Studie: 9 van de 10 systeembeheerders steelt data na ontslag

Door Dimitri Reijerman, dinsdag 2 september 2008 17:26, 100 reacties • Feedback

In een onderzoek onder driehonderd systeembeheerders heeft bijna negentig procent aangegeven dat ze bij ontslag bedrijfsgeheimen meenemen. Daarnaast zou veel it-personeel te laks zijn bij de opslag van vertrouwelijke gegevens.

Lock Het onderzoek werd uitgevoerd door de beveiligingsfirma Cyber-Ark. Naast de 88 procent van de ondervraagde systeembeheerders die aangaf bij ontslag data van de baas te zullen stelen, liet een derde van hen weten dat ook belangrijke inloggegevens worden meegenomen. Gebruikersnamen en wachtwoorden worden door bedrijven zelden of nooit veranderd, zodat ook accounts van voormalige personeelsleden vaak lang actief blijven.

Door de hoge bereidheid onder it-personeel om gevoelige gegevens achterover te drukken, lopen bedrijven de nodige risico's, schrijven de onderzoekers. Volgens de studie vermoedt een derde van de onderzochte bedrijven dat er bedrijfsgeheimen via bijvoorbeeld usb-sticks of e-mails worden weggesluisd. Ook zou het lokale netwerk regelmatig worden doorzocht op gegevens als salarisinformatie of notulen van belangrijke vergaderingen. Overigens is het vaak niet erg moeilijk om de benodigde data te bemachtigen: een op de drie systeembeheerders plakt nog steeds briefjes met belangrijke wachtwoorden op zijn monitor. Verder durft vier procent van de ondernemingen het nog aan om gevoelige data via de post te sturen.

Hoewel het publiceren van onderzoeken als deze meestal als doel heeft om de verkoop van een product te stimuleren, tonen de cijfers ook aan dat leidinggevenden op een aantal zaken moeten letten als zij it-personeel ontslaan. Toch werken sommige maatregelen in de praktijk juist contraproductief. Zo blijkt dat er vaker wachtwoorden op de monitor worden geplakt als medewerkers worden verplicht om regelmatig een nieuw wachtwoord in te stellen.

Reacties (100)

+2 KimG
2 september 2008 17:51

De wachtwoorden is vaak een probleem, zo heeft onze IT-beheerder ooit onze eigen servers moeten kraken omdat de ex-IT-beheerder de wachtwoorden niet wou vrijgeven. Je kan dit dan wel juridisch oplossen maar als er deadlines zijn ... Ook zelf geef ik toe dat ik hier bedrijfsgevoelige informatie heb thuis, niet gestolen (ben ook nog niet ontslagen

). Ik ben dan wel gebonden aan NDA's maar wie o wie gaat de moeite doen om mijn persoonlijke PC te controleren als ... ? (ter info: de bedrijfsgevoelige informatie is hier thuis wel veilig & encrypted opgeslagen, ik heb het ook gewoon nodig omdat ik soms thuis werk doe).

DarkTemple
@KimG • 2 september 2008 18:36

Lijkt me een onwenselijke situatie dat er maar 1 persoon is met alle rechten. Er zou toch minimaal, als er echt geen andere persoon de benodigde rechten mag hebben, een extra account moeten zijn, waarvan het wachtwoord in de kluis ligt.

Slecht over nagedacht blijkbaar.

+1 Niemand_Anders

Beheer en beveiliging
Beveiliging

@DarkTemple • 2 september 2008 19:49

En waarom zou de ontslagen systeembeheerder niet als eerste inloggen op de domain controllen en als eerste alle accounts in de administrators groep locken. Vervolgens kunnen de manager accounts gelocked worden en zou lock je de belangrijkste accounts als eerste.

Password reset disks hebben geen nut, omdat het account simpelweg gelocked is. Nadat de belangrijkste acounts onbruikbaar zijn gemaakt kan de ex admin de wachtwoorden gaan aanpassen.

En het enigste wat je hiertegen kunt doen is echt alleen maar regelmatig de wachtwoorden veranderen, daarmee is de bruikbaar van de 'gestolen' credentials beperkt. Een ex admin welke alleen rondsnuffelt is lastig te detecteren aangezien 'succesvolle logins' door de meeste syslog checkers verwijderd zullen worden (als admin wil je immers weten wat afwijkt). Zelfs een ex medewerker welke alleen maar 'meekijkt' kan dan op een gegeven moment niet meer inloggen.

