Een Amerikaanse softwareontwikkelaar heeft zijn job op eigen initiatief naar China geoutsourcet, met heikele security aspecten.
Een Amerikaans bedrijf dat software bouwt voor bedrijven die onderdeel vormen van de kritieke nationale infrastructuur, kwam tot ontdekking dat een werknemer zijn job op eigen initiatief naar China had geoutsourcet. Dat bleek uit een forensisch onderzoek, uitgevoerd door Verizon Business en besproken op hun security blog. Verizon Business kreeg de opdracht nadat de klant vreemd verkeer in zijn VPN log had opgemerkt tijdens een proactieve controle van de VPN logs. Er bleek immers al een hele tijd en uiterst regelmatig een ongeoorloofde VPN link met een bedrijf in Sienjang (Shenyang) in China te worden gelegd, vanuit de werkplek van een ontwikkelaar en met gebruik van een ‘two factor’ authenticatie systeem (met een RSA token). Het bedrijf maakte zich zorgen dat het een gesofisticeerde hack vanuit China betrof, maar het Verizon onderzoek bracht een andere verklaring: ze vonden facturen van het Chinese bedrijf aan de Amerikaanse werknemer. Die laatste had blijkbaar zijn job voor ongeveer een vijfde van zijn jaarsalaris aan het Chinese bedrijf uitbesteed. Met goed resultaat, want die werknemer – een veertiger met kennis van een rist programmeertalen, al een hele poos in het bedrijf en omschreven als ‘quiet’ – kreeg steeds lovende evaluaties en werd beschouwd als een van de beste krachten omwille van zijn heldere, goedgeschreven en tijdig opgeleverd code. De authenticatie had hij opgelost door het token gewoonweg naar China te sturen.
De heikele aspecten van dit geval zijn onder meer dat het getroffen bedrijf niet weet hoelang zijn werknemer dat al deed, en dat het hiervan helemaal geen vermoeden had. Meer nog, de ontdekking was puur toeval omdat plots toch werd besloten eens de logs (die slechts voor de voorbije zes maanden werden bijgehouden) te controleren. Het feit dat de werknemer de securityvoorzieningen zo vlot had omzeild, was evenmin leuk, want het bedrijf was precies begonnen met een evolutie naar een meer ‘telewerken’-gericht model. Een en ander laat vermoeden dat deze werknemer allicht geen uniek geval is, zeker omdat de ontdekking slechts per toeval gebeurde. Verizon merkt op dat een proactieve controle van logs steeds de moeite loont, maar dat daar slechts uiterst zelden werk van wordt gemaakt. Volgens de eigen statistieken werd slechts 8 procent van de datalekken in 2011 gevonden door een analyse van logs.
Overigens waren een zeldzame keer ook de commentaren op het blog stukje interessant. “Een bedrijf dat werknemers outsourcet, doet aan goed management, maar werknemers die hun job outsourcen, dat is slecht?” klinkt het droogjes bij de ene, terwijl verscheidene andere commentatoren opmerkten dat die man in een verkeerde positie zat. Iemand die er in slaagt om een overzees team goed te informeren inzake de requirements en er voor zorgt dat ze puike code opleveren, zou veeleer een job inzake software services moeten krijgen. En er werd opgemerkt dat hij de link ook op een wijze had kunnen tot stand brengen, die niet of amper opviel.
