image

Britse die 5.000 Dropbox-bestanden van bedrijf verwijderde veroordeeld

vrijdag 19 juni 2020, 17:08 door Redactie, 12 reacties

Een 58-jarige Britse vrouw die vijfduizend bij Dropbox opgeslagen documenten van een bedrijf verwijderde dat daardoor failliet ging is veroordeeld. De vrouw was één van de directeuren van vastgoedmarketingbedrijf Property Press. Ze vertrok met ruzie bij het bedrijf, dat na haar vertrek failliet ging. Vervolgens werd er met de middelen van het failliete bedrijf een nieuwe onderneming gestart.

Een aantal maanden na haar vertrek bij het oude bedrijf logde ze in op de Dropbox-omgeving waar het nieuwe bedrijven gebruik van maakte en verwijderde vijfduizend documenten, waaronder bestanden van medewerkers en leveranciers en handleidingen. Volgens de directeur van het nieuwe bedrijf veroorzaakte de actie van de vrouw een schade van meer dan 100.000 pond en was hij genoodzaakt om ook de nieuwe onderneming failliet te laten gaan.

Onderzoek door de Britse politie liet zien dat de vrouw vanaf haar eigen ip-adres op de Dropbox-omgeving had ingelogd. Tijdens het verhoor door de politie bekende ze uit wraak de bestanden te hebben verwijderd. De rechter veroordeelde haar tot een "community order" van achttien maanden en een taakstraf, zo meldt The York Press.

"Ex-werknemers kunnen een serieuze bedreiging voor bedrijven zijn, omdat ze bekend zijn met de it-infrastructuur van de onderneming. Dit kan het eenvoudiger voor hen maken om cybermisdrijven tegen hun voormalige organisatie uit te voeren", aldus de politie van Yorkshire. "We roepen bedrijven op om beleid op te stellen voor het verwijderen van gebruikersaccounts en het veranderen van wachtwoorden wanneer een medewerker de organisatie verlaat."

Reacties (12)
19-06-2020, 17:23 door Anoniem
Categorie stalktokkie: Digibeet en dom genoeg het eigen ip gebruiken. Exdirecteurtje heeft zeker nooit een ict-er écht gesproken...
19-06-2020, 19:15 door Anoniem
Tijdens het verhoor door de politie bekende ze uit wraak de bestanden te hebben verwijderd.
Zo zie je maar weer dat wraak altijd naar je eigen hoofd terugkeert. Ik heb ongeveer het zelfde gehad: met ruzie vertrokken uit bedrijf X, maar ik nam geen wraak op mijn vroegere werkgever. Daarom zit ik nu in vrede thuis en ben ik nooit veroordeeld door de rechter. Ik kan nog steeds een verzekering afsluiten en een bankrekening openen, want ik heb immers geen strafblad. Daarom: neem gewoon als een man je verlies. Hoe onrechtvaardig het oordeel ook mag zijn.
19-06-2020, 19:41 door Anoniem
Geen backups? Terwijl je wist dat zonder die documenten het bedrijf niets meer waard was? Maandenlang geen toegangsbeheer uitgevoerd? Hoezo had die dame sowieso toegang op de dropbox van dat nieuwe bedrijf waar ze dus nooit voor gewerkt heeft?

Natuurlijk mag zo'n wisactie nog steeds niet, maar jeetje je bent als bedrijf wel een klein beetje nalatig als je zo failliet weet te gaan. Maar hopen dat er geen investoren rondlopen die de directeur voor criminele nalatigheid gaan aanklagen.
19-06-2020, 20:28 door Anoniem
Handig, alle documenten op DropBox. En DropBox die geen backup service biedt.....

Normaal wil je toch backups hebben, mocht er wat mis gaan met het origineel, van je zakelijke bestanden.
19-06-2020, 21:41 door Anoniem
Dropbox slaat het op voor 30 dagen......
19-06-2020, 22:00 door Anoniem
Door Anoniem:
Tijdens het verhoor door de politie bekende ze uit wraak de bestanden te hebben verwijderd.
Zo zie je maar weer dat wraak altijd naar je eigen hoofd terugkeert. Ik heb ongeveer het zelfde gehad: met ruzie vertrokken uit bedrijf X, maar ik nam geen wraak op mijn vroegere werkgever. Daarom zit ik nu in vrede thuis en ben ik nooit veroordeeld door de rechter. Ik kan nog steeds een verzekering afsluiten en een bankrekening openen, want ik heb immers geen strafblad. Daarom: neem gewoon als een man je verlies. Hoe onrechtvaardig het oordeel ook mag zijn.

