Juridische vraag: Is IE6 nog op de werkvloer toegestaan?
Heb jij een uitdagende vraag over beveiliging, recht en privacy, stel hem aan ICT-jurist Arnoud Engelfriet en maak kans op zijn boek
"De wet op internet".
Arnoud is van alle markten thuis, maar vindt vooral in technische / hacking vragen een uitdaging. Vragen over licenties worden niet behandeld, aangezien die geen raakvlak met beveiliging hebben. De Juridische vraag is een rubriek op Security.nl, waar wetgeving en security centraal staan. Elk kwartaal kiest Arnoud de meest creatieve vraag, die dan zijn boek zal ontvangen.
Vraag: Is mijn werkgever verantwoordelijk als er geld van mijn rekening gestolen wordt via malware op het bedrijfsnetwerk? Ik vroeg me dit af omdat mijn werkgever me enig privégebruik van computer en netwerk toestaat onder werktijd. Heeft hij dan niet ook een zorgplicht om het netwerk vrij te houden van virussen en andere malware? Als dan achteraf blijkt dat zulke malware heeft toegeslagen, kan ik hen dan aansprakelijk stellen?
Antwoord: Het lijkt me bijzonder moeilijk je werkgever aansprakelijk te stellen voor schade als gevolg van privégebruik van bedrijfsmiddelen, zelfs als dat privégebruik expliciet toegestaan was. Dat laatste is overigens onvermijdelijk - de wet maakt een keihard verbod op privé internetten onmogelijk.
Je werkgever moet een veilige omgeving bieden, zowel ARBO-technisch als ICT-technisch. Je mag dus een zeker minimumniveau van beveiliging op het bedrijfsnetwerk verwachten, ongeacht of je dat nu gebruikt voor privé- of werkgerelateerde zaken. Net zoals je mag verwachten dat de stoelen in de kantine niet doorzakken en de fietsenstalling enige beveiliging tegen fietsendiefstal heeft. Dat neemt echter niet weg dat je bij privégebruik en zeker bij internetbankieren ook enige eigen verantwoordelijkheid hebt.
Volgens de wet ben je bij bankfraude niet meer dan 150 euro aansprakelijk, tenzij je "frauduleus of opzettelijk of met grove nalatigheid hebt gehandeld" (art. 7:529 BW).
Uit dit artikel volgt ook dat je wettelijk verplicht bent je te houden aan de voorwaarden van je bank over gebruik van het betaalinstrument (zolang deze redelijk zijn natuurlijk). Het controleren of er een virusscanner draait en je enigszins up to date bent met je patches lijkt me daar wel onderdeel van.
Ik zou dus zeggen: als je wéét dat je werk geen veilige omgeving is om te internetbankieren, dan ben je nalatig als je dat toch gaat doen. Ook als je werkgever je verplicht om IE6 te gebruiken en je verbiedt de voorgeïnstalleerde Flashplayer te upgraden.
Wel vraag ik me af of zulke werkgevers echt nog bestaan.
Arnoud Engelfriet is ICT-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. In 2008 verscheen zijn boek "De wet op internet".
Als het goed is zouden we nu al verhuisd zijn naar een nieuw gebouw met nieuwe IT infra en windows 7 etc...
Mogelijk dat de komst van Chrome OS uitkomst kan bieden voor die bedrijven die een computer alleen maar nodig hebben voor Internet-toepassingen, inclusief eventuele interne web-applicaties. Chrome OS heeft wel een aantal beperkingen en is op dit moment nog iets te duur maar dat verandert nog wel. Vraag is alleen of bedrijven een dergelijke overstap wel willen maken. (Want email wordt dan webmail, en zo...)
Maar goed, ik weet dat ik in 2002 nog steeds af en toe moest werken aan een 16-bits applicatie die onder Windows 3.11 moest draaien, terwijl deze Windows versie in 1995 al door Windows 95 was vervangen. Maar gebruikers investeren lang niet altijd even snel in nieuwe software en hardware, dus blijven dergelijke oude systemen soms nog veel te lang in gebruik.
