Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Ex-werknemer Nederlandse vps-provider wist alle server- en klantgegevens

Door , 359 reacties, submitter: Bart ®

Een ex-medewerker van hostingprovider Verelox uit Den Haag heeft alle servergegevens verwijderd. Dat betekent dat ook alle klantgegevens zijn gewist, en mogelijk ook niet allemaal meer terug te halen zijn. Daardoor is Verelox momenteel niet in staat om zijn diensten te verlenen.

Verelox heeft op zijn eigen website uitleg gegeven over wat er is gebeurd. Omdat een ex-medewerker naar het zich laat aanzien alle gegevens van de servers heeft verwijderd kunnen klanten geen gebruikmaken van de vps-diensten die Verelox aanbiedt. Het bedrijf hoopt binnen een week weer online te zijn. Inmiddels zijn alle dedicated servers alweer online, maar met de virtuele servers heeft Verelox meer tijd nodig. De hostingprovider raadt aan om alle serverwachtwoorden te wijzigen.

De problemen lijken vrijdag te zijn ontstaan, nadat klanten hadden aangegeven niet meer bij hun data te kunnen. Het is vooralsnog onduidelijk of na de acties van de ex-medewerker, het nog mogelijk is om alle klantengegevens te herstellen. Verelox heeft beloofd om gedupeerde klanten te compenseren. Onduidelijk is wat de ex-medewerker ertoe heeft bewogen om de gegevens te verwijderen.

Reacties (359)

Wijzig sortering
erg slecht als je niet eens backups hebt oid, een "hacker" had ditzelfde kunnen doen :+
Het lijkt er meer op dat de desbetreffende admin een aantal boobytraps had geplaatst die hier verantwoordelijk voor zijn, vandaar dat ze bang zijn de backups 1 op 1 (dus misschien incl. boobytraps) terug te zetten. Bron: https://www.lowendtalk.co.../2256376/#Comment_2256376
Daarnaast wordt ook nog het volgende aangegeven:
* De persoon in kwestie wilde extra geld zien.
* De persoon in kwestie is jaren bezig geweest met het voorbereiden van deze actie
* Toen het ontdekt werd, is de man op staande voet ontslagen (maar waren de backdoors al geinstalleerd)
* Maandag wordt aangifte gedaan.

Bron: http://nieuws.tpo.nl/kort...dupeert-hosting-provider/
Zegt ook wel wat van de organisatie als het hem gelukt is op zoveel plekken dingen te wijzigen zonder dat dit ook maar ergens een keer gecontroleerd is door iemand anders. Ik denk dat ze bij dit bedrijf heel snel een four-eyes policy gaan opzetten :P

[Reactie gewijzigd door jaapzb op 12 juni 2017 10:50]

Backups terugzetten, alle wachtwoorden aanpassen, ook van vpn toegang. Intussen de politie die ex-medewerker laten arresteren (denk dat hier wel bewijs voor te vinden is) dan boel weer online. Vervolgens als klant snel naar een partij die toch wel wat meer degelijk inrichting heeft... Hoewel de ex-admin de schuld treft, hij heeft zich uiterst onprofessioneel gedragen...
Dat die ex-admin hier schuld aan heeft is wel duidelijk, maar hoe zit het met de rest van dit bedrijf, inclusief de bedrijfsleiding?

Hoe is het mogelijk dat één individu booby traps kan installeren in het netwerk.
Wordt er nooit gecontroleerd wat er op het netwerk draait?
Zijn die booby traps afgegaan omdat de ex-admin niet meer kon inloggen, of heeft hij ze zelf doen afgaan vanaf afstand omdat hij nog wel bij het netwerk kon komen?
Bijvoorbeeld via een backdoor of een secundair account dat hij geregeld heeft?
Er zijn duizend en een dingen die je kan verzinnen natuurlijk, gezien deze persoon booby traps kon installeren zonder dat iemand anders dat heeft ontdekt of gecontroleerd.
Wie zegt je dat morgen de boel niet weer helemaal plat ligt? Of zit die persoon nu al vast?

Ik denk dat de bedrijfsleiding hem best al wel een beetje zit te knijpen, gezien dit van vrijwel alle kanten bekeken lijkt op wanbeleid.

[Reactie gewijzigd door Alfa1970 op 11 juni 2017 19:25]

Uiteindelijk zijn er altijd mensen die je met beheerders-rechten moet vertrouwen en deze kunnen helaas veel schade veroorzaken.
Inderdaad.

Mensen denken vaak dat alles te back-upen is, dat alles te controleren is, of dat overal vangnetten voor te maken zijn omdat het om 'IT' gaat.

Technisch gezien kun je dit misschien wel inbouwen, maar dat zou betekenen dat je al je IT functies met admin rechten dubbel moet bezetten. Eén persoon die het werk doet, en één persoon die vol continue een oogje in het zeil houdt. Of één persoon die vol continue controles inbouwt. Totaal onhaalbaar natuurlijk.

En ergens tussen 100% vertrouwen en 100% controle zit het optimum. Afhankelijk van hoe kritiek de applicatie of data is, moet daarin de juiste balans worden gevonden. Of er nu koppen moeten rollen vanwege een slechte bedrijfsvoering, of dat deze actie redelijkerwijs niet te voorkomen was kan ik niet beoordelen.
Tsja, een bedrijf kan prima procedures opstellen, maar als iemand zich er vervolgens niet aan houdt... Het blijft een raar verhaal...
Tsja... een simpele logic bomb is in een groot script dat regelmatig loopt (zeg eens per maand, maar waarvan je weet dat het niet zomaar even wordt vervangen en eigenlijk geen onderhoud nodig heeft) kijkt naar de laatst-gewijzigd datum van een of ander obscuur bestandje. Zolang de a-hole er werkt 'fingered' (unix) hij dat bestandje elke maand. Mocht het opeens 2 of 3 maanden niet meer wijzigen, is dat als een "dead man's switch" en worden er andere scriptjes uitgevoerd (die dan een datum van 1996 of zo hebben ergens in een system folder en er uitzien als meegeinstalleerde zooi ). Beetje admin kan vast met nog ingewikkeldere en "onduidelijke" varianten op de proppen kunnen komen.
Ja, maar aan de andere kant een net zo'n beetje admin zou dat soort zooi net zo snel moeten kunnen ontdekken omdat het afwijkt van de standaard van wat er zou moeten staan.
Een beetje goede Linux/Unix admin weet welke bestanden waar horen te staan en welke scripts er wel behoren te draaien via een cron job oid en welke er niet horen te draaien.
Het moet op z'n minst allemaal goed gedocumenteerd zijn, en dan moet het bij de eerste de beste inspectie meteen opvallen dat er iets niet in orde is aan het systeem.
En een admin behoort alleen changes te kunnen maken in een change window.
Zo zijn er nog wel een aantal zaken te bedenken waardoor één enkele persoon niet de hele boel kan platgooien op de manier zoals het nu is gebeurt.
Ik weet natuurlijk niet exact welke zaken er wel en niet konden en hoeveel mensen er bij deze service provider als admin werkten maar het lijkt mij als buitenstaander, afgaande op de berichtgeving, dat sommige basis zaken niet op orde waren.
Dus jij kent alle bestanden van alle systeem folders en kan die door een snelle scrol actie zien welke er wel en welke er niet thuis horen?

Wie richt het systeem in zodat er beperkt mogelijkheden zijn? Dat is dan toch een 1 persoon failure. Want er is altijd 1 persoon die de boel in eerste instantie inricht en dus wijzigingen kan aanbrengen voordat de boel op slot gaat.
Voorafgaande aan het inrichten van een systeem is er een ontwerp fase. In die ontwerp fase wordt bepaalt hoe een systeem wordt opgezet. En dat ontwerp is m.i. een team opdracht.
Dus zijn er meerdere personen betrokken en dus bekend met het ontwerp.
Uiteraard weet je niet exact alle bestanden, maar een sudo ls -Rla / > baseline.text is niet zo heel veel moeite bij het inrichten.
En als je ervoor zorgt dat niet telkens één en dezelfde persoon bezig is met het inrichten van systemen moet het vlotjes eruit rollen als de systemen van één persoon consequent afwijken van die van anderen.
En ook wanneer er unauthorized changes zijn geweest is op die manier vrij vlot te ontdekken.
En dit is nog maar een heel ubersimplified voorbeeld, er zijn geavanceerdere tools om dit soort zaken in de gaten te houden.
Tja ik weet niet hoe groot dit bedrijf is, maar ik denk dat bij een (relatief klein) bedrijf dat nog niet er vanuit gaat dat het fout gaat. Het nog niet zo in gericht is en er zoveel kosten en moeite wordt in gestoken om problemen te voor komen waar je niet van verwacht deze te krijgen.
Ben bang dat er weinig wordt gearresteerd als deze persoon officieel nog in dienst was. Wordt dan namelijk een civiele zaak en geen strafrechtelijke.
Ik krijg er altijd zo'n voorgevoel van als een hostingprovider totaal geen Engels kan schrijven.
Ja, is een vrij raar teken, zeker gezien Engels zo belangrijk is voor informatica of kwalitatieve media in het algemeen.. blijkbaar is meneer wat wereldvreemd. :)
Dit is een admin van die provider en die kan hiermee prima uit de voeten. Dit is waarschijnlijk niet de salesmanager die natuurlijk uitstekend Engels spreekt en schrijft.
Via een ander bericht had ik gelezen dat die er wel waren, maar ook verwijderd waren.
Dan heb je het proces duidelijk niet op orde... Wat heb je aan backups als die toegankelijk zijn zonder dat daar een noodzaak voor is? Hoe bewaak je de integriteit?
Wat heb je aan backups als je admins er niet aankunnen om een restore te doen wanneer het nodig is? Hoe ga jij bepalen dat toegang noodzakelijk is? Controle van een tweede persoon? Je zal in het midden van de nacht maar alleen op een helpdesk zitten en een klant vraagt voor een dringende, onmiddelijke restore.
Het in inderdaad te makkelijk om zo maar wat conclusies te trekken. Admins hebben bij een bedrijf wel een doorslaggevende rol in een organisatie. Een organisatie kan ook niet veel anders dan te vertrouwen op hun integriteit. Waar blijven we als daar niet vanuit kunnen gaan.

Misschien geef ik mrhoeve op een punt gelijk. Als een admin bij een organisatie vertrekt zou je als organisatie een procedure moeten hebben om die centrale rol voor die persoon te beëindigen. Daarin zijn altijd weer loopholes te vinden. De admin in kwestie zal vaak zelf ook aan zo'n procedure meeschrijven, als een van de weinige IT kennisdragers. Loopholes mogen alleen geen reden zijn om maar geen procedure in te richten.

In- en uitstroom van medewerkers verdienen sowieso aandacht. Instroom gaat vaak al rommelig, maar dan is er nog een klagende collega die je met de neus op de feiten drukt. Bij uitstroom zijn de mensen in kwestie vertrokken. Die vertellen die je dan niet meer dat hun profielen of logins nog bestaan. Organisaties die zwak in hun procedures zijn hebben een grote kans om in die uitstroom zaken te laten liggen.
Over het laatste hebben wij intern ook probleem. Hierdoor is er besloten om met het HRM pakket een koppeling te maken naar active directory. Vanuit ad weer naar alle andere paketten.

Als een medewerker uitdienst gaat, worden alle accounts netjes uitgeschakeld. Bij indienst treden zullen deze aangemaakt worden, maar niet uitgerold.
Het lastige met die personele veranderingen is dat vanuit de organisatie gezien HR de regie zou moeten pakken over het proces. Als er echter een afdeling niet IT savvy is dan is het vaak de HR afdeling wel (no offence :|). Nu is het natuurlijk zo dat HR zou moeten kunnen volstaan met een simpele melding naar IT dat dienstverband van persoon X begint of eindigt, of dat de rol van persoon X in de organisatie verandert. Bij personele veranderingen zou IT eigenlijk niet meer dan uitvoerend/faciliterend moeten zijn. Maar voor dat dit goed werk moet HR sturend zijn geweest in het tot stand doen komen van een bedrijfsbrede procedure, waarin IT naast andere afdelingen een rol, heeft. Een beetje kip of het ei dus.

Is een admin in het spel is de inbreng van IT natuurlijk wel heel groot. Zelf kan ik niet beoordelen of een admin rol eenvoudig door een HR koppeling geactiveerd kan worden, de rol is vanuit IT optiek best zwaar en lijkt mij te complex daarvoor. Het is geen kantoormedewerker met een eenduidige rol en beperkte rechtenscoop. Ook HR mist eenvoudigweg de oordeelkundigheid om bij ontslag te kunnen beoordelen of een admin na ontslag echt geen ingangen in de organisatie meer heeft. Mogelijk een bijzondere manuele tak in de HR procedure.

Naast de start en de beëindiging van een dienstverband is het ook wel lastig om (gewaardeerde) collega's met adequate rechten door de organisatie te volgen. Het uitgeven dan nieuwe rechten aan collega's die een andere rol in de organisatie nemen gebeurt vaak wel (reactief, ik kan dit niet en ik kan daar niet bij). Dat gekeken wordt of de persoon misschien ook rechten moet inleveren die bij eerdere rollen thuis horen wordt vaak makkelijk vergeten. Naar ik begrijp is ook van deze voormalige admin niet bekent of die is ontslagen of van rol is veranderd. In het laatste geval lijkt het mij niet erg waarschijnlijk dat je de hand bijt die je voedt, maar het is natuurlijk wel een mogelijkheid. En misschien is die procedure rolverandering binnen de organisatie nog meer een doodgeboren kind bij veel bedrijven dan die voor beëindiging van een dienstverband.
En wat houd een admin tegen om stiekem een record/backdoor in AD of de andere servers te maken?
En wat als je als administrator gewoon een tweede admin account aanmaakt?

Wordt dat opgemerkt door het HRM pakket of werkt het uitschakelen aan voor accounts welke zijn gekoppeld door een persoon of automatiserings script?

Administrators zijn nou eenmaal God binnen de IT organisatie en God moet je vertrouwen..
Als een admin bij een organisatie vertrekt zou je als organisatie een procedure moeten hebben om die centrale rol voor die persoon te beëindigen. Daarin zijn altijd weer loopholes te vinden. De admin in kwestie zal vaak zelf ook aan zo'n procedure meeschrijven, als een van de weinige IT kennisdragers.
Je kan natuurlijk prima derden inschakelen om mee te denken aan zo'n procedure op basis van best practices.
Ja, dat is een zeker een goed idee, wat waarschijnlijk te weinig gebeurt. Het is zelfs voor admins geen dagelijks werk om dergelijke procedures op te zetten. Hierover spiegelen met een derde partij met routine die je opvalkuilen kan wijzen zal zeker nuttig zijn. Zodra ze een keer is opgezet zal ze alleen nog wijzigen bij een organisatiewijziging die HR of IT raakt of een ingrijpende wijziging in het IT landschap.

Die procedure staat niet op zich trouwens. Eigenlijk maakt ze deel uit van het als organisatie goed afdekken van je intellectuele eigendom. Dat dit bij bedrijven nog meer kan gaan leven is wat mij betreft ook een gegeven.
Wellicht dat hij tijdens het incident werknemer was en vlak daarna (staande voet) niet meer. Dus inmiddels ex werknemer.

Toch hoeft de admin alleen lees rechten te hebben op bestaande backups.

Want als de admin er bij kan, kan cryptolocker het ook.
Ooit iets gehoord over off-site backups? Desnoods fysieke media?
Dit.

Legio bedrijven waar de boel op tape gaat en de kluis in. Geen enkel zichzelf respecterend IT-bedrijf heeft maar één setje digitale back-ups. Dan ben je weinig meer dan Beun de Haas B.V.
Ik heb ook in diverse bedrijven gewerkt waar inderdaad tapes gebruikt werden. Digitale backups en tapes. De tape wis je niet zo snel even.
Juist! Een tape in een kluis hangt ook niet aan internet.
Dat dus. De tapes in een kluis waarvan een systeembeheerder niet de combinatie kent, en dit dus een intern protocol volgt via een ander persoon die niet gerelateerd is aan de IT binnen een bedrijf. Dan kan een boze systeembeheerder hier niks aan veranderen. Die tapes liggen dan buiten zijn macht.

Ja het lijkt een hele lastige constructie, maar een weldenkend IT bedrijf heeft soortgelijke policies opgesteld. Bij grotere bedrijven zelfs tapes in een kluisje bij de bank. (Dit laatste heb ik meegemaakt op scholen waar ik heb gewerkt)
Zie het probleem tussen tape en drive voor een backup niet zo. Je kan altijd nog met functiescheiding werken. De admin van het netwerk mag niet dezelfde zijn als die vam de backupoplossing bv.

