Geen idee waar je op doelt, maar naar mijn weten bestaan dat soort richtlijnen uberhaupt niet.

Nee, (natuurlijk) zijn er geen richtlijnen hiervoor. Een bedrijf mag z'n bedrijsproces heel erg inrichten zoals ze zelf willen.
Er zijn wat normen maar die hebben vooral met accounting/accountability/SoX e.d. te maken .
Dat ze iets aan een auditor moeten _kunnen_ tonen zegt niks over wat ze aan een interne collega moeten melden.


Een gebruiker meldt een storing (of gewoon onverwacht gedrag) bij de ICT organisatie, en krijgt dan meestal een ntwoord, in de vorm van opgelost/hoort zo /gaat ooit of niet opgelost worden neem de workaround/feature request .

Hoewel je hacking niet kunt uitsluiten zijn 'normale' storingen, of doodgewoon "developer heeft niet bedacht dat mensen x/y/z proberen" de hoofdmoot .
Net zoals de kinderen van de schoenmaker nogal eens gaten in de zool hebben , worden intern-gerichte diensten wat minder strak beoordeeld dan customer facing dingen .
"Don't do that, then" is intern vaak wel een acceptabele norm.

Om eerlijk te zijn - eindgebruikers zijn gewoon ontzettend slecht in speculeren over oorzaken . Aan de ICT kant wil je vooral een _exacte_ beschrijven van gedrag,foutmeldingen, bron , tijdstip, gebruikte service , en helemaal geen theorie over de oorzaak van mensen die overal een Russische hand in willen zien .
Ik neem aan dat dokters hetzelfde probleem hebben , ze willen symptomen, en de diagnose is lang niet altijd die hippe maar superzeldzame kwaal die House telkens tegenkomt.

Heel simpel : wordt je afgescheept door je IT afdeling, suck it up. Of overtuig je manager om te escaleren. Of ga er zelf werken. Of ga rondhangen bij de IT koffie automaat (of rookhok) , dan hoor je ook een hoop meer. Of ga elders werken.

Daarvoor doe je als bedrijf een root-cause analysis als het probleem groot genoeg was. Die kan je delen met je klanten.

Niet als het opzettelijk is, neem PostNL die heeft een "storing" m.b.t. inklaringskosten. Als je voor datum X inklaringskosten betaalt, online wel te verstaan dan scheelt je dat 3 euro.

Dat geldt niet als je het e-mailtje 1 dag na het verlopen van die datum binnen krijgt, dan moet je er fysiek achteraan.
Wat denk je dat dat scheelt per dag v.w.b. het aantal mensen die daadwerkelijk de moeite nemen om die 3 euro terug te vragen? CHA-CHING in het kwadraat, pure oplichterij.

Tja meestal is kwaad opzet wel te zien , zoals sommige premies in belgie digitaal kunt aanvragen maar je eigenlijk geen aanvraag kan indienen op de eerste keer en op de tweede keer heb je het al aangevraagd.
Je zou het moeten laten vastleggen door een journalist die dit publiek aanplakt en het bedrijf mooi te kakken zet.
Of gewoon bij de concurentie gaan die dan 2euro meer vraagt maar je geen geld moet terugvragen die je nooit krijgt.

Ik bedoel in dit geval MailChimp. Die overigens een waardeloze helpdesk hebben.

Echt richtlijnen zijn er niet maar in veel bedrijven wordt het "Trust no one" principe toegepast.
Behandel interne gebruikers net als externe, toegang alleen voor die die het werkelijk nodig hebben.

Zero trust bedoel je. Dat wordt overigens vrij weinig toegepast helaas is mijn ervaring. Het is ook niet zo heel eenvoudig om dat principe door de bedrijfsprocessen heen te trekken want veel bedrijven zijn allang blij dat zaken werken ofschoon ze weten dat bijvoorbeeld hun autorisatieproces aan alle kanten rammelt.
Maar veel bedrijven, met een IT inslag of die zelfs ICT diensten verlenen, hebben over het algemeen wel een Informatiebeveiligingsbeleid, of een handboek Informatiebeveiliging. Meestal opgezet op basis van de ISO27001 maar dat kunnen ook eigen richtlijnen zijn. Het is handig om te informeren of zoiets aanwezig is en dan te vragen wie hiervoor de contact persoon is. Afhankelijk hoe serieus de organisatie is op het gebied van Informatieveiligheid kun je daar je verhaal wel kwijt. Of er dan wat mee gedaan wordt is altijd afwachten.

