image

Verliezen laptop reden voor ontslag

dinsdag 7 augustus 2007, 09:24 door Redactie, 26 reacties

Een werknemer van internetbedrijf VeriSign is ontslagen wegens het verliezen van een laptop met vertrouwelijke gegevens. De computer werd op 12 juli uit de auto van de werknemer gestolen en bevatte namen, Sofi-nummers, geboortedata, salarisgegevens, telefoonnummers en adresgegevens van een onbekend aantal VeriSign werknemers.

VeriSign liet in een verklaring weten dat het bedrijf een beleid heeft hoe er met laptops moet worden omgegaan. Zo mogen laptops met vertrouwelijke gegevens niet in het zicht in een auto worden bewaard, moet de hoeveelheid vertrouwelijke informatie tot een minimum worden beperkt en moet men encryptie gebruiken om de gegevens te beschermen. Van getroffen werknemers wordt een jaar lang de afschriften gemonitord, hoewel VeriSign denkt dat het om een gewone inbraak gaat en de inbrekers het niet om de persoonsgegevens te doen was.

Reacties (26)
07-08-2007, 09:54 door Anoniem
geheel terecht, als jij de verantwoordelijkheid op je neemt
met vertrouwelijke gegevens van anderen rond te gaan zeulen,
moet je ook de consequenties aanvaarden als je ze je af laat
nemen.
07-08-2007, 10:08 door [Account Verwijderd]
[Verwijderd]
07-08-2007, 10:08 door Anoniem
je moet die dingen gewoon zwaar over beveiligen
07-08-2007, 10:14 door [Account Verwijderd]
[Verwijderd]
07-08-2007, 10:57 door Anoniem
"Van getroffen werknemers wordt een jaar lang de afschriften
gemonitord, hoewel VeriSign denkt dat het om een gewone inbraak gaat
en de inbrekers het niet om de persoonsgegevens te doen was."

Wat voor afschriften worden er gemonitord, en door wie ? Ongeacht of
mijn persoonsgegevens zijn gestolen, laat ik mijn bankafschriften -als het
daarover gaat- nimmer monitoren door mijn werkgever. Of heb ik iets
verkeerd begrepen.
07-08-2007, 11:00 door Anoniem
Dus, Iceyoung, jij vindt dat, ondanks dat het bedrijf
voldoende mogelijkheden biedt om gegevens beveiligd en
versleuteld te vervoeren, de werknemer niets te wijten valt?
Of de techniek nu voldoende werkt of niet is hier niet het
probleem: deze werknemer heeft tegen het beleid en de regels
in, gegevens onbeveiligd vervoerd.
Er wordt in het artikel niet gerept over de bij VeriSign
gebruikte technologieen om gegevens te beveiligen. Ik ben
het met je eens dat veel op internet aangeboden tools niet
afdoende zijn, maar zonder meer informatie valt niet te
zeggen hoe velig de gegevens bij VeriSign zijn.
Zoals je terecht opmerkt is dat ook niet belangrijk in dit
geval: het gaat om juridische aansprakelijkheid.

- Joris
07-08-2007, 11:01 door JayVee
Door Iceyoung
Alsof die encryptie heilig is.
Het hangt er helemaal van af hoe die encryptie ge-implementeerd is.
Ik heb onlangs wat testen gedaan op diverse systemen met encryptie per
folder, per partitie en per gehele schijf en de resultaten waren niet
bepaald
hoopgevend.
Als je de documenten eerst op een gedeelte opslaat dat niet ge-encrypt
is
en vervolgens in een folder of op een partitie plaats die wel encrypt is, is
dit
VALSE VEILIGHEID.

Daarnaast heb ik ook nog wat tools getest om de vrije data gebieden op
een schijf "te resetten" (met enen en nullen te
overschrijven, formateren
etc.) , daar zou ik ook maar geen geld aan uitgeven want ook hier is de
gesuggereerde veilgheid niet erg hoopgevend.

Ik zou graag die VeriDign medewerker zijn want ik liet geen spaan heel
van die aantijgingen !

Interessante test. Ook al heb ik deze nooit zelf uitgevoerd vermoed ik dat
je gelijk hebt. Wietse Venema heeft in 'Forensic Discovery' een passende
term hiervoor gebruikt, en wel: 'the order of volatility'. Hetgeen in groffe
lijnen betekend dat digitale informatie extreem moeilijk te verwijderen is.

Als die Verisign medewerker een contract getekend heeft waarin staat
dat hij akkoord gaat met ontslag wanneer hij onverhoopt vertrouwelijke
informatie verliest, lijkt het me dat hij geen spreekwoordelijke poot meer
heeft.
07-08-2007, 11:09 door [Account Verwijderd]
[Verwijderd]
07-08-2007, 11:16 door JayVee
Door Iceyoung
Verliezen is dus ook een relatief begrip. Gestolen worden uit je auto is
geen verliezen. Waaronder valt het als je onder bedreiging van een
wapen
je laptop moet afgeven ???