Of zie ik dan iets over het hoofd?
Wat als het gebouw afbrand?
Offsite is altijd een oplossing - mij ging het meer om de opmerking over admins en het verschil tussen tape/hdd.

Je zou de admin van backup-infra een andere kunnen maken dan de admin van de productie-infra.

Dan ondervang je in ieder geval een hoop van de problemen die hierboven over de 'macht' van admins adresseren.
En dan moeten er van beide rollen ook nog meerdere personen zijn, i.v.m. ziekte, verlof etc.
Oh ik ken zelfs genoeg redelijk kleine bedrijven waar iedere afdeling zelfs een eigen procedure heeft buiten systeembeheer om. Hun belangrijkste files gaan op een beveiligd USB harde schijfje mee naar huis met een vertrouwde medewerker.
Ben je ook tegen brand gedekt enzo. Soms staat de inlogcode voor een externe cloudmirror alleen op t buroblad van de systeembeheerder ;(

[Reactie gewijzigd door Schrudde op 11 juni 2017 19:47]

Goede zaak. Mits goed beveiligd. (Gezien de hoeveelheid incidenten je ziet met USB sticks/schijven vol medische gegevens van ziekenhuizen momenteel.)

Zorgen voor digitale backups op een gescheiden omgeving binnen het netwerk waar enkel een systeembeheerder met hoogste rechten bij kan. Vervolgens zorgen voor automatische tapes die elke dag een ander onderkomen krijgen (bijv. een bank kluisje of bij de werkgever thuis o.i.d.)

Dan heb je on-site en off-site goed geregeld. Nadeel is wel dat je on-site meerdere incrementele backups kunt hebben op een dag, en off-site (wegens het ongemak) vaak slechts 1 backup. (Volledige backups die 's nachts gedraaid worden)
Maar als je loopholes en achter deuren back-uped dan schiet je er nog niet zoveel mee op.
Dan kan je wel restoren, maar dan zet je ook het probleem weer terug. Misschien zijn de tapes zelfs wel corrupt of beveiligd zonder dat de code bij het bedrijf bekend is.
Tapes zie je steeds minder, en backups in de kluis ook. Bij het gros van onze klanten is de hoeveelheid data zo groot dat tapes niet echt een economisch te verantwoorden optie meer is en een enkel schijfje in de kluis ook niet mogelijk vanwege het volume.

Vrijwel alles verschuift naar Off-Site / Cloud backups op storage clusters.
Tape niet economisch te verantwoorden en storage wel? Hoe krijg je storage zo goedkoop dat je het wint van tape?
Een beetje tape drive (tot 15TB 2.5:1 compressie) kost zonder tapes net zoveel of meer als bijv. een Synology waar je 40TB+ aan disks in kan stoppen, waar je bij de tape drive ook nog eens fout gevoelig handwerk hebt (tapes wisselen) want het is geen robot, wat Off-site backups ook nog eens lastig maakt in bepaalde gevallen (bijv. niet altijd iemand aanwezig om tapes te wisselen).

Qua TCO voor dag tot dag backups zie je dat Synology of een soort gelijk systeem vaak niet duurder is dan tape, maar wel een stuk gebruiksvriendelijker en vaak makkelijker in beheer (denk ook bijv. aan restore tests)

Neemt niet weg dat er nog steeds een markt is voor tape, maar zeker in het MKB zien wij nog amper vraag en verschuift alles naar eigen storage (het liefst on en offsite) c.q. cloud
Je hebt het over hoeveelheden data die zo groot zijn dat tape niet meer economisch te verantwoorden is, dan denk ik in ieder geval niet aan het mkb en slechts 40TB. Ik denk dan ook niet aan een Synology NAS. Ik dacht dat het over honderden TBs zou gaan en serieuze storage systemen en dan lift de verhouding qua kosten even wat anders.
Naar mijn mening is juist in het MKB tape niet te verantwoorden. Juist bij de grote businesses die qua aanschaf tape robot(s) kunnen verantwoorden lijkt het mij juist wel weer wel te verantwoorden. Misschien enigzins knullig verwoord inderdaad, ik had misschien beter kunnen zeggen tussen X TB en XX TB.

[Reactie gewijzigd door Dennism op 11 juni 2017 16:44]

6TB/25 euro per tape. Storage wise is tape spot goedkoop. Cloud storage voor 100TB+ is zeer duur.
@xoniq , natuurlijk, en aangezien ze een herstel gedaan hebben heeft de persoon in kwestie ook niet alles kunnen verwijderen.
Misschien wel toegang maar geen verwijder rechten? :9
Maar je heb gelijk, en het blijft spijkers zoeken op laag water dit.

Ben altijd benieuwd naar de motieven van de dader bij dit soort berichten. Wat is het verhaal hier achter.
Het liefst heb je volledig read-only backups, en alleen het geautomatiseerde backup proces kan schrijven en verwijderen.

De vraag is altijd: wie kent de rechten dan toe? Een creatieve systeembeheerder zal mogelijk ook rechtenbeheer doen, en dan al snel zijn eigen rechten kunnen verhogen om wat dan ook te doen.

Wat kan je hiertegen doen? Zoals gezegd, off-site en fysieke media. Maar vaak kan de beheerder van de offsite backup (of iemand die zichzelf die rol heeft toegekend) deze ook verstoren of verwijderen.

Als je het echt goed wil doen, gebruik je read-only tape, en sla je deze op op een veilige (mogelijk off-site) locatie. Dan zal je echt fysieke toegang tot de tapes nodig hebben om de backups te vernietigen.
En die offsite backups in een brandveilige nucleare ontploffing bestande bunker op Svarlbard :9 :+

Natuurlijk heb je gelijk, maar iets met kosten en praktisch haalbaar enzo. Toch zal dit ook best een gevalletje "als het kalf verdronken is dempt men de put" -zijn.

Weet verder niet hoe groot deze toko is, maar vanaf een bepaald punt zul je inderdaad je noodvoorzieningen goed moeten regelen.
Je kan erover lachen, maar BackupNed probeert precies dat te doen. Of hun bunker een nucleaire ontploffing overleeft weet ik alleen niet .

Als beste tweede stap is een niet-volledig geautomatiseerd tapesysteem waarbij je handmatig moet wisselen ook behoorlijk veilig.

Systemen die veilig zijn voor de beheerder die ze gemaakt heeft en de toegang ertoe regelt zijn gewoon zeldzaam en duur.
Edit: sry, ref id verwijderd

[Reactie gewijzigd door Niet Henk op 11 juni 2017 12:24]

Een bedrijf wat zijn certificaten niet op orde heeft.... daar vertrouw ik mijn backups niet aan toe.
(en is dat een refferer-id in de link?)
Ach, ik zou als bedrijf zijnde het risico wel nemen. Als er een atoomaanval komt zijn er dringender zaken.
Met recente Linux vulnerability kon hij zelfs zonder rechten overal bij.
Idem paar maanden geleden met Windows vulnerability.
Alles kan, als je maar tijd er in steekt.

Vraag is inderdaad wat heeft dit bedrijf gedaan dat een beheerder het totale beheer letterlijk opgeeft. Discontinuïteit is zeer tegen normaal denkpatroon van een beheerder in. Lijkt of eerdere problemen die hij aangaf genegeerd zijn en hij nu laat zien wat de impact is.

edit: spelfoutjes

[Reactie gewijzigd door djwice op 11 juni 2017 20:36]

Volgens mij bedoel je vulnerability?
Ik denk eerder dat hij gewoon pissig was wegens ontslag en dus even wraak wilde nemen.
Gebeurt helaas vaker dan je zou denken en daarom altijd admin ww wijzigen bij vertrek en natuurlijk persoonlijke accounts. ;)
Precies, de meeste IT admins kunnen overal aan.
Trek alle schijven uit de servers, haal alle tape backups weg en dan.
Good luck with that.

Maar dat geld net zo goed voor de interne brandweerdienst die even goed alles in lichterlaaie kan zetten. Of voor de F-16 piloot die misbruik kan maken van zijn toestel door dingen te gaan bombarderen op eigen initiatief. :P
Inderdaad, dat kan nodig zijn. Maar dan kun je het proces zo inrichten dat er ook backups op andere locaties zijn waar iemand niet zo bij kan. Of, zoals @Styreta aangeeft zorgen dat je rechten aanpast (wel lees, geen schrijf).

Feit is dat je niets aan backups hebt als je de integriteit niet kan waarborgen of dat iemand het zelfs weg kan gooien... Nu een ex-medewerker (??), maar kan ook een hacker zijn die het uitvoert.

edit: verkeerde verwijzing naar andere post gecorrigeerd

[Reactie gewijzigd door mrhoeve op 11 juni 2017 10:22]

En wie zet die rechten dan? Het lijkt me dat het een admin is en die kan ten alle tijden de instellingen weer terug zetten.

Feit blijft dat er altijd mensen zijn die vrijwel alles kunnen en die moet je kunnen vertrouwen helaas.

Maar in het artikel staat niet of het opzet is of niet. Misschien had hij een script gemaakt om zijn eigen data te verwijderen als hij bij het bedrijf weg zou gaan en had hij daar iets teveel mee laten verwijderen.

Ik neem ook net als de meeste aan dat het opzet is maar hou er ook rekening mee dat hij een fout gemaakt kan hebben.
Mogelijk een online backup, zoals Ceejay, waarvan hij gewoon is ingelogd en alle backups heeft verwijderd? Zo bijzonder is dat niet, als een klant bij je weggaat, kan die nl ook eisen dat alle data die je van hen hebt word vernietigd.
Hoezo? Ik ken geen enkel bedrijf waar de admin niet bij de back-ups kan. Dat is namelijk ook degene die de knop om moet zetten als die back-ups eens nodig zijn bij een verstoring...
Hier kun je je als bedrijf nagenoeg niet tegen beveiligen. Niet met etchniek, noch met processen.
Via een ander bericht had ik gelezen dat die er wel waren, maar ook verwijderd waren.
Geen offline backups? Slordig.
Klinkt toch heel sterk als een bewuste, moedwillige actie. En *als* dat het geval is, zouden offline backups ook niet geholpen hebben. Je hebt die offline backups om online te brengen zodra ze nodig zijn, en ik denk dat degene die dit op zijn geweten heeft die dan ook online gebracht zou hebben.

Een derde laag van backups zou dit misschien gered hebben: online back, offline backup, en een derde backup, fysiek elders opgeslagen (offline, offsite). Maar zelfs dat zou nog geen garantie geweest zijn, want wie zegt dat deze ex-medewerker niet in zijn auto gestapt zou zijn...
Als je derde backup bij een directielid thuis ligt ( in een kluis uiteraard) wens ik hem alsnog veel succes. De enige optie is dan het vooraf plannen van zo'n actie, en al weken/maandenlang lege tapes meegeven.
Dat gaat werken voor je bedrijfsdata. Maar er is geen VPS boer die elke week tapes van alle servers aan iemand gaat meegeven. Dan nog: wat heb je aan back-ups van een week oud? Database en files van klanten veranderen continu. Die back-ups zijn nagenoeg nutteloos.
En off-site. Ik heb eens bij een instantie gewerkt die hadden netjes en fysiek medium gebruikt voor kopieën die in een kluis belanden.
Maar zelfs offsite storage is geen garantie. Als de man bij die tapes (of andere storage kan), en dat lijkt me niet onaannemelijk (hij heeft dat soort toegang voor zijn werk immers nodig), kan hij alsnog die tapes wissen of anderszins onbruikbaar maken.

Enige manier die ik zie om dat te omzeilen is om de offsite storage uit te besteden aan een extern bedrijff ipv het in eigen beheer te doen. Maar die zijn ook niet goedkoop.
Dan zal hij er toch fysiek bij moeten kunnen en dat ook doen. Tapes die offsite in een kluis liggen en dus niet in een library zitten maak je niet zomaar even onbruikbaar.
Je kan tapes alleen maar 'erasen' door ze volledig te overschrijven, dat duurt per tape al gauw een kwartier of meer, voor een VPS boer zal dat uren of zelfs dagenlang non-stop erasen zijn.
Simpelweg de headers overschrijven maakt recovery lastiger maar ook nog even goed mogelijk (moet opnieuw in de catalog worden geschreven maar dat is het dan ook).
De tape uit de database verwijderen zonder aan de fysieke tape of de data erop te komen kan, dan herkent de backup software de tape niet direct, maar de eerste de beste keer dat die gescant wordt herkent de software wat erop staat.
Als een medewerker ineens twee weken lang elke dag naar de offsite backup locatie gaat en daar tapes wist (andere admins zien de allocated tape pool steeds kleiner worden) dan gaat iemand dat merken ;)
Zou het niet voldoende zijn de tapes een beetje met een magneet te 'bewerken'? Duurt maar 10 seconden en uiteindelijk zit je kluis vol met onleesbare tapes.
Ps: Geen idee of dat echt werkt, misschien heb ik iets te veel films gezien maar gezien de dichtheid van die data zou ik vermoeden dat dat toch redelijk"fragiel" is voor dat type sabotage.
Dat valt vies tegen hoe makkelijk een tape te wissen is met (een willekeurige) magneet. De grotere dichtheid zorgt er zelfs voor dat het lastiger wordt om deze te wissen (en te beschrijven).
http://searchdatabackup.t...troy-data-on-backup-tapes
Stom dat ze geen off-site backups hebben op meerdere locatie's. Uit ervaring van mijn eerdere werkgevers werden er om de maand back-ups gemaakt op externe hardeschijven die mee naar huis gingen met o.a. directie leden of andere medewerkers.

Zo was er altijd een backup van maximaal een aantal maanden oud.
Hoe relevant is een backup van maanden oud echter nog, leuk om een verwijderd excel / word document uit terug te zetten waarvan niemand gemerkt heeft dat deze verwijderd is.

Echter VM's terugzetten uit een backup van maanden is in de regel hopeloos, net als bijv. Databases van belangrijke software waar dagelijks in gewerkt wordt of bijv. je Exchange data. In de regel is de je data verlies dan zo groot dat je in praktijk aan die backups helemaal niets hebt.
Heel relevant, denk maar eens aan de bedrijfsadministratie die je verplicht zeven jaar moet bewaren.
Dat doe je in de regel niet op een backup, maar gewoon in de systemen zelf. Bij dit soort zaken van een mogelijk jaren oude backup afhankelijk zijn is een groot risico, zeker als je geen backup / restore precedures uitvoert wat helaas veel bedrijven absoluut niet doen.

Maar denk ook bijv. aan het overgaan op een nieuw systeem en het oude pakket niet meer mogen gebruiken, dit mag je dan wanneer nodig ook niet meer uit bijv, een backup terughalen.

Maar goed dat is een soort van side case, in het geval van een disaster recovery is het gewoon vrijwel onmogelijk om een bedrijf weer volledig draaiende te krijgen wanneer er enkel een backup van enkele maanden oud nog voorhanden is omdat deze in de kluis ligt.
Totaal niet relevant in de context van een budget VPS provider.
Wie zegt dat er geen backups zijn (waar denk je dat de restores vandaan komen?). Alsook: als je zoveel toegang hebt dat je alle servers kunt wipen, heb je dan ook geen toegang om de backups te wipen?
Niet als je ook op fysieke media opslaat zoals tapes enz.
Er zijn voldoende scenarios te bedenken waardoor het, ondanks veel voorzorgsmaatregelen, toch mis kan gaan. Bijvoorbeeld omdat je besloten hebt om je backups te encrypten en de werknemer gooit de decryptiekey weg. Kan je-m in een kluis hebben liggen, maar als-ie hem er zelf ingelegd heeft kan-ie hem er ook vaak uithalen.

Bij een vorige werkgever (80 werknemers, dus geen kleintje) ben ik gedurende een aantal jaar ook in staat geweest om zo'n "geintje" uit te halen. Men had mij veel te veel mogelijkheden toegekend en ook de offsite backups regelde ik helemaal. Heb ze daar regelmatig voor gewaarschuwd, maar niet elk bedrijf overziet de gevolgen of houdt er rekening mee dat een werknemer echt zo dom kan zijn om zoiets uit te halen. Want dom is het wel: als jij als werknemer zoiets doet staat het niet fijn op je CV - en ICT is een relatief kleine wereld.
Want dom is het wel: als jij als werknemer zoiets doet staat het niet fijn op je CV - en ICT is een relatief kleine wereld.
Als de toekomst van de dader toch al uitzichtloos was, kon hij best instaat zijn al zijn schepen en die van anderen te verbranden. Overspannen wraakzucht en de mogelijkheden ertoe kun hem dit hebben doen besluiten.