Goed, dat geeft wat context waarmee er iets te interpreteren valt aan je topic.

Jij maakt dus gebruik van MailChimp, je hebt een probleem met een formulier waardoor iets niet werkt, de helpdesk vertelt je dat dat een bug of een storing is. Jij vertrouwt dat niet en vraagt je af of die bug niet opzettelijk gecreëerd is om één gebruiker (jou) dwars te zitten. Vat ik dat goed samen?

Mijn reactie daarop: Waarom zouden ze? MailChimp heeft 13 miljoen gebruikers. Val jij zo op in die menigte dat jij bijzondere inspanning waard bent? Waarom ben jij zo bijzonder? En waarom zouden ze moeite doen om iets niet te laten werken?

Mij lijkt het aanzienlijk waarschijnlijker dat je inderdaad tegen een bug of een storing aan bent gelopen. Of wie weet heb je een add-on in je browser actief die de werking van dat formulier verstoort. Als je slecht geholpen bent door de helpdesk zit het er dik in dat dat niet komt omdat je bijzonder bent voor MailChimp maar juist omdat je totaal onbelangrijk voor ze bent, slechts één van de vele, vele, vele gebruikers.

Weet je, als een probleem bij één of weinig gebruikers optreedt dan zit het er bij dat soort aantallen gebruikers dik in dat er geen probleem is met MailChimp maar dat er iets niet lekker zit bij die gebruikers zelf, zoals een browser add-on die iets blokkeert. Als het probleem niet in hun systemen zit maar in het jouwe dan is dat iets dat niet bij hun maar bij jou opgelost kan worden. En ze kunnen het ook nog een keer niet naspelen zonder in meer detail dan jij zelf weet aan te geven te weten hoe jouw systeem geconfigureerd is, en dat weten ze dus echt niet. Dat maakt het voor hun vrijwel ondoenlijk om jou te helpen. Het is niet leuk, maar wel verklaarbaar dat ze pas in beweging komen als een probleem duidelijk bij veel gebruikers optreedt of op een andere manier duidelijk aan hun ligt.

Wat ik in jouw geval zou doen is kijken of het formulier in een "verse" browser waar niets aan is toegevoegd wel werkt. In Firefox kan je een nieuw profiel aanmaken, maar je kan ook een tijdelijke nieuwe user op je pc aanmaken, of opstarten van een live cd. Als het formulier dan wel werkt, dan wijst dat erop dat er in inderdaad in jouw persoonlijke browserconfiguratie iets in de weg zit. Werkt het in andere browsers in hun defaultinstellingen en zonder add-ons ook niet dan heb wellicht iets overtuigenders voor de helpdesk van MailChimp waar ze wel voor in beweging komen.

Waarom neem je deze dienst trouwens af bij een Amerikaans bedrijf? Er bestaan Europese tegenhangers die veel beter dan Amerikaanse bedrijven snappen dat ze aan de AVG gebonden zijn, hun data in de EU opslaan en buiten het bereik zijn van Amerikaanse wetgeving die de overheid recht op toegang tot data geeft. Is dat geen betere keuze? Ik heb geen namen voor je paraat, ik weet wel dat ik ze ooit moeiteloos vond toen ik ernaar zocht.

What's in a name (pay Peanuts, get Chimps) - dat hadden klanten van MailChimp (waaronder DigitalOcean) natuurlijk ook eerder kunnen bedenken. En klanten van MailChimp en/of DigitalOcean hadden wellicht duidelijker contracten moeten afsluiten.

Er bestaan wel nationale en internationale richtlijnen waarin "insider threats (naast "ketenafhankelijkheden") geadresseerd worden, en voor sommige organisaties bestaan er vergaande verplichtingen om maatregelen te nemen, waaronder preventie (zoals screening, VOG) en detectie plus mitigerende maatregelen (zoals restricties en sancties).

