image

Juridische vraag: Is het openen van een met ransomware besmette e-mailbijlage reden voor ontslag?

woensdag 28 augustus 2019, 10:40 door Arnoud Engelfriet, 16 reacties

Heb jij een interessante vraag op het snijvlak van privacy, cybersecurity en recht? Wil je weten wat onder de AVG nu wel en niet is toegestaan of zit je met andere gerelateerde dilemma's? Stuur je vraag naar juridischevraag@security.nl. Elke week geeft ict-jurist Arnoud Engelfriet in deze rubriek antwoord.

Vraag: Verschillende steden in de VS zijn met ransomware besmet geraakt omdat personeel een besmette e-mailbijlage opende. Nu heeft één van deze steden een it-medewerker ontslagen. Zou dat in Nederland kunnen, iemand ontslaan omdat zijn gedrag tot een infectie leidde, bijvoorbeeld omdat hij een bijlage opende of een update niet installeerde?

Antwoord: Het lijkt me uitermate onwaarschijnlijk dat in Nederland iemand wordt ontslagen enkel vanwege het feit dat door zijn handelen een ransomware-infectie uitbrak.

Natuurlijk is het bepaald slordig als je als werknemer een besmette e-mailbijlage opent, zeker als je op de it-afdeling werkt en dus (zo mag je vermoeden) enige kennis over it, beveiliging en risico's hebt. Maar slordig je werk doen of onoplettend bezig zijn onder werktijd is simpelweg niet genoeg om tot ontslag over te mogen gaan. Of iets preciezer gezegd: één geval van disfunctioneren is geen reden voor ontslag.

Een disfunctionerende medewerker kun je in Nederland pas ontslaan als je het nodige hebt gedaan om verandering te brengen in het functioneren van de medewerker. De werkgever moet de medewerker daarbij expliciet informeren over wat er misgaat en hoe dat beter kan, en heeft een zorgplicht dat de werknemer dit ook werkelijk beter gaat doen. Bij it-gerelateerd disfunctioneren moet de medewerker dus op cursus, even kort door de bocht. En pas als hij daarna hardnekkig domme dingen blijft doen, kun je aan ontslag denken.

Ook helpt het behoorlijk bij een ontslagaanvraag om duidelijke regels gesteld te hebben, die dan zijn overtreden ondanks de training en awareness daarover die je als werkgever eraan hebt gegeven. (Enkel dus iets in een reglement zetten of via de mail mededelen is juridisch dus betekenisloos.)

Dan heb je ook nog de ontslag op staande voet, maar bij security incidenten moet iemand het dan wel héél bont hebben gemaakt wil je daartoe over kunnen gaan. Enkel een besmette bijlage openen -ook al ben je de security officer- zou ik als te weinig zien om dit paardenmiddel in te kunnen zetten. Al is het maar omdat een groot deel van de schade bij het bedrijf dan ook komt door gebrekkige beveiliging en backups, en ik het gevoel zou hebben dat het ontslag meer een vorm van afreageren is dan een daadwerkelijke proportionele respons op verwijtbaar handelen.

Arnoud Engelfriet is Ict-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.

Reacties (16)
28-08-2019, 11:50 door Anoniem
Misschien was die it-medewerker niet ontslagen omdat ie een e-mail bijlage opende, maar omdat ie nog altijd geen
applocker policy geinstalleerd had die dit soort problemen eenvoudig kan tegengaan, hoewel dit al wel maanden op zijn
takenlijst stond en het keer op keer ter sprake is gekomen in het werkoverleg?
28-08-2019, 12:48 door Anoniem
Als het hele bedrijf failliet gaat door een uitbraak is het wel zo netjes om de persoon te ontslaan. Deze heeft tenslotte de zaak naar de knoppen geholpen. Doet er niet toe of het nu perrongeluk was of niet.
28-08-2019, 13:35 door Anoniem
.
Pardon. Is het niet in de eerste plaats de verantwoordelijkheid van het bedrijf zelf om geen besmette E-mail (bijlagen) op zijn endpoints af te leveren. En wanneer dit onverhoopt toch gebeurt het endpoint voldoend beschermt te hebben zodat detectie en vernietiging plaats vindt.
28-08-2019, 13:46 door Erik van Straten
Er zijn m.i. veel voorkomende omstandigheden die eindgebruikers deels vrijpleiten.

Ten eerste kan het zo zijn dat de bijlage gebruik maakte van een exploit om tot uitvoering te komen, en de ontvanger niet werd gewaarschuwd bij het openen ervan (zoals het uitvoeren van macro's toestaan). Als het hierbij niet om een zero-day exploit gaat, had het tijdig installeren van patches dit scenario wellicht kunnen voorkomen.