Yup, sometimes the cards are stacked against you and the only way to win is not to play!

Yoshua (War Games 1983)
20-06-2020, 09:01 door Anoniem
Door Anoniem:
Door Anoniem:
Tijdens het verhoor door de politie bekende ze uit wraak de bestanden te hebben verwijderd.
Zo zie je maar weer dat wraak altijd naar je eigen hoofd terugkeert.
Nouja, altijd, op basis van een enkele veroordeling?

Ik heb ongeveer het zelfde gehad: met ruzie vertrokken uit bedrijf X, maar ik nam geen wraak op mijn vroegere werkgever.
Ook gehad, helemaal uitgebrand, en verdrietig, en boos. Boos genoeg dat ik serieus overwogen heb om wat verassingen achter te laten, van het type niet te bewijzen dat het mijn schuld is. Het scheelde heel weinig. Uiteindelijk niet gedaan maar uit pure zelfbescherming, echt alleen maar daarom.

Daarom: neem gewoon als een man je verlies.
Was in dit geval aleen geen man.

Hoe onrechtvaardig het oordeel ook mag zijn.
Ik zou niet het oordeel onrechtvaardig noemen. Ze heeft duidelijk een grens overschreden. Dat er ook nog een andere kant aan de zaak is, daar ging het oordeel niet over. Hoewel, met alleen 80 uur taakstraf komt ze nog best goed weg voor een heel bedrijf pleite laten gaan. Dat en dat ze nu niet meer "van goed karakter" heet te zijn, dus zelf een nieuw bedrijf starten kon weleens problematisch zijn.

Maargoed, ook als je je wel gedraagt krijg je niet altijd wat je verdient. Mijn carrière is er nooit meer bovenop gekomen. Toch geen spijt van niet misbruik maken van mijn positie als systeembeheerder.

Yup, sometimes the cards are stacked against you and the only way to win is not to play!

Yoshua (War Games 1983)
Een citaat zo verhaspelen doet gewoon pijn.
20-06-2020, 22:12 door Anoniem
Euhm...

1: Had die dropbox-omgeving, of iig de data die daarop stond, die blijkbaar van het oude bedrijf was, en waardevol was, niet al verkocht moeten worden in de executieverkoop van het faillissement?

2: Waarom hebben ex-medewerkers van bedrijf 1, toegang tot 'n dropbox-omgeving van bedrijf 2? Als je 'n nieuw bedrijf start, en daarbij blijkbaar data van een oud bedrijf hergebruikt, lijkt dat me 'n mooi moment om alle accounts weg te gooien en van eventuele accounts die nog wel blijven bestaan het wachtwoord aan te passen... da's toch wel basis-hygiëne 1.0...
21-06-2020, 14:36 door Anoniem
Door Anoniem: Euhm...

1: Had die dropbox-omgeving, of iig de data die daarop stond, die blijkbaar van het oude bedrijf was, en waardevol was, niet al verkocht moeten worden in de executieverkoop van het faillissement?

Dat kan best gebeurd zijn - dan is het verkocht aan de doorstartende eigenaar, of aan de nieuwe Ltd .
Dat soort data is het meest waardevol voor een nieuw/oude eigenaar die _dat_ bedrijf doorstart.
Het heeft ook nog wel enige waarde voor een naburige concurrent - en voor de rest van de wereld is de waarde behoorlijk nihil.
En de waarde 'koelt af' naarmate het bedrijf langer failliet is - die klanten vinden dan zelf wel iemand anders.

Als ik lees 'vastgoed marketing bedrijf' , dan verwacht ik toch al een heel kleine executie waarde - kantoorinventaris , paar oude desktops, en dan wat klant-data,leveranciers, misschien een naamsbekendheid .

Al met al - pech voor de schuldeisers, maar het is heel goed mogelijk dat de curator met een doorstart en verkoop aan de doorstarter nog de meeste waarde uit de boedel gerealiseert heeft .


2: Waarom hebben ex-medewerkers van bedrijf 1, toegang tot 'n dropbox-omgeving van bedrijf 2? Als je 'n nieuw bedrijf start, en daarbij blijkbaar data van een oud bedrijf hergebruikt, lijkt dat me 'n mooi moment om alle accounts weg te gooien en van eventuele accounts die nog wel blijven bestaan het wachtwoord aan te passen... da's toch wel basis-hygiëne 1.0...

Ja - zo denkt een ITer.

