dan ook, maar dat ligt m.i. wel erg dicht bij het probleemgeval van "mail aan onbereikbare collega recoveren" .
Ik zou heel graag zien dat je wat duidelijker uitlegt waar de juridische grens en verschillen dan echt liggen.
30-08-2017, 13:22 door
Anoniem
Maar die collega spreekt nu van computervredebreuk en privacyschending, en wil bij HR een klacht indienen. Loopt mijn collega nu enig risico?
Een betere vraag is, mag je collega volgens de security policy zijn laptop onbeheerd achterlaten, waardoor derden toegang kunnen krijgen tot de informatie die erop staat ? Je collega kan gaan klagen, maar gaat volslagen voorbij aan de fout die hijzelf heeft gemaakt.
Als je om dit soort redenen al een klacht wilt indienen bij HR ben je en een slecht verliezer en een slechte collega. Ik zeg, laat hem dat gesprek maar aangaan.
100% mee eens. Vraag van HR zal dan ook naar alle waarschijnlijkheid zijn waarom hij -vermoedelijk in strijd met de regels op gebied van IT beveiliging- de laptop onbeheerd achter liet.
Verder is er geen sprake van computervredebreuk; het gaat om apparatuur welke eigendom is van de werkgever. En van een privacy schending kan enkel sprake zijn indien de collega rond is gaan snuffelen op de laptop, i.e. het lezen van emailtjes. Enkel het bericht achterlaten, en -zoals het hoort- de laptop locken is geen privacy schending.
En als het een "BYOD" laptop is, dus niet van de werkgever?
Maakt dat veel uit ? En maakt hij verder niet van een mug een olifant. Het enige wat er is gebeurd is een berichtje intikken en de laptop locken. Big deal. Verder geldt de security policy in een bedrijf, zoals het locken van je laptop, voor alle systemen die je op het bedrijfsnetwerk aan sluit.
Heeft je collega overigens zichzelf de vraag gesteld 'heb ik iets verkeerd gedaan' ? Of komt die gedachte niet eens bij hem op ?
30-08-2017, 13:34 door
sjonniev
Ik zie wel degelijk reden voor een klacht, een berisping en een stevig gesprek. Aan het adres van de malloot die een computer onvergrendeld achterlaat.
30-08-2017, 14:55 door
Anoniem
Ik heb meestal de neiging om een mail naar alle collega's te zenden met de mededeling dat "ik" jarig ben en morgen trakteer. (en dat doe ik dan ook)
Geloof me, je vergeet nooit meer je laptop te locken na 1 rondje gebak.
En dan mag je nog van geluk spreken als het niet ter sprake komt bij je jaar beoordeling.
Geloof me, je vergeet nooit meer je laptop te locken na 1 rondje gebak.
En dan mag je nog van geluk spreken als het niet ter sprake komt bij je jaar beoordeling.
30-08-2017, 16:27 door
Anoniem
Ik vind het toch ook wel wat weg hebben van 'collegaatje pesten'.
Hangt natuurlijk wel van de omstandigheden en de bedrijfscultuur af. Maar toch.
Je kunt de collega die zijn PC open laat staan toch ook gewoon even daarop wijzen. Wel zo vriendelijk.
Je moest eens weten wat er in bedrijven afgepest wordt! En de mentaal zwakkeren zijn altijd de klos. Dde pesters weten die geheid te vinden.
Daarom kan ik me heel goed voorstellen dat iemand zoiets wil aankaarten.
Hangt natuurlijk wel van de omstandigheden en de bedrijfscultuur af. Maar toch.
Je kunt de collega die zijn PC open laat staan toch ook gewoon even daarop wijzen. Wel zo vriendelijk.
Je moest eens weten wat er in bedrijven afgepest wordt! En de mentaal zwakkeren zijn altijd de klos. Dde pesters weten die geheid te vinden.
Daarom kan ik me heel goed voorstellen dat iemand zoiets wil aankaarten.
30-08-2017, 17:56 door
Anoniem
Door Anoniem: Ik vind het toch ook wel wat weg hebben van 'collegaatje pesten'.
Hangt natuurlijk wel van de omstandigheden en de bedrijfscultuur af. Maar toch.
Je kunt de collega die zijn PC open laat staan toch ook gewoon even daarop wijzen. Wel zo vriendelijk.
