Dit is dus het verhaal van de persvoorlichter.
Ik heb toch echt gehoord dat betrokkene met onbetaald verlof thuis zit in afwachting van het interne onderzoek (en de uitzending van vanavond waarschijnlijk)...

Ontslaan? Ze zijn wel gek, wie weet wat er dan ineens op straat ligt.

Je hoort zo vaak dat iemand zo'n hart voor zijn zaak heeft dat hij thuis, in zijn eigen tijd, nog aan de klus werkt. Hij mag dat dan niet, maar de baas wil ook dat de klus op tijd klaar is. Als dat niet het geval is, krijgt hij ook op z'n kop. De kans daarop is vaak groter dan dat de gegevens op straat komen te liggen.

Het nadeel van de werkwijze van deze werknemer is wel dat bij een volgend project ook weer te weinig uren worden ingepland. De planner houdt rekening met thuiswerken, terwijl de ingeplande medewerker dat niet mag. Bij wie ligt dus de oorzaak van het probleem?

En natuurlijk zit zo iemand met (officieel) onbetaald verlof thuis. Hij krijgt echter gewoon zijn salaris aan het eind van de maand, want het duurt wel even voor dat administratief verwerkt is. Daarnaast zal Orange niet zo snel loon inhouden als ze beweren het beste met hun medewerker voor te hebben. Dat is nu namelijk hun officiele standpunt. Anders had de persvoorlichter dat niet moeten zeggen.

Peter

Dan lijkt Orange me geen bedrijf waar jij voor zou willen werken Peter ;]


EDIT: niet gaan denken dat ik voor Orange werk overigens, ik heb het gehoord...

En de KRO heeft de informatiebeveiliging wel voldoende ingericht ?

Nou ja, iedereen heeft het recht om fouten te maken, waarschijnlijk was de medewerker zich absoluut niet bewust van het de data welke hij liep te lekken.
Alhoewel ik me wel verbaas omdat
1) het wel hoogst toevallig is dat men bij de KRO tot deze harde schijf kwam (daar er meer dan 50000 devices gevonden werden)
2) waar plukte dit device zijn ip adres vandaan , DHCP ?
3) meestal ben je met het inranet verbonden en wodt het een en ander via NAT onbereikbaar
4) Hoe kwam bij reporter aan de naam van de betreffende medewerker ?

De term UPnP is toch al gevallen ?
Als je dat kent (of opzoekt) snap je toch ook waarom NAT geen 'bescherming' bood ?
Het device heeft zich intern geregistreerd en via UPnP automatisch een portforward op de router aangezet.

De medewerker zal natuurlijk gewoon in die documenten staan; Degene die het meenam zat in dat project, dus de kans is groot dat diens naam her en der in de project documentatie terugkomt.
Dat heb je zo met werk, dat je eigen naam voorkomt in het werk waar je aan bezig bent.

Het zal niet zo toevallig zijn, de KRO heeft gewoon op veel apparaten gezocht en dit geval vanwege de interessante naam in de reportage meegenomen.
Kortom, men heeft geen Europol lek opgezocht, men heeft de interessante vangst van een sleepnet in de schijnwerpers gezet. En met zo veel open apparaten is de kans vrij groot dat er ook bekende namen tussen zitten.

Ik denk dat er ook een hoop vakantie foto's en misschien wat huiskamerporno gevonden zijn, alleen maak je meer uitzending met Europol lekkage dan met de breiclub op bezoek in Volendam.

Als je als bedrijf dusdanig chantabel bent door een medewerker heb je al een behoorlijk probleem.
Achteraf lekken uit wraakzucht heeft wel een echt forse juridische component voor degene die het doet.
Ontslag in deze situatie is zeker vervelend, maar hoeft een carriere elders niet echt te breken, dat is m.i. nog wel te managen met "eenmalige fout, enorm leermoment, gebeurt nooit weer, en moest zoenoffer zijn vanwege zichtbare impact etc etc" .Als de primaire expertise van de betrokkene nu ook buiten security ligt (want voor een security persoon is het natuurlijk ook wel een bewijs van incompetentie) lijkt de CV-deuk me wel te overzien.

Van gewoon een beoordelingsfout (onder druk van project , niet gerealiseerd, etc etc) naar een karakterfout stappen is echt niet handig.

Op de vraag van SPlid, Hoe een raporter hierachter kwam?