Als MailChimp zou claimen (ik heb geen idee of dat zo is) dat zij bijvoorbeeld ISO 27001 gecertificeerd zijn, dan moeten ze een waardeloze auditor en/of keuringsinstantie hebben gehad als "insider threat" geen aandachtspunt was.

Nb. "insider threat" is niet alleen kwaadaardig (kan ook in phishing trappen zijn, onbedoeld dus).

Definitie, uit https://insights.sei.cmu.edu/blog/cert-definition-of-insider-threat-updated/:

Van mij mag daarachter (vóór de afsluitende punt):
(want de impact van imagoschade kan minimaal zijn terwijl genoegdoening voor slachtoffers en/of strafmaatregelen vaak non-existent of in de praktijk onrealistisch/onhaalbaar zijn).

Het antwoord op jouw exacte vraag, of "gebruikers kunnen nazien waardoor een bepaalde server/hosting binnen een bedrijf niet werkte" is hoogstwaarschijnlijk "nee", want het recht daarop wordt zelden in contracten opgenomen (mocht dat überhaupt lukken, dan hangt daar een stevig prijskaartje aan, en dan kan ik mij niet voorstellen dat het woord "Chimp" o.i.d. vóórkomt in de bedrijfsnaam).

Soms wordt het recht op inspecties, assessments of audits door een onafhankelijke partij overeengekomen, maar of je daar ná een incident veel mee opschiet (als bewijsmateriaal weggepoetst kan zijn), waag ik te betwijfelen.

It is happening...https://www.nu.nl/algemeen/420056/medewerker-inlichtingendienst-aivd-gearresteerd.html

mensen, leer nou eens f*king URL tags te gebruiken - voor al die supernerds hier zou dat toch niet te moeilijk moeten zijn.

https://www.nu.nl/algemeen/420056/medewerker-inlichtingendienst-aivd-gearresteerd.html

AIVD zegt dat het voor het eerst is , maar ik denk dat ze daar wat historie vergeten zijn.:

Voorlichter zal wel bedoelen "voor het eerst sinds ik hier werk" en niet in het archief gekeken hebben
Dit was wel een heel fout lek - moslim aivd vertaler lekte naar moslim terroristen .

https://www.trouw.nl/nieuws/aivd-tolk-lekte-ook-naar-ael~bc460d0d/

En iets minder 'fout' qua lek , maar ook dit was een zaak : https://www.telegraaf.nl/nieuws/1139172/eisen-tegen-ex-aivd-ers-om-lek-via-telegraaf

Hoe dan ook is "voor het eerst" gewoon niet juist .

Man, man, man, het artikel waar de auteur van "It is happening" aan refereert dateert uit 2004. (Misleidende intro omdat de -ing vorm gebruikt wordt, tegenwoordige tijd).
Het artikel van Trouw dateert van 2005 en van de Telegraaf van 2013.

Ok, guilty as charged.
Ik had inderdaad de 2004 gemist (nu artikel maar heel summier gelezen) ,dus deze zaak is dan ouder dan de gevallen die ik noemde.

Mogelijk dan inderdaad het eerste geval, in elk geval onder de AIVD naam (nl sinds 2002) .
Ik heb niet gezocht, maar gezien de vrij lange historie van de voorloper (BVD en IDB) kan ik me niet voorstellen dat die in hun geschiedenis niet ook een misser gehad hebben.

An sich is het "verraad van binnen" zo oud als de mensheid

Ook wel sabotage genoemd. Schijnt veel voor te komen onder winkelpersoneel, althans: daarvan komt het naar buiten, maar dat zijn geen brave IT-ers natuurlijk.
(In de branche van de AIVD en haar voorlopers is natuurlijk het verschijnsel "dubbelagent" bekend.)
Wat wel zeker is: ontdekte bedrijfssabotage van binnenuit gaat de doofpot in.

"Wat wel zeker is: ontdekte bedrijfssabotage van binnenuit gaat de doofpot in."

Ook veel lekken , bugs en fouten bij overheid en aanverwante instanties, de betroffen personen te vaak niet veel meer dan waarschuwing of functie elders.

