Spioneren onder collega’s

een rondslingerende telefoon of een goedgelovige telefoniste, meer hebben bedrijven die sjoemelende werknemers willen betrappen niet nodig. ze peuteren gevoelige informatie los zonder dat iemand het in de gaten heeft....

Patricia Dunn moet zich de haren uit het hoofd hebben getrokken. De voormalige president-commissaris van Hewlett Packard (HP), ‘s werelds grootste producent van computers, printers en fototoestellen, zag in 2004 en 2005 keer op keer bedrijfsgevoelige informatie in de pers opduiken. Dat voortijdig uitlekte dat toenmalig topvrouw Carly Fiorina onder druk van de raad van commissarissen zou aftreden was ernstig. Maar toen ook de onbenulligste details over een besloten strategische directiebijeenkomst op een nieuwssite verschenen – een bron zei letterlijk: ‘om tien uur waren we allemaal uitgekakt van de lange sessies, en gingen we naar bed’ – was de maat vol.

‘Vind dit lek, het maakt niet uit hoe!’, zo moet de strekking zijn geweest van Dunns instructie aan een speciaal ingehuurd recherchebureau, dat ook een lijstje meekreeg van de thuis-, werk- en mobiele telefoonnummers van alle commissarissen. Een ware heksenjacht volgde. De onderzoekers groeven door het afval van de commissarissen, schaduwden journalisten, probeerden te infiltreren op de redacties van The Wall Street Journal, en wisten met smoesjes de belgegevens van een groepje commissarissen en journalisten bij een aantal telecombedrijven los te peuteren.

Valse voorwendselen

Valse voorwendselen
Het was vooral die laatste methode, die in Amerika bekend staat als pretexting, die leidde tot een uitgebreid schandaal dat afgelopen herfst Dunn en een aantal andere commissarissen de kop kostte. Onder hen ook de lekkende commissaris George Keyworth, die het als zijn plicht zag de media te informeren over de gang van zaken in de top van de onderneming.

Valse voorwendselen
Want pretexting, het onder valse voorwendselen en onder een valse identiteit loskrijgen van vertrouwelijk informatie zoals telefoongegevens, bankrekeningnummers of kentekengegevens, is volgens de Californische wet een misdrijf. Tegen Dunn en een aantal andere directieleden lopen nog individuele strafzaken, los van de 14,5 miljoen dollar boete die HP als schikking aan de staat betaalde.

Valse voorwendselen
Pretexting valt onder het ruimere begrip social engineering, wat erop neerkomt dat je iemand zover krijgt dat hij iets voor je doet, zonder dat hij in de gaten heeft dat hij misbruikt wordt. De term wordt de laatste jaren vooral gebruikt door de voormalige Amerikaanse hacker Kevin Mitnick, die als bekeerde computercrimineel een succesvol it-beveiligingsbedrijf runt.

Vertrouwen

Vertrouwen
De theorie van Mitnick: het kost tegenwoordig minder moeite om iemand met een smoesje zijn wachtwoord prijs te laten geven – ‘U spreekt met de helpdesk, we hebben wat onderhoud aan uw pc verricht en hebben uw wachtwoord veranderd. Wilt u het oude houden? Wat is dat?’ – dan om urenlang te proberen de beveiliging van een systeem te kraken.

Vertrouwen
‘Mensen zijn ongelooflijk goed van vertrouwen. Wie kwaad wil, maakt daar zo misbruik van,’ zegt Ronald Prins, directeur van Fox-IT. Het Delftse beveiligingsbedrijf is gespecialiseerd in het beschermen van digitale systemen en gegevens. Fox-IT wordt ook wel eens ingehuurd om de beveiliging van een bedrijf te testen, en maakt dan gebruik van social engineering.

Koffie

Koffie
Prins: ‘Je laat iemand die zich voordoet als een collega van elders druk bellend heen en weer lopen in een kantoor. Hij heeft een mooi pak aan, en beklaagt zich voortdurend dat hij iets wil mailen, maar op die locatie geen werkplek heeft. Je zult versteld staan hoeveel mensen hun pc aanbieden. En dan is plotseling de computer afgesloten en moet het wachtwoord opnieuw worden ingevoerd. Even over de schouder meekijken, en hebbes. Intussen gaan ze zelfs koffie voor je halen.’