Bij ons krijg je na 27 dagen het verzoek je wachtwoord te wijzigen, na 30 dagen wordt je verplicht je wachtwoord bij de eerste login te wijzigen en na 32 dagen wordt het account gelocked.

Zoals Dinero aangeeft behoort het deactiveren van het account gewoon bij de procedure (checklist) van een vertrokken medewerker (sleutel inleveren, alarm code verwijderen, directe contact personen op de hoogte stellen van het vertrek en wie vervolgens het stokje overneemt, registraties bij UVW, etc, etc). Meestal zal dit een omgekeerde 'in dienst treding' checklist zijn.

Echter als een medewerker al voor de melding van ontslag documenten en/of broncode thuis heeft, kun je vrij weinig ondernemen. Dat blijft alleen de juridische weg over.

+2 johanw910
@Niemand_Anders • 3 september 2008 11:01

Een beetje pwd reset tool kan accounts ook unlocken. Ik gebruik zelf wel eens zo'n tool, een Linux boot CD dat een tooltje start dat passwords kan zetten/leeggooien en accounts kan unlocken. Als je bij de hardware kunt komen en het is niet encrypted is het altijd weer vrij te maken.

0 KimG
@DarkTemple • 2 september 2008 19:24

Niet noodzakelijk, we werken in een klein bedrijf (3 werknemers + de 'baas'). Ik en de IT-beheerder zijn de enige met uitgebreide it-kennis, onze 'baas' (eigenlijk collega, de sfeer is heel familiaal) heeft wel redelijk wat it kennis maar zeker niet op server gebied. Onze project-manager ook niet. Ondertussen is de policy wel veranderd en worden alle wachtwoorden in een beveiligde database opgeslagen voor noodgevallen, maar het blijft toch een risico. Je kan wel eventueel de beveiliging door een extern bedrijf laten doen, maar eigenlijk hou je het liefst binnenhuis. edit: typo

[Reactie gewijzigd door KimG op 2 september 2008 19:27]

Malarky
2 september 2008 17:50

Ach over wachtwoorden. Ik werk als jongere in de vakantie bij een bedrijf dat waslagen op vloeren aanbrengt in gebouwen. Vooral middelbare scholen gedaan in de zomervakantie (die hebben dan alleen de tijd en bijna altijd lino op de vloer). Uiteraard ben ik in elk ict hok wachtwoorden op bureaus tegengekomen (ik snuffel niet maar je ziet ze liggen en ook daar moet je zijn). In Rotterdam, zal geen naam noemen, ben ik in de lerarenkamer een sticker geplakt op een bureau tegengekomen, met de plaats op de server waar de bewerkte tentamens van 2008 voor elk vak moesten komen. Je moest dan inloggen met een gebruikersnaam in de computer met als naam: tentamens en het wachtwoord was schoolnaam2008. Vervolgens kan je naar die locatie (die moet je wel net weten - staat er wel bij). Het is dat ik op een andere middelbare school zit in Rotterdam, maar wat een stomiteit. Dit zou ik duur kunnen verkopen aan vrienden die ik daar ken.

musiman
@Malarky • 2 september 2008 19:07

Ik schrik van het percentage systeembeheerders dat wachtwoorden laat slingeren...
Als IT trainer krijg ik diezelfde systeembeheerders in mijn trainingen en uiteraard is ook security regelmatig onderwerp van gesprek. Zelf krijg ik dan de indruk dat de cursisten zelf meestal WEL goed omgaan met gevoelige informatie en wachtwoorden, maar hun niet-IT collega's niet.
Maar het percentage van 90% van systeembeheerders dat doelbewust data zou meenemen bij ontslag... dat durf ik eigenlijk niet te geloven. Ik vraag mij bij zo'n getal eerlijk gezegd af, hoe het onderzoek is opgezet, hoe de vraagstelling precies was en of er correct om is gesprongen met de verkregen data.
En dan (wat anderen ook al zeggen) is het ook zo dat dit bedrijf zijn eigen (security) product wil verkopen.

+2 basset
2 september 2008 17:45

Tja,

Dat heb je niet alleen met systeembeheerders. Project Managers kunnen ook bij een hoop belangrijke data. HRM medewerkers etc.

