Kan mijn werkgever mij aansprakelijk stellen voor de gevolgen van een social engineering-aanval?
Heb jij een interessante vraag op het snijvlak van privacy, cybersecurity en recht? Stuur je vraag naar juridischevraag@security.nl. Elke week geeft ict-jurist Arnoud Engelfriet in deze rubriek antwoord.
Juridische vraag: Regelmatig komt in het nieuws dat bedrijven slachtoffer zijn geworden van social engineering-aanvallen op helpdeskmedewerkers, bijvoorbeeld door zich voor te doen als collega of directeur en de medewerker zo te bespelen dat hij inloggegevens verstrekt of de aanvaller op een andere manier toegang verleent. Dat raakt aan de kern van je werk als helpdeskmedewerker (mensen willen helpen), dus ik snap dat dat gebeurt. Kan je werkgever je desondanks verantwoordelijk houden voor de gevolgen?
Antwoord: Kern van social engineering is misbruik maken van menselijk gedrag, met name angst en het willen helpen van anderen. In een situatie waarin iemand zich voordoet als de boze baas die nú een nieuw wachtwoord nodig heeft bijvoorbeeld, zie ik wel hoe aan beiden sterk wordt geappelleerd. En juist de afdeling die er is om mensen te helpen, zal dan sneller toeschietelijk zijn om te helpen.
Algemene regel binnen het arbeidsrecht is dat werknemers in ieder geval niet financieel aansprakelijk te stellen zijn voor de gevolgen van een fout zoals in een social engineering aanval trappen. (Ook niet als je tekent dat je dat wel bent, ik zeg het maar even.) Je kunt in het algemeen natuurlijk wél aangesproken worden op slecht functioneren, en dat kan uiteindelijk uitmonden in een ontslagprocedure of geen verlenging krijgen.
Voor zulke stappen is wel nodig dat de werkgever de werknemer adequaat getraind of opgeleid heeft om met zulke aanvallen om te gaan. Als de werkgever daarin tekort schoot, dan kan hij vervolgens niet de werknemer verwijten fout te hebben gehandeld. Een goede cybercrime awareness training is dus ook vanuit dit gezichtspunt een vereiste.
Minstens zo belangrijk is de bedrijfscultuur rondom cybersecurity. Vaak zijn er wel duidelijke procedures en werkafspraken, maar worden die in de praktijk gepasseerd omdat het snel moet of (zeg ik als directeur) omdat de directeur geen zin heeft ze op te volgen. Dat is vanuit arbeidsrechtelijk perspectief dus een probleem voor de organisatie: als het gebruikelijk is dat je op appjes met "ik ben de directeur en sta nu bij een klant, reset mijn password anders gaat de pitch niet door" inderdaad het wachtwoord reset, dan sta je als werkgever met lege handen als een aanvaller ook zo'n appje stuurt.
Arnoud Engelfriet is ict-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als chief knowledge officer bij juridisch adviesbureau ICTRecht en blogt dagelijks over internetrecht. Hij schreef onder meer de boeken ICT&Recht en AI&Algorithms, en verzorgt de opleiding tot Certified Cybersecurity Compliance Officer.
Dan ging de pitch niet door. Niet mijn verantwoordelijkheid dat hij zijn passwords kwijt raakt op zo'n belangrijk moment. Ik gooi het netwerk niet open voor een SMS. Zeker niet op directieniveau. Die kunnen doorgaans overal bij. En anders belt de dirk maar met een van zijn high-level stafleden. Dan mag die persoonlijk naar mijn loket komen om me te zeggen dat ik moet doen wat hem is opgedragen.
Hoe dan ook, ik laat het me niet in de schoenen schuiven als het fout gaat.
Dan ging de pitch niet door. Niet mijn verantwoordelijkheid dat hij zijn passwords kwijt raakt op zo'n belangrijk moment. Ik gooi het netwerk niet open voor een SMS. Zeker niet op directieniveau. Die kunnen doorgaans overal bij. En anders belt de dirk maar met een van zijn high-level stafleden. Dan mag die persoonlijk naar mijn loket komen om me te zeggen dat ik moet doen wat hem is opgedragen.
Hoe dan ook, ik laat het me niet in de schoenen schuiven als het fout gaat.
