Categorie stalktokkie: Digibeet en dom genoeg het eigen ip gebruiken. Exdirecteurtje heeft zeker nooit een ict-er écht gesproken...

Zo zie je maar weer dat wraak altijd naar je eigen hoofd terugkeert. Ik heb ongeveer het zelfde gehad: met ruzie vertrokken uit bedrijf X, maar ik nam geen wraak op mijn vroegere werkgever. Daarom zit ik nu in vrede thuis en ben ik nooit veroordeeld door de rechter. Ik kan nog steeds een verzekering afsluiten en een bankrekening openen, want ik heb immers geen strafblad. Daarom: neem gewoon als een man je verlies. Hoe onrechtvaardig het oordeel ook mag zijn.

Geen backups? Terwijl je wist dat zonder die documenten het bedrijf niets meer waard was? Maandenlang geen toegangsbeheer uitgevoerd? Hoezo had die dame sowieso toegang op de dropbox van dat nieuwe bedrijf waar ze dus nooit voor gewerkt heeft?

Natuurlijk mag zo'n wisactie nog steeds niet, maar jeetje je bent als bedrijf wel een klein beetje nalatig als je zo failliet weet te gaan. Maar hopen dat er geen investoren rondlopen die de directeur voor criminele nalatigheid gaan aanklagen.

Handig, alle documenten op DropBox. En DropBox die geen backup service biedt.....

Normaal wil je toch backups hebben, mocht er wat mis gaan met het origineel, van je zakelijke bestanden.

Dropbox slaat het op voor 30 dagen......

Yup, sometimes the cards are stacked against you and the only way to win is not to play!

Yoshua (War Games 1983)

Nouja, altijd, op basis van een enkele veroordeling?

Ook gehad, helemaal uitgebrand, en verdrietig, en boos. Boos genoeg dat ik serieus overwogen heb om wat verassingen achter te laten, van het type niet te bewijzen dat het mijn schuld is. Het scheelde heel weinig. Uiteindelijk niet gedaan maar uit pure zelfbescherming, echt alleen maar daarom.

Was in dit geval aleen geen man.

Ik zou niet het oordeel onrechtvaardig noemen. Ze heeft duidelijk een grens overschreden. Dat er ook nog een andere kant aan de zaak is, daar ging het oordeel niet over. Hoewel, met alleen 80 uur taakstraf komt ze nog best goed weg voor een heel bedrijf pleite laten gaan. Dat en dat ze nu niet meer "van goed karakter" heet te zijn, dus zelf een nieuw bedrijf starten kon weleens problematisch zijn.

Maargoed, ook als je je wel gedraagt krijg je niet altijd wat je verdient. Mijn carrière is er nooit meer bovenop gekomen. Toch geen spijt van niet misbruik maken van mijn positie als systeembeheerder.

Een citaat zo verhaspelen doet gewoon pijn.

Euhm...

1: Had die dropbox-omgeving, of iig de data die daarop stond, die blijkbaar van het oude bedrijf was, en waardevol was, niet al verkocht moeten worden in de executieverkoop van het faillissement?

2: Waarom hebben ex-medewerkers van bedrijf 1, toegang tot 'n dropbox-omgeving van bedrijf 2? Als je 'n nieuw bedrijf start, en daarbij blijkbaar data van een oud bedrijf hergebruikt, lijkt dat me 'n mooi moment om alle accounts weg te gooien en van eventuele accounts die nog wel blijven bestaan het wachtwoord aan te passen... da's toch wel basis-hygiëne 1.0...

Dat kan best gebeurd zijn - dan is het verkocht aan de doorstartende eigenaar, of aan de nieuwe Ltd .
Dat soort data is het meest waardevol voor een nieuw/oude eigenaar die _dat_ bedrijf doorstart.
Het heeft ook nog wel enige waarde voor een naburige concurrent - en voor de rest van de wereld is de waarde behoorlijk nihil.
En de waarde 'koelt af' naarmate het bedrijf langer failliet is - die klanten vinden dan zelf wel iemand anders.

Als ik lees 'vastgoed marketing bedrijf' , dan verwacht ik toch al een heel kleine executie waarde - kantoorinventaris , paar oude desktops, en dan wat klant-data,leveranciers, misschien een naamsbekendheid .

Al met al - pech voor de schuldeisers, maar het is heel goed mogelijk dat de curator met een doorstart en verkoop aan de doorstarter nog de meeste waarde uit de boedel gerealiseert heeft .


Ja - zo denkt een ITer.

