Hadden we gisteren nog een Canadese scholier die misschien 10 jaar moet brommen omdat hij het netwerk van zijn school hackte. Vandaag hebben we een ex-IT-directeur die een mildere straf krijgt.
De ontslagen IT-directeur van het Amerikaanse Transmarx is tot een gevangenisstraf van 27 maanden veroordeeld wegens het hacken van zijn voormalige werkgever. De 53-jarige Darnell H. Albert-El moet daarnaast ook een schadevergoeding van 6.700 dollar (4.800 euro) betalen (bron).
Ex-medewerkers zijn nog steeds een zwaar onderschat probleem. Zij hebben rechten op het netwerk en kunnen bij een groot aantal bestanden. Zijn het IT-ers dan is het risico alleen maar groter, want die beschikken over nog meer rechten en niet te vergeten kennis om het netwerk plat te gooien.
In tijden van reorganisaties en ontslagrondes moet met een dergelijk risico rekening worden gehouden. Denk daarbij niet alleen aan het verwijderen van bestanden of het platgooien van het netwerk. Nee, een evenzo groot gevaar is de bestanden en informatie die je organisatie verlaat op een illegale wijze. De documenten worden niet vernietigd maar wel in grote getale gekopieerd. Niemand die daar zicht op heeft en niemand die daarbij stil staat, zo lijkt het wel.
Je moet dan ook niet gek opkijken als jouw ex-medewerker ineens met open armen ontvangen wordt bij je concurrent. Met de informatie die hij heeft kan de concurrent je ineens voorbij streven. Misschien heb je de medewerkers een geheimhoudingsverklaring laten ondertekenen, maar toon jij als werkgever maar eens aan dat ze je informatie hebben gestolen. Een geheimhoudingsverklaring kan natuurlijk nooit kwaad, maar de echte meerwaarde is beperkt.
Natuurlijk moet je kosten besparen in moeilijke tijden (mijn mening is trouwens dat kosten besparen niet gelijk staat aan het ontslaan van mensen, maar goed dat is weer een ander verhaal), maar je moet wel degelijk rekening houden met de gevaren en risico’s daarvan. Wil je mensen meedelen dat ze ontslagen worden en ze vervolgens nog 3 maanden voor je laten werken? Of besluit je direct alle toegang te blokkeren zodat ze minder schade kunnen berokkenen? Dat is een keuze die je zult moeten maken, een risicoanalyse dus.
Niet alle medewerkers die ontslagen worden zullen je netwerk plat (kunnen) leggen. Misschien moet je je meer focussen op de risico’s die IT-ers met zich meebrengen. Maar wel alle medewerkers kunnen bestanden kopiëren en doorverkopen. Geloof me, het gebeurt meer dan je denkt. Iedere medewerker die vertrekt neemt wel een stukje informatie mee, het merendeel ter goede trouw (omdat ze er zelf aan gewerkt hebben) maar ook een deel met wrok in het achterhoofd.
Kortom: kijk ook eens naar de beveiligingsrisico’s bij grote reorganisatie rondes en ontslag van personeel. Je kunt er wat aan doen, maar daar moet je niet mee wachten tot het water je aan de lippen staat.