Ten tweede is ransomware schadelijker naarmate gebruikers hogere privileges hebben dan noodzakelijk, waaronder het hebben van wijzigings- en/of verwijderrechten op bestanden terwijl zij die helemaal niet nodig hebben voor hun werk (iedereen ook write/delete permissies op alle bestanden in DFS is vragen om ellende). Anderzijds zijn privilege escalation mogelijkheden vaak aanwezig, maar het ASAP installeren van patches voor bedoelde kwetsbaarheden (die door softwaremakers zelden als "critical" worden geklassificeerd) maakt het malware, een niet-interactieve aanvaller dus, vaak een heel stuk lastiger.

Ten derde zijn op getroffen PC's vaak cached credentials (wachtwoorden of equivalent) van andere gebruikers -waaronder beheerders met hoge privileges- te vinden, of deze komen daarop terecht zodra een onbedachtzame beheerder -met hoge privileges en een ook elders gebruikt wachtwoord- op zo'n PC inlogt inlogt, bijvoorbeeld om te kijken wat er aan de hand is.

Ter illustratie, mogelijk is dat laatste gebeurd bij de Duitse uitgever Heise (uitgever van o.a. c't en iX) na een Emotet malware besmetting eerder deze zomer. Uit https://www.heise.de/ct/artikel/Trojaner-Befall-Emotet-bei-Heise-4437807.html:
Unter anderem ist nicht auszuschließen, dass sich jemand zur Reinigung eines infizierten Systems als Domain Admin angemeldet hat. Das wäre einer der Kardinalfehler, die man unbedingt vermeiden sollte.

Het derde punt maakt "lateral movement" mogelijk, en via het verkrijgen van steeds hogere privileges raakt vaak het gehele Active Directory domein of zelfs enterprise gecompromitteerd. Daarna kan de ransomware op elk systeem bestanden naar keuze versleutelen.

Bovenstaande drie punten zijn allemaal zaken die je m.i. een eindgebruiker niet kunt verwijten (tenzij het om een hooggeplaatste functionaris of een drammer gaat die onnodig hoge privileges eiste en kreeg). Hoewel de eindgebruiker verantwoordelijk is voor de initiële infectie, kun je m.i. hem of haar de gevolgschade niet verwijten indien -tegenwoordig noodzakelijk geachte- mitigerende (schadebeperkende) maatregelen niet zijn geïmplementeerd.

Als je echter als beheerder of "DevOps" met Domain Admin privileges jouw eigen e-mail gaat zitten lezen en zo een domein om zeep helpt, kan ik me wel voorstellen dat er disciplinaire maatregelen volgen. IT-ers horen immers beter te weten en, niet te vergeten, zich te bijven bijscholen. Voor zover dat vanuit de werkgever geen verplichting is, moeten zij daartoe dan wel in de gelegenheid worden gesteld.
28-08-2019, 15:37 door Anoniem
Door Anoniem:Pardon. Is het niet in de eerste plaats de verantwoordelijkheid van het bedrijf zelf om geen besmette E-mail (bijlagen) op zijn endpoints af te leveren. En wanneer dit onverhoopt toch gebeurt het endpoint voldoend beschermt te hebben zodat detectie en vernietiging plaats vindt.

Een bedrijf doet niets. Dat wordt door medewerkers gedaan. Het feit dat een IT medewerker is ontslagen, doet vermoeden dat het zijn taak was om de virusscanner up-to-date te houden. Of misschien wel de offline back-up te verzorgen. En dat hij dat niet heeft gedaan.

Peter
28-08-2019, 15:42 door Whacko
Door Anoniem: Als het hele bedrijf failliet gaat door een uitbraak is het wel zo netjes om de persoon te ontslaan. Deze heeft tenslotte de zaak naar de knoppen geholpen. Doet er niet toe of het nu perrongeluk was of niet.

Nou dat vind ik dus helemaal niet netjes. Als je er helemaal niets aan kunt doen, en dan op straat staan? Gelukkig werkt het niet zo in Nederland.

Overigens, is "perrongeluk" als je zonder vijftig euro vindt op een perron? ;)
28-08-2019, 16:28 door Anoniem
Als de it-er samenwerkt met de criminelen en doelbewust de bijlage opende, lijkt me ontslag op staande voet terecht en vermoedelijk ook in Nederland mogelijk. Alleen de bewijslast zal lastig zijn.
28-08-2019, 16:45 door Anoniem
Door Anoniem: Als het hele bedrijf failliet gaat door een uitbraak is het wel zo netjes om de persoon te ontslaan. Deze heeft tenslotte de zaak naar de knoppen geholpen. Doet er niet toe of het nu perrongeluk was of niet.

Iedereen wordt ontslagen bij een failliesement.