Je moest eens weten wat er in bedrijven afgepest wordt! En de mentaal zwakkeren zijn altijd de klos. Dde pesters weten die geheid te vinden.
Daarom kan ik me heel goed voorstellen dat iemand zoiets wil aankaarten.
Hangt natuurlijk wel van de omstandigheden en de bedrijfscultuur af. Maar toch.
Je kunt de collega die zijn PC open laat staan toch ook gewoon even daarop wijzen. Wel zo vriendelijk.
Je moest eens weten wat er in bedrijven afgepest wordt! En de mentaal zwakkeren zijn altijd de klos. Dde pesters weten die geheid te vinden.
Daarom kan ik me heel goed voorstellen dat iemand zoiets wil aankaarten.
Nu ben je wel een beetje stigmatiserend, mentaal zwakkeren, dat kun je toch niet zeggen!
Het gaat helemaal niet om mentaal zwakkeren, het gaat om bewust onbekwame medewerkers die onveilig handelen. Die kunnen ook academisch gevormd zijn, of iets anders.
30-08-2017, 18:31 door
Anoniem
Ben blij dat mijn collega's en ik niet zo zielig met elkaar om gaan. Overigens gaan onze W7 Enterprise pc's na 20 minuten automatisch op slot.
30-08-2017, 19:02 door
Anoniem
Door Anoniem: Ik vind het toch ook wel wat weg hebben van 'collegaatje pesten'.
Hangt natuurlijk wel van de omstandigheden en de bedrijfscultuur af. Maar toch.
Je kunt de collega die zijn PC open laat staan toch ook gewoon even daarop wijzen. Wel zo vriendelijk.
Hangt natuurlijk wel van de omstandigheden en de bedrijfscultuur af. Maar toch.
Je kunt de collega die zijn PC open laat staan toch ook gewoon even daarop wijzen. Wel zo vriendelijk.
Het houdt een keer op met vriendelijk op tekortkomingen wijzen.
30-08-2017, 19:21 door
Anoniem
Perfecte manier om jou wat in de schoenen te schuiven ;-) Hoop maar dat je niet meer te horen krijgt.
30-08-2017, 19:27 door
Anoniem
Door Anoniem: Ik vind het toch ook wel wat weg hebben van 'collegaatje pesten'.
Hangt natuurlijk wel van de omstandigheden en de bedrijfscultuur af. Maar toch.
Je kunt de collega die zijn PC open laat staan toch ook gewoon even daarop wijzen. Wel zo vriendelijk.
Je moest eens weten wat er in bedrijven afgepest wordt! En de mentaal zwakkeren zijn altijd de klos. Dde pesters weten die geheid te vinden.
Daarom kan ik me heel goed voorstellen dat iemand zoiets wil aankaarten.
Omdat computer technologie gebruikt wordt voor slechte alswel goede doeleinden, is er altijd iemand nodig die de schuld gaat krijgen voor als het fout gaat. In dit geval is gelukkig alles duidelijk. De admin is vriendelijk en overtruigend, en niet iets kwaads willends hopende te doen. Hangt natuurlijk wel van de omstandigheden en de bedrijfscultuur af. Maar toch.
Je kunt de collega die zijn PC open laat staan toch ook gewoon even daarop wijzen. Wel zo vriendelijk.
Je moest eens weten wat er in bedrijven afgepest wordt! En de mentaal zwakkeren zijn altijd de klos. Dde pesters weten die geheid te vinden.
Daarom kan ik me heel goed voorstellen dat iemand zoiets wil aankaarten.
Stel je nu voor dat de admin je gaat gebruiken, misbruiken om een ontbrekende berekening in de boekhoudkundige sfeer te manifisteren?
Ik heb dat wel degelijk gezien, zelfs voor kleine bedragen als 15 duizend euro, wees blij als je dit voorbij gaat. Het is zo gemakkelijk in deze wereld om zondebokken te vinden die overal voor op gaan draaien, met de hoge mensen in een BV of GROEP onschuldig als een mak lammetje.
Nostalgie voor de tijd zonder computers is mij niet vreemd. Het was toendertijd niet mogelijk iemand vlug en gauw ter kwade kwaad op te laten draaien.