Het belangrijke is een systeembeheer na ontslag direct de toegang te ontzeggen en hem betaald de opzegtermijn bijzonder verlof te geven. Dat geldt eigenlijk voor alle mensen die bij gevoelige informatie kunnen komen.

Maar goed, niet overdrijven.

Het klinkt hard, maar je ontkomt er vaak idd niet aan.

Het lijkt me overigens niet handig als je ooit nog ergens anders aan de bak wil komen.

+2 AccessViolation
2 september 2008 18:05

Ooit, als tijdelijk medewerker van een afdeling PZ bij een zeer grote gemeente, mijn collega's er op geattendeerd dat ze de gevoelige documenten beter versleuteld op het netwerk kunnen zetten. Dit om te voorkomen dat bijvoorbeeld de ICT afdeling vooraf de formatie en salarisplanning van de eigen afdeling kan bestuderen.
'Dat zouden ze toch nooit doen?' was het antwoord.

Bwahahaha

0 Gomez12
@AccessViolation • 2 september 2008 20:28

Heb ik ook wel eens discussies over gehad. Mijn standpunt was dan ook, als jij het wil is het best. Mij lijkt het alleen onhandig.

Praktisch gezien heeft het geen nut, want it kan gewoon een backup-tape thuis gaan restoren en dan daar een password-cracker eroverheen laten gaan.
Contractueel is het al afgedicht ( als het goed is )
En als jij het wachtwoord vergeet dan heb jij een uitdaging, wij hebben er niets meer mee te maken.

Helemaal omdat je met dit soort dingen of een wijzigend wachtwoord moet hebben ( jippie elke maand alle documenten openen en opnieuw opslaan, kan IT vast wel een scriptje voor schrijven

) of je moet zo ongeveer per bestand een ander wachtwoord verzinnen.

De echt goede versleutelingen staan zeer waarschijnlijk toch niet op jullie pc's geinstalleerd, dus doe je het maar in excel / word encryptie die binnen 2 minuten weg is.

Maar tip voor de volgende keer dat je zo'n idee hebt. Vraag even of het erp wel versleuteld opgeslagen wordt. Concurrenten zijn best bereid om geld neer te leggen voor een complete erp-inrichting inclusief data, waarschijnlijk iets meer dan de it-medewerker ophaalt met het verwijzen naar iemand anders zijn loon...

Btw om de een of ander reden gok ik toch dat jij als tijdelijk medewerker een mindere NDA hebt gekregen als de IT-medewerkers die alle rechten in het netwerk hebben.

mashell

Privacy

@Gomez12 • 2 september 2008 22:02

Mee oneens. AccessViolation heeft wel degelijk een punt, vertrouwelijke data zou ook voor de IT afdeling niet moeten zijn in te zien. Je ziet nog te vaak het vrijheid blijheid gedrag van de jaren 90 op de systeembeheer afdeling waarin de systeembeheer het mannetje is met alle rechten op het netwerk. Terwijl daar eigenlijk geen enkele noodzaak toe bestaat. De systeembeheer moet voor noodgevallen weten waar de loper hangt, maar deze zeker niet stelselmatig gebruiken. Beperkte rechten, juist ook voor beheerders, als je echt goed ben in netwerkinrichting dan kan dat!

0 arjankoole

Beveiliging
Privacy

@mashell • 2 september 2008 22:14

kweenie, maar het is nogal moeilijk iemand met administrator of root rechten buiten te sluiten van data. En als het al kan, en er is een probleem, dan kan ie de problemen niet meer oplossen.

Nee, het is de aard van het vak, en dergelijke mensen moeten domweg te vertrouwen zijn. Heck, ik heb bij een bepaalde voormalig werkgever ZELF een NDA in m'n contract laten zetten. Die hadden daar gewoon geen verstand van, want een NDA speelde in geen enkele andere functie echt.

Ik zou op m'n werk 'in principe' ook overal bij kunnen, maar ik voel daar de behoefte niet toe. En als er iemand ooit naar me toe komt met een zak geld, om even wat gevoelige gegevens voor ze op te lepelen (bijvoorbeeld een concurent) dan stap ik naar m'n baas, en met hem naar de politie. Systeembeheerders worden geacht integer te zijn, en eerlijk gezegt stoot dit me tegen m'n eergevoel.

0 Gomez12
@mashell • 2 september 2008 22:49

Praktisch gezien onmogelijk bij kleine ondernemingen zonder duidelijk takenverdeeld IT-team.

