Meerdere lekken gevonden : Bedrijf doet weinig

Zie het helaas wel vaker.

Voor nu ga niet gericht zoeken naar lekken!!!
Met wat pech wordt je aangeklaagd voor computervredebreuk

Je kan een melding doen bij een toezichthouder (bijv: Autoritiet persoonsgegevens) verder heb je als buitenstaander geen opties.

Tjonge, het kan zo makkelijk zijn: om te beginnen zet je je gastennetwerk in een apart VLAN.

Het labelen, op orde maken van bekabeling en bijhouden van het een en ander is luiigheid!

Verouderde hardware hoort bij de investeringen van het bedrijf, zo lang ze daar zelf geen last van hebben...

MKB en dergelijk heeft dit vaak minder op de prioriteit staan. Vaak ook mede door budget e.d.

DennusB schreef op woensdag 29 november 2023 @ 13:51:
[...]

Dat lijkt me sterk, ik heb van de manager toestemming gehad om te kijken wat ik kon vinden, maar ik ben inderdaad wel gestopt. Geen zin in gezeur.

Dat heb je ook allemaal netjes zwart op wit staan met een duidelijke scope? Goed dat je gestopt bent, je hebt het probleem zichtbaar gemaakt en nu is het aan het bedrijf en netwerk partij zelf om het op te lossen.

Voor de rest een heel herkenbaar verhaal wat helaas bij veel MKB bedrijven een probleem is waar ik over de vloer kom.

De manager geeft zelf al aan waar het probleem zit: zijn perceptie van de kosten. Het brengt inderaad kosten met zich mee om je IT omgeving op orde te maken en te houden. Blijkbaar geeft ie dat geld liever aan iets anders uit 😉

sypie schreef op woensdag 29 november 2023 @ 13:51:
Tjonge, het kan zo makkelijk zijn: om te beginnen zet je je gastennetwerk in een apart VLAN.

En als je daar te goedkoop, lui of incapabel voor bent, dan is er nog een veel simpelere oplossing: zet dan gewoon het gastennetwerk uit... Als een gast echt heel nodig moet, dan gebruikt die maar 4G.

Daar gaan vast weer gasten over klagen, maar hé, dan kom je weer op het puntje van prioriteiten. Een klein gemakje voor gasten of je klantgegevens veilig en via de wettelijke standaarden opslaan, dat mag geen moeilijke keuze zijn...

Zelfs als die externe partij traag is of als we wachten op dan en dan wanneer dit en dat vervangen wordt: prima, maar zet de boel tot die tijd gewoon even uit. En als mensen na twee jaar nog steeds vragen waarom er nog steeds geen gastennetwerk is, dan is dat een mooie herinnering.

[ Voor 18% gewijzigd door bwerg op 29-11-2023 15:55 ]

Als er niets mee gedaan wordt:

https://klachten.autoriteitpersoonsgegevens.nl/

Duke of Savage schreef op woensdag 29 november 2023 @ 16:22:
Als er niets mee gedaan wordt:

https://klachten.autoriteitpersoonsgegevens.nl/

Als je bij persoonsgegevens kan misschien wel.

Uit de TS blijkt niet dat er een potentieel lek van persoonsgegevens mogelijk is?

YakuzA schreef op woensdag 29 november 2023 @ 16:28:
[...]

Als je bij persoonsgegevens kan misschien wel.

Uit de TS blijkt niet dat er een potentieel lek van persoonsgegevens mogelijk is?

Staat anders wel in de TS:

Ik zocht ondertussen nog even verder en ik heb nog veel meer dingen gevonden, zoals onderandere een manier om in hun volledige klant-administratie te komen inclusief NAW, bank en andere gegevens.

YakuzA schreef op woensdag 29 november 2023 @ 16:28:
[...]

Als je bij persoonsgegevens kan misschien wel.

Uit de TS blijkt niet dat er een potentieel lek van persoonsgegevens mogelijk is?

k zocht ondertussen nog even verder en ik heb nog veel meer dingen gevonden, zoals onderandere een manier om in hun volledige klant-administratie te komen inclusief NAW, bank en andere gegevens.

dit is voldoende

Duke of Savage schreef op woensdag 29 november 2023 @ 16:30:
[...]
Staat anders wel in de TS:
[...]

