Terry is een gemotiveerd man, zó gemotiveerd dat hij avonden en weekeinden doorhaalt voor het beste resultaat. Niets is goed genoeg, eigenlijk. Hij bouwt voor zijn werkgever een state-of-the-art netwerk op een solide ondergrond van glasringen. Hij richt het beheer professioneel in en beveiligt de apparatuur tegen alle denkbare dreigingen van binnen envan buiten. Als hij ’s avonds moe is (alle collega’s zijn dan allang naar huis) draait hij achter zich de deur in het slot, nog niet helemaal tevreden en in gedachten alweer bezig met de volgende dag. Zijn bazen zijn zeer tevreden, want een betere medewerker kunnen zij zich niet wensen!
Zo gaat het al een hele tijd en het netwerk wordt het beste van de wereld. Terry heeft ondertussen alleen zichzelf om op terug te vallen: zijn collega’s snappen het niet, maken alleen dingen kapot en zijn bazen zijn het ergst: pure incompetentie verwijt hij ze in gedachten. Ze zouden hem wat meer kunnen waarderen om zijn inspanneningen en geniale oplossingen: de gemeente heeft nog nooit zo’n mooi en goed netwerk gehad.
Zijn collega’s en directe manager vinden het wel een beetje een enge gedachte, dat hij als enige het netwerk kent en de toegangscodes heeft op de apparatuur. Een backup van de configuratiebestanden is er niet.. Heeft Terry die misschien thuis bewaard?
Op een dag slaat de vlam in de pan: hij trekt het niet meer, maar vindt de achterblijvers onwaardig om zijn werk over te nemen. Terry sluit alles af, slikt de sleutels in en vertrekt naar huis. Het netwerk zoemt gewoon door, maar niets of niemand kan zijn kunstwerk verstoren: effectief gegijzeld, dát is het.
Het duurt even, nadat hij zich niet meer meldt op zijn werk, maar dan gaat men op zoek en slaat de paniek toe. Beschuldigd van allerlei negatieve bedoelingen belandt hij in de cel.
Wat is hier nu fout gegaan? Je zou kunnen zeggen dat velen ziende blind waren: personeelszaken, collega’s, zijn manager, riskmanagement (hebben ze dat in de gemeente San Francisco?), allemaal hebben ze zitten slapen. Het risico van de gijzeling van het netwerk tekende zich duidelijk af, maar niemand die maatregelen nam.
Hier was sprake van een duidelijk geval van gebrek aan toezicht en de organisatorische verankering ervan: niet alleen werden de signalen niet opgevangen, ze werden ook niet op waarde geschat en gecommuniceerd naar de juiste personen.
Een goede (geautomatiseerde) monitoringfunctie had al vroeg alarm geslagen: het verwijderen en wijzigen van beheerdersaccounts, het wijzigen van de AAA-server, het installeren van Terry’s eigen remote access system: allemaal handelingen die een ‘heads-up’ moeten uitlokken. Nader onderzoek door een security-officer zou dan tijdig tot een ingreep hebben geleid. Ook een password vault zou geholpen hebben, trouwens, want ‘Priviliged Users’ moet je nou eenmaal extra volgen..
Pas na een volle week in de cel en smeekbedes van de burgemeester -ook in zijn cel- staat hij de toegangscodes af en kunnen anderen zijn prachtige netwerk ‘naar de verdommenis helpen’. Terry Childs** treurt in zijn cel, maar het zal nog lastig worden hem ergens voor veroordeeld te krijgen. Zijn bedoelingen waren immers uitsluitend positief en in het belang van zijn werkgever…
André Beerten werkt bij GlidePath, Controls-based IT management & Security-provider.
* © Mr. Humphries
** zie ook: http://www.sfgate.com/cgi-bin/article.cgi?f=/c/a/2008/12/27/BA1F14VJG3.DTL
En http://www.computerworld.com/action/article.do?command=viewArticleBasic&articleId=9127380
En http://blogs.computerworld.com/terry_childs_speaks_from_sf_jail_cell
