Computerbeveiliging - Hoe je bad guys buiten de deur houdt

Juridische afspraak maken met werkgever over verantwoordelijkheid

04-10-2010, 10:56 door markutah, 10 reacties
Beste Allen,
Wij hebben in onze bedrijf tweetal servers staan waarmee financiële transacties worden gedaan. De bedragen kunnen oplopen tot enkele miljoenen euro's.
Nou is de bedoeling dat de server door mij (systeembeheer van het bedrijf) wordt gedaan en de beheer van de applicatie inclusief users en user rights zullen vanaf afstand door een extern bedrijf worden gedaan. Deze bedrijven zijn nl ook de leverancier van de applicaties. Deze leveranciers zeggen dat ze administrator rechten op de servers nodig hebben om hun werk te kunnen doen.

Nou hoeft natuurlijk niets fout te gaan, maar mocht er toch met de transacties gerommeld worden kan er alle kanten op worden gewezen over verantwoordelijkheid.

Ik zou graag van mensen die ervaring hebben met dergelijke situaties graag willen horen wat ik met mijn werkgever moet regelen. Wie is in dit situatie juridisch verantwoordelijk voor fraude die met de transacties eventueel optreedt?

Ik zou ook graag willen weten welke tools we kunnen gebruiken om alle handelingen te loggen.

Alvast bedankt.

Groetjes
Mark
Reacties (10)
04-10-2010, 11:40 door Anoniem
Wijs je werkgever schriftelijk (per email) op de gevaren. Daarmee dek je jezelf in, mocht je ooit ergens van beschuldigd worden.

Geef de leverancier geen toegang tot de officiele administrator account, maar maak een apart account met een apart wachtwoord.

Tools: eventlog, je kunt systeemacties (toegang tot bestanden) laten opslaan. Dat kan tot in hoog detail.

Beter is remote loggen, dat voorkomt manipuleren van de eventlog. Syslog is daarbij de standaard. Er zijn tools die event naar syslog doen. Die tools moet je ook weer extra beveiligen tegen manipulatie (alarmbellen moeten afgaan).
http://www.google.com/#q=event+log+to+syslog
04-10-2010, 19:47 door [Account Verwijderd]
[Verwijderd]
04-10-2010, 22:08 door callie
wat de eerste je adviseert is uitstekend. Zorg dat je gedetailleerd degene op de hoogte stelt van de risico's let op dat je ook anderen op cc zet.

Daarnaast zou ik een soort contract met je leveracier sluiten waarin je hem aansprakelijk stelt voor mogelijke gevolgen bij het onderhoud. De Leverancier moet jou duidelijk maken wat ze doen zodat jij een risico analyse kan doen.

ow en Syslogging is een zeer goede tool.

Overigens raad ik je aan om de toegang van je leverancier onder controle te houden dmv je firewall. Je maakt voor hem een aparte set aan die je alleen activeert als hij toegang wil. Daarvoor zou ik dan een proces in place brengen. ( zorg dat de leverancier je vertelt wat hij gaat doen, wanneer, wie ( namen) enz enz. ( je maakt afspraken met je leverancier en zet deze op papier)

Verder heb ik wat moeite met de reactie van unaniem waarin hij zegt dat remote door een leverancier een slecht plan is.
In de ideale wereld komt de engineer on-site en verzorgt het onderhoudt aan je omgeving. En is hij er dedicated voor jou.
Echter in de echte wereld is dit voor de meeste bedrijven onbetaalbaar en ontkom je hieraan niet.
Zaak is dat je je zaakjes op orde hebt dan is remote beheer van je apps prima.
05-10-2010, 12:44 door Anoniem
* Auditting op filesysteem en databases
* Remote syslog (al dan niet met een SIEM oplossing)
* Alleen rechten / toegang tot datgene waar men bij moet kunnen (geldt voor de externe EN de interne organisatie)
* Functiescheiding
* Meerdere personen nodig bij cruciale handelingen (bijv. Enterprise Admin / Root wachtwoord in tweeen splitsen)
*
05-10-2010, 14:14 door Anoniem
Beste Mark,

Plaats Shell Control Box van Balabit (www.balabit.com) tussen de server en de externe partij. Die slaat ALLES op wat men doet. Als jij dan ook via die doos werkt heb je altijd bewijs wie wat heeft gedaan. Let wel dan extreem goed op dat de fysieke beveiliging ook echt goed met camera's is geregeld.