Maar in dit geval is het goed gegaan. Leer je les, de volgende keer kan jij degene zijn die schuldig wordt aan verduisteren van een minimum van 15000 euro, en dat saldo is bij wet een definitie, daarom zorg altijd dat je kan bewijzen onschuldig te zijn.
Beter zeker dan onbenullig.
30-08-2017, 19:39 door
Anoniem
Door Anoniem: Ik heb meestal de neiging om een mail naar alle collega's te zenden met de mededeling dat "ik" jarig ben en morgen trakteer. (en dat doe ik dan ook)
Geloof me, je vergeet nooit meer je laptop te locken na 1 rondje gebak.
En dan mag je nog van geluk spreken als het niet ter sprake komt bij je jaar beoordeling.
Geloof me, je vergeet nooit meer je laptop te locken na 1 rondje gebak.
En dan mag je nog van geluk spreken als het niet ter sprake komt bij je jaar beoordeling.
Blij dat ik beoordeeld wordt op mijn prestaties. Ik lock overigens mijn scherm wel altijd. "Windows key"+L, zo moeilijk is dat niet.
31-08-2017, 09:28 door
Anoniem
Door Anoniem: Ben blij dat mijn collega's en ik niet zo zielig met elkaar om gaan. Overigens gaan onze W7 Enterprise pc's na 20 minuten automatisch op slot.
20 minuten?? Dat biedt genoeg gelegenheid. Mijn laptop locked na 2 minuten.
31-08-2017, 10:32 door
Reinder
The Village People als bureaubladachtergrond helpt ook. Zoiets als deze: http://www.headlinebooking.com/wp-content/uploads/2011/08/VillagePeople_main1.jpg
31-08-2017, 11:38 door
Anoniem
Door Anoniem:
20 minuten?? Dat biedt genoeg gelegenheid. Mijn laptop locked na 2 minuten.
Door Anoniem: Ben blij dat mijn collega's en ik niet zo zielig met elkaar om gaan. Overigens gaan onze W7 Enterprise pc's na 20 minuten automatisch op slot.
20 minuten?? Dat biedt genoeg gelegenheid. Mijn laptop locked na 2 minuten.
Ik zou het ook graag sneller zien. Maar de baas (lees ICT) beslist... Daarom druk ik altijd maar op Windows key+L
31-08-2017, 12:22 door
Anoniem
Door Anoniem: Dit leer je in op een IT opleiding wel af, meestal kom je terug bij een mooi nieuwe screensaver en achtergrond.
Vroeger haalden we altijd het geintje 'de iconen werken niet meer' uit. Screenshot maken van huidige desktop, iconen allemaal verbergen, screenshot nieuwe achtergrond maken. Het geintje om de desktop te spiegelen of ondersteboven te zetten was ook altijd leuk voor 5 minuten lol. Na een paar keer wist je wel hoe je je pc moest locken.
31-08-2017, 13:00 door
Anoniem
Blij dat ik beoordeeld wordt op mijn prestaties. Ik lock overigens mijn scherm wel altijd. "Windows key"+L, zo moeilijk is dat niet.
Indien mensen willens en wetens zich stelselmatig niet houden aan de veiligheidsvoorschriften binnen een bedrijf, dan mag dat *ook* meegenomen worden in de beoordeling. Vergeet niet wat de schade kan zijn voor een werkgever als het mis gaat (i.e. de containerterminal in Rotterdam welke werd platgelegd door NotPetya ransomware liep circa 200-300 miljoen euro schade op).
31-08-2017, 14:15 door
Anoniem
Door Anoniem: Ben blij dat mijn collega's en ik niet zo zielig met elkaar om gaan. Overigens gaan onze W7 Enterprise pc's na 20 minuten automatisch op slot.
Ik heb 2 minuten nodig om je hash te dumpen / invoke mimikatz te draaien.. als het al 2 is? Volgens mij staat de huidige richtlijn om je credentials te krijgen op een script van 15 sec.
Daarnaast; misschien moet je je afvragen hoe JIJ zou reageren als je je pc niet locked en je komt terug om midden in een wat "explicitere adult website" te kijken terwijl dit dus tegen de richtlijnen van het bedrijf is op strafe van ontslag (en waar is dat niet zo?) .