* YakuzA gaat in de hoek staan ivm slecht lezen met een alinea skip

mail de manager nogmaals je bevindingen, en adviseer hem dringend de klanten wifi uit te schakelen. verwijder op al je apparatuur het wifi profiel van het bedrijf, zodat je daar niet meer automatisch connectie maakt. doe daarna niets meer.

de manager mag je dan wel toestemming hebben gegeven, maar misschien is er nog een hogere baas die van dit hele verhaal "not amused" is, en dan zijn de rapen pas echt gaar.

EDIT: heb je dat whatsapp berichtje nog wel? de afzender kan het nl verwijderen .... maak een screenshot.

[ Voor 11% gewijzigd door PetervdM op 29-11-2023 17:55 ]

DennusB schreef op woensdag 29 november 2023 @ 13:29:
Hoe pak ik zoiets aan?

Jezelf eerst de vraag stellen welke belangen er zijn en welke rol jij daarbij wilt spelen.

Je kunt wel heel activistisch worden maar ik raad iedereen aan dat alleen na een expliciete afgewogen beslissing te doen.

Er is altijd een punt waar je eigen rol uitgespeeld is.

Gaat het om jezelf als benadeelde, dien dan een klacht in volgens de daarvoor bestemde procedures en doorloop netjes de escalatieladder en/of beëindig de relatie met verzoek tot verwijdering van gegevens. Aan het einde van de ladder kan een melding bij autoriteit persoonsgegevens zitten, maar of je daar wat van moet verwachten is een tweede.

Gaat het om de white hat hacker adrenaline, geef dan nog de tip om het gastenwifi uit te zetten en laat het gaan.

[ Voor 8% gewijzigd door Rukapul op 29-11-2023 17:57 ]

Wat @Rukapul zegt!
Heb je er zelf last mee?
Nee > lekker laten gaan. Jij hebt je plicht gedaan. Als het bedrijf niet wil investeren in een betere partner, jammer dan!
Ja > zorg dat je eigen gegevens niet op hun netwerk zitten.

Tenzij je het echt leuk vind om gierige bedrijven te helpen met zielige IT oplossing omdat het management het niet zo nodig vond en dit als soort vrijwilligerswerk ziet dan zou ik zo voortdoen.

Wat is het probleem dat je al die apparaten kan benaderen? Alleen maar handig dat je Q-music de nek om kan draaien als je daar zit te werken. Alleen dat gedoe met NAW gegevens lijkt mij potentiele ellende, zelfs als het niet bereikbaar is vanaf het gasten-netwerk?

sypie schreef op woensdag 29 november 2023 @ 13:51:
Tjonge, het kan zo makkelijk zijn: om te beginnen zet je je gastennetwerk in een apart VLAN.

Dat is echter bijzonder moeilijk als:

- je niemand rond hebt lopen die dat überhaupt iets zegt
- de switches niet of deels niet managed zijn
- en/of bovenstaande in combinatie met niks gelabeld, dus succes om uit te vinden wat je dan moet managen aan welke switches, en hoe. Je zult zien dat ze niet eens van 1 merk zijn.

@Wilke Dat is toch waar een bedrijf een externe partij voor betaalt? Als een ICT-dienstverlener niet weet wat een VLAN is, hoe een gastennetwerk gescheiden te houden van het bedrijfsnetwerk etc. dan moet het lekker particulier werk blijven doen.

Even een move naar PB, waar het beter past

De manager zou de leverancier een zeer korte response tijd moeten geven, de stekker uit het gastennetwerk moeten trekken en zorgen dat het lekken van de NAW gegevens bijvoorbeeld niet meer mogelijk is.

De leverancier komt wellicht pas in actie als hij er zelf een halszaak van maakt. Ik denk dat de manager in kwestie zich niet realiseert wat voor shitstorm er komt als:

- iemand het beheer over neemt en je klantgegeven steelt/encrypt/etc
- iemand de backups weg gooit, aangezien er blijkbaar weinig laterale belemmeringen zijn
- de gegeven op straat komen te liggen
- de AP wordt ingeschakeld en deze amateuristische janboel ziet & merkt dat niemand iets deed

Begrijp mij neit verkeerd: dit is niet uitzonderlijk slecht geregeld, er wordt uitzonderlijk slecht gereageerd.