Allemaal van die dingen die niet in een contract vallen af te dekken.
Tevens
kan een bedrijf wel dingen van je eisen (al of niet rechtsgeldig) maar de
rechtspraak heeft toch het definitieve oordeel.
I stand corrected ;-)
07-08-2007, 11:17 door [Account Verwijderd]
[Verwijderd]
07-08-2007, 11:25 door Anoniem
@Iceyoung

zou je wat meer kunnen uitwijden over je testresultaten? Dit
klinkt interessant, maar als je niet met bewijzen komt,
geloof ik je niet.

Ik gebruik een zelfgeschreven script om vertrouwelijke
bestanden te encrypten. De encyptieengine is GnuPG 1.4.7
(met AES256), de sleutellengte van de bestanden is tussen de
90 en de 110 tekens lang. De sleutels worden opgeslagen in
een sleutelbestand, dat is gecodeerd met een sleutel van
1024 tekens. Deze laatste sleutel staat op een usb-stick en
is gecodeerd met mijn eigen publieke PGP-sleutel. Je hebt
dus altijd én de betreffende USB-stick én mijn private
PGP-sleutel én de passphrase daarvan nodig om die bestanden
te openen. De niet ge-encrypteerde versie van het bestand
wordt verwijderd door Eraser (incl. alternate data stream),
met de Guttman methode (35 keer overschreven, verschillende
patronen etc.) Elke nacht gaat Eraser ook mijn vrije ruimte
te lijf. Eens in de week doet ook het programma sdelete dat,
als een extra zekerheid.

Als het waar is wat jij zegt, zou het dus kunnen zijn dat
deze hele methode (die volgens mij best veilig is als je
computer niet is gecompromitteerd), niet veilig genoeg is??

Overigens ben ik van mening dat VeriSign er zeker goed aan
doet om de bewuste persoon te ontslaan. VeriSign is een
bekend bedrijf dat gespecialiseerd is in data beveiliging.
Wanneer medewerkers op zo een manier tegen de voorschriften
in gaan, is het niet meer dan terecht dat ze ontslagen worden.

Dat dit onslag ook deels politiek te verklaren is, denk ik
ook wel. Het verliezen van gevoelige data is een klap voor
de reputatie, het zonder consequenties laten zijn voor de
betrokken medewerker terwijl bekend is dat deze de
veiligheidsprotocollen zwaar heeft overtreden, is niet te
verkopen.
07-08-2007, 11:31 door Anoniem
@iceyoung

Gestolen worden uit je auto is toch gewoon verliezen.
Volgens Van Dale:
ver·lie·zen (ov.ww.)
3 niet meer beschikken over => iets erbij inschieten,
kwijtraken
07-08-2007, 11:40 door [Account Verwijderd]
[Verwijderd]
07-08-2007, 11:57 door [Account Verwijderd]
[Verwijderd]
07-08-2007, 12:17 door [Account Verwijderd]
[Verwijderd]
07-08-2007, 12:45 door Anoniem
@Door Iceyoung op dinsdag 07 augustus 2007 11:40

Ik gebruik geen word :), maar open office. Ik maak geen
gebruik van de reserve-kopie functies. Toch zal ik daar nog
even goed naar kijken. Ik zal eens een wat uitgebreidere
controle doen dan ik tot nu toe heb gedaan.

Internetten doe ik vrijwel altijd vanuit een virtuele
machine naar een proxy in eigen beheer (SSH). Zodoende is
het internetverkeer niet gemakkelijk rechtstreeks aan mijn
computer te koppelen. Omdat het in een virtuele machine
draait, is er weinig risico dat eventuele malware (hoewel
onwaarschijnlijk) bij mijn bestanden kan komen.


maar om terug te komen op mijn oorspronkelijke vraag: welke
programma's heb je getest en wat waren je bevindingen?
07-08-2007, 12:58 door Jachra
Door Iceyoung
Verliezen is dus ook een relatief begrip. Gestolen worden uit je auto is
geen verliezen. Waaronder valt het als je onder bedreiging van een wapen
je laptop moet afgeven ???

Allemaal van die dingen die niet in een contract vallen af te dekken. Tevens
kan een bedrijf wel dingen van je eisen (al of niet rechtsgeldig) maar de
rechtspraak heeft toch het definitieve oordeel.

Hoewel ik het eens ben met je betoog, gaat het niet op voor
een Amerikaans bedrijf. Daar heb je geen bescherming zoals
in Nederland. Ontslag kan je gewoon krijgen, redenen hoeven
er niet te zijn.