Jij bent verantwoordelijk voor je werkplek....
gr Eminus
31-08-2017, 16:06 door
root
In tegenstelling tot Arnoud en vele anderen heb ik hier toch een andere mening over:
gebruik maken van de inlogcodes van een ander is je voordoen als iemand ander en geeft je tevens toegang tot bedrijfsbestanden en privébestanden waar je (waarschijnlijk) geen recht op hebt. Als het goed is dat heeft het bedrijf een reglement waarin staat dat dit niet mag.
Ik zou het zeker niet doen, ook niet als geintje. Het is veel verstandiger de leidinggevende in te lichten.
gebruik maken van de inlogcodes van een ander is je voordoen als iemand ander en geeft je tevens toegang tot bedrijfsbestanden en privébestanden waar je (waarschijnlijk) geen recht op hebt. Als het goed is dat heeft het bedrijf een reglement waarin staat dat dit niet mag.
Ik zou het zeker niet doen, ook niet als geintje. Het is veel verstandiger de leidinggevende in te lichten.
31-08-2017, 16:58 door
Anoniem
Gho, wat een FYSIEK ONVEILIG KANTOOR, een college lockt je laptap..doet ook je bureau opslot en je kast en kamer opslot?
Dat allemaal om een bakkie koffie te halen..
SOCIALE VEILIGHEID OP KANTOOR NUL.....
Je collega zijn niet te vertouwen, je jatten als raven en spioneren voor de concurrent..
Wat een bagger baan en wat een slecht bedrijf..
Dat allemaal om een bakkie koffie te halen..
SOCIALE VEILIGHEID OP KANTOOR NUL.....
Je collega zijn niet te vertouwen, je jatten als raven en spioneren voor de concurrent..
Wat een bagger baan en wat een slecht bedrijf..
31-08-2017, 22:07 door
karma4
Ik sluit me aan bij de laatste kritikasters die het niet zo maar eens zijn met Arnoud.
Een werkgever hoort voor een veilige werkplek zorg te dragen.
Als je op moet gaan letten dat collega's en bazen moedwillig de boel gaan lopen verzieken dan is er iets goed mis.
Ik kan me de tijd nog herinneren dat je het met papieren dossiers moest doen af te handelen op bureaus en met postvakjes in/uit die voor iedereen toegankelijk / zichtbaar waren.
Je hielp elkaar om het werk gedaan te krijgen. In de fysieke wereld kan het nog steeds niet anders. Stel je eens voor op een bouwplaats dat je continu bezig moet zijn dat de collega's niet iets verkeerds doen. In een militaire setting natuurlijk geheel funest. Waar is het toch mis gegaan met de ICT professionaliteit.
De opmerking dat je mogelijk met een beheerdersaccount aangelogd bent als risico vind ik geheel fout.
Beheer werk change / release hoort ingepland van geteste zaken volgens een draaiboek te zijn (hoe minimaal ook).
Als dat niet de cultuur is faalt de werkgever in zijn taak voor een veilige werkomgeving niet de werknemer.
Een werkgever hoort voor een veilige werkplek zorg te dragen.
Als je op moet gaan letten dat collega's en bazen moedwillig de boel gaan lopen verzieken dan is er iets goed mis.
Ik kan me de tijd nog herinneren dat je het met papieren dossiers moest doen af te handelen op bureaus en met postvakjes in/uit die voor iedereen toegankelijk / zichtbaar waren.
Je hielp elkaar om het werk gedaan te krijgen. In de fysieke wereld kan het nog steeds niet anders. Stel je eens voor op een bouwplaats dat je continu bezig moet zijn dat de collega's niet iets verkeerds doen. In een militaire setting natuurlijk geheel funest. Waar is het toch mis gegaan met de ICT professionaliteit.
De opmerking dat je mogelijk met een beheerdersaccount aangelogd bent als risico vind ik geheel fout.
Beheer werk change / release hoort ingepland van geteste zaken volgens een draaiboek te zijn (hoe minimaal ook).
Als dat niet de cultuur is faalt de werkgever in zijn taak voor een veilige werkomgeving niet de werknemer.