Ik zou de manager dus vooral wijzen op zijn of haar verantwoordelijkheden en de consequenties van niet acteren vermelden, teneinde de motivatie te vergroten om de of een leverancier te sommeren meteen wat te doen. En doe dit per e-mail, aangezien jij de kennis er nu ook van hebt en niets doen niet lekker staat als het een keer boven water komt. Ik zou mij minder zorgen maken om computervrede breuk in opdracht dan dit zo laten - waarbij je meteen kunt aangeven in je email dat je in opdracht van de manager eea hebt vastgesteld en ze vanuit je beperkte eerste 'light touch' bevindingen adviseert actie te ondernemen om potentieel risico x en y pogen direct te mitigeren.

Volgens mij leg je dan netjes en professioneel de bal bij de manager, geef je die persoon de handvatten om te acteren en als die dan alsnog niets doet. Well, good luck.

Edit: er schoot mij nog wat te binnen over de zorgplicht van een It leverancier. Ze kunnen mogelijk aansprakelijk gesteld worden voor schade als ze hun zorgplicht niet nakomen. Zeker nu die leverancier het weet is het geen kwestie meer van 'ja maar die dienst namen ze niet af'.
Voorbeeld bron.

[ Voor 11% gewijzigd door NiGeLaToR op 30-11-2023 16:33 ]

Als ze nou eens beginnen met het gastennetwerk in een apart VLAN te zetten en Wireless Client Isolation aanzetten, dat zou al een heleboel schelen!

DennusB schreef op woensdag 29 november 2023 @ 15:53:
[...]

Ja tot je een boete krijgt van AP die 5x hoger is dan de investering om je zooitje op orde te krijgen ...

Nee, daar heb je een verzekering voor

BCC schreef op donderdag 30 november 2023 @ 16:33:
[...]

Nee, daar heb je een verzekering voor

Die dokken 0 euro als je er een janboel van maakte en terwijl je het wist niets deed. Net als dat je je gesloten auto niet vergoed krijgt als je de sleutels zelf aan de autodief geeft.

Vergis je niet: die verzekeringen zijn belangrijk en nodig, maar geven een steeds beperktere dekking - zeker als je basis voorwaarden security niet op orde had/hebt.

[ Voor 6% gewijzigd door NiGeLaToR op 30-11-2023 16:35 ]

Het was niet mijn bedoeling om te zeggen dat het een goed idee is van het bedrijf om zich hiervoor te verzekeren. In tegendeel zelfs, ik vindt dat idioot, maar ik heb meerdere keren meegemaakt dat de reactie van een dergelijk bedrijf is "daar hebben we een verzekering voor" en ja, de boete is ook verzekerbaar in Nederland (als enige EU land).

Maar ontopic: Escaleren naar de directie/FG-er van het bedrijf als je het echt belangrijk vindt (kan ook anoniem met wat mooie screenshots), anders is het echt een interne kwestie helaas.

[ Voor 16% gewijzigd door BCC op 30-11-2023 16:48 ]

@BytePhantomX ik volg je redenatie, tegelijkertijd vraag ik mij af dat als je op uitnodiging van de partij die je wijst op een per abuis gevonden probleem nog meer problemen vindt je echt aangeklaagd gaat worden voor 'computervredebreuk' terwijl je niets gestolen, kapot gemaakt, gepubliceerd of veranderd hebt en alles direct aan degene die je de opdracht gaf hebt doorgegeven.

In Nederland kennen we in de rechtspraak het proportionaliteitsbeginsel en ik zie zo even niet in waarom TS zich zorgen zou moeten maken om aansprakelijkheid voor het vinden van het lek boven er niets aan doen uit angst voor een 'computervredebreuk' aantijging.