Als ik het wachtwoord voor de backup-account moet instellen weet ik dit wachtwoord, mag je het van mij in kluizen etc gaan leggen. Waarbij de sleutel dan alleen bij de directeur ligt die bij een brand net op vakantie is, doeg doeg recovery binnen 1 dag...

Je ontkomt er praktisch gewoon bijna niet aan dat een beheerder bij alles wat onder zijn verantwoording valt kan komen. Je komt ver met afspraken en daarna nog een los accessviolation programma, maar dat gaat alleen weer op als de betreffende beheerder niet bij de accessviolation meldingen dbase kan komen.

Documentjes los versleutelen etc levert imho alleen maar rampscenarios op. Goede NDA's en gewoon algemene afspraken levert veel meer op.
Of je moet echt meerdere beheerders hebben met verschillende verantwoordelijkheden.

Zolang er enkele beheerders zijn die 100% elkaars werk kunnen overnemen zijn al dit soort dingen schijn en onhandig...

0 ATS
@Gomez12 • 2 september 2008 22:32

Een passwordcracker runnen op een behoorlijk versleuteld document. Sure. En jij ben IT-er? Hoe lang heeft die distributed decrypt challenge niet gelopen? Ik gebruik zelf TrueCrypt voor de gevoelige data op het werk. Ik wens de systeembeheerder succes.

0 Gomez12
@ATS • 2 september 2008 23:00

Jij bent dus duidelijk geen systeembeheerder...

Bij ons komt er geen truecrypt of andere onkraakbare beveiliging voor gebruikers op. Risico is te groot dat een werknemer ontslagen wordt en dan niet het wachtwoord af wil geven waardoor er tig werk door de plee gespoeld is.
Nog even daargelaten hoeveel gemiddelde mensen hun wachtwoord na vakantie kwijt zijn en dus in zo'n geval ook werk kwijt zijn.
Nog even daargelaten dat geen werkgever die ik ken even een black box van data / virussen / illegale software op zijn netwerk toestaat, alle problemen die eruit ontstaan komen allemaal op het matje van de werkgever terecht...

Nog even daargelaten dat je bij een truecrypt container helemaal geen password cracker nodig hebt, IT kan gewoon een scriptje maken wat elke 5 minuten alle data van onbekende drives / directory's naar een unencrypted netwerk-share copieerd en wat draait onder jouw credentials...

Behoorlijk versleuteling is leuk, maar in een bedrijfsmatige omgeving moet er altijd minstens een 2e zijn met access tot die gegevens, en 9 vd 10 keer zal dat een IT-er zijn want deze moet het installeren en opzetten.

Imho als je zakelijk je IT-afdeling niet vertrouwt moet je ze gewoon ontslaan.

0 jhellingman
@Gomez12 • 3 september 2008 11:25

Je kan truecrypt prima gebruiken in zo'n situatie. Maak de container aan met een bekend wachtwoord, maak een kopie van de header data, en laat daarna de eindgebruiker het password veranderen. Vertrekt de gebruiker, dan herstel je de header, en gebruik je het oorspronkelijke wachtwoord.

0 Gomez12
@jhellingman • 4 september 2008 00:22

Je kan truecrypt prima gebruiken in zo'n situatie. Maak de container aan met een bekend wachtwoord, maak een kopie van de header data, en laat daarna de eindgebruiker het password veranderen. Vertrekt de gebruiker, dan herstel je de header, en gebruik je het oorspronkelijke wachtwoord.

En dan kom je dus weer op het punt dat IT een middel heeft om het bestand te lezen ( bestand kopieren naar thuis-pc, header vervangen en gaan ) waardoor truecrypt opeens geen meerwaarde meer biedt boven standaard NTFS-security ingesteld door diezelfde IT'ers.

worldcitizen
2 september 2008 18:13

Dit betreft een onderzoek van een Amerikaans bedrijf Cyber Ark zoals ook in de Tweakers post vermeld.

Dit hoeft dus niet, ik verwacht zelfs dat het niet, overeen komt met de situatie in Nederland. In de VS zijn werknemers in het algemeen minder gebonden met een bedrijf. Puur om de reden dat ze en minder zekerheid hebben en ook sneller banen hoppen.

Het lijkt me erg onverstandig om passwords te stelen zeker met het doel om hier misbruik van te maken. Buiten dat het betuigt van een laag moraal neem je ook nog een enorm risico voor de rest van je professionele leven.