Peter
29-08-2019, 08:37 door Anoniem
Zou dat in Nederland kunnen, iemand ontslaan omdat zijn gedrag tot een infectie leidde, bijvoorbeeld omdat hij een bijlage opende of een update niet installeerde?

Zou het kunnen dat de werkgever verantwoordelijk is, voor de beveiliging ? En voor het blokkeren van uitvoerbare attachments, op de mail server ? Denk na over welke preventieve maatregelen je kunt nemen om te *voorkomen* dat dit gebeurt.

Een veel betere aanpak, dan een blame game achteraf. Daarnaast is, buiten kwade opzet, in principe de werkgever verantwoordelijk voor het handelen van de werknemers.

Ik vind dit net zoiets als de vraag of je werknemers moet straffen indien ze een zwak wachtwoord kiezen, terwijl de mogelijkheid zoiets te kiezen ligt aan een slecht beveiligingsbeleid.

PS: Een goede backup kan veel problemen verhelpen, bij ransomware besmettingen.
29-08-2019, 08:40 door Anoniem
Als het hele bedrijf failliet gaat door een uitbraak is het wel zo netjes om de persoon te ontslaan. Deze heeft tenslotte de zaak naar de knoppen geholpen. Doet er niet toe of het nu perrongeluk was of niet.

En je denk dat het management geen verantwoordelijkheid draagt ? Of de IT afdeling ?

-> Moeten uitvoerbare bestanden, als attachment worden toegestaan, op de mailserver ?
-> Moet een goed backup beleid de schade niet (grotendeels) kunnen voorkomen, bij ransomware infectie ?

Trappen naar de eindgebruiker is zo gemakkelijk, terwijl de aansprakelijkheid veel breder ligt.
29-08-2019, 08:40 door Anoniem
Als de it-er samenwerkt met de criminelen en doelbewust de bijlage opende, lijkt me ontslag op staande voet terecht en vermoedelijk ook in Nederland mogelijk. Alleen de bewijslast zal lastig zijn.

Indien de IT-er samenwerkt met de criminelen, dan is het helemaal niet nodig hem te mailen met ransomware.
29-08-2019, 12:10 door Anoniem
In Nederland kan dit niet. In Amerika wel, aangezien veel werknemers daar "at will" werkzaam zijn. Dat wil zeggen dat men ieder moment kan stoppen met werken, maar ook ontslagen kan worden omdat men verkeerd naar de manager kijkt.
29-08-2019, 20:54 door [Account Verwijderd] - Bijgewerkt: 29-08-2019, 20:54
Door Anoniem: Trappen naar de eindgebruiker is zo gemakkelijk, terwijl de aansprakelijkheid veel breder ligt.

Inderdaad! Je moet een systeem zo inrichten dat menselijke fouten gemaakt kunnen worden en de gevolgen daarvan beperkt blijven. Want er zal altijd iemand zijn, vroeg of laat, die in een onbewaakt moment, door vermoeidheid, afgeleid zijn, etc. ergens op klikt waar dat niet had gemogen.
29-08-2019, 22:39 door Anoniem
Door En Rattshaverist:
Door Anoniem: Trappen naar de eindgebruiker is zo gemakkelijk, terwijl de aansprakelijkheid veel breder ligt.

Inderdaad! Je moet een systeem zo inrichten dat menselijke fouten gemaakt kunnen worden en de gevolgen daarvan beperkt blijven. Want er zal altijd iemand zijn, vroeg of laat, die in een onbewaakt moment, door vermoeidheid, afgeleid zijn, etc. ergens op klikt waar dat niet had gemogen.

Don’t try to make anything foolproof, because fools are so ingenious!
30-08-2019, 12:15 door Anoniem
Iedereen wordt ontslagen bij een failliesement.

Hihi!! Lekker scherp Peter :-) LMFAO!
18-09-2019, 17:31 door Remmilou
Door Anoniem:
Door Anoniem:Pardon. Is het niet in de eerste plaats de verantwoordelijkheid van het bedrijf zelf om geen besmette E-mail (bijlagen) op zijn endpoints af te leveren. En wanneer dit onverhoopt toch gebeurt het endpoint voldoend beschermt te hebben zodat detectie en vernietiging plaats vindt.

Een bedrijf doet niets. Dat wordt door medewerkers gedaan. Het feit dat een IT medewerker is ontslagen, doet vermoeden dat het zijn taak was om de virusscanner up-to-date te houden. Of misschien wel de offline back-up te verzorgen. En dat hij dat niet heeft gedaan.

Peter

Een bedrijf doet niets. En ontslaat dus ook geen medewerkers. Die medewerker is ontslagen door de directeur. Die misschien wel zijn eigen straatje schoonveegt. Zo kunnen we nog wel even door speculeren.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.