Is de man ontslagen en was dat op staande voet? Of heeft hij zijn opzegtermijn kunnen gebruiken om de boel te ondermijnen.? We weten het niet.
Bij encryptie zijn er normaal gesproken minimaal twee keys en die bewaar je uiteraard niet op 1 plek en/of bij 1 persoon.
Backups kunnen toch ook gewoon verwijderd worden? Tenzij je nog compleet offline backups ergens hebt, off the air, maak je nog een kans.
Erg lullige actie in elk geval.
En ook in dat geval, gezien het een werknemer was had die ook op zijn laatste dag de offline backups kunnen vernietigen.
Had lastig geweest als deze op tape zouden staan. Ga maar eens tientallen, honderden of duizenden tapes (laten) plaatsen in een library en ze ook nog eens wissen.
Het is maar net wat je tegenwoordig als back-up verstaat. Tegenwoordig hebben de vele Cloud aanbieders geen mogelijkheid tot back-up zoals we gewent zijn. Als je met Terabytes aan data werkt wil je liever gebruik technieken die het repliceren tussen vele nodes mogelijk maakt (ala Openstack).

Uiteraard is het mogelijk dat een VPS-aanbieder backups op tapes kan maken, maar om de prijs te drukken wordt dit vaak niet gedaan of het wordt aangegeven dat je het als bedrijf zelf moet realiseren. Zo wordt er bij Office365 ook geen backup door Microsoft uitgevoerd. Het zal niet zo snel gebeuren dat alle datacenters van Microsoft hetzelfde overkomt, maar stel dat het wel gebeurd zijn een hoop bedrijven hun mail kwijt. In ieder geval de bedrijven die niet on-premise hun Office365 mail backuppen.
het stukje "binnen een week weer online zijn" wijst op offsite backups....

enkele terabytes van tape terug laten shippen, en vanuit backup een bare metal recovery doen van een groot aantal machines heeft ook zijn tijd nodig he....
Wij hebben bij ons een machine waar de (wekelijkse) full backup van een machine tot 72 uur nodig heeft om te draaien. JE kan er dan vanuit gaan dat een restore even lang duurt (als hij slaagt)

(en ja: die 72 u is een accepted risico, snapshot staat opzij, het naar tape streamen van de snapshot neemt die tijd... spare me the details om dat beter te krijgen.... al genoeg consultants over aangesproken van alle lagen in de supply chain (inclusief "als je het beter kan krijg jij het contract")...
Een ex-werknemer die in ieder geval niet meer bij bedrijven werkzaam zal komen die referenties controleren of een VOG opvragen (al dan niet voor hun ISO).
Maar daar hebben de klanten natuurlijk niets aan. Vraag me alleen af. Juridisch schijnt "data" niets te zijn, dus in hoeverre zo'n persoon aan te klagen is?
Juridisch gezien is data wel degelijk iets, denk maar aan het 'runscape arrest' hier is dus gewoon sprake van vernieling, als het al niet onder een delictsomschrijving uit computer-criminaliteit valt, je zou namelijk prima kunnen zeggen dat, ook al ben je admin van een server, zodra jij buiten je werkomschrijving gaat en dingen die die niet redelijk zijn, is de toegang tot dat systeem op dat moment dus niet meer gerechtvaardigd, daarom is het stelen van paswoorden evengoed hacken als het bruteforcen ervan, zelfs zonder 'digitaal geweld' kun je dus hacken. zie ook het woordje 'in ieder geval als' in Art 138a Sr dit insinueert dus dat er soms in andere gevallen ook sprake van kan zijn. het doorbreken van het kader waarin je door je baas toestemming had om toegang te hebben lijkt me zoiets.
Het zelfde komt een beetje neer op: je mag in mijn huis zijn ALS je je goed gedraagt, vervolgens maak je er een drugsparty van achter mijn rug om. De vraag: mocht je dan nog in mijn huis zijn" , "en had je dat kunnen afleiden uit de afspraak" lijkt me vrij duidelijk te beantwoorden.
De boeg waarover je het gooit is eigenlijk niet zo relevant - de vraag of hij toegang mocht hebben staat namelijk niet centraal. Waar het om gaat is dat hij opzettelijk schade heeft aangericht, en of hij daarvoor aansprakelijk is. Dat laatste lijkt me een gegeven.

Als ik bij mij op kantoor de boel kort en klein sla heb ik ook een probleem. In ieder geval strafrechtelijk, en afhankelijk van hoe mijn baas erin staat ook civielrechtelijk want hij wil de geleden schade (niet alleen hardware, maar ook dat het bedrijf even uit de running is, klanten lopen mogelijk weg, etc) vast op me verhalen. Het lijkt me dat dit geval niet anders is.

[Reactie gewijzigd door .oisyn op 11 juni 2017 11:53]

Is dat laatste een gegeven?
Als hij nou op alle servers het bestandsysteem + backups met een certificaat heeft beveiligt, en na ontslag word door zijn collega's na een jaar vergeten om dat certificaat te vernieuwen, omdat ze er niet van op de hoogte waren. Probeer dan zijn schuld maar te bewijzen, of de schade die ook alle backups raakt te herstellen.

je moet nog steeds opzet bewijzen voor je iets kunt verhalen. en op deze manier is dat zeer moeilijk tot onmogelijk.

[Reactie gewijzigd door Fiander op 11 juni 2017 14:44]

Waar het om gaat is dat hij opzettelijk schade heeft aangericht, en of hij daarvoor aansprakelijk is. Dat laatste lijkt me een gegeven.
Misschien. Als hij het een beetje handig heeft aangepakt dan is het natuurlijk niet te bewijzen. Je kunt wel een vermoeden hebben, een werknemer is met ruzie vertrokken en plotseling is alle data weg. Maar de vraag is of dat enkele vermoeden genoeg bewijs is om iemand aansprakelijk te stellen.
Klopt.
Strafrechtelijk vernieling, privaatrechtelijk Onrechtmatige daad.
Ook iets dat - stoffelijk - niets is, kan mijns inziens vernield worden, Engelfriet of geen Engelfriet. En in ieder geval was daar de opzet van de ex-werknemer op gericht: Data verwijderen (=intacte situatie vernielen) zodat de ex-werkgever geschaad zou worden in zijn bedrijfsuitoefening.
Strafrechtelijk een straf, civielrechtelijk schadevergoeding.
Volgensmij kan hij voor alle schade die is ontstaan door zijn acties opdraaien.
Idd d.w.z. helemaal leegplukken en nog jaren terugbetalen.

Dat je een probleem met je werkgever hebt kan gebeuren, dat je die iets wil flikken kun je misschien nog als menselijk gedrag omschrijven. Als anderen in dit geval klanten daar de dupe van worden betrek je mensen en bedrijven bij jou wraak die er helemaal niets mee te maken hebben.

Probleem is misschien wie moeten die bedrijven aansprakelijk stellen. In eerste instantie misschien de hoster omdat ze daar een contract mee hebben, die kan dan de ex werknemer weer verantwoordelijk stellen.

Stel me ook de vraag backups, of zijn die ook vernietigd ?
Ik heb ook geen strafrecht gestudeerd, maar waarom zouden de slachtoffers niet rechtstreeks de dader aansprakelijk kunnen stellen? Het is geen voorwaarde dat je een contract met de dader (of zijn bedrijf) moet hebben om slachtoffer van vernieling te kunnen zijn. Dat de dader werkte bij de host van de slachtoffers is feitelijk irrelevent voor de schuldvraag.
Omdat de klanten geen relatie hebben met die werknemer maar met het bedrijf in kwestie. En die heeft (of had) wel een relatie met deze niet-zo-brave ziel. Het belang van de klant ligt bij de dienst van het bedrijf en die wordt momenteel niet meer geleverd. De reden erachter doet niet ter zake voor jou als klant. De dienst wordt niet geleverd en dus heb jij een geschil met de leverende partij.
Iemand vernield jouw auto op een betaalde parkeerplaats. Vast niet dat jij een of andere overeenkomst hebt met de persoon die je auto vernield, maar wie ga je aanklagen? De exploitant van de betaalde parkeerplaats? Of toch maar gewoon de persoon die jouw auto vernield?
Het is meer een geval, je hebt je auto in een parkeergarage geparkeerd. Iemand (ex medewerker van de garage) 'vernield' de parkeergarage waardoor jij niet meer bij de parkeergarage\auto kan.
De parkeergarage kan nu niet meer zijn dienst verlenenen (toegang tot jou auto).
Wie je moet aanklagen etc. weet ik ook niet. Had de garage voor betere beveiliging moeten zorgen? En\Of een 'backup'?
Ik begrijp je punt en het is ook lastig om te bepalen wie je gaan aanklagen, maar je vergelijking komt niet goed tot z'n recht (de mijne overigens ook niet hoor! haha) want in dit geval heeft de medewerker niet de servers gesloopt (lees parkeergarage) maar de data in de servers (lees auto's).

Maar goed, het is sowieso een juridisch lastig punt omdat data (gek genoeg) niet echt als een eigendom wordt gezien.

Neemt niet weg dat ik vind dat deze persoon zeker de gevolgen mag voelen. Dit soort zaken kun je gewoon niet maken en daar mag je best even een tijdje voor op de blaren zitten. Financiele schade vergoeden aan de klanten en de werkgever en een aantal maandjes brommen lijkt me een prima consequentie voor hem.
De context is ook nog zoek. Was de vermoedelijke dader op het moment ex-werknemer of nog werknemer.

Was de vermoedelijke dader al ex-werknemer, hoe is het dan mogelijk dat een persoon bij zoveel informatie kan. Dan ben je als bedrijf erg nalatig, nu is alles gewist. Maar er had zich ook een gigantisch data-lek kunnen voordoen.

Daarnaast is de ex-werknemer verdachte. Hij kan ook als zondebok geslachtofferd worden.
Ja, het is logischer de hoster aansprakelijk te stellen en die zal de werknemer weer aansprakelijk stellen.
Dat je dienstverlening tijdelijk stopt verhaal je inderdaad op de partij die deze hoort te verlenen. Maar deze niet zo brave ziel heeft ook aan je data gezeten en gevandaliseerd, dat is een aparte kwestie. Zo zwart wit als jij de situatie schetst is deze vast niet.
Dat vraag ik me af. Als hij mijn data openbaar maakt, dan is het een ander verhaal, maar er is niets in de openbaarheid gekomen, in die zin is er niks "mis" ...
Ja, maar, als het bedrijf niets te verwijten valt (normale veiligheidsprocedures gevolgd), is er voor het bedrijf sprake van overmacht. Dus zal de afnemer toch de ex-werknemer moeten aanspreken. (Van een kale kip valt in de regel niks te plukken, maar daarom kan je nog niet zo makkelijk de struisvogel te grazen nemen ;) )
Daar heb je als afnemer niets mee te maken. Jouw dienst is verstoord en daar is het bedrijf verantwoordelijk voor. Zuur voor het bedrijf, maar het is niet anders. Als de machinist ziek is van je trein, krijg je je geld ook terug van de maatschappij in kwestie en niet van de machinist.
Toch wel.
Wanprestatie is het pas als de niet-nakoming verwijtbaar is.
Daarom noemde ik ook overmacht.

In jouw voorbeeld is er wanprestatie, omdat zoiets een normaal bedrijfsrisico is, wat te ondervangen is met het oproepen van een andere machinist.Het uitvallen van die ene trein is geen probleem; je wordt, conform overeenkomst, vervoerd, zij het iets later dan gedacht.
Nee, daar zit je echt naast. Als ik een SLA heb met een 4 uurs hersteltijd en recht op vergoeding op de één of andere datacenter-dienst en er valt een Boeing op het datacenter snap ik de omstandigheid, maar heb gewoon recht op een vergoeding.

Verwijtbaar of niet maakt niet uit, tenzij uitdrukkelijk uitgesloten in de SLA. Je voorbeeld met de trein doet het dan ook niet zo goed, als ik 8 uur later weer aangesloten ben, is er niet voldaan een de 4 uurs hersteltijd. Ik heb het geloof ik al drie keer gezegd, de klant is een relatie aangegaan met een leverancier en die is dan ook aansprakelijk voor uitval. Dat hij zijn best gaat doen om de schade te verhalen lijkt me vanzelfsprekend, maar is - nogmaals - geen zaak tussen de sufferd en de eindgebruiker.
Ik wens je succes voor de rechter ;) .

Het recht is - naast "regeltjes" - een zaak van interpreteren, nuanceren, rechtsgevoel.
Zelfs met je "ijzeren" SLA red je het niet. Want die is opgesteld met normale omstandigheden in gedachten.

Even maar een linkje

Deze is ook mooi volledig (al is het wat lastiger te lezen).

P.S.
"Let's agree, we disagree".

[Reactie gewijzigd door Brothar op 14 juni 2017 21:25]

Inderdaad, linkjes zijn altijd welkom, daar leert de mens altijd weer van, dank daarvoor.

't Punt waar ik over struikel is dat je niet als klant die werknemer zomaar kan stalken, dat lees ik ook nergens in jouw links dat dat kan. In mijn reactie heb ik het ook niet over overmacht gehad, daar lijk je echter wel op te reageren - wat prima is overigens.

Toen er ooit in de Betuwe een helikopter tegen een spanningskabel aanvloog voldeden wij ook niet aan afgesloten SLA's, maar werden daar ook niet aan gehouden door verschillende klanten. Dat vertaalt zich vaak terug in een goodie de andere kant op als het nodig is en dat is prima, wheelen en dealen buiten SLA's om is vaak in beider belang.

In het grootzakelijk segment zie ik SLA's van tientallen pagina's met wederzijdse verplichtingen, uitgekloven door juridische teams van beide kanten, daar wordt in principe niets aan het toeval overgelaten, of aan interpretaties blootgesteld.

Op het moment dat je de SLA er bij moet pakken om elkaar om te oren te slaan, ben je vaak het punt van praten voorbij en dan zit je op het hellende vlak. Voor dat punt zit inderdaad de ruimte om elkaar wat te gunnen. En ik zie frequent dat er een simpele wet geldt, SLA niet gehaald - ongeacht de oorzaak - is boete betalen. Alle uitsluitingen staan in het contract. Is de oorzaak niet voorzien in het contract, dan volgt automatisch de één of andere clausule die dan in werking treedt.

Aangezien ik bij een leverende partij werk, heb ik helaas ervaring genoeg in dit SLA vlak.En overigens zakelijk gezien is dat prima, afspraak is afspraak, dus als wij de afspraken niet nakomen, dan volgt een boete. En vaak - als we het beter doen dan afgesproken - volgt aan bonus.

Weer veel te lang dit verhaal :) Overigens vraag ik me af of een knoeiende werknemer onder overmacht valt.In het bedrijf waar ik werk worden een aantal kritische zaken door een systeem gedwongen door een 4 ogen principe gedaan, maar iemand kan ook bij die machines, waterdicht is het niet. En voor een kleiner bedrijf is dat qua personeel niet op te brengen besef ik.

Punt.

[Reactie gewijzigd door Houtenklaas op 14 juni 2017 23:35]

Wat denk je van beide?

- Het bedrijf in kwestie is in gebreke gebleven om de ex-werknemer de toegang tot de servers etc. te ontnemen.

- De ex-werknemer heeft willens en wetens data van klanten verwijderd/vernietigt, wetende dat hem deze data niet toebehoort.

Het bedrijf in kwestie behoort vervolgens zowel namens klanten alsmede uit eigen naam aangifte te doen en kan hierom de geleden schade verhalen op de ex-werknemer.

Ik vermoed dat het geen de ex-werknemer met zijn laffe daad heeft uitgevreten n.l. niet alleen civiel maar ook strafrechtelijk vervolgd kan worden.
Ik heb ook geen strafrecht gestudeerd, maar waarom zouden de slachtoffers niet rechtstreeks de dader aansprakelijk kunnen stellen?
Waarom zouden ze die moeite doen? valt niks te halen.
Valt niets te halen is nog maar de vraag.