Ik heb talloze keren aan de ontvangende kant mee moeten denken bij meldingen van (verdenkingen van) datalekken, hacks, kwetsbaarheden en daarin zie je werkelijk (en gelukkig) nooit de reflex om degene die zich netjes meldt met een bevinding aan te geven voor computevredebreuk. Maargoed, wellicht heb je volgens de meest strikte uitleg van de letter van de wet een punt en zijn er ongetwijfeld bedrijven die het allicht proberen af te schuiven op de melder ipv er wat aan te doen. Maar als een bedrijf die stap kan de melder daarna natuurlijk alsnog met z'n verhaal naar de AP, de media, of het darkweb gaan Hoop eerlijkgezegd dat bedrijven inmiddels blij zijn met goedbedoelde melders die simpelweg iets tegen kwamen. Maar wellicht wel goed voor TS om enige afstand te houden of juist de informele toestemming formeel te maken?

Ik zou het in de geval ook niet verwachten, maar er zijn helaas teveel bedrijven die er sowieso niet netjes mee omgaan of later van gedachten veranderen. Los van het feit of je veroordeeld wordt, wil je volgens mij ook gewoon niet het risico lopen dat je met advocaten aan de weer moet, terwijl je goed bedoelingen had.

Ik vind deze situaties (in MKB) altijd lastig. Lijkt nu heel erg alsof de externe IT partij de schuldige is (traag, komt niet in actie) maar het kan net zo goed zijn dat het eea ingericht naar wens klant en hij het nu veranderd wil hebben maar hier niet voor wil betalen.

Ik vind het bedrijf er een beetje slap in staan "als de IT dienstverlener niets doet kan ik ook niets".
Als hij het echt belangrijk had gevonden dan:
- Had die wel druk gezet op it dienstverlener/betaald
- Andere IT dienstverlener gezocht om het spul over te nemen en goed in te richten

Mijn vermoeden? Hij vindt het belangrijk, maar niet zo belangrijk dat het geld mag kosten

Ik zou inderdaad een melding maken bij het AP. Als een manager / bedrijf zo laks omgaat met hun eigen data en de beveiliging daarvan na meerdere meldingen zou ik er weinig medelijden mee hebben..

DennusB schreef op woensdag 29 november 2023 @ 13:29:
Wat zouden jullie in zo'n geval doen? Ik ben "goedaardig", maar als er daar iemand binnen loopt met kwade bedoelingen kan dat serieuze problemen geven.
Hoe pak ik zoiets aan?

Boeiend hoor…. Het is niet jouw bedrijf en jouw devices.
Je hebt het gemeld dus nu gewoon verder met je leven :-).

En gebruik gewoon daar het open wifi netwerk niet.

DennusB schreef op donderdag 30 november 2023 @ 16:32:
[...]

Ja I know, maar die externe partij doet dus geen reet en de manager zegt : ja dan kan ik ook niks, want ik heb geen login van de UniFi controller (anders kon ik t wel voor ze fixen).

Dan is die manager zelf ook een slappe lul. Hij betaald, dus hij kan eisen. En hij kan ook overstappen naar een andere externe partij als ze niet leveren.

DennusB schreef op woensdag 29 november 2023 @ 13:51:
[...]

Dat lijkt me sterk, ik heb van de manager toestemming gehad om te kijken wat ik kon vinden, maar ik ben inderdaad wel gestopt. Geen zin in gezeur.

Heb je die toestemming inclusief toestemming om door te blijven zoeken ook schrijftelijk gekregen?

Je ziet wel vaker deze situaties waar iets gemeld wordt, de verantwoordelijke schrikt, een belletje doet naar de leverancier, leverancier wimpelt het af, daarna krijg je een cascade aan schrikreacties bij iedere volgende vondst en op een bepaald punt gaat er een schakel om bij de verantwoordelijke en ben jij ineens de 'vijand'. Die toestemming is dan niet meer relevant, en jij hebt een zaak aan je broek omdat je hun netwerk hebt gehackt.

Mensen die verantwoordelijkheid hebben over dingen die zijn uitbesteed kunnen heel gevaarlijk zijn, zeker als ze zelf niet de nodige kennis hebben. Die leverancier gaat defensief reageren en de manager overtuigen dat jij kwaadwillend bent en zij gewoon alles goed op orde hebben, en die manager heeft niet de kennis om te snappen dat het absoluut niet zo is dus die gaat de leverancier geloven.