0 paulebappie
@worldcitizen • 2 september 2008 20:04

Precies.

Ik ben ook systeembeheerder en ja: dan ben ik 1 van de 10

Op deze manier komen systeembeheerders wel in een kwaad daglicht te staan.

Erg verdacht dat dit onderzoek wordt uitgevoerd door een firma die geld verdient aan beveiliging van gegevens. Even je eigen omzet opkrikken daar lijkt het meer op...

0 Gomez12
@paulebappie • 2 september 2008 20:35

Gok dat dat puur afhangt van wat je stelen van bedrijfsgegevens noemt.

ERP-systemen heb ik nooit thuis gehad. Maar een zelfgeschreven backup script gebruik ik thuis op mijn thuis-netwerk ook.

Zelfde probleem als wat ik zo af en toe van programmeurs hoor, je hebt niet een oneindig aantal mogelijkheden om iets te bereiken en als jij iets op de zaak bedenkt en 's avonds denkt dat het ook wel makkelijk is voor je eigen progje is het dan stelen als je uit je hoofd hetzelfde neerzet in je eigen progje...

Ik gok dat hun omgekeerd alles wat ik via zelf-studie thuis leer en op de zaak toepas ook zien als stelen...

+2 freemove
2 september 2008 18:15

We gebruiken met volle tevredenheid al jaren voor het delen van vertrouwelijke informatie in groepen een systeem waarbij de end-users zelf verantwoordelijk zijn voor de veiligheid van de informatie en hun privacy. Daarme is het stelen van vertrouwelijke informatie door beheerders onmogelijk geworden. Gezien de (zeer) postitieve ervaringen met deze end-to-end end-user encryptie hebben we besloten het systeem tot minstens 2029 te blijven gebruiken en ondersteunen. We kunnen dit garanderen doordat het systeem op mathematische en fysische principes gebaseerd is welke universeel en dus tijdsonafhankelijk zijn. Op deze presentatie is een presentatie en achtergond informatie van het systeem te vinden. Het systeem is gebruikersvriendelijk, stabiel en robuust genoeg om alle functies volledig aan end-users over te kunnen laten. Het is natuurlijk wel mogelijk dat het in deze periode een aantal keren gemigreerd moet worden naar andere platform(s). Dit is echter geen probleem omdat we alle sourcecode zelf beheren.

+2 100kb
2 september 2008 18:29

Heel jammer dat Tweakers.net een dergelijk bericht (wat overduidelijk marketing driven research is want de betreffende firma verkoopt precies één product wat heel toevallig precies een oplossing is voor dit 'probleem') zo kritiekloos overneemt en dan nog wel met zo'n foute en suggestieve kop

Als er zou staan: negen van de tien systeembeheerders overweegt data te stelen indien hij zou worden ontslagen dan zou het nog enigszins met de werkelijkheid stroken. Nu wordt gesuggereerd dat bijna de hele beroepsgroep fout is (en wel eens ontslagen is

).

Bovendien is nergens terug te vinden welke vragen ze aan die 300 systeembeheerders op die beveiligingsbeurs gesteld hebben en waarschijnlijk herkennen die in dit verhaal de vragen die gesteld zijn helemaal niet terug.

Kortom: dit soort berichtgeving verwacht ik van de Telegraaf, niet van Tweakers.net

ps: Ik ben geen systeembeheerder maar ken er genoeg die zichzelf hier absoluut niet in zullen herkennen.

+1 HAL 9000
2 september 2008 17:34

Boodschap van het onderzoek, gericht aan IT managers: "Be afraid, be very afraid. Maar koop onze producten, en het is allemaal opgelost."

Verder is het ook volop open deuren intrappen.

Toch werken sommige maatregelen in de praktijk juist contraproductief. Zo blijkt dat er vaker wachtwoorden op de monitor worden geplakt als medewerkers worden verplicht om regelmatig een nieuw wachtwoord in te stellen.

Weet iedereen die iets van IT security afweet deze zaken al niet véél langer?

Conclusie: dit onderzoek is waardeloos.