Hoe oud is de werknemer, huis auto bezit.
Terugbetalen schade, daar kun je iemand jaren voor laten bloeden, åerken c.q uitkering voor bepaald deel afromen.
En in dat geval denk ik dat de gebruikers ook op een of andere manier gaan moeten aantonen welke schade er juist gestaafd kan worden en wat het exacte verband is met de acties van die ex-werknemer. Voor dat tweede hebben we alleen een verklaring van de hoster, waar de ex-werknemer het misschien niet mee eens is (en waarmee de hoster dan sowieso ineens ook betrokken is).

Het aansprakelijk stellen van de hoster is eenvoudiger, daar heb je (als het goed zit) een contract mee dat niet is nagekomen. Punt. Hoe dat komt, of dat een bewuste actie of een fout van een (ex-)werknemer is, is hun probleem. (En laten we eerlijk zijn, 't zou het eerste bedrijf niet zijn dat slechte procedures (of fouten door personeelsgebrek) als moedwillige daden van een werknemer benoemt.)
Alleen, tenzij je een apart contract hebt krijg je van de hoster alleen de downtime vergoed. Dus een week niet gefactureerd ofzo.

Schadevergoeding van de indirecte kosten ( omzetverlies) staat nooit in een goed contract.

Dus als je dienstverlening afhankelijk is van een hoster heb je al een scenario op de plank liggen om elders te hosten als je hoster plat gaat. Schadevergoeding is bijna niet te doen.
Of er niets te (ver)halen valt, is moeilijk te zeggen maar wat bbob zegt; Voor hetzelfde geld heeft meneer een eigen huis, spaargeld, dure auto, leuke erfenis gehad o.i.d.

Ook al is dat niet genoeg om de gedupeerden te vergoeden, het maakt op hem allicht meer indruk als hij ook iets belangrijks kwijtraakt, en dat is vaak mede het doel van rechtspraak.
Om een schade op iemand te kunnen verhalen moet er sprake zijn van een onrechtmatige daad. Er is hier zeker sprake van een onrechtmatige daad door de ex-werknemer jegens de klant (en jegens zijn werkgever). Meestal kan een schade door doen of laten door een werknemer echter direct op zijn werkgever/opdrachtgever worden verhaald, tenzij dit onredelijk is. Irrelevant voor de schuldvraag, allicht. Maar het is voor de slachtoffers in de regel een stuk simpeler de schuld op de werkgever te verhalen.
Ben geen voorstander van hooivork, duurt te lang, een strop gaat sneller 8)7

Als een bedrijf zwart op wit deze uitspraken doet, doen ze dat niet voor niet. Ze zullen sowieso aansprakelijk gesteld worden voor de schade.
Ik neem ook aan dat ze aangifte doen tegen de ex werknemer. Ik mag ook zeker hopen dat deze zaak als voorbeeld gebruikt gaat worden voor anderen om dit vooral niet te doen. Zou een mooie zaak zijn, dikke straf als voorbeeldfunctie.

Servers zijn onderdeel geworden van infrastructuur van bedrijven. Je mag dan zeker verwachten dat diegene die ze beheren daar zorgvuldig mee omgaan en dit vertrouwen niet misbruiken.
Als een bedrijf zwart op wit deze uitspraken doet, doen ze dat niet voor niet.
Nou ja, ze moeten iets zeggen, hun hele service ligt eruit.
Ik neem ook aan dat ze aangifte doen tegen de ex werknemer.
Ja, tot dusver mee eens.
Ik mag ook zeker hopen dat deze zaak als voorbeeld gebruikt gaat worden voor anderen om dit vooral niet te doen. Zou een mooie zaak zijn, dikke straf als voorbeeldfunctie.
En hier vind ik je weer te ver gaan. Jij neemt aan dat alle schuld bij een (jou onbekende) persoon ligt. Jij veroordeelt hem/haar nog voordat je weet wat zich werkelijk heeft afgespeeld.
Inderdaad. En een strafrechtelijke vervolging lijkt me ook vanzelfsprekend.
Daar zou ik als bedrijf toch mee uitkijken. Het maakt het toegekend krijgen van een schadevergoeding wel makkelijker (je kunt je voegen in het strafproces), maarals justitie hem uitgekleed heeft en hij daarna ook geen uitkering meer krijgt valt er daarna niks meer te halen dus daar sta je dan met je juridische gelijk.
Als hostingbedrijf zijnde zou ik hier wel verzekerd voor willen zijn. Dit gelijk heb je nodig voor uitkering van de verzekering.
Verzekerd tegen dit soort dingen? Ik weet dat je verzekeren tegen van alles en nogwat een nationale manie lijkt in Nederland maar je tegen vernielzuchtig personeel verzekeren heb ik nog nooit van gehoord.
Data kan wel degelijk juridisch niets zijn, virtuele goederen in online games en bijv. belminuten zijn momenteel nog de uitzondering op de regel dat data niets is. Zie bijv. deze blog van Arnoud Engelfriet.

https://blog.iusmentis.co...jk-gaan-regelen-dimorefi/
Engelfriet schrijft: "juridisch gezien bestaat data niet bij diensten van diezelfde informatiemaatschappij"

Dat is een groot verschil.
Een stukje als:
Misschien een tikje gechargeerd, maar wat ik ermee bedoel is dit: je hebt geen wettelijke aanspraak op data die je in een dienst opslaat, met een dienst genereert of dankzij een dienst verkrijgt. Je kunt die data niet opeisen, en van “jouw” data kun je al helemaal niet spreken.
Is zeker wel relevant wanneer je een dienst afneemt waarbij je een VPS huurt en daar data op opslaat.

Dit is bijv. ook een risico bij Cloudbackups of Cloudopslag, stel dat zo'n dienst stop / failliet gaat bestaat de kans dat je van de een op de andere dag niet meer bij de backups c.q. de opgeslagen data kan.

[Reactie gewijzigd door Dennism op 11 juni 2017 14:00]

Mijn docent 'inleiding strafrecht' is het niet met die stelling eens,. Je kunt namelijk stellen dat data op een server het product is van arbeid, denk aan de webdesigner, waarom immers zou een ingame artikel waarde hebben omdat iemand voor zijn lol ervoor heeft 'gewerkt' maar is er geen sprake van waarde en dus eigendom wanneer het beroepsmatig gebeurt
Ik ben zelf geen jurist, dus kan je dat niet direct vertellen. Ik ben echter geneigd om op dit gebied een alom gerespecteerd jurist die zich gespecialiseerd heeft in recht / juridische zaken omtrent vraagstukken die te maken hebben met IT en internet eerder te vertrouwen dan een docent "inleiding strafrecht".

Het zou natuurlijk kunnen zijn dat jouw docent denk aan de strafrecht kant en niet aan de civiele kant van het recht. Daar zit namelijk voor zover ik weet wel verschil in bepaalde definities.
Jij spreekt jouw docent op Zondag?
Ja, want iedereen die een 'titel' heeft zal wel gelijk hebben. Zal mijn vriendin eens vragen, die ook de Mr titel heeft vanuit haar masters notarieel en fiscaal recht, ze heeft vast een antwoord waar je het mee eens moet zijn.

Gelukkig hebben we nog rechters in dit land en zijn we niet afhankelijk van individuen met een 'titel'.
hij kon het ook nog erger doen, een netwerk kabel vastmaken aan een 220V stekker, en dan over alle 2x4 banen 220V hebben.

dan is gelijk ook de gehele infrastructuur vernietigd.

het kan zijn dat verelox nog een "recente" backup had op een andere locatie. waardoor ze de data terug kunnen zetten. hopelijk is dit het geval anders is het vrij slecht dat zoiets kon gebeuren.
Ethernet is verrassend goed tegen piek-spanning bestand. 240V is niet echt dramatisch.

Daar sloop je hooguit de switch mee (als het mee zit) en als het een beetje goeie switch is alleen maar een deel van de poorten op de switch. (Met name PoE switches zijn behoorlijk afgecshermd.)
Sleep je echt niet het hele netwerk in mee.
Zelfs als het via de switch overslaat op andere UTP kabels dan blaas je aan de andere kant van die kabel hooguit de netwerk-kaart op. (Misschien ook het moederboard als de NIC on-board zit.)
vroeger was dit wel toen ze nog BNC als standaard gebruikten, want daarop was elke pc aangesloten in 1 directe lijn, en kon je gemakkelijker een heel netwerk plat leggen, door alleen maar de end terminal te verwijderen en lijm over de terminals te gieten zodat je ze niet meer los of vast kon maken. waardoor het een enorme klus was om alles weer operationeel te krijgen.

kende iemand die hier vroeger last van had dat een grapjas zo leuk was om de end terminal te verwijderen waardoor het hele netwerk plat lag.
Breek me de bek niet open over coax.
Repeaters, vampire taps, kabel tussen T-stuk en NIC ipv T-stuk er direct op. Te lange kabels. disconnects halverwege omdat de bajonet niet goed aangedraait was. Knikken in de kabel die reflecties veroorzaken.
En niet te vergeten aard-potentiaal verschillen tussen de PC's waardoor je een opdonder kreeg van het T-stuk als je er aan kwam. En als je echt pech had ging de kaart er ook aan. (De betere hadden een klein neon-lampje dat als zekering diende. Ik heb er tientallen nieuw in moeten solderen.)

Weet je gelijk hoe lang ik al meeloop in de business :) Ik wordt oud.
heb toevallig nog een overgang switch met een BNC connector laatst in mn vaders werkhok gevonden.

ding werkt nog prima, weet aleen niet of de BNC ook nog functioneerd, zou ik een 2e switch voor nodig hebben.
Ik heb er ok nog eentje: 8x 10 Mb UTP en 1 coax.

Gebruik hem af en toe om met de coax mijn oude Amiga 2000 met Ariadne kaart aan te sluiten en de UTP lust door op de gigabit switch.

Voor als ik de nostalgische bui echt niet meer kan onderdrukken en Lemmings wil spelen zoals het bedoelt is :-)
haha snap 't.

ik zal em vast niet meer gaan gebruiken. hooguit om de tv ontvanger aan te koppelen zodat deze geen data gaat pompen van m'n abbo zodat ik minder over houdt voor m'n pc.

voor FHD heb je toch niet meer dan 10-15mb/s nodig.

en die dingen ondersteunen toch nog geen 4K resolutie.
Een ex-werknemer die in ieder geval niet meer bij bedrijven werkzaam zal komen die referenties controleren of een VOG opvragen (al dan niet voor hun ISO).
VOG zegt alleen of iemand niet veroordeeld is voor misdrijven in een bepaalde context. Zonder veroordeling blijft hij schoon. Ook zijn referenties te faken met een combinatie van CV poetsen en het opzetten van een spookbedrijf + domein.
De kans dat door zijn ex-werkgever aangifte tegen hem gedaan wordt, en er een veroordeling volgt, lijkt me vrij realistisch, als ze kunnen bewijzen dat hij het gedaan heeft. Dat gaat dan mooi op zijn strafblad.

Dan kan je een VOG voor een vergelijkbare functie echt wel vergeten hoor. En die heb je in de IT tegenwoordig echt wel nodig.

Zal natuurlijk niet levenslang zijn, maar de kans dat hij de komende paar jaar in de IT aan de slag komt lijkt me vrij minimaal.

Sowieso wil je als werkgever natuurlijk niet iemand in dienst nemen die al heeft laten zien dat hij compleet onbetrouwbaar is, en als je zoiets doet, is dat uiteraard zo duidelijk als het maar kan :)
Een strafblad betekend niet perse geen VOG. Hier zijn vaker problemen mee geweest.
Een strafblad betekend niet perse geen VOG. Hier zijn vaker problemen mee geweest.
Dat klopt, er wordt wel naar de context gekeken van zowel de veroordeling als het verzoek tot afgifte van een VOG.

Zo krijg je bijvoorbeeld wel een VOG als je solliciteert voor tuinman (ik noem maar wat), en veroordeeld bent voor financiele fraude. Maar als je financiele fraude gepleegd hebt (en veroordeeld bent), en je solliciteert op een financiele functie, wordt dat toch echt een stukje lastiger (als de veroordeling althans relatief recent is).

Als hij veroordeeld wordt (niet onaannemelijk zeg maar), en hij solliciteert op een vergelijkbare functie waar een VOG vereist wordt, is dat toch echt wel een probleem voor meneer. En terecht uiteraard.
Je krijgt sowieso een VOG, de vraag is alleen wat daar dan op staat. Een verklaring bevat geen bevestiging van een schone lei, het bevat de (relevante) informatie die justitie over je heeft.
Het bevat helemaal geen informatie die justitie over je heeft. Zal even een paar relevante regels overtikken uit een vog:
Het onderzoek heeft zicht gericht op het/de functieaspect(en); XX, YY.

Uit het onderzoek zijn geen bezwaren gebleken tegen betrokkene voor bovengenoemd specifiek doel. Ik heb daarbij rekening gehouden met het risico voor de samenleving en het belang van betrokkene.
Veel meer dan dat staat echt niet in de verklaring zelf.
Dan hebben ze dus geen relevante informatie over je. Om de 'relevantie' maar even uit de weg te ruimen in de rest van de tekst: delicten die justitie irrelevant voor de functie acht, worden sowieso niet vermeld.

Niet voor iedere functie betekent een strafblad met een relevant delicht automatisch dat je niet meer werkzaam kunt zijn. Zelfs niet in de beveiliging, of in een ziekenhuis, om maar iets te noemen. In dat geval krijg je gewoon een VOG, maar die is niet leeg. De werkgever kan vervolgens zelf beslissen of het bezwaarlijk is en zij is in ieder geval op de hoogte van dit delict uit het verleden.
Er wordt geen vog uitgegeven die niet leeg is om in jouw woorden te blijven. Indien je verleden een beperking oplevert voor het doel of de doelen waar deze voor aangevraagd is dan wordt er helemaal geen vog afgegeven. De werkgever komt dus nooit op de hoogte van welk delict dan ook, hij weet alleen dat er iets gespeeld heeft waardoor er geen vog afgegeven wordt.
Mocht het zelfs zo zijn dat er wel delicten op zouden staan dan nog hoeft de werkgever hier niets van te weten, de vog wordt immers niet aan de werkgever verstrekt maar aan de persoon op wie deze betrekking heeft.
https://www.justis.nl/pro...aq-over-vog-np/index.aspx
Zijn de gevonden strafbare feiten relevant voor het doel waarvoor de verklaring is aangevraagd en vallen ze binnen de terugkijktermijn, dan krijgt u geen VOG.

[Reactie gewijzigd door ninjazx9r98 op 12 juni 2017 22:12]

Ik kan me voorstellen dat ieder bedrijf dat serieus aan de gang moet met informatiebeveiliging (als in ISO 27001) van alle IT-medewerkers een VOG moet overleggen. Een VOG die in dit geval heel relevant is.
Multinationals eisen het al, maar er komt een moment dat de overheid die certificatie ook in alle aanbestedingen gaat eisen.

[Reactie gewijzigd door Dennisdn op 11 juni 2017 11:35]

Eh nee, alleen als je ingezet wordt bij een klant/team die dat eist .Je moet bij een vog immers ook goed aangeven waarvoor een vog wordt aangevraagd.
Vaak wordt dat rond de 10 tot 15 jaar bewaard, daarna kan je mits je niet opnieuw bent veroordeeld alsnog een VOG krijgen.
VOG nodig? Ze hebben mij er een keer om gevraagd bij een detacheerder, en dat was alleen voor "als de klant er eens naar mocht vragen, dan hoef je niet te wachten". Misschien dat dat voorbeheersfuncties anders is, maar zeker bij het MKB heb ik het nog nooit gezien.

[Reactie gewijzigd door Morgan4321 op 11 juni 2017 14:55]

Juridisch schijnt "data" niets te zijn
En hoe zit het met computer vredebreuk en de wet computercriminaliteit dan?

http://www.wetboek-online.nl/wet/Sr/138a.html
Dat zit hem mogelijk in het verschil tussen strafrecht en civiel recht.