Koffie
Prins geeft ook toe dat zijn bedrijf soms gebruik maakt van het juridisch schimmige pretexting. ‘We krijgen wel eens een mobiele telefoon in handen, en willen dan bijvoorbeeld weten van wie de laatstgebelde nummers zijn. Dan bellen we op naar een telefoonbedrijf met een kletsverhaal. Of we bellen het nummer zelf, en proberen achter de identiteit van diegene te komen. Dat helpt ons dan bij het opsporen van bijvoorbeeld fraude.’

Motorpakkendief

Motorpakkendief
Ook bureaus voor bedrijfsrecherche gebruiken soms een vorm van social engineering om verdachte werknemers tegen de lamp te laten lopen. Het Almeerse onderzoeksbureau Hoffmann beschrijft op zijn site een casus waarbij een werknemer van een bedrijf in motoren en motorkleding verdacht werd van het stelen en doorverkopen van dure motorpakken. Een medewerker van Hoffmann deed zich voor als potentiële koper, maakte een afspraak met de verkoper en ging naar huis met een motorpak. Via de streepjescode van het pak werd al snel duidelijk dat het inderdaad om een pak uit de voorraad van het bedrijf ging. En, weinig verrassend, het adres van de handelaar en de verdachte werknemer kwamen overheen. De man werd geconfronteerd met zijn daden, bekende, en kon zijn biezen pakken.

Motorpakkendief
Of dat zomaar mag? De bindende gedragscode die de Vereniging van Particuliere Beveiligingsorganisaties sinds 2003 hanteert is vrij duidelijk over proefaankopen. De verkoper mag niet aangezet worden iets te doen wat hij niet uit eigen initiatief ook had gedaan. De onderzoeker mag bijvoorbeeld niet een hoger bedrag bieden dan de gangbare aankoopbedragen, en hij moet zich voortdurend afvragen of de verkoop van goederen ook gebeurd zou zijn als hij zich niet had gemeld als geïnteresseerde.

Nepbedrijf

Nepbedrijf
Volgens Aad Schalke van onderzoeksbureau Schalke & Partners in Breda is in Nederland best veel mogelijk. ‘Het hangt helemaal van je startpositie af. Wij stellen ons soms ook op als nepbedrijf of nepklant om uit te zoeken of bepaalde goederen nep of echt zijn. Zolang je reageert op een bepaalde situatie, en niet zelf het initiatief neemt, of iemand aanzet tot diefstal, is veel mogelijk.’

Nepbedrijf
Maar, benadrukt hij, wat mag en niet mag, verschilt per geval. ‘Net als bij strafrechtelijke onderzoeken gelden de principes van subsidiariteit en proportionaliteit. Dat wil zeggen dat je nooit een ingrijpende onderzoeksmethode mag gebruiken als er ook een afdoende lichtere methode voorhanden is, en dat de zwaarte van het onderzoeksmiddel in verhouding moet staan met de verdenking. Als jij verdacht wordt van het jatten van een paar gummetjes, is het niet proportioneel om je computer ondersteboven te keren.’

Nepbedrijf
Door die subjectieve beoordelingen is er wel een groot grijs gebied, zegt Bob Hoogenboom, hoogleraar Fraudewetenschappen aan universiteit Nyenrode. ‘Lang niet al die bureaus houden zich strikt aan de gedragscode. Die code is vooral bedoeld om de privacy te beschermen. Maar in principe zijn heel veel privacygevoelige methodes zoals afluisteren of het scannen van e-mail geoorloofd, zolang je maar open en transparant bent. Werkgevers mogen hun werknemers nagaan, als ze van tevoren hebben aangegeven dat ze het recht hebben om dat te doen.’

Op staande voet

Op staande voet
Ook bestaat er een informatieplicht. Hoogenboom: ‘Als je iemand onderzoekt, ben je verplicht dat aan diegene te melden. Maar het komt natuurlijk ook voor dat dat het onderzoek zou verpesten, en soms is het dan noodzakelijk om niks te zeggen. Die afweging moet vooraf gemaakt worden. Wel is het dan verplicht de onderzochte achteraf te informeren.’

Op staande voet
Meestal is dat tijdens een gesprek waarin de verdachte werknemer wordt geconfronteerd met zijn misdragingen. En, net als bij de motorpakkendief, volgt in bijna alle gevallen ontslag op staande voet.

Meer over

Wilt u belangrijke informatie delen met de Volkskrant?

Tip hier onze journalisten


Op alle verhalen van de Volkskrant rust uiteraard copyright. Linken kan altijd, eventueel met de intro van het stuk erboven.
Wil je tekst overnemen of een video(fragment), foto of illustratie gebruiken, mail dan naar copyright @volkskrant.nl.
© 2019 de Persgroep Nederland B.V. - alle rechten voorbehouden