31-08-2017, 22:47 door
Anoniem
Door root: In tegenstelling tot Arnoud en vele anderen heb ik hier toch een andere mening over:
gebruik maken van de inlogcodes van een ander is je voordoen als iemand ander en geeft je tevens toegang tot bedrijfsbestanden en privébestanden waar je (waarschijnlijk) geen recht op hebt. Als het goed is dat heeft het bedrijf een reglement waarin staat dat dit niet mag.
Je maakt geen gebruik in andermans inlog codes. Immers hij was niet gelukt. Je hoeft ook niet specifiek voordoen als iemand anders, immers je kan de mail ook gereed maken om te verzenden. Persoonlijk open ik altijd iemand msword, en type met zeer grote letters "GEBAK". Of de site van multivlaai opzoeken. Beeld 180 graden draaien. Achtergrond print screen maken, en daarna alles verbergen. Geweldig......gebruik maken van de inlogcodes van een ander is je voordoen als iemand ander en geeft je tevens toegang tot bedrijfsbestanden en privébestanden waar je (waarschijnlijk) geen recht op hebt. Als het goed is dat heeft het bedrijf een reglement waarin staat dat dit niet mag.
En die persoon weet genoeg als die terug komt.
Ik zou het zeker niet doen, ook niet als geintje. Het is veel verstandiger de leidinggevende in te lichten.
Dit soort acties verzieken juist enorm de sfeer op een afdeling. Iemand "verklikken" voor zo iets, als je echt geen leven meer wilt hebben bij je werkgever, dan is dit juist wel iets wat je moet doen.
01-09-2017, 08:01 door
Anoniem
Bij het werken met computers horen nu eenmaal andere regels en 'best practices' dan in de 'oude' tijd toen alles nog op papier ging.
Een van die regels is bijv. dat je beheerders werk doet met een beheerders account en dat je je gewone werk doet met een normaal user account.
Vertrouwelijke informatie versturen we niet per mail en slaan we ook niet onversleuteld op op bijv. een USB-stick.
Zo nog veel meer en daar hoort ook de gewoonte bij dat je je PC lockt wanneer je er niiet achter zit.
Je doet ook je gordel om als je gaat autorijden en je zet je bril af voor het slapen gaan, zo'n gewoonte mooet dit zijn!
Dat heeft allemaal niets te maken met vertrouwen in collega's, je weet immers nooit wie er nog meer allemaal toegang heeft tot jouw afdeling en dus jouw werkplek en daarmee tot informatie die onder jouw naam wordt opgevraagd.
In de jaren die ik nu (als externe) in de ICT werk heb ik bij vele bedrijven verschillende maatregelen (en ook reacties daar weer op) gezien die collega's nemen wanneer ze een ongelockte computer tegenkomen (of terugkwamen bij hun, door een collega gelockte, PC).
Velen daarvan zijn hierboven al genoemd.
Het locken van een ongebruikte PC moet in 2017 een automatisme zijn. Als je dat nu nog steeds niet doet verdien je een stevige uitbrander tijdens jouw functioneringsgesprek.
Een van die regels is bijv. dat je beheerders werk doet met een beheerders account en dat je je gewone werk doet met een normaal user account.
Vertrouwelijke informatie versturen we niet per mail en slaan we ook niet onversleuteld op op bijv. een USB-stick.
Zo nog veel meer en daar hoort ook de gewoonte bij dat je je PC lockt wanneer je er niiet achter zit.
Je doet ook je gordel om als je gaat autorijden en je zet je bril af voor het slapen gaan, zo'n gewoonte mooet dit zijn!
Dat heeft allemaal niets te maken met vertrouwen in collega's, je weet immers nooit wie er nog meer allemaal toegang heeft tot jouw afdeling en dus jouw werkplek en daarmee tot informatie die onder jouw naam wordt opgevraagd.
In de jaren die ik nu (als externe) in de ICT werk heb ik bij vele bedrijven verschillende maatregelen (en ook reacties daar weer op) gezien die collega's nemen wanneer ze een ongelockte computer tegenkomen (of terugkwamen bij hun, door een collega gelockte, PC).
Velen daarvan zijn hierboven al genoemd.
Het locken van een ongebruikte PC moet in 2017 een automatisme zijn. Als je dat nu nog steeds niet doet verdien je een stevige uitbrander tijdens jouw functioneringsgesprek.
01-09-2017, 08:17 door
Anoniem
Door karma4: Ik sluit me aan bij de laatste kritikasters die het niet zo maar eens zijn met Arnoud.