Punt 1:
Ik denk aan een INSIDER dat die heeft de KRO hierover getipt. stel hoe veel NAS heb je op dit moment op de wereld dat allemaal zijn vanaf buiten toegankelijk. " Dus NAT is naar deze NAS geopend en Firewall laat het door"
Punt 2:
inderdaad de medewerker die deze fout heeft gedaan niet collega's gevraagd of de NAS ook vanaf buiten is te bereiken. "MEER dan een domme/mens fout van ITer" misschien de naam NAS dat staat voor Network-attached storage zegt nog iets.
Punt 3: als advies NOOIT maak back-up van de gevoelige data op een NAS. je NAS is niet vanaf buiten te bereiken maar door andere personen binnen de bedrijf wel en als een van hun PC is besmet met een Trojaan, dan je NAS is wel zonder NAT voor buiten open.
Punt 4: Als je voor een back-up op een NAS gaat zorg dat deze NAS is helemaal geïsoleerd vanaf medewerker/pub netwerken. Dit kunnen zoveel in de NAS als in de Firewall prima regelen. op gebruikers/Groep niveau. IP Filter, map toegang en Tijd

als laatste tip, de veiligheid van je klanten netwerk is een combinatie van paar maatregelen. En dit moet dik in orde zijn als het om klanten zoals europol, ING en etc gaan.

Gr,
Fraidon

Ontslagen heeft absoluut geen zin maar bijscholen WEL!

Gr,

Fraidon

Gelooft 'ie het zelf?

In een beetje contract met externen staat dat alles bij de klant per definitie vertrouwelijk is.
En op overtreding staat maar 1 straf: ontslag. (ongeacht zijn intenties)
Soms zelfs een schade clousule voor het externe bedrijf.

Ik denk dat de drive bij hem thuis stond, en met UPnP een poort in zijn adsl-router opengetzet heeft. Het ding is bedoeld om over het internet bestanden met je vrienden te delen.

Net even gekeken op http://www.uitzendinggemist.nl/afleveringen/1311089 (Silverlight).

Mooie uitzending naar mijn mening.
Er is meer dan genoeg op de inhoud aan te merken natuurlijk, maar ik ben blij dat er eindelijk eens reguliere media-aandacht is voor dit soort problemen, gebaseerd op relatief nauwkeurig onderzoek. Zegt 't voort!


@SPlid: "zo makkelijk" (1 maand, een redactie en een IT'er) is het dus. :[

@AdVratPatat , ik heb de uitzending ook gezien, ik ben nog steeds flabbergasted ;-) Hoe dan ook verbazend dat ze net met de steekproef die ze uitvoerde (op naar ik meen 1200 nederlandse devices) nu net de Europol schijf eruit pikten, ik heb het vermoeden dat ze wel hebben zitten browsen op andere schijven totdat ze informatie vonden ....

@SPlid: deze Orange medewerker heeft waarschijnlijk zijn kont afgeveegd met de procedures van Europol. Het is bij Europol ten stengste verboden eigen devices te gebruiken voor werkzaamheden, laat staan als externe data mee naar buiten nemen. Ik ken mensen die namens een externe partij werkzaamheden hebben verricht voor Europol eigen laptops/tablets waren uit den boze. Alle werkzaamheden moeten uitgevoerd worden vanaf systemen van Europol zelf. Om dit soort "incidenten" te voorkomen.

Deze Orange medewerker heeft blijkbaar wel data mee naar buiten genomen, tegen de procedures in.

Deze procedures zijn er juist voor om te voorkomen dat gegevens in verkeerde handen vallen juist vanwege dit soort geklungel met een stom buggy consumentenNASje.

Dan kun je je er toch echt niet beroepen dat iedereen het recht heeft om fouten te maken. Dit is niet meer laksheid of een fout te noemen, maar ronduit grove nalatigheid.

Volgens mij heeft Orange er zelf voor gezorgd dat dit zo'n mediahype werd en dat de druk op de werknemer zo groot werd. Orange is toch naar de rechter gestapt, niet de KRO? Daardoor kwamen alle spotlights op deze zaak.

Als de directeur meteen ruiterlijk had toegegeven dat er een fout was gemaakt, was het allemaal nooit zo'n big deal geworden. Klassieke case van media-mismanagement dit.

Verder een uitstekende documentaire waarin terecht gewezen wordt op de risico's van thuis werken met slecht beveiligde apparatuur. Dus ze moeten niet zo piepen daar bij Orange.

Als je dat denkt ben je zelf naïef.

Bijna alle consumenten routers hebben tegenwoordig een UPnP optie en die staat standaard meestal aan. Met deze optie kan elk apparaat zelf poorten in een NAT-firewal open zetten, zelfs al kent hij het router wachtwoord niet. Deze UPnP optie doet precies waar het voor staat Universal Plug and Play. En mensen willen graag plug & Pay en niets zelf configureren. En blijkbaar ondersteund de iOmega dit optimaal. Zelf heb ik een Synology nas en die kan via de configuratie assistent en UPnP ook de poorten forwarden zonder dat je iets aan het modem moet instellen. En hetzelfde geld voor mijn IP cameras. Bij meerdere aangesloten cameras kiezen ze zelfstandig unieke vrije poorten zoals je als domme consument nooit iets in de router hoeft in te stellen.