In bijv deze blog kun je zien in welke gevallen van civiel recht data momenteel juridisch nog "niets" is.

https://blog.iusmentis.co...jk-gaan-regelen-dimorefi/
Data is voor de rechter zeker wel wat. In mijn bedrijf te maken gehad met een ex-medewerker die het leden-bestand (sportcentrum) had gekopieerd. De rechter was uitzonderlijk hard voor hem. De data werd door haar gezien als bedrijfskapitaal.
En terecht. Data is altijd al 1 van de belangrijkste bedrijfsassets geweest, ook in de tijd dat het klantenbestand nog in kaartenbanken zat. Machines kan je vervangen maar een klantenbestand kan je niet ergens kopen.
Het gaat hier natuurlijk niet alleen om de data die weg is. Het gaat hem ook om het moedwillig schade berokkennen aan je (ex-)werkgever. Gewoon al maar de onmiddelijke kosten kunnen hoog oplopen, tel daarbij ook nog eens de reputatieschade die je als bedrijf hebt en het weglopen van klanten.
Je kan deze persoon waarschijnlijk aanklagen voor de financiële schade.
VOG heeft geen zin in kader van de ISO, dit gaat meer over in aanraking zijn gekomen met justitie.
referenties controleren zegt ook weinig als dit de eerste keer is, overigens vind ik referenties eng omdat dit je privacy zou schaden. deze mafklapper heeft eigendommen van derde vernield en er is sprake van opzet. dus deze jongen heeft een probleem, niet alleen nu maar ook nog voor de rest van zijn carrière. ik zou hem vanuit perspectief herhaling niet in huren.
en er is sprake van opzet.
Dat kan, maar de officiële mededeling is: "Unfortunately, an ex administrator has deleted all customer data and wiped most servers." Mogelijk heeft hij zijn eigen gegevens willen opschonen en daarbij wat essentiële keys gewist. Onwaarschijnlijk, ik geef het toe ;), maar het kan. Ik laat de harde conclusies en de consequenties liever over aan iemand die wat meer informatie heeft...
Als de ex-werkgever gebeld wordt voor de referenties kun je het prima houden op "we kunnen bevestigen dat die persoon hier werkzaam is geweest, verder doen we geen mededelingen". Dan weet je als persoon die belt meer dan voldoende ;)
Je kan worden aangeklaagd wegens computervredebreuk, zodra het contract strand... mag jij alleen nog met je gegevens doen wat nodig is, zoals eventuele persoonlijke bestanden ergens anders plaatsen.
Het vernielen van servers valt daar natuurlijk niet onder.
Denk dat de gemiddelde klant geen boodschap heeft aan deze uitleg. Dit bedrijft voldoet volgens mij sowieso niet aan een enige kwaliteit / industrie norm. Bij iedere norm is het onmogelijk zoveel rechten te hebben dat je het hele bedrijf kan wissen op zijn inhoud. Delegated admin rights icm een RACI tabel doet al wonderen.

P.s. Een werkgever mag een VOG eisen maar ik zou ook willen weten voor wat voor baas ik ga werken en ik zou ook zijn VOG wel eens willen inzien.

[Reactie gewijzigd door toet-toet op 12 juni 2017 00:10]

Het lijkt erop dat je niet goed weet wat een VOG is. Dat is iets wat aangevraagd wordt en er zal dan ook nooit een situatie mogelijk zijn waarbij je zelf de keuze hebt om een laatste werkgever buiten beschouwing te laten.
Regel 1: "...medewerker heeft alle servergegevens verwijderd..."
Regel 2, tweede alinea: "...omdat een ex-werknemer..."

Zit nogal een verschil in tussen medewerker of ex-medewerker die na een tijdje wraak komt halen. Optie 3 is dat het een medewerker was tijdens het verwijderen (ontslag staande voet neem ik aan) of dat hij een half jaar geleden al ontslagen was.

Bericht zelf rept over een ex-administrator en laat die vraag in het midden. Voorzichtige conclusie dat er iemand heeft zitten slapen? Bij ons worden de admin rechten zelfs opgeheven op vrije dagen en vakanties.

[Reactie gewijzigd door Typhone op 11 juni 2017 09:56]

Ik neem aan dat de goede man zijn ontslag gekregen heeft en op het einde van zijn laatste werkdag de schade heeft aangebracht. Vandaag is het dan ook een ex-medewerker, op het moment dat hij het deed kon hij nog medewerker zijn.
Bij ontslag op staande voet van systeembeheerders :

- hun smartphone tijdelijk in beslag nemen
- op smartphone werk gerelateerde software / mailboxen wissen
- ze naar de kantine begeleiden
- server wachtwoorden wijzigen
- e-mail wachtwoorden resetten
- login gegevens werk PC verwijderen
- remote desktop wachtwoorden veranderen
- WIFI wachtwoord wijzigen
- toegang tot datacentrum laten blokkeren (indien van toepassing)
- veiligheidscodes alarm wijzigen
- badge + sleutels inleveren
- overig bedrijfseigendommen invorderen (laptop, autosleutel, telefoon)

Daarna mogen ze onder toezicht hun eigendommen op de werkplek bij elkaar rapen en krijgen ze bij het verlaten van het pand hun toestel terug.

Denk dat je dan het meeste wel hebt gehad.

[Reactie gewijzigd door Titan_Fox op 11 juni 2017 10:52]

en waar in die volgorde staat "nieuwe aanwerven, en in de tussentijd de klanten blijven ondersteunen?"
En dan zwijg ik nog over eventuele BOFH's die tijdbommen ingebouwd hebben.
IF ( userid.state(MijnUserid) == Disabled) then (sleep 1 dag ; rm -rf / en co)
En daarom: als je een personele single point of failure hebt, moet je die zo snel mogelijk onder de bus gooien. ;) Maar serieus, als iemand schadelijk genoeg is voor het bedrijf om ontslag op staande voet te overwegen, is het hoe dan ook beter om een tijdje op ondercapaciteit te draaien, dan met die schadelijke persoon op je systemen.

Het is aanzienlijk eenvoudiger uit te leggen waarom je iets niet hebt gedaan (lege stoel) dan waarom je iets hebt verkloot (verkeerde persoon op stoel).

Verder is het risico van tijdbommen prima te minimaliseren door je way of working in orde te hebben, al is de realiteit dat dat op 95% van de plaatsen niet goed geregeld is. Wanneer je iteratieve changes uitvoert op systemen (of dat nu manueel is of niet), en je systemen dus long-lived zijn, is het plaatsen van een dergelijke Dead Man's Trigger een eitje. Wanneer je principes als Infra as Code (of: Software-defined Everything) en Immutability hanteert, en een degelijk SDLC proces hebt en je hebt goede audit trails van manuele acties, dan is elke wijziging een code change die door tenminste 1 ander persoon goedgekeurd moet worden, zijn je systemen short-lived, en is elke manuele actie goed zichtbaar.

Zelfs wanneer een malafide admin dan zijn inlog/sudo rechten misbruikt, valt dat op. Een Dead Man's Trigger die afhankelijk is van remote access stopt met werken als je het account intrekt, en een lokale Dead Man's Trigger zou nooit lang blijven staan.

Het is beslist niet waterdicht, maar al een stuk beter dan long-lived systemen waar admins manuele changes kunnen doorvoeren zonder dat het opvalt.
Gebruik altijd een opstapserver en een tweetraps authenticatie om op je interne beheernetwerk te komen, of je nu van binnen of van buiten komt. Met het dichtzetten van de opstapserver EN het authenticatie token in beslag nemen is de voordeur dicht en kan hij/zij nergens meer bij als het goed is. En dan er wel voor zorgen dat er geen achterdeurtjes zijn natuurlijk. Heb je dan moedwillig de achterdeur opengezet, dan is de douw die je krijgt in ieder geval veel hoger door de "met voorbedachte rade" ...

Bij ons is het simpel: Ben je in de HRM database op "inactief" gezet, dan kan je gelijk nergens meer bij, is je token ingetrokken, de opstapserver dicht, etcetera. Is wat werk om dat goed te regelen, maar heeft zeker waarde in de praktijk EN met ISO audits.

[Reactie gewijzigd door Houtenklaas op 11 juni 2017 13:00]

Jaja die iso audits, alsof dat de heilige graal is in ICT security ... probleem is dat er achterdeurtjes te maken zijn die bijna niemand ziet. Bv als je in die "secured" omgeving periodiek naar een wazige node op het internet toe tunnelt met een local service account en een internet proxy. De hacker vervolgens die sessie weer overneemt dan heb je bar weinig aan die opstap servers en tokens die zg de toegang blokkeren maar de auditors zijn blij. Dat vervolgens toch relatief heel simpel nog alles op straat kan komen te liggen of vernietigd wordt is wat anders. ICT security vandaag de dag gaat veel verder dan toegangsrechten. Het is een goed getunede samenwerking tussen een goede organisatie, goed toezicht, goede technische en voldoende financiële middelen om dit professioneel te kunnen onderhouden. Iets waar het getroffen bedrijf duidelijk niet overal even best scoort.

[Reactie gewijzigd door toet-toet op 12 juni 2017 03:37]

Ik besef dat het bedrijf waar ik werk heel groot is en wij dan ook een vrij grote IT club hebben die elkaar in de gaten kunnen houden waar nodig. En dat we externe audits kunnen laten uitvoeren. En waar een management zit die security "snapt". In een kleiner bedrijf met een (kleine) handvol IT mannen is dat vele malen moeilijker. Het geld ontbreekt vaak om de juiste kwaliteit binnen te halen en te houden, wat je ook min of meer aanhaalt in jouw laatste zin.
Bij ons is het simpel: Ben je in de HRM database op "inactief" gezet, dan kan je gelijk nergens meer bij, is je token ingetrokken, de opstapserver dicht, etcetera.
Aha. En wie beheert en onderhoudt het systeem die er voor zorgt dat je nergens meer bij kan? Wie gaat er over die opstap server? Wie koppelt de HRM database aan de servers? Wie zorgt ervoor dat er niet een of ander obscuur ander regeltje is die mensen onder omstandigheden toegang heeft bij volle maan? En wie moet er naar de alarmbellen luisteren als een of andere veiligheidscheck zegt dat er iets vreemds aan de hand is login-technisch?

Dat is vast niet 1 persoon die linea recta van vakantie moet terugkomen als het systeem stuk is. Zijn dat de systeembeheers toevallig? Zo ja, dan gaat al deze infrastructuur je niet redden als een systeembeheerder kwaadwillend is.
Klopt, dat is hier een set aan beheerders, zeker niet één of twee. En wij zijn dan ook gezegend als groot bedrijf met een IT club van tientallen mensen. Maar daar ligt inderdaad een zwak punt. En een router ergens in een rack zetten aan een ISDN lijn kan doorgaans buiten het zicht van collega's om en in een kleiner bedrijf met één of twee beheerders wordt het al flink lastiger. Maar niet onmogelijk.
Smartphone in beslag nemen, ook al is het maar tijdelijk mag de (ex) werknemer gewoon weigeren als de smartphone privé eigendom is.
Het wissen van data op de privé smartphone lijkt me ook niet echt verstandig, is net zo aanvechtbaar als het wissen van complete VPS servers, en ja, ook al is het zakelijk gerelateerde data.
Dat kan je juridisch probleemloos afdekken met de BYOD-regel. Ik ga 'm hier niet 100% reproduceren, maar het komt hierop neer:

"Bij gebruik van eigen apparatuur voor zakelijke doeleinden behoudt de werkgever zich het recht om deze apparatuur te wissen wanneer dit in het bedrijfsbelang is, ook wanneer hier persoonlijke data mee verloren gaat."

Je mag het toestel dan niet in beslag nemen, maar wissen via Exchange mag zeker wel. Je medewerker heeft er namelijk voor getekend.

[Reactie gewijzigd door kakanox op 11 juni 2017 13:10]

Juist, daarom komen dat soort dingen er op mijn telefoon niet op. Als de werkgever dat wil en ook wil dat ik telefonisch mail lees zorgt hij zelf maar voor een telefoon. Ik draai voor zakjelijke mail tegenwoordig een OWA client, die heeft geen Exchange policies. Als de werkgever het account afsluit kan ik er gewoon niet meer in, dat is goed genoeg.
Ben het helemaal met je eens. BYOD heeft voor de werkgever sowieso de nodige risico's. Ik probeer het binnen de organisatie waar ik nu werk volledig uit te bannen, zelfs inloggen op de VPN vanaf een prive-PC zie ik niet zitten.

Kost even tijd maar dan heb je ook wat :P
Shit en toen had de bewuste persoon ook een Fake/Test account aangemaakt.
waar jullie niets van wisten ?

Hij is tenslotte admin dus kan zelf accounts maken en verborgen sudo toegang geven aan dit account.
bij ons wordt louter het creeren van een account al ge audit.
in principe kan, maar mag, een admin geen accounts maken, dat gebeurt via een automated process...

een admin die een user bij creërt kan zich dus al verwachten aan een reprimande... ("het was maar om tijdelijk iets te testen" is geen geldig excuus btw)
Goede lijst, echter een aantal punten zal niet altijd werken.

Denk bijv. aan een smartphone in beslag nemen, bij een door het bedrijf verstrekt toestel mag je deze inderdaad innemen. Is het echter een privé toestel dan mag dit niet zomaar en ben je in de regel afhankelijk van de medewerking van de medewerker. Ook een prive toestel "remote wipen" (bijv. via Exchange dat een volledige toestel reset doet) kan juridische consequenties hebben als daarbij ook privé gegevens verloren gaan. Om juridisch 100% aan de goede kant te zitten zul je een MDM oplossing moeten hebben die selectief kan wipen (alleen de bedrijfszaken).

Naar de kantine begeleiden tegen iemands wil zal ook niet direct mogen. Je moet een zeer zwaarwegende reden hebben om iemand tegen zijn wil tijdelijk vast te houden. Een "staande voetje" is dat lang niet altijd. Het mag bijv. wel om iemand tijdelijk vast te houden na een heterdaad constatering van diefstal tot de politie er is, maar het bijv. om ontslag op staande voet omdat hij de huid van de directeur vol gescholden heeft zal dit weer niet op gaan.

Ook mis je nog de (externe) audit)op alle zaken waar deze medewerker toegang op had op het aanbrengen van eventuele backdoors.

[Reactie gewijzigd door Dennism op 11 juni 2017 12:41]

Je mag wel iemand vragen, desnoods onder politiebegeleiding, om van je erf af te gaan. Als je dan ook de optie aanbied om in de kantine te zitten, is dit een comfortabeler optie voor de medewerker.
Behalve als je een goede systeembeheerder hebt die bewust kwaad wilt doen. Die bouwt wel ergens een backdoor in die je niet (makkelijk) vind. Dan zou je zijn privé eigendommen ook moeten wissen en zijn eigen herinneringen.
Je kunt het ook zien als een technisch probleem.

Één server met mensen die fouten maken en emoties hebben is kwetsbaar.

Als je die gegevens op zou slaan in een blockchain, had dit nooit kunnen gebeuren.
Smartphone in beslag nemen? Als dat bedrijfseigendom is, ja. Maar als dat een phone van de medewerker zelf is, kan je deze NIET inbeslagnemen.
Direct gebruikersaccounts deactiveren, dus niet wachten, maar voordat iemand het pand verlaten heeft..
Als werkgever moet je dit soort zaken zien aankomen en voorzorg maatregelen treffen, zodat een aankomend kandidaat voor ontslag tegen zichzelf beschermt is en voor het bedrijf geen gevaar kan zijn.

Vraag: hoelang was deze man al ontslagen?
Wat heeft hem hier toe gebracht?
Wij horen hier maar 1 zijde van het verhaal.
Direct trekken wij een conclusie.
De volgende punten heb ik toch wel mijn vraag tekens..

- hun smartphone tijdelijk in beslag nemen:

Als ik het zo lees bedoel jij hun privé telefoon? Ik weet niet of jij die zomaar die gene telefoon "in beslag" mag nemen. Denk dat eerder dat politie dit officieel mag doen. tenslotte is het een eigendom van de "systeembeheerder" i.p.v. organisatie.

- WIFI wachtwoord wijzigen

Stel: Meneer de systeembeheerder is ontslagen. Moeten er dan bijvoorbeeld 40 man hun Wi-Fi wachtwoord opnieuw invoeren? In grote bedrijven gebruiken ze gewoon hun AD account.

- server wachtwoorden wijzigen
- remote desktop wachtwoorden veranderen

In bedrijven zie je dat je een extra account krijg. Account disable en je hebt 2 vliegen in 1 klap
Bij ontslag op staande voet van systeembeheerders :

- hun smartphone tijdelijk in beslag nemen
- op smartphone werk gerelateerde software / mailboxen wissen
[..]
en krijgen ze bij het verlaten van het pand hun toestel terug.

Denk dat je dan het meeste wel hebt gehad.
Privé eigendommen in beslag nemen en doorzoeken mag een werkgever niet zomaar hoor. Dat mag de politie zelfs niet zonder toestemming. Dat je bij een goede sysadmin niet zomaar zijn telefoon in komt even terzijde.