De mens is en blijft de zwakste schakel, zowel intern als via externe dienst verleners en ook tijdelijke krachten enz.
Zowel bewust als onbewust overigens!

Zo is er een persoon bekend als vb die documenten met tekst aan buitenzijde zichtbaar gewoon doro pers en co liet mee fotograferen, weinig tot geen straf voor die persoon zelf, dus waarom zouden ze anderen wel aanpakken?
En bij een dergelijke lage pakkans maar vooral ook niet handhaving en te lage straffen blijft dit steeds ergere vormen aannemen!

Kijk maar wat voor lage straffen bij let wel lekken uit "medisch" systeem bij ggd werkende personen hebben gehad! Gemiste kans en geen goed voorbeeld

*content verwijderd*

Ik geloof dat hacking van binnenuit bestaat.

Ik geloof ook in complotten.

( voor complotontkenners: het woord complot bestaat (zie het woordenboek) en dit is niet gebaseerd op fantasieën, nee de mens is zo verdorven dat er ook echte complotten bestaan. Aangezien ik niet mainstream politiek volg worden er daadwerkelijk compotten in elkaar gezet door groepjes (of groepen) die anderen dwarsbomen (en vele male ergere dingen) o.a. apps )

Ik heb een 2e Mail Campagne APP ontdekt die dezelfde ACHTERLIJKE manieren bedenkt om andersdenkenden te dwarbomen.

Als dit 1 keer voor was gekomen dan had ik het niet als complot gecategoriseerd, maar nu een 2e APP - genaamd MailerLite - met dezelfde gedragingen zich opstelt; nu begin ik toch te wijzen. Dit is geen toeval, het kan ook hacking van binnen uit het bedrijf zijn.

Dus voor mij zijn zowel MailerLite als MailChimp foute discriminerende bedrijven.

Ik heb moeite om dit te volgen.

hacking van binnenuit - of gewoon een slechte helpdesk van MailChimp
De BVD en AIVD en zelfs dubbelagenten - en iets met complotten die door MailerLite en MailChimp gefilterd worden.

Je probeert blijkbaar controversiele content in bulk te versturen, dat wil niet zo lukken, en niemand kan dat uitleggen, waardoor je zelf maar een uitleg eraan geeft?

Ik heb wel meegemaakt dat ICT bedrijfjes rogue zijn (ons vermoeden wat buitenlandse inlichtingen) en als beheerder dus overal lekker informatie kopieren en backdoors planten maar alleen op het moment dat er iets moest gebeuren

En verder deden ze gewoon hun ICT zorg werk....

Het is heel makkelijk voor ICT bedrijven om dus erbij spionage werk te doen. Ze hebben overal toegang tot

Soms doen ze zich voor als "privacy deskundige" die heb je ook maar hun geld verdienen ze uitsluitend binnen een besloten groep vennoten

Zij kunnen vrij reizen en overkomt geen gekke dingen dus dat is ook een teken

Voor alles is er een eerste keer toch?

Wij zijn blij dat de AIVD zo goed opkomt voor hun medewerkers en ex medewerkers.

Zij wonen hier in een aards paradijsje met al hun kennis en ervaring natuurlijk.

Ik begrijp de Topic starter helemaal. Ik gebruik zelf thunderbird als mail programma en stuurde een mail met onderwerp CV over de vervanging van mijn CV ketel (door een nieuwe) maar thunderbird wilde die niet versturen (zonder bijlage en die had ik niet). Het is toch te zot voor woorden dat de milleu maffia mijn thunderbird bestuurt en mij geen mail laat sturen over de vervanging van mijn CV....

Je trekt wel heel snel conclussies zonder enige basis van bewijs. Want wat weet je nou eigenlijk?
Ik probeer te begrijpen wat je bedoelt, voor zover ik kan lezen heb je een e-mailcampagne met daarin een webformulier.
Een aantal vragen, we leven namelijk in een nieuwe realiteit als het gaat om e-mailbeveiliging. Denk hierbij aan contentanalysis, en andere formen van scanning. Dit heeft nog niets te maken met hacking.