Dit leest als een klein bedrijf ('vastgoed marketing' ) met twee vennoten (de dader werd omschreven als 'een van de directeuren') die met ruzie uit elkaar gegaan - zakelijk.
De dader was een vrouw . het zou me totaal niet verbazen als het ook een relatie was, die stuk ging en ze d'r ex nog even drie dubbel wilde pakken.
Dat je als ITer denkt - 'schoon beginnen, alle accounts resetten' is , in ons vak, volkomen logisch.

Maar dat iemand een bedrijf heeft of "directeur" is van een "vastgoed marketing bedrijf" , maakt hem (noch haar) speciaal handig met IT. Sjon de stucadoor van Sjonnie stuct het strak VOF is dat ook niet. En Malou van Malou's nagelstudio ook niet.
Gewone mensen die hun computer gebruiken zoals de gemiddelde privé persoon - die denken gewoon niet aan dat soort dingen.
Met geluk hebben ze een partner of hulpje die dat iets beter kan. Als ze wat verstandiger zijn huren ze een IT beheer bedrijfje in. Moet je ook nog geluk mee hebben - en luisteren naar de hopelijk zinvolle adviezen.
Gegeven dat dit 'vastgoed marketing bedrijf' (eerst) al failliet gegaan is, zullen die echt geen geld besteed hebben aan 'franje' zoals een IT beheer bedrijfje inhuren. Kleine ondernemers zijn over het algemeen gewoon extreem op de centen.

Dus ja - pech voor iedereen. En had in dit geval technisch voorkomen kunnen worden. Maar weinig bijzonders - dat een partij in een zakelijk conflict de criminele grens overgaat gebeurt wel meer.
21-06-2020, 21:02 door Anoniem
Door Anoniem: Dat je als ITer denkt - 'schoon beginnen, alle accounts resetten' is , in ons vak, volkomen logisch.

Maar dat iemand een bedrijf heeft of "directeur" is van een "vastgoed marketing bedrijf" , maakt hem (noch haar) speciaal handig met IT.
Maar dat is ook niet relevant. Om dat te laten zien split ik het verhaal even in twee.

Het "lage" gedeelte is het hoe dan, wat de ITer doet, het account dichtzetten. Daar huurt de baas iemand voor in, of gooit z'n zut "in de cloud" want "geen ITer meer nodig". Werkt niet helemaal zo, maarja windows wordt ook in de markt gezet met "geen training meer nodig" en dat verkoopt net zo goed.

Het "hoge" gedeelte gaat over informatieveiligheid. Als baas van een bedrijf dat eigenlijk helemaal afhankelijk is van een verzameling data kun je het je niet veroorloven om de principes van informatieveiligheid niet te snappen. Dus hij had na moeten kijken, of iemand opdracht moeten geven dat te doen, wie er allemaal toegang toe had. Met speciale nadruk op mensen die er vroeger toegang toe hadden en dat nu niet meer mogen hebben.

Voor dat laatste is deze vent zeer zeker wel verantwoordelijk.

Sjon de stucadoor van Sjonnie stuct het strak VOF is dat ook niet. En Malou van Malou's nagelstudio ook niet.
Gewone mensen die hun computer gebruiken zoals de gemiddelde privépersoon - die denken gewoon niet aan dat soort dingen.
Nou, iedereen die bijvoorbeeld aan internetbankieren doet moet zeker wel opletten dat hun peeceetje de toegangscodes niet lekt, dat staat ondertussen ook in de voorwaarden van de banken. Die graag doorschieten in de klant de schuld geven, maar soit. Dus ook "de gewone man" zal íets van informatieveiligheid moeten snappen en óók van hoe dat op de eigen arbeidsmiddelen te bewerkstelligen.

Maar als baas van een bedrijf dat failliet gaat bij verlies van een zekere hoeveelheid data? Die heeft geen excuus aan "dat wist ik niet", die had dat moeten weten op straffe van faillisement. En wellicht erger, criminele nalatigheid wellicht. Toplui van bedrijven zijn ondertussen persoonlijk verantwoordelijk te houden voor hemeltergende incompetentie. En daar valt voor een volledig informatieafhankelijk bedrijf de informatiebeveiliging ook onder, in ieder geval op beleidsniveau.

