In een onderzoek bij een klant was vastgesteld dat een medewerker van de ICT helpdesk hardware had ontvreemd. Hiervoor was hij op staande voet ontslagen. Later bleek dat de inmiddels ex-medewerker bij een oud-collega thuis had geprobeerd om in te loggen op de bedrijfssystemen van de klant, waarbij hij gebruikmaakte van de inloggegevens van deze oud-collega. Ook had hij de oud-collega diverse malen om informatie gevraagd over systemen van het bedrijf.
Digitaal forensisch onderzoek
In overleg met de klant zou door digitaal forensisch onderzoekers van ons bedrijf een onderzoek worden ingesteld. Hiertoe werd contact opgenomen met de CISO. Die meende op dat moment, zonder overleg met de onderzoekers, een eigen onderzoek in te moeten stellen. Hij ontdekte daarin dat zijn systeembeheerder privé contact had met de ex-medewerker. Tevens ontdekte hij een mogelijk datalek dat had plaatsgevonden vanaf de computer(s) van de systeembeheerder. Toen de CISO niet verder kwam met zijn onderzoek heeft hij zonder medeweten van de directie de systeembeheerder en de ex-medewerker ondervraagd. Beiden ontkenden de door de CISO ontdekte feiten, waardoor zijn onderzoek doodliep.
Aangifte bij de politie
Toen op zijn afdeling vragen werden gesteld naar het feit dat hij deze gesprekken had gevoerd, meldde de CISO zich bij de directie. Op verzoek van de directie is het digitaal forensisch onderzoek alsnog door deze experts afgerond. Op basis van de resultaten – er bleek inderdaad sprake te zijn van een datalek, waarbij bedrijfsinformatie gedeeld was met de ex-medewerker – hebben er interviews plaatsgevonden met onder andere de systeembeheerder en de ex-medewerker. Beiden bekenden uiteindelijk de feiten, waarna aangifte is gedaan bij de politie.
Eigen initiatief
De CISO had op eigen initiatief een intern onderzoek ingesteld, omdat hij zo de kosten dacht te kunnen reduceren. Hij meende gezien zijn ‘ervaring’ zelf wel een rechercheonderzoek te kunnen instellen. Aangezien er voldoende richtlijnen en risico-escalatiemodellen waren beschreven om dergelijke incidenten op te pakken, kon de klant zich met name richten op de rol en het functioneren van de CISO.
Hoe was dit te voorkomen geweest?
- Iedere CISO dient zich in zijn rol als information security officer te schikken en moet er voor zorgen dat (digitale) informatiebronnen goed beschermd worden tegen inbreuken van buitenaf. Zijn rol en verantwoordelijkheden dienen goed beschreven te worden.
- Iedere medewerker dient zich te houden aan escalatiemodellen/protocollen zoals beschreven binnen organisaties en van waaruit de juiste stappen kunnen worden genomen, indien zich een (integriteits)incident voordoet, zoals bijvoorbeeld een datalek.