Dit leest als een klein bedrijf ('vastgoed marketing' ) met twee vennoten (de dader werd omschreven als 'een van de directeuren') die met ruzie uit elkaar gegaan - zakelijk.
De dader was een vrouw . het zou me totaal niet verbazen als het ook een relatie was, die stuk ging en ze d'r ex nog even drie dubbel wilde pakken.
Dat je als ITer denkt - 'schoon beginnen, alle accounts resetten' is , in ons vak, volkomen logisch.

Maar dat iemand een bedrijf heeft of "directeur" is van een "vastgoed marketing bedrijf" , maakt hem (noch haar) speciaal handig met IT. Sjon de stucadoor van Sjonnie stuct het strak VOF is dat ook niet. En Malou van Malou's nagelstudio ook niet.
Gewone mensen die hun computer gebruiken zoals de gemiddelde privé persoon - die denken gewoon niet aan dat soort dingen.
Met geluk hebben ze een partner of hulpje die dat iets beter kan. Als ze wat verstandiger zijn huren ze een IT beheer bedrijfje in. Moet je ook nog geluk mee hebben - en luisteren naar de hopelijk zinvolle adviezen.
Gegeven dat dit 'vastgoed marketing bedrijf' (eerst) al failliet gegaan is, zullen die echt geen geld besteed hebben aan 'franje' zoals een IT beheer bedrijfje inhuren. Kleine ondernemers zijn over het algemeen gewoon extreem op de centen.

Dus ja - pech voor iedereen. En had in dit geval technisch voorkomen kunnen worden. Maar weinig bijzonders - dat een partij in een zakelijk conflict de criminele grens overgaat gebeurt wel meer.

Maar dat is ook niet relevant. Om dat te laten zien split ik het verhaal even in twee.

Het "lage" gedeelte is het hoe dan, wat de ITer doet, het account dichtzetten. Daar huurt de baas iemand voor in, of gooit z'n zut "in de cloud" want "geen ITer meer nodig". Werkt niet helemaal zo, maarja windows wordt ook in de markt gezet met "geen training meer nodig" en dat verkoopt net zo goed.

Het "hoge" gedeelte gaat over informatieveiligheid. Als baas van een bedrijf dat eigenlijk helemaal afhankelijk is van een verzameling data kun je het je niet veroorloven om de principes van informatieveiligheid niet te snappen. Dus hij had na moeten kijken, of iemand opdracht moeten geven dat te doen, wie er allemaal toegang toe had. Met speciale nadruk op mensen die er vroeger toegang toe hadden en dat nu niet meer mogen hebben.

Voor dat laatste is deze vent zeer zeker wel verantwoordelijk.

Nou, iedereen die bijvoorbeeld aan internetbankieren doet moet zeker wel opletten dat hun peeceetje de toegangscodes niet lekt, dat staat ondertussen ook in de voorwaarden van de banken. Die graag doorschieten in de klant de schuld geven, maar soit. Dus ook "de gewone man" zal íets van informatieveiligheid moeten snappen en óók van hoe dat op de eigen arbeidsmiddelen te bewerkstelligen.

Maar als baas van een bedrijf dat failliet gaat bij verlies van een zekere hoeveelheid data? Die heeft geen excuus aan "dat wist ik niet", die had dat moeten weten op straffe van faillisement. En wellicht erger, criminele nalatigheid wellicht. Toplui van bedrijven zijn ondertussen persoonlijk verantwoordelijk te houden voor hemeltergende incompetentie. En daar valt voor een volledig informatieafhankelijk bedrijf de informatiebeveiliging ook onder, in ieder geval op beleidsniveau.

Er had dus een toegangsbeleid moeten zijn, ook voor een klein bedrijf. Gewoon een formulering dat deze data hier heel erg belangrijk is voor het voortbestaan van dit bedrijf en dat daar dit lijstje mensen toegang toe moeten hebben en niemand anders. Dat realiseren, dat lijstje maken, en nakijken of doen laten nakijken van of dat "en niemand anders" ook klopt, dat is zeker wel chefsache in dit verhaal. Die formulering kan in een half A4tje voor een klein bedrijf, maar je moet het wel doen. Het had in dit geval gewoon een faillisement kunnen schelen.

je laat precies zien waarom het _wel_ relevant is. Je bent verblind door de term 'bedrijf' . En hebt dan visioenen van directeuren , 'toplui' , managers, afdelingen , IT 'beleid' .

Voor heel veel bedrijven bestaat dat allemaal niet. Het is gewoon één of twee poppetjes die een vak hebben (huizen marketen, of nagels pimpen, of loodgieteren). En dat voor zichzelf doen - op dat moment zijn de 'directeur' van een 'bedrijf'.
Van andere zaken hebben ze net zoveel verstand als een willekeurige privé persoon. En ze draaien elk dubbeltje drie keer om .
En hier is het misgegaan - in dit geval door een bewuste criminele actie van de ex-vennoot.
Op andere fora lees je wellicht dat het misgaat als de schoenendoos met bonnen die ze naar de boekhouder moesten brengen kwijt is, en de fiscus een dikke schatting oplegt.
Of als de bedrijfsbus een total loss wordt en alleen WA verzekerd was. (ja, kun je ook dom vinden. Maar een starter, of een net doorgestarte tent draait echt elk dubbeltje om.)