Er had dus een toegangsbeleid moeten zijn, ook voor een klein bedrijf. Gewoon een formulering dat deze data hier heel erg belangrijk is voor het voortbestaan van dit bedrijf en dat daar dit lijstje mensen toegang toe moeten hebben en niemand anders. Dat realiseren, dat lijstje maken, en nakijken of doen laten nakijken van of dat "en niemand anders" ook klopt, dat is zeker wel chefsache in dit verhaal. Die formulering kan in een half A4tje voor een klein bedrijf, maar je moet het wel doen. Het had in dit geval gewoon een faillisement kunnen schelen.
21-06-2020, 22:11 door Anoniem
Door Anoniem:
Door Anoniem: Dat je als ITer denkt - 'schoon beginnen, alle accounts resetten' is , in ons vak, volkomen logisch.

Maar dat iemand een bedrijf heeft of "directeur" is van een "vastgoed marketing bedrijf" , maakt hem (noch haar) speciaal handig met IT.
Maar dat is ook niet relevant. Om dat te laten zien split ik het verhaal even in twee.

je laat precies zien waarom het _wel_ relevant is. Je bent verblind door de term 'bedrijf' . En hebt dan visioenen van directeuren , 'toplui' , managers, afdelingen , IT 'beleid' .

Voor heel veel bedrijven bestaat dat allemaal niet. Het is gewoon één of twee poppetjes die een vak hebben (huizen marketen, of nagels pimpen, of loodgieteren). En dat voor zichzelf doen - op dat moment zijn de 'directeur' van een 'bedrijf'.
Van andere zaken hebben ze net zoveel verstand als een willekeurige privé persoon. En ze draaien elk dubbeltje drie keer om .
En hier is het misgegaan - in dit geval door een bewuste criminele actie van de ex-vennoot.
Op andere fora lees je wellicht dat het misgaat als de schoenendoos met bonnen die ze naar de boekhouder moesten brengen kwijt is, en de fiscus een dikke schatting oplegt.
Of als de bedrijfsbus een total loss wordt en alleen WA verzekerd was. (ja, kun je ook dom vinden. Maar een starter, of een net doorgestarte tent draait echt elk dubbeltje om.)


Sjon de stucadoor van Sjonnie stuct het strak VOF is dat ook niet. En Malou van Malou's nagelstudio ook niet.
Gewone mensen die hun computer gebruiken zoals de gemiddelde privépersoon - die denken gewoon niet aan dat soort dingen.
Nou, iedereen die bijvoorbeeld aan internetbankieren doet moet zeker wel opletten dat hun peeceetje de toegangscodes niet lekt, dat staat ondertussen ook in de voorwaarden van de banken. Die graag doorschieten in de klant de schuld geven, maar soit. Dus ook "de gewone man" zal íets van informatieveiligheid moeten snappen en óók van hoe dat op de eigen arbeidsmiddelen te bewerkstelligen.

Ja, dat staat er mooi in. Nog erder voor 'zakelijke' accounts, want waar een prive klungel nog wel wat coulance kan krijgen kan de ondernemer het helemaal schudden. Maar die kleine ondernemer is gewoon net zo 'handig' als de gewone man - die IS de gewone man - en loopt dus wel eens tegen pech aan.
Al die verhalen van gewone mensen met computer pech (geen backup, ransom ware, hardware crash) - dezelfde pech treft kleine bedrijven. En soms loopt dat fataal af.
22-06-2020, 19:13 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem: Dat je als ITer denkt - 'schoon beginnen, alle accounts resetten' is , in ons vak, volkomen logisch.

Maar dat iemand een bedrijf heeft of "directeur" is van een "vastgoed marketing bedrijf" , maakt hem (noch haar) speciaal handig met IT.
Maar dat is ook niet relevant. Om dat te laten zien split ik het verhaal even in twee.
je laat precies zien waarom het _wel_ relevant is. Je bent verblind door de term 'bedrijf' . En hebt dan visioenen van directeuren , 'toplui' , managers, afdelingen , IT 'beleid' .
Je hebt niet begrepen wat er staat en verzint dus maar hoe je dat mij aan kan rekenen.

Voor heel veel bedrijven bestaat dat allemaal niet. Het is gewoon één of twee poppetjes die een vak hebben (huizen marketen, of nagels pimpen, of loodgieteren). En dat voor zichzelf doen - op dat moment zijn de 'directeur' van een 'bedrijf'.
Ja, nou, dus? Daarom staat er ook, dat "beleid" hoeft maar een half A4tje te zijn, maar je moet er wel over nagedacht hebben. Je moet op beleidsniveau snappen waar 'm de kneep zit.