De bekende kartonnen doos verhalen zal je wel kennen.
07-08-2007, 13:15 door Anoniem
Vandaag de dag hoeven er geen gegevens op laptops te staan;
er zijn talloze manieren om comfortabel op afstand te
werken. Als het bedrijf dat niet geregeld heeft, is het zelf
verantwoordelijk voor de situatie waarin gevoelige info op
laptops kan staan.
Daarnaast: wie vandaag de dag een laptop in z'n auto laat
liggen, is de laatste 10 jaar niet meer onder z'n steen
vandaan geweest.
Zoveel dommigheid dat het haast niet kan. Maar zou er dan
nog een andere oorzaak kunnen zijn?
07-08-2007, 13:18 door [Account Verwijderd]
[Verwijderd]
07-08-2007, 14:18 door [Account Verwijderd]
[Verwijderd]
07-08-2007, 14:43 door Anoniem
"Verliezen is dus ook een relatief begrip. Gestolen worden uit je auto is
geen verliezen. Waaronder valt het als je onder bedreiging van een
wapen je laptop moet afgeven ???"

Hem wordt niet verweten dat de laptop is gestolen, maar dat hij niet
heeft gehandeld overeenkomstig afgesproken. Als de afspraak is dat de
laptop niet zichtbaar in een auto achtergelaten mag worden, en hij dit
toch doet, schendt hij de regels - ongeacht of er daarna een diefstal
plaats vindt.

"Het gaat hier alleen maar om politieke veiligheid, het afschermen van
juridische aansprakelijkheid, dit gaat helemaal niet over technische
veiligheid !!!!!!!!"

Het gaat niet slechts om juridische aansprakelijkheid. Beveiliging is niet
alleen technisch, maar is ook gerelateerd aan het gedrag van de
medewerkers. Indien medewerkers hier niet goed mee om gaan dan
ontstaan er beveiligingsrisico's.

Hierom worden afspraken gemaakt over wat voor gedrag wel/niet
acceptabel is (acceptable use policy), en eventueel kunnen hier sancties
aan worden gekoppeld. Preventief gezien werd dergelijk beleid wel, om
te voorkomen dat anderen soortgelijk gedrag vertonen.
07-08-2007, 17:44 door wimbo
Door rookie
Door Iceyoung
Quote/
Dan moet je gewoon de hele schijf encrypten, dus ook de
systeem-partitie(s)
/Quote


JA maar DAT doet juist NIET iedereen !!!!!!!!!!!!!

Je zou verwachten bij een hi-tech bedrijf als verisign, dat
ze hun eigen ass nog encrypten daar :P
Bij KPN lopen ook mensen met een vodafone abonnement rond en
Pepsi medewerkers drinken ook Coca Cola. Dus dat zegt niet
zoveel.

Maar dat tie ontslagen is verrast me niets. VeriSign wordt
nu eenmaal gerund door juristen dus die bekijken het
zakelijk zwart wit..
'je hebt destijds een hadtekening gezet onder formulier X,
waarmee je dus akkoord ga met blablabla... dus je mag
vertrekken'
07-08-2007, 17:49 door wimbo
Door Anoniem
"Van getroffen werknemers wordt een jaar lang de
afschriften
gemonitord, hoewel VeriSign denkt dat het om een gewone
inbraak gaat
en de inbrekers het niet om de persoonsgegevens te doen
was."

Wat voor afschriften worden er gemonitord, en door wie ?
Ongeacht of
mijn persoonsgegevens zijn gestolen, laat ik mijn
bankafschriften -als het
daarover gaat- nimmer monitoren door mijn werkgever. Of heb
ik iets
verkeerd begrepen.


In the letter, VeriSign offers to provide a free one year
subscription to the Equifax Credit Watch Gold with 3-in-1
Monitoring (retail value $155.40) to those potentially
affected. Other than that, they recomend that current and
former employees place a "fraud alert" on their credit file.
[
http://wizbangblog.com/content/2007/08/02/laptop-theft-leaves-verisign-employees-data-exposed.php
]

Het is een service die ze commercieel in de markt zetten die
verdachte transacties kan detecteren. handig voor Amerikanen
die zo'n beetje alles met een CC kopen en dus honderden
transacties per maand zullen hebben.
08-08-2007, 17:04 door [Account Verwijderd]
[Verwijderd]
08-08-2007, 23:34 door wimbo
Door rookie
Door wimbo
Door rookie
Door Iceyoung
Quote/
Dan moet je gewoon de hele schijf encrypten, dus ook de
systeem-partitie(s)
/Quote


JA maar DAT doet juist NIET iedereen !!!!!!!!!!!!!

Je zou verwachten bij een hi-tech bedrijf als verisign, dat
ze hun eigen ass nog encrypten daar :P
Bij KPN lopen ook mensen met een vodafone abonnement rond en
Pepsi medewerkers drinken ook Coca Cola. Dus dat zegt niet
zoveel.

Alleen binnen KPN moeten de werknemers zich houden aan de
beveiligingspolicy van KPN en niet die van Vodaphone
(ondanks ze misschien privegesprekken voeren via een
Vodaphoneabonnement).

doelde meer op het 'eat your own dogfood' fenomeen.
09-08-2007, 00:00 door [Account Verwijderd]
[Verwijderd]
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.