Een werkgever hoort voor een veilige werkplek zorg te dragen.
Als je op moet gaan letten dat collega's en bazen moedwillig de boel gaan lopen verzieken dan is er iets goed mis.
Het gaat in hier om een laptop. Een laptop is draagbaar en kan ook in de trein, in het café, thuis, of bij een klant staan. Het is daarom essentieel om je laptop altijd te locken als je je werkplek verlaat, zodat je dit ook in "onveilige" omgevingen automatisch en zonder erover na te denken doet.Een werkgever hoort voor een veilige werkplek zorg te dragen.
Als je op moet gaan letten dat collega's en bazen moedwillig de boel gaan lopen verzieken dan is er iets goed mis.
Daarnaast kan een werkgever niet garanderen dat er geen rotte appel tussen zijn werknemers rondloopt. Verslaving en schulden kunnen zelfs van mensen die voorheen geen vlieg kwaad deden in de kortste tijd een crimineel maken...
01-09-2017, 13:53 door
Anoniem
Een werkgever hoort voor een veilige werkplek zorg te dragen. Als je op moet gaan letten dat collega's en bazen moedwillig de boel gaan lopen verzieken dan is er iets goed mis.
Bij een veilige werkplek hoort security awareness, en een security policy waar ook het personeel zich aan houdt. Indien je je laptop onbeheert en unlocked achter laat, dan zorg je zelf mede voor een onveilige werkplek. Kennelijk wil jij een veilige werkplek voor werknemers, zonder dat die werknemers enige verantwoordelijkheid dragen. Zo werkt dat niet.
01-09-2017, 13:59 door
Anoniem
Vertrouwelijke informatie versturen we niet per mail en slaan we ook niet onversleuteld op op bijv. een USB-stick.
Lol, jij stuurt zeker een koerier rond voor ieder bericht met vertrouwelijke informatie. Ooit wel eens gehoord van bijvoorbeeld encrypted email ? ;))
Het locken van een ongebruikte PC moet in 2017 een automatisme zijn. Als je dat nu nog steeds niet doet verdien je een stevige uitbrander tijdens jouw functioneringsgesprek.
Inderdaad, maar sommige mensen nemen altijd een slachtoffer rol aan. Zelfs als ze zelf de fout in gaan.
Dit soort acties verzieken juist enorm de sfeer op een afdeling. Iemand "verklikken" voor zo iets, als je echt geen leven meer wilt hebben bij je werkgever, dan is dit juist wel iets wat je moet doen.
Lol, als je een afdeling hebt met een goede sfeer, dan hoeven dit soort zaken zeker geen probleem te zijn. Tenzij mensen extreem onsportief zijn. Hier hebben we ook zo nu en dan taart, doordat iemand zijn laptop onbeheerd achter laat. Nog nooit iemand over horen zeuren, en het heeft nog nooit geleid tot een verziekte sfeer op de afdeling.
Alleen mensen die onsportief zijn, en geen enkele verantwoording nemen voor hun eigen daden gaan mekkeren over dit soort zaken, en zeuren over 'klikken'. Neem gewoon je verantwoordelijkheid, dan overkomen dit soort zaken je niet.
01-09-2017, 14:01 door
Anoniem
Een werkgever hoort voor een veilige werkplek zorg te dragen.
Leg eens uit, wat is de verantwoordelijkheid van de werknemer in deze ? Of heeft deze zelf geen verantwoordelijkheid met betrekking tot de veiligheid van de eigen werkplek ?
01-09-2017, 17:43 door
karma4
Door Anoniem:
Leg eens uit, wat is de verantwoordelijkheid van de werknemer in deze ? Of heeft deze zelf geen verantwoordelijkheid met betrekking tot de veiligheid van de eigen werkplek ?
SimpelEen werkgever hoort voor een veilige werkplek zorg te dragen.
Leg eens uit, wat is de verantwoordelijkheid van de werknemer in deze ? Of heeft deze zelf geen verantwoordelijkheid met betrekking tot de veiligheid van de eigen werkplek ?
1/ de fysieke toegang hoort dusdanig te zijn dat de onbevoegde kwaadwillende niet een binnen kunnen komen waar mensen met d es gevoelige gegevens werken. Een eerste taak van werknemers is onbekenden op tijd herkennen zodat die eruit gehaald worden toegangspasjes met foto's segmentatie in werkruimtes.