[Reactie gewijzigd door Sfynx op 11 juni 2017 12:49]

Account disablen... staat niet op de lijst, wel heel belangrijk.
En bij dit soort bedrijven zou ik PAM verwachten, voer die goed in en dit kan bijna niet gebeuren.
Goede lijst om te volgen. Alleen wat anderen ook zeggen, een privé smartphone tijdelijk in beslag nemen en wissen gaat 'm niet worden. Heeft ook niet zoveel zin lijkt me, want wie zegt dat hij/zij niet thuis ook zijn werkmail ontvangt op een privé computer? En dus een kopie daar heeft staan. Of de smartphone (die je bij punt 1+2 wilt strippen) niet backup'd naar de cloud oid?

Daarnaast, houdt er ook rekening mee dat veel medewerkers thuis nog zakelijke spullen hebben liggen. Die moet je ook in het lijstje laten opnemen. En niet vergeten te tekenen voor alle ingenomen goederen (daar heeft de medewerker immers recht op).
Server wachtwoorden wijzigen? Ik zie liever dat een bedrijf persoonsgebonden key-based authenticatie gebruikt voor systeembeheerders. Hoef je alleen maar zijn keys te verwijderen van de servers en hebben andere systeembeheerders er geen last van.
Bij ontslag op staande voet van systeembeheerders :

- hun smartphone tijdelijk in beslag nemen

....

Daarna mogen ze onder toezicht hun eigendommen op de werkplek bij elkaar rapen en krijgen ze bij het verlaten van het pand hun toestel terug.
Dat is toch niet reëel? Hoe ga je dat ooit handhaven. Als je iemand op staande voet ontslaat ook nog zijn telefoon afpakken. Dat is vragen om een tik op je neus.

[Reactie gewijzigd door sdk1985 op 11 juni 2017 14:56]

Tja, probeer maar eens iemand zijn smartphone in beslag te nemen, dat gaat je niet lukken, zeker niet zonder gerechtelijk bevel. En ontslag op staande voet moet je sowieso al behoorlijk wat extreems gedaan hebben, want dat mag dus niet zo maar.
Zelfs met persoonlijke eigendommen is het nogal een moeilijke zaak, want jij mag niet zomaar iemand niet wanneer deze dat wil zijn persoonlijke eigendommen laten pakken.
Het is niet zo simpel als een hoop mensen denken, je hebt toch nog behoorlijk wat rechten. Wat wel is, is dat een hoop mensen denken dat zulke dingen zomaar mogen en zich dus het maar laten ondergaan.
Bij ontslag op staande voet van systeembeheerders :
Je vergeet de belangrijkste, een goede reden tot ontslag op staande voet hebben..
En in dit geval is er zeker niet duidelijk of er sprake was van ontslag op staande voet.
Ongeacht of het op staande voet is of niet; bij een niet wederzijds afscheid en bij iemand met zoveel rechten stuur je hem 2-3 maand op vakantie en tijdens het gesprek waar men hem ontslaat worden de rechten al ingetrokken.
Dat is inderdaad de enige juiste manier ...
pff wel triest als je zo diep moet gaan.
Samengevat: als een werknemer uit dienst gaat alle wachtwoorden die die persoon kent veranderen.
Best iedereen die aan belangrijke informatie kan zijn wachtwoord laten wijzigen.

Ik ben zelf sysadmin op het bedrijf hier, en van een aantal mensen ken ik het wachtwoord. Niet omdat ik het wil weten maar omdat ze het me vertellen.
Zelfde voor de mailaccounts: best iedereen zijn wachtwoord laten wijzigen.

(Nee, verplichte wachtwoord wijzigingen gebeuren hier niet. IT is daarvoor vragende partij, de directie hecht meer belang aan gebruikersgemak dan security)


VPN-connecties staan niet in je lijst. Ik neem aan dat je dat onder 'remote desktop connecties' bedoelt, maar dat is niet hetzelfde natuurlijk. Ik heb (hier) een VPN-connectie nodig om een Remote Dektop Connectie te maken, maar ik moet geen RD starten om iets op het netwerk te kunnen doen.
Uiteraard: niet enkel dat van mij wijzgen/blokkeren, maar dat van iedereen (zie vorige alinea)
overig bedrijfseigendommen invorderen (laptop, autosleutel, telefoon)
Ik weet niet hoe dat in Nederland geregeld is maar ik geloof dat dat in België niet zomaar kan. Deze 'extralegale' voordelen maken deel uit van je verloningspakket en daarom mag je er tijdens je opzegperiode gewoon gebruik van maken.

Ik ben ooit ontslagen (samen met een paar honderd anderen, om economische redenen) en heb gedurende mijn opzegperiode (8 maanden) gewoon thuis gezeten, en al die tijd had ik gewoon de beschikking over mijn telefoon (+abo van het werk), laptop, auto, tankkaart.
Bericht zelf rept over een ex-administrator en laat die vraag in het midden. Voorzichtige conclusie dat er iemand heeft zitten slapen? Bij ons worden de admin rechten zelfs opgeheven op vrije dagen en vakanties.
Dat lijkt mij niet meer dan logisch. Al kan het uiteraard ook mogelijk zijn dat deze (ex)medewerker een script had draaien dat uitgevoerd werd toen hij niet meer op locatie was. Hoe dan ook, mocht er echt iemand het hebben uitgevoerd dan moet hij in mijn ogen zeer streng gestraft worden. Je kan het niet eens zijn met je werkgever en/of niet naar je zin hebben, maar dit doe je gewoon niet.
vooral omdat je niet je baas maar zijn klanten dupeert, in deze mag een celstraf van enkele jaren en een terugbetaling van alle schaden zonder mogelijkheid tot persoonlijk-faillissement worden opgelegd.

toch zou het enorm knullig zijn als hij toegang had tot de systemen (via een cronjob, of gewoon remote, na zijn ontslag...
Zoals hier te lezen is had de ex-medewerker een backdoor op de servers: https://www.lowendtalk.co.../2256376/#Comment_2256376
Dat zal hem voor de rechter zwaar worden aangerekend. In een vlaag van woede, of met voorbedachte rade zoals dat zo lijkt te zijn ... Wat een sufferd zeg!
Door dit soort grapjes kan je een bedrijf bankroet laten gaan...
We weten het verhaal erachter natuurlijk niet, maar het lijkt erop dat dit ook precies de bedoeling was van de (ex)werknemer. We roepen allemaal "dit kan echt niet" en "dit doe je gewoon niet", maar je weet niet waarom deze persoon zo gehandeld heeft.

Ik vind het eerlijk gezegd nog vele malen schokkender dat 1 medewerker uberhaupt in staat was om dit allemaal voor elkaar te krijgen bij een bedrijf. En natuurlijk dubbel zo erg als hij er al niet meer werkte.
We weten het verhaal erachter natuurlijk niet, maar het lijkt erop dat dit ook precies de bedoeling was van de (ex)werknemer. We roepen allemaal "dit kan echt niet" en "dit doe je gewoon niet", maar je weet niet waarom deze persoon zo gehandeld heeft.
Dat is toch totaal niet relevant in dit geval? Er is geen enkele valide reden om dit soort acties uit te halen. Letterlijk, geen enkele.

Ook al heb je een conflict met je werkgever, dan nog handel je dat niet op die manier af. Het is gewoon extreem onprofessioneel, en geeft aan dat je voor dat specifieke vak gewoonweg niet te vertrouwen bent, als je dit soort dingen uitvreet.
Zoals ik hierboven reeds zei zijn er genoeg werkgevers die zo doortrapt zijn dat ze geen enkele optie open laten om de zaak op wat voor beschaafde manier dan ook af te handelen. De gang naar de rechter is vaak genoeg bij voorbaat al kansloos en er zijn mensen *werkgevers) die dat ook uitdrukkelijk en met veel genoegen laten blijken aan het slachtoffer.

Daarmee wil ik zijn acties dus (nogmaals) niet goedpraten maar ik kan me wel voorstellen dat je dan naar het enige middel grijpt wat je nog wel hebt (ook al is die niet zo netjes).

Dat heeft, naar mijn idee, niet persé te maken met "niet te vertrouwen zijn" in zo'n geval.

We zijn allemaal nog steeds mensen tenslotte en als mensen echt met de rug tegen de muur staan dan zijn ze in staat de meest vreselijke dingen te doen.

Er zijn maar weinig mensen die zo verknipt zijn dat ze iemand "zomaar" vermoorden maar als iemand jouw leven wil beeindigen dan pleeg jij die (defensieve) moord ook hoor.

"Een kat in het nauw ..."

Maar die werknemer kan dus ook, net zo makkelijk, zelf gewoon een idioot zijn.

Er is simpelweg te weinig informatie om daar iets concreets over te zeggen. Het is allemaal speculatie. Ik vind dus ook niet dat je zomaar kan zeggen dat er geen enkele valide reden is.
Er kan geen valide reden zijn om onschuldige klanten zo hard te naaien. Dat je wraak wil nemen op je baas, okee... Als je dat doet door bijvoorbeeld misstanden publiekelijk aan de kaak te stellen dan kan dat al genoeg schade opleveren. Maar het moment dat je de spullen van klanten, die geen hol te maken hebben met je persoonlijke vete, gaat mollen is er geen excuus.

Defensieve moord is ook iets anders, en dat mag soms zelfs. Wat hier, als dit uberhaupt het verhaal is, zou gebeuren is dat iemand jou probeert te vermoorden; en vervolgens flikker jij een atoombom op het hele dorp waardoor je honderden onschuldigen ook meteen vermoord. Dat is ff heel wat andere koek, en dan is het geen verdedigen meer maar gewoon een regelrechte aanval; en niet alleen op "de vijand".

Nogmaals: je baas proberen op alle mogelijke manieren te naaien als het een achterbakse hork is, mijn zege heb je mits op (borderline-)legale wijze. Maar je blijft met je tengels af van de spullen (incl data) van onschuldige mensen die er niets aan kunnen doen dat die baas, misschien, een hork is. (En misschien is die werknemer zelf de vervelia, en had de baas geen andere keuze dan actie nemen. Opties te over.)

[Reactie gewijzigd door WhatsappHack op 11 juni 2017 17:59]

Je herhaalt voor een groot deel wat ik zelf al zeg. :)

Het is ook bepaald niet netjes om onschuldige mensen ermee te pakken en dat zou je dus uiteraard ook niet moeten doen. Misstanden publiekelijk aan de kaak stellen heeft meestal geen effect. Ook dat zie je volop om je heen. Mensen vinden het meestal wel best zolang ze er zelf niet (erg genoeg) de dupe van zijn.

Ik kan me dus wel voorstellen dat iemand naar draconische middelen grijpt als hij met z'n rug tegen de muur staat. Indien dat dus van toepassing is in dit geval. Ik speculeer slechts vrolijk mee met de rest hier. :)

Overigens kan je je ook afvragen waarom dat bedrijf niet een dikke backup heeft van de gegevens die zelfs de reguliere admins niet kunnen verwijderen. Ik zou als verantwoordelijke (directeur) geen enkel risico nemen wat dat betreft.
Maakt het dan wat uit waarom deze persoon zo gehandeld heeft...?
Kan me niet zo snel indenken wat een reden zou zijn om deze actie goed te praten. :/ Als je t ergens niet mee eens bent, dan ga je naar de rechter. En mocht de werkgever iets illegaals hebben gedaan naar eigen mening, dan doe je aangifte.
Er zijn genoeg mensen die zodanig sneaky en doortrapt zijn dat ze geen zinvolle optie openlaten om je gelijk te halen. In zo'n geval biedt de wet (en dus ook een rechter) geen soelaas.Zelfs op zeer hoog niveau zie je regelmatig dat de boel gewoon zwaar opgelicht wordt maar dat ze er mee weg komen om wat voor vage reden dan ook.

Daarmee wil ik deze actie niet goed praten maar ik kan me best voorstellen dat iemand (in een dergelijk geval) het recht in eigen hand neemt.

Anderzijds kan deze figuur natuurlijk -zelf- ook gewoon een doortrapte ellendeling zijn.
Maar het mag niet. Take your loss en ga ergens anders werken. Dat je enkel de baas wil naaien is tot daar aan toe. Maar alle klanten naaien en zelfs hun data wissen: dat gaat veel te ver, wat de reden ook is. Waarom moeten onschuldige klanten er hinder van ondervinden? Dan interesseert de reden me niet zoveel meer eigenlijk. :)
Zie mijn reactie hieronder. Het is bepaald niet netjes en het zou niet moeten. Maar ik kan me dus wel voorstellen dat mensen extreme "maatregelen" nemen als er geen "zinvolle" alternatieven zijn.

Enneh ... er "mag" zoveel niet. ;)
Dit is een relatief licht crimineel vergrijp, gigantisch civiel vergrijp.

Ik gok dat ex-medewerker inderdaad failliet zal gaan aan de schadeclaim. In Nederland zijn we daar niet heel gul mee maar alle aantoonbare schade wordt normaal zeker verhaald. En dit is een aardige berg aantoonbare schade.....

Celstraf verwacht ik niet; het is nogsteeds alleen maar enkelvoudige computervredebreuk en dat wordt niet heel zwaar gestraft.
Wat is een week down-time nou aan schade?

Het zijn de gegevens die kwijt zijn die mogelijk enige waarde hadden.. maar ga daar maar eens een prijskaartje aan hangen. De foto's van een overleden iemand of je bitcoinwallets die je veilig achte op een (gebackupte) server die nu ineens kwijt zijn.

Ja jammer dan, maar die foto's en de wallet met 500 bitcoins worden echt niet vergoed. Of ik zie dat nog niet zo snel gebeuren.
Afhankelijk van je klanten, kan een week downtime van een paar honderd euro tot miljoenen aan schade lopen. Sommige bedrijven zijn afhankelijk van hun website/webshop weetjewel. Bedenk je eens in hoeveel schade ook maar een uurtje downtime zal opleveren voor bijvoorbeeld Bol en CoolBlue. Dat loopt al in de tienduizenden. Bij een kleinere webshop zal het niet zo'n vaart lopen, maar bij een week downtime wel. Daarnaast werkt email van alle klanten niet, kan er inderdaad zeer belangrijke en waardevolle info vernietigd zijn - hetgeen ook heel veel geld kan kosten.

En dan hebben we het nog niet eens gehad over de enorme imagoschade, alle klanten die het vertrouwen verliezen, et cetera. En als ze schadeclaims krijgen lijdt dit alles mogelijk tot failissement en is t bedrijf gewoon kapot.

Een week downtime is extreem schadelijk. Zelfs als ze enkel huis-, tuin- en keuken klanten hebben zou misschien een paar uur downtime niet zo'n probleem zijn; maar een week kan gewoon echt niet.
Het is nog maar de vraag of het aantoonbaar is. Het is echt niet de eerste keer dat een bedrijfsfout toegeschreven wordt aan een ex-medewerker. Die zijn altijd lekker makkelijk de zwarte piet toe te spelen 😬
Reken maar dat je je baas dupeert, dit is enorme imagoschade. Alleen in deze comments lees ik al weinig liefde voor het bedrijf terwijl er enorm veel bedrijven zijn die op dezelfde manier werken.
Punt is, zolang de buitenwereld dat niet weet maakt het niet veel uit, TOT er echt iets (zoals dit) gebeurd. want dan raak je serieuze klanten kwijt.
We weten dan hier nog niet op welke wijze de (ex-)werknemer is behandeld door het bedrijf in kwestie. Dit verklaart niet de wijze van wraak (wat het mogelijk is), maar wel dat ook werkgevers zich soms als varkens kunnen gedragen. Meestal staat dit niet tot een gelijke verhouding en wijs zijn actie daarom dan ook af.
Al is de werknemer schofterig behandeld, zelfs dan doe je zo iets niet. Zelfs al krijg je nog ontslag vergoeding, nog doe je zo iets niet. Maar in de huidige IT markt wordt je ook niet zo maar ontslagen omdat er een gebrek is aan IT personeel. Dus mijn vermoeden, puur gespeculeer natuurlijk, zat er al een zwart randje rond deze medewerker.