Verder is het NOOIT de bedoeling dat functioneel beheerders admin rechten krijgen op een OS. Dat is echt NOT DONE.

Mvg,
Een Senior Security officer van een hele grote bank.
05-10-2010, 22:38 door Anoniem
Door Anoniem: Beste Mark,
Een Senior Security officer van een hele grote bank.

Dat is meteen ook je probleem. Jij denkt dat alles om security draait en dat hoe het eraan toegaat bij jouw werkgever overal zou moeten gelden. Dat is niet zo, het draait om het resultaat, de middelen dienen het doel en niet andersom.
06-10-2010, 16:30 door markutah
Hallo allemaal,
Allemaal heel erg bedankt voor jullie reacties. Er zaten heel goede tips bij. Ik heb inmiddels met de werkgever gesproken en die is zich nu ook bewust van de risico's en gaat onderhandelen over de benodigde rechten etc met de leveranciers.

**** LET OP *****
Niemand hoeft zich iets aan te trekken van de ratings. Die zijn niet goed gegaan. Sorry beginners foutje :(
06-10-2010, 17:35 door [Account Verwijderd]
[Verwijderd]
07-10-2010, 13:25 door Anoniem
Het risico van deze beslissing moet genomen worden en belegd worden daar waar die hoort. Dus je moet contact opnemen met de security officer of hij dit wil overnemen en aangeven wat de aanleiding, risico en eventuele gevolgen zijn.

Verder is dit aan de security officer/manager inclusief management waar ze het risico beleggen.

Jij bent iig niet degene die die verantwoordelijkheid hoort te nemen.

M.v.g.


Theo Coolen
07-10-2010, 21:15 door Anoniem
Mark, je vraag roept juridisch enkele aandachtspunten op. Het precieze antwoord hangt sterk af van de feitelijke situatie die bij jullie speelt en dat is lastig beoordelen zo op afstand. Maar grosso modo zijn er wel enkele opmerkingen te maken.

Bij een dienstverband geldt in beginsel dat de werkgever aansprakelijk is voor fouten van werknemers. Dat heeft ook een praktische kant: het is de werkgever die zich hiervoor pleegt te verzekeren, van werknemers wordt dat niet verwacht.

Dat betekent echter niet direct dat je *dus* als werknemer altijd vrijuit zou gaan. Rommel je zelf opzettelijk met transacties, dan ligt de situatie al anders. Vergeet ook niet dat een beschuldiging van rommelen met transacties in een ontslagprocedure vervelend voor je kan uitpakken. Helderheid over wie nu waar voor verantwoordelijk is, goede beveiliging en vastleggen wat er met die transacties allemaal gebeurt is dus voor alle betrokken partijen daarmee denk ik relevant.

Denk overigens ook aan de privacywetgeving. In de financiële transacties zullen vermoedelijk "persoonsgegevens" besloten liggen. De Wet bescherming persoonsgegevens vereist in artikel 13 dat degene die voor de verwerking van die gegevens verantwoordelijk is passende technische en organisatorische beveiligingsmaatregelen treft. Dat is vermoedelijk je werkgever. Wordt het treffen van die maatregelen nagelaten, dan zou zowel door de toezichthouder (CBP) als door degene wiens persoonsgegevens worden verwerkt daartegen opgetreden kunnen worden. Goede beveiliging omvat diverse aspecten, zoals goede toegangscontrole, encryptie, logging, etc. De mate waarin die maatregelen moeten worden toegepast hangt van de specifieke situatie af. Gezien het om financiele gegevens gaat, kunnen best verstrekkende maatregelen verwacht worden. Mocht er overigens ook sprake zijn van internationaal transport van persoonsgegevens, dan zouden ook regels uit andere landen kunnen gaan spelen of zouden regels omtrent data-export in beeld kunnen komen.

Dat zo even als eerste reactie. Hopelijk heb je hier iets aan. Succes met het overleg met je baas.

Mocht je nog vragen hebben, schroom niet om contact op te nemen.

Met vriendelijke groet,

Mark Jansen
http://nl.linkedin.com/in/markjansennl
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.