[Reactie gewijzigd door HAL 9000 op 2 september 2008 17:34]

+2 Parabellum
@HAL 9000 • 2 september 2008 17:50

Het gaat om bewustwording. Er ligt een probleem die aandacht vereist. In de beveiliging lopen veel bewakers met moedersleutels rond en zoals ze zeggen, de gelegenheid maakt de dief. Is iedere bewaker nu een dief ? Nee, slechts een handjevol gaat wel eens scheef maar door de loop der jaren is dat aantal behoorlijk teruggedrongen omdat er een simpele vraag en oplossing was, wie kontroleerd de bewaker ?

Doormiddel van simpele verborgen camera's werden veel rotte vissen er tussenuit gevist maar om de schade nog meer te beperken werden verborgen camera's nu standaard geinstalleerd met als gevolg dat economische schade meer beperkt bleef. Wie controleerd de cam ? Een speciale afdeling bestaande uit meerdere personen, immers, technieken liegen niet. Simpele software houd onderbrekingen in de gaten van HD opname's en steek proefsgewijs werd het systeem gecontroleerd alswel de videobeelden.

Is het dan nu bullitproof ? Nee, zal het ook nooit worden, maar iedere procent daling is een hoop over de hele linie. Het onderzoek is dan ook niet waardeloos maar vraagt aandacht om te denken over wie nu de systeembeheerders gaat controleren op een manier dat de pakkans groter word en dat een medewerker zich 2 maal bedenkt voordat hij iets onderneemt. Preventief te werk gaan is de beste beveiliging die je maar kunt hebben

fevenhuis
@Parabellum • 2 september 2008 19:49

Het gaat hiet niet om bewustwording maar om smeerreclame,
de zogenaamde "conclusies"van het onderzoek dat
Ontslagen Systeembeheerder = Oplichter & Dief,
is werkelijk een rapport gemaakt door leugenaars.

+2 Parabellum
@fevenhuis • 2 september 2008 22:36

Niemand is verplicht zich te beveiligen en als je dat wil dan is er de vrije keus hoe je dat doet en eventueel door wie laat doen. Ik zal niet zeggen dat deze uitspraken representatief zijn maar het kan een hoop bedrijven aan het denken zetten en vaak is het toch wel de grootste onzichtbare verliespost.

Ik heb zelf een tijdje de computervloeren van de ING en de ABN-AMRO destijds beveiligd en wat me op viel is dat medewerkers van deze centra's zich absoluut niet hoefde te onderwepen aan visitatieplicht en de raad van bestuur wilde er niets van weten. Wake up call anyone

Daarmee heeft de zin van beveiligen geen enkel doel meer en geef je mensen een vrij geleide om te kunnen doen en laten wat ze willen. Zo was er ook een geldvloer in van de panden bij 1 van de banken voor buitenlandse valuta en ook hier hoefde niet gecontroleerd te worden. Werd er al eens geld ontvreemd dan nam de bank dat voor lief en ging het de doofpot in. Kortom, de mens blijft altijd de zwakste schakel en zijn bondgenoot zal altijd geld blijven, in welke vorm dan ook.

En ik lach, maar schaam me tevens ook om de laksheid als je praat over bedrijfsgeheimen en hoe men daar qua veiligheid mee om gaat. Mooiste voorbeeld in Nederland is dan ook het sluizen van documentatie naar het buitenland van hoe een kernwapen te maken waardoor de beste bieders in de wereld ineens een atoombom kunnen maken. Het gaat mij niet om het feit of een land daarvoor nu in staat is al dan niet maar hoe men met veiligheid in zijn algemeniteit om gaat.

Microsoft en vele andere Amerikaanse bedrijven lossen dat probleem goed op door personeel in staat te stellen om aandelen te kopen. Hierdoor werk je niet alleen voor een bedrijf maar ook voor jezelf, stelen is dan ook op voorhand pikken van jezelf en een riant inkomen in de waagschaal te stellen, met alle gevolgen van dien want dergelijke aspekten blijven niet onopgemerkt, aangezien vele bedrijven in de VS een screening er op nahouden bij een eventuele sollicitatie.

Onderschatten is prima en in het MKB word een bepaald deel van de omzet al afgeschreven voor dit soort zaken alszijnde een gecalculeerde onkostenpost. Triest maar waar en die cijfers liegen er niet om, zeker als je bekijkt om wat voor bedragen het op jaarbasis kan gaan. De uiteindelijke kostprijs word doorberekend aan de klant en dat zit dus in jouw aankoopprijs, je betaald dus voor de minheid van een ander.