Dat is *cost of doing business* voor een bedrijf dat zo IT-afhankelijk is dat een enkele dropbox-wisactie het hele bedrijf kan opdoeken. En dat is absoluut chefsache. Ook in een kleinbedrijf. Ook voor de ZZPer.

Van andere zaken hebben ze net zoveel verstand als een willekeurige privépersoon. En ze draaien elk dubbeltje drie keer om .
Leer nou eens spellen, welke taal denk je dat je aan het schrijven bent?

Het punt is precies dat ook voor privépersonen enige informatiebeveiligingskennis ondertussen gewoon een vereiste is. Tenminste, als ze met informatieverwerkende apparatuur zoals internetverbonden computers in de weer zijn en daar gevoelige dingen mee doen zoals "internetbankieren".* En dat je als topman van om het even welk bedrijf, om het even welke grootte van je bedrijf, zul je dit op z'n minst op beleidsniveau ook moeten snappen als dat belangrijk is voor je bedrijf. Daar kom je gewoon niet onderuit.


* Dat is de prijs van al dat "gemak" met "internetbankieren" en "bankier-apps" en weetikhet. Dat we en masse de informatieveiligheidsaspecten negeren betekent niet dat dit negeren een goed idee is. Quelle surprise, dat is het ook niet. Zie de "QR code-fraude" en "CEO-fraude" en noem maar op.

En hier is het misgegaan - in dit geval door een bewuste criminele actie van de ex-vennoot.
Wat die dame deed mag inderdaad niet. Maar ondertussen is het bedrijf wel failliet, en dat had voorkomen kunnen worden. De chef had het kunnen voorkomen. Als chef ben je eindverantwoordelijk voor het bedrijf. Of je de benodigde kennis hebt of niet.

Op andere fora lees je wellicht dat het misgaat als de schoenendoos met bonnen die ze naar de boekhouder moesten brengen kwijt is, en de fiscus een dikke schatting oplegt.
Daar wordt je dus als eindverantwoordelijke, ook van een klein bedrijf, gewoon zelf op aangesproken.

Ik heb een tijd in een Polenhotel gewoond --omdat ik daar in de buurt werk had en dat echt de enige beschikbare woonruimte was-- en een van de weinige andere Nederlanders die daar ook woonden was iemand die een eigen bedrijf had gehad en de boekhouder was er met de kas vandoor. Nou, dat bedrijf ging failliet en hij persoonlijk ook. Denk maar niet dat de belastingdienst ook maar enige sympathie voor "niet zijn schuld" had. Hij werd gewoon genadeloos geplukt, want hij was de baas en dus verantwoordelijk.

Of als de bedrijfsbus een total loss wordt en alleen WA verzekerd was. (ja, kun je ook dom vinden. Maar een starter, of een net doorgestarte tent draait echt elk dubbeltje om.)
En heeft dus ofwel nagedacht over het risico en ingeschat dat (kans*kosten) acceptabel was --wellicht dat een tweedehands bedrijfsbus scoren goedkoper is dan met de verzekering steggelen-- of heeft dat niet gedaan en is daarmee onverantwoordelijk bezig.

Het is een subtiel verschil, maar het maakt echt uit of je "gewoon maar wat doet" of dat je goed hebt nagedacht en welbewust een zeker (groot) risico loopt.

Ja, dat staat er mooi in. Nog erder voor 'zakelijke' accounts, want waar een prive klungel nog wel wat coulance kan krijgen kan de ondernemer het helemaal schudden.
Zodra je de consumentenbescherming kwijtraakt kun je genadeloos genaaid worden met elk contract dat je afsluit. Meestal gaat het redelijk goed, maar het is wel een makkelijke manier om je bedrijf om zeep te helpen.

Maar die kleine ondernemer is gewoon net zo 'handig' als de gewone man - die IS de gewone man - en loopt dus wel eens tegen pech aan.
Al die verhalen van gewone mensen met computer pech (geen backup, ransom ware, hardware crash) - dezelfde pech treft kleine bedrijven. En soms loopt dat fataal af.
Vroeger moest je een middenstandsdiploma halen voor je een bedrijf mocht starten. Dat hebben we afgeschaft, maar als je zoiets tegenwoordig zou invoeren kan ik me voorstellen dat, in ieder geval voor informatieafhankelijke bedrijven, informatieveiligheid een verplicht vak zal zijn.

Want "pech, bedrijf weg" is uiteindelijk voor klanten, leveranciers, eigenaars, en belastingdienst vervelend. Nouja, niet voor professionele lijkenpikkers, zoals curatoren, maar dat terzijde.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.