Maar deze actie is helemaal niet goed te praten, want wat heb ik als klant te maken met een intern iets van een leverancier. Niemand hoor je ook klagen over arbeiders die voor ons uitgebuit worden in china en korea voor onze iphones en galaxies.
Ook al hoor je dit nooit en te nimmer te doen, toch is het een fout van het bedrijf dat deze medewerker nog toegang had tot de interne systemen. Bij uitdiensttreding had zijn useraccount uitgeschakeld moten worden, zodat hij geen operaties meer kon uitvoeren.
Daar is dus de rechter voor om daar iets van te vinden. Eigen rechter spelen wordt in een democratie over het algemeen niet op prijs gesteld ...
terugbetaling van alle schaden zonder mogelijkheid tot persoonlijk-faillissement
Dat kan volgens mij juridisch helemaal niet. En na die celstraf kan hij sowieso niksmeer terugbetalen, failliet of niet.
Beetje overdreven vind je niet? Er is geen persoonlijk of fysiek leed te bespeuren. Je kan iemand voor de rest van zijn leven het ziekenhuis in timmeren en dan krijg je zelfs geen celstraf. Terwijl daar behoorlijk persoonlijk en fysiek leed bij is betrokken.
Als er bedrijven door deze actie failliet gaan en die mensen raken door de stress helemaal arbeidsongeschikt... vind je het dan nog overdreven?

Ik denk dat dit wel een reel gevolg is.

[Reactie gewijzigd door kfaessen op 11 juni 2017 13:04]

Zowel het idee dat bedrijven (welke dat ook moge zijn) hierdoor een faillissement moeten aanvragen, als het idee dat hierop " een celstraf van enkele jaren" zou moeten staan inderdaad nog steeds overdreven is.
Als de medewerker in kwestie doelbewust deze actie heeft ondernomen, dan is dat wel degelijk een forse celstraf waard.

Snap ook niet wat iedereen zo luchtig doet. "Het is maar een weekje downtime en klantendata die pleite is, big deal." In een wereld waar met sommige SLA's een minuut downtime al honderden euro's kan kosten, is een week downtime gewoon extreem schadelijk; en een week downtime + data weg is natuurlijk al helemaal een mega probleem.
Op wat voor manier en op basis van welke wet wil je dat met een celstraf compenseren? Of heb je het over schadeclaims? Die zijn natuurlijk wel terecht.
Computervredebreuk, de maximale straf is 1 jaar.

Edit:
De maximale straf voor computervredebreuk is 1 jaar gevangenisstraf of een geldboete van de vierde categorie (in 2012: 19.500 euro of 14.000 dollar). Echter indien de inbreker:

gegevens uit de computer vastlegt (voor zichzelf of anderen), of
de verwerkingscapaciteit van de computer aanwendt voor zichzelf, of
de ingebroken computer gebruikt als startpunt voor een verdere inbraakpoging in een andere computer
dan neemt de maximumstraf toe tot vier jaren of een geldboete van de vierde categorie (zie Boete).
Bron: https://nl.m.wikipedia.org/wiki/Computervredebreuk

Ik denk dat er wel sprake is van het laatste. Dus volgens het wetboek is de maximale straf 4 jaar.

[Reactie gewijzigd door kfaessen op 11 juni 2017 13:03]

Ik vermoed 1 jaar, maar wie weet. Ik denk als ik teruglees dat ik bedoelde te vragen hoe je faillisementen en stress denkt te compenseren. Natuurlijk is het wel bevredigend als de dader een tijdje mag brommen, maar ik denk dat het bevredigender is als hij langer dan de gebruikelijke paar jaar in de schuldhulpverlening krom mag liggen om schade af te betalen.
Er zijn zat moordenaren die 15 jaar krijgen, soms zelfs levenslang. Als je 'niet eens een paar jaar' krijgt dan was het eerder iets als doodslag, dood door schuld, etc. De daadwerkelijke straf wordt ook nog eens per geval bepaald. Lijkt me terecht.

Het probleem is in dit geval dat er strafrechtelijk nauwelijks iets gebeurd is, dus misschien een boete of een taakstrafje. De dader zal echter failliet gaan aan de schadeclaim, dus over die strafmaat hoef je je echt geen zorgen te maken.

[Reactie gewijzigd door mae-t.net op 11 juni 2017 12:40]

Ben geen jurist en weet dus niets over strafmaat in deze. Ik heb zelf voor boekhouder gestudeerd. Een economisch delict word zwaarder gestraft als moord.

Ik vermoed dat dit wel gezien word als een economisch delict.
Op wat voor manier zou dit een economisch delict zijn? De schade is een kwestie tussen werkgever en ontslagen werknemen. Verder is er waarschijnlijk computervredebreuk gepleegd, dat is wel een delicht maar niet economisch.
Als je dit doet is je moreel kompas zowiezo niet in orde, of ben je een onvolwassene met een extreem kort lontje.

Financieel aansprakelijk stellen zal uitdraaien op een fiasco, de ex-werknemer zal het waarschijnlijk niet kunnen betalen. Die zal 1 keer in de vijf jaar een bankbeslag krijgen, en het enige wat hij hoeft te doen is zorgen dat hij geld op voor de deurwaarder onbereikbare rekeningen heeft staan...

En qua werk zal hij gewoon blijven rondsolliciteren tot hij bij een bedrijf binnenkomt wat niet of slecht zijn referenties checkt, of via een recruiter gestuurd word, gezien er hier in de regio een tekort aan goede systeembeheerders is, heeft die met een week weer werk.

De VPS-provider zal echter door de klanten aansprakelijk worden gesteld, en dit kan per klant in de tonnen lopen, en ik weet niet of de bedrijfsverzekering dit dekt.
Ik zie niet in waarom er schadeclaims van tonnen gaan komen. Ze waren vanaf de 9e offline en vandaag weer online? Normaliter wordt schade berekend aan de hand van de kosten voor die dagen en wordt gevolgschade uitgesloten. indien het toch tot hogere claims komt gaat het m.i. niet meer dan om enkele tien duizenden euro's en lijkt mij prima binnen de bedrijfsrisicopolis te vallen.
2 dagen kan voor een grote klant al gigantisch veel schade zijn. Stel, er kan 2 dagen niemand iets bestellen op bol.com, hoeveel bestellingen zouden ze dan zijn misgelopen?
2x 2,7 miljoen euro aan bestellingen. Maar ik neem aan dat zo'n partij alles in eigen beheer heeft in de cloud. Ik weet dat ze in elk geval in het verleden alles in eigen beheer gecolocated.
Pas meegemaakt dat een prijsvechtend reisbureau offline was voor een periode van 3 dagen, en die komen met stukken grotere bedragen qua gemiste omzet, extra onkosten ivm overwerkend personeel en reputatieschade. Niet elke branche is hetzelfde.
. Je kan het niet eens zijn met je werkgever en/of niet naar je zin hebben, maar dit doe je gewoon niet.
mwa, ben het wel met je eens, maar er zijn genoeg bedrijven die hun medewerkers erg slecht behandelen en dan is dit soort dingen wel gerechtvaardigd. Bedrijven hebben zelf de verantwoordelijkheid om hun personeel goed te behandelen, ook wanneer het allemaal wat slechter gaat. MAAR, we weten dus niet wat de werkelijke beweegreden is geweest, dus het blijft gissen.
En dit "De hostingprovider raadt aan om alle serverwachtwoorden te wijzigen.". Dus de loginnamen zijn er wel?
Bij ons worden de admin rechten zelfs opgeheven op vrije dagen en vakanties.
Is dat een maatregel om te voorkomen dat mensen op vakantie gaan, vanuit de Bahama's inloggen, de server leeggooien en lekker daar blijven rentenieren? Of is het idee veel meer het minimaliseren van attack surface door geen (op dat moment) overbodige accounts met admin rechten actief te hebben?
Datenschutz beleid in Duitsland. Precieze reden/oorzaak weet ik niet maar het is altijd een gedoe op de EDV afdeling :).
Eerst access intrekken dan medewerker ontslaan. Plus dit is gewoon het einde van je IT loopbaan. Niemand gaat zo iemand nog in dienst nemen.
En dan gaat je medewerker komen klagen over het feit dat ie ineens geen access meer heeft en krijgt hij/zij droog te horen: je bent ontslagen.

Bijkomend is toegang intrekken niet altijd even eenvoudig. Zeker niet in een *nix omgeving. Bestaande sessies blijven meestal netjes openstaan en als je dan admin rechten hebt kan je alsnog veel schade aanrichten.
En dan gaat je medewerker komen klagen over het feit dat ie ineens geen access meer heeft en krijgt hij/zij droog te horen: je bent ontslagen.
De juiste procedure is als volgt:
1. Medewerker word door supervisor op gesprek geroepen.
2. Daar ter plekke krijgt hij te horen dat hij ontslagen is en dient direct zijn hardware/software keys (bv bedrijfs-mobiel) voor (remote) access in te leveren.
3. TIJDENS dit gesprek word account geblokkeerd door IT, en alle eventuele open sessies van de medewerker worden afgesloten. Ook alle groepsaccounts waar de medewerker toegang toe heeft worden afgesloten en voorzien van een nieuw wachtwoord. Eventuele sessies daarvan die open staan worden ook allemaal afgesloten.
4. Vervolgens begeleid supervisor de medewerker naar bureau om eventuele persoonlijke bezittingen in te pakken en vervolgens naar de uitgang.
5. Mocht het zo zijn dat de medewerker zijn hardware/software keys voor (remote) access niet bij zich heeft dan begeleid de supervisor hem naar zijn huis en neemt die daar in ontvangst. Zelfde geldt voor een eventuele bedrijfslaptop/tablet/telefoon/.....

Op deze manier kun je verzekeren dat de ex-medewerker geen rare streken kan uithalen.

p.s. op de site van verelox staat dat het een ex administrator betreft, er staat niet dat het een ex werknemer is. Zou dus best zo kunnen zijn dat de person nog wel bij het bedrijf werkzaam was in een andere hoedanigheid dan administrator.
Op deze manier kun je verzekeren dat de ex-medewerker geen rare streken kan uithalen.
Daarbij ga je uit van een in de basis al hermetisch afgesloten omgeving binnen een relatief grote organisatie.
Bij kleinere bedrijven waar mensen vaak meerdere petten op hebben is dat veel moeilijker, zo niet compleet onmogelijk, te scheiden allemaal.
Tja, natuurlijk moet je je zaakjes als organisatie wel op orde hebben. Ik kan me indenken dat kleine bedrijven die weinig kaas hebben gegeten van IT hier meer moeite mee hebben.

In dit specifieke geval hebben we het echter over een vps provider, wiens core business dus IT is. Dat dit bij zo'n bedrijf kan gebeuren is in mijn ogen een brevet van onvermogen. Als klant van dit bedrijf zou ik nu al het vertrouwen in ze kwijt zijn en op zoek gaan naar een andere service provider (die me dan wel moet overtuigen dat zij hun security wel op orde hebben).
Tja, natuurlijk moet je je zaakjes als organisatie wel op orde hebben. Ik kan me indenken dat kleine bedrijven die weinig kaas hebben gegeten van IT hier meer moeite mee hebben.
Nee, dat bedoel ik niet.
Bij kleine bedrijven hebben mensen zoals ik al aangaf vaak meerdere petten op.
Hierdoor kan het bijvoorbeeld zijn dat de persoon die eigenlijk had moeten controleren of alles is afgechecked ook de persoon is die ontslagen wordt. Je krijgt allerlei conflicten tussen functies en bij ontslag dus ook belangen.

Het soort van gereedschappen die je noemt gaan pas gelden als er veel verschillende soorten medewerkers zijn die allemaal een afgebakende taak vervullen. Dan kan je daar 1 vast proces voor bedenken om dat in goede banen te leiden.
In principe komen dit soort dingen bij vooral grote bedrijven aan de orde omdat het bij kleine bedrijven voor erg veel overhead en papierwerk zou zorgen. Bij grote bedrijven is het zelfs nodig om nog een beetje regie te kunnen houden vanuit de managementlaag.
In dit specifieke geval hebben we het echter over een vps provider, wiens core business dus IT is.
Dat zegt dus niks over de hoeveelheid personeel (maar in principe heb je er niet veel van nodig voor een hostingclub) of hoe de taken intern zijn verdeelt.
Bijkomend is toegang intrekken niet altijd even eenvoudig. Zeker niet in een *nix omgeving.
Het is niet heel moeilijk om een lijst te maken van open sessies van alle servers. Als je netwerk goed op orde is zou het intrekken van VPN-toegang al meer dan voldoende zijn om de rechten van een persoon in te trekken.

Het probleem bij zulke mensen is vaak dat het in het aard van het beestje zit. Het is daarom belangrijk, zeker in deze tijd waar IT-ers moeilijk te vinden zijn, goede intakes te houden om te achterhalen hoe iemand is. Alleen goede IT-kennis heb je niks aan als de persoon toegang gaat krijgen tot gevoelige data.
Juist wel makkelijk in Unix. Geef elke medewerker een Yubikey, en revoke die bij ontslag. Simpel.

Zo werken wij hier ook.

Voor SSH toegang heb ik het hier over ofc

[Reactie gewijzigd door defixje op 11 juni 2017 10:32]

Ik denk dat hij het ook moeilijk zal krijgen vertrouwen te winnen bij niet IT-werkgevers. Mensen die zulke acties uitvoeren zijn niet echt collegiaal en betrouwbaar; want andere werknemers zijn hier namelijk ook de dupe van, niet alleen klanten.
Inderdaad. Ik het bedrijf niet, maar als de klanten een claim indienen, wat ik als klant zeker zou doen dan kan het directe gevolg van de actie van de exmedewerker samen met imagoschade leiden tot faillissement van dit bedrijf. Sowiewo heel erg voor de overige medewerkers dit.
Niet te vergeten dat dit op Google komt en bij een eventuele rechtszaak komen er foto's en namen naar boven en hoppa.
Hoe weet een nieuwe werkgever dat die dit heeft gedaan? Er is geen database hiervan en als oud-werkgever mag je van de wet geen slechte referentie geven.. in principe!
Als hij straks veroordeeld wordt (en dat lijkt me vrij realistisch) komt dat in zijn juridische dossier. Als hij naar een andere baan solliciteert zal hij een VOG moeten overleggen, waarbij naar zijn verleden (o.a. zijn dossier gekeken wordt). En die zal hij dus zo goed als zeker niet krijgen, en dus die baan ook niet.

Een baan in de IT is voor hem iig voorlopig buiten zicht. Zal niet zeggen levenslang nee (dat hoeft zeker niet), maar voor de eerstkomende paar jaar kan hij zich maar beter laten omscholen naar een ander beroep, wil hij nog aan de bak komen.

En dat lijkt me vrij terecht, hij heeft immers met deze actie al aangetoond niet te vertrouwen te zijn. Wil je als bedrijf echt zo iemand bij je data laten komen? Ik dacht het niet :)
Tuurlijk, een baan met een VOG krjjgt hij niet gelijk. Echter is een VOG lang niet bij elke baan verplicht!
In de IT wereld wel, sterker nog... solliciteer eens bij alternate (webshop/winkel) en je komt te maken met jawel.. de VOG.
Dus "elke" baan in de IT is met een VOG? Dat zeg jij. Gebaseerd op wat? Heb je daar cijfers van?

Tuurlijk, aardig wat bedrijven vragen om een VOG, maar totaal niet allemaal.
Ik weet niet waar jij gesoliciteerd hebt, maar dat een VOG nodig is, heb ik nog maar zelden gezien, en dan ook alleen op posities waarvoor dit van belang was (naast het feit dus dat er niet eens zomaar een VOG gevraagd mag worden, net zo min dat er bij de solicitatie naar jouw gezondheid gevraagd mag worden).
Ieder bedrijf mag naar een VOG vragen hoor en ja alternate doet dat... bij mijn sollicitatie moest ik dat aantonen, een bedrijf mag ook vragen of jij bepaalde medicijnen slikt die het werk kunnen beinvloeden.
Nee, een bedrijf mag helemaal niet naar jouw medische gegevens vragen tijdens een solicitatie, en daar valt dus medicijngebruik ook onder, en dat mag alleen als er een medische keuring van toepassing is, maar een medische keuring mag sowieso ook niet zomaar, ook daar zijn eisen aan gesteld. Overigens moet in de vacature staan dat er een medische keuring voor de betreffende functie van toepassing is.
Dat een bedrijf het vraagt wil nog niet zeggen dat ze het ook zomaar mogen.
Maar blijkbaar met VOG lijkt het er op dat het dus wel mag zoals ik lees op overheids.nl waarbij er voor bepaalde functies dus wettelijk verplicht (ik ging er van uit dat het alleen mag waarbij die wettelijk verplichting er is).
Jij wilt dus dat een veroordeelde pedofiel met kids kan blijven werken?
Een VOG mag niet zomaar gevraagd worden, alleen als dat aantoonbaar van belang is voor de positie waarop deze soliciteerd.