0 Vordreller
@fevenhuis • 2 september 2008 19:56

Dat is niet wat er gezegd wordt, maar wat jij eruit gehaald hebt.

Het rapport geeft aan dat van alle onderzochte Systeembeheerders, wat er hoogstens een paar honderd zullen zijn, 9 op de 10 data gestolen heeft.

Dit onderzoek is niet representatief, omdat men nooit genoeg mensen kan ondervragen om tot een realitisch cijfer te komen.

+2 Nazdrovje
@Vordreller • 2 september 2008 22:17

"Dit onderzoek is niet representatief, omdat men nooit genoeg mensen kan ondervragen om tot een realitisch cijfer te komen."

Nooit van statistiek en kansberekening gehoord zeker?

Stel dat het werkelijke cijfer 1 op de 10 is. Hoe groot is de kans dat je als je 300 willekeurige mensen trekt, je precies diegene eruit pakt die de kans 9 op 10 (of groter) maakt? Erg klein. Om precies te zijn (onder de aanname dat de groep van alle systeembeheerders erg groot is tov de steekproef van 300) is dit:

Sum[Binomial[300, i]*(0.1)^i*0.9^(300 - i), {i, 270, 300}] = 7.43325*10^-231

Astronomisch klein dus.

De kans dat op basis van deze gegevens de daadwerkelijke waarde in het interval {0.866667, 0.933333} ligt is 95%. Met 99% zekerheid ligt de werkelijke waarde in het interval {0.856667, 0.943333} {0.853333, 0.946667}.

E.e.a. verondersteld wel dat de selectie volkomen random is. Gezien het feit dat de gegeven antwoorden sociaal onwenselijk zijn (waarschijnlijk zullen relatief veel criminele systeembeheerders niet antwoorden dan wel liegen) zal een selectieafwijking de situatie alleen maar het percentage drukken (dwz eigenlijk ligt de echte waarde hoger dan 0.9).

Kortom, op basis van deze summiere gegevens zit het wel snor met die steekproef.

[toevoeging]
Het is wel nuttig te kijken naar issues als het percentage non-response. Als dit erg groot is dan zullen de factoren die een bias vormen in de non-response ook een grote invloed hebben. Voor een bedreigde systeembeheerder kan het bijvoorbeeld nuttig zijn middels deze enquete te laten blijken dat ontslag de werkgever duur kan komen te staan. Daarentegen kan een eerlijke systeembeheerder denken dat dit verschijnsel uberhaupt niet voorkomt waarop hij geërgerd niet zal reageren. Hierdoor krijgen we mogelijk een flinke bias in de resultaten.

[Reactie gewijzigd door Nazdrovje op 3 september 2008 10:18]

0 Nappie
@Parabellum • 2 september 2008 18:08

Er ligt een probleem die aandacht vereist.

Dat is dus juist de vraag. Dit beveiligingsbedrijf heeft een onderzoek gedaan waaruit blijkt dat er een probleem is waar zij een oplossing voor verkopen. De eerste vraag die ik voor ze heb is, welke definitie van "data stelen van de baas" wordt gehanteerd?

Formeel is het waarschijnlijk diefstal zodra je ook maar een stukje broncode meeneemt dat je in de baas zijn tijd hebt geschreven. In de praktijk zal niemand wakker liggen als admin een scriptje meeneemt dat hij geschreven heeft.

88%? Dat is wel erg veel. Wat wil zo'n beheerder dan met die data?

Simon Verhoeven
2 september 2008 17:52

Ik vraag me eigenlijk af wat hun gebruikte definitie is van stelen.

Stel ik ben een systeembeheerder en ik ken een paar passwoorden van andere gebruikers en ik wordt ontslagen. Heb ik dan volgens hen deze informatie "gestolen"?

Zo een onderzoek lijkt me vrij waardeloos als je de definitie niet goed omlijnd.

Blokker_1999

Beheer en beveiliging

@Simon Verhoeven • 2 september 2008 18:01

Het gaat hier uiteraard niet om het kennen van enkele wachtwoorden, zoals aangegeven zouden die wachtwoorden na enkele weken/maanden automatisch moeten vervallen. Het gaat hier effectief om informatie of software die meegenomen word. Stel je bent programmeur en hebt alle software die je ontwikkeld hebt ten tijde dat je bij werkgever X werkte ook thuis op je PC staan als toekomstige referentie dan is dat eigenlijk diefstal.

