Cyber-wraakacties van oud-werknemers

januari 16, 2019

Afscheid nemen van werknemers is onderdeel van het bedrijfsleven. Maar in sommige gevallen kan het pijnlijk zijn. Behalve dat het managers op de zenuwen kan werken, kunnen ontevreden werknemers reputatie- en financiële schade veroorzaken als deze iets probeert te vereffenen.

We kijken naar hoe ver iemand hierin kan gaan en hoe je je tegen cyber-wraak kunt weren.

Het wachtwoord ter waarde van $200.000

Een krachtig voorbeeld van problemen na dienstverband is afkomstig uit de online American College of Education. Het klikte niet tussen het management en systeembeheerder Triano Williams, die op afstand voor het bedrijf werkte.

In 2016 diende de werknemer een discriminatieklacht in tegen de organisatie. Een jaar later krijg hij een overplaatsing naar het kantoor in Indianapolis aangeboden. Williams wees dit aanbod af; telewerken was zijn hoofdvoorwaarde. Het resultaat, hij werd ontslagen. Hoewel hij een ontslagvergoeding kreeg, was hij ontevreden. Hij concludeerde dat het hele verhaal van overplaatsing bedacht is vanwege zijn klacht. Als wraak op de onderwijsinstelling veranderde hij zijn Google-accountwachtwoord, waardoor zijn voormalig collega’s geen toegang meer hadden tot hun e-mail en studiemateriaal van meer dan 2.000 studenten.

Williams pleitte dat het wachtwoord automatisch was opgeslagen in zijn werklaptop, die hij kort na zijn ontslag in had geleverd. Volgens de onderwijsinstelling had de voormalige beheerder de harde schijf echter geleegd voordat hij het inleverde.

De instelling klopt aan bij Google om toegang tot het account te krijgen, maar het bleek dat het profiel geregistreerd was onder Williams persoonlijke account en niet die van het bedrijf. De advocaat van de oud-werknemer liet vallen dat zijn klant het wachtwoord zou kunnen herinneren in ruil voor $200.000 en een positieve aanbeveling van het bedrijf.  

Opzienbarende aanval

Een ander voorbeeld betreft wat heftigere maatregelen na dienstverband. Richard Neale, medeoprichter en voormalige IT-directeur van informatieveiligheidsbedrijf Esselar, verliet het bedrijf op slechte voet en plande zijn wraak in zes maanden.

Om zijn voormalige collega’s te schande te brengen wachtte hij tot de dag dat Esselar zijn services moest leveren aan een grote klant, namelijk het verzekeringsbedrijf Aviva. Op de vooravond van de presentatie hackte Neale de mobiele telefoons van ongeveer 900 Aviva werknemers en verwijderde hij alle informatie van de apparaten.

Na het incident brak Aviva de relatie met Esselar en eiste £70.000 schadevergoeding. Maar het totaal aan reputatieverlies en mogelijke schade werd geschat op meer dan £500,000 door de voormalige collega’s van Neale. Volgens het bedrijf waren zijn acties zo schadelijk dat het een naamswijziging overwoog. 

Een snelle en peperdure datawisser

Ook gevaarlijk zijn werknemers die alleen denken dat ze ontslagen zullen worden. Mary Lupe Cooley, een assistentdirecteur bij een architectenbureau, zag een advertentie in de krant waarin er iemand voor haar positie werd gezocht, met het nummer van haar baas in de details.

Denkende dat ze ontslagen zou worden, verwijderde Cooley projectinformatie die zeven jaar terugging, waardoor een schade van $2.5 miljoen ontstond. De advertentie was voor een vacature in het bedrijf van de echtgenote van de baas. 

Hoe je kunt voorkomen om slachtoffer van cyber-wraak te worden

Om te voorkomen dat oud-werknemers schade toebrengen aan je IT-infrastructuur, dien je de rechten en toestemmingen vanaf de eerste dag goed in de gaten te houden. Hier volgt een aantal regels voor bedrijven die zich veilig willen stellen:

  • Houd de IT-rechten van werknemers bij, plus de accounts en hulpbronnen waar ze toegang tot hebben. Geef extra rechten alleen uit indien strikt noodzakelijk. En ook deze informatie dient vanaf het begin bijgehouden te worden.
  • De rechtenlijst dient regelmatig herzien en gecontroleerd worden. Verouderde rechten moeten worden ingetrokken.
  • Registreer ondernemingshulpbronnen alleen met ondernemingsadressen. Ongeacht de mogelijke voordelen van een persoonlijke account of hoe betrouwbaar iemand mag lijken, vergeet niet dat een werkrelatie vroeg of laat verbroken wordt. Domeinnamen, social media accounts, en dashboards voor website controle zijn uiteindelijk in het bezit van de onderneming en het is kortzichtig om deze uit handen te geven aan het personeel.
  • Blokkeer alle toegang en accounts van oud-medewerkers zo snel mogelijk, als het kan zodra het ontslag gecommuniceerd is.
  • Bespreek mogelijke ontslagen of herstructureringen niet openlijk en denk eraan dat het publiceren van een vacature voor een specifieke positie, vaak verder rijkt dan de alleen de kandidatenpool.
  • Probeer een goede relatie met alle werknemers aan te gaan en te zorgen voor een goede sfeer op het werk. Cyberaanvallen tegen een voormalige werkgever worden vaak gepleegd door aangetaste gevoelens en niet zozeer uit hebzucht.