Bij mij is UPnP dan ook altijd iets geweest wat ik als eerste in de router uitschakel omdat ik liever zelf de controle houd welk apparaat vanaf het internet benaderbaar moet zijn.

Wat zei die medewerker van Europol trouwens? Zeker meer dan de helft van dit soort security problemen, hebben de menselijke factor als oorzaak.

Vandaar dat Europol alleen maar eigen hardware toelaat.

Bovenstaande (en vooral de vandaag gemodereerde) reacties geven waarschijnlijk al meer dan voldoende antwoord op je vragen rondom deze uitzending. Het was zeker géén steekproef in ieder geval.


Heb je de uitzending gezien?
Alle respect, in de algemene zin van het woord heeft je reactie een zekere zin, de praktijk wijst helaas anders uit;
Niet alleen is de bron van een lek in de praktijk vrijwel nooit met 100% zekerheid aan te tonen (= bewijzen), maar belangrijker nog, betrokkenen zijn medewerkers waarvan verwacht wordt dat deze zich volledig conformeren aan gestelde eisen van werk- en opdrachtgever, waaronder grote zakelijke- / financiële dienstverleners en overheidsdiensten.
Als er door de betrokkenen ook maar aan één enkel voorschrift in deze context was voldaan, waren deze (Interpol / ING / KLM / Unilever / etc.) data-lekken natuurlijk nooit ontstaan.

Ik kan strikt genomen natuurlijk niet persoonlijk oordelen over de betrokkenen, maar ik kan je wel oprecht melden dat ik dusdanig gedrag binnen onze eigen organisatie wel degelijk als 'acuut veiligheidsrisico' omschrijf, en dat geldt voor iedere medewerker, van directeur (!!!) tot ingehuurde schoonmaker.
De sancties die op dit soort overtredingen staan kunnen variëren van een interne aantekening tot ontslag op staande voet i.c.m. juridische (lees strafrechtelijke) vervolging, geheel afhankelijk van de omstandigheden.

Ikzelf ben dan ook zeer benieuwd hoe Orange dit verder gaat afhandelen en ongeacht de uitkomst, misgun ik de Orange-medewerker zelf zeker geen onfortuinlijke toekomst.
Die directeur van het data-centrum op Schiphol daarentegen, mogen ze wat mij betreft compleet kaalplukken alvorens hem te voorzien van een gepaste hoeveelheid (juridische) pek en veren...
Ik ga de naam hier niet onnodig herhalen, maar die staat sinds gisteren bij ons preventief op de zwarte lijst. Daar hoef ik echt geen verder onderzoek voor af te wachten.


@MrBoombastic: +1
Ik zou het echter meer omschrijven als onjuist toegepaste "damage control" met als resultaat de "backfire," - Amerikaanse school, vooral omdat ik geen enkele expertise op het gebied van media heb ;]
Orange kan mogelijk veel lopende contracten verliezen door deze zaak, ik denk dat ze zich louter daarop concentreren, continuïteit van de bedrijfsvoering dus. De werknemer in kwestie is (m.i. overduidelijk) helemaal niet relevant voor het (mis-)management.

Tja je werkt in de ICT en zet thuis een Nas servertje neer voor privé doeleinden je zet wat zakelijke info erbij omdat je thuis ook graag wat werkt en dan beveilig je zo,n ding niet goed ???
Of je zet gevoelige data er versleuteld op ???
misschien kan je dan maar beter wat anders gaan doen


Over die directeur nog maar te zwijgen hoe bedoel je dat je gelijk heel ongeloofwaardig bent geworden.
Denk maar dat zijn personeel krom van het lachen gelegen hebt een volgens mij zeer vervelende man.

Toevallig heb ik afgelopen week ook een mail gehad dat mijn iomega schijf beschikbaar voor heel het internet kan zijn als ik de share functie zonder user heb aan staan en de router / firewall zo heb geconfigureerd dat bepaalde poorten open staan (die uiteraard default niet open staan) of als ik de NAS rechtstreeks aan het internet had gehanden. Voor mij geen probleem want dat is niet het geval. Maar wel netjes van iomega.

HP kan nog wat leren van iOmega. Die manager van HP had er nog nooit van gehoord dat je een printer rechtstreeks via internet kon benaderen. Tik voor de gein eens "officjet" of "deskjet" in op http://www.shodanhq.com/ en je ziet dat HP een groot probleem heeft. En niet op Webscan klikken, dat is illegaal als je geen journalist bent!