En het is niet zo moeilijk om een CV te vervalsen, gewoon een bedrijf dat failliet is als laatste referentie opgeven, is moeilijk te controleren dan. Naast het feit dat er sowieso vaak helemaal niet gecontroleerd wordt als de CV een beetje logisch/redelijk over komt.
En dan blijkt dat een administrator vaak wel paswoorden van heel wat andere logins kent ook...
"Onduidelijk is wat de ex-medewerker ertoe heeft bewogen om de gegevens te verwijderen."

Waarschijnlijk ontslagen en boos op zijn werkgever?

Vraag mij af hoe het kan gebeuren dat een ex-medewerker er nog bij kon.
Blijkbaar hadden ze geen enkel wachtwoord veranderd nadat die gene, met blijkbaar het nodige toegang, weg was.

[Reactie gewijzigd door Renegade666 op 11 juni 2017 09:57]

Als die medewerker natuurlijk de accounts beheerde kan ik me prima inbeelden dat hij nog wel ergens één of andere account kende (of speciaal aangemaakt heeft) waar hij mee kon inloggen. Als zo'n bedrijf duizenden accounts heeft, is het moeilijk om ze allemaal up-to-date te houden. Zeker als de persoon die er verantwoordelijk voor is ontslagen wordt.
Om die reden moet een organisatie ook terughoudend zijn met het oprichten van allerlei accounts voor testdoeleinden. Ik weet zelf hoe gemakkelijk het is om even snel die en die testaccount te gebruiken om ook dat andere even te testen (waarvoor die account dus nooit bedoeld is geweest). Nog steeds komen we om testaccounts niet heen. Om dan toch nog een soort van veiligheid in te bouwen wordt wat extra moeite gedaan om die account qua rechten echt toe te snijden op wat ermee moet worden getest (en dus vooral niet meer). En maak testaccounts altijd tijdelijk. Mochten ze uit het oog worden verloren zijn ze op een gegeven moment toch niet meer bruikbaar.

[Reactie gewijzigd door teacup op 11 juni 2017 11:18]

Testen is leuk, maar niet op een live systeem met live data. Dat doe je op een development of test omgeving met dummy of backup data. Doe je dat niet, dan is het vragen om problemen.

Bij testen doe je namenlijk vaak dingen die je normal gesproken nooit zou doen, bv proberen opzettelijk fouten te genereren in je systemen om te controleren of je systemen dat correct afvangen. Zoiets wil je niet doen in je live systeem, dat doe je in je test omgeving met de backup van gisteravond. Ook gebruik je daar geen speciale test accounts voor, maar daadwerkelijke copies van accounts van echte gebruikers.
Tot zover het lesboek. Bij de grote niet-IT onderneming waar ik werk zie ik pas de laatste jaren een professionaliseringsslag plaatsvinden waarbij zowel op OS als applicatie niveau een duidelijke scheiding tussen test en productieomgevingen wordt gehandhaafd. Mijn observatie is dat een drijvende factor hierin was dat software ondernemingsbreed werd ingezet (en dan heb ik het niet over OS en office). Het belang voor bijvoorbeeld een goede migratie werd te groot met de professionalisering tot gevolg. Wat ik wel zie is dat de kosten om een testomgeving identiek aan een productiomgeving uit te voeren flink op de onderneming drukt. Voor kleinere bedrijven moet dit een nog grotere hobbel zijn.

Als je de vraag stelt, wil iedereen natuurlijk een nette gescheiden testomgeving die als full blown mirror later kan worden ingezet als backup voor de productieomgeving. Vaak moet helaas water bij de wijn worden gedaan, omdat bijvoorbeeld de dubbele hardware niet kan worden gefinancierd, of er gewoekerd moet worden met tijd/capaciteit om de omgevingen (tegenwoordig meerdere testfases) te bouwen.

Op applicatieniveau worden vaak de echte users in de testomgeving gebruikt. Om OS gebruikersprofielen te evalueren en gebruikers al naar nieuwe domeinen te kunnen laten kijken worden wel degelijk OS testaccounts gebruikt, die na de test verdwijnen. Hoe dan ook blijven migraties traumas voor IT omgevingen. Doel is die tijdelijke kwetsbaarheid tot een minimum te beperken.

[Reactie gewijzigd door teacup op 11 juni 2017 23:44]

Hoe dan ook blijven migraties traumas voor IT omgevingen.
Helemaal mee eens. Om dat in geode banen te leiden vereist goede voorbereiding en afstemming met gebruikers.
Vaak komt het ook voor dat admin's elkaars wachtwoorden wel kennen.
Weet ik alles van, heeft ook met de bedrijfscultuur te maken vermoed ik. Mogelijk zien we alleen bij grotere organisaties dat voor het gebruik van accounts en bijbehorende wachtwoorden duidelijker richtlijnen worden afgesproken.

Hoe gemakkelijk het soms lijkt om te kunnen improviseren zadelen admins zich eigenlijk op met teveel gecombineerde verantwoordelijkheid en het risico dat ze elkaar in de wielen rijden. Gaat het een keertje fout, en het rekbare gebruik van die accounts komt naar buiten, dan hebben de admins zich kwetsbaar gemaakt.

Ik begrijp heel goed hoe het werkt, admins zijn servicegericht willen hun organisatie van dienst zijn. Feedback geven aan de leiding dat teveel taken bij enkele/dezelfde personen liggen is een moeilijker weg. Zelfs al levert ze niet direct het beoogde resultaat kan je er later altijd wel naar terug verwijzen mocht iets een keer niet goed gaan. Je hebt er dan al voor gewaarschuwd. Dan sta je zelf in ieder geval sterker.
Daar kunnen verschillende redenen voor bedacht worden. Heb ooit het verhaal gehoord van iemand die op het werk toekwam voor een normale werkdag, niet meer kon inloggen en van IT te horen kreeg dat zijn accounts gedisabled waren omdat hij ontslagen was terwijl HR/Directie hem dus nog niet had aangesproken hierover. Dat is een situatie die je liever niet tegenkomt dus worden accounts meestal na ontslag uitgeschakeld en daar kunnen dan wel eens wat uren over heen gaan. En bijna altijd gaat het goed, alleen in een uitzonderlijk geval, zoals hier, loopt het slecht af.
Altijd oppassen met mensen te ontslaan, als ze vergaande admin rechten hebben.
Ze kunnen namelijk een gelijkaardig cadeau'tje achterlaten.
Desnoods schrijven ze een programma die, na een bepaalde datum (als ze al weg zijn, door ontslag) alle gegevens wist.
Om die reden moet je eigenlijk ook altijd na het ontslag van een werknemer (ongeacht of hij nu zelf ontslag neemt, of dat hij ontslagen wordt) alle wachtwoorden waar die medewerker toegang toe had wijzigen.

Helaas is dat in de praktijk bijna ondoenlijk, als administrator in een beetje grote omgeving heb je tegenwoordig wel honderden accounts (en dus passworden) waarmee je werkt. Denk aan service-accounts etc.

Maar op zijn allerminst moet het persoonlijke account van de medewerker in kwestie disabled worden. en wel nog vóór (of tijdens) het ontslaggesprek, juist om dit soort praktijken te minimaliseren.
Ieder bedrijf sluit direct een admin account af omdat de boete in de tonnen kan lopen.

Maar deze ex-sysadmin heeft wellicht RMM tools geinstalleerd. Die doen alles via localsystem accounts, waardoor je geen wachtwoorden nodig hebt.
Daarom moeten ze buiten een wachtwoord altijd gebruikers een key geven bv een RSA token om uberhaupt te mogen kunnen inloggen. Zodra een werknemer stop met werken bij een bedrijf en zijn RSA token gedeactiveerd wordt dan kan deze admin ook niet meer inloggen op het netwerk.

Zo gebeurd het ook bij ons op werk.
Ik las dit eerder al, maar zou het niet zo kunnen zijn dat er of een hack van buitenaf is geweest of dat één of andere onbedoelde fout ervoor gezorgd heeft dat dit zo compleet mis is gegaan? Het is dan nog altijd beter om te zeggen dat een ex-medewerker dit gedaan heeft omdat klanten anders helemaal woest zouden zijn.
Neen, want niet alleen veeg je dan je voeten aan de wetgeving die je verplicht om zulke lekken te melden, je verliest ook het laatste beetje vertrouwen van je klanten als dat ooit naar buiten komt. En leugens komen altijd boven water.
Dit valt ook gewoon onder die datalekken wet hoor.. dus als ze dit niet melden zijn ze net zo fout als dat het een hacker was geweest die had ingebroken (immers is het eigenlijk ook gewoon een hacker geweest). Het bedrijf kan niet met zekerheid zeggen of er geen data is gestolen..
Aan een externe hacker kan een bedrijf niet veel doen (als hun security tenminste up to date was). Een ex-werknemer die zoiets doet kan vermeden worden als ze in hun eigen interne IT strengere regels hadden gehad. Dus dat laatste lijkt me erger.
Hoe 'dom' kun je zijn, niet alleen je baan kwijt, maar ook je carriere.
Daarnaast zal dit 'geintje' ongetwijfeld nog een grote staart krijgen in de vorm van een juridisch conflict, waarbij, zoals ik het zo zie, deze ex-medewerker tot op het bot toe zal worden uitgekleed voor wat betreft de geleden schade.

Bovendien komt hij door een dergelijke actie niet meer in aanmerking voor een uitkering via het UWV. Persoon valt dus per direct terug op bijstand of krijgt helemaal niets als hij ook nog een partner heeft.

Dit 'grapje' gaat deze persoon nog vele jaren achtervolgen.
ligt eraan hoe de ex-medewerker een ex medewerker is geworden

Als het bedrijf hem hierbij hufterig behandeld heeft, zoals bijvoorbeeld loon ingehouden of hem op een andere wijze financieel benadeeld heeft, kan het er nog weleens op uitdraaien dat er "verzachtende" omstandigheden worden gevonden

Kortom, kijk eerst maar eens wat het volledige verhaal is, voor je een oordeel velt ;)
Dan nog is dat géén valide reden om dit soort dingen uit te halen. Dat is op geen enkele manier goed te praten, en het is extreem onprofessioneel.

En ook nog eens asociaal, want je dupeert naast je werkgever ook de klanten van die werkgever, die helemaal geen partij in een eventueel conflict tussen werkgever en werknemer zijn.

Tuurlijk kan er altijd een conflict tussen werkgever en werknemer zijn, maar dat los je nooit ofte nimmer op zo'n manier op. Daar zijn volwassenere manieren voor, zoals overleg, hulp van de vakbond, mediation, of desnoods juridische stappen. Je gaat in ieder geval als professional NOOIT het recht in eigen hand nemen en eigen rechter spelen.
Je gaat in ieder geval als professional NOOIT het recht in eigen hand nemen en eigen rechter spelen.
Hij zou de eerste niet zijn die met een wapen verhaal gaat halen. Nu is het nog sabotage. Overspannen, ontoerekeningsvatbaar, wraakzuchtig.
We weten het niet, maar dooien zijn er niet gevallen.

We weten niet hoe een ander reageert en we weten ook de details van de situatie niet.
ik zeg niet dat het goed te praten is, of dat het een verklaring is voor en dat de beste werknemer vrijuit gaat

Maar ik kan mij wel ontzettend goed voorstellen, dat je als medewerker jezelf weggepest voelt, of op een andere manier zin hebt in wraak en ik ben dus vooral heel benieuwd naar wat het verhaal hierachter is, voor ik zeg, wie er fout zit
De situatie dat de persoon in kwestie geen UWV uitkering zou krijgen kan al bij z'n ontslag het geval zijn geweest. Via een andere site zag ik wat meer informatie vanuit de eigenaar; er zou sprake zijn geweest dat de beheerder meer geld wilde voor z'n werkzaamheden, en dit geweigerd werd. Daarop zou hij aan de slag gegaan zijn om backdoors in te bouwen, toen dit ontdekt werd was er ontslag op staande voet. Wanneer je op staande voet ontslagen wordt met een geldige reden krijg je ook 0 op je bordje bij het UWV.

Wat ik aan het hele verhaal heel vreemd vind is de verklaring van de eigenaar dat de persoon in kwestie al jaren met backdoors in te bouwen bezig zou zijn geweest. Al jaren? En dan wordt dat niet opgemerkt? En dan zou dat conflict over geld ook al jaren spelen?

Wat voor een werkgever ben je als je jarenlang toestaat een discussie over geld te hebben - en vooral wat voor een figuur ben je als je jarenlang een discussie over geld met je baas hebt... dan ga je volgens mij wel ergens anders werken als je vindt dat het waard bent.
Zijn er al bewijzen dat het inderdaad is gedaan door een "ex administrator"?

Is het heel raar als ik denk hier kan ook iets anders gebeurd zijn?
Ze zullen zoiets heus niet roepen als ze geen enkel bewijs zouden hebben. Dat zou namelijk al snel onder laster/smaad geschaard kunnen worden.

En wat anders gebeurd? Hij heeft backdoors op de servers/infra geinstalleerd (zie dit statement van Verelox), dat is niet iets wat je zomaar per ongeluk doet, dan ben je toch echt wel bewust bezig.

Dus wat zou er, los van opzet, volgens jou dan gebeurd kunnen zijn wat enigszins realistisch is?

[Reactie gewijzigd door wildhagen op 11 juni 2017 11:20]

Ik ben benieuwd of zij daadwerkelijk kunnen bewijzen dat hij die backdoors geplaatst heeft. Het kan net zo goed een extern persoon geweest zijn bijvoorbeeld omdat zijn account gehackt is. Dus iets roepen en iets bewijzen zijn twee verschillende dingen.
Ik ken het bedrijf niet, ik ken de directie niet, maar ik ken genoeg bedrijven/directies die daar zonder ook maar een moment aan te denken dit zullen beweren om zo zelf niet direct gezichtsverlies te krijgen (beter een ex-medewerker met een grudge, dan een hacker die je network is binnengedrongen).
Zolang we niet het weten wat de ex-medewerker ertoe bewogen heeft moeten we hem niet meteen veroordelen.

'het gevoel alles te verliezen'
Je leven - zolang je niet 'Financieel Onafhankelijk' bent - staat of breekt met werk.

Combineer dat met een zieke cultuur, een abusieve baas, pesterijen, persoonlijk een grote hypotheek en kinderen.

Voor andere bedrijven:
Een humane aanpak van mensen in combinatie met degelijke ontslagprocedures werkt het beste
Onafhankelijk van zijn situatie.
Hij gooit zijn eigen glazen in om te worden vertrouwd als sysadmin -waar dan ook-.
Onafhankelijk van zijn situatie.
Hij gooit zijn eigen glazen in om te worden vertrouwd als sysadmin -waar dan ook-.
Er staat dan ook nergens dat hij ooit nog zou willen werken als sysdamin of wat dan ook.
Misschien ziet hij zijn toekomst wel uitzichtloos in en is wraak het enige wat rest.
Er zijn ergere reacties denkbaar dan de boel een beetje overhoop halen.
Laat ik het "rephrasen" naar "hij gooit zijn eigen glazen in omdat hij nooit meer zal worden vertrouwd; door geen enkele werkgever".
Dit door een handeling die behoorlijk zijn doel mist "onschuldige" partijen raakt.

Mijn doel was een punt te maken dat die knakker zijn carriere -als zijn naam bekend wordt- echt tot een einde is gekomen.
Een lompe actie.

Hij heeft geheid wat Spiderman episodes gemist.
"With great power..."
Mijn doel was een punt te maken dat die knakker zijn carriere -als zijn naam bekend wordt- echt tot een einde is gekomen.
Een lompe actie.
Met een rood waas voor de ogen en wraakzuchtige woede maakt dat helemaal niet uit. Hij had ergere dingen kunnen doen.

De werkgever zet een backup terug, begint een civiele zaak en de wereld gaat door.
Mjah het hele klantenclubje zal wel een dag missen.
Als dat voor een grote webshop orders zijn en betalingen zijn wel doorgekomen heb je een leuke uitdaging.

Toch zou ik niet in de schoenen willen staan van die knaap. (sexistisch aannemend dat het een man was)
Tactischer was geweest het factuurbestand te hacken en 1 op de 6 facturen te voorzien van een eigen rekeningnummer en netjes te markeren als "betaald" voor een jaar lang ofzo.

Op dit item kan niet meer gereageerd worden.


Nintendo Switch Google Pixel XL 2 LG W7 Samsung Galaxy S8 Google Pixel 2 Sony Bravia A1 OLED Microsoft Xbox One X Apple iPhone 8

© 1998 - 2017 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Hardware.Info de Persgroep Online Services B.V. Hosting door True

*