0 Schnupperpuppe
@Blokker_1999 • 2 september 2008 18:24

Diefstal is het niet. De werkgever heeft de bewuste software nl. nog steeds.
Het is inbreuk op auteursrecht...alhoewel...als programmeur ben je in principe zelf de houder van het auteursrecht op de software die je hebt geschreven. Ook als je de software in opdracht hebt geschreven.
Vaak wordt in een arbeidscontract wel de overdracht van het auteursrecht geregeld, maar lang niet altijd.

0 Remus
@Schnupperpuppe • 2 september 2008 22:17

Volgens de Nederlands wetgeving is alles dat je tijdens werktijd voor je werkgever maakt eigendom van jouw werkgever en niet van jou, tenzij expliciet anders overeengekomen.

(NB: ook een reactie op Simon Verhoeven hieronder)

0 Schnupperpuppe
@Remus • 3 september 2008 11:51

Je hebt gelijk. Bij werk dat je als werknemer produceert gaat het auteursrecht automatisch over op de werkgever.
Bij ander werk in opdracht (bijv. free-lance) ligt het auteursrecht in principe bij de maker.

0 johanw910
@Schnupperpuppe • 3 september 2008 11:03

Zolang je het spul niet gaat verspreiden is het zowiezo geen inbreuk op het auteursrecht.

Simon Verhoeven
@Blokker_1999 • 2 september 2008 19:43

Eigenlijk is dat geen diefstal tenzij er expliciet in je contract vermeld is dat de werkgever copyrighthouder wordt van alles wat je produceert tijdens je werkuren.

En als ik zo eens naar het artikel kijk zie ik dit staan

The target information includes the CEO's passwords, the customer database, R & D plans, financial reports, M & A plans, and most importantly the company's list of privileged passwords.

De gebolde dingen vind ik zelf vrij triviaal (het 2de wat minder maar als je nu alle passwoorden kent door company policy of wat dan ook is het toch triviaal) en zijn ook niet echt schadelijk voor het bedrijf.
Voor een goede beveiliging moet je toch regelmatig je passwoord veranderen.

Ook vind ik het wat overdreven, precies alsof niemand in een andere functie deze informatie zou kunnen meenemen (nu ja buiten de lijst met alle passwoorden)

0 Tailschakra
3 september 2008 11:09

To be honest, ik geef ze groot gelijk.
De systeembeheerder beheerd alles, heeft overal hard voor gewerkt.
Als je dan spontaan ontslagen word mag je je eigen werk toch wel meenemen?

0 densoN
@Tailschakra • 3 september 2008 11:14

informatie = geld
informatie stelen is dus geld van je baas meenemen.
als je bij een bank word ontslagen, neem je dan ook een pak geld mee?

0 Tailschakra
@densoN • 3 september 2008 11:15

Werk weg = portfolio weg
Betekend dus dat je weer helemaal overnieuw kunt beginnen.
Het geld stelen vind ik zelf wel heel ver gezocht (alhoewel je wel een punt hebt).

Toch vind ik dat je dit niet kunt vergelijken met een bank.
Omdat dit toch wel je eigen werk is.

EnigmA-X
@Tailschakra • 3 september 2008 11:37

Je doet jouw werk theoretisch in opdracht van jouw baas. Die geeft jou een vergoeding voor het geleverde werk (salaris). Alles wat jij doet voor jouw baas is dus zodanig gecompenseerd dat het geleverde werk 'eigendom' is van het bedrijf.

Theoretisch gezien is het door jou geschreven scriptje dus ook eigendom van het bedrijf

In de praktijk zou dat betekenen dat je op basis van jouw opgedane kennis het scriptje mag herschrijven. Maarja, copy/paste gaat dan sneller en levert uiteindelijk hetzelfde resultaat. Dus dat is gewoon een grijs gebied.

Het meenemen van zaken die buiten jouw kennisgebied vallen, diensten, goederen, software, zou je dus wel *echt* als diefstal kunnen aanmerken...

[Reactie gewijzigd door EnigmA-X op 3 september 2008 11:39]

1 2 3 4 Volgende

Op dit item kan niet meer gereageerd worden.

Cookies op Tweakers

Studie: 9 van de 10 systeembeheerders steelt data na ontslag

Lees meer over

Nieuwste IT Banen

LOI ICT Opleidingen

Gerelateerde content

Sorteer op:

Weergave:

Reacties (100)