Ja, dat staat er mooi in. Nog erder voor 'zakelijke' accounts, want waar een prive klungel nog wel wat coulance kan krijgen kan de ondernemer het helemaal schudden. Maar die kleine ondernemer is gewoon net zo 'handig' als de gewone man - die IS de gewone man - en loopt dus wel eens tegen pech aan.
Al die verhalen van gewone mensen met computer pech (geen backup, ransom ware, hardware crash) - dezelfde pech treft kleine bedrijven. En soms loopt dat fataal af.

Je hebt niet begrepen wat er staat en verzint dus maar hoe je dat mij aan kan rekenen.

Ja, nou, dus? Daarom staat er ook, dat "beleid" hoeft maar een half A4tje te zijn, maar je moet er wel over nagedacht hebben. Je moet op beleidsniveau snappen waar 'm de kneep zit.

Dat is *cost of doing business* voor een bedrijf dat zo IT-afhankelijk is dat een enkele dropbox-wisactie het hele bedrijf kan opdoeken. En dat is absoluut chefsache. Ook in een kleinbedrijf. Ook voor de ZZPer.

Leer nou eens spellen, welke taal denk je dat je aan het schrijven bent?

Het punt is precies dat ook voor privépersonen enige informatiebeveiligingskennis ondertussen gewoon een vereiste is. Tenminste, als ze met informatieverwerkende apparatuur zoals internetverbonden computers in de weer zijn en daar gevoelige dingen mee doen zoals "internetbankieren".* En dat je als topman van om het even welk bedrijf, om het even welke grootte van je bedrijf, zul je dit op z'n minst op beleidsniveau ook moeten snappen als dat belangrijk is voor je bedrijf. Daar kom je gewoon niet onderuit.


* Dat is de prijs van al dat "gemak" met "internetbankieren" en "bankier-apps" en weetikhet. Dat we en masse de informatieveiligheidsaspecten negeren betekent niet dat dit negeren een goed idee is. Quelle surprise, dat is het ook niet. Zie de "QR code-fraude" en "CEO-fraude" en noem maar op.

Wat die dame deed mag inderdaad niet. Maar ondertussen is het bedrijf wel failliet, en dat had voorkomen kunnen worden. De chef had het kunnen voorkomen. Als chef ben je eindverantwoordelijk voor het bedrijf. Of je de benodigde kennis hebt of niet.

Daar wordt je dus als eindverantwoordelijke, ook van een klein bedrijf, gewoon zelf op aangesproken.

Ik heb een tijd in een Polenhotel gewoond --omdat ik daar in de buurt werk had en dat echt de enige beschikbare woonruimte was-- en een van de weinige andere Nederlanders die daar ook woonden was iemand die een eigen bedrijf had gehad en de boekhouder was er met de kas vandoor. Nou, dat bedrijf ging failliet en hij persoonlijk ook. Denk maar niet dat de belastingdienst ook maar enige sympathie voor "niet zijn schuld" had. Hij werd gewoon genadeloos geplukt, want hij was de baas en dus verantwoordelijk.

En heeft dus ofwel nagedacht over het risico en ingeschat dat (kans*kosten) acceptabel was --wellicht dat een tweedehands bedrijfsbus scoren goedkoper is dan met de verzekering steggelen-- of heeft dat niet gedaan en is daarmee onverantwoordelijk bezig.

Het is een subtiel verschil, maar het maakt echt uit of je "gewoon maar wat doet" of dat je goed hebt nagedacht en welbewust een zeker (groot) risico loopt.

Zodra je de consumentenbescherming kwijtraakt kun je genadeloos genaaid worden met elk contract dat je afsluit. Meestal gaat het redelijk goed, maar het is wel een makkelijke manier om je bedrijf om zeep te helpen.

Vroeger moest je een middenstandsdiploma halen voor je een bedrijf mocht starten. Dat hebben we afgeschaft, maar als je zoiets tegenwoordig zou invoeren kan ik me voorstellen dat, in ieder geval voor informatieafhankelijke bedrijven, informatieveiligheid een verplicht vak zal zijn.

Want "pech, bedrijf weg" is uiteindelijk voor klanten, leveranciers, eigenaars, en belastingdienst vervelend. Nouja, niet voor professionele lijkenpikkers, zoals curatoren, maar dat terzijde.