Het gemak voor de ICT-afdeling was al enige jaren regel bij een grote onderneming van bijna 2000 medewerkers. De IT-manager typeert zichzelf als “weinig betrokken” en gericht op scoren bij het management. “Er moest vooral niet te veel gezeur zijn”, erkent hij. “Dus onderwerpen als informatiebeveiliging stonden niet op de rit.”

Waarschuwing op waarschuwing

Toen een medewerker zich zorgen begon te maken en memo’s begon te sturen, werd dat vooral als storend ervaren. “Routers die we beheerden zonder wachtwoord, databases met standaard wachtwoorden, gebrekkig patchbeleid en vooral de totale afwezigheid van controle over gevoelige informatie, waren allemaal onderwerp van verschillende memo’s”, herinnert de manager zich.

Iedere week – meestal op vrijdag – kwamen de memo’s binnen. Na enig aarzelen mag Webwereld de stukken zien en valt op dat iedere memo heel expliciet maakt wat de gevaren zijn en er een link is gezocht met voorbeelden van incidenten. “Ja. Eigenlijk deed hij meer dan we van hem konden verwachten”, fluistert de manager. “Voor ons werd het een wekelijkse grap.”

De medewerker zelf eindigt zijn reeks met een klaagzang over de plannen om draadloos netwerk te implementeren. In die memo dreigt hij expliciet een voorbeeld te stellen. “Dat mailtje hadden we niet eens gelezen”, erkent de manager. “Ik was vooral geïnteresseerd in de uitrol van een administratief systeem en kon er beveiligingsperikelen niet bij hebben.”

Hack

Maar de grap werd minder leuk toen opeens routers en servers begonnen te herstarten. “Eerst dachten we aan hardwareproblemen. Slim of niet, het duurde een dag voor we het doorhadden.”, legt de manager uit. “Natuurlijk was de IT’er de eerste verdachte en toen hij het meteen toegaf, werd hij op staande voet ontslagen.”

Maar het kwaad was al geschied. Een beveiligingsbedrijf voerde een audit uit en het geschetste beeld was vernietigend. “Ik herinner me dat ik me goed beroerd voelde en besefte dat ik wel heel hard had gehold en dus te veel dingen mistte.”

Vernedering

Een lang gesprek met de leiding van het bedrijf volgde en er kwam een plan. “Ook de directie voelde zich schuldig. Dat had de consultant ons wel duidelijk gemaakt”, vertelt hij. De straf voor de IT-manager was er een van vernedering. “We kwamen er op uit dat we de medewerker eigenlijk dankbaar moesten zijn en dat hij moest terug komen.”

Dat gebeurde ook, maar het ging niet eenvoudig. De man had een nieuwe baan en inmiddels waren twee maanden verstreken. Na veel vijfen en zessen werd de ‘zeurpiet’ aangesteld als Chief Security Officer. “Het viel hem niet mee om de zaakjes te verbeteren, maar het gaat zeker de goede kant op”, meent de automatiseringschef, die stelt het wel erg goed met zijn tegenpool te kunnen vinden. “We bekvechten over het werk in vergaderingen, maar rijden samen van en naar het werk.”

Op de vraag of dit wel hacking is, is de reactie kort en bondig: “Technisch misschien niet, maar ik liet mijn gedrag hacken.”