En kijk ik naar Windows XP dan zie ik een besturings-systeem dat zo populair is geworden dat deze volgens mij over 5 jaar nog steeds her en der terug te vinden is. Waarschijnlijk ook nog met IE6.
Maar goed, het is aan ons developers de taak om gebruikers maar richting de nieuwere browsers te forceren door absoluut te weigeren dat onze applicaties nog draaien op dergelijke verouderde software. Kost misschien wel klanten, maar de rest is wel een stuk veiliger...
Ik vraag me weleens af wat er gebeurd als een gewone gebruiker op zijn/haar verbinding thuis iets verkeerds op de pc/laptop krijgt en ik daarna waardoor het weer op mijn thuisnetwerk kan komen wie dan de schade bij mij thuis vergoed....
Je stelt de verkeerde vraag: wat is het nut voor het bedrijf als mensen een alternatieve browser installeren? Vooral als we het over een dichtgetimmerde desktop hebben. Waarom zou het bedrijf tijd en geld investeren zodat de werknemers onder werktijd naar facebook kunnen? Ieder extra stuk software is immers een extra risico en een extra beheerslast.
Het is toch jouw eigen vrije keuze om op je werkplek te internetbankieren. Niemand verplicht je daartoe, en je kan ook wachten tot je thuis bent indien je de situatie op je werk te onveilig vindt. Het is wel erg gemakkelijk om de schuld te geven aan je werkgever, enkel omdat je toevallig met zijn eigendommen prive -mag- internetten. Waar is jouw eigen verantwoording ?
Ik begrijp het bezwaar wel, door bijv. chrome of firefox toe te gaan staan moet je een breederen ondersteuning richting je gebruikers bieden maar je ook op het gebied van beheer. Waar je er eerder alleen de updates van IE hoefte bij te houden moet je dat nu ook voor bijv. een andere browser. Maargoed gezien het feit dat het bedrijf IE6 nog gebruikt denk ik dat er helemaal niet aan updates/onderhoud wordt gedaan ...
De gevolgen kunnen ook kwaadaardig zijn! Zo doen de nieuwere webbrowsers graag een prefetch om alvast enkele links op de pagina te laden zodat de browser sneller lijkt te werken. Jammer alleen als de website een beetje verkeerd is gebouwd en een prefetch aan de server opdracht geeft om data te verwijderen. Dus zonder opdracht van de gebruiker! Dergelijke ellende is in het verleden wel vaker voorgekomen, waarbij een zoekmachine gewoon een site afging en alle URLs ging volgen, maar waarbij het volgen van bepaalde URLs als gevolg had dat data werd verwijderd.
Maar het algemene probleem is dat meer browsers bij de gebruikers gewoon meer werk betekent voor de systeembeheerders. Systeembeheerders kosten in het algemeen alleen maar geld en veel bedrijven bezuinigen hier graag op. Dus om het werk van systeembeheerders te vereenvoudigen wil men vaak de software tot een minimum beperken...
En dan is er nog een ander probleem. Er bestaan applicaties die gebruik maken van IE6 embedded in de applicatie zelf. We praten dan over legacy applicaties die intern eventueel HTML gebruiken om een mooie, dynamische form-layout te genereren. Is ook heel practisch als je daar ook nog hyperlinks aan toevoegt die andere sites in een apart browser-scherm openen. Zonder IE6 zouden deze applicaties niet meer werken. En als een andere browser de default is, dan kan het wel eens vervelend worden indien een embedded webbrowser een nieuwe browser wil openen. (Zeker als het om sessie-gegevens en cookies gaat!)
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Information Security Officer (2fte)
Een uitdagende rol waarbij jij, op basis van security, de vertaalslag maakt tussen business en IT en direct bijdraagt aan de veiligheid van informatie binnen de gemeente Almere. Dat is in een notendop waar jij als Information Security Officer mee bezig bent. Interesse gewekt? Door groei van de organisatie zijn we op zoek naar twee nieuwe collega’s.
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