2/ werk je met gevoelige data dan doe je dat enkel in veilige ruimtes werk thuis en beslist niet op een of andere publieke bijeenkomst.
Het wisselen naar beheerders rechten wil je niet buiten veilige ruimtes. Dat zou als werkgever duidelijk beleid moeten zijn.
Ik heb nog wel wat rampverhalen voor je waarbij in reorganisaties verantwoordelijkheid is blijven liggen.
Wat dacht je vaan een brandende apparatuur in een datacenter waarvoor de receptie dd brandweer belt omdat de voormalige personen het wel zagen maar niet hun probleem vonden.
01-09-2017, 18:06 door
Anoniem
Waarom kiest hier niemand voor de meest simpele oplossing: Laptop dichtklappen (op een fatsoenlijk geconfigureerde bedrijfslaptop triggert dat de vergrendeling) en een briefje achterlaten?
Van andermans toetsenbord moet je gewoon afblijven!
Bij gedeelde computers kan je natuurlijk ook zelf inloggen en uitloggen.
Van andermans toetsenbord moet je gewoon afblijven!
Bij gedeelde computers kan je natuurlijk ook zelf inloggen en uitloggen.
01-09-2017, 22:34 door
Anoniem
Bij twee grote klanten (banken) was het protocol als volgt:
- onbeheerde niet gelockte werkplek = gele kaart
- tweede constatering = rode kaart bij de ene/ontslag op staande voet bij de andere
- derde constatering = bij de andere ontslag op staande voet
Er waren geen screensavers actief, iedereen moest zelf actief locken. Daarnaast was het niet mogelijk om op andere afdelingen te komen zonder geautoriseerde pas. Verder werd er actief gecontroleerd en liepen bij beide banken er mensen van de beveiliging hun rondes, en per dagdeel kwamen ze ten minste 2 x op willekeurig tijdstip langs. Ze controleerden bij hun ronde op "niet gelockte systemen", openstaande kasten in lege kamers en dat soort zaken.
En ontslag was geen angst praatje, heb bij beide meegemaakt dat er werknemers ontslagen werden.
Overigens BYOD was uitgesloten, eigen apparatuur meenemen (tablet, laptop) was een no-go en reden voor een gele kaart en ontslag bij herhaling.
- onbeheerde niet gelockte werkplek = gele kaart
- tweede constatering = rode kaart bij de ene/ontslag op staande voet bij de andere
- derde constatering = bij de andere ontslag op staande voet
Er waren geen screensavers actief, iedereen moest zelf actief locken. Daarnaast was het niet mogelijk om op andere afdelingen te komen zonder geautoriseerde pas. Verder werd er actief gecontroleerd en liepen bij beide banken er mensen van de beveiliging hun rondes, en per dagdeel kwamen ze ten minste 2 x op willekeurig tijdstip langs. Ze controleerden bij hun ronde op "niet gelockte systemen", openstaande kasten in lege kamers en dat soort zaken.
En ontslag was geen angst praatje, heb bij beide meegemaakt dat er werknemers ontslagen werden.
Overigens BYOD was uitgesloten, eigen apparatuur meenemen (tablet, laptop) was een no-go en reden voor een gele kaart en ontslag bij herhaling.
Door Anoniem: Bij twee grote klanten (banken) was het protocol als volgt:
.......
Ik ken ook die organisaties van binnen. Periodes met de opdracht van boven om zo veel mogelijk mensen op de vloer kwijt te raken. Ik heb heel rare zaken zien gebeuren. Ze zullen nog steeds gebeuren. Games if thrones in real life........
Andere momenten om zoveel mogelijk aan de klanten te verdienen ethisch of niet. Denk eens aan de woekerpolisaffaire.
Overigens byod kwam aan de orde in het kader van besparing op werkplekken. Security monitoring goedkoper in Verweggistan met in het geheel geen grip op service accounts en analyse op systeemlogfiles. Veel gemakkelijker om werk in de Cloud weg te zetten of als ict leveranciers taak af te geven.
Nee met het wanbeleid wat betreft security wat ik gezien heb stweek ik er net wat anders in.