Gebeld worden plus terugbellen met controlevragen kan wel werken als identificatie, maar het beschermt niet tegen diefstal van een telefoon en gebruik van een door AI gegenereerde stem. Uiteraard moet iemand wel bekend zijn met die stem. Een systeembeheerder is niet de aangewezen persoon hiervoor. Een CISO wel, als het goed is kent die de directeur omdat die in deze functie rechtstreeks moet rapporteren aan de CEO. En ja, als CISO moet je deze beslissingen kunnen nemen, dat hoort bij de functie.
Daar mogen helpdeskmedewerkers wel eens werk van gaan maken.
Want anders doe ik het wel zonder.
Leuk dat een helpdesker of ITer het extra goed wil doen, maar de mentaliteit om ALLES in het hele bedrijf te willen regelen omdat je vindt dat je zo slim bent is natuurlijk gewoon arrogantie.
Iedereen is dom en doet het verkeerd behalve ik de ITer.
Een beetje helpdesk heeft een proces. En voor dat proces heeft de klant getekend (conform de voorwaarden). Als van dat proces afgeweken wordt, om wat voor reden dan ook, dan is het hek van de dam.
Ik heb vrij regelmatig boze klanten die het niet leuk vinden dat we dit (in hun ogen langzame) proces moeten volgen, maar het merendeel biedt later ook zijn excuses aan. We zijn allemaal mensen met emoties.
Ik heb dit 1x moeten gebruiken waardoor mijn advocaatkosten konden worden gedekt. Daarom raad ik iedereen aan om zo'n verzekering af te sluiten. Je weet immers maar nooit waar de bal naar toe rolt.
- Zorg eerst dat je als organisatie sluitende afspraken maakt.
- Ga niet uit "service gerichtheid" iedereen helpen als dat tegen de afspraken in gaat, ook niet de directeur.
- Je kan niet iedereen pleasen, gewoon professioneel gedrag.
Meestal zijn het ook niet de vaste helpdesk medewerkers (misschien wel uitzendkrachten bij call-centers) die hier intrappen maar de secretariaten van grote organisaties. Die zijn vooral gevoelig voor de directeur die met panne aan de kant staat en direct 10 cadeaubonnen van 50 euro nodig heeft.
Als je werknemer bent - werkt het arbeidsrecht hetzelfde ongeacht vakgebied. En zoals Arnoud schrijft , vrijwel altijd is de werkgever aansprakelijk/moet schade dragen van fouten die een werknemer maakt .
"vrijwel" - alleen bij keiharde opzet kan het wel eens de andere kant op gaan. En ander geval zijn verkeersovertredingen door beroepschauffeurs. De werkgever _mag_ de boetes niet vergoeden.
Let op dat je wel 'module arbeidsrecht' dan meeneemt bij de verzekering, want "rechtsbijstand" heeft allerlei uitsluitingen.
En let heel erg op : als je _zelfstandige_ bent, kun je _wel_ aansprakelijk gesteld worden voor fouten, en heb je daarvoor een beroepsaansprakelijkheids verzekering . En eventueel, een _zakelijke_ rechtsbijstandverzekering .Je particuliere RB zal beslist "zakelijk gebruik" uitgesloten hebben.
Ik heb dit 1x moeten gebruiken waardoor mijn advocaatkosten konden worden gedekt. Daarom raad ik iedereen aan om zo'n verzekering af te sluiten. Je weet immers maar nooit waar de bal naar toe rolt.
In het algemeen, of heb je inderdaad een werkgever gehad die probeerde schade-door-jou-tijdens-werk op jou te verhalen ?
Heb je een redelijke buffer kun je ook kiezen om deze verzekering niet af te sluiten, en gewoon zelf de advocaat te betalen als er zich eens wat voordoet.
Extreme gevallen zijn duur, maar iets als handjeklap rondom ontslag, of de slechte aannemer zijn nogal standaard advocaten werk.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Technical Consultant (IGA)
Maak impact als Technical Consultant bij SITS | Traxion! Ontwerp en implementeer slimme IGA-oplossingen en vertaal complexe vraagstukken naar veilige systemen. Werk samen met IAM-specialisten uit diverse disciplines en draag bij aan digitale veilig-heid. Van lokale tot internationale projecten: jij krijgt de kans om te groeien én de toe-komst van cybersecurity vorm te geven.
Cybersecurity Trainer / Full Stack Developer
Ben je toe aan een nieuwe job waarmee je het verschil maakt? Wil jij je security kennis graag delen en hands-on laten zien hoe cybersecurity in de praktijk echt werkt? Werk je net als wij graag samen met enthousiaste en gedreven collega's? Bij ons geen bureaucratie maar open communicatie en een werkomgeving gericht op samenwerking.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?