Het kan namelijk ook een doodsimpel voorbeeld zijn van een e-mailzending naar teveel gebruikers sturen, (mailbulk) zonder de juiste licentie
Of er klikken teveel gebruikers tegelijk op het formulier, waardoor de webserver overbelast wordt? Wat gebruik je voor dienst/dergelijke om het formulier aan te bieden?
Zijn de juiste certificaten opgenomen in het webformulier? Is het geen houtje touwtje werk?

Voordat je hier met dergelijke beweringen komt, verzoek ik u om het juist te onderbouwen. Complotten daargelaten. HEt maakt niet uit hoe je ergens over denkt, en waarvan je overtuigd bent dat bestaat. Onderbouw wat je denkt en kom eens tot een goede vraag, want je stelt hier nu geen vraag. Je vertelt eerder je mening in vraagvorm.

En even kijkend naar je historie hier op deze website, lijkt het me zo ie zo niet verkeerd eens wat kritischer te zijn op de vragen die je stelt. Want ieder foutje wat je tegenkomt bestempel je vrij snel als hacking/obstructie/privacyinbraak.
Daarmee heb ik dit als voorbeeld genomen, wat weer wat te maken heeft met de vraag die je hier nu stelt:
https://www.security.nl/posting/756693/waar+zijn+spelregels+voor+vaststellen+van+spamemails%3F
Als je niet weet hoe mail werkt, en hoe een mailserver/ip op een spamlijst komt. acht ik de kans klein dat jij kunt vaststellen dat een ICT bedrijf zichzelf aan het hacken is?

Daarbij: "Dit kunnen kleine problemen zijn waardoor 1 gebruiker bijvoorbeeld een form niet goed meer kan invullen en een app waardeloos wordt. "
Als het 1 gebruiker is, is het vaak die gebruiker die wat fout doet.

Dan is de schoenmaker dus met heel andere dingen bezig dan schoenen. Misschien alleen met zijn eigen bankrekening vullen en het ophouden van een imago/beeld voor de buitenwereld.

Inderdaad te zot voor woorden. Ik geloof dan ook geen moment dat "de milieumafia" je Thunderbird bestuurde. Volstrekt ongeloofwaardig, zoals je schrijft: te zot voor woorden.

Je beschrijving is niet precies genoeg om te kunnen achterhalen wat er wel mis ging. De foutmeldingen die Thunderbird geeft, voor zover ik me na vele jaren herinner, zijn ook vaak onvoldoende om de vinger op de zere plek te kunnen leggen. Meestal is er een technische reden waarom verzenden niet lukt, of weigert de mailserver de e-mail. De mailserver hoort de client dan een foutmelding te geven met een foutcode en een tekst die de fout beschrijft. Ik heb (geen recente) herinneringen aan hoe Thunderbird dat soort informatie niet aan de gebruiker liet zien, waardoor het verdomd lastig werd om fouten op te sporen.

Bedenk dat CV niet alleen voor centrale verwarming staat maar bijvoorbeeld ook voor curriculum vitae. En er worden heel wat scam-mails rondgestuurd met nep-CV's. Wie weet accepteert je provider enkel "CV" als subject wel niet om die reden en liep het daarop stuk. Als Thunderbird zelf je niet duidelijk vertelt waarom een e-mail geweigerd is heb je het inzage nodig in het "gesprek" dat Thunderbird met de SMTP-server voerde. Thunderbird heeft een vrij omslachtige mogelijkheid om dat te loggen, zie ik na wat zoekopdrachten:
https://wiki.mozilla.org/MailNews:Logging

Zo lang jij (of iemand die je erbij helpt) de moeite niet doet om te kijken waar het nou concreet op stuk liep weet je het domweg niet. Het idee dat de milieumaffia individuele pc's zit te hacken en dan dit soort onzin uithaalt is te zot voor woorden, en de milieumaffia de schuld geven hiervan is dus ook te zot voor woorden.

Wat als je ICT bedrijf op de loonlijst staat van een buitenlandse mogendheid?

Hoe veilig is je data dan?

"Ja we komen de boel patchen" en u betaalt er nog voor ook

Zoals de waard is, vertrouwd hij zijn gasten.