DennusB schreef op donderdag 30 november 2023 @ 16:32:
[...]
Ja I know, maar die externe partij doet dus geen reet en de manager zegt : ja dan kan ik ook niks, want ik heb geen login van de UniFi controller (anders kon ik t wel voor ze fixen).

Niet doen zonder schriftelijke afspraak. Met (schriftelijke, bv. in mail) toestemming gaten zoeken is prima. Maar ga niet aanpassingen maken. Je kunt het immers niet fixen, alleen een noodverbandje leggen waar het bloed doorheen blijft sijpelen.

Fixen gebeurt als er een noodverbandje komt en het bedrijf opdracht geeft een veilig redesign te maken en zsm uitvoeren. Incl. afspraak over blijven onderhouden. Met factuur en al. En als ie vindt dat het duur is, kan hij een tweede offerte opvragen.

Klinkt allemaal heel herkenbaar, inclusief de manager die wel door heeft dat er iets niet goed gaat maar niet weet wat hij er mee aan moet. Blijf er vooral met je vingers van af. Zodra je hebt aangeraakt loop je het risico dat jij de schuld krijgt van eventuele toekomstige problemen. Die manager kan het zelf duidelijk niet beoordelen. Als het slot van de WC-deur stuk was dan zou die manager waarschijnlijk veel beter reageren.

De kunst zal zijn om een duidelijk beeld te scheppen maar dat zal niet makkelijk zijn als je niet eens weet wat de situatie nu echt is.

Als je toch verder wilt dan zakelijk opstellen en een contract en een prijs afspreken. Dat kan je zelfs als tactische manoevre doen. Als er een prijskaartje aan het probleem komt te hangen dan heeft die manager een idee waar hij aan toe is. Maar doe dat alleen als je bereid bent het contract uit te voeren...

In sommige sectoren moet je een Functionaris Gegevensbescherming hebben. Dat is vaak een goed aanspreekpunt als er persoonsgegevens in het spel zijn.

Als bedrijven moeten voldoen aan standaarden of kwaliteitsnormen kan dat ook een ingang zijn om duidelijk te maken dat er iets op het spel staat.

DennusB schreef op woensdag 29 november 2023 @ 13:29:
Ik ben ingeschreven bij een bedrijf waar ik zelf regelmatig kom [..]

Wat is je relatie tot het bedrijf? Want ik neem aan dat de manager je niet zomaar toegang heeft gegeven omdat je wat kon tonen. Dat zou anders op zich al een onbehoorlijk risico zijn.

Als de manager geen andere prioriteiten dan geld en uitbesteden lijkt te stellen dan klinkt de bezorgdheid en je laten helpen niet oprecht om de risico's te gaan die jou onwenselijk lijken, maar meer om opportunistisch gemakkelijk weg te komen met 'problemen'. Dat hoeft geen opzet te zijn. Maar de risico's worden er niet zomaar klein genoeg mee en het worden er ook niet zomaar minder door.

Afhankelijk van hoeveel belang je er zelf aan hecht zou je dus kunnen helpen door biivoorbeeld oplossingen aan te dragen waar de manager ook direct zelf iets mee kan. Ik lees bijvoorbeeld niet of de manager begrijpt en in staat is dat deze prioriteiten kan stellen aan de problemen.

Misschien is het probleem voor de manager alles belangrijk lijken te vinden, wat de leverancier te veel onzekerheid geeft en dus veel (meer) geld vraagt. Dan zou het kunnen helpen samen de vraag specifiek genoeg te maken en prioriteiten te stellen. Maar natuurlijk wel zo dat de manager zelf moeite doet en verantwoordelijkheid neemt.

Uiteindelijk is het de verantwoordelijkheid van de ondernemer zelf om risico voor anderen op de diensten te beperken en zelfs voorkomen. Dat de manager geld en uitbesteden zelfs bij een datalek belangrijker lijkt te vinden zegt mogelijk al genoeg.