04-09-2017, 17:23 door
Anoniem
Ik heb in een callcenter gewerkt voor een webwinkel en er is een collega geweest die is ontslagen vanwege cadeaubonnen die onder zijn account zijn aangemaakt. Toen bleek dat hij niet degene was die ze had aangemaakt maar een andere collega is die ook ontslagen, maar het ontslag van de eerste collega is niet ingetrokken omdat hij medeverantwoordelijk was.
06-09-2017, 16:46 door
Anoniem
Bij twee grote klanten (banken) was het protocol als volgt:
- onbeheerde niet gelockte werkplek = gele kaart
- tweede constatering = rode kaart bij de ene/ontslag op staande voet bij de andere
- derde constatering = bij de andere ontslag op staande voet
Er waren geen screensavers actief, iedereen moest zelf actief locken.
- onbeheerde niet gelockte werkplek = gele kaart
- tweede constatering = rode kaart bij de ene/ontslag op staande voet bij de andere
- derde constatering = bij de andere ontslag op staande voet
Er waren geen screensavers actief, iedereen moest zelf actief locken.
Typisch gevalletje van een afwezig af falend security control framework. Als je dergelijke zaken als werkgever niet op orde hebt, dan is het lachwekkend om werknemers op staande voet te ontslaan bij onveilig gebruik. Veel bedrijven letten wel op security awareness, maar vergeten totaal een goed security control framework om veilig computer gebruik zoveel mogelijk technisch af te dwingen.
28-09-2017, 07:00 door
Anoniem
Door Anoniem: Gho, wat een FYSIEK ONVEILIG KANTOOR, een college lockt je laptap..doet ook je bureau opslot en je kast en kamer opslot?
Dat allemaal om een bakkie koffie te halen..
SOCIALE VEILIGHEID OP KANTOOR NUL.....
Je collega zijn niet te vertouwen, je jatten als raven en spioneren voor de concurrent..
Wat een bagger baan en wat een slecht bedrijf..
Dat allemaal om een bakkie koffie te halen..
SOCIALE VEILIGHEID OP KANTOOR NUL.....
Je collega zijn niet te vertouwen, je jatten als raven en spioneren voor de concurrent..
Wat een bagger baan en wat een slecht bedrijf..
Aha. Dus al jou collega's hebben ook allemaal volledige administrator rechten op alle servers en in de Active Directory? Het zijn je collega's dus die zijn altijd te vertrouwen toch?
20-11-2017, 09:17 door
Anoniem
op het roc zie ik soms ook wel dat leerlingen weg lopen van hun werkplek en de pc niet locken.
helaas zijn er andere leerlingen die porno in het beeld zetten of dergelijks (ja het is echt gebeurd).
dit vind ik treiter gedrag en problemen maken voor die persoon (als systeem beheerders mee kijken en dan de gebruiker aanspreekt dat die porno kijkt of zo wat door ander is opgezet.)
ik doe het zelfde wat hierboven beschreven staat. even document op bureaublad plaatsen met titel lees mij en dan er in zetten dat pc niet vergrendeld was en dat dit wel slim is om te doen om te voorkomen dat iemand misbruikt van zijn account.
als die persoon het er blij mee is dat is een 2de.
helaas zijn er andere leerlingen die porno in het beeld zetten of dergelijks (ja het is echt gebeurd).
dit vind ik treiter gedrag en problemen maken voor die persoon (als systeem beheerders mee kijken en dan de gebruiker aanspreekt dat die porno kijkt of zo wat door ander is opgezet.)
ik doe het zelfde wat hierboven beschreven staat. even document op bureaublad plaatsen met titel lees mij en dan er in zetten dat pc niet vergrendeld was en dat dit wel slim is om te doen om te voorkomen dat iemand misbruikt van zijn account.
als die persoon het er blij mee is dat is een 2de.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Junior adviseur informatiebeveiliging / incidentcoördinator
Ministerie van Buitenlandse Zaken
Als incidentcoördinator ben je lid van het securityteam van het ministerie van Buitenlandse Zaken. Je bent medeverantwoordelijk voor de bescherming van de informatievoorziening van BZ. Als junior adviseur informatiebeveiliging voer je impact-analyses uit en stel je adviezen op over operationele informatiebeveiligings-vraagstukken.